Bring Your Own Device (BYOD): Rechtsfragen der dienstlichen Nutzung arbeitnehmereigener mobiler Endgeräte im Unternehmen [1 ed.] 9783428550166, 9783428150168

Citation preview

Schriften zum Sozial- und Arbeitsrecht Band 344

Bring Your Own Device (BYOD) Rechtsfragen der dienstlichen Nutzung arbeitnehmereigener mobiler Endgeräte im Unternehmen

Von

Christine Monsch

Duncker & Humblot · Berlin

CHRISTINE MONSCH

Bring Your Own Device (BYOD)

Schriften zum Sozial- und Arbeitsrecht Herausgegeben von Prof. Dr. Matthias Jacobs, Hamburg Prof. Dr. Rüdiger Krause, Göttingen Prof. Dr. Sebastian Krebber, Freiburg Prof. Dr. Thomas Lobinger, Heidelberg Prof. Dr. Markus Stoffels, Heidelberg Prof. Dr. Raimund Waltermann, Bonn

Band 344

Bring Your Own Device (BYOD) Rechtsfragen der dienstlichen Nutzung arbeitnehmereigener mobiler Endgeräte im Unternehmen

Von

Christine Monsch

Duncker & Humblot · Berlin

Die Juristische Fakultät der Justus-Liebig-Universität Gießen hat diese Arbeit im Jahre 2015 als Dissertation angenommen.

Gedruckt mit Unterstützung des Förderungsfonds Wissenschaft der VG WORT.

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

Alle Rechte vorbehalten

© 2017 Duncker & Humblot GmbH, Berlin Druck: buchbücher.de gmbh, Birkach Printed in Germany

ISSN 0582-0227 ISBN 978-3-428-15016-8 (Print) ISBN 978-3-428-55016-6 (E-Book) ISBN 978-3-428-85016-7 (Print & E-Book) Gedruckt auf alterungsbeständigem (säurefreiem) Papier entsprechend ISO 9706

Internet: http://www.duncker-humblot.de

Meinen Eltern in Liebe und Dankbarkeit

Vorwort Die vorliegende Arbeit wurde im Herbstsemester 2015 von der Juristischen Fakultät der Universität Gießen als Dissertation angenommen. Rechtsprechung und Literatur wurden bis einschließlich September 2015 berücksichtigt. Mein herzlicher Dank gilt zuallererst meinem Doktorvater, Herrn Professor Dr. Martin Gutzeit, für den Themenvorschlag, für seine hervorragende Betreuung der Arbeit und für die Freiheit bei der Bearbeitung des Themas. Ganz besonders danken möchte ich darüber hinaus Herrn Professor Dr. Günther Wiese für die äußerst zügige Erstellung des Zweitgutachtens sowie für seine wertvollen Anmerkungen und Ratschläge, die ich stets mit Gewinn verwerten konnte. Seine unermüdliche Förderung und seine herausragende Unterstützung während der Erstellung der Arbeit trugen wesentlich zu deren Gelingen bei. Herzlich bedanke ich mich ferner bei Herrn Professor Dr. Philipp S. Fischinger, der mir als Wissenschaftliche Mitarbeiterin den notwendigen Freiraum beließ, diese Arbeit anzufertigen. Die Zeit an seinem Lehrstuhl wird mir immer in guter Erinnerung bleiben. Weiterer Dank gilt Herrn Steuerberater Güven Akdeniz, der mir bei der Erstellung des steuerrechtlichen Kapitels dieser Arbeit als kompetenter und geduldiger Gesprächspartner zur Seite stand. Herausragender Dank gilt schließlich meiner Familie, ganz besonders meinen Eltern Edmund und Elvira Monsch. Sie haben mich während der Studien- und Promotionszeit unermüdlich unterstützt und waren mir immer ein liebevoller und unverzichtbarer Rückhalt. Ihnen ist die vorliegende Arbeit gewidmet. Mannheim, im Mai 2016

Christine Monsch

Inhaltsverzeichnis 1. Kapitel Einführung 

19

§ 1 Problemstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 § 2 BYOD – Grundlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 A. Charakterisierung und Ausprägungen von BYOD . . . . . . . . . . . . . . . . . 21 I. Begriffsbestimmung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 II. Erscheinungsformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 1. BYOD als „Betriebsmittelersatz“ . . . . . . . . . . . . . . . . . . . . . . . . 23 2. Der optionale BYOD-Einsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3. Der nicht geregelte Einsatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 III. Abgrenzung zu anderen Konzepten . . . . . . . . . . . . . . . . . . . . . . . . . 25 1. Gründe für Alternativkonzepte . . . . . . . . . . . . . . . . . . . . . . . . . . 25 2. COPE – „Corporate-Owned, Personally Enabled“ . . . . . . . . . . 25 3. CYOD – „Choose Your Own Device“  . . . . . . . . . . . . . . . . . . . 27 B. Herkunft und Verbreitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 § 3 Die rechtliche Implementierung von BYOD – Rechtsgrundlagen für die Einführung einer BYOD-Nutzungsvereinbarung . . . . . . . . . . . . . . . . 29 A. Direktionsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 B. Individualvereinbarung – Rechtlicher Charakter . . . . . . . . . . . . . . . . . . 31 I. Arbeitsvertragliche Regelung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 II. Gesondertes Rechtsverhältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 III. Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 C. Betriebsvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 I. Die Einführung von BYOD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 II. Die konkreten Nutzungsvorgaben . . . . . . . . . . . . . . . . . . . . . . . . . . 36 D. Nutzungsrecht des Arbeitnehmers aufgrund einer betrieblichen Übung? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 I. Zum Begriff der betrieblichen Übung . . . . . . . . . . . . . . . . . . . . . . . 38 II. Meinungsstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 III. Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 E. Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

10 Inhaltsverzeichnis 2. Kapitel

Die arbeitsrechtliche Umsetzung des BYOD-Konzepts 

44

§ 4 Regelungsaspekte und inhaltliche Ausgestaltung der BYOD-Nutzungsvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 A. Freiwilligkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 B. Einschränkungen der privaten Nutzung  . . . . . . . . . . . . . . . . . . . . . . . . . 45 I. Ausschluss und Einschränkungen der privaten Nutzung während der Arbeitszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 II. Vollständiger Ausschluss der Privatnutzung außerhalb der Arbeitszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 III. Zulässigkeit teilweiser Einschränkung privater Nutzung außerhalb der Arbeitszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 C. Arbeitszeitrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 I. Einsatz von BYOD außerhalb der regulären Arbeitszeit – Freizeit oder Arbeitszeit? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 1. Arbeitszeit i. S. d. ArbZG – Einführung . . . . . . . . . . . . . . . . . . . 48 2. Übertragung und Anwendung auf BYOD . . . . . . . . . . . . . . . . . 50 a) Wirksame Anordnung der Erreichbarkeit  . . . . . . . . . . . . . . 51 b) Fehlende Anordnung der Erreichbarkeit  . . . . . . . . . . . . . . . 52 aa) Arbeitszeit bei Zurechenbarkeit   . . . . . . . . . . . . . . . . . 52 bb) Reines Freizeitverhalten . . . . . . . . . . . . . . . . . . . . . . . . 53 cc) Rufbereitschaft analog auch bei bloß faktischer Erreichbarkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 dd) Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 ee) Zwischenergebnis  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 II. Arbeitszeit- und vergütungsrechtliche Folgen . . . . . . . . . . . . . . . . . 57 1. Höchstarbeitszeit und Aufzeichnungspflicht . . . . . . . . . . . . . . . 57 2. Ruhezeit gem. § 5 ArbZG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 a) Wertender Ansatz: keine Unterbrechung bei sogenannter „nicht nennenswerter Arbeitsleistung“ . . . . . . . . . . . . . . . . . 59 b) Anrechnungsrelevante Unterbrechung . . . . . . . . . . . . . . . . . 59 c) Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 3. Sonn- und Feiertagsruhe  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 4. Überstunden und Vergütung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 III. Folgerungen für die BYOD-Nutzungsvereinbarung . . . . . . . . . . . . 64 D. Arbeitsschutzgesetz und Bildschirmarbeitsverordnung . . . . . . . . . . . . . . 66 I. Arbeitsschutzgesetz (ArbSchG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 II. Bildschirmarbeitsverordnung (BildschirmarbV) . . . . . . . . . . . . . . . 68 E. Regelungen zum Kostenersatz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 I. Betriebsmittelersetzendes BYOD . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 1. Aufwendungsersatz für die Bereitstellung des Geräts . . . . . . . 69 2. Aufwendungsersatz für die Nutzung des Geräts . . . . . . . . . . . . 71

Inhaltsverzeichnis11 a) Kostenerstattung gegen Einzelnachweis . . . . . . . . . . . . . . . . 71 b) Pauschalvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72 c) Übernahme des Telekommunikationsvertrages durch den Arbeitgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 3. Support und Wartung  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 4. Ausschluss des Aufwendungsersatzes . . . . . . . . . . . . . . . . . . . . 76 II. Optionales BYOD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 1. Aufwendungsersatzanspruch nach § 670 BGB analog . . . . . . . 76 2. Folgerungen für die BYOD-Nutzungsvereinbarung . . . . . . . . . 78 F. Haftung zwischen Arbeitgeber und Arbeitnehmer . . . . . . . . . . . . . . . . . 78 I. Haftungsrechtliche Ansprüche des Arbeitgebers . . . . . . . . . . . . . . . 79 II. Haftungsrechtliche Ansprüche des Arbeitnehmers . . . . . . . . . . . . . 80 1. Verschuldensabhängige Haftung des Arbeitgebers . . . . . . . . . . 81 a) Pflichten zum Schutz des Eigentums und sonstiger vermögensrechtlicher Belange des Arbeitnehmers . . . . . . . . . . . . . 81 b) Haftungsausschlüsse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 aa) Formularklauseln . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 bb) Betriebsvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 c) Weitere Möglichkeiten der Haftungsbeschränkung  . . . . . . . 87 2. Verschuldensunabhängige Haftung des Arbeitgebers . . . . . . . . 88 a) Grundsätze der verschuldensunabhängigen Haftung bei Eigenschäden des Arbeitnehmers . . . . . . . . . . . . . . . . . . . . . 88 b) Betriebsmittelersetzendes BYOD . . . . . . . . . . . . . . . . . . . . . 91 c) Optionales BYOD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 III. Ersatzbeschaffungspflicht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 G. Herausgabepflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 H. Beendigung des Arbeitsverhältnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 § 5 Betriebsverfassungsrechtliche Beteiligungsrechte des Betriebsrats  . . . . . . . 96 A. Allgemeiner Unterrichtungsanspruch – § 80 Abs. 2 BetrVG . . . . . . . . . 97 B. Arbeitsplatzplanung – § 90 BetrVG Unterrichtungs- und Beratungsrechte . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 I. Unterrichtungsrecht nach § 90 Abs. 1 BetrVG . . . . . . . . . . . . . . . . 98 II. Beratungsrecht nach § 90 Abs. 2 BetrVG . . . . . . . . . . . . . . . . . . . . 99 C. Betriebsänderung – § 111 BetrVG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 D. Betriebliche Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG . . . . . . . 100 I. Ordnungs- und Verhaltensvorschriften (§ 87 Abs. 1 Nr. 1 ­BetrVG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 II. § 87 Abs. 1 Nr. 2 und Nr. 3 BetrVG  . . . . . . . . . . . . . . . . . . . . . . . 103 1. Beginn und Ende der täglichen Arbeitszeit (§ 87 Abs. 1 Nr. 2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 2. Vorübergehende Verlängerung der betriebsüblichen Arbeitszeit (§ 87 Abs. 1 Nr. 3 BetrVG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

12 Inhaltsverzeichnis III. Überwachung mittels technischer Einrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 IV. Arbeitsschutz (§ 87 Abs. 1 Nr. 7 BetrVG) . . . . . . . . . . . . . . . . . . . 108 3. Kapitel

Telekommunikations- und Datenschutzrecht 

110

§ 6 BYOD und das Telekommunikationsrecht  . . . . . . . . . . . . . . . . . . . . . . . . . . 110 A. Das Telekommunikationsgesetz (TKG) . . . . . . . . . . . . . . . . . . . . . . . . . . 110 I. Anwendbarkeit des § 88 TKG? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 1. Herrschende Ansicht in der arbeitsrechtlichen Literatur . . . . . . 111 2. Gegenansicht und instanzgerichtliche Rechtsprechung . . . . . . . 113 3. Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 a) Grammatikalische Auslegung  . . . . . . . . . . . . . . . . . . . . . . . . 115 b) Systematische Auslegung . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 c) Historische Auslegung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 d) Teleologische Auslegung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120 e) Fazit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121 II. Rechtsfolgen und Konsequenzen für die BYOD-Nutzung . . . . . . . 121 1. Reichweite des Schutzes des einfachgesetzlichen Fernmeldegeheimnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 a) POP3-Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 b) IMAP-Verfahren  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123 c) Sicherungskopien des Arbeitgebers . . . . . . . . . . . . . . . . . . . . 125 2. Kontrolle des E-Mail-Verkehrs im Anwendungsbereich des TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 a) Kontrolle des E-Mail-Inhalts . . . . . . . . . . . . . . . . . . . . . . . . . 125 b) Kontrolle der Verkehrsdaten . . . . . . . . . . . . . . . . . . . . . . . . . 126 3. Kontrolle der Internetnutzung im Anwendungsbereich des TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 a) Kontrolle des Inhalts der Internetseite . . . . . . . . . . . . . . . . . 127 b) Kontrolle der Verkehrsdaten . . . . . . . . . . . . . . . . . . . . . . . . . 127 4. Kontrolle des Telefonverkehrs im Anwendungsbereich des TKG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128 a) Kontrolle des Inhalts von Telefongesprächen . . . . . . . . . . . . 128 b) Kontrolle der Verkehrsdaten . . . . . . . . . . . . . . . . . . . . . . . . . 128 B. Telemediengesetz (TMG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 § 7 BYOD und das Datenschutzrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 A. BYOD als Auftragsdatenverarbeitung? . . . . . . . . . . . . . . . . . . . . . . . . . . 130 I. Meinungsstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 II. Stellungnahme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 B. Technische und organisatorische Maßnahmen . . . . . . . . . . . . . . . . . . . . 134

Inhaltsverzeichnis13 I. Mobile Device Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 II. Vorgaben der Anlage zu § 9 BDSG . . . . . . . . . . . . . . . . . . . . . . . . 136 1. Trennungsgebot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 a) Containerlösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 b) Virtualisierungslösungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 c) Vor- und Nachteile  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 2. Zutrittskontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 3. Zugangskontrollen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 4. Zugriffskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 5. Weitergabekontrolle  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 6. Eingabekontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 7. Verfügbarkeitskontrolle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 a) Anti-Virenprogramme und das Verbot von „Jailbreaks“ . . . 141 b) Verbot von Cloud-Computing . . . . . . . . . . . . . . . . . . . . . . . . 142 c) Fernlöschungen und -sperrungen . . . . . . . . . . . . . . . . . . . . . 144 d) Blacklist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 C. Verwaltung und Kontrolle der Endgeräte  . . . . . . . . . . . . . . . . . . . . . . . 147 I. Speichern dienstlicher Daten  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 II. Zugriff auf dienstliche Daten  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 III. Löschen dienstlicher Daten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 4. Kapitel

Lizenz- und Urheberrecht 

151

A. Lizenzrechtliche Ausgangssituation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 I. Nutzung von Unternehmenssoftware  . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 II. Nutzung privater Software  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 B. Haftungsrisiken für Urheberrechtsverletzungen  . . . . . . . . . . . . . . . . . . . . . . 153 I. Haftung des Unternehmens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 1. § 99 UrhG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 2. § 97 Abs. 2 UrhG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 II. Haftung der Organe  . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 C. Folgerungen für die BYOD-Nutzungsvereinbarung . . . . . . . . . . . . . . . . . . . 158 5. Kapitel

Strafrechtliche Risiken bei der BYOD-Nutzung 

160

A. §§ 17, 18 UWG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 B. § 202a Abs. 1 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 C. § 202b StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

14 Inhaltsverzeichnis D. § 202c StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 E. § 206 StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 F. § 303a StGB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 164 6. Kapitel Steuerrecht 

167

A. Betriebsmittelersetzendes BYOD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 B. Optionales BYOD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 C. Dokumentations- und Aufbewahrungspflichten . . . . . . . . . . . . . . . . . . . . . . . 170 7. Kapitel

Zusammenfassung der wichtigsten Thesen 

Muster einer Nutzungsvereinbarung für den optionalen BYOD-Einsatz 

172 175

Literaturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 Sachverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192

Abkürzungsverzeichnis a. A.

andere Ansicht

Abs. Absatz a. F.

alte Fassung

AGB

Allgemeine Geschäftsbedingung(en)

AiB

Arbeit im Betrieb (Zeitschrift)

AktG Aktiengesetz Alt. Alternative AO Abgabenordnung AP

Arbeitsrechtliche Praxis (Nachschlagewerk des Bundesarbeitsgerichts)

App Softwareapplikation ArbG Arbeitsgericht ArbRB

Der Arbeits-Rechts-Berater (Zeitschrift)

ArbSchG

Gesetz über die Durchführung des Arbeitsschutzes

ArbuR

Arbeit und Recht (Zeitschrift)

ArbZG Arbeitszeitgesetz Art. Artikel AuA

Arbeit und Arbeitsrecht (Zeitschrift)

AuR

Arbeit und Recht (Zeitschrift)

BAG Bundesarbeitsgericht BayObLG

Bayrisches Oberstes Landesgericht

BB

Betriebs Berater (Zeitschrift)

BDSG Bundesdatenschutzgesetz BeckRS

Beck online Rechtsprechung

BetrAVG

Gesetz zur Verbesserung der betrieblichen Altersversorgung

BetrVG Betriebsverfassungsgesetz BFH Bundesfinanzhof BGB

Bürgerliches Gesetzbuch

BGBl. I

Bundesgesetzblatt Teil  I

BGH Bundesgerichtshof BildschirmarbV

Verordnung über Sicherheit und Gesundheitsschutz bei der Arbeit an Bildschirmgeräten

16 Abkürzungsverzeichnis Bl. Blatt BR-Drucks. Bundesrats-Drucksache BSG Bundessozialgericht BSI Bundesamt für Sicherheit in der Informationstechnik BStBl Bundessteuerblatt BT-Drucks. Bundestags-Drucksache BUrlG Mindesturlaubsgesetz für Arbeitnehmer (Bundesurlaubsgesetz) BVerwG Bundesverwaltungsgericht BYOD Bring Your Own Device bzw. beziehungsweise CB Compliance Berater (Zeitschrift) CCZ Corporate Compliance (Zeitschrift) COPE Corporated-Owned, Personally Enabled CR Computer und Recht (Zeitschrift) CYOD Choose Your Own Device DB Der Betrieb (Zeitschrift) ders. derselbe d. h. das heißt DLP Date-Loss-Prevention DStR Deutsches Steuerrecht (Zeitschrift) DuD Datenschutz und Datensicherung (Zeitschrift) EStG Einkommensteuergesetz etc. et cetera EU Europäische Union EuGH Europäischer Gerichtshof f., ff. folgende Fn. Fußnote FS Festschrift GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen gem. gemäß GewO Gewerbeordnung GK Gemeinschaftskommentar GmbHG Gesetz betreffend die Gesellschaften mit beschränkter Haftung GoBD Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff GoBS Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme

Abkürzungsverzeichnis17 GS

Großer Senat

GURU-RR

Gewerblicher Rechtsschutz und Urheberrecht RechtsprechungsReport (Zeitschrift)

HGB Handelsgesetzbuch IMAP

Internet Message Access Protocol

IMEI

International Mobile Station Equipment Identity

IT Informationstechnik ITK

Informations- und Telekommunikationstechnik

ITRB

Der IT-Rechts-Berater (Zeitschrift)

i. S.

im Sinne

i. V. m.

in Verbindung mit

K&R

Kommunikation und Recht (Zeitschrift)

Kap. Kapitel krit. kritisch LAG Landesarbeitsgericht LG Landgericht lit. littera Ls. Leitsatz LStDV Lohnsteuer-Durchführungsverordnung MDM

Mobile Device Management

MDR

Monatsschrift für Deutsches Recht (Zeitschrift)

MMR

MultiMedia und Recht (Zeitschrift)

MüKo

Münchener Kommentar

m. w. N.

mit weiteren Nachweisen

NJOZ

Neue Juristische Online Zeitschrift

NJW

Neue Juristische Wochenschrift (Zeitschrift)

Nr. Nummer(n) NZA

Neue Zeitschrift für Arbeitsrecht

NZA-RR

Neue Zeitschrift für Arbeitsrecht Rechtsprechungsreport (Zeitschrift)

OLG Oberlandesgericht OWiG

Gesetz über Ordnungswidrigkeiten

PC

Personal Computer

Pkw Personenkraftwagen POP3

Post Office Protocol Version 3

R Rückseite RDV

Recht der Datenverarbeitung (Zeitschrift)

RL Richtlinie

18 Abkürzungsverzeichnis Rn. Randnummer Rspr. Rechtsprechung S. Seite(n) SOX Sarbanes Oxley Act TKG Telekommunikationsgesetz TMG Telemediengesetz TVG Tarifvertragsgesetz UrhG Gesetz über Urheberrecht und verwandte Schutzrechte UStG Umsatzsteuergesetz v. von / vom vgl. vergleiche VVG Gesetz über den Versicherungsvertrag WRV Weimarer Reichsverfassung WuM Wirtschaftsinformatik & Management (Zeitschrift) z. B. zum Beispiel ZD Zeitschrift für Datenschutz ZfA Zeitschrift für Arbeitsrecht ZPO Zivilprozessordnung zust. zustimmend

1. Kapitel

Einführung § 1 Problemstellung Der Einsatz von mobilen IT-Geräten, wie Smartphones, Laptops, Notebooks, Netbooks oder Tablet-PCs, ist im Privat- und Arbeitsleben kaum mehr wegzudenken. Während früher eine klare Trennung zwischen privaten und dienstlichen Kommunikationsgeräten vorherrschte, verwischen sich diese Grenzen heute zunehmend. Immer mehr Arbeitnehmer möchten auf die Nutzung ihrer privaten Mobilgeräte am Arbeitsplatz nicht mehr verzichten, sondern private Kommunikation und dienstliche Aufgaben von einem einzigen Gerät aus erledigen.1 Umfragen des BITKOM-Verbandes 2012 ergaben sogar, dass bereits 71 % aller Berufstätigen in Deutschland ihre privat angeschafften Mobilgeräte tatsächlich auch für ihre tägliche Arbeit nutzen.2 Die Gründe für den Einsatz privater Endgeräte im Betrieb sind vielfältig. Feste Beschaffungszyklen und laufende Leasingverträge bewirken, dass die unternehmenseigenen Endgeräte im Gegensatz zu den privaten technisch und auch optisch teilweise nicht mehr auf dem neusten Stand der Technik sind.3 „Wer ein modernes Smartphone besitzt, will im Beruf regelmäßig kein älteres, unter Umständen gebrauchtes Gerät benutzen müssen“.4 Auch die Bedienungsfreundlichkeit sowie die Vertrautheit mit dem eigenen Gerät sprechen aus Arbeitnehmersicht für den Einsatz privater Hardware genauso wie die damit einhergehende Flexibilität. Zu dem hieraus resultierenden Wunsch der Arbeitnehmer, private Endgeräte zu nutzen, korrespondiert die Erwartung der Arbeitgeber, durch deren Einsatz die Mitarbeiterzufriedenheit und damit die Produktivität zu erhöhen sowie die eigenen Investitions- bzw. 1  Göpfert / Wilke,

NZA 2012, 765.

2  http: // www.bitkom.org / de / markt_statistik / 64054_75801.aspx

[zuletzt abgerufen am 17.02.2014]. 3  Tiedemann, ArbRB 2013, 152 (153). 4  Göpfert / Wilke, NZA 2012, 765; in diesem Sinne auch der plakative Titel „Zu Hause Ferrari, im Büro Pferdekutsche“ http: // www.spiegel.de / karriere / berufsleben /  privatrechner-am-arbeitsplatz-zu-hause-ferrari-im-buero-pferdekutsche-a-813651. html [zuletzt abgerufen am 01.09.2015].

20

1. Kap., § 1: Problemstellung

Anschaffungskosten bei der IT- und Telekommunikationsinfrastruktur zu senken.5 Diskutiert und zusammengefasst wird dieser aus den USA stammende Trend des Einsatzes privater Kommunikationsgeräte im Betrieb unter dem Schlagwort „Bring Your Own Device“, kurz „BYOD“. Der Einsatz und die Konzeptionierung von BYOD beschwören jedoch neben den sich hieraus ergebenden Vorteilen auch eine Vielzahl von rechtlichen und tatsächlichen Konflikten herauf, die bislang kaum analysiert worden sind. Mangels spezifischer gesetzlicher BYOD-Regelungen obliegt es allein den Arbeitsvertragsparteien, den rechtlichen und tatsächlichen Rahmen des Einsatzes zu gestalten, der mit einer Fülle von Regelungsnotwendigkeiten und noch weitestgehend ungeklärten Detailfragen zu unterschiedlichsten Rechtsgebieten einhergeht. Im Fokus stehen vor allem arbeitsrechtliche Aspekte, wie Kosten-, Haftungs-, Wartungs- und Reparaturfragen, arbeitszeitrechtliche Regelungen, Umfang und Einschränkung von Nut­ zungsrechten des Arbeitnehmers und nicht zuletzt die Mitbestimmungsrechte des Betriebsrats. Auch telekommunikations- und datenschutzrechtliche Aspekte müssen bei der BYOD-Konzeptionierung beachtet werden. Auf den mobilen Endgeräten können sich neben Mitarbeiterdaten auch solche der Kunden und des Unternehmens selbst befinden, also sowohl personen- und telekommunikationsbezogene Informationen als auch Geschäftsgeheimnisse.6 Die IT-Infrastruktur muss deshalb so ausgestaltet werden, dass sie den Bestimmungen des TKG und des BDSG genügt und die Sicherheit und Integrität der Unternehmens-IT und des sensiblen Datenbestands gewährleistet.7 Nicht zu verkennen sind schließlich die lizenz- und urheberrecht­ lichen sowie straf- und steuerrechtlichen Bestimmungen, die ebenfalls einen nicht unerheblichen Einfluss auf die jeweilige unternehmensspezifische BYOD-Konzeptionierung und die konkrete inhaltliche Ausgestaltung der BYOD-Nutzungsvereinbarung ausüben. Ziel der vorliegenden Arbeit ist es, im Interesse der Rechtsklarheit und Rechtssicherheit darzustellen, welche konkreten rechtlichen Anforderungen die BYOD-Konzeptionierung und deren Ausgestaltung im Wege einer BYOD-Nutzungsvereinbarung notwendig zu erfüllen hat, um einen rechtswirksamen Einsatz der Privatgeräte im Unternehmen zu gewährleisten. Hierbei soll insbesondere auch der Frage nachgegangen werden, welche gestalterischen Möglichkeiten für ein derartiges Regelungswerk bestehen und welchen Grenzen und Beschränkungen dieses dabei vor allem aufgrund des AGB-Rechts unterliegt. Die Darstellung der jeweils zu berücksichtigenden Regelungsaspekte orientiert sich nach einer einleitenden Einführung zu 5  Tiedemann,

ArbRB 2013, 152 (153); Zöll / Kielkowski, BB 2012, 2625. RDV 2013, 185. 7  Göpfert / Wilke, NZA 2012, 765. 6  Franck,



A. Charakterisierung und Ausprägungen von BYOD21

den Grundlagen von BYOD und der Klärung der praxisrelevanten Frage, welche Rechtsgrundlage für die rechtliche Implementierung einer BYODNutzungsvereinbarung heranzuziehen ist, vornehmlich an den unterschiedlichen, von BYOD betroffenen Rechtsbereichen. Sie beginnt mit den spezifisch arbeitsrechtlichen Fallstricken der BYOD-Konzeptionierung, geht über zu den telekommunikations- und datenschutzrechtlichen Problemkreisen und schließt mit den lizenz-, straf- und steuerrechtlichen Fragestellungen ab. Hingewiesen sei jedoch bereits an dieser Stelle, dass obwohl die zu berücksichtigenden Regelungsaspekte vielfach einem spezifischen Rechtsgebiet zugeordnet werden können, sie dennoch häufig in Wechselwirkung zueinander stehen, eng miteinander verzahnt und deshalb stets ganzheitlich betrachtet werden müssen. Ausführungen zu den wichtigsten Thesen und eine Zusammenfassung der gefundenen Ergebnisse sowie eine Muster-BYOD-Nutzungsvereinbarung bilden den Abschluss dieser Arbeit.

§ 2 BYOD – Grundlagen A. Charakterisierung und Ausprägungen von BYOD I. Begriffsbestimmung Sinngemäß lässt sich „Bring Your Own Device“ mit „Bring dein eigenes Gerät mit (und nutze es für die Arbeit)“ ins Deutsche übersetzen.8 Im Mittelpunkt steht das Phänomen, dass Arbeitnehmer ihre eigenen, privat angeschafften mobilen IT-Geräte für die von ihnen zu erbringende Arbeitsleistung einsetzen. Der Begriff „Device“ ist dabei sehr weit zu verstehen. Gemeint sind nicht nur die eigenen Smartphones, Handys, Laptops und TabletPCs – also das jeweilige mobile Endgerät und damit die Hardware als solche –, sondern auch die auf diesen Geräten installierte Software9, wie beispielsweise „Apps“10, Datenbanken, Services, Internet-Plattformen und sonstige Applikationen. Über den Umfang und die Art des Einsatzes eines privaten Endgeräts sagt BYOD als solches nichts aus. Dieser kann mit oder auch ohne Wissen des Arbeitgebers erfolgen, detailliert geregelt oder unkontrolliert sein, vom schlichten gelegentlichen dienstlichen Telefonat bis hin zu einem vollstän8  Ähnlich auch Kremer / Sander, ITRB 2012, 275 (276): „Bring dein Eigentum mit (und nutze es für die Arbeit)“. 9  Tiedemann, ArbRB 2013, 152 (155 Fn. 2). 10  Im Zusammenhang mit Smartphones und Tablet-PCs werden Softwareprogramme als „Apps“ bezeichnet. Der Begriff „App“ stammt aus dem Englischen und leitet sich von „Application“ ab, was so viel wie „Anwendung“ bedeutet.

