Mehr Infos

Rechtliche Problematik der Nutzung von privaten Mobilgeräten im Büro aus Sicht des Arbeitgebers (Abschluss einer Nutzungsvereinbarung)

In der heutigen Zeit ist es aufgrund der Benutzung von Smartphones, Tablets und ähnlichen technischen Endgeräten immer schwieriger, Unternehmensdaten mit der Privatnutzung auseinander zu halten.

Welche Vereinbarungen kann ein Unternehmen für die Nutzung von privaten Mobilgeräten seiner Mitarbeiter treffen, die auch der Arbeitsverrichtung dienen? Welche Regeln und Verbote sind im Hinblick auf Arbeits- und Datenschutz möglich und welche praxistauglichen Lösungen haben sich durchgesetzt?

Dieser Beitrag soll Unternehmern einen Einstieg in die rechtlichen Problematiken gegeben, gängige Lösungsansätze beleuchten sowie deren Vor- und Nachteile aufzeigen.

 

I. Privatgeräte am Arbeitsplatz

Gerade Smartphones sind für den privaten Gebrauch konzipiert und ermöglichen es dem Benutzer durch Apps und eine ständige Verbindung mit dem Internet sich praktisch völlig zu personalisieren. Datenübertragung ist ohne Probleme von Gerät zu Gerät möglich oder wird in Datenclouds ausgelagert. Gleichzeitig haben Anwendungen wie Whatsapp, Skype, Twitter und Facebook die E-Mail fast vollständig aus der privaten Kommunikation verdrängt.

Fast jeder Arbeitnehmer verfügt über ein Smartphone und möchte die damit einhergehenden technischen Erleichterungen auch während und für seine Arbeit nutzen können.

Nach § 3 Abs. 7 Bundesdatenschutzgesetz (BDSG) sind aber Unternehmen für die Verarbeitung von personenbezogenen und dienstlichen Mitarbeiter- und Kundendaten verantwortlich. Das gilt gerade auch für mobile Endgeräte ihrer Mitarbeitern, wenn auf diesen Unternehmensdaten verarbeitet werden.

Die Anforderungen der Datensicherheit ergeben sich dabei überwiegend aus der Anlage zu § 9 S. 1 BDSG. Danach muss ein Unternehmen gewährleisten, dass die Nutzung des Datenverarbeitungssystems durch Unbefugte ausgeschlossen ist und auch Mitarbeiter nur im Rahmen internen Berechtigungen auf die entsprechenden Daten zugreifen kann. Zudem muss die Integrität und Vertraulichkeit des Datenaustauschs ebenso gewährleisten sein, wie die Datensicherung vor Verlust und Zerstörung. Es muss also festgestellt werden können, wer Daten in das System eingearbeitet, verändert oder entfernt hat.

Weil die Datenverarbeitung im Berufsalltag bereits nicht mehr ausschließlich im gesicherten Umfeld des Büros stattfindet, sondern unter Verwendung der mobilen Smartphones der Mitarbeiter von überall aus möglich ist, muss eine zentrale Steuerung und Überwachung des Endgerätes notwendig, um den gesetzlichen Anforderungen gerecht zu werden.

Hier besteht ein Konflikt zwischen dem Bestreben der Arbeitnehmer, den Eigentümern der mobilen Endgeräte, nach ihrem Schutz der Privatsphäre und dem Wunsch der Unternehmen nach Kontrolle und Schutz der unternehmensspezifischen Daten.

Für eine Problemlösung muss zwangsläufig eine Regelung über die Mitwirkungspflichten des Mitarbeiters bei der Nutzung des privaten Endgerätes geschaffen werden.

 

II. Der Arbeitgeber als Telekommunikationsdienstleister?

Wenn im täglichen Geschäftsbetrieb der Zugriff über das eigene Smartphone auf dienstliche E-Mails notwendig wird, zum Beispiel bei Krankheit, Urlaub oder Auslandsaufenthalten, kommt es zwangsläufig zur Überschneidung von Beruf und Privatsphäre.

