Bring your own device (BYOD)

Transkript

1 Arbeits- und datenschutzrechtliche Regelungen Bring your own device (BYOD) Carsten Brachmann, Rechtsanwalt und Fachanwalt für Arbeitsrecht, Partner, Ogletree Deakins International LLP, Berlin Die auffallende Differenz zwischen Regelungsbedarf und betrieblicher Realität ist u. a. darauf zurückzuführen, dass die Gefahren von BYOD und die Verbreitung vielerorts noch verkannt werden. Zudem sind die bisherigen Regelungen zur Ausgabe von Diensthandys aufgrund der verschiedenen Sachverhalte nur eingeschränkt anwendbar. So bleiben überlassene Mobilgeräte im Eigentum des Unternehmens und vermitteln ihm vielfältige Befugnisse hinsichtlich der Nutzung, des Nutzerverhaltens und der Kontrolle. Privatgeräte bleiben dagegen im Eigentum der Arbeitnehmer, auch wenn sie sie betrieblich nutzen. Die Befugnisse des Arbeitgebers hinsichtlich der für ihn fremden Geräte sind in wesentlichen Punkten eingeschränkt. Es gehört inzwischen zum beruflichen Alltag, dass Mitarbeiter auch ihre privaten Kommunikationsgeräte für dienstliche Zwecke nutzen. Dieser Realität muss sich jeder Arbeitgeber stellen, will er die Sicherheit seiner Unternehmensdaten nicht aufs Spiel setzen. Die Einführung von BYOD erfordert neben einer sicheren technischen Einbindung der Privatgeräte in das Unternehmensnetzwerk vor allem eine umfassende Regelung von arbeits- und datenschutzrechtlichen Punkten. 1 Praxisbefund Das Stichwort Bring your own device (BYOD) beschreibt die dienstliche Nutzung privater Kommunikationsgeräte, die im Eigentum der Arbeitnehmer stehen. Laut Umfragen nutzen bis zu 71 % der Beschäftigten gelegentlich ihre Privatgeräte für dienstliche Zwecke ( themen/54633_75801.aspx), wobei im Vordergrund private Smartphones und Tablet-PCs stehen. Dies geschieht häufi g ohne Kenntnis und Kontrolle des Arbeitgebers. Wesentliche Risiken für Unternehmen durch BYOD sind: Datenverlust durch Abhandenkommen des Geräts, Zugriff durch unberechtigte Personen (Abfangen der Daten, Verkauf, Verlust des Geräts), Datenmanipulationen, Verbreitung der Daten durch (unbemerktes) Hochladen auf unternehmensfremde Server (Cloud-Dienste), Angriffe auf das Unternehmensnetzwerk durch Schad- und Spionagesoftware auf private Geräte, Haftung gegenüber Kunden infolge von Datenverlust, Geldbußen bei Verstößen gegen datenschutzrechtliche Vorgaben, Imageschäden. Der Einsatz privater Geräte ist eine nicht zu unterschätzende Bedrohung für die IT- und Datensicherheit des Unternehmens. Lässt ein Arbeitgeber BYOD zu, sollte neben den technischen Maßnahmen zur Gewährleistung der Datensicherheit eine umfassende Regelung zu den arbeits-, datenschutz- und lizenzrechtlichen Aspekten erfolgen. 2 Verantwortliche Stelle für den Datenschutz Da bei der Nutzung privater Geräte für dienstliche Zwecke regelmäßig personenbezogene Daten i. S. v. 3 Abs. 1 BDSG verarbeitet werden, ist grundsätzlich für alle Vorgänge im Zusammenhang mit BYOD das BDSG zu beachten (vgl. 1 Abs. 2 Nr. 3). Dieses enthält straf- und bußgeldbewehrte Vorgaben für den Umgang mit personenbezogenen Daten. Die Vorgaben des Gesetzes gelten nicht für rein persönliche und familiäre Daten, die der Mitarbeiter