BYOD: Private Geräte geschäftlich nutzen?
Dr. Stefan Rieder, LL.M.
Dr. Stefan Rieder, LL.M., Fachanwalt SAV Arbeitsrecht arbeitet als Rechtsanwalt und Notar bei der Kanzlei Schwager Mätzler Schneider in den Bereichen Arbeits-, Sozialversicherungs-, Vertrags- und Gesellschaftsrecht.
Jedem das Seine?
Die Nutzung von privaten mobilen Geräten wie Laptop, Mobiltelefon oder Tablet für den geschäftlichen Gebrauch ist im Unternehmensalltag längst Realität. Bring Your Own Device (BYOD) führt zwangsläufig zu einer Vermischung der privaten und der geschäftlichen Sphäre, weshalb ein sorgloser Umgang mit diesem Phänomen ein Risiko für die Arbeitgeberin darstellen kann, etwa wenn Arbeitnehmende ihr eigenes Gerät ohne Kenntnis der Arbeitgeberin nutzen oder wenn klare Regelungen fehlen. Im Folgenden wird auf die wichtigsten arbeits- und datenschutzrechtlichen Aspekte eingegangen.
Die Vorteile von BYOD liegen auf der Hand: Die Anschaffungskosten für technische Geräte können reduziert werden, die Arbeitnehmenden können ein ihnen vertrautes Gerät nutzen und ihre ständige Erreichbarkeit ist weitgehend gewährleistet, was aus Sicht der Arbeitnehmenden natürlich nicht unbedingt nur als Vorteil zu werten ist. Gleichzeitig führt die Einbindung von privaten Geräten in die Geschäftsinfrastruktur aber auch zu einem Kontrollverlust der Arbeitgeberin, und unter Umständen ist die Sicherheit der Geschäftsdaten nicht gewährleistet. In rechtlicher Hinsicht stellen sich insbesondere Fragen in Bezug auf Zulässigkeit, Kostentragung, Haftung, Datensicherheit und Zugriffsrechte der Arbeitgeberin.
Zulassen oder verbieten?
Die Arbeitgeberin kann BYOD durch eine entsprechende Weisung oder durch ein faktisches Dulden erlauben. Hingegen ist es rechtlich nicht zulässig, die Arbeitnehmenden durch eine Weisung einseitig zum BYOD zu verpflichten. Gemäss Art. 327 OR muss grundsätzlich die Arbeitgeberin die Arbeitsgeräte zur Verfügung stellen. Durch eine Vertragsabrede kann hiervon aber abgewichen werden, sodass Arbeitnehmende zur Anschaffung oder zur Nutzung eines privaten Geräts verpflichtet werden können. Sofern die Arbeitgeberin BYOD zulässt bzw. Arbeitnehmende dazu verpflichtet, sollte sich die Arbeitgeberin ein jederzeitiges Widerrufsrecht betreffend die Zulässigkeit von BYOD vorbehalten.
Aus Sicht der Arbeitnehmenden besteht grundsätzlich kein Anspruch auf BYOD und sie sind aufgrund des Weisungsrechts der Arbeitgeberin nach Art. 321d OR verpflichtet, die von der Arbeitgeberin zur Verfügung gestellten Arbeitsgeräte zu nutzen. Im Unternehmensalltag lässt sich allerdings immer wieder beobachten, dass Arbeitnehmende ihre eigenen mobilen Geräte für Arbeitszwecke einsetzen, ohne dass die Arbeitgeberin davon Kenntnis hat. Um eine solche faktische BYOD-Nutzung auszuschliessen, sollte die Arbeitgeberin im Rahmen einer Weisung (z.B. IT-Reglement) BYOD verbieten, sofern eine Analyse der Bedürfnisse und Risiken nicht einen entsprechenden Bedarf ergeben hat. Hat die Arbeitgeberin von einer faktischen BYOD-Nutzung Kenntnis und duldet sie diese, können sich daraus Kosten- und Haftungsfolgen ergeben.
Praxistipp
Der Umgang mit BYOD im Unternehmen sollte entweder explizit verboten oder ausdrücklich geregelt werden, damit kein Wildwuchs entstehen kann und die Arbeitgeberin keine bösen Überraschungen erlebt.
Wer trägt die Kosten?