22

1. Kap., § 2: BYOD – Grundlagen

digen Zugriff auf das Unternehmensnetzwerk reichen. Er wird deshalb maßgeblich von der konkreten BYOD-Konzeptionierung des einzelnen Unternehmens geprägt. Trotz der Weite des Begriffs und der in Folgendem noch näher zu untersuchenden feinen Untergliederungen sowie Erscheinungsformen, soll BYOD hier vor allem in seiner komplexesten Ausprägung verstanden werden: als vollständig geregelter Einsatz mit einem Zugriff auf die unternehmenseigenen IT-Ressourcen. Dies ermöglicht eine umfassende Analyse und Bewertung des Trends, nicht zuletzt auch deshalb, weil die diesbezüglich getroffenen Lösungen bei einfacheren BYOD-Konzepten gleichfalls Anwendung finden können. Nicht notwendig mit BYOD gleichzustellen und zu verwechseln ist „Consumerization of IT“, auch wenn diese Begriffe häufig als Synonyme gebraucht werden.11 „Consumerization of IT“ beschreibt in seinem Kern die Verwendung von IT-Geräten, Programmen und Diensten im Unternehmen, die nicht dediziert für dieses entwickelt wurden, sondern originär dem Konsumentenbereich entspringen12, wie fast alle der heute marktüblichen und gängigen Smartphones und Tablet-PCs.13 Während der historische Fluss von IT-Innovationen bisweilen aus großen Organisationen in Richtung privater Endverbraucher zu beobachten war, findet nunmehr eine Umkehrung dergestalt statt, dass Software und IT-Innovationen beim privaten Endverbraucher entstehen oder für diesen entwickelt werden und im Anschluss daran die „IT-Landschaft“ von Unternehmen beeinflussen.14 Damit trifft „Consumerization of IT“ keine Aussage über die eigentumsrechtlichen Verhältnisse der mobilen Geräte, sondern spezifiziert nur deren Ursprung im Konsumentenmarkt. Deshalb umfasst dieser Begriff neben den unternehmenseigenen auch die privaten IT-Consumergeräte der Mitarbeiter. BYOD hingegen meint ausschließlich die Privatgeräte der Arbeitnehmer, weshalb „Consumerization of IT“ den Oberbegriff darstellt, der BYOD als einen Teilaspekt mit einschließt. BYOD ist „Consumerization of IT“, aber „Consumerization of IT“ nicht notwendigerweise BYOD. II. Erscheinungsformen BYOD kann in unterschiedlichen Ausprägungen zum Einsatz kommen. Im Kern sind „BYOD als Betriebsmittelersatz“ sowie der „optionale BYOD Einsatz“ zu unterscheiden. Je nachdem, welches dieser beiden BYODbeispielsweise von Zöll / Kielkowski, BB 2012, 2625. Wirtschaftsinformatik 2012, 351. 13  Weiß / Leimeister, Wirtschaftsinformatik 2012, 351. 14  Uebernickel / Brenner, Die Herausforderungen der IT heute, S. 16. 11  So

12  Weiß / Leimeister,



A. Charakterisierung und Ausprägungen von BYOD23

Konzepte das Unternehmen verfolgen will, unterscheiden sich die daraus resultierenden rechtlichen und tatsächlichen Anforderungen teilweise stark. Um diesen gerecht zu werden, ist es für ein Unternehmen erforderlich, schon von vornherein genauestens festzulegen, welche Form von BYOD zum Einsatz kommen soll und welche nicht. Im Folgenden sollen deshalb zunächst beide BYOD-Konzepte vorgestellt und ihre Eigenarten wie Unterschiede aufgezeigt werden. 1. BYOD als „Betriebsmittelersatz“ In der Regel stellt der Arbeitgeber dem Arbeitnehmer sämtliche Arbeitsmittel zur Verfügung, die dieser zur Erbringung der geschuldeten Arbeitsleistung benötigt. Hierzu zählen auch solche der Informations- und Telekommunikation. Dienstliche Laptops, Smartphones oder Handys sind gebräuchlich und gehören meist zum Standard in deutschen Unternehmen. Gleichwohl sind gegenteilige Vereinbarungen, nach denen der Arbeitnehmer einen Teil der Arbeitsmittel selbst zu stellen hat, grundsätzlich möglich15 und für verschiedenste Arbeits- und Betriebsmittel von der Rechtsprechung bestätigt worden.16 Mit am bekanntesten ist in diesem Zusammenhang die häufig als „Car Allowance“ bezeichnete Nutzung des Privat-Pkw statt des Dienstwagens, die gerade bei Außendienstmitarbeitern keine Seltenheit ist.17 Auch eine der besonderen Ausprägungen von BYOD knüpft an diese Möglichkeit der Pflichtenübertragung an und implementiert die privaten Endgeräte als vollständigen Ersatz für die unternehmenseigene ITK-Infrastruktur. Wenn sich der Arbeitnehmer zur Nutzung seiner Privatgeräte verbindlich verpflichtet, erübrigen sich für den Arbeitgeber Anschaffung und Bereitstellung von betrieblichen, mobilen IT-Geräten. Für ihn geht damit eine (vermeintliche)18 Kostenersparnis einher, weshalb BYOD als Betriebsmittelersatz in den USA sehr beliebt und verbreitet ist. Ob sich der vollständige Verzicht auf die dienstlichen IT-Geräte allerdings auch in Deutschland

15  Däubler,

Internet und Arbeitsrecht, § 4 Rn. 210 f. beispielsweise, dass ein angestellter Taxifahrer seinen eigenen Pkw einzusetzen hat: BAG v. 29.06.1991  – 7 ABR 67 / 90, AP Nr. 2 zu § 9 BetrVG 1972, oder auch, dass ein Model eigene Kleidung bereitzuhalten und zur Verfügung zu stellen hat: BSG v. 12.12.1990  – 11 RAr 73 / 90, NZA 1991, 907 (908). Ebenfalls für wirksam erachtet wurde eine Vereinbarung, nach der ein Musiker seine eigenen Instrumente bereitzustellen und zu gebrauchen hat, sollten ihm keine vom Arbeitgeber gestellt werden: BAG v. 27.01.2000  – 8 AZR 876 / 98, AP Nr. 31 zu § 611 BGB Musiker = NZA 2000, 727. 17  Däubler, Internet und Arbeitsrecht, § 4 Rn. 210 f. 18  Siehe hierzu Kapitel 2 § 4. 16  So

24

1. Kap., § 2: BYOD – Grundlagen

durchsetzen wird, ist fraglich und bleibt abzuwarten.19 Anzudenken ist er jedenfalls in Bezug auf einzelne Geräte, wie beispielsweise das Dienst­ handy. 2. Der optionale BYOD-Einsatz Eine abgeschwächte Form von BYOD stellt der optionale oder auch freiwillige Einsatz dar. Bei diesem wird nicht auf die Stellung von dienstlichen Geräten verzichtet. Dem Arbeitnehmer wird vielmehr die Möglichkeit eröffnet, sein privates Endgerät zusätzlich mit in die Arbeitsorganisation einzubringen und zu verwenden.20 Weil nicht alle Arbeitnehmer ihr privates ITGerät auch betrieblich einsetzen wollen bzw. können und die Regelungsbefugnis für den Arbeitgeber weit höher einzustufen ist als bei einem verpflichtenden BYOD Einsatz, stellt diese Wahlmöglichkeit hierzulande die weit häufigere Erscheinungsform dar. Für den Arbeitgeber bedeutet dies allerdings auch, dass weiterhin ITK-Geräte auf Vorrat vorhanden sein müssen, vor allem, um bei einem Defekt oder Verlust des Privatgeräts nicht in Annahmeverzug zu geraten21 und dass jedenfalls die Möglichkeit der Kostenersparnis bei der Anschaffung der Geräte bedeutend geringer einzustufen ist als bei einem vollständigen Betriebsmittelersatz. 3. Der nicht geregelte Einsatz Von einem optionalen BYOD-Einsatz scharf zu trennen ist der häufig in der Praxis anzutreffende nicht geregelte BYOD-Einsatz. Bei diesem duldet der Arbeitgeber den Einsatz privater Endgeräte zwar, es mangelt aber gleichwohl an verbindlichen Nutzungsregelungen und Rahmenbedingungen. Zu Recht wird diese Erscheinungsform deshalb auch sehr bezeichnend mit „BYOD-Wildwuchs“22 umschrieben. Angesichts der massiven Sicherheitslücken für die sensiblen Unternehmensdaten und Geschäftsgeheimnisse ist diese Art des Einsatzes nachdrücklich abzulehnen und zu verhindern, sei es durch eine detaillierte BYOD-Regelung oder aber durch ein umfassendes Verbot, Privatgeräte für die Erledigung dienstlicher Aufgaben zu verwenden. 19  Ebenso kritisch Göpfert / Wilke NZA 2012, 765 (766) mit dem Verweise da­rauf, dass ein solcher vollständiger Betriebsmittelersatz hierzulande kaum von den Mitarbeitern akzeptiert würde. 20  Zöll / Kielkowski, BB 2012, 2625. 21  Seel, MDR 2014, 69 (70). 22  So von Zöll / Kielkowski, BB 2012, 2625 bezeichnet. Kripko, AuA 2012, 660 und Kamps, ArbRB 2013, 350 bezeichnen den ungeregelten Einsatz als so genannte „Schatten-IT“.



A. Charakterisierung und Ausprägungen von BYOD25

III. Abgrenzung zu anderen Konzepten 1. Gründe für Alternativkonzepte Kennzeichnend für BYOD ist, dass sich das mobile Endgerät im Eigentum des Arbeitnehmers befindet und zu keinem Zeitpunkt auf den Arbeitgeber übertragen wird. Das trägt maßgeblich zu den hier zu behandelnden rechtlichen und tatsächlichen Fallstricken bei und erschwert die datenschutzrechtliche Kontrolle sowie den Zugriff auf das jeweilige Endgerät. Darüber hinaus kommen regelmäßig verschiedenste Gerätetypen und Betriebssysteme zum Einsatz, die jeweils unterschiedlich gewartet und supportet werden müssen. Die Sicherheitsmaßnahmen für die unternehmensinternen Daten müssen hierauf individuell zugeschnitten werden, was wiederum zu einem erheblichen Mehraufwand für die IT-Abteilung führen und signifikante Kosten verursachen kann, welche die Kostenersparnis bei der Anschaffung der Geräte letztlich wieder aufheben23, sollte damit nicht gleichzeitig eine Steigerung der Produktivität und Effizienz der Mitarbeiter einhergehen. Angesichts dieser Schwachstellen und Risiken verwundert es nicht, dass Konzepte vordringen, die versuchen, jene zu beseitigen, zumindest aber merklich abzumildern. Um den BYOD-Trend umfassend bewerten und einordnen zu können, ist es notwendig, auch diese Alternativen zu beleuchten, nicht zuletzt, um sie von BYOD abgrenzen zu können. 2. COPE – „Corporate-Owned, Personally Enabled“ Eine noch wenig bekannte Alternative zu den BYOD-Konzepten stellt das so genannte „Corporated-Owned, Peronsally Enabled“-Modell (kurz „COPE“) dar. Sinngemäß lässt es sich mit „unternehmenseigene Geräte, die von Mitarbeitern eingerichtet und gepflegt werden“24, ins Deutsche übersetzen. Gemeint ist, dass das mobile IT-Gerät – anders als bei BYOD – vom Unternehmen gestellt wird, der Mitarbeiter dieses aber auch privat nutzen darf und das Gerät deshalb so einrichten kann, wie es seinen persönlichen Nutzungsgewohnheiten entspricht. Er konfiguriert es selbst und kann eigenständig die benötigte Software oder Apps herunterladen. Auch Support und Wartung des Geräts liegen (fast) ausschließlich im Verantwortungsbereich des Mitarbeiters. Er verpflichtet sich, das Gerät aktuell zu halten, und küm-

23  Franck,

RDV 2013, 185 (191). Robert, BYOD, CYOD, COPE – was steckt dahinter?, S. 2: http: // www.lanline.de / fachartikel / byod-cyod-cope- %E2 %80 %93-was-steckt-dahin ter.html?page=2 [zuletzt abgerufen am 01.09.2015]. 24  Himmelsbacher

26

1. Kap., § 2: BYOD – Grundlagen

mert sich allein um den technischen Betrieb.25 Um den unternehmensinternen Datenbestand dabei bestmöglich zu schützen, wird vor jeder Geräteübergabe die passende Sicherheitssoftware durch den Arbeitgeber aufgespielt. Da der Arbeitgeber das mobile IT-Gerät stellt und dieses im Kern ein dienstliches ist und bleibt, müssen keine Eigentumsrechte des Arbeitnehmers berücksichtigt werden. Das erleichtert die Kontrolle, Steuerung und den Zugriff auf das Gerät wesentlich. Kosten ergeben sich nur für die Anschaffung der Geräte, nicht auch für Support und Wartung, wodurch die IT-Kosten insgesamt gesenkt werden können. Durch die Stellung eines bestimmten Standardgeräts wird auch ein möglicher Wildwuchs an Geräte­ typen und Betriebssystemen vermieden, was die Sicherheit für den unternehmensinternen Datenbestand signifikant erhöht. So kann sichergestellt werden, dass die jeweilige Sicherheitssoftware auch wirklich zum Gerätetyp und zur Betriebssoftware passt. Trotz dieser Vorteile ist zu berücksichtigen, dass das Unternehmen bei COPE sämtliche Anschaffungskosten für die Geräte selbst zu tragen hat. Die sich diesbezüglich bei BYOD ergebende Kostenersparnis tritt also nicht ein. Hinzu kommt, dass die Mitarbeiter nicht ihr gewohntes, unter Umständen sogar aktuelleres und performanteres Endgerät benutzen können, sondern ausschließlich das gestellte Standardgerät. Die Steigerung der Mitarbeiterzufriedenheit, auf die BYOD letztlich abzielt, kann deshalb nicht im größtmöglichen Umfang erreicht werden.26 Vielmehr kann es zu einem schleichenden, ungeregelten BYOD-Einsatz kommen, sollte die IT-Abteilung nicht regelmäßig überprüfen, welche Mobilgeräte gerade aktuell sind und diese für das COPE-Modell auswählen.27 Eine innovative IT-Abteilung ist für COPE deshalb unerlässlich. Weil aber auch das notwendige technische Know-How auf Mitarbeiterseite hinsichtlich Support und Wartung Grund­ voraussetzung für COPE ist, kommt dessen Einsatz nur bei technisch versierteren Mitarbeitern in Betracht.

25  Himmelsbacher Robert, BYOD, CYOD, COPE – was steckt dahinter?, S. 3: http: // www.lanline.de / fachartikel / byod-cyod-cope- %E2 %80 %93-was-steckt-dahin ter.html?page=3 [zuletzt abgerufen am 01.09.2015]. 26  Arning / Moos, DB 2013, 2607 (2608). 27  Mönckemeyer, Ist COPE das neue BYOD?: http: // www.it-mod.de / wp-content /  uploads / 2015 / 04 / 20130729_IT_Business_Ist_COPE_das_neue_BYOD_gesamterArtikel_400dpi.pdf [zuletzt abgerufen am 01.09.2015].



A. Charakterisierung und Ausprägungen von BYOD27

3. CYOD – „Choose Your Own Device“ Den Effekt des schleichenden, ungeregelten BYOD-Einsatzes kann ein Unternehmen dadurch abschwächen, dass es den Mitarbeitern bei der Wahl des jeweiligen Endgeräts eine größere Wahlfreiheit einräumt und nicht verbindlich ein bestimmtes Standardmodell zur Verfügung stellt. Hieran knüpft CYOD an. Das Akronym steht für „Choose Your Own Device“, also wörtlich „wähle dein eigenes Gerät“. Zwar stellt der Arbeitgeber auch hier die mobilen Endgeräte und die dazu passenden Mobilverträge, die Mitarbeiter dürfen diese aber zuvor selbst aus einem vordefinierten Spektrum an Mobilfunkgeräten, Smartphones, Laptops oder Tablet-PCs auswählen.28 Anders als bei COPE übernimmt das Unternehmen Support und Wartung der Geräte, um zu gewährleisten, dass Sicherheitsupdates auch tatsächlich aufgespielt und durchgeführt werden. Bei CYOD ergeben sich im Grunde die gleichen Vorteile gegenüber BYOD wie auch schon bei COPE. Hinzu kommt aber, dass der Arbeitnehmer sein Wunschgerät einsetzen darf, wodurch die Mitarbeiterzufriedenheit und die Produktivität deutlich gesteigert werden können. Da Einrichtung, Support und Wartung im Verantwortungsbereich des Arbeitgebers liegen, ist das technische Know-how hinsichtlich des Umgangs mit den Geräten, Betriebssystemen und deren Service, anders als bei COPE, keine Vorbedingung. Deshalb kann CYOD auch vielfältiger und umfassender zum Einsatz kommen als das COPE-Modell. Allerdings trägt der Arbeitgeber bei CYOD auch weit mehr Kosten, als wenn unternehmensweit nur ein Endgerät verwendet werden darf.29 Er hat nicht nur die Anschaffungskosten für die Geräte und die Betriebssoftware zu tragen, sondern auch diejenigen für Support, Wartung und Reparatur. Zudem ist stets zu berücksichtigen, dass die Wahlfreiheit beim jeweiligen Endgerät zwar einen schleichenden, ungeregelten BYOD-Einsatz abschwächen, diesen aber nicht vollständig verhindern kann. Das gilt insbesondere dann, wenn die Beschaffungszyklen und Leasingverträge für die Geräte derart lang sind, dass diese nicht mehr auf dem neusten Stand der Technik sind und die Mitarbeiter sich deshalb letztlich wieder performanterer Privatgeräte bedienen. Um ein ausdrückliches BYOD-Verbot käme der Arbeitgeber also nicht umhin.

28  Himmelsbacher Robert, BYOD, CYOD, COPE – was steckt dahinter?, S. 2: http: // www.lanline.de / fachartikel / byod-cyod-cope- %E2 %80 %93-was-steckt-dahin ter.html?page=2 [zuletzt abgerufen am 01.09.2015]. 29  Arning / Moos, DB 2013, 2607 (2608).

28

1. Kap., § 2: BYOD – Grundlagen

B. Herkunft und Verbreitung Obwohl der BYOD-Trend in Europa aus den USA herübergeschwappt ist, findet sich sein eigentlicher Ursprung bei den technikaffinen Gesellschaften des asiatisch-pazifischen Raumes, insbesondere in China, Indien, Singapur, Südkorea und Taiwan.30 Dort ist der Einsatz privater Mobilgeräte in über 70 % der Unternehmen mittlerweile Alltag.31 Auch in Lateinamerika – vor allem in Mexiko und Brasilien – nehmen der Einsatz und die Nutzung von BYOD kontinuierlich zu. Die ungeschlagene Vorreiterstellung haben jedoch immer noch die USA. 95 % der dortigen Unternehmen erlauben ihren Mitarbeitern einen Einsatz privater Mobilgeräte, 84 % stellen hierfür sogar einen eigenen IT-Support zur Verfügung.32 Besonders auffällig ist, dass sich dort nicht nur Privatunternehmen am BYOD-Trend beteiligen, sondern auch staatliche Behörden33 und teilweise sogar die US-Army.34 Demgegenüber steckt die Implementierung von BYOD in Europa – und vor allem in Deutschland – noch in den Kinderschuhen. Gebremst wird eine ähnlich rasante Entwicklung wie in den USA vor allem aufgrund der vielfach verbreiteten Skepsis vieler IT-Verantwortlicher und der Befürchtung, massive Sicherheitsprobleme heraufzubeschwören, wenn eine Vielzahl verschiedener Geräte mit unterschiedlicher Software eingesetzt wird. BYOD wird darum scherzhaft auch häufig als „Bring Your Own Disaster“ bezeichnet.35 Angesichts dessen verwundert es nicht, dass bisher in lediglich einem Drittel der deutschen Unternehmen verbindliche und umfassende BYOD-Regelungen und IT-Lösungen existieren36, vornehmlich in solchen mit US-amerikanischen Muttergesellschaften.37 Dem Trend längerfristig verschließen können sich die Unternehmen hierzulande aber angesichts des stetig steigenden Absatzes an Smartphones und Tablet-PCs und dem damit verbundenen neuen Kommunikationsverhalten letztlich kaum. Die 30  Deloitte,

Perspektive BYOD, S. 3. Multinational Corporate Survey 2012: Mobility Services in Asia-Pacific. 32  Cisco IBSG Horizons Study, Page  2 https: // www.cisco.com / web / about / ac79 /  docs / re / BYOD_Horizons-Global.pdf [zuletzt abgerufen am 01.09.2015]. 33  Vgl. den CDW-G-Federal Mobility Report v. 07.02.2012 http: // www.cdwnews room.com / cdw-g-federal-mobility-report / [zuletzt abgerufen am 05.03.2014]. 34  http: // defensesystems.com / articles / 2013 / 01 / 23 / mobile-device-managementchallenges.aspx [zuletzt abgerufen am 01.09.2015]. 35  Boelmann, Bring your own Device? Disaster? Everything?: http: // jaxenter. de / artikel / Bring-your-own-Device-Disaster-Everything [zuletzt abgerufen am 01.09. 2015]. 36  Gneiting, ProFirma 2012, 70. 37  So beispielsweise Microsoft, Intel, Kraft Foods und Colgate-Palmolive. Vgl. hierzu auch Göpfert / Wilke, NZA 2012, 765 (766); Herrnleben, MMR 2012, 205. 31  Ovum,



B. Herkunft und Verbreitung29

mobilen IT-Geräte sind mittlerweile oft zum Prestigeobjekt avanciert und die Möglichkeit, sie auch beruflich einsetzen zu können, wird immer entscheidender, weshalb BYOD durchaus auch als Recruiting- und RetentionInstrument qualifiziert werden kann.38 Schon 2011 erkannte Oliver Tuszik39 treffend: „War für frühere Generationen ein schicker Dienstwagen das beste Lockmittel, ist es für die heutige Generation @ der Computer nach Wahl, das richtige Smartphone oder Tablet“40. Die Zahlen der Fortinet Studie ergaben zudem schon jetzt, dass 30 % der deutschen Arbeitnehmer unter 30 Jahren bestehende BYOD-Verbote ignorieren und 55 % es sogar als ihr Recht ansehen, private Endgeräte auch beruflich verwenden zu dürfen.41 In Hinblick auf jüngere Mitarbeiter bekommt BYOD deshalb eine ganz eigene Dynamik, die Unternehmen letztlich unmittelbar zum Handeln zwingen wird.42

§ 3 Die rechtliche Implementierung von BYOD – Rechtsgrundlagen für die Einführung einer BYOD-Nutzungsvereinbarung Die Zulassung privater mobiler IT-Geräte zu betrieblichen Zwecken wirft eine Vielzahl arbeits-, telekommunikations- und datenschutzrechtlicher Fragen auf. Um diese in den Griff zu bekommen, Rechtsunsicherheiten zu vermeiden und Konflikten vorzubeugen, ist es unerlässlich, BYOD mittels einer entsprechenden Nutzungsvereinbarung rechtssicher zu implementieren und Rechte und Pflichten im Umgang mit dem Device umfassend zu regeln. Hierfür kommen verschiedenste Rechtsgrundlagen, insbesondere das Direktionsrecht, eine vertragliche Vereinbarung sowie eine Betriebsvereinbarung in Betracht. Sie werden im Folgenden skizziert und analysiert, wobei das Hauptaugenmerk auf der Beantwortung der Frage liegt, ob sich aufgrund dieser Rechtsgrundlagen eine hinreichend rechtssichere BYOD-Nutzungsvereinbarung treffen lässt und welche Rechtsnatur diese aufweist.43

38  Deloitte,

Perspektive BYOD, S. 15. Vice President von Cisco Deutschland, einem der führenden Netzwerkausrüster und IT-Anbieter. 40  http: // www.karriere.de / karriere / das-ende-der-it-diktatur-164217 / 2 /  [zuletzt ab­ gerufen am 20.06.2014]. 41  König, IT verliert Kontrolle, Forentin Studie 2012: http: // www.cio.de / bringyour-own-device / 2884760 /  [zuletzt abgerufen am 01.09.2015]. 42  Deloitte, Perspektive BYOD, S. 3. 43  Wie eine solche dann konkret auszugestalten ist, wird in § 4 näher erörtert. 39  Heutiger

30

1. Kap., § 3: Die rechtliche Implementierung von BYOD

A. Direktionsrecht Ist die vom Arbeitnehmer zu erbringende Tätigkeit im Arbeitsvertrag nur rahmenmäßig umschrieben, obliegt es nach § 106 S. 1 GewO dem Arbeitgeber, Inhalt, Ort und Zeit der zu leistenden Arbeit näher zu bestimmen. Durch die Ausübung dieses Direktionsrechts kann der Arbeitgeber die Arbeitsbedingungen unmittelbar, ohne Zustimmung des Arbeitnehmers, konkretisieren oder ändern.44 Ihm steht insoweit ein einseitiges Leistungsbestimmungsrecht zu.45 Es reicht nur soweit, wie die Arbeitsbedingungen nicht durch den Arbeitsvertrag, Bestimmungen einer Betriebsvereinbarung, eines anwendbaren Tarifvertrages oder gesetzlicher Vorschriften festgelegt sind. Mit die wichtigste Grenze markieren die im Arbeitsvertrag konkret getroffenen Vereinbarungen über Inhalt, Umfang, Ort und Zeit der Arbeit. Der Arbeitgeber darf den dort vorgegebenen Rahmen nur konkretisierend ausfüllen, nicht aber überschreiten.46 Übertragen und angewandt auf BYOD, ergibt sich daraus zwangsläufig, dass das Direktionsrecht keine taugliche Rechtsgrundlage für eine rechtliche Implementierung darstellen kann, und zwar unabhängig davon, ob BYOD betriebsmittelersetzend oder optional genutzt werden soll. Die Einführung durch Weisungsrecht scheitert schon daran, dass das Privateigentum des Arbeitnehmers grundsätzlich nicht der Disposition des Arbeitgebers unterliegt.47 Ob der Arbeitnehmer sein Privatgerät zu dienstlichen Zwecken bereitstellt und wenn ja, in welchem Umfang, ist allein seine Entscheidung. Hierauf kann der Arbeitgeber nicht durch Ausübung seines Direktionsrechts einwirken. Gegen eine Implementierung mittels Direktionsrecht spricht beim betriebsmittelersetzenden BYOD zusätzlich aber auch noch Folgendes: Vorbehaltlich anderer ausdrücklicher Regelungen im Arbeitsvertrag ist die Bereitstellung von Arbeitsmitteln – wozu auch solche der IT gehören – alleinige Pflicht des Arbeitgebers.48 Er hat von sich aus die Voraussetzungen dafür zu schaffen, dass überhaupt gearbeitet werden kann.49 Die einseitige Anordnung des Arbeitgebers, betriebsmittelersetzend arbeitnehmereigene Geräte zu gebrauchen, um damit BYOD verbindlich einzuführen, würde die bestehenden Pflichten des Arbeitnehmers nicht konkretisieren, sondern erwei44  Hromadka / Maschmann,

Arbeitsrecht I, § 6 Rn. 11 f. ArbR / Tillmanns, GewO § 106 Rn. 5 ff.; Lakies, BB 2003, 364. 46  Hromadka / Maschmann, Arbeitsrecht I, § 6 Rn. 16. 47  Buchholz, „Bring your own Device“ – Rechtliche Hürden, 841 (853). 48  BAG v. 16.10.2007  – 9 AZR 170 / 07, AP Nr. 34 zu § 670 BGB Rn. 35 = NZA 2008, 1102 (1104). 49  Däubler, Internet und Arbeitsrecht, § 4 Rn. 210e. 45  BeckOK



B. Individualvereinbarung – Rechtlicher Charakter31

tern50 und damit letztlich bestehende Arbeitgeberpflichten auf den Arbeitnehmer abwälzen. Dies geht über die Grenzen des Direktionsrechts hinaus und ist unzulässig. Deshalb bedarf die rechtliche Implementierung von BYOD notwendig einer vertraglichen Vereinbarung zwischen Arbeitgeber und Arbeitnehmer, in der sämtliche Rechte und Pflichten hinsichtlich Umgang und Nutzung des Geräts detailliert festgehalten werden.

B. Individualvereinbarung – Rechtlicher Charakter Strittig ist allerdings, welcher rechtliche Charakter dieser vertraglichen Vereinbarung zukommt, vornehmlich, ob es sich dabei um eine arbeitsvertragliche (Ergänzungs- bzw. Änderungs-)Vereinbarung handelt oder aber um ein gesondertes Rechtsverhältnis. I. Arbeitsvertragliche Regelung Der Großteil der Literatur vertritt die Auffassung, eine Implementierung von BYOD sei nur mittels einer arbeitsvertraglichen Vereinbarung möglich.51 Die Begründung eines gesonderten, hiervon losgelösten Rechtsverhältnisses in Form eines Auftrags bzw. Geschäftsbesorgungsvertrags oder einer Miete bzw. Leihe werde den Interessen der Vertragsparteien nicht gerecht und müsse daher abgelehnt werden. Allein die arbeitsvertragliche Vereinbarung gewähre rechtlich zuverlässig, dass die Schutzstandards, die im Rahmen des Arbeitsverhältnisses gelten, nicht umgangen werden52 wie insbesondere die Grundsätze über die beschränkte Arbeitnehmerhaftung. Schließlich könne die arbeitsvertragliche BYOD-Nutzungsvereinbarung bei einer Neueinstellung von Beginn an direkt vertraglich festgehalten werden und im bereits laufenden Arbeitsverhältnis mittels einer Ergänzungsregelung zum Arbeitsvertrag bzw. als Änderungsvereinbarung implementiert werden.

50  Brachmann, AuA 2013, 680 (681); Seel, MDR 2014, 69 (70); Zöll / Kielkowski, BB 2012, 2625 (2626). 51  Brachmann, AuA 2013, 680 (681); Buchholz, „Bring your own Device“ – Rechtliche Hürden, 841 (853); Däubler, Internet und Arbeitsrecht, § 4 Rn. 210e; Kremer / Sander, ITRB 2012, 275 (277); Seel, MDR 2014, 69 (70); Walter / Dorschel, WuM 2012, 22 (23); Zöll / Kielkowski, BB 2012, 2625 (2626). 52  Zöll / Kielkowski, BB 2012, 2625 (2626).