auf seinem Gerät nutzt. Diese privaten Daten sind vom Persönlichkeitsrecht des Arbeitnehmers geschützt und dem Zugriff des Unternehmens entzogen. Für personenbezogene Unternehmensdaten (z. B. Beschäftigten- und Kundendaten) gilt das BDSG. Nach richtiger Ansicht (u. a. Franck, RDV 2013, S. 185) ist der Arbeitgeber verantwortliche Stelle i. S. d. BDSG bezüglich dieser Daten. Er muss sicherstellen, dass die Vorgaben des Gesetzes auch dann eingehalten werden, wenn die Daten durch Arbeitnehmer auf ihren Privatgeräten verarbeitet werden. Welche technischen und organisatori- Maßnahmen gem. BDSG Anforderung nach dem BDSG Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Verfügbarkeitskontrolle Verschlüsselung Kontrollbefugnisse Maßnahmen Übersicht Nutzung Unbefugter ausschließen (Ehepartner, Kinder): Passwortschutz Zugriffsbeschränkungen für Daten und Software Öffnen von Unternehmensdaten nur mit vorgeschriebener Software Schulung der Arbeitnehmer Nutzung von unkontrollierbaren Cloud- Diensten verhindern Regelungen zur Fernlöschung Protokollieren der Datenänderungen Backups, Synchronisation mit Unternehmensserver beim Transport der Daten auf Privatgerät Zugriffs- und Überprüfungsrechte 680 Arbeit und Arbeitsrecht 12/13

2 schen Maßnahmen das Unternehmen konkret zu ergreifen hat, ergibt sich insbesondere aus der Anlage zum BDSG (vgl. hierzu Kripko, AuA 11/12, S. 660 ff.). 3 Datenschutzkonzept Ausgangspunkt aller Überlegungen zur Einführung von BYOD sollte ein am BDSG orientiertes Datenschutzkonzept sein. Dabei kann eine Risikoanalyse ergeben, dass die Sicherheit bestimmter hochsensibler Daten (z. B. Gesundheits- und Kontodaten, Geschäftsgeheimnisse) nicht hinreichend gewährleistet ist und daher die Einführung von BYOD unterbleiben sollte oder ggf. nur eingeschränkt bspw. hinsichtlich bestimmter Gerätetypen zugelassen wird. Ein Datenschutzkonzept sollte insbesondere folgende Kernfragen beantworten: Wie sensibel sind die dienstlichen Daten? Wie können private und dienstliche Daten sicher getrennt werden? Wie viel Kontrolle über die Nutzung der Privatgeräte ist erforderlich? Wie viel Kontrolle ist rechtlich zulässig? Ist diese Kontrolle technisch umsetzbar? Um auszuschließen, dass der Arbeitgeber (versehentlich) Zugriff auf private Daten des Arbeitnehmers erhält und damit dessen Persönlichkeitsrecht verletzt, ist die strikte Trennung betrieblicher und privater Daten auf dem Gerät des Beschäftigten Grundvoraussetzung für BYOD. 4 Datensicherheit und Nutzungsverhalten Um seiner Verantwortlichkeit nach dem BDSG nachzukommen, sollte das Unternehmen eine gesonderte Vereinbarung mit dem Mitarbeiter abschließen. In dieser ist er u. a. zu verpfl ichten, alle zur Datensicherheit erforderlichen Maßnahmen zu ergreifen und zugleich alle datenschutzrechtlich riskanten Verhaltensweisen (z. B. Weitergabe des Geräts an Dritte, Verwendung bestimmter Apps) zu unterlassen. Insbesondere folgende Punkte sollte man regeln: Verpfl ichtung auf technisches Konzept zur Speicherung und Trennung betrieblicher und privater Daten, Verpfl ichtung zur Alleinnutzung der betrieblichen Daten, Pfl icht zum sicheren Passwortschutz, Pfl icht zum Update von