Ein wesentlicher Grundgedanke von BYOD ist, dass das verwendete Gerät durch den Arbeitnehmenden angeschafft wird und dieser die Anschaffungskosten zumindest teilweise trägt. Eine vertragliche Kostenregelung ist zulässig und drängt sich auf. Sofern nichts anderes vereinbart wird, muss sich die Arbeitgeberin nämlich nach Art. 327 Abs. 2 OR angemessen an den Kosten beteiligen. Verbietet die Arbeitgeberin also BYOD nicht ausdrücklich und duldet eine «wilde Nutzung», läuft sie Gefahr, dass private Geräte mitfinanziert werden müssen.
Neben den Anschaffungskosten sollte auch eine Regelung betreffend der weiteren Kosten (Nutzungskosten wie Abonnementsgebühren, Wartungskosten etc.) vorgesehen werden. Die Arbeitgeberin muss dem Arbeitnehmenden die durch die Ausführung der Arbeit notwendig entstehenden Auslagen ersetzen (Art. 327a OR). Eine teilweise Überwälzung der Auslagen auf den Arbeitnehmenden ist rechtlich nicht zulässig. Es ist aber möglich, eine pauschale Abgeltung vorzusehen, welche die private Nutzung des Geräts angemessen berücksichtigt.
Seminar-Empfehlungen
Haftungsrisiko für beide Parteien
Im Falle einer Beschädigung sowie bei einem Verlust bzw. Diebstahl des privaten Geräts stellt sich die Frage, ob die Arbeitgeberin einer Entschädigungspflicht unterliegt. Sofern die Beschädigung oder der Verlust des eigenen Geräts mit der geschäftlichen Nutzung im Zusammenhang steht und nicht während der privaten Nutzung erfolgt, muss die Arbeitgeberin den Schaden unter Berücksichtigung eines allfälligen Mitverschuldens des Arbeitnehmenden ersetzen. Aufgrund der privaten und geschäftlich gemischten Nutzung dürfte eine klare Abgrenzung im Einzelfall schwierig sein, weshalb die Arbeitgeberin einem Haftungsrisiko ausgesetzt ist.
Bei BYOD kann sich aber auch die Frage der Haftung des Arbeitnehmenden stellen, zum Beispiel, wenn der Arbeitnehmende vertrauliche Geschäftsdaten unsorgfältig behandelt und dadurch die arbeitsvertragliche Geheimhaltungspflicht nach Art. 321a Abs. 4 OR verletzt oder wenn das private Gerät das Netzwerk der Arbeitgeberin mit Computerviren beschädigt. In diesen Fällen gelangt die gesetzliche Arbeitnehmerhaftung nach Art. 321e OR zur Anwendung.
Damit der Arbeitnehmende überhaupt haftet, muss er seine Sorgfaltspflicht schuldhaft verletzt haben. Die Sorgfaltspflicht bestimmt sich nach dem einzelnen Arbeitsverhältnis unter Berücksichtigung des Berufsrisikos und der Fähigkeiten und Eigenschaften des Arbeitnehmenden. Selbst wenn eine Pflichtverletzung und ein Verschulden des Arbeitnehmenden vorliegen, kann nicht ohne Weiteres der gesamte Schaden geltend gemacht werden. Die Schadenersatzhöhe wird einerseits nach Absicht, grober, mittlerer und leichter Fahrlässigkeit abgestuft. Andererseits können weitere Reduktionsgründe (Berufsrisiko, Lohnhöhe des Arbeitnehmenden) die effektive Ersatzpflicht verringern.
Aufgrund dieser Grundlage sind keine absoluten Aussagen über die Haftung eines Arbeitnehmenden möglich, vielmehr beurteilt sich diese im jeweiligen Einzelfall. Diese Arbeitnehmerhaftung kann vertraglich oder einseitig in einem BYOD-Reglement nicht zuungunsten des Arbeitnehmenden abgeändert werden.
Klare Nutzungsregeln aufstellen
BYOD führt durch die umfassende Nutzung typischerweise zu einer Vermischung der privaten und der geschäftlichen Sphäre. Aus diesem Grund sollte durch klare Nutzungsregeln und technische Massnahmen sichergestellt werden, dass die Datensicherheit gewährleistet ist. Die Arbeitgeberin kann, gestützt auf ihr Weisungsrecht, Verhaltensanweisungen vorschreiben. Hierbei handelt es sich typischerweise um Nutzungsvorschriften, die üblicher-weise in IT-Reglementen vorzufinden sind (z.B. Mindestsicherheitseinstellungen, Passwortvorgaben, Nutzungsverbot für unsichere Programme, automatische Bildschirmsperre, etc.). Die natürliche Grenze der Zulässigkeit solcher Nutzungsregeln liegt darin, dass diese erforderlich und verhältnismässig sind, da der Nutzen von BYOD andernfalls zu stark eingeschränkt werden würde. Selbstverständlich kann die Arbeitgeberin auch bei BYOD die private Nutzung des privaten Geräts während der Arbeitszeit einschränken oder verbieten.
