10.08.2016

Bring Your Own Device: Rechtliche Herausforderungen bei der geschäftlichen Nutzung des privaten Smartphones

Die geschäftliche Nutzung privater Geräte wie Smartphones oder Tablets (Bring Your Own Device; BYOD) löst rechtliche Unsicherheit und Haftungsrisiken aus. Eine explizite Regelung ist daher empfehlenswert.

Von: Roland Mathys  DruckenTeilen Kommentieren 

Roland Mathys, lic.iur., lic.oec.publ., LL.M. (LSE)

Roland Mathys ist Partner und Rechtsanwalt bei Schellenberg Wittmer AG, einer der führenden Wirtschaftsanwaltskanzleien der Schweiz. Er hat Wirtschaftsinformatik und Recht studiert und praktiziert seit dem Jahre 2000 als Rechtsanwalt im Recht der Informationstechnologie (IT), wo er auch ein Nachdiplomstudium in London absolviert hat. Zu seinen primären Arbeitsgebieten zählen IT-Outsourcing, Datenschutz, IT-Compliance und Prozessführung im Bereich der IT.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Konfliktpotential bei mobilen Geräten

Der Arbeitgeber hat den Bedarf, die geschäftliche Nutzung von Geräten wie Mobiltelefonen oder Tablets unabhängig davon zu regeln, wem diese gehören. Der Arbeitnehmer wiederum erwartet, dass er über sein eigenes Gerät frei verfügen kann. Diese gegensätzlichen Interessen bergen Konfliktpotential, das es zu minimieren gilt.

 

Freiwilligkeit und Regelung von «Bring Your Own Device»

Kaum ein Arbeitsvertrag sieht BYOD derzeit explizit vor. Es besteht daher in der Regel weder eine Pflicht des Arbeitgebers, ein BYOD-Programm anzubieten, noch eine Verpflichtung des Arbeitnehmers, daran teilzunehmen. Möchte ein Arbeitgeber BYOD flächendeckend einsetzen (z.B. für eine Pikett-Organisation), übersteigt dies seine Weisungskompetenz. Aus diesem Grund sollte die Teilnahme an BYOD wenn möglich freiwillig bleiben. Statt auf Zwang setzen Arbeitgeber also besser auf positive Anreize (z.B. kulante Regelungen bei Kostentragung und Haftung), um «Bring Your Own Device» zu etablieren.

Falls ein Arbeitnehmer sein eigenes Gerät ohne explizite Regelung für die Arbeit einsetzt und der Arbeitgeber dies über längere Zeit duldet, kann der Arbeitnehmer später unter Umständen Anspruch auf eine Unkostenbeteiligung erheben. Zudem bestehen beidseitige Haftungsrisiken. Es empfiehlt sich daher, BYOD in einer entsprechenden Policy oder in einem Zusatz zum Arbeitsvertrag zu regeln.

Kostentragung

Im Arbeitsverhältnis hat grundsätzlich der Arbeitgeber die Arbeitsmittel zur Verfügung zu stellen. Er muss dem Arbeitnehmer auch seine notwendigen Geschäftsauslagen (Spesen) vollständig ersetzen. Bei «Bring Your Own Device» ist hierbei wie folgt zu differenzieren:

  • Anschaffungskosten: Kauft ein Arbeitnehmer ein Smartphone für private Zwecke, muss der Arbeitgeber sich an den Anschaffungskosten nicht beteiligen, auch wenn das Gerät teilweise geschäftlich genutzt wird; denn der Arbeitnehmer hätte das Smartphone ohnehin beschafft, und es veraltet wegen der zusätzlichen geschäftlichen Nutzung nicht schneller.
  • Wiederkehrende Kosten: Der Arbeitgeber muss für all jene Kosten aufkommen, die aufgrund der geschäftlichen Nutzung entstanden sind (Auslagenersatz). Dazu gehören die variablen Verbindungs- und Datenkosten infolge geschäftlicher Nutzung sowie allenfalls Kosten für Zusatzoptionen, die beschafft werden, um die Verbindungs- und Datenkosten (im Interesse des Arbeitgebers) tief zu halten. (z.B. Datenpakete für internationales Roaming).

Aus Praktikabilitätsgründen empfiehlt sich, die Kostentragung explizit zu regeln und ersatzpflichtige Kosten mit einer eher grosszügig bemessenen Spesenpauschale abzugelten. Diese muss die effektiven Auslagen vollständig decken, was unter Umständen differenzierte Spesenpauschalen (abhängig vom Stellenprofil) erfordert.

Haftung

BYOD kann auf Seiten des Arbeitgebers wie des Arbeitnehmers Haftungsfragen aufwerfen. Diese werden danach beurteilt, ob eine Partei ein Verschulden trifft oder ob ein Schaden unverschuldet eingetreten ist:

  • Verschuldenshaftung: Arbeitgeber und Arbeitnehmer haften für Schäden, die sie aufgrund des Arbeitsverhältnisses schuldhaft verursacht haben. Dies gilt grundsätzlich unabhängig davon, ob «Bring Your Own Device» eingesetzt wird oder nicht. Beispielsweise haftet der Arbeitgeber dafür, keine angemessenen Sicherheitsvorkehrungen gegen Diebstahl zu treffen.
  • Schadenstragung bei fehlendem Verschulden: Unverschuldet eingetretene Schäden an einem Gerät hat generell diejenige Partei zu tragen, die davon betroffen ist (also die, der das Gerät gehört). Kommt ein Gerät im Rahmen von BYOD zu Schaden, stellt sich jedoch die Frage, ob der Arbeitgeber nicht (zumindest teilweise) für den eingetretenen Schaden aufkommen sollte – schliesslich profitiert er davon, dass der Arbeitnehmer das Gerät auch geschäftlich nutzt. Unseres Erachtens rechtfertigt sich eine Beteiligung des Arbeitgebers an der Schadenstragung dann, wenn der Arbeitnehmer ein Gerät spezifisch im Hinblick auf die geschäftliche Nutzung zur Arbeit mitgenommen hat (z.B. einen Laptop für eine Kundenpräsentation). Verliert der Arbeitnehmer hingegen sein (auch geschäftlich genutztes) Smartphone, steht dies wohl in keinem Zusammenhang mit der geschäftlichen Nutzung. Eine Haftung des Arbeitgebers drängt sich dann eher nicht auf.

Soweit ersichtlich mussten Gerichte in der Schweiz diese Frage bislang nicht beurteilen. Aufgrund der verbleibenden Unsicherheit  wird eine eher arbeitnehmerfreundliche Regelung empfohlen, auch um die Akzeptanz von BYOD nicht zu gefährden.

Nutzungsbeschränkungen

Arbeitgeber beschränken routinemässig die private Nutzung der betriebseigenen IT-Infrastruktur. Bei BYOD, wo die Geräte primär für private Zwecke angeschafft werden, dürfen solche «acceptable use-policies» jedoch nicht unbesehen übernommen werden; stattdessen sollte das Augenmerk primär auf die IT-Sicherheit gelegt werden.

Der Arbeitgeber hat ein starkes Interesse, auf dem privaten Gerät enthaltene Geschäftsdaten gegen unbefugte Zugriffe zu schützen. Sicherheitsrelevante Auflagen und Verhaltensvorschriften (z.B. automatische Lockscreens mit vorgegebener Passwortstärke oder Verbote, inoffizielle Apps zu installieren) müssen daher durch den Arbeitnehmer toleriert werden. Rein moralisch gefärbte Verhaltensvorschriften (z.B. Verbot bestimmter Kategorien von Websites oder Apps) können demgegenüber mit den Persönlichkeits- und Eigentumsrechten des Arbeitnehmers kollidieren und sind daher problematisch.

Datenschutz

Personendaten sind alle Daten, die sich einer Person zuordnen lassen. Smartphones und vergleichbare private Geräte werden meist nur von einer Person benutzt, so dass grundsätzlich alle darauf enthaltenen Daten Personendaten darstellen.

Im Arbeitsrecht gelten erhöhte Anforderungen an die Bearbeitung von Personendaten des Arbeitnehmers: Der Arbeitgeber darf diese Daten nicht beliebig bearbeiten (z.B. Sammeln, Kopieren, Ändern oder Löschen), sondern lediglich soweit im Rahmen des Arbeitsverhältnisses unbedingt nötig. Eine weitergehende Bearbeitung ist nur gerechtfertigt, wenn die schutzwürdigen Interessen des Arbeitgebers oder Dritter klar überwiegen oder wenn ein Gesetz es vorsieht.

Was dies konkret bedeutet, ist noch wenig geklärt und hängt stark von den Umständen des Einzelfalls ab. Unzulässig wäre beispielsweise, wenn ein Arbeitgeber auf den Smartphones aller Mitarbeiter eine App installiert, um deren Bewegungen rund um die Uhr zu erfassen. Will dagegen eine Anwaltskanzlei Daten auf einem verlorenen Smartphone eines Anwalts (zur Wahrung des Anwaltsgeheimnisses) fernlöschen, kann eher von einem überwiegenden Interesse ausgegangen werden. Unabhängig hiervon kann ein Arbeitnehmer ausnahmsweise in eine weitergehende Bearbeitung seiner persönlichen Daten einwilligen, wenn dies (auch) in seinem eigenen Interesse geschieht.

Fazit

«Bring Your Own Device» kann Vorteile für alle Beteiligten bringen. Die Einführung wirft jedoch verschiedene rechtliche Fragestellungen auf. Mit einer durchdachten BYOD-Policy können die meisten Probleme entschärft werden.

Produkt-Empfehlungen

  • IT-Sicherheit

    IT-Sicherheit

    Schützen Sie Ihr Unternehmen konsequent vor Systemstörungen und Risiken.

    CHF 48.00

  • Die wichtigsten IT-Vertragsvorlagen

    Die wichtigsten IT-Vertragsvorlagen

    Über 100 IT-Vertragsvorlagen, Checklisten und Arbeitshilfen auf praktischem USB-Stick.

    Mehr Infos

  • Datenschutz PRAXIS

    Datenschutz PRAXIS

    Das Fachmagazin für Datenschutzbeauftragte.

    Mehr Infos

Seminar-Empfehlung

Praxis-Seminar, 1 Tag, ZWB, Zürich

IT-Verträge entwerfen und verhandeln

Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

Nächster Termin: 07. Mai 2019

mehr Infos

Um unsere Website laufend zu verbessern, verwenden wir Cookies. Durch die Nutzung dieser Website stimmen Sie der Verwendung von Cookies zu. Mehr Infos