Immer mehr Arbeitgeber greifen auf private Endgeräte zur Erfüllung ihrer betrieblichen Aufgaben zurück, auch weil viele Mitarbeiter auf den Einsatz ihrer privaten Geräte zur dienstlichen Aufgabenerledigung und Kommunikation nicht mehr verzichten wollen. Viele Arbeitnehmer sind auch nicht mehr bereit, auf die eigenen, technischen Geräte zu verzichten, veraltete Hard- und Software des Arbeitgebers zu verwenden oder mehrere Geräte bei sich zu führen, wenn alle Aufgaben auch durch das private Gerät abgedeckt werden können. Dieser Einsatz privater Endgeräte wird unter dem Stichwort „Bring Your Own Device“ (BYOD) geführt. Dabei werden häufig die Fragen der Compliance vernachlässigt. In diesem Beitrag stellen die Autoren dar, welche rechtlichen Rahmenbedingungen beim Einsatz von BYOD zu beachten sind.
I. ByoD: Einleitung
Der Einsatz privater Endgeräte im Unternehmen wirft eine Vielzahl rechtlicher Fragen auf. Hier geht es zunächst um die rechtskonforme Nutzung von personenbezogenen Daten. Der Arbeitgeber muss zwar aufgrund handels- und steuerrechtlicher Vorgaben jederzeit Zugriff auf seine geschäftlichen Daten haben, darf hierbei jedoch nicht private Daten des Arbeitnehmers unbefugt einsehen. Eine entscheidende Rolle spielt daher die Vereinbarung mit dem Mitarbeiter sowie die Einbindung des Betriebsrates. Lizenzrechtlich muss der Arbeitgeber darauf achten, dass die eingesetzte Software auch eine betriebliche Nutzung erlaubt. Strafrechtlich sind bei Nutzung von BYOD ebenfalls diverse Vorgaben zu beachten.
II. Datenschutzrechtliche Pflichten bei Bring Your Own Device (BYOD)
Der Einsatz privater Geräte im betrieblichen Umfeld erfordert die Berücksichtigung datenschutzrechtlicher Bestimmungen. Hier ergeben sich Pflichten für den Arbeitgeber hinsichtlich der Nutzung personenbezogener Daten insbesondere aus dem Bundesdatenschutzgesetz (BDSG).
1. Anwendbarkeit des Bundesdatenschutzgesetzes (BDSG)
Durch die Verwendung privater Geräte des Arbeitnehmers zu geschäftlichen Zwecken kann es zu einer wechselseitigen Zugriffsmöglichkeit auf personenbezogene Daten kommen, die dem Schutzbereich des § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) unterfallen. Personenbezogene Daten in diesem Sinne sind „Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren Person“, die zur Identifizierung des Betroffenen dienen oder dazu geeignet sind. Ist dies der Fall, müssen auch beim Einsatz von BYOD datenschutzrechtliche Voraussetzungen berücksichtigt werden. Eine Anwendung des BDSG ist nach § 1 Abs. 2 Nr. 3 Halbsatz 2 BDSG nur dann ausgeschlossen, wenn der Umgang mit den personenbezogenen Daten ausschließlich zu persönlichen und privaten Zwecken erfolgt. Diese Privilegierungsvorschrift erfordert eine klare Trennung zwischen allen verwendeten Daten, was nahezu ausgeschlossen ist. Es bleibt also im Rahmen von BYOD regelmäßig bei einer Anwendbarkeit des BDSG. Verantwortliche Stelle nach § 3 Abs. 7 BDSG bleibt für alle auf dem privaten Gerät verarbeiteten, dienstlichen Daten der Arbeitgeber. Denn „verantwortliche Stelle“ ist diejenige, welche die personenbezogenen Daten für sich selbst erhebt, verarbeitet bzw. nutzt oder dies durch andere im Auftrag vornehmen lässt. Verantwortliche Stelle ist nicht nur die Organisationseinheit, die die Daten tatsächlich speichert, sondern jeder Träger von eigenen Rechten und Pflichten, zu der die Organisationseinheit gehört. Ausschlaggebend ist dabei insbesondere, wer die Verfügungs- oder Entscheidungsgewalt über die Daten hat. Aufgrund der Weisungsbefugnis im Arbeitsverhältnis bleibt es daher bei einer Verantwortlichkeit des Arbeitgebers für die ordnungsgemäße Datenverarbeitung und damit bei einer Anwendbarkeit des BDSG auf den Einsatz privater Endgeräte im Rahmen von BYOD.