In der Literatur und der Rechtsprechung ist nach wie vor umstritten, ob ein Arbeitgeber, welcher E-Mail Accounts und Telefone zur privaten Nutzung freigibt, automatisch zu einem Telekommunikationsdienstanbieter wird und damit dem Fernmeldegeheimnis unterliegt.

Würde man dies annehmen, so wäre der Arbeitgeber verpflichtet, Vorkehrungen zum Schutz der personenbezogenen Daten zu treffen. Der Arbeitgeber darf keine Kenntnis von der Kommunikation des Arbeitnehmers erlangen und die Bestands- und Verkehrsdaten nur unter sehr strengen Voraussetzungen verarbeiten.

Diese Einordnung spielt etwa für die Möglichkeit einer außerordentlichen Kündigung eines Arbeitnehmers eine entscheidende Rolle, wenn dieser seinen Dienst-PC zum Schreiben und Beantworten privater E-Mails nutzt. Unterliegt der Arbeitgeber dem Fernmeldegeheimnis darf er diese Nutzung nicht kontrollieren.

Dagegen Landesarbeitsgericht Berlin-Brandenburg mit Urteil vom 16.02.2013, Az. 4 Sa 2132/10 und Landesarbeitsgericht Niedersachsen mit Urteil vom 31.05.2010, Az. 12 Sa 875/09 u. LAG, wonach der Arbeitgeber der seinen Arbeitnehmern lediglich die private Nutzung des dienstlichen E-Mail-Accounts gestattet hat kein Dienstanbieter iSd. Telekommunikationsgesetzes sei.

Da das Grundrecht auf Gewährleistung des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG nach Auffassung des Bundesverfassungsgerichts allerdings nur den Kommunikationsvorgang schützt und dieser Schutz insoweit in dem Moment endet, in dem die E-Mail beim Empfänger angekommen und der Übertragungsvorgang beendet ist, würde es auch eine erhebliche Rolle spielen, zu welchem Zeitpunkt der Arbeitgeber in den Kommunikationsprozess eingreift.

So das Bundesverfassungsgericht in seinem Beschluss vom 16.06.2009, Az. 2 BvR 902/06 zur Frage der Rechtmäßigkeit einer polizeilichen Beschlagnahme von Daten aus einem E-Mail-Account bei einem Provider

 

III. Zugriff auf personenbezogene Daten der Mitarbeiter

Nach § 32 Abs. 1 BDSG ist ein Zugriff auf persönliche Daten der Mitarbeiter nur erlaubt, wenn diese Maßnahme im Kontext des Arbeitsverhältnisses steht, also für dessen Begründung, Durchführung oder Beendigung nötig ist.

Weil der Arbeitgeber mit dem Zugriff auf ein Mobilgerät zwangsläufig Kenntnis von privaten Daten des Arbeitnehmers erlangt, diese allerdings nicht im Zusammenhang mit dem Arbeitsverhältnis stehen, ist dem Arbeitgeber ein solcher Zugriff nicht gestattet, wenn diese Daten nicht von den Unternehmensdaten getrennt gespeichert werden.

1. Zustimmung des Angestellten

Eine Möglichkeit diese Problematik zu umgehen ist die Zustimmung des Mitarbeiters einzuholen, wenn dieser sein privates Smartphone auch für dienstliche Zwecke nutzen möchte.

Doch eine Einwilligung birgt für das Unternehmen erhebliche rechtliche Risiken und Unabwägbarkeiten sowie gewaltige Rechtsunsicherheit.

So muss beachtet werden, dass eine Zustimmung des Mitarbeiters nicht automatisch auch den Zugriff auf Daten Dritter einschließt, die etwa als Familienangehörige Zugriff auf das Endgerät des Arbeitnehmers haben oder auf Bildern und Videos abgebildet sind. Selbst wenn also die Einwilligung des Arbeitnehmers – trotz hoher Anforderungen der Aufsichtsbehörden an diese Freiwilligkeit – wirksam sein sollte, besteht die Gefahr, dass die Rechte Dritter an den privaten Daten verletzt werden.

