Home Office / Mobile Office / Bring Your Own Device Mobiles Arbeiten von Mitarbeitern Rechtliche Fallstricke und wie man sie umgeht
1. Mobiles Arbeiten von Mitarbeitern Erkennen Sie sich wieder? Seite 2 Kleymann, Karpenstein & Partner mbb
1. Mobiles Arbeiten von Mitarbeitern Bereits mehr als die Hälfte der Beschäftigten (54 Prozent) sind vorwiegend oder sogar ausschließlich mobil an wechselnden Arbeitsplätzen tätig, so ein zentrales Ergebnis der Studie Mobiles Arbeiten im Frühjahr 2016. - Größtenteils gehen Mobile Worker innerhalb und außerhalb des Unternehmens an wechselnden Arbeitsplätzen der mobilen Tätigkeit nach ( Internal and External Mobile Worker, 29 Prozent). - Deutlich weniger Mitarbeiter arbeiten vorwiegend innerhalb des Unternehmens mobil ( Internal Mobile Worker, 14 Prozent) und vorwiegend außerhalb des Unternehmens an wechselnden Arbeitsplätzen ( External Mobile Worker, 11 Prozent). Seite 3 Kleymann, Karpenstein & Partner mbb
1. Mobiles Arbeiten von Mitarbeitern Mobiles Arbeiten gibt es in zwei Varianten und einer Besonderheit. Home Office - Der Mitarbeiter arbeitet von zuhause aus und erhält Zugang zur IT des Arbeitgebers Mobile Office - Wie Home Office, nur mit der Verschärfung, dass hierbei notwendig mobile Geräte außerhalb abgrenzbarer Räume verwendet werden, woraus ein ungleich höheres Risiko des Abhandenkommens oder der Beschädigung und damit eines unberechtigten Zugriffs Dritter auf die Daten sowie ihrer Beschädigung bzw. ihres Verlusts folgt. BYOD Seite 4 Kleymann, Karpenstein & Partner mbb
2. Consumerization of IT BYOD BYOPC BYOC BYOX CYOD MPP Bring Your Own Device Bring Your Own PC Bring Your Own Computer oder Bring Your Own Cloud Bring Your Own Anything Choose Your Own Device Mitarbeiter-PC-Programm Seite 5 Kleymann, Karpenstein & Partner mbb
Bring Your Own Device oder Seite 6 Kleymann, Karpenstein & Partner mbb
Datenschutz - Der Arbeitgeber bleibt auch dann datenschutzrechtlich verantwortliche Stelle ( 3 Abs. 7 BDSG), wenn personenbezogene Daten nicht im Betrieb, sondern im Rahmen eines Home oder Mobile Office bei Mitarbeitern gespeichert werden. - Aber: Wer ist verantwortliche Stelle, wenn der Mitarbeiter privat Daten über Facebook sammelt und sie anschließend dem Arbeitgeber zur Verfügung stellt? - Wenn der Arbeitgeber dienstliche Daten auf privaten IT-Systemen nicht duldet, sondern ausdrücklich und konsequent verbietet, ist der Mitarbeiter selbst verantwortliche Stelle. - Anders ist es jedoch, wenn der Arbeitgeber private IT erlaubt oder duldet. Seite 7 Kleymann, Karpenstein & Partner mbb
Datenschutz - Bei personenbezogenen Daten sind aus rechtlicher Sicht angemessene Schutzmaßnahmen nach 9 BDSG erforderlich. - Wichtig: Kann angesichts der erweiterten Zugriffsmöglichkeiten im Home oder Mobile Office und der Vertraulichkeit der konkret in Rede stehenden Daten kein ausreichendes Sicherheitsniveau geschaffen werden, dürfen diese Daten nicht im Home oder Mobile Office verarbeitet werden. - Dies dürfte insbesondere bei besonderen Arten personenbezogener Daten ( 3 Abs. 9 BDSG etwa Gesundheitsdaten) typischerweise, sowie bei Daten, die einem Berufs- oder Amtsgeheimnis unterliegen, oftmals der Fall sein. Seite 8 Kleyman, Karpenstein & Partner mbb