a) Datenschutzpflichten
Der Arbeitgeber als verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG muss die Einhaltung der ausdrücklichen Pflichten von Datensicherheitsmaßnahmen nach § 9 BDSG sicherstellen. Erforderlich ist die Berücksichtigung aller technischen und organisatorischen Maßnahmen, die zur Einhaltung der datenschutzrechtlichen Bestimmungen notwendig sind. Die eingesetzten Maßnahmen haben dabei in einem angemessenen Verhältnis zum angestrebten Schutzzweck zu stehen. Die Frage, welche Anforderungen beim Einsatz von BYOD zu erfüllen sind, stellt die Arbeitgeber dabei häufig vor erhebliche, rechtliche und tatsächliche Schwierigkeiten. Es muss einerseits genau geprüft werden, ob im konkreten Fall eine ausreichende Datensicherheit gewährleistet ist. Die notwendigen Sicherheitsmaßnahmen ergeben sich hierzu aus der Anlage zu § 9 Satz 1 BDSG. Dort ist die gesetzliche Pflicht zum Einsatz einer Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags- und Verfügbarkeitskontrolle sowie ein Trennungsgebot vorgesehen. Wirksame Zutrittskontrollen sind bei BYOD- Geräten regelmäßig nicht möglich. Daher bedarf es umso mehr einer wirksamen Kontrolle von Zugang, Zugriff, Eingabe und Weitergabe von Gerät und Daten, was durch ein entsprechendes Identitätsmanagement sichergestellt werden kann. In jedem Fall ist eine regelmäßige Schulung der Arbeitnehmer notwendig, um auf notwendigerweise einzuhaltende Schutzmaßnahmen hinzuweisen. Dabei muss die Einrichtung und Aufrechterhaltung eines effektiven Passwortschutzes, die Installation von Virenschutzsoftware sowie der Einsatz von Verschlüsselungssoftware verpflichtend auferlegt werden. Eine Weitergabe der Geräte an Dritte, auch an Familiengehörige, muss ausdrücklich untersagt werden. Wegen der Verpflichtung des Arbeitgebers nach § 42a BDSG, die Datenschutzbehörde über unrechtmäßige Kenntnisnahme von personenbezogenen Daten durch Dritte zu informieren, muss der Arbeitnehmer zu einer unverzüglichen Verlustanzeige verpflichtet werden, falls ihm das im Rahmen von BYOD eingesetzte Gerät abhanden kommt. Nur so kann der Arbeitgeber selbst einer ihm möglicherweise obliegenden, bußgeldbewehrten Pflicht zur Informierung der Aufsichtsbehörde nach § 42a BDSG nachkommen. Vor einem BYOD-Einsatz muss der Arbeitgeber daher umfassend prüfen, ob er alle nach der Anlage zu § 9 BDSG notwendigen Sicherungsmaßnahmen erfüllt und er damit seinen Verpflichtungen als verantwortliche Stelle im Sinne des Datenschutzrechts genügt.