32

1. Kap., § 3: Die rechtliche Implementierung von BYOD

II. Gesondertes Rechtsverhältnis Die Gegenauffassung53 will BYOD mittels eines vom Arbeitsvertrag losgelösten, gesondert zu betrachtenden Rechtsverhältnisses einführen und ­regeln, dessen Pflichten von denen des Arbeitsvertrages strikt zu unterscheiden seien. Die Rechtsnatur dieses Rechtsverhältnisses hänge entscheidend von dessen Ausgestaltung ab, insbesondere der Frage, ob dem Arbeitnehmer für die Bereitstellung ein Entgelt gezahlt werde oder nicht.54 Erfolge die Nutzung der privaten, mobilen IT-Geräte unentgeltlich, so sei ein Auftrag i. S. d. § 662 BGB anzunehmen. Könnten aber z. B. auch andere Mitarbeiter das Gerät temporär nutzen, sei von einer Leihe auszugehen, vo­rausgesetzt, der Arbeitnehmer behalte nicht die alleinige Sachherrschaft.55 Erfolge die Nutzung hingegen entgeltlich, sei von einem Geschäftsbesorgungsvertrag nach § 675 BGB bzw. einem Mietverhältnis auszugehen, wenn dem Arbeit­ geber zumindest teilweise die entsprechende Sachherrschaft eingeräumt werde.56 Gründe, die für die Annahme eines gesonderten Rechtsverhältnisses sprechen und damit gegen eine arbeitsvertragliche Regelung, werden nicht explizit genannt. Im Vordergrund wird aber wohl zum einen die Überlegung stehen, neben den arbeitsvertraglichen Pflichten und den daraus resultierenden Rechtsfolgen eigenständige Pflichten mit etwaigen günstigeren Rechtsfolgen zu begründen. Es sollen also das arbeitsvertragliche Haftungsregime und die Grundsätze über die Arbeitnehmerhaftung von den Vorschriften des jeweiligen Vertragstyps überlagert werden, so dass dessen für den Arbeitgeber günstigere Verschuldensmaßstab Anwendung findet.57 Zum anderen wird wohl auch eine gewisse Parallele zum Softwareüberlassungsvertrag gezogen, den der weit überwiegende Teil der Literatur als Miet- bzw. Leasingvertrag qualifiziert.58

53  Göpfert / Wilke, NZA 2012, 765 (769); Imping / Pohle, K&R 2012, 470 (471); Koch, ITRB 2012, 35 (37); Tiedemann, ArbRB 2013, 152 (153). 54  Imping / Pohle, K&R 2012, 470 (471). 55  Koch, ITRB 2012, 35 (37). Auch Göpfert / Wilke, NZA 2012, 765 (769) sprechen sich bei der unentgeltlichen Nutzung für ein Leihverhältnis aus. 56  Koch, ITRB 2012, 35 (37). Ähnlich auch Tiedemann, ArbRB 2013, 152 (153). 57  In diese Richtung argumentieren Göpfert / Wilke, NZA 2012, 765 (769). 58  BGH v. 15.11.2006  – XII ZR 120 / 04, NJW 2007, 2394; Hoeren, in: Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, IT-Verträge Rn. 7; Junker, NJW 2003, 2792 (2798); Kammel, in: Kilian / Heussen-Computerrechts-Handbuch, Teil  17 Rn. 72; Sedlmeier / Kolk, MMR 2002, 75 (78 f.); a. A. Lizenzvertrag LG Köln v. 02.10.1984  – 90 0 51 / 84, CR 1986, 23; LG Lüneburg v. 03.06.1988  – 4 S 25 / 88, NJW 1988, 2476.



B. Individualvereinbarung – Rechtlicher Charakter33

III. Stellungnahme Die Annahme, BYOD könne in einem gesonderten, vom Arbeitsvertrag losgelösten Rechtsverhältnis rechtlich zuverlässig geregelt werden, überzeugt aus verschiedenen Gründen nicht und wird von der herrschenden Lehre zu Recht abgelehnt. Das gilt unabhängig davon, ob jenes in einem zusätzlichen Vertrag oder in einer im Arbeitsvertrag mitgeregelten, aber als rechtlich eigenständig gewollten Regelung enthalten ist. Leih- bzw. Mietverhältnisse kennzeichnen sich dadurch, dass dem Mieter bzw. Entleiher der Gebrauch an der Sache zu gewähren ist. Damit ist in der Regel die Verschaffung des unmittelbaren Besitzes i. S. d. § 854 BGB gemeint.59 Erfordert der vertragsgemäße Gebrauch einen solchen nicht, so genügt es, dass dem Mieter bzw. Entleiher die Benutzung der Sache durch Gewährung des ungestörten Zugriffs ermöglicht wird.60 Angewandt auf BYOD würde dies bedeuten, dass der Arbeitnehmer als Vermieter bzw. Verleiher dem Arbeitgeber als Mieter bzw. Entleiher die tatsächliche Sachherrschaft über das Gerät verschaffen müsste, zumindest aber einen ungestörten Zugriff auf die Hard- und Software des Device, um die Programme anwenden zu können. Hieran hat der Arbeitnehmer jedoch zum Schutz seines Persönlichkeitsrechts an seiner eigenen Privatsphäre und seines privaten Datenbestands keinerlei Interesse. Er will die Sachherrschaft über sein Gerät und die darauf enthaltene Software lediglich in beschränktem Umfang in die Arbeitsorganisation einbringen, nicht aber auch auf den Arbeitgeber übertragen. Dieser soll Gerät und Software keinesfalls selbst gebrauchen, nutzen und anwenden können, handelt es sich in erster Linie doch weiterhin um ein Privatgerät. Auch die Einräumung von datenschutzrechtlichen Zugriffs- und Kontrollrechten vermag an dieser Bewertung nichts zu ändern. Sie dienen allein der Einhaltung der datenschutzrechtlichen Vorgaben aus § 9 BDSG und seiner Anlage, sollen dem Arbeitgeber aber keinesfalls eine weitergehende Nutzungsmöglichkeit einräumen oder gewähren. Ihre Ausübung ist (regelmäßig) nur auf begründete Ausnahmefälle beschränkt und temporär stark begrenzt – wie beispielsweise bei einem Verlust oder Diebstahl des Geräts, in welchen eine Fernlöschung der dienstlichen Daten unabdingbar notwendig ist –, so dass von einem grundsätzlich unbeschränkten Zugriff, wie ihn ein Miet- resp. Leihvertrag voraussetzt, keine Rede sein kann.61 Mit einer vertragstypologi59  BGH v. 22.10.1975  – VIII ZR 122 / 74, NJW 1976, 105 (106); Emmerich, in: Staudinger BGB, §  535 Rn.  15; Häublein / MüKo-BGB, § 535 Rn. 67; HKBGB / Ebert, § 535 Rn. 5; Jauernig / Teichmann, § 535 BGB Rn. 11. 60  BGH v. 01.02.1989  – VIII ZR 126 / 88, NJW-RR 1989, 589; Emmerich, in: Staudinger BGB, § 535 Rn. 15a; Häublein / MüKo-BGB, § 535 Rn. 67. 61  Das ist der entscheidende Aspekt, der gegen eine wertungsmäßige Vergleichbarkeit zum Softwareüberlassungsvertrag, als speziellen Unterfall des Mietvertrages,

34

1. Kap., § 3: Die rechtliche Implementierung von BYOD

schen Einordnung als Miet- / Leihvertrag träfen den Arbeitnehmer für den Fall, dass dem Arbeitgeber die tatsächliche Nutzungsmöglichkeit des Device und die darauf enthaltenen Programme nicht zur Verfügung stehen, des Weiteren auch stets die mietrechtlichen Gewährleistungspflichten aus §§ 536 ff. BGB – vor allem eine verschuldensunabhängige Schadenersatzpflicht aus § 536a Abs. 1 S. 1 Alt. 1 –, obwohl dieser nicht wie der Vermieter primär an dem Nutzungsentgelt interessiert ist, sondern mit BYOD vornehmlich ideelle Zwecke62 verfolgt. Im Vergleich zum Arbeitsvertrag, der als Dienstvertrag keiner vertragsspezifischen Gewährleistung unterliegt, läge in der Annahme eines Mietvertrages eine erhebliche Schwächung der Rechtsposition des Arbeitnehmers; seinen rechtlichen und wirtschaftlichen Interessen würde nicht hinreichend Rechnung getragen. Ebenfalls nicht zu überzeugen vermag die vertragstypologische Einordnung als Geschäftsbesorgungsvertrag bzw. Auftrag. Beim betriebsmittel­ ersetzenden BYOD soll die bestehende Pflicht des Arbeitgebers, die benötigten Arbeitsmittel selbst bereit zu stellen, auf den Arbeitnehmer übertragen werden. Inhaltlich erfolgt eine Modifikation des Leistungsversprechens – eine typische Nebenabrede. Weil das zu modifizierende Leistungsversprechen im Arbeitsvertrag selbst enthalten ist, kann eine Abweichung rechtswirksam letztlich nur durch deren Ergänzung bzw. Änderung erfolgen, stünde doch andernfalls die Gefahr einer unzulässigen Übertragung von Arbeitgeberpflichten auf den Arbeitnehmer im Raum. Gerade vor diesem Hintergrund ist es wenig einsichtig, warum spezifische arbeitsrechtliche Pflichten bzw. Ergänzungen und Änderungen nicht im Arbeitsvertrag selbst festgehalten werden sollten, sondern ein gesondertes Rechtsverhältnis in Form eines Geschäftsbesorgungsvertrages bzw. Auftrages bemüht wird, das angesichts der zahlreichen Überschneidungen, aber auch Widersprüchlichkeiten zum Arbeitsvertrag wenig praktikabel wäre. Sollte damit vorrangig bezweckt werden, Rechtsfolgen herbeizuführen, die im Gegensatz zu den sonst geltenden Grundsätzen über die Beschränkung der Arbeitnehmerhaftung für den Arbeitgeber günstiger sind, so würde verkannt werden, dass es sich bei diesen um einseitig zwingende Schutzvorschriften handelt, von denen weder einzel- noch kollektivvertraglich zuungunsten des Arbeitnehmers abgewichen werden kann.63 Auch im Rahmen eines gesonderten Verspricht. Auch dieser würde notwendig einen ungestörten Zugang zu der vermieteten Software des Device und Serverkapazität über das Internet voraussetzen (BGH v. 15.11.2006  – XII ZR 120 / 04, NJW 2007, 2394 (2395); Emmerich, in: Staudinger BGB, § 535 Rn. 15a). 62  Indem er sich durch die BYOD-Nutzung beispielsweise eine erhöhte Flexibilität und Mobilität erwünscht. 63  BAG v. 17.09.1998  – 8 AZR 175 / 97, AP Nr. 2 zu § 611 BGB Mankohaftung Bl.  6 = NZA 1999, 141 (144); 27.01.2000  – 8 AZR 876 / 98, AP Nr. 31 zu § 611



C. Betriebsvereinbarung35

trages müssten zwingend die gleichen Maßstäbe wie für das Arbeitsverhältnis gelten, sofern man diesen zweiten Vertrag richtigerweise nicht schon wegen einer Umgehung der Grundsätze der Arbeitnehmerhaftung als unwirksam qualifiziert.64 Entsprechendes würde gelten, wenn eine im Arbeitsvertrag enthaltene Regelung als selbstständig verstanden würde.

C. Betriebsvereinbarung I. Die Einführung von BYOD Sollte im Betrieb ein Betriebsrat vorhanden sein, drängt sich der Abschluss einer BYOD-Betriebsvereinbarung, schon angesichts etwaiger bestehender Mitbestimmungsrechte65, für die rechtliche Implementierung des BYOD-Konzepts geradezu auf. Berücksichtigt werden muss dabei allerdings, dass jedenfalls die Einführung von BYOD als solche, also die Begründung eines entsprechenden Nutzungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer, mit allen daraus resultierenden Rechten und Pflichten, als Eingriff in die Vertragsfreiheit nicht mittels Betriebsvereinbarung geregelt werden kann. Hierfür bedarf es zwingend einer zusätzlichen arbeitsvertraglichen Ergänzungsregelung bzw. Änderungsvereinbarung. Diese ist sowohl für den betriebsmittelersetzenden als auch den optionalen BYODEinsatz schon deshalb erforderlich, weil in einer Betriebsvereinbarung nur die zum gesetzlichen Aufgabenbereich des Betriebsrats gehörenden formellen und materiellen Arbeitsbedingungen sowie betrieblichen und betriebsverfassungsrechtlichen Fragen geregelt werden können.66 Der Regelungskompetenz der Betriebsparteien grundsätzlich entzogen ist die außerbetriebliche, private Lebensgestaltung des Arbeitnehmers.67 Die Frage, ob sich der Arbeitnehmer dazu bereit erklärt, dem Arbeitgeber sein Privatgerät zur Musiker Bl.  5 = NZA 2000, 727 (730); 05.02.2004  – 8 AZR 91 / 03, AP Nr. 126 zu § 611 BGB Haftung des Arbeitnehmers Bl. 3 = NZA 2004, 649 (650). 64  So auch völlig zu Recht Zöll / Kielkowski, BB 2012, 2625 (2626). 65  Siehe ausführlich Kapitel 2 § 5. 66  BAG v. 12.12.2006 – 1 AZR 96 / 06, AP Nr. 94 zu § 77 BetrVG 1972 Rn. 21 = NZA 2007, 453 (454); 07.06.2011 – 1 AZR 807 / 09, AP Nr. 55 zu § 77 BetrVG 1972 Betriebsvereinbarung Rn. 35 = NZA 2011, 1234 (1237); bereits BAG v. 16.03.1956 – GS 1 / 55, AP Nr. 1 zu § 57 BetrVG; aus dem Schrifttum Fitting, BetrVG, § 77 Rn. 45; HWGNRH-Worzalla, § 77 Rn. 38; Kania, in: ErfK-Arbeitsrecht, § 77 ­BetrVG Rn.  36. 67  BAG v. 19.01.1999 – 1 AZR 499 / 98, AP Nr. 28 zu § 87 BetrVG 1972 Ordnung des Betriebes Bl. 4 R; 28.05. 2002 – 1 ABR 32 / 01, AP Nr. 39 zu § 87 BetrVG 1972 Ordnung des Betriebes Bl. 3 R = NZA 2003, 166 (168); 27.01.2004 – 1 ABR 7 / 03, AP Nr. 40 zu § 87 BetrVG 1972 Überwachung Bl. 3 = NZA 2004, 556 (557); Fitting, BetrVG, § 77 Rn. 56; Kania, in: ErfK-Arbeitsrecht, § 77 BetrVG Rn. 38.

36

1. Kap., § 3: Die rechtliche Implementierung von BYOD

Verfügung zu stellen und wenn ja, in welchem Umfang ist dem privaten Bereich zuzuordnen und dementsprechend kollektivrechtlich nicht regelbar.68 Erst dadurch, dass der Arbeitnehmer sein Privatgerät arbeitsvertraglich als Arbeitsmittel zur Verfügung stellt und es in die Arbeitsorganisation einbindet, schafft er die notwendigen Voraussetzungen, die den Betriebsparteien die Regelungsbefugnis hinsichtlich Umsetzung und Ausgestaltung von BYOD eröffnet.69 II. Die konkreten Nutzungsvorgaben Regelungen über die Nutzung der privaten IT-Geräte – also die Frage, wie der Einsatz von BYOD ausgestaltet sein soll –, können hingegen unstreitig Gegenstand von Betriebsvereinbarungen sein. Diese werden zu Recht als „Mittel der ersten Wahl“70 bezeichnet. Für die rechtliche Implementierung und Ausgestaltung des BYOD-Konzepts empfiehlt es sich, BYOD mittels arbeitsvertraglicher Ergänzungsregelung einzuführen und die entsprechenden Nutzungsvorgaben in einem „zweiten Schritt“ in einer Betriebsvereinbarung zu vervollständigen und zu konkretisieren71, d. h. arbeitsvertragliche Vereinbarung und BYOD-Betriebsvereinbarung aneinander zu koppeln. Zur „Ausschaltung“ des Günstigkeitsprinzips muss die arbeitsvertragliche Vereinbarung dynamisch auf die jeweils geltende BYOD-Betriebsvereinbarung verweisen, also betriebsvereinbarungsoffen ausgestaltet und so spezifisch verfasst sein, dass sie einer AGB-Kontrolle standhält.72 Diese Koppelung von arbeitsvertraglicher Vereinbarung einerseits und Betriebsvereinbarung andererseits hat drei wesentliche Vorteile: Erstens gilt eine Betriebsvereinbarung nach § 77 Abs. 4 S. 1 BetrVG normativ und zwingend für die von ihr erfassten Arbeitsverhältnisse im Betrieb.73 Das ermöglicht es, einheitliche Nutzungsbestimmungen festzulegen und diese gegebenenfalls zu ändern, ohne auf die Mitwirkung des Arbeitnehmers angewiesen zu sein. Die BYOD-Betriebsvereinbarung wirkt 68  Tiedemann,

ArbRB 2013, 152 (154). NZA 2012, 765 (770). 70  Walter / Dorschel, WuM 2012, 22 (23). 71  Brachmann, AuA 2013, 680 (681). 72  BAG v. 24.01.2006  – 3 AZR 483 / 04, AP Nr. 3 zu § 58 BetrVG 1972 = NZARR 2007, 595 (599); 17.06.2008  – 3 AZR 553 / 06, AP Nr. 50 zu § 1 BetrAVG Ablösung Rn. 44; 05.03.2013  – 1 AZR 417 / 12 = NZA 2013, 916 (921); Brachmann, AuA 2013, 680 (682); Richardi, BetrVG, § 77 Rn. 158. 73  Siehe nur BAG v. 16.03.1956  – GS 1 / 55, AP Nr. 1 zu § 57 BetrVG = NJW 1956, 1086; 21.09.1989 – 1 AZR 454 / 88, NZA 1990, 351 (352); Kaufmann-Lauven, in: Moll / Münchener Anwaltshandbuch Arbeitsrecht § 63 Rn. 23; Richardi, BetrVG, § 77 Rn. 134. 69  Göpfert / Wilke,



C. Betriebsvereinbarung37

automatisch auf alle von ihr erfassten Arbeitsverhältnisse ein. Mit ihr kann deshalb flexibel und vergleichsweise unkompliziert auf mögliche Gegebenheiten und Veränderungen im Rahmen des BYOD-Konzepts reagiert werden, was nicht zuletzt den administrativen Aufwand für den Arbeitgeber erheblich schmälert.74 Zweitens unterliegen Betriebsvereinbarungen keiner AGB-Kontrolle (§ 310 Abs. 4 S. 1 BGB), was gerade mit Blick auf die strengen AGBrechtlichen Anforderungen der Rechtsprechung ein erhebliches Mehr an Rechtssicherheit bei der inhaltlichen Ausgestaltung der Nutzungsvorgaben bedeutet. Solange die Betriebsparteien den Rahmen des geltenden zwingenden Rechts nicht verlassen, können sie hinreichend sicherstellen, dass die vereinbarten Bestimmungen auch tatsächlich Anwendung finden75 und zugleich verhindern, dass ein regelungsloser Zustand infolge einer unwirksamen Individualvereinbarung eintritt. Drittens ist die Betriebsvereinbarung mit Blick auf die datenschutzrechtlichen Bestimmungen von Vorteil.76 Gemäß § 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nicht nur zulässig, wenn der Betroffene eingewilligt hat oder das BDSG dies erlaubt, sondern auch dann, wenn sie von einer „anderen Rechtsvorschrift“ gedeckt ist. Das kann auch der normative Teil einer Betriebsvereinbarung sein.77 Mithin ermöglicht eine BYOD-Betriebsvereinbarung die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, ohne dass zuvor von jedem Mitarbeiter die Einwilligung eingeholt werden muss. Aber auch dann, wenn eine solche Einwilligung vorliegen sollte, besteht stets die Gefahr, dass sie als „nicht freiwillig“ und damit als unwirksam angesehen wird. Durch eine zusätzliche Betriebsvereinbarung kann diese Gefahr gebannt und können mögliche Schadenersatzansprüche aus § 7 BDSG sowie Beseitigungs-, Unterlassungs- und Gegendarstellungsansprüche der Arbeitnehmer abgewehrt werden.78 Zugleich können die datenschutzrechtlichen Vorschriften und Vorgaben bezogen auf die jeweiligen Bedürfnisse des Betriebes konkretisiert und ergänzend ausgestaltet werden. 74  Buchholz, „Bring your own Device“ – Rechtliche Hürden, 841 (853 f.); Göpfert / Wilke, NZA 2012, 765 (770); Walter / Dorschel, WuM 2012, 22 (23). 75  Göpfert / Wilke, NZA 2012, 765 (770). 76  Hierzu ausführlich Kapitel 3 § 7. 77  BAG v. 27.05.1986  – 1 ABR 48 / 84, AP Nr. 15 zu § 87 BetrVG 1972 Überwachung Bl. 5 R = NZA 1986, 643 (646); 25.09.2013 – 10 AZR 270 / 12, AP Nr. 25 zu § 106 GewO Rn. 32 = NZA 2014, 41 (43); Gola / Klug / Körffer, in: Gola / Schomerus BDSG, § 4 Rn. 7; Wiese, GK-BetrVG, § 87 Rn. 493; Wybitul, NZA 2014, 225. 78  Vgl. zu den Rechten des Arbeitnehmers infolge einer rechtswidrigen Datenverarbeitung durch den Arbeitgeber Forst, AuR 2010, 106 ff.

38

1. Kap., § 3: Die rechtliche Implementierung von BYOD

D. Nutzungsrecht des Arbeitnehmers aufgrund einer betrieblichen Übung? Ohne eine ausdrückliche Zustimmung des Arbeitgebers hat der Arbeitnehmer grundsätzlich keinen Anspruch darauf, sein privates mobiles IT-Gerät zur dienstlichen Aufgabenerfüllung zu nutzen.79 Nicht selten kommt es in der Praxis aber dennoch zu einem BYOD-Einsatz, sei es, dass die Arbeitnehmer mit ihren eigenen Geräten besser zurechtkommen, ein Rückgriff auf das Privatgerät für sie bequemer ist oder aber weil sie außerhalb des Betriebes noch unplanmäßig Arbeit von zu Hause erledigen.80 Duldet der Arbeitgeber eine solche Verfahrensweise, wird im arbeitsrechtlichen Schrifttum häufig die sehr praxisrelevante Frage aufgeworfen, ob sich ein Anspruch des Arbeitnehmers auf die Nutzung von BYOD aus betrieblicher Übung ergeben kann. I. Zum Begriff der betrieblichen Übung Unter einer „betrieblichen Übung“ wird nach ständiger Rechtsprechung des BAG81 die regelmäßige Wiederholung bestimmter Verhaltensweisen des Arbeitgebers verstanden, aus denen die Arbeitnehmer schließen können, ihnen solle eine Leistung oder Vergünstigung auf Dauer gewährt werden. Das Verhalten des Arbeitgebers wird als konkludentes Vertragsangebot bewertet, welches vom Arbeitnehmer gem. § 151 S. 1 BGB angenommen wird. Daraus folgt ein vertraglicher Anspruch auf die üblich gewordene Vergünstigung. Unerheblich ist, ob der Arbeitgeber mit einem entsprechenden Verpflichtungswillen gehandelt hat. Ob eine für diesen bindende betriebliche Übung auf Grund der Gewährung von Leistungen an seine Arbeitnehmer entstanden ist, richtet sich danach, inwieweit die Arbeitnehmer aus dem Verhalten des Arbeitgebers unter Berücksichtigung von Treu und Glauben sowie der Verkehrssitte gemäß § 242 BGB und der Begleitumstände auf einen Bindungswillen des Arbeitgebers schließen durften. Das BAG folgt damit der sog. Vertragstheorie und nicht der im Schrifttum teilweise vertretenen Vertrauenstheorie.82 79  Walter / Dorschel,

WuM 2012, 22 (23). BB 2012, 2625 (2626). 81  BAG v. 23.06.1988  – 6 AZR 137 / 86, AP Nr. 33 zu § 242 BGB Betriebliche Übung Bl.  5 = NZA 1989, 55 f.; 26.03.1997  – 10 AZR 612 / 96, AP Nr. 50 zu § 242 BGB Betriebliche Übung Bl.  2 = NZA 1997, 1007 f.; 11.04.2006  – 9 AZR 500 / 05, AP Nr. 1 zu § 667 BGB Rn. 14 = NZA 2006, 1090 f.; 28.06.2006 – 10 AZR 385 / 05, AP Nr. 74 zu § 242 BGB Betriebliche Übung Rn. 35 = NZA 2006, 1174 (1176 f.); 28.05.2008  – 10 AZR 274 / 07, AP Nr. 80 zu § 242 BGB Betriebliche Übung Rn. 15 = NZA 2008, 941 (942). 80  Zöll / Kielkowski,



D. Nutzungsrecht des Arbeitnehmers aufgrund einer betrieblichen Übung? 39

Eine allgemeinverbindliche Regel, ab welcher Anzahl von Leistungen der Arbeitnehmer erwarten darf, dass auch er die Leistung erhält, sobald er die Voraussetzungen erfüllt, gibt es nicht. Eine dreimalige vorbehaltlose Leistungsgewährung ist nur für jährliche Gratifikationen an die gesamte Belegschaft als ausreichend angesehen worden.83 Bei anderen Sozialleistungen ist auf Art, Dauer und Intensität der Leistungen abzustellen. Die Bemessung des erforderlichen Zeitraums hängt entscheidend davon ab, wie häufig die Leistungen erbracht worden sind, wobei es auf die Zahl der Anwendungsfälle im Verhältnis zur Belegschaftsstärke ankommt. Ferner sind in die Bewertung der Relation von Anzahl der Wiederholungen und Dauer der Übungen auch Art und Inhalt der Leistungen einzubeziehen. An die Zahl der Wiederholungen sind bei weniger wichtigen Leistungen höhere Anforderungen zu stellen als bei bedeutsameren Leistungsinhalten.84 II. Meinungsstand In der Literatur finden sich häufig Stimmen, die eine betriebliche Übung auch im Zusammenhang mit BYOD in Betracht ziehen, wenngleich es an einer eingehenden Begründung dafür fast einhellig fehlt.85 Vielfach heißt es sinngemäß schlicht: Duldet der Arbeitgeber die dienstliche Nutzung der privaten IT-Geräte, so erwirbt der Mitarbeiter kraft betrieblicher Übung das Recht, diese benutzen zu dürfen, ohne dass es einer Vereinbarung mit dem Arbeitgeber bedarf.86 Einzig Koch begründet die betriebliche Übung – wohl in Anlehnung an die Diskussion um die Entstehung einer betrieblichen Übung bei privater Internetnutzung am Arbeitsplatz – mit den eingespielten 82  Ausführlich zur Vertrauenstheorie, auf deren Darstellung hier verzichtet wird: Canaris, Die Vertrauenshaftung im deutschen Privatrecht, S. 99 ff.; Hromadka, NZA 1984, 241 ff.; Seiter, Die Betriebsübung, 1967, S. 89 ff.; ders., Anmerkung zu BAG AP Nr. 11 zu § 242 BGB Betriebliche Übung Bl. 4 ff.; Singer, ZfA 1993, 487 ff. 83  Vgl. nur BAG v. 28.07.2004  – 10 AZR 19 / 04, AP Nr. 257 zu § 611 BGB Gratifikation Bl. 2 R = NZA 2004, 1152 (1153 f.). 84  Vgl. nur BAG v. 28.07.2004  – 10 AZR 19 / 04, AP Nr. 257 zu § 611 BGB Gratifikation Bl.  2 R f. = NZA 2004, 1152 (1153 f.); 28.06.2006  – 10 AZR 385 / 05, AP Nr. 74 zu § 242 BGB Betriebliche Übung Rn. 36 = NZA 2006, 1174 (1176 f.). 85  Arning / Moos / Becker, CR 2012, 592; Franck, RDV 2013, 185 (188); Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (763); Walter / Dorschel, WuM 2012, 22 (23). Koch stellt in ITRB 2012, 35 (37) auf den „Grundgedanken der Rechtsfigur der betrieblichen Übung“ ab, weil sich die Konstellation der betrieblichen Übung bei BYOD von den in der Rechtsprechung entschiedenen Fällen dahingehend unterscheide, als hier der Mitarbeiter eine Leistung in Form der Nutzung seines Geräts gewähre und nicht wie sonst üblich der Arbeitgeber eine Leistung erbringe. 86  Arning / Moos / Becker, CR 2012, 592; Franck, RDV 2013, 185 (188).