Datenschutz - Sämtliche Datenspeicherungen sollten nur zentral auf den Servern des Arbeitgebers erfolgen, während Mitarbeiter im Home Office sich nur etwa per Terminal-Zugriff die Daten anzeigen lassen. - Ist dies technisch nicht möglich, sollten jedenfalls Lösungen mit automatischer Synchronisierung genutzt werden. - Eine lokale Speicherung von Daten sollte nur in absolut nicht vermeidbaren Ausnahmefällen und gegen Verschlüsselung erfolgen. Seite 9 Kleyman, Karpenstein & Partner mbb
Denken Sie immer daran: Mobile Working ist die Auslagerung Ihrer Unternehmensdaten an eine Privatperson. Seite 10 Kleymann, Karpenstein & Partner mbb
3. Rechtliche Fallstricke Haben Sie so etwas schon mal unterschrieben? Seite 11 Kleymann, Karpenstein & Partner mbb
Weitergabe von Mobile Devices an Dritte - 17 UWG - (1) Wer als eine bei einem Unternehmen beschäftigte Person ein Geschäftsoder Betriebsgeheimnis, das ihr im Rahmen des Dienstverhältnisses anvertraut worden oder zugänglich geworden ist, während der Geltungsdauer des Dienstverhältnisses unbefugt an jemand zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. - Was ist mit der Überlassung im Familienkreis? Seite 12 Kleymann, Karpenstein & Partner mbb
Lizenzrecht - 99 UrhG Ist in einem Unternehmen von einem Arbeitnehmer oder Beauftragten ein nach diesem Gesetz geschütztes Recht widerrechtlich verletzt worden, hat der Verletzte die Ansprüche aus 97 Abs. 1 [Unterlassung, Schadensersatz] und 98 [Vernichtung, Rückruf, Überlassung] auch gegen den Inhaber des Unternehmens. Seite 13 Kleymann, Karpenstein & Partner mbb
Arbeitsrecht - Auch bei Arbeit von zu Hause gelten die Vorschriften aus dem Arbeitszeitgesetz, insbesondere die Höchstarbeitszeit. Die Arbeitszeit darf 8 Stunden täglich nur bis maximal 10 Stunden überschreiten, wenn innerhalb der gesetzlichen Regelungen ( 3 ArbZG, 6 Monate) ein Ausgleich erfolgt. - Das Arbeitsschutzgesetz gilt auch für mobiles Arbeiten. - Zu BYOD gibt es bisher keine Rechtsprechung oder ausdrückliche Rechtsvorschriften; es fehlt somit an klaren Regelungen, die der Rechtssicherheit der Parteien dienen. - Fest steht: Es gibt keine Pflicht des Arbeitnehmers, sein Eigentum zu betrieblichen Zwecken zur Verfügung zu stellen. Das ist vielmehr Pflicht des Arbeitgebers. Seite 14 Kleymann, Karpenstein & Partner mbb
Arbeitsrecht - Welche Rechtsnatur hat die BYOD-Vereinbarung zwischen Arbeitnehmer und Arbeitgeber? Leihe Miete Auftrag oder Geschäftsbesorgung Arbeitsrecht - Deshalb ist die Arbeitsleistung des Arbeitnehmers auch nicht per se mangelhaft, wenn notwendige Nutzungsrechte fehlen oder das Device defekt oder abhanden gekommen ist. - Eine Pflicht des Arbeitnehmers zur Ersatzbeschaffung besteht nicht. Seite 15 Kleymann, Karpenstein & Partner mbb
Arbeitsrecht - Kann der Arbeitgeber die Herausgabe des BYO-Device verlangen? Mietvertrag: Ja Ansonsten? Nur bei vertraglicher Regelung. - Achtung AGB-Kontrolle. Regelung darf Arbeitnehmer nicht unangemessen benachteiligen. - Unangemessen ist das Fehlen einer angemessenen Gegenleistung des Arbeitgebers. - Tipp: Gleichartiges Ersatzgerät mitsamt persönlichen Daten stellen, um Arbeitnehmer so zu stellen, wie er ohne die Herausgabe stünde. Seite 16 Kleymann, Karpenstein & Partner mbb