b) Arbeitnehmerdatenschutz
Beim BYOD-Einsatz privater Geräte des Arbeitnehmers kann es zum Zugriff des Arbeitgebers auf private, personenbezogene Daten des Arbeitnehmers kommen. Dieser Umgang mit privaten Daten des Arbeitnehmers wird durch § 32 BDSG begrenzt, der eine Datenerhebungsbefugnis des Arbeitgebers auf die notwendigsten Zwecke zur Entscheidung über die Begründung des Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses auf die notwendigen Maßnahmen zur Durchführung oder Beendigung vorsieht. Eine Verarbeitung privater Daten beim BYOD-Einsatz ist daher grundsätzlich nicht zulässig. Nur mit einer schriftlichen Einwilligung des Arbeitnehmers nach § 4a BDSG oder wenn Ausnahmebestände des BDSG eingreifen, kann eine Datenverarbeitung auf dem privaten Gerät des Arbeitnehmers gestattet sein. Ohne Einwilligung kann es daher zu Auseinandersetzungen und Einschränkungen beim Zugriff auf die eigentlich im Verantwortungsbereich des Arbeitgebers stehenden Daten kommen. Dieses Problem kann durch eine geeignete Datentrennung gelöst werden, bei der sichergestellt ist, dass alle dienstlichen Daten in speziellen Containern abgelegt werden und damit eine Durchmischung mit den privaten Daten des Arbeitnehmers ausgeschlossen ist. Hierdurch kann sichergestellt werden, dass der Arbeitgeber etwaigen Löschungspflichten in Bezug auf geschäftliche Daten nachkommen kann. Andernfalls steht die Regelung des § 35 Abs. 3 Nr. 2 BDSG entgegen, wonach eine Datenlöschung nicht zulässig ist, wenn dadurch schutzwürdige Belange des Betroffenen beeinträchtigt werden. Die geeignete Datentrennung ist damit eine der zentralen Anforderungen zur IT-Compliance bei Umsetzung einer BYOD-Strategie.
c) Datenlöschung auf dem BYOD-Gerät
Nach einer Beendigung des Arbeitsverhältnisses besteht aufgrund datenschutzrechtlicher Verantwortlichkeiten möglicherweise eine Löschungspflicht des Arbeitgebers für auf dem BYOD-Gerät des Arbeitnehmers gespeicherte Daten. Denn mit der Beendigung des Arbeitsverhältnisses fällt der Zweck der Datenverarbeitung auf dem betroffenen Gerät weg. Nach § 35 Abs. 2 BDSG erfordert eine (fortwährende) Speicherung die Notwendigkeit der zugrunde liegenden Datenverarbeitung. Dem Arbeitgeber muss es daher möglich sein, seiner Löschungspflicht nachkommen zu können. Ohne eine effektive Datentrennung oder die Zustimmung des Arbeitnehmers besteht trotz des Herausgabeanspruchs nach § 667 BGB (analog) – und des eigenen Löschungsanspruchs in Bezug auf die geschäftlichen Daten – keine Löschungsmöglichkeit in Bezug auf betriebliche Daten, da der Arbeitnehmer als Besitzer und Eigentümer des im Rahmen von BYOD eingesetzten Gerätes unter strafrechtlichen Gesichtspunkten als Rechteinhaber angesehen werden muss und damit gegebenenfalls die strafrechtliche Bestimmung des § 303a StGB einer Löschung entgegensteht. Neben einer geeigneten Datentrennung muss also eine Vereinbarung zur BYOD-Nutzung getroffen werden, die eine Einwilligung zur Löschung geschäftlicher Daten nach Beendigung des Arbeitsverhältnisses enthält. Nur so kann der Arbeitgeber einer etwaigen Löschungspflicht geschäftlicher Daten auf dem BYOD-Gerät nachkommen.
III. Lizenzfragen
Beim Einsatz von BYOD-Geräten im betrieblichen Umfeld kann es zur lizenzrechtlich relevanten Doppelnutzung von Software kommen. Ergeben sich daraus Urheberrechtsverletzungen, so führt dies nicht selten zu einer Haftung des Arbeitgebers nach § 99 UrhG und im Falle eines Organverschulden zu einer persönlichen Haftung des Geschäftsführers nach § 43 GmbHG.
