„Bring your own device“ –
Rechtsgrundlagen für die Verwendung privater IT-Geräte der Arbeitnehmerinnen
Diplomarbeit
zur Erlangung des Grades einer Magistra der
Rechtswissenschaften an der Rechtswissenschaftlichen Fakultät der Leopold-Franzens-Universität Innsbruck
eingereicht bei:
Univ.-Prof. Dr. Gert-Peter Reissner Institut für Arbeits- und Sozialrecht,
Wohn- und Immobilienrecht und Rechtsinformatik
von Karin Bolai Tien Innsbruck, Oktober 2015
Eidesstattliche Erklärung
Ich erkläre ehrenwörtlich, dass ich die vorliegende Arbeit selbstständig und ohne fremde Hilfe verfasst, andere als die angegebenen Quellen nicht verwendet und die den benützten Quellen wörtlich oder inhaltlich entnommenen Stellen als solche kenntlich gemacht habe.
……….
Innsbruck, am 31.10.2015
Vorwort
Das Zusammenwirken von Recht, Technik und Informationssicherheit stellt die Arbeitswelt vor Herausforderungen, die das Verhältnis von Arbeitgeberinnen und Arbeitnehmerinnen beeinflusst.
Die Arbeitgeberin kann das Arbeiten im Internet und mit betrieblicher Hardware auch für private Zwecke erlauben. In manchen Fällen, wie in dieser Arbeit behandelt, werden die Arbeitsmittel von den Arbeitnehmerinnen selbst mitgebracht und eingesetzt. Mit der Verwendung eigener Privatgeräte am Arbeitsplatz, wird der Arbeitgeberin die Pflicht auferlegt, die Unternehmensdaten zu schützen. Gleichzeitig bietet sich in diesem Zusammenhang eine Kontrollmöglichkeit für die Arbeitgeberin. Durch die privaten Geräte am Arbeitsplatz hat sie Einsicht in die Daten der Arbeitnehmerinnen, die sich auf dem Privatgerät befinden.
Auch besteht die Schwierigkeit darin, ein Gerät, welches für private Einsatzgebiete produziert wurde, an die Sicherheitsanforderungen des Datenschutzes in einem Betrieb anzupassen. Werden Vorkehrungen nicht getroffen, kann das private mobile Gerät eine Sicherheitslücke darstellen. Mobile Geräte werden verwendet, da diese ortsunabhängig einsetzbar und gleichzeitig Knotenpunkt für mehrere Funktionen sind. Demnach wird der klassische Rechnerarbeitsplatz mit kontrollierten Web- und Datenzugang oft ergänzt oder vollständig abgelöst von einer Reihe mobiler Geräte. Der Trend zu einem dezentralen Arbeitsplatz nimmt zu. In diesem Zusammenhang taucht das Schlagwort „Bring your own device“ mit Datensicherheit, Unternehmenskultur und IT-Architektur auf.
Diese Arbeit soll einen Überblick über die rechtlichen Rahmenbedingungen bieten, die dieses Phänomen begleiten. Auch für die Zukunft hat sich die gezeigt, dass die Nutzung von technischen Hilfsmitteln, die im Eigentum der Arbeitnehmerinnen stehen, keinesfalls bei den leicht erkennbaren Tablets, Smartphones und Zwischengrößen aller Art stehen bleiben wird. Die Abgrenzung zwischen Privaten- und Unternehmensdaten wird schwieriger. Der Umgang in einem Unternehmen mit „Bring your own device“ hat bedeutsame Auswirkungen auf das Arbeitsrecht und das Datenschutzrecht.
Hinweis
Zur Verbesserung der Textstruktur wird die eingeschlechtliche Bezeichnung verwendet, somit sind alle Personen- und Funktionsbezeichnungen, die in dieser Arbeit in der weiblichen Form verwendet werden, sinngemäß auch in der männlichen Form gemeint.
Inhaltsverzeichnis
Vorwort... III Inhaltsverzeichnis ... V Abkürzungsverzeichnis ... VII
I. Einleitung ... 1
1. Technische Entwicklung der mobilen Endgeräte ... 1
2. Problemstellung ... 6
II. Arbeitsrechtliche Rahmenbedingungen ... 9
1. Rechtsgrundlagen für die Einbringung mobiler Geräte ... 9
1.1. Inhalte von Nutzungsvereinbarungen im weiteren Sinne ...12
1.1.1. Abgrenzung dienstliche oder private Daten ... 13
1.1.2. Unterscheidung dienstliche oder private Nutzung ... 14
1.2. Inhalte von Nutzungsvereinbarungen im engeren Sinne ...15
1.2.1. Art und Umfang des Zugriffsrechtes ... 16
1.2.2. Kostentragung für Hardware, Software, Netzzugang ... 22
1.3. Beendigung der Nutzung mobiler Geräte ...23
1.3.1. Auflösung der Nutzungsvereinbarung ... 23
1.3.2. Verstoß gegen Nutzungsvereinbarung ... 25
1.3.3. Rechtsfolgen unzulässiger Nutzung ... 26
2. Schutzvorschriften für den Einsatz ... 28
2.1. Bildschirm- und Büroarbeitsplätze ...28
2.2. Anforderung an mobile Bildschirmarbeit ...29
3. Haftung und Schadenersatz ... 30
3.1. Beschädigung der AN-Geräte ...31
3.1.1. Sonderfall: Fernlöschung ohne Begründung ... 32
3.2. Schadensfälle durch die AN-Geräte ...33
3.3. Haftung bei Schäden an Dritten ...36
4. Datensicherheit als AN-Pflicht ... 37
4.1. Verwahrung und Meldepflicht bei Verlust ...37
4.2. Vertraglicher Schutz der Daten insbesondere Geheimnisschutz ...37
4.3. Technische und organisatorische Schutzmaßnahmen ...42
5. Kontrolle der AN durch den Einsatz der mobilen Geräte ... 43
5.1. Überwachung und Kontrolle des mobilen Endgerätes ...45
5.1.1. Individualrechtliche Schranken ... 45
5.1.1.1. Persönlichkeitsrecht und Menschenwürde ... 46
5.1.1.2. Rechtfertigung einer Überwachung des mobilen Endgerätes ... 47
5.1.2. Kollektivrechtliche Schranken ... 50
5.1.2.1. Notwendige Mitbestimmung des BR ... 52
5.1.2.2. Einführung von Kontrollmaßnahmen ... 54
III. Datenschutzrechtliche Rahmenbedingungen ... 57
1. Begriffsbestimmungen ... 57
1.1. Grundrecht auf Datenschutz ...61
1.1.1. Prinzipien des Datenschutzrechts ... 63
1.2. ArbeitnehmerInnendatenschutz ...64
1.2.1. Rechte der Betroffenen ... 65
1.2.1.1. Widerspruchsrecht ... 66
1.2.1.2. Auskunftsrechte ... 66
1.2.1.3. Recht auf Richtigstellung oder Löschung ... 67
IV. Resümee ... 68
V.
Literaturverzeichnis ... 71
VI. Online Quellen ... 83
Abkürzungsverzeichnis
ABGB Allgemeines Bürgerliches Gesetzbuch
Abs Absatz
AG Arbeitgeber(In)
AK Arbeiterkammer
AktG Aktiengesetz
AN Arbeitnehmer(In)
AngG Angestelltengesetz
Anwbl Österreichisches Anwaltsblatt
APK Android application package
App Application
ArbVG Arbeitsverfassungsgesetz
Art Artikel
ASchG ArbeitnehmerInnenschutzgesetz
ASG Arbeits- und Sozialgericht
AV Arbeitsvertrag
AVRAG Arbeitsvertragsrechts-Anpassungsgesetz
AZG Arbeitszeitgesetz
Bd Band
BGBl Bundesgesetzblatt
BR Betriebsrat
bspw beispielsweise
BS-V Bildschirmarbeitsverordnung
BWG Bundesgesetz über das Bankwesen
BYOD Bring your own device
bzgl bezüglich
bzw beziehungsweise
C’t Magazin für Computertechnik
Dako Datenschutz konkret
dBKA Deutsches Bundeskriminalamt
DHG Dienstnehmerhaftpflichtgesetz
DRdA Das Recht der Arbeit
dRdA (deutsche) Recht der Arbeit
DSG Datenschutzgesetz BGBl I Nr. 165/1999
DSK Datenschutzkommission
ecolex Fachzeitschrift für Wirtschaftsrecht
E-Government electronic government
E-Mail Elektronische Post
EMRK Europäische Menschenrechtskonvention
ENISA European Union Agency for Network and Information Security
EuGH Europäische Gerichtshof
EWG Europäische Wirtschaftsraum
gem gemäß
GewO Gewerbeordnung 1859
GmbHG Gesetz über Gesellschaften mit beschränkter Haftung
GPS global positioning system
HDMI High Definition Multimedia Interface
HMD Praxis der Wirtschaftsinformatik
Hrsg Herausgeber
iDPLA iPhone/iPad Developer Program License Agreement
IKT Informations- und Kommunikationstechnik
Inc. Corporation
infas Informationen aus Arbeits- und Sozialrecht
iOS Betriebssoftware von Apple
IoT Internet of the things
iSd Im Sinne der/des
IT Informationstechnik
iVm Verbindung mit
iwS Im weiteren Sinne
JB Jahrbuch
JBl Juristische Blätter
JSt Journal für Strafrecht
KI Kriminalistisches Institut
lit Buchstabe
LStR Lohnsteuerrichtlinien
LTE Long Term Evolution
M2M Machine to machine
mA meiner Ansicht
MDM Mobile Device Management
mE meines Erachtens
mMn meiner Meinung nach
MR Medien und Recht
NFC Near Field Communication
Ob Aktenzeichen des Obersten Gerichtshofes
für Zivilsachen
ObA Aktenzeichen des Obersten Gerichtshofes
für Arbeitsrechtssachen
ÖBB Österreichische Bundesbahn
ObS
Aktenzeichen des Obersten Gerichtshofes für Sozialrechtssachen
OGH Oberster Gerichtshof
ÖJZ Österreichische Juristen Zeitung
OLG Oberlandesgericht
OS Operating System
OTA Over-the-air
PC Personal computer
PDA Personal digital assistent
PIN Persönliche Identifikationsnummer
QR Quick Response
RdW Recht der Wirtschaft
REM Recht der elektronischen Massenmedien
RFID radio-frequency identification
RL Richtlinie
Rsp Rechtsprechung
RTR Aufsichts- und Schlichtungsstelle für den österreichischen
Rundfunk- und Telekommunikationsmarkt
Rz Randzahl
SCADA Supervisory Control and Data Acquisition
StGB Strafgesetzbuch
StGG Staatsgrundgesetz
TAN Transaktionsnummer
UGB Unternehmensgesetzbuch
uo und oder
usw und so weiter
UWG Bundesgesetz gegen den unlauteren Wettbewerb
VO Verordnung
vv vice versa
wbl Wirtschaftsrechtliche Blätter
WLAN Wireless Local Area Network
WPBI Wirtschaftspolitische Blätter
WuM Wirtschaftsinformatik und Management
Z Ziffer
ZAS Zeitschrift für Arbeits- und Sozialrecht
zB Zum Beispiel
ZIIR Zeitschrift für Informationsrecht
ZPO Zivilprozessordnung
I. Einleitung
1. Technische Entwicklung der mobilen Endgeräte
Die Entwicklung der Smartphones begann bereits 1973, damals noch bezeichnet als Mobiltelefon. Die Telekommunikationsindustrie unterlag einer rasanten Entwicklung, insbesondere durch den Elektroingenieur Dr. Martin Lawrence Cooper und Industriedesigner Rudy Krolopp, beide zu dieser Zeit tätig für die Firma Motorola Corporation. Ihre Entwicklung war der erste Protoyp eines klassischen Mobiltelefons, namens DynaTAC 8000X1. Weiter schritt der Prozess 1994 voran, da eine innovative Integration einer kapazitiven Benutzerinnenoberfläche entwickelt wurde. Die Neuheit BellSouth2 „Simon Personal Communicator“, kreiert von International Business Machines Corporation IBM und hergestellt durch Mitsubishi Electric Corporation, konnte mit dieser durch Berühren am Bildschirm Informationen verarbeiten.
Rund vierunddreißig Jahre nach DynaTAC am 9.1.2007 wurde das erste Smartphone des Unternehmens Apple Inc., unter der Produktbezeichnung „iPhone“, der Weltöffentlichkeit vorgestellt. Das „iPhone“ hatte ein ansprechendes Design und ein anwenderinnenfreundliches Betriebssystem mit dem Bezeichnung „iOS“. Ab diesem Meilenstein der Geschichte der Smartphones wurde das Kommunikationsgerät zu einem Allzweckwerkzeug. Heute integriert es im Gebrauchsalltag bereits Kamera, Tonaufnahmegerät, Navigationsgerät, MP3-Player, Wecker, Spielkonsolen und sogar die Taschenlampe. Die Kernaufgabe der Telefonie und Nachrichtenübertragung wird mit jedem voranschreitenden Jahr intuitiver und der Schwerpunkt weiter auf E-Mail- und Instant- Messaging-Dienste3 gesetzt. Neben der Vervielfältigung der Funktionen von Smartphones wurde in den letzten Jahren ein breites Angebot am Markt an Herstellerinnen und Betriebssystemen bemerkbar. Deshalb ist die Bandbreite, an verwendeten Marken und Updateversionen, fragmentiert. Eine einfache Auswahl, nur eines Modells als Firmenhandy, kann durch das große Angebot selten allen Präferenzen der Arbeiterinnen genügen.
1 Motorola Inc., Communications Divison Motorola Annual Report 1973,
http://www.motorolasolutions.com/content/dam/msi/docs/en-xw/static_files/1973_Motorola_Annual_Report.pdf (17.8.2015).
2 International Business Machines Corporation, Simon User Manuals,
http://research.microsoft.com/en-us/um/people/bibuxton/buxtoncollection/a/pdf/Simon%20User%20Manuals.pdf (17.8.2015).
3 Dazu näher Rundfunk und Telekom Regulierungs-GmbH, Kommunikationsbericht 2014, http://www.parlament.gv.at/PAKT/VHG/XXV/III/III_00194/imfname_437412.pdf (17.8.2015).
Eingesetzt werden die Smartphones im Unternehmensumfeld, um Mitarbeiterinnen es zu ermöglichen, abseits vom Festnetztelefon oder stationären „Voice over IP“ Systemen, in Kontakt zu Kundinnen oder Arbeitskolleginnen zu treten. Sie können auch Termine und Aufgaben am Gerät ersichtlich machen, sowie Zugriffe auf Datensätze durchführen.
Vorrangig befand sich das Firmenhandy im Eigentum der Arbeitgeberin. Die Überlassung von Dienstgeräten, auch zum Einsatz im Privatleben, wurde über Nutzungsvereinbarungen geregelt.
Neben einer neuen Generation an Hardware und Betriebssystemen, ist auch die Weiterentwicklung der Anwendungssoftware, eine Herausforderung für die Datensicherheit geworden. Diese Software, auch genannt „Mobile Application“ (Kurzform: Apps), dient dazu Anwendungen auf den mobilen Gerät auszuführen. Diese Apps werden auf Internetplattformen, meist durch die Betriebssystemherstellerinnen, vertrieben. In angebotenen Online-Stores haben Besitzerinnen eines Smartphones die Möglichkeit diese Programme zu beziehen und sich infolgedessen diese über einen Installationsvorgang verwendungsbereit zur Verfügung zu stellen. Die Plattformbetreiberinnen, wie beispielsweise Apple Inc. mit „App Store“, regeln mit firmeneigenen Vorgaben die Entwicklung einer App. Diese "iPhone/iPad Developer Program License Agreement", auch abgekürzt als iDPLA4, legen Bedingungen festgelegt, die die kostenpflichtige Registrierung von Entwicklerinnen, Lizenzrechte, Urheberrechte und Datenschutzbestimmungen betreffen. Auch Google Inc. mit „Google Play“ hat Bestimmungen5 für die Entwicklung von Android-Apps und legt damit auch Voraussetzungen für Design, Cloud und Backup Dienstleistungen fest.
Plattformbetreiberinnen legen demnach den Grundbaustein für die benötigte Datensicherheit bei eingesetzten Apps. Sicherheitslücken6, in Bezug auf Identitätsfeststellung der Entwicklerinnen, gefälschte Bewertungen der Apps für ein besseres Ranking und unzureichende Kontrollen, können trotz Kontrolle der Plattformbetreiberinnen entstehen.
4 Apple Inc., iPhone/iPad Developer Program License Agreement,
https://developer.apple.com/programs/terms/ios/standard/ios_program_standard_agreement_20140909.pdf (18.8.2015).
5 Google Inc., Legal Notice, http://developer.android.com/legal.html (18.8.2015).
6 Dazu näher European Union Agency for Network and Information Security (ENISA), Appstore security: 5 lines of defence against malware, http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-
applications/smartphone-security-1/appstore-security-5-lines-of-defence-against-malware/at_download/fullReport (18.8.2015).
Eine weitere Möglichkeit Apps zur Verfügung zu stellen, ist der Vertrieb ohne die klassische Bereitstellung oder eines separaten Verteilungskanals in den Online-Stores.
Hierzu werden die programmierten Dateien, wie im Fall für Androidsysteme als „Android application package“ (APK) Format oder für iOS als „iPhone application archive“ (IAP), weiter gegeben. Firmenintern7 können ausgewählte Apps an eine gesonderte Personengruppe zur Verfügung gestellt werden oder die Verteilung über den Firmenserver an sämtliche Mitarbeiterinnen erfolgen.
Zu unterscheiden ist, neben den Verteilungsansätzen der Apps, auch deren Entwicklerumgebung. Bei der bereits angeführten Option der Verbreitung von Apps, über die Online-Stores oder der internen Verteilung, handelt es sich um eine „Native App“ oder
„Hybrid App“. Beide unterscheiden sich darin, wie weit das Programm der App, das Betriebssystem miteinbinden kann, damit sind Funktionen des Gerätes gemeint, auf die die App Zugriff haben kann oder nicht.8 Bei der „Hybrid App“ wird ein nativer Rahmen9 geschaffen, in dem schlussendlich die programmierte „Web-App“ ihrer Funktionen einen
7 Plattformen zur firmeninternen Verteilung von Apps werden auch als Enterprise App-Stores bezeichnet.
8 Funktionen, wie bspw Push-Benachrichtigungen oder das Scannen von QR-Codes.
9 Der native Rahmen lädt im Hintergrund eine webbasierte Anwendung, nutzt die Funktionen des mobilen Gerätes und leitet Informationen weiter.
Abbildung 1: Mobile Kommunikation mit Einbindung privater Smartphones
Handlungsspielraum verleiht. Auch für sich alleine kann die dritte Variante, eine sogenannte
„Web-App“, mit Zugriff über das Internet entwickelt werden. Diese kann vollständig unabhängig zum Betriebssystem im Browser aufgerufen werden. Nachteil einer „Web-App“
ist die benötigte Internetkonnektivität und der eingeschränkte Zugang zu Funktionen des Gerätes. Zur Ergänzung sei an dieser Stelle noch die „Multi-Channel-Apps“ erwähnt. Diese können von jedem mobilen und stationären Gerät abgerufen werden und sind unabhängig vom verwendeten Betriebssystem.
Demnach ist das hervorstechende Kennzeichen, in der Unterscheidung der App Formate10, der volle oder teilweise Zugriff auf die Funktionen der Smartphones, um Hard- oder Softwarekomponenten nutzen zu können. Je flexibler ihre Unabhängigkeit zum eingesetzten Betriebssystem, desto mehr Anwenderinnen können sie nutzen. Es ist für Arbeitgeberinnen wichtig zu erfahren, welches Betriebssystem eingesetzt wird, da bereits die Plattformbetreiberinnen unterschiedliche Sicherheitsanforderungen haben, um Apps zur Verteilung zuzulassen. Jedes Betriebssystem erfordert eigene Softwareentwicklung und zugeschnittene Sicherheitsstandards. Die AG kann sich dazu entscheiden ihre Firmen- Apps selbst zu verteilen oder dies einer Plattformbetreiberin zu überlassen.
Eine Geräteverwaltung kann über Programme erfolgen, die Inhalte auf dem Gerät kontrollieren können.11 Das „Mobile Device Management“ (MDM) gleicht einem virtuellen Kontrollzentrum, das von Fernlöschung über Remote-Zugriff das gesamte Gerät steuern kann. Somit kann eine MDM-Lösung12 eine einheitliche Regelung von Unternehmensrichtlinien gestalten und durchsetzen. Mitunter ist es über diese Kontrollfunktion möglich, sowohl die Arten der Verbindung, wie WLAN oder Bluetooth eines mobilen Endgerätes einzusehen und diese zu stoppen. Die Kamerafunktion kann ebenso aktiviert oder deaktiviert und die Nutzung von bestimmten Apps eingestellt werden. Wenn die Wahl auf den vollständigen Zugriff des Gerätes fällt, ist es schwierig persönliche Daten der AN zu isolieren.
Die Arbeitgeberin kann entweder den Zugriff auf das gesamte Gerät verlangen oder den Datenaustausch durch eine „Container“ Strategie lenken. Bei einer Container Lösung wird ein virtueller verschlüsselter Bereich geschaffen, der private und unternehmensinterne
10 Martens/Hein, Daten wachsen Beine: Auswahlkriterien für mobile BI-Apps, CFO aktuell 2014, 34 (35).
11 Weitere mögliche Aufgaben von MDM: Verschlüsselungen von Nachrichten, Softwareverteilung organisieren, verwendete Geräte listen und Containerlösungen beaufsichtigen.
12 Kreuzhuber/Teufl/Zefferer, Sicherheitsanalyse mobiler Plattformen Version 1.0 vom 22.4.2014, http://www.a-sit.at/pdfs/Technologiebeobachtung/studie_sicherheitsanalyse_mobile_plattformen_v1.0.pdf (21.8.2015).
Daten trennt. Meist wird in diesem abgeschotteten Umfeld die Firmen-Apps zur Verfügung gestellt.13 Bei einem separaten abgeschotteten Datenbereich des Unternehmens vereinfacht sich die Kontrolle über unternehmenssensiblen Dateien und die Durchsetzung von Datenschutzrichtlinien.
Klassische mobile Geräte, wie Smartphones, Tablets, werden bereits heute ergänzt, durch am Körper getragene technische Hilfsmittel. Beispielsweise Uhren14, sogenannte
„Smartwatches“, die mit Smartphones verbunden sind, verfügen über einen Bildschirm und können auch Nachrichten empfangen.15 Oft werden durch Sportmessgeräte (bspw Fitnesstracker), die sich mit den mobilen Geräten synchronisieren, Gesundheitsdaten erstellt. Ebenso sind bereits in vielen alltäglichen Gegenständen16 Messgeräte eingearbeitet werden, die Daten aufzeichnen und auswerten.
Die Vernetzung zwischen mobilen und auch stationären Geräten wird mit „Internet of the Things“ und der Kommunikation von „Machine-to-Machine“ voranschreiten.17 Durch den Einsatz der mobilen Geräte und technische Hilfsmittel am Arbeitsplatz wird das Recht auf Geheimhaltung personenbezogener Daten in der Arbeitswelt berühren.
13 Teufl/Zefferer, Bedrohungsanalyse und Sicherheitsanforderungen für M-Government Applikationen Angriffspotentiale und Schutzfunktionen, Version 2.0 vom 1.7.2011,
https://online.tugraz.at/tug_online/voe_main2.getvolltext?pCurrPk=58566 (21.8.2015).
14 Lehner/Grabmann/Ennsgraber, Crowdfunding - Innovationsmotor oder Irrweg? Auswirkungen auf Geschäftsmodelle junger Unternehmen, CFO aktuell 2015, 156 (158).
15 Problematisch für den Datenschutz, da ein PIN bspw nicht nur auf dem Smartphone, sondern auch auf der Uhr angezeigt wird.
16 zB Google Glass, textile Flächengebilde mit integrierten Messsensoren.
17 Burgstaller, Editorial IoT und M2M: Wo bleibt der Datenschutz und die Informationssicherheit? ZIIR 2015, 121 (121).
Abbildung 2: Trennung der Daten mit Containerlösungen
2. Problemstellung
Die Einbringung privater Gegenstände und deren Einsatz während der Arbeitszeit, um beruflich notwendige Erledigungen zu erfüllen, ist im Arbeitsrecht keine Neuheit. Es werden bereits beispielsweise Laptops18, Fahrzeuge19 und Arbeitskleidung20 von Mitarbeiterinnen zur Verfügung gestellt. Bisher war der klassische Stand-PC, der Firmenlaptop, das Firmenhandy für den Arbeitseinsatz allein ausgerichtet. Hingegen sind private mobile Geräte nicht unbedingter Weise auf den Einsatz im Unternehmensumfeld ausgelegt.
Die nächste Besonderheit gründet sich in der Eigentumsfrage. AN sind die Eigentümerinnen der Geräte, sie wählten diese unter Anbetracht ihrer persönlichen Präferenzen. Die Dispositionsfreiheit über die mobilen Geräte obliegt der AN. Privatgeräte sind für den Privatkonsum hergestellt worden und bieten selten ausreichende Schutzmechanismen für den Datenschutz betrieblicher Informationen. Somit ist der Datenschutz ein zentrales Thema beim Einsatz privater Endgeräte.21
Diese Arbeit wird das Problem des Aufwandersatzes erörtern, inwieweit die AG verpflichtet ist, Ausgaben für den Kauf und das Betreiben der Geräte zu ersetzen. Der Kostenfaktor spielt eine bedeutende Rolle. Es fallen die Kosten der Anschaffung, Reparatur und Wartung an. Die Entwicklungskosten für Sicherheitssysteme oder Software gegen Schadprogramme müssen ebenso in die Kostenfrage miteinbezogen werden.22 Auch wird darauf eingegangen, welche Regelungen für einen Schadensfall getroffen werden können.
Wann und wie die Nutzung überhaupt erlaubt und in welcher Form die Erlaubnis widerrufen werden kann.
Die technischen Lösungen, wie bereits beschrieben, mit Vollzugriff oder Containerlösung, bestimmen die Intensität der Eingriffe auf die Daten der Privatgeräte. Die AG kann in einem Zulassungsverfahren festlegen, ob eine Unterscheidung, im Hinblick auf Gerätespezifikationen, gemacht wird. Demnach welche aktuellen Versionen von Betriebssystemen erlaubt werden und welche Geräte den unternehmenseigenen
18 Dazu näher Zankel, Bring your own device: Problemfelder der Übertragung von Arbeitgeberpflichten aus der Sicht des Arbeits- und des Datenschutzrechts, ASoK 2013, 423 (423).
19 Dazu näher Gerhartl, Schäden am dienstnehmereigenen Kraftfahrzeug, ASoK 2013, 56 (59).
20 Dazu näher Mitschka/Steiner, Beistellungs- und Kostentragungspflicht für Arbeitskleidung, ZAS 2014/50, 304 (306).
21 Kohlbacher, Spielräume bei der Vertragsgestaltung, ZAS 2015/22, 136 (139).
22 Pollirer, Checkliste - Bring Your Own Device (BYOD), Dako 2014/17, 12 (13).
Standards23 genügen. Ihre Regelung kann auch die Frage klären, inwiefern es erheblich ist, wenn es sich um eine modifizierte Betriebssystemvariante24 handelt.
Für Geräteinhaberinnen ist es von besonderem Interesse absehen zu können, welche Datensicherheitsmaßnahmen getroffen werden müssen. Da eine Verletzung dieser arbeitsvertragliche Konsequenzen nach sich ziehen können. Arbeitnehmerinnen haben Schutzrechte, die ihnen bei schwerwiegender rechtswidriger Datenverwendung zur Verfügung stehen.25 BYOD ist ein Balanceakt, zwischen einer Reglementierung, um Daten der AG zu schützen und dennoch die Nutzbarkeit der Geräte im privaten Umfeld aufrecht zu erhalten. Ein Mittel hierfür ist bspw die Verwendung von „White“- und „Blacklists“, diese legen die Freigabe für die Nutzung bestimmter Apps fest.26 Arbeitnehmerinnen müssen für sich entscheiden, in welchem Ausmaß sie sich den Regelungsinteresse der AG unterwerfen.
Das mobile Endgerät kann Träger unternehmensrelevanter Daten sein. Diese gilt es von internen und externen Angriffen zu schützen. Gleichzeitig darf diese Vorsichtsmaßnahme keine generelle Ausnahme bilden, um ein Nährboden für Kontrollmaßnahmen der AG gegenüber der AN darzustellen. Hier bekommt auch das Kollektivrecht ein bedeutende Rolle zugeschrieben, da gegebenenfalls den Informations- und Mitbestimmungsrechte des Betriebsrats Rechnung getragen werden muss.
Da Dispositionshandlungen über das Gerät nicht ohne Zustimmung der Eigentümerin ergehen können, muss auch ein Austausch, Verkauf oder eine notwendige Entsorgung ebenso Inhalt einer Nutzungsvereinbarung sein.27 Auch sind Arbeitnehmerinnenschutzbestimmungen beim Einsatz von BYOD beachtenswert, die Verantwortung über den Gesundheitsschutz von Bewegungsapparat und Sehkraft, obliegen auch bei Nutzung privater Geräte der Arbeitgeberin.
Chancengerechtigkeit in den Zugangs- und Nutzungsmöglichkeiten von digitalen Medien ist auch im Bereich der Hardware und Software ein relevantes Thema. Es ist wichtig älteren Generationen an AN eine realistische Teilnahme zu ermöglichen. Auch Menschen
23 Bspw Prozessorleistung, Speicherkapazität, erforderliche Schnittstellen, Bildschirmauflösung.
24 Modifikationen des Betriebssystems können tiefergehende Einstellungen ermöglichen und
Herstellerinnenrichtlinien umgehen, hier wird auf „jail-break“ für iOS und „Root“ für Android angesprochen.
25 Dohr/Pollirer/Weiss/Knyrim, Kommentar zum Datenschutzgesetz² (2014) § 33 ErläutRV (Stand: 7.7.2015, rdb.at).
26 „Black-“ und „Whitelist“ Protokolle sollen eine Anleitung sein, um anzugeben, welche Programme nicht installiert werden dürften und welche erlaubt sind. Fallweise das Verbot von bestimmten Apps, die Daten in Clouds automatisch speichern.
27 Walter/Dorschel, Mobile Device Management – rechtliche Fragen, WuM 2012/3, 22 (23).
mit Einschränkungen im Bewegungsapparat oder Sinnesbehinderung soll eine barrierefreie Kommunikation28 gelingen dürfen.
Laut der Mobile Marketing Association29 durchgeführten Befragung setzen 62 % der Österreicherinnen ihr Privathandy ausschließlich in ihrer Freizeit ein. Ein Drittel benutzt die Geräte, während der geschäftlichen Tätigkeit und außerhalb der Arbeit. Nur mehr ein Prozent setzt das Handy rein beruflich ein. Ist es erlaubt Apps auf den Firmenhandys zu installieren, achten bereits knapp mehr als die Hälfte auf die Zugriffsrechte, die die Apps verlangt. Auch reagieren Mitarbeiterinnen, bei einem zu großem Ausmaß an Zugriffsrechten, mit einer Nichtinstallation darauf. Zwar besitzen 2015 noch nicht einmal zehn Prozent eine „Smartwatch“, doch war einer der weiteren genannten Gründe, für die Kaufentscheidung, die Einsetzbarkeit in der Arbeit.
Die Bewusstseinsbildung eines verantwortungsvollen Umgangs mit neuen Medien und Geräten30 entwickelt sich je nach Alter, Erfahrung und technischen Möglichkeiten. Das mobile Gerät wird zu einem allzeit einsetzbaren Werkzeug, das einerseits stark die Identität der einzelnen Trägerinnen widerspiegelt, aber auch die AG einem Risiko aussetzt. Die Geräte können durch die handliche Größe schneller verloren gehen. Mit dem ortsunabhängigen Einsatz sind diese gefährdet zerstört oder gestohlen zu werden. Selbst durch unsachgemäße Verwendung kann sogar die Betriebssoftware nachhaltig beschädigt und das Gerät unbrauchbar werden. Ein Schaden durch einen Datenverlust ist nicht leicht zu beziffern.31
Auf den ersten Blick steigt die Mitarbeiterinnenzufriedenheit, bei der freien Wahl ihrer Geräte32, doch besteht die Schwierigkeit darin, Datensicherheit zu gewährleisten. Die informationelle Selbstbestimmung33 kann durch die Weisungs- und Kontrollunterworfenheit34 der AN gegenüber der AG auch im Arbeits- und Datenschutzrecht nur schwer durchgesetzt werden.
28 Siehe Web Accessibility Initiative, Richtlinien für barrierefreie Webinhalte, http://www.w3.org/WAI/intro/wcag (16.10.2015).
29 Mobile Marketing Association, Mind Take Research GmbH Communications Report 2015, http://www.mmaaustria.at/html/img/pool/mobilecommunicationsreport2015.pdf (3.9.2015).
30 Ghazal, Schutz der Persönlichkeit im Internet, in Jaksch-Ratajczak (Hrsg), Aktuelle Rechtsfragen der Internetnutzung (2010) 43 (69).
31 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., Spezieller Datenschutz, 17. Arbeitnehmerdatenverarbeitung, D. Mobile IT-Geräte im Arbeitsumfeld, 3. IT-Geräte im Eigentum des Mitarbeiters Bring Your Own Device (Stand: 7.7.2015, rdb.at).
32 Dazu näher Bartz/Schmutzer, New World of Work, WPBI 2015/1, 163 (171).
33 Grabenwarter, Das Recht auf informationelle Selbstbestimmung im Europarecht und im Verfassungsrecht, AnwBl 2015, 404 (405).
34 Dazu näher Auer-Mayer, Die Grenze zwischen selbständiger und unselbständiger Tätigkeit aus sozialversicherungsrechtlicher Sicht dargestellt am Beispiel der IT-Branche, ZAS 2015/2, 4 (8).
II. Arbeitsrechtliche Rahmenbedingungen
1. Rechtsgrundlagen für die Einbringung mobiler Geräte
Unternehmerinnen setzen materielle und immaterielle Güter ein, um ihre angebotenen Dienstleistungen oder Produkte am Markt anbieten zu können. Als Grundsatz im Arbeitsrecht muss die AG zur Erbringung der Arbeitsleistung verpflichtend die Arbeitsmittel bereitstellen.35
Unter mobilen IT-Geräten sind in der Arbeitswelt alle, für einen mobilen Einsatz geeignete Geräte, zu verstehen, so etwa Notebooks, Personal Digital Assistants (PDAs), Tablet-PCs und Smartphones. Der Begriff mobile IT-Geräte umfasst jene technischen Vorrichtungen, die geeignet sind ortunabhängig eingesetzt zu werden. Vorrangig wurden in dieser Form Laptops, Notebooks, Personal Digital Assistants, als tragbare Rechner eingesetzt. Peripheriegeräte ergänzen mobile Geräte, diese sind entweder intern verbaut oder extern verbunden. Die betriebliche Nutzung von mobilen Endgeräten wird durch Smartphones, Tablet-PCs, Wearables verstärkt. Abhängig von Leistungsstärke und erforderlichen Hardwarekomponenten können mobile Geräte Arbeitsschritte erleichtern oder beschleunigen. Es muss unterschieden werden, zwischen einem aktiven Einsatz und einer reinen passiven Datensammlung. Es existieren mobile Geräte, deren Hauptaufgabe es ist, zum heutigen Standpunkt der Technik, entweder Gesundheitsdaten („Life Tracking“) zu sammeln oder als Schlüsselfunktion, die Weiterleitung von Informationen und Zugangsdaten (zB Mobile TANs auch auf die Smartwatch, Türöffner) zu ermöglichen. Im Arbeitsumfeld ist dies beachtlich, da sich diese wiederum mit den Geräten, welche indirekt verbunden sind zur AG, synchronisiert werden können.
Das Bereitstellen von Arbeitsmittel durch die AN kann vereinbart werden.36 Die Grenze einer Bereitstellungspflicht zeigt sich in der unangemessenen Abwälzung des wirtschaftlichen Risikos auf die AN. Ob nun Mitarbeiterinnen ihre privaten Mittel einsetzen, ist kein zwingendes Indiz für eine Abgrenzung zu einem freien Dienstvertrag oder Werkvertrag. Als Teil des Unternehmerinnenrisikos, ist es eine Auswahl der Arbeitsmittel zu treffen, deren Eignung zu überprüfen und die Wartung zu gewährleisten. Ebenso obliegt es der AG das Risiko des Untergangs des Arbeitsmittels zu tragen.37 Die Einsatz- und
35 Mit Ausnahmen bei einem freien Dienstvertrag oder Werkvertrag.
36 Rebhahn in Neumayr/Reissner (Hrsg), Kommentar zum Arbeitsrecht² (2011) § 1151 ABGB Rz 114.
37 Rebhahn in ZellKomm² § 1151 ABGB Rz 116.
Arbeitsbereitschaft einer AN wird nicht daran gekoppelt eigene Arbeitsmittel zur Verfügung zu stellen. Es besteht keine Verpflichtung zB besondere Schutzkleidung oder technische Vorrichtungen zur Erbringung der geschuldeten Arbeit mitzunehmen.
Bei der Einbringung privater mobiler Geräte in die Unternehmenssphäre können diese einer Schädigung unterliegen. Ein Ersatzanspruch wird durch das Schadenersatzrecht des Zivilrechts nach §§ 1293 ff ABGB38 geregelt sind. Fußend auf die Erfordernis der Rechtswidrigkeit, sowie des Verschuldens, kann die Haftung nach § 1014 ABGB ebenso relevant werden. Da das Gerät eingesetzt wird, um eine Arbeitsleistung zu erbringen, dabei im Sinne der AG in ihrem Interesse und zu ihrem Nutzen verwendet wird, erhöht sich das Haftungsrisiko der AG. Voraussetzung hierfür, ist das Erreichen der Erheblichkeitsschwelle, also ein regelmäßiger Einsatz, sowie ein Mehrwert für die AG, der durch das eingesetzte Privateigentum entsteht.39 Die Risikohaftung nach § 1014 ABGB ist abdingbar.40
Prinzipiell besteht kein Rechtsanspruch auf den Einsatz der privaten mobilen Geräte.41 Liegt keine Regelung oder ausdrückliche Erlaubnis vor, kann sich beim Einsatz der Geräte eine betriebliche Übung abzeichnen. Eine betriebliche Übung präsentiert sich in der Arbeitswelt in einer vielseitigen Art und Weise. Sämtliche Vereinbarungen, die in einem AV getroffen werden können, sind potentielle Regelungsinhalte, die durch eine betriebliche Übung einen AV ergänzen können.42 Ohne Grund an der Vorgehensweise im Betrieb zu zweifeln, wie beispielsweise die regelmäßige private Nutzung des Internets am Arbeitsplatz, wird das von der AG geduldete Verhalten zu einem verbindlichen Bestandteil der Einzelarbeitsverträge. Es verfestigt sich die Annahme einer betrieblichen Übung, wenn die AG der Duldungshandlung, als weiteres Kriterium, auch billigend entgegen sieht.43 Das Weisungsrecht, als Konkretisierung der übernommenen Pflichten, vermag keine Verpflichtung der AN aufzuerlegen, ihr mobiles Privatgerät einzusetzen. Die Beistellpflicht der AG, um benötigte Betriebsmittel am Arbeitsplatz verfügbar zu machen, obliegt nur ihr.
Somit kann das Einsetzen der privaten Mobilgeräte der AN keine Hauptleistung darstellen oder durch eine Weisung erweitert werden. Primär ist die Orientierung des Umfangs, der vereinbarten Leistung, durch einen Arbeitsvertrag festzulegen.44 Sollte dieser keinen
38 JGS 1811, 946.
39 Knallnig, Verwendung privater Arbeitsmittel des AN (insb Privatfahrzeug), in Reissner/Neumayr (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln (2010) Rz 32.11.
40 OGH 4.9.1996, 9 ObA 2136/96z, DRdA 1997/28, 273 (Kerschner) = ASoK 1997, 59.
41 Huger/Laimer, BYOD und Arbeitsrecht, ecolex 2014, 303 (305).
42 Vinzenz, Die betriebliche Übung, JAP 2012/2013/25, 266 (226).
43 Vinzenz, JAP 2012/2013/25, 227.
44 Reissner in Reissner (Hrsg), Kommentar Angestelltengesetz² (2015) § 6 Rz 5 ff.
Aufschluss darüber geben, wie mit der Zurverfügungstellung von Arbeitsmitteln zu verfahren ist, wird auf die Ortsüblichkeit abgestellt (zB Programmiererinnen nehmen vorzugsweise ihre eigene Tastatur mit). Die Angemessenheit wird ebenso als Maßstab herangezogen, mit einer anschließenden Interessensabwägung.
Doch kann sich eine Pflicht zur Bereitstellung eigener Geräte in bestimmten Fällen ergeben. Diese Beistandspflicht wird abgeleitet aus der Treuepflicht, um bereits drohende oder nachhaltige Beeinträchtigungen zu verhindern.45 Das Fundament Treuepflicht und arbeitsvertraglich festgelegte Regelungen, gegliedert in die Haupt- und Nebenpflichten46, werden in die Unterlassungspflicht (zB Geheimhaltungspflicht und Konkurrenzverbot) und Handlungspflicht (zB Notarbeitspflicht und Meldepflicht) eingeteilt. Diese Elemente können wesentlich werden, sofern sich eine Situation einstellt, die ein Einsetzen privater Geräte erforderlich macht. ME liegt eine solche vor, wenn eine Cyberattacke47 den Betrieb betrifft und bedroht. Nach den erforderlichen Charakteristika des § 20 Abs 1 AZG48 müssen dadurch außergewöhnliche und schwerwiegenden nachteilige Konsequenzen entstehen.
Daraus kann sich ein Betriebsnotstand ergeben, welcher vorliegt, wenn es sich nicht um ein allgemeines Betriebsrisiko handelt. Der Auslöser, eines solchen Zustandes, muss tatsächlich unvorhersehbar sein und ein unmittelbares Handeln notwendig machen.49 Eine Notarbeitspflicht mit den mobilen Privatgeräten bei einer Cyberattacke auf das Firmennetzwerk und somit ein Stillstand der firmeneigenen Hardware, kann mAn Ausdruck einer Beistandspflicht sein.
Es gibt folgende Situationen in denen sich der Einsatz mobiler Endgeräte am Arbeitsplatz wieder finden kann:
- Dienstgebrauch ohne Regelung - Ausdrückliche Erlaubnis
- Nutzungsvereinbarung - Betriebsvereinbarung
- Nutzungserlaubnis in bestimmten Fällen (zB auf einer Dienstreise) - Inanspruchnahme bei Notstand
- Einsatz trotz Nutzungsverbot (Schatten-IT)
45 Vgl Mosler in Neumayr/Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht² (2011) § 19d AZG Rz 32.
46 Rebhahn/Kietaibl in Neumayr/Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht² (2011) § 1153 ABGB Rz 34.
47 Gezielter Angriff auf die IT-Infrastruktur eines Unternehmens.
48 BGBl 1969/461.
49 Pfeil in Neumayr/Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht² (2011) § 20 AZG Rz 8.
1.1. Inhalte von Nutzungsvereinbarungen im weiteren Sinne
Die Verwendung von privaten IT-Geräten kann nur in bestimmten Fällen erlaubt sein oder die regelmäßige Nutzung vereinbart werden. Der Aufwandersatz betrifft entweder die eingesetzte Hardware uo die Kosten zur Telefonie. Ein Aufwandsersatz für entstandene Kosten, die in direktem Zusammenhang mit den erbrachten Erledigungen für die AG steht, ist zu leisten.50 Ob eine abnutzungsbedingte Wertminderung bei mobilen Endgeräten aufgeteilt werden kann oder die Abgeltung der Kosten über den Datenverbrauch, liegt an der beruflichen Notwendigkeit und dem Ausmaß der Nutzung.51
Bei Übernahme der Kosten für Telefonie und Datenvolumen durch die AG, sollte darauf geachtet werden, welche Person Rechnungsträgerin ist und den Vertrag abschließt, da pauschal vereinbarter Kostenersatz eine Relevanz in der Lohnsteuerpflicht auslösen kann.52 Die Privatautonomie wird nur beschränkt durch die eindeutige Sittenwidrigkeit, wenn etwa angefallene Roaming-Gebühren, während einer Dienstreise, als tatsächlicher Aufwand in keinem Verhältnis zum Ersatz stehen. Wird aber hingegen mehr ausbezahlt, als ein angemessener Ausgleich vonnöten ist, kann dieser Überschuss als Entgelt angesehen werden.53 Herrscht keine eindeutige Regelung, über den Ersatz von Auslagen (auch bei Barauslagen, wie zB Zukaufen eines Roamingpaketes oder eines HDMI Adapterkabel für eine Kundinnenpräsentation), kann durch Duldung oder Zustimmung von seitens der AG auf den Kostenersatz nach § 1014 ABGB zurückgegriffen werden. Diese Ersatzpflicht kann, anders als die Risikohaftung, nicht abbedungen werden kann.
Sollte keine firmeneigene Sicherheitssoftware oder Versicherung zum Einsatz kommen, können auch die Kosten für einen solchen Dienst Teil einer Zusatzleistung sein.
Darauf Rücksicht zu nehmen ist dabei, dass nur Schäden im Privatbereich abgedeckt sind, da die meisten Dienste eine kommerzielle Nutzung untersagen. Liegt ein Wechsel in der IT-Infrastruktur vor und mit diesem auch eine Neuaufstellung der Hardwaregeräte, kann eine Teilkündigung der Nutzungsvereinbarung erfolgen und ein Wegfall der Geschäftsgrundlage für den Ersatz des Aufwands.54
50 OLG Wien 24.10.1997, 9 Ra 249/97x, ARD 4904/12/98.
51 LStR 2002, Lohnsteuerrichtlinien 2002, Rz 339.
52 Schuster, Werbungskosten und Sachbezug Bring Your Own Device! Zur Verwendung eigener Arbeitsmittel als Dienstnehmer, SWK 2012/25, 1065 (1067).
53 Knallnig in ZellHB AV Klauseln Rz 32.14.
54 Knallnig in ZellHB AV Klauseln Rz 32.26.
1.1.1. Abgrenzung dienstliche oder private Daten
Ab dem Moment des Einsatzes der mobilen Devices am Arbeitsplatz, kommt es zu einer Vermengung der betrieblichen und privaten Daten. Eine Grenze zu ziehen, ist auch in diesem Anwendungsfall nicht neuartig, bereits bei der Privatnutzung von E-Mail Konten der AG, ist eine Differenzierung zwischen den persönlichen und den betrieblichen Nachrichten zu vorzunehmen. Da auch berufliche und private E-Mails auf den Privatgeräten bearbeitet werden, unterliegen diese dem Briefgeheimnis, vor allem bei einer privaten Kennzeichnung. Unabhängig davon, ob diese verschlüsselt wurden oder nicht, gelten auch die Bestimmungen nach § 118 StGB55 dem Briefgeheimnis und dem Fernmeldegeheimnis nach Art 10a StGG, da sie der geschützten Privatsphäre unterliegen.56 Eine Durchbrechung des Leseschutzes der Nachrichten kann nur zum Zweck der Verfolgung einer schweren Straftat zulässig sein.57 Sinn der Aufschlüsselung in private und dienstliche Nachrichten ist, den unbeschränkten Zugriff der AG auf die Firmendaten zu gewährleisten, ohne datenschutzrechtliche Schutzvorschriften zu verletzen. Des Weiteren gilt es, der AN eine Möglichkeit zu bieten, ihre privaten Daten zu sichern (auch auf den abgetrennten betrieblichen Bereichen), da ansonsten bei Datenschädigung oder vorzeitigen Löschen Aufwandsentschädigungen und Ersatzansprüche58 denkbar sind. Sämtliche Angaben zum Inhalt von privaten Nachrichten sind vor Zugriffen durch das Kommunikationsgeheimnis zur Gänze geschützt.59 Somit ist die Unterscheidung in Privat- und Unternehmensdaten und deren Umgang ein wesentlicher Punkt einer Nutzungsvereinbarung.
Das Kriterium der Arbeitszeit, als Abgrenzungsmerkmal, in der Frage der Datenherkunft, führt zu keinem Ergebnis. Private Daten können auch während der Arbeitszeit (zB Fitnesstracker) entstehen und betriebliche Informationen, außerhalb des Büros, sich auf den mobilen Geräte einfinden (zB Kundin sendet Datenpaket, Over-the-air Update60). Übrig bleibt eine technische Lösung zur Trennung der betrieblichen und privaten Daten, entweder mittels Boxensystem (abgetrennte Datenbestände) oder einer Virtualisierungslösung61. Der Einsatz von privaten Devices mit uneingeschränktem Zugriff seitens der AG auf sämtliche Daten bleibt datenschutzrechtlich bedenklich.
55 BGBl I 112/2015.
56 Laimer/Mayr, Zum Spannungsverhältnis von Arbeitgeber- und Arbeitnehmerinteressen rund um die EDV- Nutzung, DRdA 2003, 410 (412).
57 Jahnel, Datenschutz im Internet Rechtsgrundlagen, Cookies und Web-Logs, ecolex 2001, 84 (86).
58 Dazu näher Goricnik, Die Kontrolle der Internet-Nutzung und des E-Mail-Verkehrs, in Grünanger/Goricnik (Hrsg), Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle (2014) 139 (151).
59 Brodil, Kontrolle und Datenschutz im Arbeitsrecht, ZAS 2009/21, 121 (125).
60 Kabelloses Installieren von Updates über Schnittstellen wie WLAN oder Mobilfunknetz.
61 Nur Zugriff auf Firmennetzwerk, ohne Lokalspeicherung von betrieblichen Daten auf dem Gerät.
1.1.2. Unterscheidung dienstliche oder private Nutzung
Durch die Mischform von zwei Lebensbereichen, nämlich der Arbeit und der Freizeit, verbunden in einem oder mehreren Geräten, verschwimmen die Grenzen zur Beurteilung, welcher tatsächlich vorliegt. Grundsätzlich ist durch die mobile Arbeitswelt eine Flexibilisierung62 in Ort, Zeit und Arbeitsgerät entstanden. Projekte und Aufgaben können zu den unterschiedlichsten Zeiten, an außergewöhnlichen Orten und auf einer großen Auswahl an Bildschirmen bearbeitet und erledigt werden.
Die Erreichbarkeit über Privatgeräte hat Einfluss auf die Arbeitszeit, infolge dessen auf einem arbeitsrechtlich relevanten Gebiet. Die Erholung in der Freizeit, Krankenstand und Urlaub wird im Arbeitsrecht in verschiedenen Gesetzesgrundlagen beachtet. Auch dient die Feststellung der geleisteten Arbeitsstunden, als Basis für eine Berechnung der Entlohnung. Werden Anrufe der AG auf einem mobilen Privatgerät angenommen oder ihre Nachrichten beantwortet, liegt eine Überstunde vor, selbst wenn die AN nicht durch Weisung oder Vereinbarung dazu verpflichtet wurde, in ihrer Freizeit diese Arbeiten zu erledigen. Kontaktaufnahmen durch Dritte unterstehen keiner AG Anordnung und können beim freiwilligen Annehmen nicht als Arbeitsleistung gewertet werden, wenn dazu keine vertragliche Verpflichtung besteht.
Die Unterscheidung nach § 20a AZG splittet die Arbeitsbereitschaft in Erreichbarkeit und Rufbereitschaft auf. Rufbereitschaft wird gesetzlich definiert, als freie Wahl des Aufenthaltsortes, der Freizeitverwendung und der Zurverfügungstellung einer notwendigen Arbeitsfähigkeit. Kommt es während einer Rufbereitschaft zu einer konkreten Arbeitsleistung, wie das Annehmen eines Anrufes, so ist es als Arbeitszeit zu qualifizieren.
Dies hat somit Einfluss auf die Tageshöchstarbeitszeit und Ruhezeiten, ist demensprechend angemessen zu entlohnen. Beim Einsatz von mobilen Geräten sollte eine Vereinbarung getroffen werden, die eine Abrechnung für kurzfristige Unterbrechungen der arbeitsfreien Zeit regelt. Die Pflicht zur Erreichbarkeit stellt, ohne vertragliche Grundlage, keine Nebenpflicht dar.63 Nach Risak64 liegt keine Rufbereitschaft vor, wenn eine Nachricht der AN beantwortet wird, da ein voller Einsatz der Arbeitsleistung beim Beantworten nicht notwendig wird.
62 Maier, Ein Plädoyer für ein Ende der Ausgrenzung der Digitalen Welt, Information Technology IT 2010/6, 360 (362).
63 Risak, Arbeiten in der Grauzone zwischen Arbeitszeit und Freizeit: Dargestellt am Beispiel der
"Dauererreichbarkeit" am Smartphone, ZAS 2013/50, 296 (300).
64 Risak, Rufbereitschaft, ZAS 2013/57, 339 (339).
Somit wird bei der Feststellung, ob eine dienstliche oder private Nutzung vorliegt, primär darauf abgestellt, inwieweit eine fremdbestimmte Arbeitszeit oder selbstbestimmte Freizeit vorliegt.65 Auch außerhalb der Arbeitszeit ist die AN an gewisse Handlungs- und Unterlassungspflichten gebunden.66 Es kann in Nutzungsvereinbarungen genauer geregelt werden, welche Pflichten die AN zum Schutze betrieblicher Daten in der Freizeit zu erfüllen hat (zB White/Blacklist Apps).
1.2. Inhalte von Nutzungsvereinbarungen im engeren Sinne
Eine Nutzungsvereinbarung soll dazu dienen genauere Regeln festzulegen, die die Handhabung privater Geräte im Arbeitsverhältnis erleichtert. Ist eine Erlaubnis zum Einsatz erfolgt, müssen für beide Seiten die damit verbundenen Pflichten verdeutlicht werden.67 Eine Konkretisierung von Folgen einer Überschreitung der Nutzungsvereinbarung oder einer unerlaubten Schatten-IT68 können ebenso festgelegt werden. Die AN wird großes Interesse daran haben, wie bspw bei einer erhöhten Telefonkostenabrechnung der Aufwand rückerstattet wird, wie lange sie Zeit hat, um ein verlorenes Gerät wieder zu beschaffen und welche Zugriffe sie zu dulden hat.69 Die AG als datenschutzrechtliche Auftraggeberin treffen Verpflichtungen des Datenschutzgesetzes. Bei geplanten Zugriffs- und Kontrollrechten in der „Informations- und Kommunikationstechnik“ IKT spielt nicht nur das Arbeitsrecht eine bedeutende Rolle, sondern auch der Sorgfaltsmaßstab des § 347 UGB70 (in weiterer Folge ggf. auch § 70 Abs 1 AktG71 und § 25 Abs 1 GmbHG72). Deshalb ist die AG, im Sinne des IT Sicherheitshandbuchs, zum Schutze des Inhalts auf tragbaren Geräten verpflichtet. Es sind zweckentsprechende Gegenmaßnahmen anzudenken, um ein Schutzniveau zu erreichen, das Integrität und Vertraulichkeit als umgesetztes Ziel formuliert.73
65 Rebhahn in ZellKomm² § 1151 ABGB Rz 105.
66 Rainer, Regelungen über außerdienstliches Verhalten, in Reissner/Neumayr (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln (2010) Rz 60.08.
67 Franck, Bring your own device – Rechtliche und tatsächliche Aspekte, RDV 2013/4, 185 (191).
68 Ohne Kenntnis der AG oder der IT Abteilung eingesetzte Geräte, die mit betrieblichen Daten in Berührung kommen.
69 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., Spezieller Datenschutz, 17. Arbeitnehmerdatenverarbeitung, D. Mobile IT-Geräte im Arbeitsumfeld, 2. Unternehmenseigene Smartphones und Tablet-PCs (Stand:
7.7.2015, rdb.at).
70 dRGBl 1897, 219.
71 BGBl 1965/98.
72 RGBl 1906/58.
73 Österreichisches Informationssicherheitshandbuch Version 4.0, Smartphone Sicherheit, https://www.sicherheitshandbuch.gv.at/2013/index.php (28.9.2015).
1.2.1. Art und Umfang des Zugriffsrechtes
Seitens der AG muss entschieden werden, welches Zugriffsystem zum Einsatz kommen soll, welche Geräte unter dem Sammelbegriff „Bring your own device“ für die betriebliche Arbeit geeignet sind und welche mobilen Devices nicht zugelassen werden.
Es kann der Zugriff auf alle privaten Daten erfolgen, da Firmensoftware und Sicherheitstools direkt auf dem mobilen Endgerät installiert werden. Die Daten werden nach außen mittels Verschlüsselung74 geschützt, aber dennoch kann die AG sämtliche Inhalte und Funktionen des Gerätes registrieren. Da die Geräte für Endkonsumentinnen abgesetzt werden, wird ein Aufwand zur Sicherung der Firmendaten unumgänglich sein. Der Vollzugriff auf Apps, lokal auf die gespeicherten medialen Inhalte, Verbindungsdaten, Hardwarefunktionen, ohne Trennung der Datenbestände, ist datenschutzrechtlich kritisch zu betrachten. Sollte die Nutzung des Gerätes auf Kosten der Datensicherheit im privaten Umfeld nicht mehr einsetzbar sein (zB Blacklist von nichtvertrauenswürdigen Apps, die beliebt in ihrer Benützung sind) wird auch von Seiten der Anwenderin, entweder die Sicherheitsbestimmung umgangen oder die Vereinbarung zur Nutzung hinfällig. Bei einer Lösung mit der virtualisierten Arbeitsumgebung kommt es zu keiner Datenspeicherung auf dem Privatgerät. Der Datenaustausch erfolgt über eine simulierte virtuelle Oberfläche, die auf einer physischen Einheit zwischen Hardware und Anwendung läuft. Die Inhalte können von jedem mobilen Endgerät mit Zugangskennung abgerufen werden. Die Arbeitsumgebung ist nur abhängig von einer stetigen Internetverbindung, wenn über einen simulierten Desktop gearbeitet wird. Die Verarbeitung und Speicherung der Daten liegt unter der Kontrolle der AG, da das mobile Endgerät nur als Medium zur Verarbeitung der Informationen funktioniert. Bei Verlust oder Diebstahl befinden sich keine Daten auf dem Gerät.
Des Weiteren kann das Konzept verfolgt werden, zwei Profile auf dem Gerät zu führen und die Daten getrennt zu speichern. Hierzu muss eine Regelung festgelegt werden, die die Mitarbeiterin dahingehend verpflichtet ihr gesamtes betriebliches Aufgabengebiet über dieses Konto abzuwickeln.75 Auch besteht die Möglichkeit, zwischen den zwei virtuellen Umgebungen, die Interaktion zueinander zu verhindern und dennoch durch eine technische Umsetzung es zulassen, dass diese nebeneinander Programme ausführen können. Mit diesem Lösungsansatz können auch Apps verwendet werden, die dem höheren Sicherheitsstandard des Unternehmens nicht ausreichen, für den Privatgebrauch aber
74 Dazu näher Silent Circle, Mobile Device mit PrivatOS Blackphone, https://www.silentcircle.com (9.9.2015).
75 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., 17.D.2 (Stand: 7.7.2015, rdb.at).
interessant sind. Bei der Container-Lösung wird die Arbeitsumgebung der Programme verschlüsselt und durch die AG gesteuert. Der AN steht es somit frei für welche Apps sie sich in ihrer Freizeit entscheidet, solange die Sicherheit auf den abgetrennten Datenbereichen gewährleistet ist.76
Abbildung 3: Technische Umsetzungsmöglichkeiten und Auswirkungen auf Privatdaten
Da der betriebliche Einsatz des Gerätes, Einschnitte in der privaten Verwendung bedeutet, ist es für die AN wichtig aufgeklärt zu werden, welche Strategie der Datensicherung und Kontrolle gewählt wird. Je nach Wahl der technischen Umsetzungsmöglichkeit wird das Gerät völlig oder teilweise durch die AG kontrolliert werden können. Dabei werden die Geräte an einer zentralen Stelle erfasst und die Datenpflege betreut. Sofern die AG Firmen-Apps einsetzt, werden diese mittels MDM aktualisiert oder hinzugefügt, Sicherungen erstellt und Schutzmechanismen der Unternehmensanwendung integriert. Der AG ist es technisch möglich Daten auf dem Gerät zu löschen. Welche Sicherheitsstandards tragend werden, steht in Abhängigkeit zu der gewählten Plattform, die nötig ist, um Daten zwischen AN und AG auszutauschen und in welchem Ausmaß sensible Dateien verarbeitet werden. Der Wert der Daten wird als Kern- Assets bezeichnet, diese gelten als bedrohte Objekte.77
76 Walter, BYOD Ein Praxisratgeber, HMD 2014, 84 (85).
77 Österreichisches Informationssicherheitshandbuch Version 4.0, Smartphone Sicherheit, https://www.sicherheitshandbuch.gv.at/2013/index.php (28.9.2015).
Inhalte einer Nutzungsvereinbarung können nach ihrem Regelungsgegenstand eingeteilt werden.78 Zur Übersicht in dieser Arbeit werden vier Gruppen mit einem jeweils unterschiedlichen Schutzziel angeordnet. Für die Datensicherheit kommen insbesondere Verhaltensgebote und Vorsichtsmaßnahmen zum Tragen. Bei der Softwarebetreuung wird darauf abgestellt Eingriffe auf das Gerät im Detail zu regeln und in welchen Zeiträumen damit zu rechnen ist. Zugriffskontrollen sollen Aufzeichnungen darüber führen, um welche Personen und Daten es sich handelt, die Zugang zu unternehmenssensiblen Informationen ausüben. Ein Großteil der Schutzmaßnahmen kann als Präventivmaßnahme aufgesetzt werden, die Schäden durch die Verwendung der Privatgeräte unterbinden.
Datensicherheit:
- Verbot von Manipulationen des Betriebssystems des mobilen Endgerätes (Jailbreak für iOS oder das Rooten bei Android)
- Verwaltung und Überwachung von Sicherheitszertifikaten und Sicherheitsrichtlinien79
- Regelmäßige Sicherungen und Wiederherstellung - Zurücksetzen von Passwörtern, Zugangsdaten - Konfigurieren bestimmter Einstellungen am Gerät - Ausstattung (zB Sichtschutzfolie)
Softwarebetreuung:
- Installation von firmeneigener Anwendung - Verwendung einer Sicherheitssoftware - Updates und Wartungszeiträume - White-/Blacklist
- Kein Installieren von Apps aus unbekannten Quellen (eigenverantwortliche Überprüfung der Vertrauenswürdigkeit)
- Kein Einsatz von Schwarzmarkt-Apps (zB Aptoide)
Zugriffskontrolle:
- Identifikation des Gerätes und der Nutzerin - Fernzugriff und Fernlöschung
- Sperren des Gerätes - Verbindungsstatus
- Kontrolle der Speicherkapazität
78 Dazu näher Pilarski/Freier/Schumann, MDM - Eine strukturierte Marktanalyse, HMD 2015, 373 (375).
79 Dazu näher Föck, Sicherheitsrichtlinien für den Einsatz mobiler Endgeräte, HMD 2014, 94 (95).
- Herausgabepflicht bei Verdacht einer Straftat - Aufzeichnung der Arbeitszeit und Telefonkosten
- Verbot des Einsatzes von bestimmten Hardwarekomponenten während der Arbeitszeit (zB GPS, Aufnahmegerät, Kamera uvm)
Schutzmaßnahmen:
- Umfang einer zulässigen privaten Nutzung während der Arbeitszeit
- Unerlaubte Webinhalte während der Arbeitszeit (zB pornografische Websites) - Passwortregelung
- Berichterstattung bei Abhandenkommen des Gerätes (Festlegen des Zeitraums zwischen Verlust und Meldung an die AG)
- Bekanntgabe eines Hacking-Angriffes
- Rechtzeitiges Aufzeigen beim Wechsel des Gerätes oder Verkauf (zur endgültigen Bereinigung der digitalen Spuren)
- Teilnahme an Schulungen - Umgang mit Schatten-IT80
- Prävention gegen Internetsucht81 - Schutz vor Cybermobbing82
Im privaten Umfeld soll festgelegt werden, inwiefern Dritte (zB Familienangehörige, Arbeitskolleginnen) Zugriff haben dürfen auf das mobile Gerät. Die Regelung über das Ausleihen, auch in Alltagssituationen, muss klar definiert sein (zB kurzes Telefonat einer Unbekannten oder befreundeten Person). Wenn sich eine weitere AG der Arbeitsleistung der AN bedient, benötigt es ebenso Regelungen, die die Sicherung der Datenbestände auch am zweiten Arbeitsplatz gewährleisten kann.83
Eine absolute Sicherheit, nur durch eine technische Umsetzung, wird für beide Seiten nicht erreicht werden können. Eine manuelle Manipulation kann nicht verhindert werden.
Mitarbeiterinnen können Schutzvorkehrungen umgehen und wiederum die AG unbemerkt auf Privatdaten zugreifen.84
80 Siehe Walterbusch/Fietz/Teuteberg, Schatten-IT: Implikationen und Handlungsempfehlungen für Mobile Security, HMD 2014, 24 (26).
81 Dazu näher Kreil, Entlassung wegen Privatnutzung von Internetdiensten am Arbeitsplatz, in Jaksch- Ratajczak (Hrsg), Aktuelle Rechtsfragen der Internetnutzung (2010) 131 (149).
82 OGH 26.11.2012, 9 ObA 131/11x, ZAS 2013/46, 279.
83 Jandt/Steidle, On Device Fits All? - Ein Endgerät für mehrere Arbeitgeber, CR 2013, 338 (338).
84 Siehe Disterer/Kleiner, Bring Your Own Device, HMD 2013, 92 (99).
Die Festlegung eines Zeitfenster, in der die Meldung des Verlustes von statten zu gehen hat, unterstützt die AG darin, ihre Daten zu schützen. Es ist zu vereinbaren, ab welchem Zeitpunkt, nach dem Abhandenkommen des Gerätes, eine Fernlöschung in Frage kommt. Falls auch private Daten davon betroffen sind, kann in einer Nutzungsvereinbarung geregelt werden, wie die Erlaubnis zum Löschen dieser einzuholen ist. MA ist vor jeder Fernlöschung eine gesonderte Erlaubnis der AN einzuholen, da sich auch im Laufe der Verwendungsdauer eines Gerätes die Eigenschaften der Daten ändern. Beim Erstellen der Nutzungsvereinbarung werden sich meist vorerst wenig bedeutsame Daten auf dem Gerät befinden. Nach und nach kann die Qualität der Daten zunehmen, wie bspw die Speicherung bedeutungsvoller privater Dokumente oder Mediendateien (zB Dokumentation eines privaten Verkehrsunfalls).
Auch die Fernlöschung hindert Dritte nicht daran, dennoch Zugriff auf Unternehmensdaten zu erlangen. Unberechtigte Personen, die in den Besitz des Gerätes gelangt sind, können die Verbindung zur AG unterbrechen und die geschützten Bereiche entschlüsseln. Deshalb ist es unumgänglich in diesem Bedrohungsszenario umgehend zu reagieren. Die zeitliche Komponente in einem Verlustfall ist wesentlich, um den Schritt zur Löschung rechtzeitig anzuwenden, bevor das Gerät aus dem Zugriffsbereich der AG entfernt wird.85 Die AN treffen grundsätzlich Anzeige- und Meldepflichten, die als Nebenpflichten auch eine Abwendung oder Verhinderung von negativen Beeinträchtigungen der AG und Unternehmensabläufen beinhaltet. Demnach müssen auch jene Fälle angezeigt werden, die Schäden in der IT-Architektur verursachen könnten und ein solcher liegt beim Verlust, selbst in der Freizeit, mAn vor. Wobei eine generelle Verpflichtung Kolleginnen zu melden, wenn diese gegen die Nutzungsbestimmungen verstoßen, kennt das Arbeitsrecht nicht.86
Entscheidend für die Sicherheit sind die Auswahlkriterien für die Zulassung des betrieblichen Gebrauchs. Viele ältere Modelle bekommen von Herstellerinnen keine nötigen Updates87 mehr, weshalb diese nicht geeignet sind. Die Systemvoraussetzungen (Leistung, Betriebssystem, uvm) und Formerfordernissen (zB Schnittstellen, Bildschirmgröße, Helligkeit, Pixeldichte) haben einen bedeutenden Einfluss auf die Sicherheit von Anwenderinnen- und Unternehmensdaten.
85 Merz, Sichere mobile Unternehmensanwendungen, HMD 2014, 45 (47).
86 Rebhahn/Kietaibl in ZellKomm² § 1153 ABGB Rz 39.
87 Aktualisierung von Software mit Verbesserungen für den Einsatz oder Schließen von Sicherheitslücken.