Arbeitsrecht - Die Betriebshaftpflichtversicherung deckt mitarbeitereigene Hardware in der Regel nicht ab. - Eine gesonderte Geräteversicherung ist deshalb empfehlenswert. - Verletzt der Arbeitnehmer schuldhaft seine Sorgfaltspflichten und trägt dadurch zu einem Datenverlust bei, finden wie gewohnt die Grundsätze der gestuften Arbeitnehmerhaftung Anwendung. - Danach haftet der Arbeitnehmer allein bei Vorsatz und grober Fahrlässigkeit in vollem Umfang, bei einfacher Fahrlässigkeit nur anteilig und bei leichter Fahrlässigkeit überhaupt nicht. - Das gilt selbst dann, wenn der Arbeitgeber Miete zahlt. Seite 17 Kleymann, Karpenstein & Partner mbb
Arbeitsrecht - Mobiles Arbeiten und BYOD sind regelmäßig mitbestimmungspflichtig. - Das Bundesarbeitsgericht hat entschieden, dass das Mitbestimmungsrecht des Betriebsrats nicht nur bei technischen Einrichtungen gilt, die explizit zur Kontrolle eingesetzt werden, sondern auch bei Einrichtungen, die nur dafür geeignet sind. - Unter das Mitbestimmungsrecht fallen die Einführung, Änderung und Anwendung von Mobilen Devices und BYOD. - Unerheblich ist hierbei, dass es sich bei einem Smartphone um ein mobiles, vom Arbeitnehmer auch außerhalb des Betriebsgeländes benutztes Gerät handelt. Seite 18 Kleymann, Karpenstein & Partner mbb
Arbeitsrecht - Grundsätzlich ist der Arbeitnehmer ohne besondere Absprache verpflichtet, bei Beendigung des Arbeitsverhältnisses dem Arbeitgeber die in dessen Eigentum stehenden Gegenstände, zu denen auch Aufzeichnungen, Geschäftsunterlagen, Daten etc. zählen, herauszugeben. - Das hilft bei BYOD nicht ohne weiteres. Das Device steht im Eigentum des Arbeitnehmers, und die darauf gespeicherten Daten sind häufig nur schwer eindeutig dem privaten und dem geschäftlichen Bereich zuzuordnen. - Deshalb muss geregelt werden, welche Daten vom Arbeitnehmer an den Arbeitgeber herauszugeben und von denen Kopien rückstandslos zu löschen sind. Seite 19 Kleymann, Karpenstein & Partner mbb
Dokumentationspflichten - Nach 257 HGB und 147 AO sind Unternehmen verpflichtet, bestimmte Arten von Geschäftsunterlagen für einen Zeitraum von sechs beziehungsweise zehn Jahren aufzubewahren. - Sofern dies den Grundsätzen der ordnungsgemäßen Buchführung entspricht, können diese Dokumente auch auf Datenträgern aufbewahrt werden. - Da mittels BYO-Devices diese Unterlagen in elektronischer Form empfangen/versandt werden können und ihre Versendung auf diesem Wege mittlerweile auch üblich ist, muss das Unternehmen gewährleisten, dass sie während der genannten Aufbewahrungszeiträume ordnungsgemäß gespeichert bleiben. Seite 20 Kleymann, Karpenstein & Partner mbb
Telekommunikationsrecht - Bei BYOD stellt der Arbeitgeber seine Infrastruktur für die Anbindung privater Devices zur Telekommunikation zur Verfügung. - Damit ist er (wohl) Telekommunikationsdienstleister. - Für ihn gilt das Fernmeldegeheimnis, wonach der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war sowie die näheren Umstände erfolgloser Verbindungsversuche geschützt sind. - Er hat die Pflichten des TKG einzuhalten, also Schutz vor Abhörmaßnahmen u.ä. zu treffen ( 109 TKG). Seite 21 Kleymann, Karpenstein & Partner mbb