1. Haftung des Arbeitgebers für Lizenzverletzungen
Problematisch wird es immer dann, wenn Lizenzbestimmungen Einschränkungen in Bezug auf den lizenzierten Nutzungsumfang vorsehen, wodurch es zu einer Verletzung von Urheberrechten kommen kann. Durch den Arbeitnehmer selbst angeschaffte Software ist regelmäßig nur für den privaten Einsatz lizenziert. Handelt es sich um Consumer-Geräte mit vorinstallierter Software, so muss davon ausgegangen werden, dass diese überwiegend nur für den privaten Gebrauch lizenziert wurden. . Umgekehrt wird durch den Arbeitgeber ordnungsgemäß angeschaffte und bereitgestellte Software lizenzrechtlich nicht den Einsatz auf Privatgeräten des Arbeitnehmers im Rahmen von BYOD abdecken. Nicht oder fehlerhaft lizenzierte Verwendung von Software im Rahmen des BYOD-Einsatzes kann dann eine Urheberrechtsverletzung darstellen, aus welchen sich zivilrechtliche Auskunfts-, Unterlassungs- und gegebenenfalls auch Schadensersatzansprüche nach § 97 UrhG ergeben. Gerade im privaten Bereich kommt es häufig zum Einsatz von Software aus zweifelhaften Quellen, die nicht ordnungsgemäß lizenziert wurde. Diese Rechtsverletzungen der Arbeitnehmer führen bei Einsatz der Geräte im Unternehmen zu Haftungsrisiken des Arbeitgebers nach § 99 UrhG, da dieser auch dann für Rechtsverletzungen seiner Arbeitnehmer haftet, wenn er selbst keine Kenntnis von der rechtswidrigen Aktivität hatte. Dabei handelt es sich um eine eigenständige Haftung des Unternehmensinhabers, da Zuwiderhandlungen in einem Unternehmen, die durch einen Angestellten begangen wurden, auch gegen den Inhaber des Unternehmens begründet werden können. Es besteht zudem eine verschuldensunabhängige Haftung, die auch dann eingreift, wenn die Rechtsgutsverletzung ohne Wissen oder sogar gegen den Willen des Unternehmers begangen wurde. Hierfür reicht es bereits aus, dass der Arbeitnehmer die Rechtsgutsverletzung innerhalb seines Tätigkeitsfeldes im Unternehmen des Arbeitgebers begangen hat. Der Einsatz nicht (ordnungsgemäß) lizenzierter Softwareprogramme durch den Arbeitnehmer im Rahmen von BYOD kann damit eine eigene Haftung des Arbeitgebers nach § 99 UrhG begründen. Zur Vermeidung derartiger Haftungsrisiken bedarf es neben einer Nutzungsvereinbarung einer umfassenden Lizenzverwaltung.
2. Organhaftung für Lizenzverstöße
Vernachlässigen die zuständigen Organe des Arbeitgebers ihre Anforderungen zur IT-Compliance, können diese unter Umständen sogar persönlich für ein Fehlverhalten der Arbeitnehmer nach § 43 GmbHG haften. Dies kann nur verhindert werden, wenn der Nachweis erbracht wird, dass für eine ausreichende Absicherung der notwendigen Nutzungsrechte gesorgt wurde. Regelmäßig wird davon ausgegangen, dass der Geschäftsführer einer GmbH kraft seiner Organstellung und der daraus resultierenden Verantwortung zur Einhaltung einer ordnungsgemäßen Geschäftsführung für Schutzrechtsverletzungen neben der Gesellschaft persönlich mithaftet. Diese Organisationsverantwortung gilt auch bei der Überwachung und Einhaltung von urheberrechtlichen Nutzungsrechten. Erforderlich ist daher eine regelmäßige Kontrolle oder technische Beschränkung der eingesetzten Hard- und Software, um unterlizenzierte Programminstallationen zu verhindern. Bei einem Verstoß gegen diese Rechtspflicht wird sich das verantwortliche Organ beim Einsatz von BYOD Rechtsverletzungen zurechnen lassen müssen, wenn keine ernsthaften und geeigneten Schutzmaßnahmen getroffen wurden, um eine Verwendung von nicht (ordnungsgemäß) lizenzierter privater Hard- und Software im Unternehmen zu verhindern.
IV. Arbeitsrechtliche Bestimmungen
Auch das Arbeitsrecht spielt bei der BYOD-Nutzung eine wichtige Rolle. Durch den Zugang seiner Mitarbeiter zur unternehmenseigenen IT-Infrastruktur schafft der Arbeitgeber eine Gefahrenquelle, die rechtlich abzusichern ist. Zudem ermöglicht es BYOD, das Verhalten sowie ggf. die Leistung der Mitarbeiter zu überwachen, weshalb eine Einbindung des Betriebsrats erforderlich ist. Vor der Umsetzung von BYOD-Strategien sind daher auch arbeitsrechtliche Fragen zu klären und Mitarbeitervereinbarungen zu treffen.