40

1. Kap., § 3: Die rechtliche Implementierung von BYOD

Gewohnheiten und Gebräuchen im Betrieb, woraus eine Bindung des bewusst an diesen Gepflogenheiten teilnehmenden Mitarbeiters abgeleitet werden könne.87 Andere hingegen lehnen das Entstehen einer betrieblichen Übung hinsichtlich der Gestattung von BYOD ab88, wobei die Begründung auch hier sehr spärlich ausfällt. Mit Recht wird hervorgehoben, aus der bloßen Gepflogenheit allein oder dem Geschehenlassen von BYOD könne nicht auf einen Rechtsbindungswillen des Arbeitgebers für die Zukunft geschlossen werden.89 Ferner sei die (kompensationslose) BYOD-Nutzung dem Institut der betrieblichen Übung ohnehin nicht zugänglich, handle es sich bei der Gewährung von BYOD doch nur um eine reine Annehmlichkeit seitens des Arbeitgebers.90 III. Stellungnahme Die Annahme, der Arbeitnehmer erhalte einen Anspruch aus betrieblicher Übung auf Beibehaltung der bisherigen Praxis, sollte der Arbeitgeber die dienstliche Nutzung der privaten IT-Geräte widerspruchlos dulden, überzeugt nicht. Wird die Nutzung von BYOD lediglich geduldet, so mangelt es von vornherein an einem hinreichend bestimmten bzw. bestimmbaren konkludenten Angebot des Arbeitgebers über den Umfang der Nutzung als Voraussetzung und Grundlage für ein schutzwürdiges Vertrauen des Arbeitnehmers. Selbst wenn der Arbeitgeber positive Kenntnis von der dienstlichen Nutzung der Privatgeräte hat und diese nicht unterbindet, so sind ihm doch Ausmaß, 87  Koch, ITRB 2012, 35 (37). Bei der privaten Internetnutzung durch den Arbeitnehmer wird eine Rechtsbindung durch betriebliche Übung von Teilen der Literatur mit der im Betrieb festzustellenden und vom Arbeitgeber nicht unterbundenen Gepflogenheit, das Internet am Arbeitsplatz zu privaten Zwecken zu nutzen begründet. Widerspreche der Arbeitgeber einer Privatnutzung für einen Zeitraum von einem halben bis einem Jahr nicht, dürfe der Arbeitnehmer auf den Fortbestand der Praxis sowie darauf vertrauen, auch in Zukunft vom Internet privat Gebrauch machen zu dürfen; eine betriebliche Übung entsteht. Vgl. hierzu: Barton, NZA 2006, 460 (461); Beckschulze / Henkel, DB 2001, 1491 (1492); Däubler, AiB 1995, 149 (153); ders., K&R 2000, 323 (325); Dickmann, NZA 2003, 1009 (1010); Ernst, NZA 2002, 585 (586); Kramer, NZA 2004, 457 (459); Rath / Karner, K&R 2007, 446 (449). 88  Kremer / Sander, ITRB 2012, 275 (277), die von einer Obliegenheit des Arbeitnehmers ausgehen; Zöll / Kielkowski, BB 2012, 2623 (2626 f., insbesondere Fn. 29). 89  Zöll / Kielkowski, BB 2012, 2623 Fn. 29, die diesbezüglich wiederum auf Waltermann, NZA 2007, 529 BGB verweisen, der entsprechendes zur Privatnutzung des Internets am Arbeitsplatz vertritt. 90  Zöll / Kielkowski, BB 2012, 2623 Fn. 29 mit Verweis auf BAG v. 16.04.1997 – 10 AZR 705 / 96, AP Nr. 51 zu § 242 BGB Betriebliche Übung = NZA 1998, 423.



D. Nutzungsrecht des Arbeitnehmers aufgrund einer betrieblichen Übung? 41

Art und zeitliche Lage des BYOD-Einsatzes regelmäßig unbekannt.91 Die Nutzung kann von gelegentlichen dienstlichen Telefonaten bis hin zu einer vollständigen Synchronisation der E-Mail-Postfächer, Kalender und Kontaktadressen reichen. Welche individualrechtliche Zukunftsbindung der Arbeitgeber durch die Duldung im Einzelnen eingehen sollte, lässt sich im Hinblick auf Art und Umfang der BYOD-Nutzung weder bestimmen noch plausibel machen.92 Dann kann aber auch kein schutzwürdiges Vertrauen des Arbeitnehmers entstehen, das zur Begründung eines vertraglichen Anspruchs aus betrieblicher Übung führen könnte. Weiß der Arbeitnehmer nicht, in welchem Umfang eine BYOD-Nutzung zulässig sein sollte, kann er gerade nicht davon ausgehen, der Arbeitgeber werde ihm die Nutzung wie „zuletzt praktiziert“ auch weiterhin gestatten.93 Im Übrigen ist die Nutzung von BYOD auch mit einer derartigen Fülle von zu regelnden Einzelfragen verbunden, um die bestehenden gravierenden Sicherheits- und Kostenrisiken bestmöglich auszuschließen, zumindest aber zu minimieren, dass jedenfalls deshalb ein Bindungswille des Arbeitgebers für die Zukunft ausscheiden muss.94 Ferner spricht aber auch die bisherige Rechtsprechung des BAG entscheidend gegen das Entstehen einer betrieblichen Übung. So wurde eine dadurch begründete Rechtsbindung bisher nur in solchen Fallkonstellationen bejaht, die den Lebensstandard der Arbeitnehmer prägten bzw. in denen die Gewährung als materiell ins Gewicht fallende Leistung anzusehen war, insbesondere als Vergütungsleistung.95 Der Arbeitnehmer kann nach Ansicht des BAG „um so eher auf die Fortgewährung einer Vergünstigung vertrauen, je mehr diese seinen materiellen Lebensstandard verbessert. Auf finanzielle Zuwendungen, die mehrere Jahre hindurch gewährt werden, richtet sich der 91  Ähnlich im Zusammenhang mit der privaten Internet- und Emailnutzung: Bloe­ singer, BB 2007, 2177 (2179 ff.); Koch, in: Schaub Arbeitsrechts-Handbuch, § 110 Rn. 11. 92  So im Zusammenhang mit der privaten Internet- und Emailnutzung Waltermann, NZA 2007, 529 (531). 93  Koch, in: Schaub Arbeitsrechts-Handbuch, § 110 Rn. 11. 94  Waltermann, NZA 2007, 529 (531 f.). Auch Seitz, Wann entsteht eine betriebliche Übung?, S. 111 sowie Stamer / Kuhne, in: Plath BDSG, § 32 BDSG Rn. 92. 95  Wie jährliche Weihnachtsgratifikationen (BAG v. 20.06.2007 – 10 AZR 410 / 06, AP Nr. 52 zu § 1 TVG Bezugnahme auf Tarifvertrag = NZA 2007, 1293), Jubiläumszuwendungen (BAG v. 28.05.2008  – 10 AZR 274 / 07, AP Nr. 80 zu § 242 BGB Betriebliche Übung = NZA 2008, 941), betriebliche Altersversorgung (§ 1b Abs. 1 Satz 4 BetrAVG), verbilligtes Kantinenessen (LAG Frankfurt v. 24.02.1984 – 6 Sa 294 / 83, NZA 1984, 259), die Überlassung eines Dienstwagens zur privaten Nutzung (LAG Köln v. 19.09.2006  – 9 (4) Sa 173 / 06, BB 2007, 388), der kostenlose Transport zur Arbeitsstelle (LAG Nürnberg v. 29.10.2004  – 2 Sa 828 / 02, NZA 2005, 291). Siehe hierzu auch Waltermann, NZA 2007, 529 (531).

42

1. Kap., § 3: Die rechtliche Implementierung von BYOD

Arbeitnehmer erfahrungsgemäß eher ein und seine Lebensgrundlage wird durch sie stärker berührt als durch die Gewährung [bloßer Annehmlich­ keiten]“96. Zu verneinen sind Rechtsansprüche aus betrieblicher Übung deshalb regelmäßig dann, wenn es sich um Vergünstigungen handelt, „die zwar eine Annehmlichkeit für den Arbeitnehmer darstellten, die aber nicht unmittelbar die wirtschaftliche Lage des Arbeitnehmers verbesserten“97. Letzteres ist bei der Gewährung der BYOD-Nutzung der Fall. Sie ist eine immaterielle Leistung, die für den Arbeitnehmer keine vergütungsrechtliche Relevanz aufweist und seinen Lebensstandard in keiner nennenswerten Weise beeinflusst. Die Wahrscheinlichkeit, dass sich der Arbeitnehmer auf die Nutzungsmöglichkeit eingestellt hat und im Hinblick darauf Dispositionen trifft oder getroffen hat, ist äußerst gering. Die Nutzung erfolgt allein aus Gründen der persönlichen Erleichterung oder Bequemlichkeit, hat aber keine erkennbare Bedeutung für den Lebensunterhalt des Arbeitnehmers und weist auch keinerlei Bezug zur Gegenleistung für die Arbeitsleistung auf. Sie betrifft allein die berufliche Sphäre, ohne Einfluss auf die private zu nehmen und ist damit insgesamt keine materiell ins Gewicht fallende Leistung. Sie stellt eine bloße Annehmlichkeit dar, deren Duldung durch den Arbeitgeber nicht auf einen Rechtsbindungswillen für die Zukunft schließen lässt. Für diese Einschätzung spricht auch, dass die BYOD-Nutzung einen erheblichen Einfluss auf die IT- und Telekommunikationsinfrastruktur des Unternehmens hat und dass sich das BAG zu Recht bei der Annahme einer betrieblichen Übung zurückhält, wenn ein Leistungsgegenstand betroffen ist, der nach seinem Schwerpunkt der betrieblichen Organisation zuzurechnen ist. Denn „je mehr eine Regelung auf das Funktionieren des Betriebs in seiner Gesamtheit bezogen ist, desto weniger können die Arbeitnehmer annehmen, der Arbeitgeber wolle sich mit einem bestimmten Verhalten ihnen gegenüber individualrechtlich binden“98.

96  BAG v. 17.09.1970  – 5 AZR 539 / 69, AP Nr. 9 zu § 242 BGB Betriebliche Übung Bl. 3 f. = NJW 1971, 163 (164). Vgl. hierzu auch Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 71. 97  BAG v. 17.09.1970  – 5 AZR 539 / 69, AP Nr. 9 zu § 242 BGB Betriebliche Übung Bl. 3 = NJW 1971, 163 (164); ähnlich auch BAG v. 12.01.1994 – 5 AZR 41 / 93, AP Nr. 34 zu § 242 BGB Betriebliche Übung Bl.  3 = NZA 1994, 694 (695); 16.04.1997  – 10 AZR 705 / 96, AP Nr. 53 zu § 242 BGB Betriebliche Übung Bl.  3 = NZA 1998, 423 (424). 98  BAG v. 21.01.1997  – 1 AZR 572 / 96, AP Nr. 64 zu § 77 BetrVG 1972 Bl.  5 = NZA 1997, 1009 (1012).



E. Fazit43

E. Fazit Für die rechtssichere Einführung von BYOD ist eine Regelung im Arbeitsvertrag oder einer späteren Ergänzungsvereinbarung erforderlich. Allein durch sie kann BYOD rechtwirksam implementiert werden. Die daraus resultierenden Rechte und Pflichten können entweder ebenfalls in der arbeitsvertraglichen Vereinbarung geregelt werden oder aber – sofern ein Betriebsrat vorhanden ist – durch eine BYOD-Betriebsvereinbarung konkretisiert und vervollständigt werden. Ein Anspruch auf Nutzung von BYOD aufgrund betrieblicher Übung scheidet aus.

2. Kapitel

Die arbeitsrechtliche Umsetzung des BYOD-Konzepts § 4 Regelungsaspekte und inhaltliche Ausgestaltung der BYOD-Nutzungsvereinbarung Mangels spezifischer gesetzlicher BYOD-Regelungen und einer umfassenden und gefestigten Rechtsprechung ist es unerlässlich, den arbeitsrechtlichen Rahmen des BYOD-Einsatzes detailliert zu regeln. Die Gestaltungsmöglichkeiten sind vielfältig. Sie unterscheiden sich inhaltlich häufig danach, ob BYOD betriebsmittelersetzend oder nur optional genutzt wird und formal vor allem danach, ob die Nutzungsvereinbarung formularmäßig als Ergänzungsvereinbarung zum Arbeitsvertrag oder aber mittels einer dieser vorzuziehenden Betriebsvereinbarung getroffen wird. Nachfolgend sollen die arbeitsrechtlichen Fragestellungen und Aspekte zusammengefasst werden, die in der Nutzungsvereinbarung enthalten sein sollten, um für die notwendige Rechtssicherheit und -klarheit im Umgang mit den Geräten zu sorgen und mögliche Haftungsrisiken zu beschränken. Hierbei sollen auch die unterschiedlichen Gestaltungsmöglichkeiten und die damit verbundenen rechtlichen Konsequenzen aufgezeigt werden sowie deren Grenzen, die gerade bei formularmäßig vereinbarten BYOD-Nutzungsregelungen durch das AGB-Recht gesetzt werden.

A. Freiwilligkeit Unabhängig davon, ob BYOD optional oder betriebsmittelersetzend genutzt wird, sollte in der BYOD-Nutzungsvereinbarung einleitend ausdrücklich klargestellt werden, dass die Nutzung von BYOD durch den Arbeitnehmer freiwillig erfolgt bzw. er sich zu dieser freiwillig verpflichtet.1 Das ist schon aus datenschutzrechtlichen Gründen2 geboten und kann dem Einwand 1  Berliner Beauftragter für Datenschutz und Informationsfreiheit, Bericht 2012, 32 (34); Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (754). 2  Siehe hierzu ausführlich Kapitel 3 § 7.



B. Einschränkungen der privaten Nutzung 45

entgegenwirken, mit BYOD würden bestehende Arbeitgeberpflichten unzulässigerweise auf den Arbeitnehmer übertragen. Beim optionalen BYOD sollte auch explizit darauf hingewiesen werden, dass keinerlei betriebliche Notwendigkeit für den Einsatz des privaten Devices besteht, weil für die Arbeitnehmer weiterhin unternehmenseigene Geräte durch den Arbeitgeber gestellt werden.3 Dies trägt mit Blick auf etwaige Aufwendungs- und Schadenersatzansprüche4 erheblich zur Rechtssicherheit und -klarheit bei und ermöglicht schon im Vorfeld eine Trennung der Risikobereiche. Für den Arbeitnehmer wird hinreichend deutlich, dass ihm die Nutzung von BYOD lediglich als Annehmlichkeit gewährt wird, so dass der Arbeitgeber eine dienstliche Nutzung der Privatgeräte jederzeit unterbinden könnte.

B. Einschränkungen der privaten Nutzung Auch wenn die Vereinbarung von BYOD keine Veränderungen hinsichtlich der eigentumsrechtlichen Lage der mobilen IT-Geräte und der darauf enthaltenen Anwendungssoftware nach sich zieht, stellt sich dennoch die Frage, ob der Arbeitnehmer gewisse Einschränkungen in Bezug auf die private Nutzung des Geräts während und auch außerhalb der vereinbarten Arbeitszeit hinzunehmen hat. Der Privatnutzenanteil birgt, trotz eventuell bestehender ausgeklügelter technischer Absicherungen, eines der größten Gefahrenpotentiale für den sensiblen Unternehmensdatenbestand, sei es weil der Mitarbeiter nicht lizensierte Software gebraucht oder aber das Gerät an Dritte – z. B. Familienangehörige – weiterreicht. I. Ausschluss und Einschränkungen der privaten Nutzung während der Arbeitszeit Unabhängig davon, ob BYOD betriebsmittelersetzend oder optional genutzt wird, kann der Arbeitgeber die Privatnutzung der Geräte während der Arbeitszeit untersagen und auf die Pausenzeiten beschränken. Insoweit ist die eigentumsrechtliche Lage völlig unbeachtlich, da allein die arbeitsvertragliche Verpflichtung des Arbeitnehmers zur Erbringung der Arbeitsleistung während der Arbeitszeit betroffen ist.5 Auch wenn dieser Fall der Einschränkung der privaten Nutzung während der Arbeitszeit damit keinerlei nennenswerte rechtliche Probleme aufwirft und der Arbeitgeber ein entsprechendes Verbot kraft seines Direktionsrechts jederzeit aussprechen 3  Vgl. hierzu die Präambel der BYOD-Musterbetriebsvereinbarung von Arning /  Moos, Datennutzungsverträge, Teil 4 VI Rn. 14. 4  Siehe hierzu Kapitel 2 § 4 E. und F. 5  Tiedemann, ArbRB 2013, 152 (153).

46

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

könnte, ist es im Sinne der Rechtssicherheit dennoch zu empfehlen, ein solches Verbot ausdrücklich in die BYOD-Nutzungsvereinbarung aufzunehmen. II. Vollständiger Ausschluss der Privatnutzung außerhalb der Arbeitszeit In der zu BYOD vorhandenen arbeitsrechtlichen Literatur wird vereinzelt die Frage eines vollständigen Ausschlusses der Privatnutzung der Geräte nicht nur während, sondern auch außerhalb der vereinbarten Arbeitszeit erörtert.6 So erkennt Lipp zwar ausdrücklich an, dass ein solches Verbot eine erhebliche Beschränkung der Eigentümerrechte des Arbeitnehmers und faktisch eine Übereignung bedeuten würde, hält es aber „bei Zahlung eines entsprechend hohen Mietzinses“ durchaus für zulässig.7 Schließlich stünde es dem Arbeitnehmer ja auch jederzeit frei, sein Gerät an das Unternehmen zu übereignen, um es dienstlich nutzen zu können. Koch dagegen ist der Auffassung, dass eine teilweise private Nutzung nicht wirksam ausgeschlossen werden kann, solange das Equipment im Eigentum des Mitarbeiters verbleibt.8 Zulässig seien dann nur besondere Regelungen hinsichtlich der betrieblichen Nutzung, wie etwa die Beschränkung der privaten Nutzung auf Pausenzeiten. Werde das Gerät mitsamt dem Betriebssystem und der Anwendungssoftware hingegen aufgrund einer besonderen vertraglichen Vereinbarung übereignet, könne eine persönliche Nutzung nur noch erfolgen, wenn sie ausdrücklich vorbehalten wurde. Verkannt wird bei der Diskussion um einen vollständigen Ausschluss der Privatnutzung gänzlich, dass BYOD eine Doppelnutzung des Geräts und damit ein Privatnutzenanteil immanent ist. Es zeichnet sich gerade dadurch aus, dass die klare Trennung von dienstlichen und privaten Geräten aufgehoben wird. Private Kommunikation und dienstliche Aufgaben werden von einem einzigen Gerät aus erledigt. Darin liegen für die Arbeitnehmer die Attraktivität von BYOD und letztlich auch dessen Mehrwert. Schließt man innerhalb dieses Konzepts die Privatnutzung des BYO-Geräts in vollem Umfang aus, wird dieses faktisch zum Dienstgerät. Der Arbeitnehmer ist gezwungen, sich für den privaten Lebensbereich ein weiteres, zweites ITGerät zuzulegen, wodurch das gesamte BYOD-Konzept letztlich konterkariert würde. Möchte man BYOD und die damit verbundenen Vorteile ernsthaft und bestmöglich ausschöpfen, darf und kann sich die Frage des voll6  Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (755); Koch, ITRB 2012, 35; Tiedemann, ArbRB 2013, 152 (153 f.). 7  Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (755). 8  Koch, ITRB 2012, 35.



C. Arbeitszeitrecht47

ständigen Ausschlusses der privaten Nutzung überhaupt nicht stellen. Die Diskussion erübrigt sich von vornherein. Unabhängig davon müsste sich ein Arbeitgeber, der die private Nutzung vollständig ausschließen möchte, vor allem unter betriebswirtschaftlichen Aspekten, die Frage gefallen lassen, wozu es dann überhaupt der Einführung von BYOD bedarf. Die entsprechend hohe Kompensation des Arbeitnehmers verursacht derart signifikante Kosten, dass es weit kostengünstiger ist, von vornherein nur Dienstgeräte zu stellen, insbesondere auch deshalb, weil diese im Eigentum des Arbeitgebers stünden und seiner alleinigen, unbeschränkten Regelungsbefugnis unterlägen. III. Zulässigkeit teilweiser Einschränkung privater Nutzung außerhalb der Arbeitszeit Eine Einschränkung der privaten Nutzung außerhalb der vereinbarten Arbeitszeit ist je nach Regelungsmaterie grundsätzlich zulässig und angesichts des Gefahrenpotentials durch unbefugte Zugriffe Dritter für den sensiblen Unternehmensdatenbestand geboten. Die dabei in Betracht zu ziehenden Einschränkungen sind allerdings derart eng mit den datenschutzrechtlichen Organisationsmaßnahmen des Arbeitsgebers verwoben und nur im Kontext der Bestimmungen der Anlage zu § 9 BDSG richtig zu fassen, so dass an dieser Stelle auf eine nähere Ausführung verzichtet und auf die ausführliche Darstellung in Kapitel 3 § 7 II verwiesen wird.

C. Arbeitszeitrecht Mit mobilen IT-Geräten sind die Arbeitnehmer immer und überall erreichbar. Die Grenzen zwischen Arbeitszeit und Freizeit sowie zwischen Arbeitsplatz und Zuhause verwischen sich mehr und mehr.9 Mittlerweile sind gut ein Drittel der Berufstätigen regelmäßig auch nach Büroschluss, am Wochenende und im Urlaub erreichbar.10 Die dabei übernommenen Tätigkeiten beschränken sich vielfach nicht nur auf kurze Telefon- und E-Mailanfragen, sondern schließen Telefonkonferenzen, Verhandlungen und / oder Vertragsbearbeitungen mit ein.11 Was auf der einen Seite vorteilhaft mit Blick auf flexible Arbeitseinsätze und Arbeitszeitgestaltungen erscheint, wirft auf der anderen Seite erhöhten Regelungsbedarf bezüglich der einschlägigen Arbeitszeitvorschriften auf, sollte es sich bei den Arbeitnehmern 9  Reinhard,

ArbRB 2012, 186.

10  http: // www.bitkom.org / files / documents / Studie_Arbeit_3.0.pdf

fen am 06.09.2015]. 11  Falder, NZA 2010, 1150.

[zuletzt abgeru-

48

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

nicht um leitende Angestellte i. S. d. § 5 Abs. 3 BetrVG handeln, auf die das ArbZG nach § 18 Abs. 1 Nr. 1 ArbZG nicht anzuwenden ist. Auch wenn diese Problematik nicht neu ist und unabhängig davon besteht, ob sich das mobile Gerät im Eigentum des Arbeitgebers oder des Arbeitnehmers befindet, so verstärkt sie sich durch BYOD jedoch erheblich. Dem Arbeitnehmer wird es in der Regel leichter fallen, sein dienstliches Gerät abzuschalten und zur Seite zu legen. Im Gegensatz dazu ist ein privates Gerät fast immer eingeschaltet, schon um privat für Familienangehörige und Freunde erreichbar zu sein. Während der Einsatz des Device zu betrieblichen Zwecken innerhalb der regulären Arbeitszeit noch unzweifelhaft als Arbeitszeit i. S. d. § 2 ArbZG zu bewerten ist, wirft gerade die ständige Erreichbarkeit außerhalb dieses Zeitraums erhebliche Schwierigkeiten auf. In Folgenden soll deshalb näher untersucht werden, ob und wann die Benutzung des eigenen Device außerhalb der regulären Arbeitszeit als Arbeitszeit im Sinne des ArbZG zu bewerten ist, welche arbeitszeit- und vergütungsrechtlichen Folgen daraus erwachsen und schließlich, welche Konsequenzen sich hieraus für die BYOD-Nutzungsvereinbarung ergeben. I. Einsatz von BYOD außerhalb der regulären Arbeitszeit – Freizeit oder Arbeitszeit? 1. Arbeitszeit i. S. d. ArbZG – Einführung Unter Arbeitszeit ist gemäß § 2 Abs. 1 ArbZG die Zeit vom Beginn bis zum Ende der Arbeit ohne Ruhepausen zu verstehen, d. h. der Zeitraum, in welchem der Arbeitnehmer tatsächlich für den Arbeitgeber arbeitet oder aber die geschuldete Arbeitsleistung vertragsgemäß anbietet.12 Hiervon zu unterscheiden ist die arbeitsfreie Zeit, also die Zeit, die nicht Arbeitszeit ist. Die Abgrenzung kann mitunter schwierig sein, besonders wenn die Übergänge beider Zeiträume fließend sind, wie beispielsweise in Fällen, in welchen der Arbeitnehmer arbeitsvertraglich einer Beschränkung hinsichtlich seines Aufenthaltsortes unterliegt, sonst aber frei seinen Interessen nachgehen kann.13 Solche „Zwischenformen“ zwischen Arbeitszeit einerseits und arbeitsfreier Zeit andererseits werden von der Rechtsprechung und der herrschenden Literaturauffassung üblicherweise in die drei Kategorien der „Arbeitsbereitschaft“, des „Bereitschaftsdienstes“ und der „Rufbereitschaft“ unterteilt.14 12  Baeck / Deutsch,

§ 2 ArbZG Rn. 4. § 2 ArbZG Rn. 27; ders. / Lösler, NZA 2005, 247 f. 14  BAG v. 11.07.2006  – 9 AZR 519 / 05, AP Nr. 10 zu § 611 BGB Dienstreise Rn. 41 ff. = NZA 2007, 155 (158); v. Steinau-Steinrück, NJW-Spezial 2012, 178. Auch das ArbZG selbst nennt alle drei Zeitformen (z. B. § 7 Abs. 1 Nr. 1 a, Abs. 2 Nr. 1 ArbZG sowie § 15 Abs. 1 Nr. 3 ArbZG), definiert sie jedoch nicht näher. 13  Baeck / Deutsch,



C. Arbeitszeitrecht49

Arbeitsbereitschaft wird nach der Rechtsprechung des BAG in einem „Zustand wacher Aufmerksamkeit im Zustand der Entspannung“ geleistet.15 Gemeint sind Fälle, in welchen sich der Arbeitnehmer zur sofortigen Ausübung seiner Tätigkeit an seinem Arbeitsplatz bereithält, allerdings im Unterschied zur Vollarbeit geringer belastet ist, d. h. der Grad seiner körperlichen und / oder geistigen Belastung so viel niedriger ist, dass er sich entspannen kann (beispielsweise bei Zeiten ohne Tätigkeit zwischen der Durchführung von Kontrollen).16 Die Arbeitsbereitschaft gilt in vollem Umfang als Arbeitszeit i. S. d. ArbZG, auch wenn die Arbeitsleistung nicht abgerufen wird.17 Bereitschaftsdienst hingegen ist die Zeitspanne, in welcher sich der Arbeitnehmer für Zwecke des Betriebes an einer vom Arbeitgeber bestimmten Stelle innerhalb oder außerhalb des Betriebes aufhält, damit er erforderlichenfalls seine volle Arbeitstätigkeit auf Anweisung hin unverzüglich aufnehmen kann.18 Im Grunde handelt es sich um eine Aufenthaltsbeschränkung verbunden mit der Pflicht, unverzüglich tätig zu werden.19 Seit der Gesetzesänderung zum 01.01.200420, beruhend auf der Rechtsprechung des EuGH21 zum ärztlichen Bereitschaftsdienst, ist der Bereitschaftsdienst, ebenso wie die Arbeitsbereitschaft, als vollwertige Arbeitszeit i. S. d. ArbZG zu bewerten.22 15  BAG v. 11.07.2006  – 9 AZR 519 / 05, AP Nr. 10 zu § 611 BGB Dienstreise Rn. 41= NZA 2007, 155 (158). 16  Baeck / Lösler, NZA 2005, 247 (248); v. Steinau-Steinrück, NJW-Spezial 2012, 178 sowie zu den Kriterien, die im Sinne der Beanspruchungstheorie zur Bestimmung von Arbeitsbereitschaft heranzuziehen sind Wank, in: ErfK-Arbeitsrecht, § 2 ArbZG Rn. 21. 17  BAG v. 11.07.2006  – 9 AZR 519 / 05, AP Nr. 10 zu § 611 BGB Dienstreise Rn. 42 = NZA 2007, 155 (158); Baeck / Deutsch, § 2 ArbZG Rn. 39; BeckOK ArbR / Kock ArbZG § 2 Rn. 5; Vogelsang, in: Schaub Arbeitsrechts-Handbuch, § 156 Rn. 20; Wank, in: ErfK-Arbeitsrecht, § 2 ArbZG Rn. 21. Bestätigt wird dies auch durch § 7 Abs. 1 Nr. 1a ArbZG. Die Norm geht davon aus, dass Arbeitsbereitschaft auch Arbeitszeit ist (BT-Drucks. 12 / 5888, S. 26). 18  BAG v. 24.10.2000  – 9 AZR 634 / 99, AP Nr. 4 zu § 611 BGB Rufbereitschaft = NZA 2001, 449; 28.01.2004  – 5 AZR 530 / 02, AP Nr. 10 zu § 611 BGB Bereitschaftsdienst Bl. 4 f.; Baeck / Deutsch, § 2 ArbZG Rn. 41; ders. / Lösler, NZA 2005, 247 (248); BeckOK-BGB / Joussen, § 611 Rn. 338; Wank, in: ErfK-Arbeitsrecht, § 2 ArbZG Rn. 28. 19  BAG v. 24.10.2000  – 9 AZR 634 / 99, AP Nr. 50 zu § 11 BurlG; Galperin, DB 1960, 695 (725). 20  Gesetz zu Reformen am Arbeitsmarkt v. 24.12.2003 – BGBl. I S. 3002. 21  EuGH v. 09.09.2003  – Rs. C-151 / 02  – Jaeger = NZA 2003, 1019. 22  BAG v. 15.07.2009  – 5 AZR 867 / 08, AP Nr. 10 zu § 6 ArbZG Rn. 12; 16.12.2009  – 5 AZR 157 / 09, AP Nr. 3 zu § 4 ArbZG Rn. 9; Baeck / Deutsch, § 2 ArbZG Rn. 43; Reichold / MünchArbR I, § 36 Rn. 74; Schliemann, NZA 2006, 1009; Wank, in: ErfK-Arbeitsrecht, § 2 ArbZG Rn. 28.