Strafrecht - Verletzung des Post- oder Fernmeldegeheimnisses nach 206 StGB (1) Wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt, wird mit Freiheitsstrafe bis zu fünf Jahren oder mit Geldstrafe bestraft. - Betrifft nicht nur Inhaber oder Geschäftsführer, sondern auch ausführende IT-Mitarbeiter oder Admins. Seite 22 Kleymann, Karpenstein & Partner mbb
Strafrecht - Ausspähen von Daten nach 202a StGB (1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. - Erfordert, dass private und unternehmensbezogene Daten konsequent getrennt werden. Dateizugriffe via Mobile Device Management müssen die mitarbeitereigenen Daten ausklammern. Seite 23 Kleymann, Karpenstein & Partner mbb
Strafrecht - Datenveränderung nach 303a StGB (1) Wer rechtswidrig Daten ( 202a Abs. 2) löscht, unterdrückt, unbrauchbar macht oder verändert, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft. - Problematisch wird es, wenn wegen Verlusts oder Diebstahls des Gerätes ein Remote-Wipe initialisiert werden soll. Dabei werden regelmäßig alle Daten auf dem Gerät gelöscht oder unbrauchbar gemacht, was eine Datenveränderung nach 303a StGB darstellt. - Deshalb: Einsatz eines MDM-Tools, mit dem selektiv gelöscht werden kann. Seite 24 Kleymann, Karpenstein & Partner mbb
4. und wie man sie umgeht. Wollen Sie meine ehrliche Meinung hören? Verzichten Sie auf BYOD. Stellen Sie die Hardware oder setzen Sie auf MPP oder CYOD. Seite 25 Kleymann, Karpenstein & Partner mbb
4. und wie man sie umgeht. In jedem Fall gilt: Ohne Regeln geht nichts. Seite 26 Kleymann, Karpenstein & Partner mbb
4. und wie man sie umgeht. Checkliste Mobile Office-Vereinbarung Die Trennung von beruflichen und privaten Daten ist sicherzustellen, bspw. durch Mobile Device Management (MDM) und Mobile Application Management (MAM). Zu regeln ist, welche Software, inkl. Antivirensoftware, und Apps zu verwenden sind. Die sichere Verwahrung und Verwendung des Geräts sind zu regeln Jedes Gerät ist durch Passwort zu schützen, Daten und Datenübertragung sind zu verschlüsseln. Der Mitarbeiter ist zu verpflichten, dass Gerät sicher zu verwahren, also z.b. nicht sichtbar im Auto. Mitnahme ins Ausland bedarf der Zustimmung des Arbeitgebers. Seite 27 Kleymann, Karpenstein & Partner mbb
4. und wie man sie umgeht. Checkliste Mobile Office-Vereinbarung Der Mitarbeiter hat den Fernzugriff und Kontrollrechte einzuräumen, insbesondere zum Löschen der Daten im Fall des Verlusts oder Diebstahls oder bei seinem Ausscheiden. Hier ist auf etwaige private Daten des Mitarbeiters zu achten. Regelmäßige Updates und Synchronisationen des Device sind sicherzustellen. Auch hier ist auf die privaten Daten zu achten. Zu regeln sind der Ausschluss bzw. die Beschränkung der Haftung im Fall von Beschädigung, Verlust oder Diebstahl des Geräts Dazu gehört das Thema Versicherungen bei BYOD. sowie die Frage einer Ersatzbeschaffung. Die Kostentragung bzw. eine etwaige Vergütung sind festzulegen. Seite 28 Kleymann, Karpenstein & Partner mbb
Jens-Oliver Müller Rechtsanwalt und Notar Fachanwalt für Handels- und Gesellschaftsrecht Fachanwalt für Informationstechnologierecht Kleymann Karpenstein & Partner mbb Frankfurter Straße 47 35625 Hüttenberg Philosophenweg 1 35578 Wetzlar www.kleymann.com www.kkp-notar.de Telefon +49 6441 9446-71 Telefax +49 6441 9446-75 E-Mail jo.mueller@kleymann.com @jomueller Seite 29 Kleymann, Karpenstein & Partner mbb