1. Einbeziehung des Betriebsrats
Das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat das Recht, über die Einführung und Anwendung von technischen Einrichtungen, die objektiv zur Verhaltens- oder Leistungskontrolle geeignet sind, mitzubestimmen. Durch die Integration von BYOD-Geräten in die IT-Systeme des Arbeitgebers ergeben sich natürlich Rückschlüsse auf die Tätigkeit der Mitarbeiter. Dies gilt insbesondere, wenn das Gerät mit dem System des Arbeitgebers synchronisiert wird. Insoweit ist der Betriebsrat bei der Einführung von BYOD im Regelfall einzubinden. Neben der mitbestimmungspflichtigen Entscheidung über die Einführung mobiler Endgeräte von Arbeitnehmern ins Unternehmen nach § 87 BetrVG ist der Betriebsrat wegen § 90 Abs. 1 Nr. 2 BetrVG bereits bei der ersten Entscheidung über die Zulassung und Führung von BYOD zu unterrichten. Soweit ein Betriebsrat besteht, muss dieser daher von Beginn an in die BYOD-Strategie mit einbezogen werden.
2. Einbeziehung von BYOD in das Arbeitsverhältnis
Durch die Verpflichtungen, die sich beispielsweise unter datenschutzrechtlichen, urheberrechtlichen oder strafrechtlichen Gesichtspunkten beim Einsatz von BYOD ergeben, bedarf es einer rechtssicheren Einbeziehung der BYOD-Nutzung in das Arbeitsverhältnis. Dies erfordert entweder den Abschluss einer individuellen Nutzungsvereinbarung mit dem Arbeitnehmer oder aber – bei Bestehen eines Betriebsrats – einer Betriebsvereinbarung.
a.) Individualvereinbarung
Aus Gründen der Beweissicherung sollte eine Nutzungsvereinbarung schriftlich geschlossen werden. Zur Vermeidung einer Verletzung AGB-rechtlicher Vorgaben empfiehlt sich dabei eine Individualvereinbarung mit jedem Mitarbeiter. Inhaltlich müssen insbesondere die Themen Laufzeit, Herausgabepflicht, Arbeitszeitüberschreitung, Datenlöschung, Geräteüberlassung, Kostentragung, Datenarchivierung, Wartung, Haftung für Beschädigung/Verlust und Kontroll-/Datenzugriff des Arbeitgebers geregelt werden. Die Nutzungsvereinbarung ist dann dem Arbeitsvertrag des betreffenden Mitarbeiters als Anlage beizufügen.
b.) Betriebsvereinbarung über BYOD
Besteht ein Betriebsrat, kann die BYOD-Nutzung auch durch Betriebsvereinbarung geregelt werden. Dies hat den Vorteil, dass nach § 310 Abs. 4 BGB das AGB-Recht keine Anwendung findet. Eine AGB-rechtliche Unwirksamkeit ist dann nicht zu befürchten. Gleichzeitig gilt die Betriebsvereinbarung nach § 4 Abs. 1 BGDSG als Rechtsvorschrift, so dass eine individuelle Einwilligung der Mitarbeiter nicht mehr erforderlich ist. Inhaltlich sind dieselben Punkte zu berücksichtigen, wie auch bei der Individualvereinbarung.
3. Arbeitszeitgesetz
Mittlerweile kommt eine Beeinträchtigung der Freizeit des Arbeitnehmers durch geschäftliche Aufgaben immer mehr ins Bewusstsein. Gerade beim BYOD muss daher sichergestellt werden, dass die Bestimmungen des Arbeitszeitgesetzes (ArbeiszeitG) berücksichtigt werden. Denn nach § 3 ArbZG darf die werktägliche Arbeitszeit der Arbeitnehmer grundsätzlich acht Stunden nicht überschreiten. Dazwischen muss nach § 5 ArbZG eine elfstündige Ruhezeit eingehalten werden. Ordnet der Arbeitgeber aber die Nutzung mobiler Endgeräte im Rahmen von BYOD an und profitiert oder verwertet er dabei Leistungen, die im privaten Umfeld erbracht werden, so ist dies als Arbeitszeit zu bewerten. Daher muss zur Einhaltung des ArbeitszeitG in der Nutzungsvereinbarung eine Regelung über den arbeitszeitlichen Umgang beim Einsatz der BYOD-Geräte außerhalb der vereinbarten Arbeitszeit getroffen werden.