2. Trennung der E-Mail-Accounts

Eine Überlegung wäre, die E-Mail-Konten zu trennen, ein Konto für private Zwecke und eine Adresse für dienstliche Angelegenheiten.

In der Praxis bestehen für den Arbeitgeber hier aber ebenso Risiken der Datenverletzung. Durch notwendige Wartungs- oder Servicearbeiten am Endgerät des Mitarbeiters (z.B. IT-Umstellung) oder beim Löschen von Firmendaten bei Verlust oder Diebstahl des Geräts mittels eines Remote-Wipe werden neben den dienstlichen Informationen immer auch privaten Daten gelöscht. Dies stellt eine Datenschutzverletzung dar.

 

IV. Technische Lösungen

Es gibt schon einige von der Industrie entwickelte Lösungen für dieses Problem. Doch viele der Angebotenen Möglichkeiten decken die verschiedenen Interessen von Unternehmen und Arbeitnehmern nur sehr eingeschränkt ab. Oft gibt es weiterhin juristische Unsicherheiten, oder aber der Bedienkomfort für den Nutzer des Smartphones wird stark eingeschränkt.

1. Installation von Sicherheits- und Verwaltungsprogrammen

Im „Secure Device“ werden alle benötigten Sicherheits- und Verwaltungsprogramme direkt auf das Betriebssystem des Endgerätes, wie zum Beispiel IOS von Apple oder Android von Google, aufgespielt. Im Idealfall schützen sie so das Gerät durch zusätzliche Verschlüsselung.

Doch dieses Aufspielen der Anwendungen hat einige Lücken. Die installierten Betriebssysteme IOS oder Android weisen weiterhin Sicherheitslücken auf, welche die Datensicherheit gefährdet. Das ist nicht weiter verwunderlich, da diese Programme für den Konsumentenmarkt entwickelt wurden und gerade nicht für das geschäftliche Umfeld.

Des Weiteren werden bei diesem Lösungsansatz die privaten und unternehmerischen Datenbestände vermischt, was es dem Unternehmen sehr schwer macht, beim Zugriff auf das Smartphone des Mitarbeiters nicht dessen Privatsphäre zu verletzen. Dies führt zum bereits beschriebenen Zugriffsverbot des § 32 Abs. 1 BDSG.

Problematisch ist zudem, das viele Apps, welche man sich auf sein Smartphone oder Tablet laden kann, Standort- und Kontaktdaten abgreifen und diese an den App-Anbieter weiterleiten, was für die IT-Sicherheit des Unternehmens ein erhebliches Risiko darstellt.

2. Unternehmenseigene Cloudsysteme

Eine weitere in der Praxis verbreitete Lösung ist die so genannte „Desktop-Visualisierung“. Hier werden die Daten in einer virtuellen Arbeitsumgebung, also ausschließlich in einer Cloud oder unternehmenseigenen Servern gespeichert. Auf dem Endgerät des Mitarbeiters selbst sind keine Daten hinterlegt, es dient dann lediglich als Ausgabegerät für die extern gespeicherten Daten.

Ein Unternehmen hat so die komplette Kontrolle über Software und Daten auf dem Endgerät. Sogar der Verlust des Smartphones wäre dann nicht weiter tragisch, da nur der Zugang zum Server unterbrochen werden muss um Schaden zu verhindern.

Für die Umsetzung der „Desktop Visualisierung“ ist allerdings eine ständige Internetverbindung nötig, um den Datenaustausch zwischen Smartphone und Server zu gewährleisten. Auch schränkt dieser Lösungsansatz die Benutzerfreundlichkeit für den Mitarbeiter stark ein, da die visuelle Arbeitsumgebung oft nur für den normalen Desktop entwickelt ist und für kleinere Bildschirme von Tablets und Smartphones nur eingeschränkt genutzt werden kann.

