Österreich

BYOD-Thematik – TEIL 2: Arbeitsrechtliche Aspekte

Zusammenfassung des BYOD-Vortrags von RA Dr. Michael Meyenburg auf dem „9. Information-Security-Symposium, WIEN 2013“.
 

 

(CIS-Newsletter Dez 2013) Bei der Herausforderung der Einbindung von privaten mobilen Arbeitsgeräten wie Smart Phones, Tablets oder Laptops sind neben datenschutzrechtlichen Aspekten auch zivil-, arbeits-, steuer- und urheberrechtliche Fragestellungen zu beachten. „BYOD – Bring Your Own Device“ ist und bleibt ein spannendes Thema.
 

Zu Devices zählen auch Social Media
Der Begriff „Devices“ ist weit gefasst. Er beschreibt nicht nur sämtliche Geräte oder Anschlüsse (Internet, Smart Phone, eMeyenburg_web_mrtc.) des Dienstnehmers, sondern auch die Teilnahme an Foren und sozialen Medien, Stichwort: „Social Media“. Werden die privaten Geräte vom Dienstnehmer auch für betriebliche Zwecke verwendet, wirft dies eine Reihe juristischer Probleme auf: Generell gegen die Verwendung für betriebliche Zwecke spricht § 18 (1) AngG, der wie folgt lautet: „Der Dienstgeber ist verpflichtet, auf seine Kosten alle Einrichtungen bezüglich der Arbeitsräume und Gerätschaften herzustellen und zu erhalten, die mit Rücksicht auf die Beschaffenheit der Dienstleistung zum Schutze des Lebens und der Gesundheit der Angestellten erforderlich sind.“ Daraus folgt, dass in der Regel der Dienstgeber (DG) dem Dienstnehmer (DN) die Arbeitsgeräte zur Verfügung zu stellen hat und bei Bedarf eine andere mögliche Regelung zwischen dem DG und dem DN explizit vereinbart werden muss.
 

Arbeitsrechtliche Problemkreise
Durch BYOD können einerseits Konflikte zwischen der persönlichen Nutzung durch den DN, andererseits Sicherheitsverpflichtungen nach dem DSG und betrieblichen Richtlinien gegenüber dem DG während des aufrechten Dienstverhältnisses entstehen.

  1. Weiters ist die Risikozuordnung im Falle des Verlustes oder Schadeneintritts problematisch.
  2. Schließlich kollidieren die Eigentumsrechte am Gerät und die Persönlichkeitsrechte des DN mit der Sicherung der Betriebsgeheimnisse des DG, insbesondere bei Auflösung des Dienstverhältnisses.

Zu 1.: Konflikte während des Dienstverhältnisses
Man stelle sich folgenden Sachverhalt vor: Der DN zahlt Telefongebühren für sein Smartphone, das er auch betrieblich nutzt, auf dem sich Unternehmensdaten befinden und das ihm auf einer Dienstreise beim Ausstieg aus dem Auto in den Kanal fällt. Wer kommt für den Aufwand/Ersatz auf?
Die Grundregel des § 1014 ABGB lautet dazu wie folgt: „Der Gewaltgeber ist verbunden, dem Gewalthaber allen zur Besorgung des Geschäftes notwendig oder nützlich gemachten Aufwand, selbst bei fehlgeschlagenem Erfolge, zu ersetzen, … .“ Die zivilrechtlichen Bestimmungen über Bevollmächtigung / Auftrag / Geschäftsführung werden also analog auf das Dienstverhältnis angewendet. Der DN erhält daher Ersatz für sein verlorenes Privat-Handy, welches er mit Einverständnis des Unternehmens auch beruflich genutzt hat. Eine solche Rechtsprechung liegt bereits für dienstlich veranlasste Reisen mit dem Privat-PKW vor. Der DG geht dabei also eine Risikohaftung ein, wobei die dienstliche Verwendung zu einer Erhöhung des Schadensrisikos im Vergleich zum privatem „Grundrisiko“ der Benützung führt. Es muss dabei ein entsprechender Kausalzusammenhang zwischen Geschäftsbesorgung und Schadenseintritt bestehen („ex causa mandati“). Beispiele: Parkschaden an Privat-Pkw während der Dienstreise; Kunde schüttet Wein über beruflich genutzten Privat-Laptop.Laptop-Wein_Visions-AD-Fotolia_WEB Dagegen sind Schäden, die nur zufällig an privaten Geräten entstehen (ex „occasione mandati“) nicht zu ersetzen.
 