Antivirus-Software, Datensicherungsvorgaben, wenn betriebliche Daten auf Gerät neu generiert werden (bspw. bei Kundenbesuchen), Benachrichtigungspfl ichten, z. B. bei Geräte-, Datenverlust, Virenbefall. Ein besonderes Risiko für die Datensicherheit bergen darüber hinaus die oftmals niedrigeren Datenschutzstandards sowie die umfassende Tätigkeit von Geheimdiensten und anderen staatlichen Stellen auf Auslandsreisen. Dies erfordert regelmäßig gesonderte Abwehrmaßnahmen und Nutzungsvorgaben für Arbeitnehmer im Auslandseinsatz. Ein Hauptaugenmerk sollte zudem auf die Installation von Apps, die unbemerkt Daten verarbeiten, die Nutzung von Cloud-Diensten, die Verwendung illegaler Software sowie Modifi kationen am Betriebssystem (bspw. Jailbreaking) gelegt werden. Hier ist die Vereinbarung eines Negativkatalogs bezüglich bestimmter Software, Apps und Verhaltensweisen ratsam. Die größten Gefahren für die IT-Sicherheit drohen durch (unbemerkt) risikoreiches Nutzerverhalten. BYOD erfordert umfassende Aufklärung und Schulung der Beschäftigten. Je nach IT-Affi nität und Gefährdungspotenzial sollten Auffrischungs- und Aktualisierungsprogramme durchgeführt werden. 5 Zugriffsrechte Einen wichtigen Punkt stellt die Regelung von Zugriffs- und Kontrollrechten des Arbeitgebers dar. Ohne solche Regelungen ist ihm der Zugriff auf das Eigentum des Arbeitnehmers grundsätzlich nicht gestattet. e zu regelnde Arbeitgeberrechte sind u. a.: Berechtigung zur Änderung von Konfi gurationseinstellungen des Privatgeräts, (Fern-)Löschungsrechte bei Geräteverlust, Beendigung der Tätigkeit, Befall des Geräts mit Schadsoftware, Herausgabepfl ichten, z. B. beim Verdacht von Straftaten oder aus Gründen der IT-Sicherheit, Zugriffsrechte bei vermuteten Verstößen gegen Nutzungsvorgaben, Berechtigung zur Installation von Sicherheitssoftware, Application Control (Software, die unerwünschte Anwendungen blockiert), Einwilligung in stichprobenartige Kontrollen. Die (Fern-)Löschung von betrieblichen Daten auf dem Privatgerät ist dabei grundsätzlich nur möglich, wenn betriebliche und private Daten getrennt werden. Löscht das Unternehmen private Daten vom Gerät des Mitarbeiters, kann es sich u. U. schadensersatzpfl ichtig machen. Zudem steht eine Strafbarkeit nach 206 StGB im Raum (dazu Göpfert, Wilke, NZA 2012, S. 765 ff.). BYOD stellt IT-Bereiche vor die Herausforderung, sich mit diversen privaten Geräten mit unterschiedlichen Betriebssystemen und unterschiedlichen Sicherheitsstandards auseinandersetzen zu müssen. Jedes BYOD- Konzept sollte daher gemeinsam mit der IT-Abteilung erarbeitet werden. Es kann sich anbieten, nur bestimmte Gerätetypen und Betriebssysteme für die Einbindung in das Unternehmensnetzwerk zuzulassen. 6 Indivdiualarbeitsrechtliche Voraussetzungen Der Arbeitgeber kann die Nutzung privater Geräte für dienstliche Zwecke nicht einseitig mittels Direktionsrechts ( 106 GewO) anordnen, da es seine Aufgabe ist, die erforderlichen Arbeitsmittel zur Verfügung zu stellen. Die Anordnung von BYOD würde über eine zulässige Konkretisierung der Arbeitspfl icht hinausgehen. Die Einführung von BYOD erfordert eine vertragliche Vereinbarung zwischen Arbeitnehmer und Arbeitgeber. Eine BYOD-Vereinbarung kann man sowohl bei der Einstellung als auch während des Arbeitsverhältnisses abschließen. Kern einer solchen Ergänzung des Arbeitsvertrags ist die generelle Berechtigung zur Nutzung privater Geräte unter bestimmten Bedingungen. Arbeit und Arbeitsrecht 12/13 681