4. Kostentragung
Bei BYOD ist es der Arbeitnehmer, der sein eigenes Gerät zur dienstlichen Nutzung einbringt. Wegen der Verpflichtung des Arbeitgebers, die notwendigen Betriebsmittel zu stellen, muss auch die Kostentragung berücksichtigt werden. Die Anschaffungskosten trägt bei BYOD der Arbeitnehmer, wobei eine freiwillige Beteiligung des Arbeitgebers möglich ist. Eigentümer bleibt aber in jedem Fall der Arbeitnehmer. Führt der Arbeitnehmer allerdings dienstliche Telefonate oder verwendet zu beruflichen Zwecken das Datenvolum, so steht ihm hierfür ein Aufwendungsersatzanspruch zu. Daher ist eine Vereinbarung über die Erstattung der Telekommunikationskosten erforderlich. Lizenzgebühren für Software, die (ausschließlich) zur betrieblichen Nutzung vorgehsehen ist, hat der Arbeitgeber zu tragen.
5. Haftungsfragen
Kommt es zur Beschädigung oder zum Verlust des privaten Gerätes, können sich haftungsrechtliche Fragen für dadurch entstehende Kosten ergeben. Grundsätzlich liegt das Risiko des Verlustes – gerade im privaten Bereich – beim Arbeitnehmer, denn dieser ist im Rahmen von BYOD alleiniger Eigentümer. Anders ist der Fall zu beurteilen, wenn der Verlust oder die Beschädigung des privaten Gerätes im Rahmen der betrieblichen Veranlassung eingetreten ist. „Arbeitsbedingte Eigenschäden des Arbeitnehmers“ sind grundsätzlich vom Arbeitgeber zu ersetzen. Kommt es auf dem mobilen Endgerät zu einem Datenverlust – etwa durch versehentliches Löschen durch den Arbeitnehmer – greifen die Grundsätze der gestuften Arbeitnehmerhaftung, so dass der Arbeitnehmer nur bei grober Fahrlässigkeit und Vorsatz in die Haftung genommen werden kann.
6. Löschungsbefugnis des Arbeitgebers
Verliert der Arbeitnehmer sein BYOD-Gerät, so besteht oft ein dringendes Interesse des Arbeitgebers, die betrieblichen Daten – bestenfalls per Fernbefehl – löschen zu lassen. Sind hierdurch auch private Daten des Arbeitnehmers betroffen, muss § 303a StGB berücksichtigt werden, da der Arbeitgeber hinsichtlich der privaten Daten auf dem mobilen Endgerät nicht verfügungsberechtigt ist. Sowohl aus datenschutz- als auch aus strafrechtlichen Gesichtspunkten ist daher in der Nutzungsvereinbarung eine ausdrückliche Zustimmung des Mitarbeiters zur Datenlöschung notwendig.
7. Herausgaberechte des Arbeitgebers
Aus verschiedenen Gründen kann der Arbeitgeber ein Interesse oder eine eigene rechtliche Verpflichtung an der Herausgabe des BYOD-Gerätes haben. Gründe können hausinterne Revisionen oder der Verdacht einer Straftat sein. Da keine gesetzlichen Herausgabeansprüche bestehen, greift zu Gunsten des Arbeitnehmers das Eigentumsrecht an dem BYOD-Gerät. Daher bedarf es einer konkreten Regelung in der Nutzungsvereinbarung, unter welchen Voraussetzungen eine Herausgabe des Endgerätes an den Arbeitgeber in Betracht kommt, die allerdings nicht zu einer unangemessenen Benachteiligung führen darf. Scheidet der Arbeitnehmer aus dem Unternehmen aus, besteht zumindest in Bezug auf die dienstlichen Daten ein Herausgabeanspruch aus § 667 BGB. Zur Absicherung der Herausgabepflicht sollte diese auch ausdrücklich durch Nutzungsvereinbarung geregelt werden.