Arbeitnehmende müssen trotz BYOD und der damit verbundenen Entgrenzung von der privaten und der geschäftlichen Sphäre die arbeitsgesetzlichen Regeln einhalten (wöchentliche Höchstarbeitszeit, Verbot von nicht bewilligter Nacht- und Sonntagsarbeit). Sofern der Arbeitnehmende mit dem privaten Gerät geschäftliche Aufgaben erfüllt (z.B. Tätigung von Telefonanrufen oder Beantwortung von E-Mails), so stellt dies Arbeitszeit dar. Nicht als Arbeitszeit gilt hingegen die blosse Erreichbarkeit, indem Handy, Laptop oder Tablet allzeit betriebsbereit sind. Je nach arbeitsvertraglicher Regelung kann es auch sein, dass diese Arbeitszeit separat zu entschädigen ist, z.B. wenn dadurch Überstunden geleistet werden.
Praxistipp
Auch wenn die erweiterte Erreichbarkeit des Arbeitnehmenden ein Vorteil von BYOD ist, sollten die Nutzungsregeln die Arbeitnehmenden dafür sensibilisieren, dass die Nutzung privater Geräte nicht zu einer ständigen Erreichbarkeit führen soll.
Datenschutz sicherstellen
Die Arbeitgeberin muss nach Art. 7 DSG die Datensicherheit durch angemessene technische und organisatorische Massnahmen sicherstellen und Personendaten gegen unbefugtes Bearbeiten schützen. In diesem Zusammenhang sind nicht nur Verhaltensregeln aufzustellen, sondern auch in technischer Hinsicht entsprechende Massnahmen zu treffen, damit private und geschäftliche Daten möglichst getrennt werden. Dafür empfehlen sich zum Beispiel eine zentrale Datenhaltung in Verbindung mit einem Fernzugriff darauf vom privaten Gerät oder sogenannte Container-Apps, die eine Trennung der privaten und der geschäftlichen Daten ermöglichen.
Sofern geschäftliche Daten auf einem privaten Gerät gespeichert werden, kann es erforderlich sein, dass die Arbeitgeberin Zugriff auf das private Gerät erhält (z.B. Wartung, Löschung von Daten bei Geräteverlust etc.). Ein Zugriff auf das Privatgerät ist jedoch nur mit Einwilligung des Arbeitnehmenden erlaubt, und die Arbeitgeberin darf nicht auf die privaten Daten des Arbeitnehmenden zugreifen. Damit eine solche Einwilligung rechtsgültig ist, muss die Zugriffsmöglichkeit klar umschrieben sein (Zweck, Umfang, Zeitpunkt und Berechtigter). Sofern die Arbeitgeberin die Möglichkeit einer Fernlöschung hat, muss sichergestellt sein, dass dadurch keine privaten Daten gelöscht werden, da andernfalls die Persönlichkeit des Arbeitnehmenden verletzt wird.
Inhalt einer BYOD-Weisung
Im Rahmen einer BYOD-Weisung oder allenfalls BYOD-Vereinbarung mit betroffenen Arbeitnehmenden sind insbesondere folgende Punkte zu regeln:
- Liste der erlaubten Geräte
- Kostentragung und Auslagenersatz
- Trennung von privaten und geschäftlichen Daten
- Grundsätze der Datensicherheit, Datenverwendung und Datenaufbewahrung
- Nutzungsregeln und Verhaltenspflichten
- Verwendung von geschäftlicher Software auf dem privaten Gerät
- Zugriffsrechte der Arbeitgeberin auf das private Gerät, z.B. mittels Mobile Device Management, damit die Datensicherung, die Wartung und die Löschung von geschäftlichen Daten möglich sind (erfordert Einwilligung der Arbeitnehmenden)
- Arbeitszeitregelung
- Vorgehen bei verlorenen oder gestohlenen Geräten
- Regelung bei Beendigung des Arbeitsverhältnisses
