Use of cookies by
Norton Rose Group
We use cookies to deliver our online services. Details and instructions on how to disable those cookies are set out here. By continuing to use this website you agree to our use of our cookies unless you have disabled them.
Global

Choose location:

Global
Africa Asia Pacific Canada Central Asia
Europe Latin America Middle East

Rechtliche Absicherung von „Bring Your Own Device“
5. September 2012

Einführung

„Bring Your Own Device“ (BYOD) ist momentan einer der Trends, der die Unternehmens-IT bestimmt. Es geht um den Einsatz privater IT-Endgeräte der Mitarbeiter, z. B. eines Smartphones oder eines Tablet-PCs, im Unternehmen für berufliche Zwecke. Aus Gründen der Mitarbeiterzufriedenheit wollen viele Unternehmen BYOD zulassen, da ihre Mitarbeiter auf diese Weise ihre „gewohnte“ IT auch im Unternehmen einsetzen können, die oftmals sogar aktueller als die Unternehmens-IT ist.

Allerdings haben viele Unternehmen vor allem wegen der Datensicherheit, Unklarheiten bei der Software-Lizenzierung und des Kontrollverlustes auch berechtigter Weise Bedenken gegenüber einer unkontrollierten Zulassung von BYOD. Allein aufgrund des Umstandes, dass das Gerät im Eigentum des Mitarbeiters steht, ergeben sich - allerdings vertraglich abdingbare - Einschränkungen für die Einwirkungsmöglichkeiten des Unternehmens. Falls sich ein Unternehmen dazu entschließt, BYOD zuzulassen, stellen sich darüber hinaus auch noch ganz praktische Fragen, die einer Klärung bedürfen, z. B. die Kostentragung.

Damit Unternehmen die Vorteile von BYOD nutzen können und gleichzeitig den rechtlichen Anforderungen an Datensicherheit und Kontrolle genüge getan ist, müssten die Unternehmen, die BYOD zulassen wollen, mit der Mitarbeitervertretung und ggf. mit jedem betroffenen Mitarbeiter selbst eine Vereinbarung über den Einsatz der privaten Endgeräte für berufliche Zwecke schließen, die dem Arbeitgeber die nötige Sicherheit verschafft.

Back to top

Regelungsbedürftige Punkte

Folgende Punkte sind zu regeln:

  • Besonders wichtig sind Festlegungen im Hinblick auf den Schutz und die Sicherheit der auf den Privatgeräten gespeicherten Unternehmensdaten. Um nicht in Konflikt mit den strengen Datenschutzvorschriften des Bundesdatenschutzgesetzes und evtl. sogar dem Fernmeldegeheimnis zu geraten, sollte der Einsatz von speziellen „Containern“ vereinbart werden, in denen die geschäftlichen Daten getrennt von den privaten gespeichert werden. Derartige technische Lösungen werden von einer Vielzahl von Anbietern auf dem Markt angeboten. Der Mitarbeiter ist in der Nutzungsvereinbarung auch darauf zu verpflichten, das Endgerät nur höchstpersönlich zu nutzen, da ansonsten Dritte Zugriff auf dienstliche Daten erhalten könnten.
  • Den Mitarbeitern sollten Informationspflichten bei einem Abhandenkommen des Geräts auferlegt werden, damit das Unternehmen Maßnahmen zum Schutz der Daten ergreifen und ihm ggf. selbst obliegende gesetzliche Informationspflichten (z. B. wegen Datenverlustes) erfüllen oder - durch Datenlöschung - gezielt vermeiden kann.
  • Das Unternehmen sollte sich das Recht ausbedingen, mit unternehmensbezogenen Daten auf dem privaten Endgerät grundsätzlich in derselben Weise verfahren zu dürfen, wie mit solchen in den eigenen Systemen. Es sollte auf die Daten uneingeschränkt zugreifen und sie im Bedarfsfall auch löschen dürfen.
  • Damit fremde Programme die geschäftlichen Daten nicht (unerkannt) auslesen und an Dritte übermitteln können, sollte in der Vereinbarung auch geregelt werden, wie bestimmte Systemeinstellungen vorzunehmen sind. Insoweit ist es auch ratsam, dass Unternehmen sich explizit die Befugnis einräumen lassen, sicherheitsrelevante Systemeinstellungen an dem privaten Endgerät des Mitarbeiters selbst vorzunehmen. Wichtig ist es auch, dem Mitarbeiter die Verwendung so genannter „Jailbreaks“ - also Modifikationen des Betriebssystems - zu untersagen, weil diese besondere Sicherheitsrisiken mit sich bringen.
  • Von besonderer Bedeutung sind ausreichende technische und organisatorische Schutzmaßnahmen. Das Unternehmen, welches BYOD zulässt, ist für die Verarbeitung dienstlicher Daten auf dem mobilen Endgerät des Mitarbeiters verantwortlich. Folglich hat das Unternehmen auch für die erforderlichen technischen und organisatorischen Maßnahmen zu sorgen. Dies ist jedoch ungleich schwerer als im Unternehmen selbst. Sinnvoll ist es deshalb, dem Mitarbeiter selbst diesbezügliche Verpflichtungen aufzuerlegen, wie z.B.  bestimmte Gerätekonfigurationen.
  • Empfehlenswert sind ferner Regelungen zur Haftungsverteilung (insbesondere bei missbräuchlicher Nutzung des Endgeräts durch den Mitarbeiter) und zu etwaigen Kostenerstattungen für die Anschaffung und Nutzung - zum Beispiel im Hinblick auf Roaming-Gebühren bei dienstlicher Verwendung im Ausland.
  • Sinnvoll sind auch Festlegungen über die Durchführung von Reparatur- und Wartungsleistungen und die diesbezüglichen Mitwirkungspflichten des Mitarbeiters (z. B. durch Aushändigung des Geräts).
  • Zur Vermeidung von Unklarheiten sind schließlich die Beendigungsregelungen in die Nutzungsvereinbarung aufzunehmen. Vorgesehen werden kann z. B. eine Befristungsregelung, etwa für eine Erprobungsphase, oder aber ein Widerrufs- oder ein Kündigungsrecht.

Back to top

Fazit

Im Ergebnis lassen sich durch eine adäquate vertragliche Regelung die meisten Problemstellungen des BYOD in den Griff bekommen. Gerne unterstützen wir Sie bei der rechtssicheren Umsetzung von Bring Your Own Device in Ihrem Unternehmen.

Back to top

Related contacts

Flemming Moos

Flemming Moos

Partner

Hamburg

+49 (0)40 970799 189

Jamie Nowak

Jamie Nowak

Partner

Munich

+49 (0)89 212148 304

Global expertise

Technology

Explore our site

Our offices

© Norton Rose LLP 2013