Kontrolle oder Nachsicht?

Immer mehr setzt sich ein Trend fest: Bring-Your-Own-Device (BYOD) ist in immer mehr Arbeitsverträgen zu finden. Mitarbeitern ist es somit erlaubt, sogar erwünscht, das eigene Smartphone, den privaten Laptop oder das Tablet für die Arbeit zu nutzen. Viele Unternehmen setzten bereits auf sogenannte MDM-Lösungen. Ein wichtiger Aspekt ist hier das Mobile Device Management. Sobald Mobilgeräte der Mitarbeiter Zugriff auf Firmennetzwerke haben, herrschen bestimmte Regeln und Sicherheitsrichtlinien.

In der Regel erfordert eine solche Nutzung eine Installation eines Software-Agenten auf den Geräten der Mitarbeiter. Unternehmen nutzen MDM-Software, um Informationsdiebstähle und Datenlecks zu erkennen und im besten Falle zu verhindern – unabhängig davon, ob diese Mobilgeräte dem Unternehmen oder dem Arbeitnehmer gehören. Die installierte MDM-Softwareanwendung überwacht sodann das Gerät im Hinblick auf freigegebene Applikationen und setzten das Gerät im Falle eines Diebstahls oder Verlustes wieder zurück auf Werkseinstellungen ohne Daten.

Ein großes Problem von Mobile-Device-Management Software ist, das falsche Gefühl der Sicherheit. Vor allem in der Corona-Krise mussten viele Mitarbeiter auf private Geräte ausweichen. IT-Abteilungen standen vor der Herausforderung, die Zugriffe dieser Devices bestmöglich abzusichern. Mit MDM-Profil-Installationen hat die IT somit die Hoheit über das Gerät – bis hin zur Remote-Löschung aller Daten. Mit dieser Methode kam es oft zur Ablehnung von BYOD oder langen Diskussionen mit Personal- oder Betriebsräten. Somit stellt sich die Frage: Wie weit können Unternehmen dabei in die Privatsphäre der Mitarbeiter eindringen und was ist rechtlich überhaupt erlaubt?

Sichere Bereiche erstellen – Trennung von persönlichen und Unternehmensdaten

IT-Abteilungen dürfen auf den Geräten nur bestimmte geschützte Bereiche für wichtige Firmendaten schaffen. Sollte so ein Gerät verloren gehen oder der Nutzer das Unternehmen verlassen, können diese Daten in dem geschützten Bereich gelöscht werden – ohne die privaten Daten zu berühren. Damit die Kontrolle zulässig ist, müssen Mitarbeiter vorerst wissen und auch zustimmen, dass das Mobilgerät kontrolliert wird. Es muss transparent geregelt werden, was kontrolliert wird und wann welche Daten gelöscht werden.

Einwilligung durch den Arbeitnehmer

Plant ein Unternehmen im Zusammenhang mit BYOD die privaten Geräte der Mitarbeiter mit einer MDM-Software muss der Mitarbeiter ausdrücklich zustimmen. Das gilt aber nur, wenn die private Nutzung der geschäftlichen Geräte erlaubt ist und der Zugriff mit einer Mobile-Device-Management-Software nicht nur auf die geschäftlichen Daten beschränkt ist. Als Beispiel nutzen viele Arbeitnehmer Ihre Outlook App mit privaten und geschäftlichen Konten gemischt.

Überwachungs- und Kontrollsysteme

Wichtig: Überwachungs- und Kontrollsysteme, die das Verhalten der Mitarbeiter überwachen sollen, sind nach Art. 26 der Verordnung 3 zum Arbeitsgesetz verboten! Auch eine permanente Überwachung zur Leistungskontrolle ist in jedem Fall unzulässig.

Sind solche Systeme aber aus anderen Gründen erforderlich, sind diese so zu gestalten, dass die Gesundheit und die Bewegungsfreiheit der Arbeitnehmer dadurch nicht beeinträchtigt wird. Hier zählt das Verhältnismäßigkeitsprinzip. Erlaubt sind solche Systeme aus Sicherheitsgründen und zur Erfassung der Arbeitsleistung.

Beispiel: Telefonzentralen (Überwachung ein- und ausgehender Anrufe etc.). Wenn Beschäftigte z. B. private E-Mails über den Dienstaccount versenden dürfen, ist eine Überwachung meist unzulässig.

Arbeitszeiten

Der Arbeitgeber darf aber Einsicht in dienstliche Korrespondenz verlangen. Vorgesetzte haben im Homeoffice – genauso wie im Büro auch – ein Interesse, die Arbeitszeitdauer der Angestellten zu überwachen. Wichtig hier zu wissen: Arbeitgeber sind auch gesetzlich durch das Arbeitszeitgesetz (ArbZG) dazu verpflichtet. Das Erfassen von Log-Ins am Arbeitsrechner, Smartphone etc. ist ein dafür zulässiges Mittel.

Browserverlauf (auf Unternehmensgeräten)

Darf ein Arbeitgeber das Internetverhalten des Beschäftigten kontrollieren? Hier kommt es darauf an, ob die private Nutzung des Internets im Arbeitsvertrag untersagt ist. Falls dies zutrifft und ein konkreter Verdacht besteht, darf der Vorgesetzte sogar ohne Wissen und Zustimmung des Angestellten kontrollieren. Werden gewonnene personenbezogene Daten gefunden, dürfen diese auch als Beweise gewertet und z. B. in einem Kündigungsprozess zulasten des Arbeitnehmers verwendet werden. Auch wenn die private Nutzung des Internets erlaubt ist, darf der Chef trotzdem bei konkretem Verdacht (z. B. überwiegendes privates Surfen während der Arbeitszeit) Kontrollen durchführen.

Unser Fazit:

Bei BYOD Regelungen sind im Vorfeld klare Regelungen zu treffen. Die häufigste technische Maßnahme ist die Teilung zwischen privaten und geschäftlichen Daten durch die Schaffung eines extra dafür vorgesehenen Datenbereiches. Ein gutes Mobile-Device-Management hat die Möglichkeit, geschäftliche Daten im Ernstfall per Remote zu löschen und gleichzeitig private Daten nicht zu gefährden.

Wichtig ist hier, dass bei der gemischten Nutzung Arbeitnehmer darauf achten, Dritten keinen Zugriff auf unternehmerische Daten zu ermöglichen. Das gilt auch bereits, wenn man der Partnerin oder dem Partner das Gerät „nur kurz zum Surfen leiht“. Die anfangs gestellte Frage wie weit Arbeitgeber Geräte kontrollieren dürfen, ist immer im Einzelfall zu entscheiden. Allgemein lässt sich sagen, eine Überwachung ist stets in Verhältnismäßigkeitsprinzip zu betrachten. Der Zweck der Überwachungsmaßnahme muss einem konkreten Grund (z. B. Sicherheit vor Diebstahl, Sicherheit vor Industriespionage etc.) entsprechen.

Alle Maßnahmen, die erforderlich sind, sind so zu gestalten, dass der Eingriff in die Persönlichkeitsrechte der Mitarbeitenden so gering wie möglich gehalten wird. Personenbezogene Auswertungen sind nur bei konkretem Missbrauchsverdacht erlaubt. Wenn Ihr Unternehmen Unterstützung bei der Einführung oder Konfiguration von Mobile Device Management benötigt, sind wir selbstverständlich als Ansprechpartner für Sie da.

Buchen Sie einfach kostenlos Ihren Beratungstermin zum Thema Mobile-Device-Management.