Technische Neuerungen werfen häufig rechtliche Fragen auf, die weder das Gesetz noch die Juristen gleich klar und verbindlich beantworten können. Beim Thema Mobility ist dieses Phänomen besonders auffällig. Die intensive Nutzung mobiler Devices im privaten und im geschäftlichen Umfeld führt zu einer nie dagewesenen Vermischung und Überschneidung mit der privaten und beruflichen Lebensgestaltung, also zweier Bereiche, die nach den Vorstellungen des Gesetzgebers strikt getrennt sein sollten. Dies macht die Anwendung des Arbeitszeitgesetzes ebenso schwierig wie des Bundesdatenschutzgesetzes oder der Haftungsgrundsätze im Arbeitsverhältnis.
Dennoch ist Pragmatismus angeraten: Viele rechtliche Probleme lassen sich schon durch eine kluge und sorgfältige Gestaltung des betrieblichen Mobile Device Management vermeiden.
Mobiles Arbeiten und Arbeitszeit
Das deutsche Arbeitsrecht beschränkt die zulässige tägliche Höchstarbeitszeit für Arbeitnehmer in der Regel auf 10 Stunden. Arbeitgeber, die sich daran nicht halten, begehen eine Ordnungswidrigkeit, bei beharrlichen Verstößen gar eine Straftat. Arbeitszeit ist jede Zeit, in der der Arbeitnehmer arbeitet, also auch die Zeit, in der er nach dem Abendessen seine beruflichen E-Mails liest oder die Firmenpräsentation für den nächsten Tag vorbereitet. Dies gilt unabhängig davon, ob der Arbeitnehmer sich am Schreibtisch in seinem Büro oder zu Hause auf dem Sofa befindet.
Der Arbeitgeber ist verpflichtet, darauf zu achten, dass Arbeitnehmer die Arbeitszeit einhalten. Dies fällt verhältnismäßig leicht, wenn sich der Arbeitnehmer in den Räumlichkeiten des Arbeitgebers befindet. Der Arbeitgeber kann ein Zeiterfassungssystem führen oder ab einer bestimmten Uhrzeit einfach das Licht ausschalten.
Die Kontrollmöglichkeiten des Arbeitgebers sind eingeschränkt, wenn der Arbeitnehmer über ein mobiles Gerät, möglicherweise gar sein privates, zu Hause arbeitet. Das ist der Grund, weshalb Arbeitnehmervertretungen häufig zurückhaltend auf einen allzu extensiven Einsatz von mobilen Geräten reagieren. Denn es ist die gesetzliche Aufgabe des Betriebsrates, darüber zu wachen, dass der Arbeitgeber das Arbeitszeitgesetz wie auch alle anderen Gesetze zum Schutz der Arbeitnehmer einhält.
In der Praxis finden sich mittlerweile Regelungen, wonach die Zustellung von E-Mails auf mobile Geräte zur Nachtzeit unterbleibt. Dies sichert die Nachtruhe der Arbeitnehmer, nimmt ihnen aber die Freiheit, die das Arbeiten mit mobilen Geräten so attraktiv macht.
Die Lösung ist auf der technischen Ebene zu suchen. Moderne Mobile-Device-Management-Systeme erlauben es dem Arbeitgeber, die Dauer der betrieblichen Nutzung eines mobilen Geräts mit hinreichender Sicherheit überwachen und bei Überschreitungen der Höchstarbeitszeit einzuschreiten.
Solche Lösungen müssen sinnvoll mit vertraglichen Regelungen oder Betriebsvereinbarungen kombiniert werden. Die Nutzer sind zu verpflichten, mobile Geräten nur auf die zwischen Arbeitgeber und Arbeitnehmern beziehungsweise Betriebsrat abgestimmten Art und Weise zu nutzen und zeitlichen Beschränkungen einzuhalten. Aus Gründen des Datenschutzes sollten Arbeitnehmer auf die Möglichkeiten der Überwachung von Nutzungszeiten hingewiesen werden.
Mitbestimmung
Die Einführung von Mobile-Device-Management-Lösungen ist in Unternehmen, die einen Betriebsrat haben, mitbestimmungspflichtig. Dies gilt schon deshalb, weil mobile Geräte und die Software, die diese verwaltet, in der Regel dazu geeignet sind, das Verhalten und die Leistung von Mitarbeitern zu überwachen. Dabei ist es ausreichend, dass eine solche Überwachung technisch möglich ist. Ob der Arbeitgeber tatsächlich beabsichtigt, Geräte entsprechend zu verwenden, ist unerheblich.
Für die Praxis ist zu empfehlen, den Betriebsrat möglichst frühzeitig in die Ausgestaltung einer Mobile-Enterprise-Lösung einzubeziehen. So lassen sich am Anfang des Projektes Rechtssicherheit schaffen und teure Änderungen im Nachhinein vermeiden.