50

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

Rufbereitschaft ist schließlich in den Fällen gegeben, in welchen der Arbeitnehmer verpflichtet ist, sich in der eigenen Wohnung oder an einem anderen, dem Arbeitgeber anzuzeigenden Ort aufzuhalten, um auf Abruf die Arbeit aufnehmen zu können. Er ist in der Wahl seines Aufenthaltsortes frei, sofern er nur gewährleistet, jederzeit erreichbar zu sein.23 Die Zeiten der Rufbereitschaft sind grundsätzlich nicht der Arbeitszeit zuzuordnen, sondern der Ruhezeit.24 Wird der Arbeitnehmer während der Rufbereitschaft jedoch tatsächlich zur Arbeitsleistung herangezogen, ist die Zeit der tatsächlichen Inanspruchnahme arbeitszeitrechtlich als Arbeitszeit zu bewerten und einem vorausgehenden oder nachfolgenden Arbeitseinsatz hinzuzurechnen.25 Sie ist vertragsgemäß zu vergüten. 2. Übertragung und Anwendung auf BYOD Bei der Übertragung dieser arbeitszeitrechtlichen Regelungen auf die Erreichbarkeit und Arbeitsaufnahme außerhalb des vertraglich vereinbarten Arbeitszeitraums müssen zwei Fallkonstellationen strikt voneinander unterschieden werden. Zum einen die Variante, in welcher der Arbeitgeber die Erreichbarkeit aufgrund einer arbeitsvertraglichen Regelung wirksam angeordnet hat und zum anderen die Fallvariante, in welcher es an einer ausdrücklichen arbeitgeberseitigen Anordnung mangelt, der Arbeitnehmer aber dennoch stets erreichbar ist und während der Freizeit tätig wird. Gerade diese letzte Fallkonstellation, die häufig auch als „arbeitsbezogene erweiterte Erreichbarkeit“26 bezeichnet wird, stellt eines der arbeitszeitrechtlichen 23  Begründet durch die Entscheidung des BAG v. 26.02.1958  – 4 AZR 388 / 55, AP Nr. 3 zu § 7 AZO; fortgeführt 11.07.2006  – 9 AZR 519 / 05, AP Nr. 10 zu § 611 BGB Dienstreise Rn. 41= NZA 2007, 155 (158); Falder, NZA 2010, 1150 (1151). 24  BAG v. 11.07.2006  – 9 AZR 519 / 05, AP Nr. 10 zu § 611 BGB Dienstreise Rn. 42 = NZA 2007, 115 (158); Anzinger / MünchArbR II, § 298 Rn. 41; Baeck /  Deutsch, § 2 ArbZG Rn. 54; Falder, NZA 2010, 1150 (1151); Poeche / Küttner-Personalbuch, Rufbereitschaft Rn. 2; Richardi / Fischinger, in: Staudinger BGB, § 611 Rn. 550. 25  EuGH v. 03.10.2000  – Rs. C-303 / 98  – SIMAP = NZA 2000, 1227 (1230 Rn. 52); Baeck / Deutsch, § 2 ArbZG Rn. 54; BeckOK ArbR / Kock ArbZG § 2 Rn. 11; Falder, NZA 2010, 1150 (1151); Vogelsang, in: Schaub Arbeitsrechts-Handbuch, § 158 Rn. 25; v. Steinau-Steinrück, NJW-Spezial 2012, 178. 26  So beispielsweise von Pangert / Schüpbach in „Die Auswirkungen arbeitsbezogener erweiterter Erreichbarkeit auf Life-Domain-Balance und Gesundheit“, Fachbeitrag Bundesanstalt für Arbeitsschutz und Arbeitsmedizin bezeichnet. Stellenweise wird diese Fallvariante auch als „morbus Blackberry“ bezeichnet. Der Begriff tauchte erstmals in einem Kommentar in der Süddeutschen Zeitung vom 09.07.2010 S. 4 auf und wurde danach auch in der arbeitsrechtlichen Literatur vielfach für das Abhören von Nachrichten, Versenden von dienstlichen E-Mails etc. außerhalb der regulären Arbeitszeit ohne die entsprechende Anordnung durch den



C. Arbeitszeitrecht51

Kernprobleme im Umgang mit mobilen IT-Geräten und damit auch im Umgang mit BYOD dar. a) Wirksame Anordnung der Erreichbarkeit Hat der Arbeitgeber die Erreichbarkeit mittels BYO-Gerät außerhalb der regulären Arbeitszeit aufgrund einer arbeitsvertraglichen Regelung wirksam angeordnet, so geht die arbeitsrechtliche Literatur27 einhellig davon aus, dass die rechtliche Situation mit derjenigen der Rufbereitschaft zu vergleichen und die gleichen Grundsätze (entsprechend) anzuwenden seien. Arbeitsbereitschaft und Bereitschaftsdienst schieden hingegen regelmäßig von vornherein aus, da die damit verbundene Aufenthaltsbeschränkung bei mobilen IT-Geräten, die ja gerade eine ortsunabhängige Benutzung erlauben, keinen Sinn ergeben würde.28 Dem ist zuzustimmen. Auch wenn der Arbeitnehmer anders als bei der herkömmlichen Rufbereitschaft nicht verpflichtet ist, sich während der Dauer der Anordnung an einem ganz bestimmten, dem Arbeitgeber anzuzeigenden Ort aufzuhalten, so ist er dennoch in der Wahl seines Aufenthaltsorts und damit in seiner Freizeitgestaltung beschränkt. Er muss seinen Aufenthaltsort so wählen, dass er ständig erreichbar ist, muss also Funklöcher vermeiden und darf sich bei einem Smartphone nicht außer Hörweite entfernen.29 Darüber hinaus kann es, angesichts der sich ständig wandelnden Kommunikationsmöglichkeiten und -mittel und der damit notwendig einhergehenden Flexibilität für die Einordnung als Rufbereitschaft wertungsmäßig keinen Unterschied machen, ob der Arbeitnehmer die Arbeit im Bedarfsfall im Betrieb oder an einem sonstigen Einsatzort aufzunehmen hat oder ob er die Arbeitsleistung von einem selbst gewählten Standort aus erbringen Arbeitgeber gebraucht; vgl. nur Falder, NZA 2010, 1150; v. Steinau-Steinrück, NJW-Spezial 2012, 178. Häufig anzutreffen ist auch der Begriff der „Entgrenzung“. Dieser schließt zwar auch die ständige Verfügbarkeit durch die neuen Informationsund Kommunikationstechniken ein, ist jedoch noch bedeutend weiter zu verstehen und beschreibt unterschiedlichste Phänomene, die mit der Verschränkung von Erwerbsarbeit und Privatleben einhergehen (BT-Drucks. 17 / 9478, S. 16 f.). 27  Bissels / Domke / Wisskirchen, DB 2010, 2052 (2053); Brachmann, AuA 2013, 680 (683); Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (758); Neumann / Biebl, § 7 ArbZG Rn. 13a; v. Steinau-Steinrück, NJW-Spezial 2012, 178. 28  Zöll / Kielkowski, BB 2012, 2623 (2628). 29  Mit ähnlicher Argumentation hatte das BAG bei einem Angestellten des öffentlichen Dienstes, der verpflichtet war, auf Anordnung des Arbeitgebers außerhalb der regelmäßigen Arbeitszeit ein eingeschaltetes Funktelefon mitzuführen um auf Abruf Arbeit zu erbringen, Rufbereitschaft bejaht (29.06.2000 – 6 AZR 900 / 98, AP Nr. 41 zu § 15 BAT). Allerdings galt es dabei die Rufbereitschaft i. S. des § 15 Abs. 6 lit. b) BAT a. F. auszulegen, weshalb das Urteil insoweit nicht verallgemeinerungsfähig ist.

52

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

kann.30 Wie Buschmann richtig anführt, ist „der Begriff der Arbeit nicht nur räumlich als Anwesenheit des Arbeitnehmers am betrieblichen Arbeitsplatz zu sehen, sondern vielmehr funktional – also bezogen auf die Arbeit und nicht den Ort“31. Entscheidend kann nur sein, dass die Arbeitsleistung tatsächlich erbracht wird, nicht aber auch die Ortsveränderung zwischen Abruf und Arbeitsaufnahme. Ist die Erreichbarkeit mittels BYO-Gerät in diesem Sinne wirksam vom Arbeitgeber angeordnet worden, liegt Rufbereitschaft (analog) vor. Die tatsächliche Arbeitsaufnahme ist als Arbeitszeit i. S. d. ArbZG zu bewerten, mit allen daraus resultierenden arbeitszeit- und vergütungsrechtlichen Folgen. b) Fehlende Anordnung der Erreichbarkeit Hat der Arbeitgeber die Erreichbarkeit mittels BYO-Gerät außerhalb der regulären Arbeitszeit hingegen nicht ausdrücklich angeordnet, nimmt der Arbeitnehmer seine Tätigkeit jedoch trotzdem während der Freizeit auf, z. B. weil die ständige Erreichbarkeit und Arbeitsaufnahme unausgesprochen erwartet wird, ist umstritten, ob bzw. wann diese Tätigkeitsaufnahme als Arbeitszeit i. S. d. ArbZG zu bewerten ist und wie diese gegebenenfalls von einer reinen „Freizeittätigkeit“32 abzugrenzen ist, der arbeitszeitrechtlich keine weitere Relevanz beizumessen wäre. aa) Arbeitszeit bei Zurechenbarkeit Viele Stimmen in der Literatur lösen die Problematik der arbeitsbezogenen erweiterten Erreichbarkeit maßgeblich mit Hilfe des Kriteriums der „Zurechenbarkeit“.33 Entscheidend für die Beantwortung der Frage, ob es 30  Bissels / Domke / Wisskirchen, DB 2010, 2052 (2053); Schlegel, NZA Beilage 2014 Heft 1, 16 (19). 31  Buschmann, VDJ Frühjahrestagung 2011, Arbeitskreis Arbeitsrecht – Schwerpunkt Arbeits- und Gesundheitsschutz am 09.04.2011 in Frankfurt a. M., abgedruckt, in: Stoppkotte / Stiel, AiB 2011, 423 (426). 32  Auch wenn der Begriff der „Freizeit“ kein spezifisch arbeitszeitrechtlicher ist und im ArbZG keine Verwendung findet, so wird er im arbeitsrechtlichen Sinne doch als das Gegenteil von Arbeitszeit verstanden (BAG v. 17.03.2010 – 5 AZR 296 / 09, AP Nr. 35 zu § 611 BGB Arbeitszeit Rn. 17 = NJOZ 2010, 1710 (1712). Er bezeichnet den persönlichen Freiraum, der dem Arbeitnehmer außerhalb seiner arbeitsvertraglichen Pflichten bleibt und setzt voraus, dass der Arbeitnehmer keinen vertraglichen Bindungen unterliegt; seine Handlungsfreiheit nicht beeinträchtigt ist (Baeck / Deutsch, § 2 ArbZG Rn. 55; Neumann / Biebl, § 5 ArbZG Rn. 2). 33  Gaul, DB 2013, 60 (61); Göpfert / Wilke, NZA 2012, 765 (768); Schlegel, NZA Beilage 2014 Heft 1, 16 (19); Seel, MDR 2014, 69 (71); Zöll / Kielkowski, BB 2012, 2623 (2628). In diese Richtung wohl auch Lipp, Bring Your Own Device (BYOD) –



C. Arbeitszeitrecht53

sich bei der Tätigkeit während der Freizeit um Arbeitszeit i. S. d. ArbZG handelt, sei stets, ob der Arbeitgeber die ständige Erreichbarkeit und Arbeitsaufnahme in zurechenbarer Weise veranlasst habe.34 Könne sie dem Arbeitgeber zugerechnet werden, sei der Zeitraum der Arbeitserbringung als Arbeitszeit zu bewerten mit allen daraus resultierenden arbeitszeit- und vergütungsrechtlichen Folgen. Hat er sie hingegen nicht zurechenbar veranlasst, sei sie als reine „Freizeittätigkeit“ ohne arbeitszeitrechtliche Relevanz zu qualifizieren. Die erforderliche Zurechenbarkeit könne sich nicht nur aus einer ausdrücklichen Anordnung oder Aufforderung ergeben, sondern gerade auch aus den Gesamtumständen des Einzelfalls.35 Erwarte der Arbeitgeber etwa stillschweigend die ständige Erreichbarkeit und Arbeitsaufnahme des Mitarbeiters, seien dies Umstände, aus denen der Arbeitnehmer berechtigterweise schließen könne, die Erreichbarkeit und Arbeitsaufnahme werde von ihm verlangt. Es sei von einer zurechenbaren konkludenten (bzw. impliziten) Weisung auszugehen.36 Aber auch dann, wenn der Arbeitgeber die erbrachte Leistung zwar nicht erwarte, sie aber in Kenntnis der außerhalb der regulären Arbeitszeit erbrachten Tätigkeit dennoch in Anspruch nehme und von ihr profitiere, müsse sie als Arbeitszeit bewertet werden.37 Mit der Nutzung billige bzw. dulde der Arbeitgeber die erbrachte Arbeitsleistung, worin eine arbeitszeitrechtlich rückwirkende Genehmigung und die erforderliche Zurechnung selbst zu sehen sei.38 Das müsse schon deshalb gelten, „weil es der Arbeitgeber selbst in der Hand ha[be], durch klare Anweisungen für die Vermeidung von Arbeitsaufnahmen aus der Freizeit heraus und die Einhaltung der Bestimmungen des ArbZG zu sorgen“39. bb) Reines Freizeitverhalten Die Gegenansicht stellt zwar ebenfalls auf das Kriterium der Zurechenbarkeit ab, bewertet die Tätigkeit außerhalb der regulären Arbeitszeit ohne die ausdrückliche Anordnung durch den Arbeitgeber jedoch nicht als Arbeitszeit i. S. des ArbZG.40 Ohne eine ausdrückliche Anordnung mangle es Das neue Betriebsmittel, 747 (758) mit Verweis auf Zöll / Kielkowski, ohne sich jedoch konkret für die Annahme von Arbeitszeit auszusprechen. 34  Schlegel, NZA Beilage 2014 Heft 1, 16 (19). 35  Schlegel, NZA Beilage 2014 Heft 1, 16 (19). 36  Schlegel, NZA Beilage 2014 Heft 1, 16 (19). 37  Seel, MDR 2014, 69 (71); Zöll / Kielkowski, BB 2012, 2623 (2628). 38  Zöll / Kielkowski, BB 2012, 2623 (2628). 39  Schlegel, NZA Beilage 2014 Heft 1, 16 (19). 40  Bissels / Domke / Wisskirchen, DB 2010, 2052 (2053); Brachmann, AuA 2013, 680 (683); Neumann / Biebl, § 7 ArbZG Rn. 13a; v. Steinau-Steinrück, NJW-Spezial 2012, 178.

54

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

an der erforderlichen Zurechenbarkeit als notwendige Voraussetzung für die Annahme von Arbeitszeit i. S. des ArbZG. Sie könne selbst dann nicht angenommen werden, wenn der Arbeitgeber unausgesprochen erwarte, dass der Arbeitnehmer außerhalb der regulären Arbeitszeit für arbeitgeberseitig veranlasste Tätigkeiten zur Verfügung stehe und diese übernehme.41 Bestehe weder eine Pflicht, erreichbar zu sein noch eine Anweisung, Tätigkeiten während der Freizeit zu erledigen, halte sich der Arbeitnehmer nur im eigenen Interesse auf dem Laufenden.42 Dafür sei der Arbeitgeber nicht verantwortlich. Andernfalls bestünde die Gefahr, dass dem Arbeitgeber die geleistete Arbeit „aufgedrängt“ würde, mit allen daraus resultierenden arbeitszeitund vor allem vergütungsrechtlichen Folgen.43 Bissels, Domke und Wiss­ kirchen fassen die Problematik deshalb prägnant so zusammen: „Ein Tätigwerden ohne Anordnung kann […] nicht nur klar von eventuellen Fällen der Rufbereitschaft abgegrenzt werden, es ist vielmehr schon nicht als Arbeitszeit zu bewerten und löst keinen Vergütungsanspruch aus“44. cc) Rufbereitschaft analog auch bei bloß faktischer Erreichbarkeit Falder45 lässt das Kriterium der Zurechenbarkeit schließlich völlig unberücksichtigt. Die faktische Erreichbarkeit des Arbeitnehmers außerhalb der regulären Arbeitszeit ähnle der Situation der Rufbereitschaft derart stark, dass eine analoge Behandlung der Tätigkeitsaufnahme während der Freizeit mit der Rufbereitschaft geboten sei. Auch ohne entsprechende ausdrückliche Anordnung der Erreichbarkeit werde der Arbeitnehmer bedarfsorientiert während seiner Freizeit für den Arbeitgeber tätig. Der Zeitraum dieser Tätigkeitsaufnahme sei – wie auch bei der Rufbereitschaft – in vollem Umfang als Arbeitszeit zu bewerten, was wiederrum zur Folge habe, dass diese bei den gesetzlichen Höchstarbeitszeiten zu beachten und entsprechend zu vergüten sei. dd) Stellungnahme Falders Auffassung ist – sofern für eine analoge Anwendung der Grundsätze der Rufbereitschaft allein auf die faktische Erreichbarkeit des Arbeitnehmers abgestellt wird – nicht überzeugend und abzulehnen. Voraussetzung 41  Bissels / Domke / Wisskirchen,

DB 2010, 2052 (2053). § 7 ArbZG Rn. 13a. 43  Dieses Argument bringt Schlegel, NZA Beilage 2014 Heft 1, 16 (19) an, der jedoch im Ergebnis eine Zurechenbarkeit auch bei fehlender ausdrücklicher Anordnung bejaht. 44  Bissels / Domke / Wisskirchen, DB 2010, 2052 (2053). 45  Falder, NZA 2010, 1150 (1151). 42  Neumann / Biebl,



C. Arbeitszeitrecht55

für eine Analogie ist u. a. stets eine vergleichbare Interessenlage. Die zu vergleichenden Sachverhalte müssen dafür in den für die rechtliche Bewertung maßgebenden Hinsichten derart übereinstimmen, dass der zu beurteilende Sachverhalt den Wertungen des geregelten gleicht und die verbleibenden Unterschiede nicht von solcher Art sind, dass sie diese ausschließen.46 In diesem Sinne mag die Situation der faktischen Erreichbarkeit zwar derjenigen der angeordneten ähneln, wertungsmäßig stimmt sie mit dieser aber nicht überein. Charakteristisch und entscheidend für die Annahme von Rufbereitschaft ist stets die arbeitgeberseitige Anordnung und nicht die bloß faktische Erreichbarkeit des Arbeitnehmers. Denn die für den Arbeitnehmer verbindliche Erreichbarkeit resultiert letztlich nur aus der Anordnung, ist deren Folge und knüpft notwendig an diese an. Arbeitszeitrechtlich kann der Erreichbarkeit allein deshalb keine Bedeutung zukommen. Vielmehr bedarf es einer der Anordnung vergleichbaren arbeitgeberseitigen Veranlassung, aus der die Erreichbarkeit des Arbeitnehmers wiederum resultiert; ohne sie ist eine Analogie nicht gerechtfertigt. Davon abgesehen würde Falders Ansicht dazu führen, dass sich der Arbeitgeber die geleistete Arbeit und vor allen Dingen deren Vergütung aufdrängen lassen müsste, der Arbeitnehmer seinen Vergütungsanspruch also durch überobligatorische Freizeitarbeit selbst bestimmen könnte. Auch aus diesem Grund ist mit der Literatur völlig zu Recht auf die arbeitgeberseitige Zurechenbarkeit als maßgebliches Kriterium abzustellen. Diese darf allerdings entgegen der oben genannten Literaturauffassung auch nicht derart eng verstanden werden, dass hierfür allein eine ausdrückliche Anordnung genügen würde. Dieser Ansicht ist zwar insoweit ausdrücklich zuzustimmen, als ein vollständig freiwilliges Tätigwerden während der Freizeit keine Arbeitszeit i. S. d. ArbZG darstellen kann, nicht aber insoweit, als die Freiwilligkeit nur bei Vorliegen einer ausdrücklichen Anordnung verneint werden könnte. Die Annahme von „Freiwilligkeit“ begegnet im Arbeitsverhältnis häufig erheblichen Bedenken, weil es von einem Überund Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer und damit einem Machtgefälle geprägt ist. Der Arbeitnehmer wird in persön­ licher Abhängigkeit für den Arbeitgeber tätig; er unterliegt seinen Weisungen.47 In diesem Sinne erfolgt auch die Tätigkeit während der Freizeit vielfach mit Rücksicht auf das Arbeitsverhältnis. Der Arbeitnehmer hegt eine auf das Arbeitsverhältnis bezogene Motivation, wie die Schaffung von Freiräumen für den darauffolgenden Arbeitstag, die rasche Erledigung lästi46  Larenz,

Methodenlehre, S. 366. Rechtsprechung, so bereits BAG v. 28.02.1962  – 4 AZR 141 / 61, AP Nr. 1 zu § 611 BGB Abhängigkeit; 13.01.1983 – 5 AZR 149 / 82, AP Nr. 42 zu § 611 BGB Abhängigkeit Bl.  3 = NJW 1984, 1985 (1986); 25.09.2013  – 10 AZR 282 / 12, AP Nr. 126 zu § 611 BGB Abhängigkeit Rn. 16 = NZA 2013, 1348 (1350). 47  Ständige

56

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

ger Verpflichtungen oder – wohl am häufigsten – ganz generell die Vermeidung von Nachteilen;48 letztere insbesondere dann, wenn der Arbeitgeber unausgesprochen erwartet, dass der Arbeitnehmer außerhalb der regulären Arbeitszeit für gegebenenfalls anstehende Tätigkeiten zur Verfügung steht. In diesen Fällen allein auf das formale Kriterium der ausdrücklichen Anordnung abstellen zu wollen und nur bei Vorliegen einer solchen die Freiwilligkeit zu verneinen, würde die Schutzvorschriften des ArbZG unterlaufen und dadurch das Machgefälle zwischen den Arbeitsvertragsparteien verstärken. Unklarheiten hinsichtlich des Vorliegens einer ausdrücklichen Weisung würden zu Lasten des Arbeitnehmers gehen, obwohl dieser vor einer übermäßigen Selbstausbeutung seiner Arbeit zu schützen ist und der Arbeitgeber als Adressat der öffentlich-rechtlichen Schutzvorschriften des ArbZG durch klare und eindeutige Anweisungen dafür Sorge zu tragen hat, dass die gesetzlichen Vorgaben eingehalten werden.49 Den damit offenkundig einhergehenden Missbrauchsrisiken zu Lasten der Arbeitnehmer, gerade in den Fällen der unausgesprochenen Erwartungshaltung, in welcher der Arbeitgeber die ständige Erreichbarkeit und Arbeitsaufnahme ja geradezu „provoziert“, kann nur dadurch begegnet werden, dass die Zurechenbarkeit – in Anlehnung an die von der Rechtsprechung entwickelten Grundsätze zur Geltendmachung von Überstundenvergütung – auch dann bejaht wird, wenn der Arbeitgeber die Erreichbarkeit und Arbeitsaufnahme konkludent angeordnet, gebilligt oder jedenfalls geduldet hat.50 Hierdurch wird die Verantwortung sach- und interessengerecht verteilt, zugleich aber auch hinreichend sichergestellt, dass sich der Arbeitgeber keine ungewollte und nicht veranlasste Arbeitsleistung mit allen daraus resultierenden arbeitszeit- und vergütungsrechtlichen Folgen aufdrängen lassen muss. 48  Falder,

NZA 2010, 1150 (1151). NZA Beilage 2014 Heft 1, 16 (17). 50  BAG v. 15.06.1961  – 2 AZR 436 / 60, AP Nr. 7 zu § 253 ZPO Bl.  1 R; 17.04.2002  – 5 AZR 644 / 00, AP Nr. 40 zu § 611 BGB Mehrarbeitsvergütung Bl.  5 R = NZA 2002, 1340 (1344); 29.05.2002  – 5 AZR 370 / 01 = NJOZ 2003, 1929 (1931); 10.04.2013  – 5 AZR 122 / 12, AP Nr. 54 zu § 611 BGB Mehrarbeitsvergütung Rn. 14 = NZA 2013, 1100 (1101). Konkludent ordnet der Arbeitgeber die Erreichbarkeit und Tätigkeitsaufnahme mittels BYOD außerhalb der vereinbarten Arbeitszeit an, wenn er diese stillschweigend erwartet und dem Arbeitnehmer Arbeit zuweist, die seine ständige Erreichbarkeit und Arbeitsaufnahme erforderlich macht. Eine Billigung setzt voraus, dass der Arbeitgeber zu erkennen gibt, mit der schon erfolgten „Freizeittätigkeit“ einverstanden zu sein. Die Duldung der ständigen Erreichbarkeit und Tätigkeitsaufnahme bedeutet, dass der Arbeitgeber diese in Kenntnis hinnimmt und keine Vorkehrungen trifft, die arbeits-bezogene erweiterte Erreichbarkeit zu unterbinden, also nicht gegen entsprechende Tätigkeitsaufnahmen einschreitet, sondern sie vielmehr weiterhin entgegennimmt. 49  Schlegel,



C. Arbeitszeitrecht57

ee) Zwischenergebnis Die arbeitszeitrechtliche Problematik der ständigen Erreichbarkeit und Arbeitsaufnahme außerhalb der regulären Arbeitszeit ohne entsprechende ausdrückliche Anordnung durch den Arbeitgeber lässt sich sachgerecht nur über das Kriterium der Zurechenbarkeit lösen. Dabei sind die Überlegungen des BAG zur Geltendmachung der Überstundenvergütung nutzbar zu machen, so dass die Zurechenbarkeit nicht nur bei einer ausdrücklichen Anordnung zu bejahen ist, sondern auch dann, wenn der Arbeitgeber die Erreichbarkeit und Arbeitsaufnahme konkludent angeordnet, gebilligt oder zumindest geduldet hat. Hinsichtlich der aus der Zurechenbarkeit resultierenden arbeitszeit- und vergütungsrechtlichen Folgen können die Grundsätze der Rufbereitschaft entsprechend angewandt werden. II. Arbeitszeit- und vergütungsrechtliche Folgen 1. Höchstarbeitszeit und Aufzeichnungspflicht Hat der Arbeitgeber die Erreichbarkeit des Arbeitnehmers ausdrücklich angeordnet oder ist die entsprechende Zurechenbarkeit im oben genannten Sinn zu bejahen, so ist die Zeit der tatsächlichen Tätigkeit als Arbeitszeit i. S. d. ArbZG zu bewerten und einem vorausgehenden oder nachfolgenden Arbeitseinsatz hinzuzurechnen. Sie muss bei der gesetzlichen Höchstarbeitszeit gem.§ 3 S. 1 ArbZG berücksichtigt werden, wonach die werktägliche Arbeitszeit von acht Stunden nicht überschritten werden darf. Werktag ist jeder Tag, der nicht Sonn- oder gesetzlicher Feiertag ist.51 Auch der Samstag ist ein Werktag, unabhängig davon, ob an ihm üblicherweise gearbeitet wird oder nicht.52 Eine Verlängerung der werktäglichen Arbeitszeit auf bis zu 10 Stunden ist gem. § 3 ArbZG möglich, wenn innerhalb von sechs Kalendermonaten oder innerhalb von 24 Wochen im Durchschnitt acht Stunden werktäglich nicht überschritten werden. Verstößt der Arbeitgeber vorsätzlich oder fahrlässig gegen § 3 ArbZG, indem er Arbeitsleistungen während der Freizeit annimmt und hierdurch die Höchstarbeitszeitgrenze überschritten wird, handelt er ordnungswidrig i.  S.  d. § 22 Abs. 1 Nr. 1 ArbZG, was mit einer Geldbuße bis zu fünfzehntausend Euro geahndet werden kann.

51  Baeck / Deutsch, § 3 ArbZG Rn. 14; Vogelsang, in: Schaub Arbeitsrechts-Handbuch, § 158 Rn. 3; Wank, in: ErfK-Arbeitsrecht, § 3 ArbZG Rn. 2. 52  Baeck / Deutsch, § 3 ArbZG Rn. 14; Wank, in: ErfK-Arbeitsrecht, § 3 ArbZG Rn. 2.

58

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

Die über acht Stunden hinausgehende werktägliche Arbeitszeit ist nach § 16 Abs. 2 ArbZG aufzuzeichnen und der zuständigen Behörde nach § 17 Abs. 4 ArbZG auf Verlangen vorzulegen. Das bedeutet nicht, dass der Arbeitgeber die Arbeitszeit persönlich aufzuzeichnen hat, sondern nur, dass ihn die Verantwortung dafür trifft, dass die Aufzeichnungspflicht erfüllt wird.53 Deshalb kann der Arbeitgeber diese im Zusammenhang mit BYOD auch wirksam auf den Arbeitnehmer delegieren, indem er ihn beispielsweise anweist, die entsprechenden Arbeitszeiten, insbesondere Zeitpunkt, Art und Dauer der Tätigkeit, selbst aufzuschreiben.54 In diesem Fall hat der Arbeitgeber allerdings durch geeignete organisatorische Maßnahmen, wie etwa stichprobenartige Kontrollen, sicherzustellen, dass der Arbeitnehmer seiner Anweisung nachkommt.55 2. Ruhezeit gem. § 5 ArbZG Auch die Einhaltung der Ruhezeit nach § 5 Abs. 1 ArbZG ist im Zusammenhang mit BYOD besonders zu berücksichtigen. Ruhezeit im Sinne der Norm ist die Zeit zwischen dem Ende der täglichen Arbeitszeit und ihrem Wiederbeginn56, d. h. der Zeitraum zwischen zwei Arbeitsschichten, in dem der Arbeitnehmer zu keiner Arbeit herangezogen wird.57 Die Ruhezeit muss ununterbrochen elf Stunden betragen. Sollte sie unterbrochen werden, ist dem Arbeitnehmer eine neue, ununterbrochene Ruhezeit von elf Stunden zu gewähren.58 Besonders klärungsbedürftig und umstritten ist, ob auch kurzzeitige, geringfügige BYOD-Einsätze nach Ende der Arbeitszeit – wie z. B. das Versenden einer kurzen E-Mail, ein kurzes dienstliches Telefonat etc. – als Unterbrechungen der Ruhezeit zu bewerten sind und eine erneute 11-Stundenfrist in Gang setzen.