V. Steuer- und Handelsrecht
Steuer- und handelsrechtliche Bestimmungen müssen beim BYOD-Einsatz ebenfalls berücksichtigt werden. Insbesondere gesetzliche Aufbewahrungs- und Dokumentationspflichten gilt es durch den Arbeitgeber einzuhalten. Da es bisher an ausdrücklichen Regelungen zur Beurteilung des Einsatzes privater Geräte zu beruflichen Zwecken im Rahmen fehlt, muss auf die allgemeinen steuer- und handelsrechtlichen Grundsätze zurückgegriffen werden.
1. Berücksichtigung als Betriebsausgaben
Eine steuerliche Berücksichtigung der Anschaffungskosten für das BYOD-Gerät kann durch den Arbeitgeber nicht erfolgen, da diese durch den Arbeitnehmer getragen wurden. Vielmehr wird der Arbeitnehmer den beruflich bedingten Kostenanteil mangels bestehender Sondervorschriften für die Anschaffung von Hard- und Software als Werbungskosten nach § 9 Abs. 1 Satz 1 und Satz 2 EStG berücksichtigen können. Kommt es im Rahmen von BYOD zu eigenen Anschaffungen oder Ausgaben des Arbeitgebers, beispielsweise für zwingend notwendige Software bzw. Zubehör oder hat der Arbeitgeber dem Arbeitnehmer Zuschüsse zur Anschaffung des BYOD-Gerätes zur Verfügung gestellt, so kann dies steuerrechtlich berücksichtigt werden. Auch wenn Ausgaben unmittelbar für das im Eigentum des Arbeitnehmers stehende Gerät erfolgen, handelt es sich um Betriebsausgaben nach § 4 Abs. 4 EStG. Eine steuerliche Berücksichtigung durch Abzug von den zu versteuernden Einnahmen ist in diesem Fällen daher möglich. Gleichzeitig müssen etwaige Vorteile durch den Arbeitnehmer als steuerpflichtiges Einkommen berücksichtigt werden. Insbesondere Zuschüsse, bei denen es sich nicht ausschließlich um die Erstattung von nachweislich entstandene, laufende Auslagen handelt, sind nicht nach § 3 Nr. 50 EStG steuerbefreit. Der Arbeitgeber muss darauf achten, diese Zuschüsse auch als steuerpflichtiges Einkommen des Arbeitnehmers bei der Berechnung von Lohn- und Sozialabgaben zu berücksichtigen.
2. Dokumentationspflichten
Probleme können sich beim Einsatz von BYOD auch aus Dokumentations- und Aufbewahrungspflichten nach § 257 HGB und § 147 AO ergeben. Danach ist jeder Unternehmer verpflichtet, Geschäfts- und Handelsbriefe zu archivieren und für die Dauer von mindestens sechs Jahren aufzubewahren. Eine Sicherstellung dieser Dokumentations- und Aufbewahrungspflichten wird nur dann möglich sein, wenn die Speicherung und Bearbeitung geschäftsrelevanter Unterlagen nicht nur auf dem privaten BYOD-Gerät erfolgt, womit es erst einmal dem Zugriff des Arbeitgebers entzogen ist. Vielmehr muss durch technisch geeignete Maßnahmen und Nutzungsvereinbarung mit dem Arbeitnehmer die Einhaltung der Dokumentations- und Aufbewahrungspflichten sichergestellt werden. Hierzu sollte eine regelmäßige Synchronisierung aller betrieblichen Unterlagen mit dem Unternehmensserver sowie die Einrichtung von Schutzmaßnahmen gegen die Löschung dokumentationspflichtiger Unterlagen erfolgen.
VI. Strafrecht beim BYOD-Einsatz
Oft bleiben bei BYOD-Strategien die strafrechtlichen Aspekte unberücksichtigt, obwohl es im Zusammenhang mit den auf dem Gerät gespeicherten Daten verschiedene Angriffspunkte gibt. Dabei gilt es, einerseits die Privatgeheimnisse des Arbeitnehmers, andererseits die Geschäfts- und Betriebsgeheimnisse des Arbeitgebers zu schützen. Auch Daten Dritter können eine strafrechtliche Verantwortung begründen, wenn diese einem besonderen Berufsgeheimnis unterliegen.