3 Anstatt dies verpfl ichtend zu regeln, empfi ehlt es sich, BYOD als Option auszugestalten. In diesem Fall ist es dem Beschäftigten überlassen, ob er sein Privat- oder ein Dienstgerät nutzen möchte. Bei dieser Wahlmöglichkeit lässt sich der Einsatz privater Geräte von einer expliziten Einwilligung des Mitarbeiters in den Zugriff auf das Privatgerät zu bestimmten Zwecken abhängig machen. Dadurch verringert sich die Gefahr, dass eine Einwilligung des Arbeitnehmers i. S. d. 4 BDSG in Zugriffe und Datenerhebung durch das Unternehmen als nicht freiwillig und somit unwirksam angesehen wird. 7 Mitbestimmung In Betrieben mit Betriebsrat kann die Implementierung von BYOD nur im Einvernehmen mit dem Betriebsrat durchgeführt werden. Die grundsätzliche Entscheidung zur Einführung von BYOD ist mitbestimmungsfrei. Der Arbeitgeber kann nicht gezwungen werden, die Nutzung privater Geräte für dienstliche Zwecke zu erlauben. Entscheidet sich das Unternehmen für die Einführung, ergeben sich Mitbestimmungsrechte des Betriebsrats aus 87 Abs. 1 Nr. 6 BetrVG: Mitbestimmung bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen, 87 Abs. 1 Nr. 2 BetrVG: Mitbestimmung über Beginn und Ende der täglichen Arbeitszeit, 87 Abs. 1 Nr. 1 BetrVG: Mitbestimmung bei Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer. Das Mitbestimmungsrecht nach 87 Abs. 1 Nr. 6 BetrVG besteht bereits, wenn eine technische Einrichtung generell geeignet ist, das Verhalten oder die Leistung von Beschäftigten zu überwachen. Allein die Möglichkeit der Kontrolle genügt (vgl. nur BAG, Beschl. v ABR 21/03, AuA 2/05, S. 119). Dies ist bei BYOD regelmäßig gegeben, da eine Synchronisation zwischen dem Privatgerät und dem Unternehmensserver stattfi ndet und der Arbeitgeber z. B. die auf dem Gerät gespeicherten dienstlichen Kalendereinträge oder To-Do-Listen ansehen und somit das Verhalten des Mitarbeiters überwachen könnte. Das Mitbestimmungsrecht umfasst insbesondere, unter welchen Voraussetzungen das Unternehmen auf das Privatgerät und die Daten zugreifen darf sowie Art und Umfang der Kontrollen. Wird die Anwendung von BYOD später geändert (bspw. Einführung neuer technischer Vernetzungstechniken, höhere Kontrolldichte, Aktualisierung eines Negativkatalogs für bestimmte Verhaltensweisen), ist auch dies mitbestimmungspfl ichtig. Da die Einführung von BYOD häufi g dem Wunsch der Arbeitnehmer entspricht, steht auch der Betriebsrat den Verhandlungen regelmäßig offen gegenüber. Als neuralgischer Punkt kann sich hingegen die Mitbestimmung zur Arbeitszeit nach 87 Abs. 1 Nr. 2 BetrVG erweisen. Vorgaben für das Nutzerverhalten können nach 87 Abs. 1 Nr. 1 BetrVG als Regeln über das Ordnungsverhalten mitbestimmungspfl ichtig sein. Grundsätzlich unterliegen alle Vorgaben der Mitbestimmung, die anordnen, wie die Privatgeräte innerbetrieblich und auch außerhalb des Betriebs zu nutzen sind, z. B. zu