53  Baeck / Deutsch,

§ 16 ArbZG Rn. 28; BeckOK ArbR / Kock ArbZG § 16 Rn. 5. § 16 ArbZG Rn. 28; BeckOK ArbR / Kock ArbZG § 16 Rn. 5; Neumann, in: Landmann / Rohmer, Gewerbeordnung, § 9 ArbZG Rn. 5; Schlottfeldt / Hoff, NZA 2001, 530 (532); Wank, in: ErfK-Arbeitsrecht, § 16 ArbZG Rn. 5. 55  Vgl. nur Schlottfeldt / Hoff, NZA 2001, 530 (532) m. w. N. 56  BAG v. 22.07.2010 – 6 AZR 78 / 09, AP Nr. 14 zu § 1 TVG Tarifverträge: Arzt Rn. 16 = NZA 2010, 1194 (1195); Baeck / Deutsch, § 2 ArbZG Rn. 57; BeckOK ArbR / Kock ArbZG § 5 Rn. 1; Vogelsang, in: Schaub Arbeitsrechts-Handbuch, § 158 Rn. 3; Wank, in: ErfK-Arbeitsrecht, § 5 ArbZG Rn. 1. 57  BAG v. 22.07.2010 – 6 AZR 78 / 09, AP Nr. 14 zu § 1 TVG Tarifverträge: Arzt Rn. 16 = NZA 2010, 1194 (1195); Vogelsang, in: Schaub Arbeitsrechts-Handbuch, § 158 Rn. 3. 58  Gäntgen, in: HWK, § 5 ArbZG Rn. 2; Neumann / Biebl, § 5 ArbZG Rn. 4; Reichold / MünchArbR I, § 36 Rn. 77; Vogelsang, in: Schaub Arbeitsrechts-Handbuch, § 158 Rn. 4. 54  Baeck / Deutsch,



C. Arbeitszeitrecht59

a) Wertender Ansatz: keine Unterbrechung bei sogenannter „nicht nennenswerter Arbeitsleistung“ In der Literatur wird vielfach die Auffassung vertreten, dass die in § 5 ArbZG vorgeschriebene Ruhezeit bei „nicht nennenswerter Arbeitsleistungen“ nicht anrechnungsrelevant unterbrochen werde.59 Wesen und Zweck des § 5 ArbZG sei es, dem Arbeitnehmer eine hinreichende Erholung zu gewähren und ihn vor Überbeanspruchung zu schützen.60 Mit Blick auf diesen Normzweck seien in „jeder Hinsicht geringfügige Unterbrechungen“, wie etwa eine kurze Terminbestätigung per E-Mail oder eine telefonische Auskunft, bei denen eine Erholung des Arbeitnehmers unverändert gewährleistet sei, nicht zu berücksichtigen.61 Solche Unterbrechungen habe der Gesetzgeber mit der Regelung des § 5 ArbZG nicht im Blick gehabt. Es sei eine Erheblichkeitsschwelle anzusetzen, unterhalb derer keine die Ruhezeit unterbrechende Arbeit angenommen werden könne62, zumal dem öffentlichen Recht Wertungsspielräume durchaus bekannt seien, was eine Vielzahl von Ermessensvorschriften deutlich zeige.63 Eine gegenteilige Sichtweise würde flexible Arbeitszeitgestaltungen unmöglich machen, wäre für die Praxis kaum handhabbar64 und berücksichtige die neuen Kommunikationsmöglichkeiten nur unzureichend. b) Anrechnungsrelevante Unterbrechung Die Gegenauffassung65 bewertet kurze und geringfügige Arbeitsleitungen als anrechnungsrelevante Unterbrechungen. Selbst wenn diese einzeln und für sich genommen den Schutzzweck der Ruhezeit regelmäßig nicht beeinträchtigen würden, finde eine Erheblichkeitsschwelle dennoch keine Stütze im Gesetzeswortlaut und sei zudem völlig unpraktikabel.66 Auf welche 59  Baeck / Deutsch, § 5 ArbZG Rn. 14; Bissels / Domke / Wisskirchen, DB 2010, 2052 (2054); Gäntgen, in: HWK, § 5 ArbZG Rn. 2; Reinhard, ArbRB 2010, 186 (188); v. Steinau-Steinrück, NJW-Spezial 2012, 178. 60  BAG v. 22.07.2010 – 6 AZR 78 / 09, AP Nr. 14 zu § 1 TVG Tarifverträge: Arzt Rn. 16 = NZA 2010, 1194 (1196); Reinhard, ArbRB 2010, 186 (188). 61  Bissels / Domke / Wisskirchen, DB 2010, 2052 (2054). 62  Bissels / Domke / Wisskirchen, DB 2010, 2052 (2054); Wichert, in: AnwaltKommentar ArbR I, § 5 ArbZG Rn. 7. 63  Reinhard, ArbRB 2010, 186 (187 f.). 64  So Reinhard, ArbRB 2010, 186 (188). 65  Anzinger / MünchArbR II, § 299 Rn. 3; Falder, NZA 2010, 1150 (1152); Gaul, DB 2013, 60 (61 f.); BeckOK ArbR / Kock ArbZG § 5 Rn. 1; Zöll / Kielkowski, BB 2012, 2625 (2628). 66  Zöll / Kielkowski, BB 2012, 2625 (2628).

60

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

Kriterien zur Bestimmung der Geringfügigkeit abzustellen sei, hänge stark vom jeweiligen Einzelfall ab und werde in erster Linie durch individuelle Faktoren bestimmt, wie beispielsweise der Schreib- bzw. Tippgeschwindigkeit.67 Verlässliche, allgemeingültige und rechtssichere Wertungen ließen sich damit nicht treffen. Darüber hinaus sei es systemwidrig, geringfügige und kurzfristige Tätigkeiten bei der Bewertung der Arbeitszeit auf die gesetzliche Höchstarbeitszeit anzurechnen, andererseits aber bei Unterbrechungen der Ruhezeit danach zu unterscheiden, ob diese „nennenswerte“ oder nicht „nennenswerte Arbeitsleistung“ darstellen.68 Dies gelte umso mehr seit der Einordnung von Bereitschaftsdiensten als Arbeitszeit.69 c) Stellungnahme Den Vertretern des wertenden Ansatzes ist zuzugeben, dass sie durch das Erfordernis der Überschreitung einer Erheblichkeitsschwelle eine Lösung dahingehend erzielen, dass Betriebsablaufstörungen, die sich aus einem entsprechend späteren Beginn der Arbeitszeit am Folgetag ergeben, unterbunden werden. Dennoch überzeugt dieser Ansatz aus Gründen der Rechtssicherheit und Widerspruchsfreiheit im Ergebnis nicht. Nach dem ArbZG kann die Tätigkeitsentfaltung entweder nur der Ruhezeit oder nur der Arbeitszeit zugerechnet werden, nicht aber beiden gleichzeitig. Vereinfacht lässt sich auch sagen: Was Arbeitszeit ist, kann nicht Ruhezeit sein, wie Ruhezeit keine Arbeitszeit sein kann. Nach der Rechtsprechung des EuGH70 ist der Begriff der Arbeitszeit im Gegensatz zur Ruhezeit zu sehen, und beide Begriffe schließen einander aus. Wenn geringfügige und kurzfristige Tätigkeiten bei der Bewertung der Arbeitszeit auf die gesetzliche Höchstarbeitszeit angerechnet, gleichzeitig aber auch als nicht anrechnungsrelevante Unterbrechungen der Ruhezeit bewertet würden, so wäre dies nicht nur systemwidrig, sondern würde auch zwangsläufig zur Anerkennung einer arbeitszeitrechtlichen Zwischenform führen, die weder unter die anerkannten Arbeitszeitformen zu subsumieren noch mit dem geltenden Arbeitszeitrecht in Einklang zu bringen wäre. Dieses kennt keine Zwischenkategorie von Arbeitszeit und Ruhezeit.71

67  Falder,

NZA 2010, 1150 (1152). ArbR / Kock ArbZG § 5 Rn. 7; Falder, NZA 2010, 1150 (1152). 69  BeckOK ArbR / Kock ArbZG § 5 Rn. 7; Falder, NZA 2010, 1150 (1152). 70  EuGH v. 03.10.2000  – Rs. C 303 / 98  – Simap = NZA 2000, 1227 (1230 Rn. 47); 09.09.2003  – Rs. C-151 / 02  – Jaeger = NZA 2003, 1019 (1021 Rn. 48). 68  BeckOK



C. Arbeitszeitrecht61

Gegen das Erfordernis einer Erheblichkeitsschwelle sprechen des Weiteren auch die Feststellungen des EuGH zum Begriff der Ruhezeit i. S. der RL  93 / 104, der § 5  ArbZG zugrunde liegt. Ruhezeiten sind dadurch gekennzeichnet, „[…] dass der Arbeitnehmer während dieser Zeiten gegenüber seinem Arbeitgeber keiner Verpflichtung unterliegt, die ihn daran hindern kann, frei und ohne Unterbrechung seinen eigenen Interessen nachzugehen“72. Der Gerichtshof stellt erkennbar nicht darauf ab, ob die Tätigkeitsaufnahme als „nennenswert“ einzustufen ist und dass deshalb eine gewisse Erheblichkeitsschwelle überschritten wird, sondern darauf, ob der Arbeitnehmer gehindert wird, frei und ohne Unterbrechung seinen eigenen Interessen nachzugehen. Dieses Kriterium ist bedeutend weiter gefasst und schließt auch „geringfügige“ und „nicht nennenswerte Arbeitsleistungen“ mit ein. Denn auch bei nur kurzfristigen Tätigkeiten kann der Arbeitnehmer durchaus gehindert sein, frei und ohne Unterbrechung seinen eigenen Interessen nachzugehen, so beispielsweise dann, wenn er sich mit kontroversen betrieb­ lichen Themen zu befassen hat und dem Versenden einer kurzen Email längere gedankliche Vorarbeiten vorausgehen. Deshalb vermag auch das Argument nicht zu überzeugen, dass der mit der Ruhezeit verfolgte Erholungszweck bei geringfügigen Tätigkeiten nicht beeinträchtigt würde, lässt es doch die notwendig zu berücksichtigenden Begleitumstände völlig außer Acht und ist damit zumindest insoweit zu pauschal. Entscheidend gegen das Kriterium der „Erheblichkeitsschwelle“ spricht schließlich aber die Rechtsdogmatik. Völlig ungeklärt bliebe bei deren Anwendung die Frage, wann sie konkret überschritten sein soll und ob bei mehreren, sich häufenden kurzfristigen Tätigkeiten jede Tätigkeitsaufnahme für sich zu betrachten ist oder ob die Kumulation der erbrachten Arbeitsleistungen entscheidend sein soll. Die dabei stets vorgeschlagene Einteilung in „nicht nennenswerte“ bzw. „geringfügige Arbeitsleistung“ einerseits und „anrechnungsrelevante“, „nennenswerte“ Arbeitsleistung andererseits vermag dies nicht zu beantworten. Ihr fehlen verlässliche, aus der Rechtsordnung ableitbare rechtliche Maßstäbe, die ein Mindestmaß an Rechtssicherheit gewährleisten, weshalb die Begriffe insgesamt kaum justiziabel sind, zumindest aber eine Kasuistik herauf beschwören, die angesichts des ordnungs- und strafrechtlichen Charakters, den § 5 ArbZG i. V. m. § 22 Abs. 1 Nr. 3 ArbZG bzw. § 23 ArbZG erfährt, nicht hinnehmbar ist. Das erkennen teilweise auch die Vertreter des wertenden Ansatzes, wenn sie einräumen, dass „die Grenzen zwischen unbedeutenden Unterbrechungen der Ruhezei71  EuGH v. 01.12.2005  – Rs. C-14 / 04  – Abdelkader Dellas u.a / Premier ministre = NZA 2006, 89 (90 Rn. 43). 72  EuGH v. 09.09.2003  – Rs. C-151 / 02  – Jaeger = NZA 2003, 1019 (1024 Rn. 94); 01.12.2005  – Rs. C-14 / 04  – Abdelkader Dellas u.a / Premier ministre = NZA 2006, 89 (90 Rn. 43).

62

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

ten und arbeitszeitrechtlich erheblichen Arbeiten insbesondere beim Einsatz mobiler Technologien fließend [sind], zumal auch ein kurzes Telefonat oder eine knappe E-Mail oftmals zumindest gedankliche Vorarbeiten erfordern“73. Konsequenterweise muss dann aber jede Form der Arbeitsleistung unabhängig von ihrem zeitlichen Umfang, ihrem physischen Kraftaufwand oder ihrer betrieblichen Bedeutung als anrechnungsrelevant bewertet werden.74 3. Sonn- und Feiertagsruhe Nach § 9 Abs. 1 ArbZG dürfen Arbeitnehmer an Sonn- und gesetzlichen Feiertagen von 0 bis 24 Uhr nicht beschäftigt werden. Ausnahmen sind nur durch oder aufgrund des ArbZG möglich (§§ 10 ff.). Zweck des Beschäftigungsverbots ist der Schutz von Arbeitnehmern, indem ihnen arbeitsfreie Sonn- und Feiertage zur Erholung und Entspannung gewährt werden.75 Darüber hinaus ist es eine einfachgesetzliche Ausprägung des in Art. 140 GG i. V. mit Art. 139 WRV enthaltenen verfassungsrechtlichen Grundsatzes, wonach der Sonntag und die staatlich anerkannten Feiertage als Tage der Arbeitsruhe und der seelischen Erhebung zu schützen sind.76 Das Beschäftigungsverbot umfasst jede Art der Tätigkeit, also auch eine Beschäftigung in Form von Arbeitsbereitschaft, Bereitschaftsdienst und Rufbereitschaft.77 Selbst freiwillig angebotene Arbeitsleistungen des Arbeitnehmers mittels BYOD darf der Arbeitgeber nicht annehmen, er darf sie weder zulassen noch dulden.78 Deshalb wird ein bloßes Verbot der dienstlichen Nutzung des eigenen Device an Sonn- und Feiertagen häufig kaum genügen, um dem Beschäftigungsverbot hinreichend Rechnung zu tragen. Der Arbeitgeber hat 73  Gäntgen,

in: HWK, § 5 ArbZG Rn. 2. NZA 2010, 1150 (1152). 75  BVerwG v. 19.09.2000  – 1 C 17 / 99, AP Nr. 1 zu § 10 ArbZG Bl.  2 R = NZA 2000, 1232 (1233); Baeck / Deutsch, § 9 ArbZG Rn. 5; Falder, NZA 2010, 1150 (1153). 76  BVerwG v. 19.09.2000  – 1 C 17 / 99, AP Nr. 1 zu § 10 ArbZG Bl.  3 = NZA 2000, 1232 (1233); BAG v. 15.09.2009  – 9 AZR 757 / 08, AP Nr. 7 zu § 106 GewO Rn. 35 = NZA 2009, 1333 (1335); Baeck / Deutsch, § 9 ArbZG Rn. 3; Neumann / Biebl, § 9 ArbZG Rn. 1; Preis / Ulber, NZA 2010, 729 (731); Wank, in: ErfK-Arbeitsrecht, § 9 ArbZG Rn. 1. 77  BAG v. 22.09.2005  – 6 AZR 579 / 04, AP Nr. 21 zu § 1 TVG Tarifverträge: Musiker Bl. 3 = NZA 2006, 329 (331); BayObLG v. 22.01.1986 – 3 Ob OWi 136 / 85, AP Nr. 6 zu § 105b GewO Bl.  1 R; Baeck / Deutsch, § 9 ArbZG Rn. 12; BeckOK ArbR / Kock ArbZG § 2 Rn. 5; Neumann / Biebl, § 9 ArbZG Rn. 3; Wank, in: ErfK-Arbeitsrecht, § 9 ArbZG Rn. 1. 78  BayObLG v. 17.09.1981  – 3 Ob OWi 132 / 81, AP Nr. 27 zu § 3 LSchG Bl.  2; Baeck / Deutsch, § 9 ArbZG Rn. 11; Neumann / Biebl, § 9 ArbZG Rn. 3; Wank, in: ErfK-Arbeitsrecht, § 9 ArbZG Rn. 1. 74  Falder,



C. Arbeitszeitrecht63

vielmehr aktiv zu verhindern, dass die Arbeitnehmer eine Arbeitsleistung erbringen. Er hat durch geeignete Maßnahmen sicherzustellen, dass ein Verstoß objektiv unmöglich ist.79 Die im Rahmen des § 5 ArbZG geführte Diskussion, ob auch geringfügige Tätigkeiten, die für sich genommen weder den Erholungszweck noch die öffentliche Ruhe und Ordnung beeinträchtigen, aus dem Anwendungsbereich herauszunehmen sind, stellt sich hier nicht.80 Sämtliche Tätigkeiten unabhängig von ihrem zeitlichen Umfang, ihrem physischen Kraftaufwand oder ihrer betrieblichen Bedeutung sind als Beschäftigung i. S. d. Norm zu verstehen.81 Überwacht der Arbeitgeber die Einhaltung des Beschäftigungsverbots schuldhaft nicht, handelt er ordnungswidrig nach § 22 Abs. 1 Nr. 5 ArbZG, selbst dann, wenn der Arbeitnehmer mit der Sonn- und Feiertagsarbeit einverstanden ist.82 4. Überstunden und Vergütung Hat der Arbeitgeber die Erreichbarkeit und Arbeitsaufnahme mittels BYOD außerhalb der regulären Arbeitszeit angeordnet und ist der Arbeitnehmer daraufhin tätig geworden, ist dies entsprechend den für die Rufbereitschaft geltenden Bestimmungen zu vergüten.83 Gleiches gilt, wenn zwar keine ausdrückliche Anordnung vorliegt, allerdings die Zurechenbarkeit zu bejahen ist.84 Die Anordnung der Verfügbarkeit wird jedoch häufig zu einer Überschreitung der tarif- oder arbeitsvertraglich vereinbarten Arbeitszeitdauer und folglich zu Überstunden85 führen86, die wiederrum entsprechend der arbeits-, tarifvertraglichen oder betriebsverfassungsrechtlichen Regelung zu vergüten sind, sofern sie nicht durch Pauschalierungsklauseln abgegolten wurden. 79  Baeck / Deutsch,

§ 9 ArbZG Rn. 11. auch Falder, NZA 2010, 1150 (1153). 81  In diese Richtung schon BayObLG v. 22.01.1986  – 3 Ob OWi 136 / 85, AP Nr. 6 zu § 105b GewO Bl. 1 R; Baeck / Deutsch, § 9 ArbZG Rn. 12; Neumann, in: Landmann / Rohmer, Gewerbeordnung, § 9 ArbZG Rn. 3. 82  Falder, NZA 2010, 1150 (1153). 83  BAG v. 24.03.2011  – 6 AZR 796 / 09, AP Nr. 61 zu § 611 BGB Kirchendienst Bl. 1 Ls. 4 = NZA 2011, 698 (702); Gragert, in: Moll / Münchener Anwaltshandbuch Arbeitsrecht § 14 Rn. 21; v. Steinau-Steinrück, NJW-Spezial 2012, 178 (179). 84  Seel, MDR 2014, 69 (71). 85  Als Überstunden wird die Arbeit verstanden, die über die vertraglich vereinbarte Arbeitszeit hinaus geleistet wird. Mehrarbeit hingegen bezeichnet die Arbeit, die über die allgemeinen arbeitszeitrechtlichen Grenzen hinaus geleistet wird (vgl. nur Richardi, § 87 BetrVG Rn. 349). Beide Begriffe werden häufig als Synonyme gebraucht. 86  Bissels / Domke / Wisskirchen, DB 2010, 2052 (2054). 80  So

64

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

Fehlt es an einer wirksamen Vergütungsregelung, ist auf die Vorschrift des § 612 Abs. 1 BGB zurückzugreifen. Eine Vergütung gilt danach als stillschweigend vereinbart, wenn das Ableisten der Überstunden den Umständen nach nur gegen eine Vergütung zu erwarten ist. Das ist nach der Rechtsprechung des BAG87 anhand eines objektiven Maßstabs unter Berücksichtigung der Verkehrssitte, der Art, des Umfangs und der Dauer der Dienstleistung sowie der Stellung der Beteiligten zueinander festzustellen, ohne dass es auf deren persönliche Meinung ankäme. Sie kann sich insbesondere daraus ergeben, dass im betreffenden Wirtschaftsbereich Tarifverträge gelten, die für vergleichbare Arbeiten eine Vergütung von Überstunden vorsehen. An der objektiven Erwartung einer besonderen Vergütung von Überstunden wird es regelmäßig fehlen, wenn arbeitszeitbezogene und arbeitszeitunabhängig vergütete Arbeitsleistungen zeitlich verschränkt oder Dienste höherer Art geschuldet sind oder insgesamt eine deutlich herausgehobene Vergütung gezahlt wird. Von letztem Fall kann dann ausgegangen werden, wenn das Entgelt die Beitragsbemessungsgrenze in der gesetzlichen Rentenversicherung überschreitet.88 Diese liegt 2015 in den neuen Bundesländern bei einem monatlichen Einkommen von 6.050 € (Jahreseinkommen: 72.600 €), in den alten Bundesländern bei einem monatlichen Einkommen von 5.200 € (Jahreseinkommen: 62.400 €).89 Gerade Arbeitnehmer in dieser Fallgruppe der „Hochlohnarbeitsverhältnisse“90 machen am häufigsten Gebrauch von BYOD. Ihnen stünde ohne entsprechende ausdrückliche Regelung regelmäßig kein Anspruch auf Überstundenvergütung zu. III. Folgerungen für die BYOD-Nutzungsvereinbarung Mit der Einordnung der Tätigkeitsaufnahme während der Freizeit als Arbeitszeit geht die latente Gefahr möglicher arbeitszeitrechtlicher Verstöße einher. Weil der Arbeitgeber als Adressat der öffentlich-rechtlichen Schutzvorschriften des ArbZG dafür verantwortlich ist, dass die gesetzlichen Vorgaben eingehalten werden, sind arbeitszeitrechtliche Regelungen in einer BYOD-Nutzungsvereinbarung unerlässlich. In Betrieben mit Betriebsrat muss dabei stets das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 2 und Nr. 3 87  BAG v. 17.08.2011 − 5 AZR 406 / 10, AP Nr. 55 zu § 307 BGB Rn. 20 = NZA 2011, 1335 (1337); 22.02.2012  – 5 AZR 765 / 10, AP Nr. 75 zu § 612 BGB Rn. 21 = NZA 2012, 861 (862). 88  BAG v. 22.02.2012  – 5 AZR 765 / 10, AP Nr. 75 zu § 612 BGB Rn. 21 = NZA 2012, 861 (862). 89  Abrufbar unter: http: // www.bundesregierung.de / Content / DE / Artikel / 2014 / 10 /  2014-10-15-rechengroessen-sozialversicherung.html [zuletzt abgerufen am 06.09. 2015]. 90  Salamon / Hoppe / Rogge, BB 2013, 1720 (1722).



C. Arbeitszeitrecht65

BetrVG91 beachtet werden. Zusammenfassend lässt sich Folgendes festhalten: In der BYOD-Vereinbarung müssen klare und eindeutige Regelungen enthalten sein, ob und inwieweit der Arbeitgeber die Erreichbarkeit und Arbeitsaufnahme außerhalb der vereinbarten Arbeitszeit erwartet und ob der Arbeitnehmer verpflichtet ist, entsprechende dienstliche Tätigkeiten zu erledigen. Eine solche Verpflichtung ist – schon aufgrund einer möglichen Überschreitung der gesetzlichen Höchstarbeitszeitgrenze aus § 3 ArbZG – tunlichst auf Ausnahmefälle zu beschränken, denen eine ausdrückliche arbeitgeberseitige Anordnung vorauszugehen hat. Wie eine entsprechende Regelung formuliert werden kann, ist der Muster-BYOD-Nutzungsvereinbarung im Anhang dieser Arbeit zu entnehmen. Der Arbeitgeber hat die Einhaltung der Regelung zu kontrollieren. Er hat sicherzustellen, dass Arbeitnehmer keine Arbeitsleistung außerhalb der vereinbarten Arbeitszeit erbringen. Verstößen darf er nicht bloß „tatenlos zuschauen“92, sondern hat erforderlichenfalls aktiv korrigierend einzugreifen und zumutbare Möglichkeiten auszuschöpfen, die eine Entgegennahme von Arbeitsleistungen verhindern. Hierzu kann gegebenenfalls gehören, dass die betrieblichen Kommunikationseinrichtungen bei Erreichen des Arbeitszeitendes abgestellt werden.93 So wurde beispielsweise schon bei der Volkswagen AG eine Abschaltung des Mail-Servers während des Zeitfensters von 18.15 Uhr bis 7.00 Uhr und an Wochenenden durch Betriebsvereinbarung festgelegt.94 Nimmt der Arbeitgeber die Arbeitsleistung dennoch entgegen, handelt es sich um eine unzulässige Billigung bzw. Duldung, die – sollten die Arbeitszeitgrenzen betriebsverfassungsrechtlich geregelt worden sein – einen entsprechenden Unterlassungsanspruch des Betriebsrats rechtfertigen würde.95 Zusätzlich sind auch Regelungen für ungeplante dienstliche Kontakt- und Inanspruchnahmen sinnvoll. Bei deren konkreter Ausgestaltung ist stets zu berücksichtigen, dass sie den Vereinbarungen zur arbeitsbezogenen erweiterten Erreichbarkeit nicht widersprechen und nicht dazu führen, dass diese 91  Siehe

hierzu ausführlich Kapitel 2 § 5 II. v. 06.05.2003  – 1 ABR 13 / 02, AP Nr. 61 zu § 80 BetrVG 1972 Bl.  6 = NZA 2003, 1348; 29.04.2004  – 1 ABR 30 / 02, AP Nr. 3 zu § 77 BetrVG 1972 Durchführung Bl. 11 = NZA 2004, 670 (677). 93  LAG Köln 08.02.2010  – 5 TaBV 28 / 09 = NZA-RR 2010, 303 (305). 94  Abgedruckt bei Rudolph, AiB 2012, 378 (379). 95  So im Fall des BAG v. 29.04.2004  – 1 ABR 30 / 02, AP Nr. 3 zu § 77 BetrVG 1972 Durchführung = NZA 2004, 670 (677); siehe hierzu auch LAG Köln 08.02.2010  – 5 TaBV 28 / 09 = NZA-RR 2010, 303; ArbG Berlin 22.03.2012 – 54 BV 7072 / 11. 92  BAG

66

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

unterlaufen werden. Sie sind folglich nur auf solche Ausnahme- und Notsituationen zu beschränken, in welchen die Erledigung der Arbeitsaufgabe dringlich notwendig ist und sich unter keinen Umständen auf den nächsten Dienstbeginn verschieben lässt. Je mehr die Inanspruchnahme die vereinbarte Arbeitszeit übersteigt, umso höher sind die Anforderungen an die dienstliche Notwendigkeit zu stellen. Die entsprechenden Regelungen sollten auch klare Vorgaben enthalten, wann von einer Ausnahmesituation ausgegangen werden darf, welche Beschäftigten in welcher Reihenfolge gegebenenfalls zu kontaktieren sind und wie die Kontaktaufnahme zu gestalten ist, um die Inanspruchnahme des Arbeitnehmers möglichst gering zu halten. Eine der in diesem Zusammenhang detailliertesten Regelungen wurde im Mai 2013 im Bundesministerium für Arbeit und Soziales zwischen dem Personalrat und der Leitung des Hauses vereinbart.96 Auch wenn diese sicherlich nicht als Mustervorlage dienen können, enthalten sie doch durchaus Bestimmungen, die bei einer individuellen, unternehmensbezogenen Lösungsfindung herangezogen werden können, weshalb an dieser Stelle ausdrücklich auf die dort genannten Inhalte verwiesen wird.

D. Arbeitsschutzgesetz und Bildschirmarbeitsverordnung Wenig Beachtung in der arbeitsrechtlichen Literatur fanden bisher die Anknüpfungspunkte von BYOD im Zusammenhang mit dem ArbSchG und der BildschirmarbV.97 Auch wenn die darin enthaltenen Vorschriften keiner inhaltlichen Konkretisierung und Regelung in der zwischen dem Arbeitgeber und Arbeitnehmer zu vereinbarenden BYOD-Nutzungsvereinbarung bedürfen, sind sie bei der BYOD-Konzeptionierung dennoch vom Arbeitgeber zu berücksichtigen. I. Arbeitsschutzgesetz (ArbSchG) Nach der amtlichen Überschrift normiert § 3 ArbSchG, die „Grundpflichten des Arbeitgebers“ im Arbeitsschutz.98 Nach Abs. 1 S. 1 hat er die erforderlichen Maßnahmen des Arbeitsschutzes unter Berücksichtigung der Umstände zu treffen, welche die Sicherheit und Gesundheit der Beschäftigten bei der Arbeit beeinflussen. Neben diesen Grundpflichten enthält § 4 ArbSchG allgemeine Vorgaben, an welchen Grundsätzen der Arbeitsschutz 96  „Regeln zur ausnahmsweisen Erreichbarkeit außerhalb der individuellen Arbeitszeit“ abgedruckt bei: Schlegel, NZA Beilage 2014 Heft 1, 16 (21 f.). 97  Salamon, COMPACT Special 2013, 4 (6). 98  Kothe, in: Kollmer / Klindt-ArbSchG § 3 Rn. 1.