Das „Ausspähen von Daten“ wird nach § 202a StGB strafrechtlich sanktioniert. Erfasst ist das Geheimhaltungsinteresse des Berechtigten über seine in Form von Daten gespeicherten und besonders gesicherten Informationen. Greift der Arbeitgeber unbefugt auf geschützte, private Daten des Arbeitnehmers im Rahmen von BYOD zu, wird der Straftatbestand des § 202a StGB erfüllt.
Durch § 202b StGB wird die Vertraulichkeit der Kommunikation geschützt, indem das Abfangen von Daten strafrechtlich sanktioniert wird. Schutzgut ist dabei nicht der Geheimhaltungswille des Dateninhabers, sondern allein die Nichtöffentlichkeit der Kommunikation. Der Straftatbeststand wird erfüllt, soweit private Daten abgefangen werden.
Schon die Vorbereitung zum Ausspähen und Abfangen von Daten wird durch § 202c StGB unter Strafe gestellt. Sobald der Arbeitgeber oder ein Kollege beispielsweise Schadsoftware auf dem BYOD-Gerät des Arbeitnehmers installiert, um auf private Daten zugreifen oder diese abfangen zu können, wird der Straftatbestand von § 202c StGB verwirklicht.
Angehörige bestimmter Berufsgruppen, (z.B. Ärzte, Rechtsanwälte, Berufspsychologen) unterliegen nach § 203 StGB besonderen Pflichten zur Wahrung von Privatgeheimnissen. Offenbaren diese Berufsgeheimnisträger ein ihnen im Rahmen ihrer Berufsausübung anvertrautes Geheimnis, machen sie sich strafbar. Regelmäßig reicht bereits eine innerorganisatorische Mitteilung der Geheimnisse an Dritte zur Verwirklichung des Straftatbestands. Im Rahmen von BYOD muss sichergestellt werden, dass ein Zugriff auf Privatgeheimnisse durch unbefugte Dritte ausgeschlossen ist.
Eine rechtswidrige Datenveränderung wird nach § 303a StGB strafrechtlich sanktioniert. Geschütztes Rechtsgut ist die Integrität der Daten. Es soll sichergestellt werden, dass dem Verfügungsberechtigten ein Zugriff auf die oder eine Verarbeitung der Daten möglich ist. Kommt es zum Verlust des BYOD-Gerätes und führt der Arbeitgeber – ohne Einwilligung des Arbeitnehmers – daraufhin eine Fern-Löschung durch, bei der alle auf dem Gerät befindlichen Daten gelöscht oder unbrauchbar gemacht werden, so erfüllt dies den Straftatbestand nach § 303a StGB. Nur wenn eine Einwilligung des Arbeitnehmers zur Fernlöschung vorliegt oder es nicht zur Löschung privater Daten kommt, ist eine Strafbarkeit nach § 303a StGB ausgeschlossen.
Es besteht auch ein strafrechtlicher Schutz von unternehmensbezogenen Daten und Geschäftsgeheimnissen durch §§ 17 und 18 UWG. Mit BYOD-Strategien setzt sich der Arbeitgeber einer erheblichen Gefahr aus, dass der Arbeitnehmer betriebsbezogene Daten zu eigenen Zwecken nutzt und weitergibt. Ein Geschäfts- oder Betriebsgeheimnis ist jede nicht offenkundige, sondern nur einem begrenzten Personenkreis bekannte Tatsache, an deren Geheimhaltung der Unternehmensinhaber ein berechtigtes, wirtschaftliches Interesse hat und die nach seinem bekundeten oder doch erkennbaren Willen auch geheim bleiben soll. Schon die unzureichende Zugriffssicherung des privaten Geräts kann, neben der aktiven Weitergabe von Geschäftsgeheimnissen an unberechtigte Dritte, zu einer Strafbarkeit des Arbeitnehmers nach § 17 UWG führen. Hierauf sollte der Arbeitgeber im Rahmen der Nutzungsvereinbarung hinweisen, um eine unbewusste Verwirklichung dieser Straftatbestände zu vermeiden.