Zu 2.: Risikozuordnung „privat/betrieblich
Frage: Was geschieht bei einer Reparatur, z.B. nach Absturz des Laptops aufgrund von aufgespielten betrieblichen Daten? Eine Risikozuordnung wäre nur möglich, wenn die private und betriebliche Nutzung im Gerät, bei Verwendung des Providers usw. strikt getrennt sind. Dies ist technisch möglich (z.B. durch MDM, getrennte Provider, etc). Im Wesentlichen handelt es sich um die gleich gelagerte Fragestellung wie bei Privatnutzung von Betriebsmitteln des DG. Das Dienstnehmerhaftungsprivileg nach dem DHG besteht nur für den betrieblich genutzten Bereich.

Zu 3.: Auflösung des DV
Frage: Wie kommt der DG zu den Daten des „ehemaligen“ DN auf dessen Laptop; was muss dieser mit Kundenlisten etc. tun? Bei Auflösung des Dienstverhältnisses bedarf es einer Regelung im Dienstvertrag (DV), wonach die betrieblichen Daten an den DG zu übertragen und beim DN zu löschen sind; allenfalls ist zusätzlich ein Verfahren nach §§ 11, 12 UWG denkbar (Missbrauch von Geschäftsgeheimnissen und anvertrauten Vorlagen). Festzuhalten ist, dass das Eigentum am Gerät jedenfalls beim Eigentümer, d.h. im Fall des BYOD beim DN verbleibt. Bei Verdacht der Untreue des DN („Investigations“ bei fristloser Entlassung) stellt sich die Frage: „Wie weit darf ein Eingriff in Persönlichkeitsrechte des DN gehen, kann man den privaten Teil seiner Geräte durchforsten?“ Diese Frage ist ähnlich – d.h. jedenfalls mit Maß und Ziel – zu lösen wie bei privater Nutzung des betriebseigenen E-Mail Accounts.
 

A. Regelung von IT-relevanten Fragen zwischen DN und DG:

Die Vereinbarung von IT-relevanten Regelungen kann auf drei mögliche Arten erfolgen:

  • im individuellen Dienstvertrag (DV),
  • durch Richtlinien des DG für sämtliche DN (RL)
  • oder durch eine Betriebsvereinbarung nach dem ArbeitsverfassungsG („ArbVG“).

Ad 1: Die Vereinbarung IT-relevanter Regeln ist ratsam vor In-Kraft-Treten des DV, da Zusatzregelungen zu bestehenden Verträgen nicht verschlechternd wirken dürfen. Allenfalls wäre eine Änderungskündigung während des aufrechten DV denkbar.
 

Ad 2: Diese Art von „General-Regelungen“ des DG ist durch Dienstwagenrichtlinien bekannt geworden. RL werden aber oft auch zur generellen Regelung von IT-Infrastruktur usw. verwendet und stellen einseitige Weisungen des DG an alle (davon betroffenen) DN dar. RL können in den DV aufgenommen werden.
 

Ad 3: Generell besagt § 97 (1) Z 6 ArbVG, dass Betriebsvereinbarungen (die durch eine Entscheidung der Schlichtungsstelle ersetzbar sind) Maßnahmen zur zweckentsprechenden Benützung von Betriebsmitteln enthalten dürfen (Beispiel: E-Mail Accounts des DG). Gemäß § 97 (1) Z 17 ArbVG Paragraphen_Rynio-Productions-Fotoliadürfen Betriebsvereinbarungen auch Maßnahmen zur Sicherung der von den Arbeitnehmern eingebrachten Gegenstände enthalten (Beispiel: BYOD-Geräte des DN). Zustimmungspflichtige Maßnahmen bedürfen der Zustimmung des Betriebsrats (BR). Dies gilt für die Einführung von Systemen, die personenbezogene Daten verarbeiten und übermitteln (§ 96 a (1) Z 1 ArbVG, die durch eine Regelung der Schlichtungsstelle ersetzbar sind. Gemäß § 96 (1) Z 3 ArbVG wird darüber hinaus vorgeschrieben, dass für die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer (das sind u.a. generelle Überwachungssysteme wie Telefon- und inhaltliche Internetzugangsüberwachung, jedoch nicht solche, die nur das Ziel im Internet beschränken und nicht personenbezogene Daten speichern), sofern diese die Menschenwürde berühren jedenfalls die Zustimmung des BR notwendig ist. Gemäß § 10 AVRAG bedarf es in betriebsratslosen Betrieben jedenfalls auch der Zustimmung des DN.
 

