Praxis |

Dein? Mein? Unser!

Mobile Arbeitsgeräte

0Kommentare

Mitarbeiter, die im Betrieb ihre eigenen Geräte be­ruf­lich nutzen, sind heute fast ebenso selbst­ver­ständ­lich anzutreffen wie Ar­beit­neh­mer, die fir­men­eigene Geräte privat verwenden.

Der Erfolg eines Unternehmens bestimmt sich heutzutage nicht nur durch die Qualität der Leistungen, sondern auch durch schnelle und flexible Auftragserledigung sowie zeitnahe Beratung der Kunden. Das bedeutet vor allem Flexibilität der Mitarbeiter, die entsprechende Arbeitsmodelle zunehmend selbst einfordern, um Arbeit und Familie organisieren zu können. Damit zeit- und ortsungebunden gearbeitet werden kann, greifen Unternehmen auf mobile Endgeräte beziehungsweise Datendienste sowie Cloud-Lösungen zurück. Ein Mittel zur Mitarbeitermotivation ist dabei, moderne und leistungsfähige firmeneigene Geräte zur Verfügung zu stellen, die auch privat genutzt werden können. Nachteil dieses Prinzips, das man Corporate Owned, Personally Enabled (COPE) nennt, ist, dass diese Anschaffungen mit hohem finanziellem Aufwand verbunden sind. So überrascht es kaum, dass viele Unternehmen ihren Mitarbeitern schon seit einigen Jahren erlauben, ihre eigenen Geräte im Betrieb zum Arbeiten zu nutzen, wobei diese Geräte zwangsläufig in das Firmennetzwerk integriert werden müssen. Gegenstand dieses Prinzips, das man Bring Your Own Device (BYOD) nennt, sind mobile Arbeitsgeräte wie Laptops, Smartphones oder Tablets. Freie Mitarbeiter arbeiten in aller Regel ohnehin mit eigenen Geräten. Für das Unternehmen hat das den Vorteil, dass die Geräte der Mitarbeiter oft leistungsfähiger sind und zu höherer Produktivität und Zufriedenheit des Mitarbeiters führen. Des Weiteren spart das Unternehmen die Anschaffungskosten. Allerdings verkennen viele Unternehmen die Risiken, die mit derartigen Arbeitsmodellen verbunden sind, sodass es entsprechender Regelungen in den Betrieben bedarf. Denn sowohl bei BYOD als auch bei COPE befinden sich Unternehmensdaten und private Mitarbeiterdaten auf einem Gerät. Das ist datenschutzrechtlich problematisch. Des Weiteren stellen sich steuer-, lizenz- und arbeitsrechtliche Fragen.

Datenschutzrechtliche Aspekte

Im Rahmen von BYOD und COPE genießt der Schutz der Unter­nehmens­daten Priorität.

Beim Datenschutz stellen sich zwei Prob­leme: Zum einen sind Unter­nehmen nach § 5 BDSG (Da­ten­ge­heim­nis) ver­pflich­tet, per­so­nen­be­zo­gene Daten ihrer Mit­ar­bei­ter und Kunden zu schüt­zen und so wenig wie mög­lich zu ver­ar­bei­ten; hierzu sind Kontroll- und Sicher­heits­maß­nahmen er­for­der­lich. Zum anderen dürfen Unter­nehmen jedoch ohne ent­spre­chende Ein­wil­li­gung be­ziehungs­weise Regelung private Mit­ar­bei­ter­daten nicht einsehen oder überwachen (Verstoß unter anderem gegen § 87 TKG). Daher stellt sich die Frage, wie Unternehmen beiden Anforderungen gerecht werden können, wenn sich Unternehmens- und private Mitarbeiterdaten auf einem Gerät befinden. Im Rahmen von BYOD und COPE hat der Schutz der Unternehmensdaten Priorität. Unternehmen müssen hierzu gemäß § 9 BDSG technisch-organisatorische Maßnahmen umsetzen. In technischer Hinsicht müssen Zutritt, Zugang, Zugriff sowie Weitergabe der Daten kontrolliert werden. Das geschieht zum Beispiel durch sichere Authentifizierung des Nutzers, Verschlüsselungstechniken, logische Trennung der Unternehmens- und privaten Mitarbeiterdaten, Back-up-Systeme, Schutz vor Schad-Software und so weiter In organisatorischer Hinsicht muss im Wesentlichen der Umgang mit den ­Daten und dem Gerät geregelt werden (siehe zu den infrage kommenden Maßnahmen die Checklisten auf der nächsten Seite). Gleichwohl darf der Schutz der privaten Mitarbeiterdaten nicht vernachlässigt werden, da die Unternehmen auch dem Arbeitnehmerdatenschutz verpflichtet sind. Daher müssen sich alle Maßnahmen daran ausrichten, was unbedingt erforderlich und verhältnismäßig ist. Letztlich müssen auch die erforderlichen Einwilligungen der Mitarbeiter eingeholt werden, um vor allem die Kontroll- und Überwachungsmaßnahmen auf den privaten Geräten durchführen zu dürfen.