Passwortschutz und Verschlüsselung (Göpfert/Wilke, NZA 2012, S. 765 ff.). Mitbestimmungsfrei sind solche Vorgaben, die ausschließlich bei Erbringen der geschuldeten Arbeitsleistung zu beachten und somit allein dem Arbeitsverhalten zuzuordnen sind. Bei BYOD dürften dies bspw. Regelungen zur Abgabe von Arbeitsergebnissen in einem bestimmten Format (wie PDF, PowerPoint) oder zur Verwendung bestimmter Vorlagen für Arbeitsergebnisse sein. Wenn Vorgaben ausschließlich die private Lebensgestaltung des Beschäftigten betreffen, sind sie den Betriebsparteien entzogen. Ein umfassendes Verbot zur Nutzung von Apps wäre daher unwirksam, wenn diese keine Gefahren für die Unternehmensdaten begründen. Bei Nutzungsvorgaben, die sowohl das dienstliche als auch das private Verhalten betreffen, ist von einem Mitbestimmungsrecht nach 87 Abs. 1 Nr. 1 BetrVG auszugehen (vgl. in diesem Zusammenhang zu teilmitbestimmten Betriebsvereinbarungen Brachmann/Diepold, AuA 11/11, S. 654 ff.). 8 Betriebsvereinbarung Eine verpfl ichtende Regelung zur Nutzung von Privatgeräten lässt sich in einer Betriebsvereinbarung mit Blick auf das Günstigkeitsprinzip grundsätzlich nicht wirksam vornehmen. Stattdessen ist anzuraten, wie beschrieben, mit dem Mitarbeiter eine als Option ausgestaltete Ergänzung des Arbeitsvertrags zu vereinbaren und diese durch eine Betriebsvereinbarung, in der insbesondere die jeweiligen konkreten Nutzungsvorgaben geregelt werden, zu vervollständigen. Vertragstechnisch sollte man die Ergänzungsvereinbarung mit dem Arbeitnehmer zur Ausschaltung des Günstigkeitsprinzips betriebsvereinbarungsoffen gestalten. Der dafür notwendige Verweis in der Individualvereinbarung auf die jeweils geltende Betriebsvereinbarung BYOD muss so konkret sein, dass er einer AGB-Kontrolle standhält. In diesem Fall gehen die Regelungen einer Betriebsvereinbarung zu BYOD auch etwaigen günstigeren individualrechtlichen Vereinbarungen vor. Wesentliche Vorteile dieser Gestaltung sind: Nutzungsvorgaben lassen sich gegenüber allen Beschäftigten fl exibel an Neuerungen im Bereich der IT-Sicherheit anpassen. Durch die normative und zwingende Wirkung der Betriebsvereinbarung nach 77 Abs. 4 BetrVG bedarf es für die Änderungen keiner Zustimmung der einzelnen Arbeitnehmer. Es ergibt sich eine höhere Rechtssicherheit mangels AGB-Kontrolle der Betriebsvereinbarung ( 310 Abs. 4 BGB). Eine Betriebsvereinbarung ist andere Rechtsvorschrift i. S. v. 4 Abs. 1 BDSG und legitimiert die Erhebung, Verarbeitung und Nutzung von Mitarbeiterdaten im Zusammenhang mit BYOD (vgl. Göpfert/ Wilke, a. a. O.) 9 Kostenersatz und Haftungsfragen Für Verwunderung sorgt häufi g, dass die Erlaubnis zur dienstlichen Nutzung privater Geräte regelmäßig einen Kostenersatzanspruch des Mitarbeiters auslöst. Dieser Aufwendungsersatz nach 670 BGB für z. B. dienstliche Telefonate und für zu dienstlichen Zwecken übertragene Datenvolumina beruht darauf, dass der Arbeitnehmer sein Eigentum für Unternehmenszwecke einsetzt. Ein vollständiger vertraglicher Ausschluss der arbeitgeberseitigen Kostenübernahme wäre wegen Verstoßes gegen 307 BGB unzulässig. In der Praxis werden jedoch die zulässigen Regelungsspielräume häufi g nicht wahrgenommen. So ist insbesondere daran zu denken, den Aufwendungsersatzanspruch zu pauschalisieren, Flexibilisierungsmöglichkeiten durch Widerrufsvorbehalte und Anpassungsklauseln zu vereinbaren, 682 Arbeit und Arbeitsrecht 12/13