Verlust und Beschädigung mobiler Geräte
Wird ein mobiles Gerät beschädigt oder geht es verloren, stellt sich die Frage, wer für den Schaden aufzukommen hat. Einfach ist dies bei Geräten zu beantworten, die der Arbeitgeber dem Arbeitnehmer zur Verfügung stellt. Hier gilt das vom Bundesarbeitsgericht entwickelte Arbeitnehmer-Haftungsprivileg. Fällt dem Arbeitnehmer, der das Gerät verloren oder beschädigt hat, nur leichte oder einfache Fahrlässigkeit zur Last, haftet er nicht. Hat er sich grob fahrlässig verhalten, kommt es auf die Umstände des Einzelfalls an. In der Regel läuft dies auf eine teilweise Haftung hinaus. Bei einer vorsätzlichen Beschädigung (der Arbeitnehmer wirft das Gerät aus Wut an die Wand) hat der Arbeitnehmer den Schaden natürlich zu ersetzen.
Schwieriger ist die Beurteilung, wenn ein privates Gerät des Arbeitnehmers verloren geht, während er dieses beruflich nutzt. Wenn der Arbeitnehmer das private Gerät braucht, um seine Dienstaufgaben zu erledigen, mag er wie folgt argumentieren: Bei Nutzung eines unternehmenseigenen Gerätes hätte der Arbeitgeber wegen der Grundsätze des Arbeitnehmerhaftungsprivilegs den Schaden allein tragen müssen. Warum sollte sich dieses Risiko auf den Arbeitnehmer verlagern, nur weil der Arbeitgeber kein entsprechendes Gerät zur Verfügung gestellt hat?
Es gibt zu dieser Frage keine veröffentlichte Rechtsprechung. In anderen Bereichen, etwa der dienstlichen Nutzung eines privaten Pkw, gilt der Grundsatz, dass der Arbeitgeber dem Arbeitnehmer Ersatz schuldet, wenn der Arbeitnehmer seinen privaten Pkw mit Wissen und Wollen des Arbeitgebers zu dienstlichen Zwecken nutzt und der Arbeitgeber hierfür keinen finanziellen Ausgleich gewährt. Es spricht einiges dafür, diese Grundsätze auch auf die Nutzung privater IT-Devices anzuwenden. Dies gilt natürlich nur, solange die Nutzung zu dienstlichen Zwecken geboten und vom Arbeitgeber gebilligt ist. Wer aus Gründen privater Bequemlichkeit einen privaten Tablet-Computer auf eine Dienstreise mitnimmt und dabei verliert, kann hierfür von seinem Arbeitgeber keinen Ersatz verlangen.
Datenschutz und ByoD
In Zusammenhang mit Bring Your Own Device (ByoD) diskutieren Juristen die Frage, ob die Speicherung und Verarbeitung personenbezogener Daten auf privaten Geräten eines Arbeitnehmers zulässig ist. Grundsätzlich setzt die Verarbeitung personenbezogener Daten die Einwilligung des Betroffenen oder eine gesetzliche Erlaubnis voraus. Beides, Einwilligung und gesetzliche Erlaubnis, gelten jedoch nur für das jeweilige Unternehmen. Mitarbeiter die personenbezogene Daten verarbeiten, dürfen dies, wenn und weil sie für dieses Unternehmen tätig sind. Dann sind sie, datenschutzrechtlich gesprochen, teil der verantwortlichen Stelle.
Gesetzliche Erlaubnis oder Einwilligung geben Mitarbeitern nicht das Recht, personenbezogene Daten als Privatperson zu verarbeiten. Ein Kunde, der seine Einwilligung gegeben hat, über zukünftige Produktneuerung informiert zu werden, hat diese Einwilligung einem bestimmten Unternehmen gegeben, nicht seinen Mitarbeitern als Privatperson.
Die Weiterleitung von personenbezogenen Daten an Mitarbeiter in ihrer Eigenschaft als Privatperson wäre datenschutzrechtlich eine Datenübermittlung, für die es weder eine gesetzliche Erlaubnis noch eine Einwilligung gibt und die damit unzulässig ist
Diese Abgrenzung zwischen der beruflichen und der privaten Sphäre eines Mitarbeiters ist schwierig, wenn ein Mitarbeiter private Geräte für dienstliche Zwecke einsetzt. Bildlich gesprochen: Handelt ein Mitarbeiter, der die Kundenliste zusammen mit seinen privaten Urlaubsbildern auf seinem privaten Tablet Computer speichert als Privatperson oder Mitarbeiter seines Unternehmens?