D. Arbeitsschutzgesetz und Bildschirmarbeitsverordnung67

auszurichten ist.99 Um diesen Verpflichtungen und Vorgaben nachzukommen, hat der Arbeitgeber gemäß § 5 ArbSchG die für die Beschäftigten mit ihrer Arbeit verbundenen Gefährdungen für ihre Sicherheit und Gesundheit zu ermitteln. Diese Gefährdungsbeurteilungen sind das wichtigste Einfallstor für den Arbeitsschutz bei der BYOD-Konzeptionierung sowie zur Ini­ tiierung späterer Verbesserungsvorschläge. Sie erstrecken sich auf alle gefahrträchtigen Umstände und die durch BYOD verursachten Arbeitsbelastungen. Zu denken ist besonders an ungünstige ergonomische Arbeitshaltungen und die Bedingungen der Bildschirmarbeit (etwa Beleuchtung, Bildschirmbeschaffenheit und -größe).100 Ebenfalls zu berücksichtigen sind psychische Belastungen der Arbeitnehmer, auf die angesichts der sich mit BYOD verstärkenden Problematik der arbeitsbezogenen erweiterten Erreichbarkeit und der damit einhergehenden Gesundheitsgefährdungen (etwa Burn-Out) sogar besonders zu achten ist.101 Zu deren Ermittlung und Untersuchung können die Handlungskonzepte, Richtlinien, Überlegungen und Checklisten der European Agency for Saftey and Health at Work102 oder der GDA103 nutzbar gemacht werden, genauso wie für die an das Unter­ suchungsergebnis anknüpfende Planung und Durchführung der konkreten Arbeitsschutzmaßnahmen.104 Einen weiteren wichtigen Anknüpfungspunkt bietet zusätzlich § 12 ArbSchG, nach dem der Arbeitgeber die Beschäftigten über Sicherheit und Gesundheitsschutz bei der Arbeit während der Arbeitszeit ausreichend und angemessen zu unterweisen hat. Ein Verstoß des Arbeitgebers gegen seine Verpflichtungen aus dem ArbSchG erfüllt keinen Ordnungswidrigkeiten- oder Straftatbestand. Der Arbeitgeber handelt vielmehr nur dann ordnungswidrig, wenn er gem. § 25 Abs. 1 Nr. 2 i. V. m. § 22 Abs. 3 ArbSchG einer vollziehbaren Anordnung der zuständigen Behörde zuwiderhandelt. Angesichts dessen ist es wenig verwunderlich, dass nur in deutlich weniger als der Hälfte aller Betriebe umfassende Gefährdungsbeurteilungen durchgeführt werden.105 99  Poeche / Küttner-Personalbuch,

Arbeitssicherheit / Arbeitsschutz Rn. 9. NZA 2013, 246 (248). 101  Siehe zu der Problematik der arbeitsbezogenen ständigen Erreichbarkeit und den damit einhergehenden gesundheitsgefährdenden psychischen Belastungen Martin, AiB 2010, 241 ff.; Lenhardt / Ertel / Morschhäuser, WSI-Mitteilungen 7 / 2010 S. 337; Rudolph, AiB 2012, 378 (379); Stoppkotte / Stiel, AiB 2011, 423. 102  European Agency for Saftey and Health at Work: Risk Assessment Tool. 103  Leitlinie Beratung und Überwachung bei psychischer Belastung am Arbeitsplatz v. 24.09.2012. 104  Vgl. hierzu auch Gaul, DB 2013, 60 (64), der zusätzlich auf die Gesichtspunkte der §§ 6 ff. der „Anti-Stress-Verordnung“ der IG-Metall verweist. 105  Kothe, Psychische Belastungen und arbeitsbedingter Stress – Mögliche rechtliche und sonstige Regulierungen S. 22. 100  Oberthür,

68

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

II. Bildschirmarbeitsverordnung (BildschirmarbV) Mit der Bildschirmarbeitsverordnung wurde die Richtlinie 90 / 270 / EW vom 29.05.1990 über die Mindestvorschriften für die Sicherheit und den Gesundheitsschutz bei der Arbeit an Bildschirmarbeitsgeräten umgesetzt. Für Arbeitsplätze mit Bildschirmen ist sie eine „Sonder-Arbeitsstätten-Ver­ ordnung“106. Ihr sachlicher Anwendungsbereich ist weit gefasst. Ausgenommen sind gem. § 1 Abs. 2 Nr. 4 BildschirmarbV allerdings „Bildschirmgeräte für den ortsveränderlichen Gebrauch, sofern sie nicht regelmäßig an einem Arbeitsplatz eingesetzt werden“. Zu den „Bildschirmgeräten für den ortsveränderlichen Gebrauch“ zählen insbesondere Laptops, Notebooks, Smartphones und Tablet PCs.107 Solange die mobilen privaten IT-Geräte nur sporadisch am Arbeitsplatz benutzt werden und ihr Einsatz nach der Arbeitsplatzbeschreibung nicht an einem festen Arbeitsplatz vorgesehen ist, sind sie von dieser Ausnahmebestimmung erfasst.108 Das kann insbesondere beim optionalen BYOD-Konzept der Fall sein, wenn die eigenen Geräte nur gelegentlich neben den sonst vom Arbeitgeber zu Verfügung gestellten zum Einsatz kommen. Hier bedürfte die BildschirmarbV keiner weiteren Berücksichtigung. Werden die mobilen IT-Geräte wie beim betriebsmittelersetzenden BYOD hingegen dauerhaft am eingerichteten Arbeitsplatz genutzt, greift die Ausnahmeregel nicht ein. Ein Bildschirmarbeitsplatz i. S. d. Verordnung liegt vor, auch wenn diese eine dauerhafte Büroverwendung solcher Geräte auszuschließen bezweckt. Denn diese erfüllen regelmäßig gerade nicht die ergonomischen Anforderungen bezüglich der Tastaturausführung, der Trennung von Tastatur und Bildschirm oder der Qualität der Zeichendarstellung.109 Deshalb ist es beim betriebsmittelersetzenden BYOD geboten, die mitarbeitereigenen Laptops, Notebooks und – soweit möglich – auch Tablet PCs mit zusätzlichen Bildschirmen, externen Tastaturen sowie höhenverstellbaren Standfüßen auszustatten. Verstöße gegen die BildschirmarbV erfüllen jedoch ebenfalls keinen Ordnungswidrigkeiten- oder Straftatbestand. Der Arbeitgeber handelt nach § 25 Abs. 1 Nr. 2 ArbSchG i. V. m. § 22 Abs. 3 ArbSchG vielmehr nur dann ordnungswidrig, wenn er einer vollziehbaren Anordnung der zuständigen 106  Rieble / Picker,

ZfA 2013, 383 (391). Bildschirmarbeitsverordnung, § 2 Rn. 2. 108  Aufhauser, Bildschirmarbeitsverordnung, § 2 Rn. 2; Rieble / Picker, ZfA 2013, 383 (391). 109  Aufhauser, Bildschirmarbeitsverordnung, § 2 Rn. 4; vor allem aber Länderausschluss für Arbeitsschutz und Sicherheitstechnik, Bildschirmarbeitsverordnung: Auslegungshinweise zu den unbestimmten Rechtsbegriffen, S. 7. 107  Aufhauser,



E. Regelungen zum Kostenersatz69

Behörde zuwiderhandelt, was wohl mit einer der Gründe dafür ist, dass der BildschirmarbV im Zusammenhang mit BYOD bisher keinerlei Beachtung geschenkt wurde.

E. Regelungen zum Kostenersatz Verwendet der Arbeitnehmer sein privates mobiles IT-Gerät zulässigerweise für betriebliche Zwecke, drängt sich für beide Vertragsparteien notwendig die Frage auf, ob hierfür eine Abgeltung in Form eines „Nutzungsentgelts“ zu zahlen ist und wer für den Ersatz der Kosten aufkommt, die durch den zusätzlichen dienstlichen Gebrauch des Geräts und seiner Software sowie für Support, Wartung und Reparatur entstehen. Eine umfassende BYOD- Kostenersatzregelung ist deshalb unerlässlich und aus Rechtssicherheitsgründen dringend geboten. Dabei ist zwischen dem betriebsmittelersetzenden und dem optionalen BYOD zu unterscheiden. I. Betriebsmittelersetzendes BYOD 1. Aufwendungsersatz für die Bereitstellung des Geräts Die auftragsrechtlichen Bestimmungen der §§ 675, 670 BGB enthalten einen allgemeinen rechtlichen Grundsatz, der auch für das Arbeitsverhältnis gilt: Wer im Interesse eines anderen Aufwendungen macht, kann deren Ersatz von demjenigen verlangen, für den er tätig geworden ist.110 In – zumindest entsprechender – Anwendung von §§ 675, 670 BGB kann der Arbeitnehmer Aufwendungen vom Arbeitgeber ersetzt verlangen, die er bei der Arbeitsausführung im Interesse des Arbeitgebers gemacht hat und die nicht schon durch das Arbeitsentgelt abgegolten sind, sofern er diese auf Weisung des Arbeitgebers tätigte oder aber nach verständigem Ermessen subjektiv für erforderlich halten durfte.111 Auf die objektive Erforderlichkeit kommt es nicht an.112Aufwendungen in diesem Sinne sind freiwillige Vermögens110  BAG v. 10.11.1961  – GS 1 / 60, AP Nr. 2 zu § 611 BGB Gefährdungshaftung des Arbeitgebers NJW 1962, 411 (414); 01.02.1963  – 5 AZR 74 / 62, AP Nr. 10 zu § 670 BGB = NJW 1963, 1221; 21.08.1985  – 7 AZR 199 / 83, AP Nr. 19 zu § 618 BGB Bl.  3 R; 19. 05. 1998  – 9 AZR 307 / 96, AP Nr. 22 zu § 611 BGB Croupier = NZA 1999, 38 (39). 111  So schon BAG v. 01.02.1963  – 5 AZR 74 / 62, AP Nr. 10 zu § 670 BGB = NJW 1962 411 (415). Vgl. auch Preis, Arbeitsrecht I, § 51 S. 679; ders. ErfK, § 611 BGB Rn. 555; Schaub, in: Schaub Arbeitsrechts-Handbuch, § 82 Rn. 3. 112  BeckOK ArbR / Joussen BGB § 611 Rn. 226; Preis, in: ErfK-Arbeitsrecht, § 611 BGB Rn. 555; Richardi / Fischinger, in: Staudinger BGB, § 611 Rn. 1069; Schaub, in: Schaub Arbeitsrechts-Handbuch, § 82 Rn. 1.

70

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

opfer, die der Arbeitnehmer zur Ausführung des Auftrags und auf Weisung des Arbeitgebers macht sowie solche, die sich als notwendige Folge der Ausführung ergeben.113 Vereinbaren die Arbeitsvertragsparteien BYOD als Betriebsmittelersatz, weichen sie von der sonst zwischen Arbeitgeber und Arbeitnehmer bestehenden Pflichtenaufteilung ab, wonach der Arbeitgeber die Arbeitsmittel zur Verfügung zu stellen hat. Das Privatgerät tritt an die Stelle des dienstlichen; der Arbeitnehmer wendet eigenes Vermögen im Interesse des Arbeitgebers auf. Diese Aufwendung darf er für erforderlich halten, da ihm dienstliche Geräte zur Erbringung seiner Arbeitsleistung nicht mehr zur Verfügung stehen. Er kann nur noch sein eigenes Gerät verwenden. Diese Bereitstellung des privaten mobilen IT-Geräts ist nicht durch das Arbeitsentgelt abgegolten. Nur was zur selbstverständlichen Einsatzpflicht des Arbeitnehmers bei der Arbeit gehört, wird durch die Vergütungszahlung ausgeglichen.114 In entsprechender Anwendung der auftragsrechtlichen Vorschriften steht dem Arbeitnehmer damit ein Aufwendungsersatzanspruch für die Bereitstellung seines Privatgeräts zu. Aus den oben genannten Gründen und zur Kalkulation der durch BYOD anfallenden Kosten ist es jedoch empfehlenswert, ein Nutzungsentgelt für die Bereitstellung der Geräte zu vereinbaren. Sollte die BYOD-Nutzungsregelung formularmäßig vereinbart werden, ist eine positive Entgeltvereinbarung sogar unverzichtbar. Ohne eine entsprechende Kompensation würde die Verpflichtung zur Bereitstellung der Arbeitsmittel durch den Arbeitnehmer eine unzulässige Übertragung der Kostenlast auf diesen bedeuten und damit eine unangemessene Benachteiligung im Sinne des § 307 Abs. 1 Nr. 1 BGB darstellen.115 Die entsprechende verpflichtende Vertragsklausel wäre unwirksam; die Verpflichtung, mobile IT-Geräte als Arbeitsmittel zur Verfügung zu stellen, verbliebe beim Arbeitgeber. Sinnvollerweise sollte sich die Höhe des zu zahlenden Nutzungsentgelts an den jeweiligen marktüblichen Leasingraten orientieren.116 So kann hinreichend sichergestellt werden, dass die formularmäßige Vereinbarung nicht (auch) an einer unangemessenen 113  BeckOK ArbR / Joussen BGB § 611 Rn. 226; Richardi / Fischinger, in: Staudinger BGB, § 611 Rn. 1081. 114  BAG GS v. 10.11.1961  – GS 1 / 60, AP Nr. 2 zu § 611 BGB Gefährdungshaftung des Arbeitgebers = NJW 1962, 411 (415); 14.10.2003  – 9 AZR 657 / 02, AP Nr. 32 zu § 670 BGB Bl. 3; 16. 10. 2007 – 9 AZR 170 / 07, AP Nr. 34 zu § 670 BGB Rn. 23 = NZA 2008, 1012 (1014). 115  Zöll / Kielkowski, BB 2012, 2625 (2626). 116  Zöll / Kielkowski, BB 2012, 2625 (2626); ebenso Seel, MDR 2014, 69 (70). Bei der Nutzung eines häuslichen Arbeitszimmers zur Telearbeit hatte das BAG einen Aufwendungsersatzanspruch in Höhe des örtlichen Mietwerts angenommen: Urteil v. 14.10.2003  – 9 AZR 657 / 02, AP Nr. 32 zu § 670 BGB = NZA 2004, 604.



E. Regelungen zum Kostenersatz71

Benachteiligung aufgrund einer zu gering bemessenen Gegenleistung scheitert. 2. Aufwendungsersatz für die Nutzung des Geräts Mit der dienstlichen Nutzung des Geräts gehen für den Arbeitnehmer allerdings auch diverse Kosten (in Folgendem als „Betriebskosten“ bezeichnet) einher. Zu nennen sind neben solchen für die zusätzliche Nutzung von Internet und Telefonie auch diejenigen, die bei der Inanspruchnahme von kostenpflichtigen Internetdiensten117 entstehen können oder aber für die Erhöhung der Flatrate, sollte das Datenvolumen angesichts der zusätzlichen gewerblichen Nutzung entsprechend nach oben anzupassen sein. Die dabei jeweils anfallenden Kosten kann der Arbeitnehmer ebenfalls im Wege einer analogen Anwendung der §§ 675, 670 BGB vom Arbeitgeber ersetzt verlangen, wobei eine positive Regelung auch hier schon zu Kalkulationszwecken unerlässlich sein wird. In der Literatur werden hinsichtlich der konkreten Ausgestaltung der Kostenersatzvereinbarung deshalb folgende drei Regelungsvarianten diskutiert: a) Kostenerstattung gegen Einzelnachweis Als eine der häufigsten Regelungen bei der Nutzung privater Handys und Smartphones wird die Kostenerstattung gegen Einzelnachweis genannt.118 Hierdurch soll sichergestellt werden, dass nur diejenigen Kosten erstattet werden, die für die dienstliche Nutzung tatsächlich angefallen sind und dass dem Arbeitgeber keine darüber hinausgehende Kostenlast auferlegt wird. Vollständig außer Acht gelassen wird dabei allerdings, dass eine solche Regelung nur bei so genannten Dual-SIM Handys bzw. Dual-SIM Smartphones praktikabel ist, die auf dem deutschen und europäischen Gerätemarkt immer noch eine Rarität darstellen. Dual-SIM Geräte verfügen über zwei Steckplätze für SIM-Karten, so dass eine Karte ausschließlich für den privaten Gebrauch und die andere nur für den dienstlichen verwendet werden kann.119 Vor jeder telefonischen Verbindung oder Datenübertragung wählt der Arbeitnehmer die entsprechende Karte aus und trennt damit Privates von Dienstlichem. Der Einzelverbindungsnachweis wird für jede Karte separat 117  Zu denken ist dabei z. B. an kostenpflichtige Internetdatenbanken wie Juris oder Beck-Online. 118  Arning / Moos / Becker, CR 2012, 592 (593). 119  Vgl. zu Dual-SIM Geräten allgemein: http: // www.inside-handy.de / news /  30422-zwei-sim-karten-in-einem-geraet-erstklassige-dual-sim-smartphones-sind-indeutschland-mangelware [zuletzt abgerufen am 06.09.2015].

72

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

erstellt. Deshalb listet der Nachweis der dienstlichen SIM-Karte ausschließlich die Kosten für die dienstliche Nutzung auf und ermöglicht so eine schnelle, vergleichsweise einfache und vor allen Dingen vollständige Kostenerstattung. Völlig unpraktikabel hingegen ist eine Kostenerstattung gegen Einzelnachweis bei den hierzulande verbreiteten Mono-SIM Handys bzw. MonoSIM Smartphones. Diese verfügen nur über einen einzigen SIM-Kartenanschluss, über den sowohl die dienstliche als auch die private Nutzung erfolgt. Der Einzelverbindungsnachweis des Telekommunikationsanbieters listet ohne Trennung der privaten von der dienstlichen Nutzung alle Verbindungen und Datenübertragungen auf, was für die Kostenerstattung einen immensen administrativen Aufwand bedeutet: Sämtliche Einzelnachweise müssen durchgesehen werden und private Telefonverbindungen sowie Datenübermittlungen von dienstlichen getrennt werden. In Bezug auf die einzelnen Telefonverbindungen ist diese Trennung zwar mühsam, aber möglich. Der Einzelverbindungsnachweis führt alle gewählten Telefonnummern auf, so dass sich dienstliche und private Telefongespräche ermitteln und unterscheiden lassen. Völlig anders gestaltet sich die Sachlage hingegen in Bezug auf die Datenübertragungen bei der Internetnutzung. Dem Einzelverbindungsnachweis kann in der Regel nur das tatsächlich in Anspruch genommene Datenvolumen entnommen werden, nicht jedoch, um welche Daten es sich gehandelt hat. Die dienstlichen Datenübermittlungen lassen sich deshalb nicht von den privaten unterscheiden, so dass die Kosten für die zusätzliche dienstliche Datenübermittlung faktisch überhaupt nicht ermittelt werden können und sich folglich auch nicht in ihrem tatsächlich angefallenen Umfang erstatten lassen.120 Die Kostenerstattung mittels Einzelverbindungsnachweis erweist sich insoweit als untauglich, und eine entsprechende Klausel wäre aus diesem Grund als unangemessene Benachteiligung des Arbeitnehmers nach § 307 BGB zu bewerten. b) Pauschalvereinbarung Weitaus vorzugswürdiger ist es deshalb, die Aufwandskosten des Arbeitnehmers pauschal zu berücksichtigen.121 Im Gegensatz zu einer Kostenerstattung gegen Einzelnachweis erleichtert das die mühsame Nachweisführung und Nachprüfung122, vermeidet Streitigkeiten und macht BYOD für 120  So im Ergebnis auch Arning / Moos / Becker, CR 2012, 592 (593), jedoch ohne nähere Begründung. 121  Arning / Moos / Becker, CR 2012, 592 (593); Göpfert / Wilke, NZA 2012, 765 (768); Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (758). 122  Koch, in: Schaub Arbeitsrechts-Handbuch, § 82 Rn. 25.



E. Regelungen zum Kostenersatz73

beide Arbeitsvertragsparteien hinsichtlich der Kosten kalkulierbarer. Eine rechtswirksame Pauschalvereinbarung hat zur Folge, dass der Arbeitnehmer den Pauschbetrag verlangen kann, auch wenn seine tatsächlichen Aufwendungen geringer waren, verwehrt ihm aber gleichzeitig, den gegenüber dem Pauschbetrag tatsächlich höheren Aufwand geltend zu machen.123 Bei einer formularmäßigen Vereinbarung muss die Pauschale alle abgegoltenen Aufwendungen genau bezeichnen und so bemessen sein, dass sie die tatsächlich angefallenen Kosten hinreichend deckt. Sollte die Pauschale die Aufwendungen für die Bereitstellung des Geräts (das Nutzungsentgelt) mit abgelten, so muss dies eindeutig aus der Vereinbarung hervorgehen. Pauschbeträge, bei denen damit zu rechnen ist, dass der Ersatzbetrag die zu erwartenden Aufwendungen nicht decken wird, sind regelmäßig als unangemessene Benachteiligung im Sinne des § 307 Abs. 1 Satz 2, Abs. 2 Nr. 1 BGB anzusehen124, da sie den Aufwendungsersatzanspruch faktisch entwerten.125 Für die inhaltliche Ausgestaltung der Pauschalvereinbarung ist es überdies sinnvoll, eine Pflicht des Arbeitgebers zur regelmäßigen Überprüfung und Anpassung der Pauschale an die tatsächlichen Umstände aufzunehmen. Die getroffene Pauschalvereinbarung kann zusätzlich unter einen Änderungs- bzw. Widerrufsvorbehalt gestellt werden, so dass sie später gegebenenfalls auch nach unten hin angepasst werden kann.126 Um deren Unwirksamkeit nach §§ 308 Nr. 4, 307 Abs. 1 und 2 BGB zu vermeiden, bedarf es eines sachlichen Grundes. Dieser muss nach der Rechtsprechung des BAG bereits in der Änderungsklausel beschrieben sein und so konkretisiert werden, dass für den Arbeitnehmer ersichtlich und hinreichend deutlich ist, unter welchen Voraussetzungen er mit einer Änderung zu rechnen hat.127 Die widerrufliche Leistung muss nach Art und Höhe eindeutig sein, damit der Arbeitnehmer erkennen kann, was gegebenenfalls „auf ihn zukommt“.128 An einer fehlenden Ankündigungs- bzw. Auslauffrist für die 123  Griese / Küttner-Personalbuch,

Pauschbeträge Rn. 5. in: Schaub Arbeitsrechts-Handbuch, § 82 Rn. 25; Richardi / Fischinger, in: Staudinger BGB, § 611 Rn. 1081. 125  Däubler, Internet und Arbeitsrecht, § 4 Rn. 210q; Richardi / Fischinger, in: Staudinger BGB, § 611 Rn. 1081. 126  Arning / Moos / Becker, CR 2012, 592 (593); Brachmann, AuA 2013, 680 (682); Koch, ITRB 2012, 35 (38). 127  BAG v. 12.01. 2005 – 5 AZR 364 / 04, AP Nr. 86 zu § 315 BGB = NZA 2005, 465 (467); 11.10.2006 – 5 AZR 721 / 05, AP Nr. 6 zu § 308 BGB Rn. 28; 13.04.2010 – 9 AZR 113 / 09, AP Nr. 8 zu § 308 BGB Rn. 29; 21.03.2012  – 5 AZR 651 / 10, AP Nr. 24 zu § 611 BGB Sachbezüge Rn. 18 = NZA 2012, 616 (617); Hümmerich, NJW 2005, 1759 (1761); Müller-Glöge / MüKo-BGB, § 611 Rn. 442; Richardi / Fischinger, in: Staudinger BGB, § 611 Rn. 440. 128  Vgl. nur BAG v. 12.01.2005 – 5 AZR 364 / 04, AP Nr. 86 zu § 315 BGB = NZA 2005, 465 (468); 11. 10. 2006 – 5 AZR 721 / 05, AP Nr. 6 zu § 308 BGB Rn. 28. 124  Koch,

74

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

Wirkung des Widerrufs kann die Inhaltskontrolle der Vereinbarung hingegen nicht scheitern. Für eine solche Frist gibt es keinen Anhalt im Gesetz. Vielmehr ist die Einräumung einer Auslauffrist bei der Ausübungskontrolle in Betracht zu ziehen.129 Sie muss angemessen sein, vor allem dann, wenn der Arbeitnehmer in der Erwartung, für die dienstliche Nutzung weiterhin eine Pauschale zu erhalten, Dispositionen gegenüber seinem Mobilfunkanbieter getroffen hat.130 Auch wenn eine Pauschalvereinbarung zweifellos eine relativ simple, insbesondere wirksame Kostentragungs- und Erstattungsregelung darstellt, so ist sie langfristig gleichwohl keine Ideallösung – zumindest nicht für den Arbeitnehmer. Vernachlässigt bliebe, dass dessen Telekommunikationsvertrag mit dem Mobilfunkunternehmen in aller Regel keinen Tarif vorsieht, der eine gemischte private und dienstliche Nutzung ermöglicht.131 Die für ihn erbrachten Telekommunikationsdienstleistungen dürfen vielmehr nur im vereinbarten privaten Umfang genutzt werden.132 Werden die Leistungen auch dienstlich in Anspruch genommen, verletzt der Arbeitnehmer seine Vertragspflichten gegenüber seinem Mobilfunkanbieter, was diesen wiederum zu Schadenersatzansprüchen und einer Kündigung aus wichtigem Grund berechtigen würde. Der Arbeitnehmer setzt sich also einem erhöhten Risiko aus, wenn er für den BYOD-Einsatz seinen privaten Telekommunikationsvertrag und die erbrachten Telekommunikationsdienstleistungen auch beruflich in Anspruch nimmt. c) Übernahme des Telekommunikationsvertrages durch den Arbeitgeber Als letzte Kostentragungs- und Erstattungsregelung – wohl auch um in den Genuss der weit besseren Vertragskonditionen für Geschäftskunden zu kommen –, wird deshalb vorgeschlagen, dass der Arbeitgeber den Telekommunikationsvertrag mit dem Mobilfunkanbieter selbst abschließt133 und dem Arbeitnehmer die private Nutzung gestattet. Für diese Nutzungseinräumung kann er dem Arbeitnehmer einen pauschalen Betrag in Rechnung stellen.134 Sollte die Vereinbarung eines pauschalierten Aufwendungsersatzes formular129  BAG v. 12.01.2005  – 5 AZR 364 / 04, AP Nr. 86 zu § 315 BGB = NJW 2005, 1820 (1821); 11.10.2006  – 5 AZR 721 / 05, AP Nr. 6 zu § 308 BGB Rn. 28 = NJW 2007, 536 (538); 21.03.2012  – 5 AZR 651 / 10, AP Nr. 24 zu § 611 BGB Sachbezüge Rn. 18 = NZA 2012, 616 (617); Lembke, BB 2007, 1624 (1628). 130  Arning / Moos / Becker, CR 2012, 592 (593 f.). 131  Imping / Pohle, K&R 2012, 470 (474). Vgl. hierzu auch Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 91. 132  Imping / Pohle, K&R 2012, 470 (474). 133  Dem Arbeitnehmer also eine dienstliche SIM-Karte stellt. 134  Göpfert / Wilke, NZA 2012, 765 (768).



E. Regelungen zum Kostenersatz75

mäßig getroffen werden, ist wiederum die Rechtsprechung des BAG zu berücksichtigen, wonach die Regelungen über Schadenersatzpauschalen (Rechtsgedanke des § 309 Nr. 5 lit. B BGB) entsprechend anzuwenden sind.135 Danach ist ein pauschalierter Anspruch auf Aufwendungsersatz wegen unangemessener Benachteiligung nach § 307 Abs. 1 Satz 1 BGB unwirksam, wenn der Arbeitnehmer nicht berechtigt sein sollte, den Nachweis eines fehlenden oder wesentlich geringeren Anspruchs zu führen.136 3. Support und Wartung Zusätzlich zu den allgemeinen Betriebskosten für Gerät und Software können dem Arbeitnehmer auch Kosten für Support, Wartung und Reparatur entstehen. Diese sind nach §§ 670, 675 BGB analog grundsätzlich vom Arbeitgeber zu ersetzen. Sie können aber auch in einer Pauschalvereinbarung mit abgegolten werden, sofern sie in dieser ausdrücklich bezeichnet sind.137 In Anlehnung an die Regelung zur Übernahme des Telekommunikationsvertrages ist allerdings auch eine Vereinbarung denkbar, wonach der Arbeitgeber Support, Wartung und Reparatur sowie die daraus resultierenden Kosten übernimmt. Sie bietet sich vornehmlich dann an, wenn der Arbeitgeber ohnehin einen eigenen innerbetrieblichen technischen Wartungs-, Support- und Reparaturservice unterhält, setzt jedoch voraus, dass sich der Arbeitnehmer damit einverstanden erklärt, gibt er doch damit sein Privatgerät und die darauf enthaltenen privaten Daten in die Hand des Arbeitgebers. Stellt der Arbeitgeber den Service des innerbetrieblichen Techniksupports für BYOD nicht zur Verfügung, hat der Arbeitnehmer keinen Anspruch auf dessen Nutzung. Er kann nicht verlangen, dass Wartung, Reparatur und Support durch den internen Servicedienst erfolgen. Auch wenn der Arbeitgeber für eventuelle Kosten aufzukommen hat, kann daraus nicht geschlossen werden, dass er diese durch seinen betriebseigenen Servicedienst vorzunehmen hat. Der Arbeitgeber schuldet nach §§ 670, 675 BGB nur den Ersatz des entstandenen Vermögensnachteils, d. h. Ersatz in Geld.138 Eine Verpflichtung, selbst tätig zu werden, trifft ihn hingegen nicht. Das folgt schon aus dem allgemeinen Rechtsgedanken des § 249 Abs. 1 BGB: Wie und durch wen der Schädiger Ersatz leistet, bleibt allein seine Entscheidung.139 135  BAG v. 27.07.2010 – 3 AZR 777 / 08, AP Nr. 46 zu § 307 BGB Rn. 32 = NZA 2010, 1237; Koch, in: Schaub Arbeitsrechts-Handbuch, § 82 Rn. 25. 136  BAG v. 27.07.2010  – 3 AZR 777 / 08, AP Nr. 46 zu § 307 BGB Rn. 32= NZA 2010, 1237. 137  Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (758). 138  Seiler / MüKo-BGB, § 670 Rn. 11. 139  Oetker / MüKo-BGB, § 249 Rn. 332.

76

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

4. Ausschluss des Aufwendungsersatzes § 670 BGB hat dispositiven Charakter.140 Deshalb kann der Aufwendungsersatzanspruch durch eine individualvertragliche Vereinbarung abbedungen werden. Beim betriebsmittelersetzenden BYOD ist es jedoch wenig realistisch anzunehmen, der Arbeitnehmer werde auf seinen Aufwandsersatzanspruch und damit eine Kostenerstattung verzichten. Ein genereller formularmäßiger Ausschluss ist hingegen nicht zulässig. Ohne eine entsprechende Gegenleistung bei der Kostenübernahme würde der Arbeitnehmer unangemessen i. S. d. § 307 Abs. 1 BGB benachteiligt werden; die Klausel wäre unwirksam.141 II. Optionales BYOD 1. Aufwendungsersatzanspruch nach § 670 BGB analog Beim optionalen BYOD wird, anders als beim betriebsmittelersetzenden BYOD, nicht von der Pflichtenaufteilung zwischen Arbeitgeber und Arbeitnehmer abgewichen. Vom Arbeitgeber werden weiterhin unternehmenseigene Geräte bereitgestellt, die der Arbeitnehmer zur Erbringung seiner geschuldeten Arbeitsleistung jederzeit verwenden kann. Auch ohne den Einsatz privater mobiler IT-Geräte kann er die ihm übertragenen Aufgaben problemlos bewältigen. Die Nutzung des privaten Device ist damit zu keinem Zeitpunkt notwendig. Der Arbeitnehmer verwendet sein Privatgerät allein aus Gründen der persönlichen Erleichterung oder Bequemlichkeit, weshalb er die mit der BYOD-Nutzung verbundenen Aufwendungen konsequenterweise auch primär im eigenen Interesse tätigt. Für einen etwaigen Aufwendungsersatzanspruch nach § 670 BGB analog ist daher die dienstliche Nutzung des Device nicht dem Betätigungsbereich des Arbeitgebers, sondern dem persönlichen Lebensbereich zuzurechnen und hat der Arbeitnehmer ohne ausdrückliche positive vertragliche Regelung alle mit der optionalen Nutzung von BYOD verbundenen Kosten selbst zu tragen. Im Wesentlichen zu keinem anderen Ergebnis gelangt man, wenn der hier vertretenen – zugegebenermaßen sehr strengen – Sichtweise nicht gefolgert werden sollte und die Vorteile, die der BYOD-Einsatz für den Arbeitgeber 140  BAG v. 14.10.2003 – 9 AZR 657 / 02, AP Nr. 32 zu § 670 BGB Bl. 3 R = NZA 2004, 604 (605); LAG Hessen v. 08.05.2012  – 12 Sa 797 / 11 = BeckRS 2012, 75044; LAG Niedersachsen v. 20.12.2013  – 6 Sa 392 / 13 = BeckRS 2014, 66085; Hönn, in: jurisPK-BGB Band 2, § 670 Rn. 1; Koch, in: Schaub Arbeitsrechts-Handbuch, § 82 Rn. 25; Martinek, in: Staudinger BGB, § 670 Rn. 5. 141  Göpfert / Wilke, NZA 2012, 765 (768).