3. Technische Trennung von Unternehmer- und Privatdaten

Gerne genutzt wird auch die so genannte „Plattform-Visualisierung“, bei welcher auf einem Gerät zwei gleichzeitig laufende Betriebssysteme genutzt werden, wobei jede virtuelle Maschine einen virtuellen Rechner simuliert. Es ist technisch möglich, einen Datenaustausch zwischen beiden Systemen zu unterbinden. So hat man zwei unterschiedliche Systemumgebungen die getrennt parallel arbeiten. Der Arbeitnehmer kann in seiner privaten simulierten Umgebung seine eigenen Apps und Bilder speichern und nutzen, während in der anderen Umgebung seine Dienstprogramme und Daten verwaltet werden können.

Ähnlich funktioniert auch das „Containern“. Hierbei werden Daten und Anwendungen der verschiedenen Benutzungssphären in so genannten Container gespeichert und ausgeführt. Es gibt dann beispielsweise einen Container für die privaten Mails und Kontaktadressen, und einen anderen Container für Anwendungen des Unternehmens. Eine Überschneidung beider Datenbestände kann mit dieser Lösung technisch ausgeschlossen werden.

Die hohen Anforderungen an IT-Sicherheit, Datenschutz und Benutzerfreundlichkeit werden unter dieser strikten Trennung der Plattform-Visualisierung oder auch der Container-Lösung am ehesten. Das Unternehmen kann durch die technische Trennung der Datenbestände nicht die Privatsphäre des Mitarbeiters verletzten, hat aber dennoch die Kontrolle über alle relevanten Unternehmensdaten. Ebenfalls können Daten, etwa bei Verlust des Smartphones, ohne Probleme mittels eines Remote-Wipes gelöscht werden, da sowohl Container als auch Plattform-Visualisierung eine abgetrennte Löschung der Unternehmensdaten zulassen.

 

V. Praxistipp: Abschluss einer Nutzungsvereinbarung

Egal für welchen technischen Lösungsansatz sich ein Unternehmen entscheidet, der Abschluss einer Nutzungsvereinbarung mit dem Mitarbeiter ist nahezu unumgänglich. Sie ermöglicht eine weitreichende Vertragsausgestaltung, weshalb in ihr alle wechselseitigen Rechte und Pflichten eindeutig geregelt werden sollten.

Die Nutzungsvereinbarung unterliegt als Allgemeine Geschäftsbedingung für eine Vielzahl von Arbeitsverträgen der AGB-Kontrolle der §§ 305 ff. BGB, welche unangemessene Eingriffe in die Rechte des Arbeitnehmers, wie zum Beispiel der Ausschluss jeglicher Privatnutzung, verhindert. Es ist deshalb wichtig, auf eine genaue juristische Formulierung der Vereinbarung zu achten, da ein Verstoß gegen die gesetzliche AGB-Kontrolle zur Ungültigkeit der gesamten Klausel führen kann.

Da das Privateigentum des Arbeitnehmers nicht dem Weisungsrecht des Arbeitgebers unterliegt, kann der Arbeitnehmer nicht zum Abschluss einer solchen Vereinbarung gezwungen werden.

1. Einbindung des Betriebsrats

Wenn in einem Unternehmen ein Betriebsrat existiert, ist dieser zwingend in die Gestaltung der Nutzungsvereinbarung miteinzubeziehen. Diese Pflicht ergibt sich aus § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz. Eine Einführung zur Regelung von Bestimmungen zur Nutzung von privaten Endgeräten kann zudem nicht gegen den Willen des Betriebsrates beschlossen werden.

Besteht ein gutes Verhältnis zum Betriebsrat, ist es am einfachsten, eine Betriebsvereinbarung zu dem betreffenden Thema zu schließen. Da das AGB-Recht nur eingeschränkt auf Betriebsvereinbarungen wirkt, ist hier der Verhandlungsspielraum beider Parteien deutlich größer, außerdem gilt eine Betriebsvereinbarung für alle Mitarbeiter, welches den administrativen Aufwand gering hält.