B. Steuerliche und Sozialversicherungsrechtliche Vor- und Nachteile von BYOD
Vom DG beigestellte Geräte, Festnetzanschlüsse, Mobiltelefone, PC, haben keinen vom DN zu tragenden Sachbezugswert. Vom DN zur Verfügung gestellte Geräte haben ebenfalls keinen Sachbezug zur Folge. Erfolgt dafür ein pauschaler Aufwandersatz des DG, stellt dies jedoch Entgelt dar, welches Lohnsteuer- und sozialversicherungspflichtig ist.
 

C. Auszug aus einem Muster-Dienstvertrag
Der DG stellt dem DN sämtliche für die Ausübung der Tätigkeit des DN notwendigen Arbeitsgeräte, Anschlüsse und Applikationen („Geräte“) zur Verfügung. Eine private Nutzung derselben ist nicht erlaubt.

  1. Dem DN ist es aber gestattet nach schriftlicher Zustimmung des DG dafür auch von ihm selbst angeschaffte, dort näher bezeichnete Geräte zu verwenden, wenn diese mit den technischen Voraussetzungen des IT-Systems des DG kompatibel sind und damit die Sicherheitserfordernisse dieses Systems nicht beeinträchtigt werden. Der DN verpflichtet sich für diesen Fall, die betriebliche Nutzung auf den von ihm dem DG freiwillig zur Verfügung gestellten Arbeitsmitteln getrennt von seinen privaten Nutzungen durchzuführen und gestattet dem DG diesbezügliche Programme und Updates sowie die für die betriebliche Nutzung notwendigen auch in Form der Fernwartung durch IT-Dienstleister des DG zu installieren. Vor Beendigung des Dienstverhältnisses: …
  2. Es gilt ausdrücklich die jeweilige IT-Richtlinie des DG (z.B. Referenzierung auf ISO 27001, ISO 20000 etc.): ……
  3. Kundendaten und Informationen, die Angelegenheiten des Unternehmens betreffen, in welcher Form sie auch immer abgespeichert sind, stehen im ausschließlichen Eigentum des DG: …
  4. Teilnahme des DN an Social Media für den DG: …
  5. Für den Fall des Zuwiderhandelns gegen die oben genannten Bestimmungen verpflichtet sich der DN zur Zahlung einer Konventionalstrafe: …

Hat ein Unternehmen verbindliche Policies und Richtlinien nach ISO 27001 für Informationssicherheit oder ISO 20000 für IT-Service-Management eingeführt, ist es vorteilhaft die BYOD-relevanten Inhalte daraus unter Punkt 2 des Mustervertrages anzuführen. Weitere Regelungen im DV hinsichtlich Betriebsgeheimnisse, Erfindungsvergütungen, Ansprüchen aus Urheberrechten, aus Konkurrenzklauseln, etc. sind anzupassen.


Der Autor, Rechtsanwalt Dr. Michael Meyenburg ist auf Arbeitsrecht vor dem Hintergrund der Social-Media- und BYOD-Thematik spezialisiert. Für die akkreditierte Zertifizierungsorganisation CIS fungierte er als Vortragender im Rahmen des „9. Information-Security-Symposiums, WIEN 2013“.
michael.meyenburg@sla-mey.at , T: 01- 526 33 00


Teil 1 des BYOD-Vortrags von RA Dr. Markus Frank finden Sie hier.
________________________
Für den Inhalt verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB