Bring Your Own Device: Rechtliche Herausforderungen bei der geschäftlichen Nutzung des privaten Smartphones
Passende Arbeitshilfen
Konfliktpotential bei mobilen Geräten
Der Arbeitgeber hat den Bedarf, die geschäftliche Nutzung von Geräten wie Mobiltelefonen oder Tablets unabhängig davon zu regeln, wem diese gehören. Der Arbeitnehmer wiederum erwartet, dass er über sein eigenes Gerät frei verfügen kann. Diese gegensätzlichen Interessen bergen Konfliktpotential, das es zu minimieren gilt.
Freiwilligkeit und Regelung von «Bring Your Own Device»
Kaum ein Arbeitsvertrag sieht «Bring Your Own Device» derzeit explizit vor. Es besteht daher in der Regel weder eine Pflicht des Arbeitgebers, ein BYOD-Programm anzubieten, noch eine Verpflichtung des Arbeitnehmers, daran teilzunehmen. Möchte ein Arbeitgeber «Bring Your Own Device» flächendeckend einsetzen (z.B. für eine Pikett-Organisation), übersteigt dies seine Weisungskompetenz. Aus diesem Grund sollte die Teilnahme an BYOD wenn möglich freiwillig bleiben. Statt auf Zwang setzen Arbeitgeber also besser auf positive Anreize (z.B. kulante Regelungen bei Kostentragung und Haftung), um «Bring Your Own Device» zu etablieren.
Falls ein Arbeitnehmer sein eigenes Gerät ohne explizite Regelung für die Arbeit einsetzt und der Arbeitgeber dies über längere Zeit duldet, kann der Arbeitnehmer später unter Umständen Anspruch auf eine Unkostenbeteiligung erheben. Zudem bestehen beidseitige Haftungsrisiken. Es empfiehlt sich daher, «Bring Your Own Device» in einer entsprechenden Policy oder in einem Zusatz zum Arbeitsvertrag zu regeln.
Kostentragung
Im Arbeitsverhältnis hat grundsätzlich der Arbeitgeber die Arbeitsmittel zur Verfügung zu stellen. Er muss dem Arbeitnehmer auch seine notwendigen Geschäftsauslagen (Spesen) vollständig ersetzen. Bei «Bring Your Own Device» ist hierbei wie folgt zu differenzieren:
- Anschaffungskosten: Kauft ein Arbeitnehmer ein Smartphone für private Zwecke, muss der Arbeitgeber sich an den Anschaffungskosten grundsätzlich nicht beteiligen, auch wenn das Gerät teilweise geschäftlich genutzt wird; denn der Arbeitnehmer hätte das Smartphone ohnehin beschafft, und es veraltet wegen der zusätzlichen geschäftlichen Nutzung nicht schneller.
- Wiederkehrende Kosten: Der Arbeitgeber muss für all jene Kosten aufkommen, die aufgrund der geschäftlichen Nutzung entstanden sind (Auslagenersatz). Dazu gehören die variablen Verbindungs- und Datenkosten infolge geschäftlicher Nutzung sowie allenfalls Kosten für Zusatzoptionen, die beschafft werden, um die Verbindungs- und Datenkosten (im Interesse des Arbeitgebers) tief zu halten. (z.B. Datenpakete für internationales Roaming).
Aus Praktikabilitätsgründen empfiehlt sich, die Kostentragung explizit zu regeln und ersatzpflichtige Kosten mit einer eher grosszügig bemessenen Spesenpauschale abzugelten. Diese muss die effektiven Auslagen vollständig decken, was unter Umständen differenzierte Spesenpauschalen (abhängig vom Stellenprofil) erfordert.
Der guten Ordnung halber sei darauf hingewiesen, dass der Bundesrat im Jahr 2021 zwecks Bekämpfung des Coronavirus (Covid-19) eine vorübergehende Homeoffice-Pflicht vorsah und Arbeitgeber in diesem Zusammenhang von der Pflicht befreite, Arbeitnehmer für dadurch entstandene Auslagen zu entschädigen.
Haftung
«Bring Your Own Device» kann auf Seiten des Arbeitgebers wie des Arbeitnehmers Haftungsfragen aufwerfen. Diese werden danach beurteilt, ob eine Partei ein Verschulden trifft oder ob ein Schaden unverschuldet eingetreten ist:
- Verschuldenshaftung: Arbeitgeber und Arbeitnehmer haften für Schäden, die sie aufgrund des Arbeitsverhältnisses schuldhaft verursacht haben. Dies gilt grundsätzlich unabhängig davon, ob «Bring Your Own Device» eingesetzt wird oder nicht. Beispielsweise haftet der Arbeitgeber dafür, am Arbeitsplatz keine angemessenen Sicherheitsvorkehrungen gegen Diebstahl zu treffen.
- Schadenstragung bei fehlendem Verschulden: Unverschuldet eingetretene Schäden an einem Gerät hat generell diejenige Partei zu tragen, die davon betroffen ist (also die, der das Gerät gehört). Kommt ein Gerät im Rahmen von BYOD zu Schaden, stellt sich jedoch die Frage, ob der Arbeitgeber nicht (zumindest teilweise) für den eingetretenen Schaden aufkommen sollte – schliesslich profitiert er davon, dass der Arbeitnehmer das Gerät auch geschäftlich nutzt. Meines Erachtens rechtfertigt sich eine Beteiligung des Arbeitgebers an der Schadenstragung dann, wenn der Arbeitnehmer ein Gerät spezifisch im Hinblick auf die geschäftliche Nutzung zur Arbeit mitgenommen hat (z.B. einen Laptop für eine Kundenpräsentation). Ereignet sich der Schaden hingegen im Zusammenhang mit der privaten Nutzung, drängt sich eine Haftung des Arbeitgebers eher nicht auf.
Soweit ersichtlich mussten Gerichte in der Schweiz diese Frage bislang nicht beurteilen. Aufgrund der verbleibenden Unsicherheit wird eine eher arbeitnehmerfreundliche Regelung empfohlen, auch um die Akzeptanz von BYOD nicht zu gefährden.
Passende Produkt-Empfehlungen
Nutzungsbeschränkungen
Arbeitgeber beschränken routinemässig die private Nutzung der betriebseigenen IT-Infrastruktur. Bei «Bring Your Own Device», wo die Geräte primär für private Zwecke angeschafft werden, dürfen solche «acceptable use-policies» jedoch nicht unbesehen übernommen werden; stattdessen sollte das Augenmerk primär auf die IT-Sicherheit gelegt werden.
Der Arbeitgeber hat ein starkes Interesse, auf dem privaten Gerät enthaltene Geschäftsdaten gegen unbefugte Zugriffe zu schützen. Sicherheitsrelevante Auflagen und Verhaltensvorschriften (z.B. automatische Lockscreens mit vorgegebener Passwortstärke oder Verbote, inoffizielle Apps zu installieren) müssen daher durch den Arbeitnehmer toleriert werden. Rein moralisch gefärbte Verhaltensvorschriften (z.B. Verbot bestimmter Kategorien von Websites oder Apps) können demgegenüber mit den Persönlichkeits- und Eigentumsrechten des Arbeitnehmers kollidieren und sind daher problematisch.
Datenschutz
Personendaten sind alle Daten, die sich einer Person zuordnen lassen. Smartphones und vergleichbare private Geräte werden meist nur von einer Person benutzt, so dass grundsätzlich alle darauf enthaltenen Daten Personendaten darstellen.
Im Arbeitsrecht gelten erhöhte Anforderungen an die Bearbeitung von Personendaten des Arbeitnehmers: Der Arbeitgeber darf diese Daten nicht beliebig bearbeiten (z.B. sammeln, kopieren, ändern oder löschen), sondern lediglich soweit im Rahmen des Arbeitsverhältnisses unbedingt nötig. Eine weitergehende Bearbeitung ist nur gerechtfertigt, wenn die schutzwürdigen Interessen des Arbeitgebers oder Dritter klar überwiegen oder wenn ein Gesetz es vorsieht.
Was dies konkret bedeutet, ist noch wenig geklärt und hängt stark von den Umständen des Einzelfalls ab. Unzulässig wäre beispielsweise, wenn ein Arbeitgeber auf den Smartphones aller Mitarbeiter eine App installiert, um deren Bewegungen rund um die Uhr zu erfassen. Will dagegen eine Anwaltskanzlei Daten auf einem verlorenen Smartphone eines Anwalts (zur Wahrung des Anwaltsgeheimnisses) fernlöschen, kann eher von einem überwiegenden Interesse des Arbeitgebers ausgegangen werden. Unabhängig hiervon kann ein Arbeitnehmer ausnahmsweise in eine weitergehende Bearbeitung seiner persönlichen Daten einwilligen, wenn dies (auch) in seinem eigenen Interesse geschieht.
In einem Urteil von August 2021 hat das Bundesgericht unter anderem entschieden, dass ein Arbeitgeber nicht auf private Daten des Arbeitnehmers zugreifen darf, die sich auf einem von ihm zur Verfügung gestellten Geschäftshandy befinden, das er in seinem Wissen bzw. mit seinem Einverständnis auch zu privaten Zwecken nutzt. In datenschutzrechtlicher Hinsicht ist demnach nicht unbedingt entscheidend, ob ein Smartphone vom Arbeitgeber (wie im erwähnten Bundesgerichtsentscheid) oder vom Arbeitnehmer (BYOD) zur Verfügung gestellt wird, sondern vielmehr, ob der Arbeitnehmer das Gerät auch zu privaten Zwecken nutzt, während der Arbeitgeber hiervon Kenntnis hat bzw. eine solche Nutzung duldet.
Das Schweizer Datenschutzgesetz wurde im Jahr 2020 totalrevidiert. Es soll voraussichtlich in der zweiten Jahreshälfte 2022 oder anfangs 2023 in Kraft treten. Was die datenschutzrechtliche Problematik von «Bring Your Own Device» anbelangt, dürfte das revidierte Gesetz indessen kaum massgebende inhaltliche Änderungen mit sich bringen. Insofern werden die obigen Ausführungen grundsätzlich auch unter neuem Recht Bestand haben.
Fazit
«Bring Your Own Device» kann Vorteile für alle Beteiligten bringen. Die Einführung wirft jedoch verschiedene rechtliche Fragestellungen auf. Mit einer durchdachten BYOD-Policy können die meisten Probleme entschärft werden.