4 BYOD vom Abschluss von Flatrate-Tarifen abhängig zu machen (Deckelung des Kostenrisikos), die Kostenerstattung bei nur gelegentlicher dienstlicher Nutzung privater Geräte auszuschließen. Ihre Mobilität und Handlichkeit sowie ihr hoher Wiederverkaufswert machen Smartphones und Tablet-PCs besonders empfänglich für Beschädigungen, Diebstähle und laden zum Verlieren ein. Die erforderlichen Regelungen zur Beschaffung eines Ersatzgeräts, zur Kostentragung bei Beschädigung sowie zur Fernlöschung betrieblicher Daten orientieren sich nach richtiger Ansicht an den Grundsätzen zur Arbeitnehmerhaftung. Eine Ersatzpfl icht bei Verlust des Geräts trifft das Unternehmen grundsätzlich dann, wenn der Verlust betrieblich veranlasst war und daher eine nach 670 BGB zu ersetzende Aufwendung des Beschäftigten darstellt. Bei vorsätzlichem oder grob fahrlässigem Verhalten des Arbeitnehmers entfällt der Ersatzanspruch, während er bei mittlerer Fahrlässigkeit geteilt wird. Nach diesen Grundsätzen muss der Arbeitgeber bei einer betrieblich veranlassten Beschädigung die Reparatur je nach Verschuldensgrad des Mitarbeiters zahlen. Kosten infolge von Verlust und Beschädigung, die keine Beziehung zur betrieblichen Nutzung haben, hat dagegen grundsätzlich der Beschäftigte zu tragen. Um dem Risiko vorzubeugen, dass eine generelle betriebliche Veranlassung bei jedem Verlust und jeder Beschädigung aufgrund der ständigen betrieblichen Erreichbarkeit angenommen wird, sollte eine BYOD-Vereinbarung hierzu klarstellende Regelungen enthalten. Zur Reduzierung der Haftungsrisiken für den Arbeitgeber können weiterhin Vereinbarungen über eine gesonderte Abgeltung des Beschädigungs- und Verlustrisikos oder der Abschluss einer Geräteversicherung sinnvoll sein. 10 Arbeitszeitrecht Der Einsatz privater Geräte auch außerhalb der klassischen Arbeitszeit führt zur Frage, ob die ständige Erreichbarkeit, das Lesen dienstlicher s oder Kundentelefonate in der Freizeit per se eine arbeitszeitrechtlich relevante Arbeitsaufnahme begründen. Nach der derzeit überwiegenden Ansicht ist eine Pfl icht zur ständigen Erreichbarkeit auf dem Privatgerät auch außerhalb der regulären Arbeitszeit als Rufbereitschaft zu werten (vgl. v. Steinau-Steinrück, NJW-Spezial 2012, S. 178), da der Mitarbeiter dann ständig erreichbar sein muss, um auf Abruf außerhalb seiner regelmäßigen Arbeitszeit die Arbeit an einem Ort seiner Wahl aufzunehmen. Die Rufbereitschaft stellt keine Arbeitszeit dar; erst die tatsächliche Arbeitsaufnahme z. B. ein Kundentelefonat ist Arbeitszeit. Besteht hingegen keine Pfl icht, ständig erreichbar zu sein, dürfte keine Rufbereitschaft vorliegen, so dass ein freiwilliges Tätigwerden des Beschäftigten außerhalb der regulären Arbeitszeit grundsätzlich keine Arbeitszeit darstellt. Unter arbeitszeitrechtlichen Aspekten sollte man Mitarbeiter nicht verpfl ichten, außerhalb der regulären Arbeitszeit ständig erreichbar zu sein. Für BYOD sind ferner Regelungen zu empfehlen, die den Arbeitnehmer dahingehend steuern, die Ruhezeiten nach 5 ArbZG einzuhalten. Darauf drängt regelmäßig auch der Betriebsrat. Zudem bedarf es Regelungen für den Fall, dass der Arbeitgeber ein Tätigwerden in der Freizeit initiiert (z. B. Durchstellen eines Anrufs oder Telefonkonferenz nach Feierabend, - Anfrage mit der Bitte um Beantwortung in der Freizeit). BYOD-Konzepte sind an das ArbZG gebunden. In sachlicher Nähe dazu stehen Fragen zur Leistung von Überstunden sowie zu deren Vergütung. Um späteren Streitigkeiten vorzubeugen, sollten die praxisrelevanten Konstellationen interessengerecht geregelt werden. Arbeit und Arbeitsrecht 12/13 Von Deutschlands Personalexperten zum Champion gekürt. Setzen Sie auf die Nummer 1: Verlässliche, speziell für die Personalarbeit aufbereitete Inhalte, erstklassige Arbeitshilfen und die einfache Bedienung haben überzeugt! Personalexperten deutscher Unternehmen haben entschieden und die Haufe Personal Offi ce Familie zum Marktführer bei Personalfragen gekürt. Jetzt informieren:

5 11 Beendigung der Tätigkeit Häufi ger als im laufenden Arbeitsverhältnis entsteht Streit bei dessen Beendigung. Befi nden sich auf dem privaten Gerät eines Vertriebsmitarbeiters bspw. noch Kundendaten, dienstliche s, Geschäftsgeheimnisse sowie Vertragsvorlagen, sind diese gem. 667 BGB herauszugeben (BAG, Urt. v AZR 283/10). Die schlechte Kontrolle dieser Pfl icht sowie das hohe Verlustrisiko des privaten Geräts machen eine Vereinbarung über die Fernlöschung betrieblicher Daten unabdingbar. Mangels Eigentum kann der Arbeitgeber anders als bei dienstlichen Geräten auch nicht ohne Weiteres die Übergabe des privaten Geräts verlangen. Dies lässt sich nur vereinbaren und sollte gerade im Hinblick auf den Befall des privaten Geräts mit Schadsoftware, beim Verdacht von Straf taten und zur Kontrolle der Nutzungsvorgaben geregelt werden. 12 Fazit Ungeachtet dessen, ob BYOD im Unternehmen zugelassen werden soll oder nicht, zwingt die Realität und das Arbeitnehmerverhalten zu einer Auseinandersetzung mit dem Thema. Aus der Nutzung privater Mitarbeitergeräte erwachsen für den Arbeitgeber Risiken, die bei einer Zulassung von BYOD eine umfassende Regelung datenschutz-, arbeits- und lizenzrechtlicher Aspekte erfordert. Die Trennung betrieblicher und dienstlicher Daten sowie eine enge Abstimmung mit der Unternehmens-IT sollten der Ausgangspunkt jedes BYOD-Konzepts sein. Bei einer Nichtzulassung von BYOD sollte ein Verbot der Nutzung privater Geräte für dienstliche Zwecke klar formuliert werden. Checkliste Wesentliche Regelungspunkte bei BYOD Datenschutzrechtliche Aspekte zur Teilnahme berechtigter Mitarbeiterkreis zur Teilnahme berechtigte Gerätetypen Eingriffs- und Zugriffsrechte Vorgaben zum Nutzungsverhalten Arbeitsrechtliche Aspekte Vereinbarung über Kostenersatz Haftung, Kosten bei Verlust, Reparatur, Software-Updates Arbeitszeit Beendigung, Befristung, Erprobung Herausgabepfl ichten Lizenzrechtliche Aspekte Lizenzbedingungen für privat und gewerblich genutzte Software Haftung für Urheberrechtsverletzungen ( 99 UrhG) Cartoon Thomas Plaßmann 684 Arbeit und Arbeitsrecht 12/13