Unter Juristen ist die Auffassung verbreitet, eine rechtssichere Gestaltung von ByoD erfordere eine Vereinbarung über die Auftragsdatenverarbeitung nach § 11 Bundesdatenschutzgesetz (BDSG) mit jedem beteiligten Mitarbeiter. § 11 BDSG stellt weitreichende und strenge Anforderungen an Vereinbarungen zur Auftragsdatenverarbeitung, die in der Regel in aufwendigen Verträgen umgesetzt werden. Ein solcher Vertrag müsste mit jedem Mitarbeiter abgestimmt und schriftlich vereinbart werden, der privat Geräte im Unternehmen nutzt. Bestimmte Anforderungen, etwa die Verpflichtungen zur Datensicherheit nach § 9 BDSG sind für Privatpersonen kaum umsetzbar. Die Regeln zur Auftragsdatenverarbeitung und die Bestimmungen des Datenschutzrechts insgesamt sind für die Datenverarbeitung durch Privatpersonen schlicht nicht gemacht. Ein Mitarbeiter ist außerhalb seiner dienstlichen Tätigkeit nicht Auftragnehmer sondern Privatperson.
Praktikabler sind technische Lösungen, die sicherstellen, dass es zu keiner Durchmischung der privaten und der beruflichen Nutzung eines Gerätes kommt. Auch hier steht also weniger die rechtliche Gestaltung als die technische Organisation im Vordergrund.
Eine technische Trennung der privaten und der beruflichen Domäne hat auch unter einem anderen Gesichtspunkt Vorteile: Die privaten Daten eines Mitarbeiters genießen rechtlich einen besonderen Schutz, bei dem Aspekte des Datenschutzrechts, des Persönlichkeitsrechts des Arbeitnehmers und, nach der Rechtsprechung des Bundesverfassungsgerichts zur Online-Durchsuchung, des Grundrechts auf Werkseinstellungen, Vertraulichkeit und Integrität informationstechnischer Systeme zu berücksichtigen sind. Der Arbeitgeber darf nur unter strengen Voraussetzungen auf private Daten eines Arbeitnehmers zugreifen. Dies gilt selbst dann, wenn der Arbeitnehmer, etwa in einer formularmäßigen ByoD-Vereinbarung, in einen solchen Zugriff eingewilligt hat. Der Zugriff auf berufliche Daten ist weit weniger problematisch. Soweit daher eine technische Trennung möglich ist, erleichtert diese ein Eingreifen im Notfall, etwa das Zurücksetzen des Gerätes und das Löschen von Daten bei Diebstahl oder Verlust.
Fazit: Frühzeitig angehen und nicht aussitzen
Anders als "Mode-Themen" bringt der inflationäre Einsatz mobiler Geräte tatsächlich rechtliche Probleme mit sich, die sich durch eine saubere technische und vertragliche Gestaltung lösen lassen. Dabei gilt die dringende Empfehlung, das Thema möglichst frühzeitig anzugehen. Der in der Praxis häufig angetroffene, stillschweigend geduldete Wildwuchs führt nicht nur technisch sondern auch rechtlich zu Schwierigkeiten. Der Arbeitgeber kann ein Verhalten seiner Mitarbeiter, dass er über einen längeren Zeitraum geduldet hat, nicht ohne Weiteres und ohne Zustimmung der Arbeitnehmer über Nacht sanktionieren. Je länger der Zustand stillschweigender Hinnahme andauert, desto schwieriger ist es, einen geordneten Rechtsrahmen für die Nutzung mobiler Geräte um- und durchzusetzen.
Den Kern einer umfassenden und sicheren Mobility-Lösung im Unternehmen bildet stets die technische Seite. Hier bieten geeignete Softwaretools und sachkundige Beratung Hilfe. Die rechtliche Umsetzung ist in der Regel weit weniger komplex, als es den Anschein haben mag. In Unternehmen mit Betriebsrat genügt in der Regel eine Betriebsvereinbarung. Bei nichtbestimmten Unternehmen ist es eine Frage des Einzelfalls, ob eine Vereinbarung mit jedem Mitarbeiter getroffen werden muss oder eine unternehmensweite Policy ausreicht.
Eine rechtlich wie technisch saubere Organisation der im Unternehmen genutzten Mobile Devices ist auch unter haftungsrechtlichen Gesichtspunkten unumgänglich. Geraten Daten von einem mobilen Gerät in falsche Hände, so wird es bei der Frage der Haftung für den hierdurch entstandenen Schaden entscheidend darauf ankommen, ob das Unternehmen die "im Verkehr erforderliche Sorgfalt" beachtet hat, insbesondere so organisiert war, dass bei normalen Verlauf der Dinge ein Schaden ausgeschlossen werden kann. (mje)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation Computerwoche.