2. Regelung zur Herausgabe

In der Praxis erfolgt die Kontrolle des mobilen Endgerätes durch die Installation einer entsprechenden Software auf dem Smartphone oder Tablet des Mitarbeiters. Da dieses Eigentum des Mitarbeiters ist, darf ohne seine Erlaubnis nichts an dem Gerät verändert werden. Auch wenn Wartungsarbeiten oder Updates notwendig sind, muss der Mitarbeiter unter Umständen sein Gerät dem Unternehmen überlassen. In beiden Fällen ist die Einholung des Einverständnisses des Mitarbeiters notwendig. Auch ist es sinnvoll, von Zeit zu Zeit zu überprüfen, ob die Vorgaben, welche das Unternehmen an die Benutzung des Gerätes stellt, eingehalten werden.

Für alle drei Fälle bietet es sich an, eine Regelung zu den Herausgabepflichten des Arbeitnehmers herbeizuführen.

3. Ausschluss des Fernmeldegeheimnisses

Um die Anforderungen des Fernmeldegeheimnisses zu umgehen, könnten Mitarbeiter aufgefordert werden, ihre eigene SIM-Karte auch für die dienstliche Kommunikation zu nutzen. Dabei ist zu prüfen, ob der Mobilfunktarif des Mitarbeiters eine dienstliche Nutzung zulässt, einige Verträge schließen das aus.

Wird die private SIM-Karte genutzt, hat der Arbeitnehmer einen Kostenerstattungsanspruch gegenüber dem Arbeitgeber, wenn er diese für dienstliche Zwecke verwendet. Da es oft nicht praktikabel sein wird, bei jeder Monatsrechnung des Mobilfunkanbieters genau nachzuvollziehen, wie hoch die betrieblichen Kosten waren, bietet sich eine pauschale Nutzungsvereinbarung an.

 

VI. Empfehlung

Auch Ihr Unternehmen möchte sich Compliance-Regeln im Hinblick auf die Nutzung von privaten Mobilgeräten im Büro geben? Brauchen Sie Unterstützung bei der Formulierung einer Nutzungsvereinbarung oder eine Rechtsberatung im Hinblick auf ein eventuelles Fehlverhalten eines Mitarbeiters?

Zögern Sie bei etwaigen Fragen nicht, mit uns Kontakt aufzunehmen. Gerne beraten wir Sie bei einem unverbindlichen Kontakt per E-Mail/Telefonat. Wir freuen uns, Sie kennenzulernen.

 

RA Mass, LL.M. und Eichstädt

Mehr
Wir kooperieren mit advocado

Als Teil des advocado-Qualitätsnetzwerks gehören wir zu den derzeit rund 350 ausgewählten Kanzleien, die besonders durch eine einwandfreie Beratung sowie zufriedene Mandanten überzeugen. Wir sind stolz darauf, ein Teil dieses Netzwerks zu sein! Damit stellen wir uns bereits jetzt auf die zukünftigen Erwartungen unserer Mandanten ein.

advocado bietet ausgezeichnete Beratung von

 

erfahrenen und spezialisierten Anwälten zu jedem juristischen Anliegen. Die sichere Online-Plattform ermöglicht u. a. eine einfache und flexible Kommunikation zwischen Anwalt und Mandant, die Beratung und Vertretung im Streitfall sowie eine komfortable Zahlungsabwicklung. Die regelmäßigen Kontrollen und Zertifizierungen der Partner-Anwälte zeugen von der besonderen Qualität der auserlesenen Kanzleien.

Für unsere Mandanten eröffnen sich durch die Zusammenarbeit zusätzliche Möglichkeiten, um mit uns zu kommunizieren. Profitieren Sie z. B. von einem komfortablen Videochat, der Erreichbarkeit rund um die Uhr sowie einem sicheren Dokumentenupload über advocado – probieren Sie es gern einmal aus.

Beste Grüße aus Ihrer Kanzlei

© 2019 kraul-vondrathen