Lizenzrechtliche Aspekte

Problematisch ist hier, dass Apps oder andere Programme auf privaten Geräten oft nur für private Zwecke lizenziert sind, aber im Rahmen von BYOD gewerblich genutzt werden. Eine solche gewerbliche Nutzung ist in diesen Fällen jedoch unzulässig und bedeutet zunächst eine Verletzung der Urheberrechte des Lizenzgebers, wofür sowohl das Unternehmen als auch der Mitarbeiter gemäß §§ 97, 98, 99 Urheberschutzgesetz (UrhG) haften. Umgekehrt kann im Rahmen von COPE der Fall vorliegen, dass die Unternehmens-Software – je nach Lizenzvertrag – aus­schließ­lich zur gewerblichen Nutzung lizenziert ist und eine Vervielfältigung auf andere Geräte oder zu anderen (privaten) Zwecken verboten ist. Daher ist im Rahmen von BYOD vertraglich zu regeln, dass der Mitarbeiter privat lizenzierte Programme, wie dies auch oft bei Freeware der Fall ist, nicht für berufliche Zwecke nutzen darf. Zudem müssen die erforderlichen Lizenzen für gewerbliche Zwecke gekauft und auf den Geräten installiert werden. Im Rahmen von COPE ist ebenfalls zu regeln, dass die Unternehmens-Software nicht kopiert und zu privaten Zwecken benutzt werden darf, wenn dies nicht lizenziert ist. Gegebenenfalls ist hier eine Nach­lizenzierung für private Zwecke erforderlich.

Steuerrechtliche Aspekte

In steuerrechtlicher Hinsicht kann die Abgrenzung von absetzbaren Aufwendungen des Mitarbeiters und absetzbaren Betriebsausgaben des Unternehmens schwierig sein. Die In­an­spruch­nahme von Steuerbegünstigungen und Freibeträgen setzt jedoch sowohl für das Unter­nehmen als auch für den Mitarbeiter eine exakte Trennung der beruflich und privat veranlassten Kosten voraus, was schwierig sein kann. Auch die Einhaltung steuerrechtlicher Auf­be­wah­rungs­pflichten bestimmter Unternehmensdaten und -dokumente, die sich auf den privaten Geräten befinden, kann problematisch sein und muss kontrolliert werden. Auch muss der erforderliche Zugriff für Steuerberater, Wirtschaftsprüfer und Finanzverwaltung auf diese Geräte gewährleistet werden. Des Weiteren stellt sich auch die Frage, wie die private Nutzung betrieblich eingesetzter Geräte versteuert werden muss. Im Rahmen von COPE ist die Privatnutzung der betrieblichen Geräte gemäß § 3 Nr. 45 EStG nicht lohnsteuerpflichtig. Im Rahmen von BYOD gibt es keine klaren gesetzlichen Regelungen. Hier empfiehlt es sich, ebenfalls jeweils beruflich und privat veranlasste Kosten detailliert zu trennen und aufzulisten. Der Mitarbeiter kann in der Regel seine beruflich veranlassten Aufwendungen für sein Gerät, das er betrieblich nutzt, als Wer­bungs­kosten von der Einkommensteuer absetzen. Der Arbeitgeber hingegen kann sämtliche Kosten, die für die betriebliche Nutzung der privaten Geräte anfallen, als Betriebsausgaben absetzen. Bedeutet die Kostenübernahme des Arbeitgebers auch einen Privatvorteil für den Mitarbeiter, kann dieser Anteil jedoch wieder der Lohnsteuer unterliegen. Wichtig ist daher für Arbeitgeber und Mitarbeiter, dass sämtliche Aufwendungen zweckgebunden erfasst werden. Hierzu bedarf es auch vertraglicher Regelungen, die den Mitarbeiter verpflichten, dem nach­zu­kommen.

Arbeitsrechtliche Aspekte

Zunächst stellt sich die Frage, wie BYOD arbeitsrechtlich implementiert werden kann. Ein Zwang ist nicht möglich, da das Unternehmen nicht über Privateigentum verfügen darf, sondern die Arbeitsmittel zur Verfügung stellen muss. Daher kann BYOD nur auf Basis freiwilliger Regelungen umgesetzt werden. Sofern es noch keine Regelungen zur Privatnutzung von E-Mail, Internet und Telefonie während der Arbeitszeit gab, sollten diese nun erstellt oder angepasst werden, um eine übermäßige Privatnutzung während der Arbeitszeit zu verhindern. Darüber hinaus trifft das Unternehmen als Arbeitgeber die Pflicht, für die Einhaltung der Arbeitsschutzgesetze, wie etwa des Arbeitszeitgesetzes, zu sorgen und dies notfalls zu kontrollieren. Da dies jedoch außerhalb des Unternehmens kaum möglich ist, kann das nur in Form von technischen Über­wachungs­maß­nahmen im Rahmen eines Mobile-Device-Managements, also eines Konzepts zur Verwaltung der mobilen Geräte, sowie vertraglichen Vereinbarungen mit den Mitarbeitern geschehen. Diese müssen sich verpflichten, zum Beispiel Arbeits-, Pausen- und Urlaubszeiten einzuhalten und keine E-Mails außerhalb der Arbeitszeiten zu bearbeiten. Sofern technische Vorkehrungen zur Überwachung der Mitarbeiter auf den Geräten angedacht sind, ist bei Existenz eines Betriebsrats dieser gemäß § 87 BetrVG mitbestimmungspflichtig. Es kann daher sinnvoll sein, den Einsatz von BYOD und COPE in einer Betriebsvereinbarung zu regeln. Des Weiteren ist mit dem Mitarbeiter bei BYOD arbeitsrechtlich zu regeln, ob ihm als Gegenleistung für die betriebliche Nutzung des privaten Geräts ein Nutzungsentgelt gezahlt werden soll oder andere Kosten vom Unternehmen anteilig übernommen werden. Im Falle von Schäden an den privaten Geräten oder des Da­ten­ver­lusts ist ebenfalls zu regeln, wer für Schäden, Verlust oder Diebstahl haftet. Letztlich muss auch vereinbart werden, welche Daten nach Beendigung des Arbeitsverhältnisses an das Unter­nehmen herauszugeben beziehungsweise wie diese zu löschen sind und wie die Daten­he­raus­gabe bzw. -löschung erfolgen soll.

Fazit und Ausblick

BYOD und COPE sind definitiv effektive Mittel zur Produktivitätssteigerung und Mit­ar­bei­ter­mo­ti­va­tion. Allerdings ist eine frühzeitige Planung erforderlich, die sämtliche oben genannten Maßnahmen berücksichtigen muss. Vor dem Hintergrund der Datensicherheit hat die Umsetzung der technischen Sicherheitsvorkehrungen Priorität. Unerlässlich sind jedoch auch Richtlinien für die Mitarbeiter zum rechtssicheren Umgang mit BYOD und COPE, die in Zu­sam­men­ar­beit mit Datenschutzbeauftragten und Personalvertretung im Unternehmen im­ple­men­tiert und kommuniziert werden müssen.
Da BYOD nach wie vor kritisch gesehen wird, sind aktuell Alternativen wie LYOD (Leave Your Own Device) oder CYOD (Choose Your Own ­Device) in der Diskussion. LYOD ist eine Variante des COPE, wobei ­firmeneigene Geräte zur Verfügung gestellt werden, die sich jedoch technisch auf dem neuesten Stand befinden und mobil nutzbar sind. Viele Hersteller, unter anderem Hewlett-Packard, konzentrieren sich derzeit auf die Entwicklung solcher Geräte, die die Datensicherheit und -trennung im Fokus haben. CYOD ist eine Variante von LYOD, bei der sich die Mitarbeiter ein Gerät aus einer Liste von unternehmenseigenen (leistungsstarken) Geräten aussuchen dürfen. Bei diesen Varianten ist die Kon­trollmöglichkeit des Unternehmens zwar größer, dennoch müssen auch hier die voranstehend beschriebenen Maßnahmen umgesetzt werden. In der Praxis ist die Umsetzung solcher Projekte einfacher, als es hier erscheint, da es meistens im Sinne der Mitarbeiter ist, BYOD oder COPE im Unternehmen anzuwenden.

Technische Maßnahmen

Technische Maßnahmen

  • Desktop-Virtualisierung und/oder Terminal Server und Partitionierung, d. h. technische Trennung auf privaten Geräten und Servern, mittlerweile erhältlich in neuen Geräten und neuer Software, z. B. von Samsung, Knox, Google Android for Work, Hewlett-Packard, Citrix usw.
  • Verschlüsselung von Unternehmens- und privaten Daten auf den Geräten, Schutz vor Zugriffen Dritter u. a. bei Verlust, Diebstahl des Geräts
  • Einsatz von Sicherheitssystemen und -Software, wie Virenschutz, Firewall, Passwörter, Schutz technischer Schnittstellen wie Bluetooth, USB-Ports usw.
  • Einsatz von Mobile-Device-Management-Systemen, d. h. von Kontroll- und Fern­war­tungs­systemen, mit denen z. B. Daten auf den Geräten gelöscht werden können
  • Einsatz von GPS-Systemen bei Verlust von Geräten (Theft Recovery)
  • Einsatz von VPN-Verbindungen
  • Einsatz rechtssicherer Systeme für Archivierung, Datensicherung und Zugriffsberechtigungen

Organisatorische Maßnahmen

Organisatorische Maßnahmen

  • Bestimmung des Umfangs und des Umgangs mit auf dem Gerät erlaubten Unternehmensdaten
  • Festlegung und Regelung der Einhaltung der Sicherheitsmaßnahmen und Datensicherungen
  • Festlegung von Notfallszenarien bei Verlust, Diebstahl usw.
  • Verbot von Jailbreaking, d. h. Manipulation des Betriebssystems der mobilen Geräte durch Mitarbeiter
  • Verbot gefährlicher Apps
  • Regelung von Einsichts-, Nutzungs-, Zugriffs- und Überwachungsrechten des Unternehmens
  • Regelung eines PasswortmanagementsRegelung von Herausgabe- und Löschungspflichten nach Beendigung des Arbeitsverhältnisses
0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.