E. Regelungen zum Kostenersatz77

bietet, stärker berücksichtigt. In diesem Fall könnte allenfalls eine beiderseitige Interessenlage bejaht werden, nicht aber ein alleiniges, ausschließliches Interesse des Arbeitgebers.142 Ein etwaiger Anspruch auf Ersatz der Aufwendungen ist dem Arbeitgeber in entsprechender Anwendung des § 670 BGB nur dann aufzuerlegen, wenn sein Interesse an der Verwendung von BYOD bei einer typisierenden Betrachtung so weit überwiegt, dass das Interesse des Arbeitnehmers vernachlässigt werden kann.143 Diese Interessenabwägung fällt beim optionalen BYOD zu Ungunsten des Arbeitnehmers aus: Dadurch, dass der Arbeitgeber dem Arbeitnehmer freistellt, ob dieser sein Privatgerät oder aber ein firmeneigenes als Arbeitsmittel gebraucht, verzichtet er auf sein Direktionsrecht als ein „Wesensmerkmal eines jeden Arbeitsverhältnisses“144. Der Arbeitnehmer nutzt diesen Verzicht, um seine arbeitsvertraglich geschuldete Tätigkeit statt mittels Dienstgerät mit seinem eigenen Privatgerät zu erbringen. Damit ist für ihn ein erheblicher, überwiegender Gewinn an individueller Freiheit und Mobilität verbunden145, während das Interesse des Arbeitgebers an der Nutzung von BYOD deutlich zurücktritt. Zwar entstehen dem Arbeitnehmer für die zusätzliche dienstliche Nutzung Aufwendungen in Form von „Betriebskosten“, diese sind aber nur als Folgekosten zu bewerten, resultieren sie doch ausschließlich aus der vom Arbeitnehmer freiwilligen Verwendung des Privatgeräts als Arbeitsmittel. Überdies sind sie als „nicht erforderlich“ zu bewerten, weil es angesichts der weiterhin zur Verfügung gestellten betriebseigenen Geräte an der betrieblichen Notwendigkeit mangelt, eigene Geräte benutzen zu müssen. Ein Aufwendungsersatzanspruch scheidet folglich auch bei Annahme einer beiderseitigen Interessenlage aus.146 Für eine entsprechende Kostenerstattung bedarf es auch hier einer ausdrücklichen vertraglichen Vereinbarung. 142  Der Arbeitnehmer hat ein Interesse an der Nutzung seines mobilen Privatgeräts, weil dies meist komfortabler, moderner und ihm vertrauter ist, als das firmeneigene IT-Gerät, und der Arbeitgeber hat ein Interesse an dessen, weil er sich hiervon eine Steigerung der Mitarbeiterzufriedenheit und damit der Produktivität verspricht. 143  BAG v. 16.10.2007  – 9 AZR 170 / 07, AP Nr. 34 zu § 670 BGB Rn. 25= NZA 2008, 1012 (1015). 144  BAG v. 23.09.2004  – 6 AZR 567 / 03, AP Nr. 64 zu § 611 BGB Direktionsrecht Rn. 25 = NZA 2005, 359 (360); 12.04.2011  – 9 AZR 14 / 10, AP Nr. 35 zu § 670 BGB Rn. 25 f. = NZA 2012, 97. 145  BAG v. 12.04.2011  – 9 AZR 14 / 10, AP Nr. 35 zu § 670 BGB Rn. 29 = NZA 2012, 97. 146  Die Argumentation entspricht damit weitestgehend der des BAG v. 12.04.2011  – 9 AZR 14 / 10, AP Nr. 35 zu § 670 BGB = NZA 2012, 97. Hier wertete das BAG den Umstand, dass einem Lehrer freigestellt wurde, ob er für seine arbeitsvertraglich geschuldete Vor- und Nacharbeit die Räumlichkeiten in der Schule oder aber sein eigenes häusliches Arbeitszimmer benutzt, als ein wichtiges Indiz dafür, dass das Interesse des Arbeitnehmers an der Einrichtung des häuslichen Ar-

78

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

2. Folgerungen für die BYOD-Nutzungsvereinbarung Für die BYOD-Nutzungsvereinbarung hat dies zur Folge, dass der Aufwendungsersatzanspruch für die Bereitstellung des Geräts sowie für die anfallenden Betriebskosten ausgeschlossen werden kann.147 Eine derartige Regelung hat nur deklaratorische Wirkung. Sie gibt ausschließlich die bestehende Rechtslage wieder und unterliegt deshalb keiner AGB-Inhaltskontrolle. Um darüber hinaus aber mögliche weitere Konflikte zu vermeiden, sollte die Nutzung von BYOD zumindest davon abhängig gemacht werden, dass der Arbeitnehmer über eine entsprechende Telefon- und Internetflatrate verfügt. Entscheidet sich der Arbeitgeber ausdrücklich für eine Erstattung der durch die dienstliche Nutzung entstandenen Betriebskosten, etwa weil er die Verbreitung von BYOD in seinem Unternehmen fördern und die Nutzung eigener Geräte unterstützen möchte, bietet sich wie beim betriebsmittelersetzenden BYOD auch eine entsprechende Pauschalvereinbarung an oder die vollständige Übernahme des Telekommunikationsvertrages.

F. Haftung zwischen Arbeitgeber und Arbeitnehmer Die Implementierung des BYOD-Konzepts wirft auch haftungsrechtliche Fragen auf.148 In Folgendem soll näher untersucht werden, welche haftungsrechtlichen Probleme beim BYOD-Einsatz typischerweise auftreten können, welche Haftungspflichten für den Arbeitgeber und den Arbeitnehmer bestehen und welche Konsequenzen sich daraus für die konkrete Gestaltung der BYOD-Nutzungsvereinbarung ergeben. beitszimmers das Interesse des Arbeitgebers überwiegt. Denn dadurch, dass der Arbeitgeber dem Arbeitnehmer freistelle, an welchem Ort er seine Arbeitsleistung zu erbringen hat, verzichte er insoweit auf sein Direktionsrecht, womit auf Seiten des Arbeitnehmers ein erheblicher, überwiegender Gewinn an individueller Freiheit korrespondiere. Zwar entstünden dem Arbeitnehmer aus der Wahl des häuslichen Arbeitszimmers als Arbeitsort Aufwendungen für die Nutzung bzw. Anmietung, Ausstattung und Bewirtschaftung eines entsprechenden Anteils an der Wohnfläche. Diese seien aber nur Folgekosten, die aus der vom Arbeitnehmer völlig freiwillig getroffenen Wahl des häuslichen Arbeitsorts entstehen. Ein Aufwendungsersatzanspruch könne nur auf Grund einer ausdrücklichen Vereinbarung verlangt werden, nicht aber in entsprechender Anwendung des § 670 BGB. 147  Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (761). 148  An dieser Stelle wird zunächst nur auf die haftungsrechtlichen Fragestellungen im Verhältnis Arbeitgeber-Arbeitnehmer eingegangen. BYOD beschwört jedoch darüber hinaus auch in Bezug auf außenstehende Dritte, wie etwa Geschäftskunden des Unternehmens, eine Vielzahl an spezifischen datenschutz-, lizenz- und urheberrechtlichen Haftungsrisiken herauf, auf die an späterer Stelle, insbesondere in Kapitel 3 § 7 und Kapitel 4 B. näher eingegangen wird.



F. Haftung zwischen Arbeitgeber und Arbeitnehmer79

I. Haftungsrechtliche Ansprüche des Arbeitgebers Ansprüche des Arbeitgebers gegen den Arbeitnehmer betreffen in erster Linie die ITK-Infrastruktur und den Unternehmensdatenbestand. Zu denken ist vor allem an einen Virenbefall des IT-Systems149 (ausgelöst durch so genannte „Jailbreakings“150, die Verwendung einer nicht aktualisierter AntiVirus-Software oder Umgehungen der technischen Sicherungsmaßnahmen151) sowie an fahrlässig oder vorsätzlich herbeigeführte Löschungen von Datenbeständen.152 Letztere kann insbesondere dann erhebliche Vermögenseinbußen nach sich ziehen, sollten außenstehende Dritte (wie etwa Geschäftskunden) ihrerseits schadenersatzrechtliche Ansprüche gegen den Arbeitgeber geltend machen. Anspruchsgrundlage für entsprechende Schadenersatzansprüche des Arbeitgebers ist §§ 280 Abs. 1, 241 Abs. 2 BGB, wobei hinsichtlich des „Vertretenmüssens“ die Beweislastregelung des § 619a BGB zu berücksichtigen ist. Entgegen der allgemeinen Vermutungsregelung nach § 280 Abs. 1 Satz 2 BGB muss der Arbeitgeber darlegen und beweisen, dass der Arbeitnehmer die ihm zur Last gelegte Pflichtverletzung zu vertreten hat.153 Schon deshalb ist es für den Arbeitgeber notwendig, im Zusammenhang mit den datenschutzrechtlichen Organisationsmaßnahmen, den Pflichtenkatalog für den Zugriff auf das Unternehmensnetzwerk, die Anforderungen an die Anwendungssoftware des Device und deren Sicherheitseinstellungen, den Umgang mit den Unternehmensdaten und die Notwendigkeit möglicher Sicherungskopien umfassend und detailliert zu regeln und den Arbeitnehmer entsprechend zu unterweisen.154 Neben einem vertraglichen Schadenersatzanspruch kann dem Arbeitgeber auch ein Anspruch aus Delikt zustehen (§§ 823 ff. BGB). Sowohl bei den vertraglichen als auch den deliktischen haftungsrechtlichen Ansprüchen des Arbeitgebers gegen den Arbeitnehmer sind die Grundsätze der Arbeitnehmerhaftung mit der abgestuften Haftungsprivilegierung nach den Grundsätzen des innerbetrieblichen Schadensausgleichs zu berück149  Zöll / Kielkowski,

BB 2012, 2625 (2627). „Jailbreaks“ werden Schutzmechanismen und Sicherheitsstrukturen der Device umgangen, um nicht lizenzierte Software, insbesondere nicht offiziell im App-Store verfügbare Applikationen, zu installieren (Frings / Wahlers, BB 2011, 3126 [3133]; Zöll / Kielkowski, BB 2012, 2625 [Fn. 32]). 151  Z. B. durch die Deaktivierung von Passwortfunktionen. 152  Conrad / Schneider, ZD 2011, 153 (158); Koch, ITRB 2012, 35 (38). 153  Henssler / MüKo-BGB, § 619a Rn. 1; Preis, in: ErfK-Arbeitsrecht, §  619a BGB Rn. 2; Richardi / Fischinger, in: Staudinger BGB, § 619a Rn. 3. 154  Siehe hierzu ausführlich Kapitel 3 § 7. 150  Bei

80

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

sichtigen.155 Die von Arbeitnehmer und Arbeitgeber zu tragenden Anteile am Schaden sind durch eine Abwägung der Gesamtumstände zu bestimmen und bemessen sich neben der Höhe des Schadens, der Betriebszugehörigkeit, des Schadensanlasses und der Höhe des Arbeitsentgelts maßgeblich nach dem jeweiligen Grad des Verschuldens.156 Ist dem Arbeitnehmer grobe Fahrlässigkeit oder Vorsatz vorzuwerfen, haftet er grundsätzlich in vollem Umfang; trifft ihn nur leichteste Fahrlässigkeit, haftet wiederrum der Arbeitgeber voll; ist dem Arbeitnehmer schließlich (einfache / mittlere) Fahrlässigkeit vorzuwerfen, wird der Schaden unter Berücksichtigung der oben genannten Kriterien quotal verteilt.157 Weil für die haftungsrechtlichen Ansprüche des Arbeitgebers gegen den Arbeitnehmer die allgemeinen arbeitsrechtlichen Grundsätze gelten, wird eine Haftungsregelung in der BYOD-Nutzungsvereinbarung regelmäßig entbehrlich sein, nicht jedoch die bereits angesprochenen und im Folgekapitel noch näher zu erläuternden Regelungen in Bezug auf die datenschutzrechtlichen Organisationsmaßnahmen und den damit verbundenen Pflichten des Arbeitnehmers.158 II. Haftungsrechtliche Ansprüche des Arbeitnehmers Bedeutend klärungsbedürftiger sind die haftungsrechtlichen Ansprüche des Arbeitnehmers gegen den Arbeitgeber. Diese betreffen vornehmlich Ersatzansprüche bei Diebstahl, Beschädigung oder Verlust des Geräts.159 155  Vgl. zur Begriffsentwicklung Mayer-Maly, FS Hilger und Stumpf, 1983, S. 467. Ausführlich zur rechtsdogmatischen Begründung der Grundsätze des innerbetrieblichen Schadensausgleichs jeweils m. w. N.: Annuß, NZA 1998, 1089 (1090 ff.); Henssler / MüKo-BGB, § 619a Rn. 5 ff.; Otto / Schwarze / Krause, Die Haftung des Arbeitnehmers, Rn.  25 ff.; Reinhardt, Die dogmatische Begründung der Haftungsbeschränkung des Arbeitnehmers, S. 65; Richardi / Fischinger, in: Staudinger BGB, § 619a Rn. 48 ff. 156  BAG GS 25.09.1957 – GS 4 (5) / 56 = NJW 1958, 235 (237); 27.09.1994 – GS 1 / 89 (A), AP Nr. 103 zu § 611 BGB Haftung des Arbeitnehmers Bl.  4 R = NZA 1994, 1083 (1086); 18.01.2007  – 8 AZR 250 / 06, AP Nr. 15 zu § 254 BGB Rn. 30; 15.11.2012 – 8 AZR 705 / 11, AP Nr. 137 zu § 611 BGB Haftung des Arbeitnehmers Rn. 25; Henssler / MüKo-BGB, § 619a Rn. 32. 157  BAG v. 24.11.1987  – 8 AZR 524 / 82, AP Nr. 93 zu § 611 BGB Haftung des Arbeitnehmers Bl.  3 f. = NZA 1988, 579; 16.02.1995  – 8 AZR 493 / 93, AP Nr. 106 zu § 611 BGB Haftung des Arbeitnehmers Bl. 2 R = NZA 1995, 565, 566; 18.01.2007  – 8 AZR 250 / 06, AP Nr. 15 zu § 254 BGB Rn. 30 = NZA 2007, 1230 (1233). 158  Bitkom, Bring Your Own Device, S. 19. Kapitel 3 § 7. 159  Zu den Schadenersatzansprüchen nach dem BDSG im Zusammenhang mit unberechtigten Zugriffen und Kontrollen der privaten Daten siehe ausführlich Kapitel 3 § 7.



F. Haftung zwischen Arbeitgeber und Arbeitnehmer81

Hierbei gilt es zwischen verschuldensabhängigen und -unabhängigen Ansprüchen zu unterscheiden, ebenso danach, ob BYOD betriebsmittelersetzend oder nur optional genutzt wird. 1. Verschuldensabhängige Haftung des Arbeitgebers a) Pflichten zum Schutz des Eigentums und sonstiger vermögensrechtlicher Belange des Arbeitnehmers Den Arbeitgeber treffen für Vermögensgegenstände, die der Arbeitnehmer zum Zwecke der Arbeitsleistung in den Betrieb einbringt und die in einem inneren Zusammenhang mit der zu erbringenden Arbeitsleistung stehen, Obhuts- und Verwahrungspflichten i. S. v. vertraglichen Schutzpflichten.160 Diese finden ihre gesetzliche Grundlage in § 241 Abs. 2 BGB.161 Der Arbeitgeber hat diejenigen Maßnahmen zu treffen, die ihm konkret und billigerweise zumutbar sind und die den Arbeitnehmer in die Lage versetzen, seine eingebrachten Vermögensgegenstände entsprechend den betrieblichen Umständen vor Verlust oder Beschädigung zu bewahren.162 Die Konkretisierung dieser Schutzpflichten, v. a. hinsichtlich Art und Umfang, erfolgt durch eine kaum mehr zu übersehende Kasuistik der Rechtsprechung,163 die maßgeblich davon geprägt ist, inwieweit die eingebrachten Gegenstände für die Erbringung der Arbeitsleistung erforderlich sind. Festzuhalten ist, dass den Arbeitgeber für Privatgegenstände, die der Arbeitnehmer notwendigerweise in den Betrieb mitbringen muss, stets gewisse Schutzpflichten treffen164, für Gegen160  BAG v. 05.03.1959  – 2 AZR 268 / 56, AP Nr. 26 zu § 611 BGB Fürsorgepflicht; 10.11.1961 – GS 1 / 60, AP Nr. 2 zu § 611 BGB Gefährdungshaftung = NJW 1962, 411 (412); 01.07.1965  – 5 AZR 264 / 64, AP Nr. 75 zu § 611 BGB Fürsorgepflicht; 25.05.2000 – 8 AZR 518 / 99, AP Nr. 8 zu § 611 BGB Parkplatz Bl. 3 = NZA 2000, 1052; Borgmann, in: Hümmerich / Reufels, Kap. 37 Rn. 2654; HK-BGB / Schreiber, § 611 Rn. 23; Koch, in: Schaub Arbeitsrechts-Handbuch, § 106 Rn. 28; Preis, in: ErfK-Arbeitsrecht, § 611 BGB Rn. 626 BGB; Reichold / MünchArbR I, § 85 Rn. 15. 161  Vgl. nur Preis, in: ErfK-Arbeitsrecht, §  611 BGB Rn.  626 BGB; Reichold / MünchArbR I, § 85 Rn. 15. Davor wurde auf die allgemeine Fürsorgepflicht des Arbeitgebers zurückgegriffen: BAG v. 05.03.1959  – 2 AZR 268 / 56, AP Nr. 26 zu § 611 BGB Fürsorgepflicht; 01.07.1965  – 5 AZR 264 / 64, AP Nr. 75 zu § 611 BGB Fürsorgepflicht; Reichold / MünchArbR I, § 85 Rn. 15; Schwab, NZA-RR 2006, 505 (508). 162  BAG v. 01.07.1965  – 5 AZR 264 / 64, AP Nr. 75 zu § 611 BGB Fürsorgepflicht; 25.05.2000 – 8 AZR 518 / 99, AP Nr. 8 zu § 611 BGB Parkplatz LS 1 = NZA 2000, 1052 f. 163  So völlig zu Recht Schwab, NZA-RR 2006, 505 (508). 164  Koch, in: Schaub Arbeitsrechts-Handbuch, § 106 Rn. 31; Reichold / Münch­ ArbR I, § 85 Rn. 16.

82

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

stände, die der Arbeitsleistung (unmittelbar oder mittelbar) lediglich dienlich sind, nur dann, wenn er den Einsatz angeordnet oder zumindest geduldet hat.165 Einschränkend ist in letzterem Fall jedoch stets zu fordern, dass dem Arbeitgeber die entsprechenden Schutzmaßnahmen nach Treu und Glauben billigerweise zugemutet werden können.166 Angewandt auf BYOD hat der Arbeitgeber sowohl beim betriebsmittelersetzenden als auch beim optionalen BYOD erforderliche Sicherungsmaßnahmen gegen das bestehende Beschädigungs-, Verlust- und Diebstahlsrisiko zu treffen, die jedoch hinsichtlich Art und Umfang maßgeblich vom jeweiligen technischen Umfeld des Unternehmens abhängen, der Größe des Unternehmens, der konkreten Einsatzart und der mit BYOD verfolgten Zielsetzung. Beim betriebsmittelersetzenden BYOD ergibt sich diese Verpflichtung daraus, dass die Einbringung der Privatgeräte zwingend notwendig ist. Unternehmenseigene Geräte, auf die der Arbeitnehmer wie beim optionalen BYOD zurückgreifen kann, stehen ihm nicht zur Verfügung; ohne sein Privatgerät kann der Arbeitnehmer seine dienstlichen Aufgaben nicht bewältigen. Deshalb hat der Arbeitgeber auch für alle betriebsüblichen Gefahren für das Privatgerät selbst, die darauf enthaltende Anwendungssoftware sowie den sensiblen privaten Datenbestand Vorkehrungen und Sicherungsmaßnahmen zu treffen. Das Hauptaugenmerk ist trotz der verschiedenen zu berücksichtigenden unternehmensspezifischen Faktoren auf die technischen Schutzvorkehrungen zu legen. Geradezu unentbehrlich wird ein umfassendes Mobile Device Management sein, das durch eine Trennung der jeweiligen Daten schon im Vorfeld weitestgehend sicherstellt, dass mit der dienstlichen Nutzung keine privaten Datenverluste einhergehen und die Software nicht durch Virenbefall beschädigt wird. Sollte eine Fernlöschung von Daten bei Verlust oder Diebstahl des Geräts erforderlich sein, so muss hinreichend sichergestellt werden, dass die privaten Daten nicht automatisch mitgelöscht werden. Je nach Art und Größe des Betriebs kann es angesichts des hohen Diebstahlrisikos darüber hinaus erforderlich sein, verschließbare Fächer bereitzustellen, um einen hinreichenden Schutz zu gewährleisten. Beim optionalen BYOD ist die Einbringung der Privatgeräte für die Erbringung der Arbeitsleistung dagegen nur dienlich und nicht notwendig. Der Arbeitnehmer kann unproblematisch und jederzeit auf die weiterhin zur Verfügung gestellten dienstlichen Geräte zurückgreifen. Gestattet der Arbeitgeber die optionale Nutzung allerdings ausdrücklich bzw. duldet er sie, ergeben sich zumindest hieraus gewisse Obhuts- und Verwahrungspflichten. Diese müssen i. d. R. jedoch weit weniger umfassend als beim betriebsmit165  Koch, in: Schaub Arbeitsrechts-Handbuch, § 106 Rn. 32; Reichold / Münch­ ArbR I, § 85 Rn. 16; Walter / Dorschel, WuM 2012, 22 (25). 166  Koch, in: Schaub Arbeitsrechts-Handbuch, § 106 Rn. 28.



F. Haftung zwischen Arbeitgeber und Arbeitnehmer83

telersetzenden BYOD sein, wobei ein Mobile Device Management auch hier, vor allem angesichts des ohnehin zu berücksichtigenden Trennungsgebots aus Nr. 8 der Anlage zu § 9 BDSG, zwingend erforderlich ist. Verletzt der Arbeitgeber seine Sorgfaltspflichten schuldhaft (vorsätzlich oder fahrlässig, § 276 Abs. 1 BGB) und wird das Gerät, die darauf enthaltene Software oder werden die gespeicherten Privatdateien beschädigt, zerstört oder gestohlen, so kann dem Arbeitnehmer ein Schadenersatzanspruch aus §§ 280 Abs. 1, 241 Abs. 2 BGB zustehen. Das „Vertretenmüssen“ wird gem. § 280 Abs. 1 Satz 2 BGB vermutet. § 619a BGB greift nicht ein, da die Norm nur den umgekehrten Fall der Arbeitnehmerhaftung betrifft, nicht aber auch die Haftung des Arbeitgebers.167 Bedient sich der Arbeitgeber Personen als Erfüllungsgehilfen, greift § 278 BGB ein; er muss sich deren Verschulden zurechnen lassen.168 Handelt es sich beim Arbeitgeber um eine juristische Person oder eine Personengesellschaft, gilt § 31 BGB (analog). Neben einem vertraglichen Schadenersatzanspruch kann sich auch eine Haftung aus unerlaubter Handlung (§§ 823 Abs. 1, Abs. 2; 831 BGB) ergeben. b) Haftungsausschlüsse Wie bei anderen Vertragsverhältnissen stellt sich auch im Rahmen der BYOD-Nutzungsvereinbarung die Frage, ob und wenn ja, in welchem Umfang sich der Arbeitgeber von der Haftung freizeichnen kann. aa) Formularklauseln Sowohl bei der betriebsmittelersetzenden als auch der optionalen BYODNutzung ist eine vertragliche Freizeichnung von der Vorsatzhaftung unzulässig (§ 276 Abs. 3 BGB). Gleiches gilt für eine formularmäßige Abbedingung der Haftung bei grober Fahrlässigkeit (§ 309 Nr. 7 lit. b BGB). Spielraum verbleibt deshalb nur in Hinblick auf die Haftung für einfache / mittlere Fahrlässigkeit. Für diese ist ein formularmäßiger Haftungsausschluss nicht prinzipiell unzulässig, er begegnet aber doch gewichtigen Bedenken in Bezug auf seine Rechtswirksamkeit.169 Als eine den Arbeitnehmer belastende Regelung sind derartige Freizeichnungsklauseln grundsätzlich eng auszu167  Brox / Rüthers / Henssler, Arbeitsrecht Rn. 351; Preis, in: ErfK-Arbeitsrecht, § 619a BGB Rn. 3; Richardi / Fischinger, in: Staudinger BGB, § 619a Rn. 3. 168  Siehe nur BAG v. 25.05.2000 – 8 AZR 518 / 99, AP Nr. 8 zu § 611 BGB Parkplatz Bl. 3 = NZA 2000, 1052 (1053). 169  Vgl. nur Koch, in: Schaub Arbeitsrechts-Handbuch, § 106 Rn. 30; Schwab, NZA-RR, 2006, 505; Stoffels, in: Preis, Der Arbeitsvertrag, II H 10 Rn. 6.

84

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

legen.170 Sie dürfen den Arbeitnehmer nicht unangemessen i. S. d. § 307 Abs. 1 BGB benachteiligen, d. h. sie müssen erforderlich und angemessen sein, um den beiderseitigen Interessen gerecht zu werden. Eine Abbedingung der Haftung für einfache Fahrlässigkeit ist deshalb nur in begrenztem Umfang zulässig und setzt voraus, dass sich die Freizeichnung auf bestimmte Umstände und Sachverhalte begrenzt und für einen Ausschluss gewichtige Gründe vorliegen.171 Deshalb scheidet beim betriebsmittelersetzenden BYOD eine vollständige Freizeichnung des Arbeitgebers für einfache / mittlere Fahrlässigkeit konsequenterweise aus. Die Angemessenheit wäre schon aufgrund der inhaltlichen Weite der Klausel zu verneinen, trüge doch der Arbeitnehmer das Beschädigungs- bzw. Verlustrisiko allein, wodurch der arbeitsrechtlichen Risikoverteilung letztlich keine bzw. nur unzureichend Rechnung getragen würde. Im Schadensfall stünde der Arbeitgeber besser, als wenn seine betriebseigenen IT-Geräte samt Software beschädigt würden. Denkbar ist eine Freizeichnung für mittlere Fahrlässigkeit aber für solche Schäden und Folgeschäden am Privatgerät, die im Zusammenhang mit dem vom Arbeitgeber zur Verfügung gestellten technischen Supports entstehen, der auf Aufforderung des Arbeitnehmers geleistet wurde.172 In diesem Fall wird die Risikoverteilung angesichts der ausdrücklichen Aufforderung des Arbeitnehmers nämlich gerade nicht zu seinen Lasten verlagert. Dieser wird nicht unangemessen benachteiligt, steht es ihm doch völlig frei, Support und Wartung auch durch einen externen Dienst durchführen zu lassen. Eine Freizeichnung lässt sich darüber hinaus auch im Fall einer durch den Arbeitgeber veranlassten Löschung oder Änderung betrieblicher Daten erzielen, welche zu einem Verlust, Schäden oder Folgeschäden an privaten Daten führen, vorausgesetzt der Arbeitgeber hat die vollständige Trennung von dienstlichen und privaten Daten über die technische Ausgestaltung des BYOD-Konzepts nach der Containerization-Lösung173 ermöglicht und zugleich ausdrücklich bestimmt, dass private Daten nicht im dienstlichen Container gespeichert werden dürfen. Beim optionalen BYOD kann sich der Arbeitnehmer aufgrund des weiterhin zulässigen Rückgriffs auf ein Firmengerät zwar grundsätzlich der Einbringung seines Privatgeräts entziehen, weshalb es hier dem ersten Anschein nach vertretbarer erscheint, eine Freizeichnung für einfache Fahrläsnur Reichold / MünchArbR I, § 85 Rn. 22. in: Preis, Der Arbeitsvertrag, II H 10 Rn. 6. 172  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 84. 173  Beim Containerization werden die Unternehmensdaten auf dem jeweiligen Endgerät in einem isolierten und verschlüsselten Datencontainer gespeichert, so dass diese von den privaten Daten vollständig getrennt aufbewahrt werden können. Die Verwaltung dieser Daten erfolgt über eine entsprechende Applikation auf dem Gerät. 170  Vgl.

171  Stoffels,



F. Haftung zwischen Arbeitgeber und Arbeitnehmer85

sigkeit zu bejahen. Allerdings kann ein Ausschluss auch bei dieser BYODKonzeptionierung angesichts der ausdrücklichen Gestattung bzw. Duldung häufig nur dann als angemessen und wirksam nach § 307 Abs. 1 BGB bewertet werden, wenn der Arbeitgeber die ihn treffende Schadenersatzpflicht nicht durch eine entsprechende Versicherung mit abdecken kann.174 Besteht für ihn die Möglichkeit, Versicherungsschutz auch für die eingebrachten ITGeräte der Arbeitnehmer zu erlangen, so ist er gehalten, diese vorrangig zu ergreifen.175 Mitzuberücksichtigen wird deshalb stets die Möglichkeit des Abschlusses einer entsprechenden Elektronikversicherung sein bzw. deren Erweiterung auf die Privatgeräte der Mitarbeiter, sollten diese nicht ohnehin als so genannte „Gebrauchsgegenstände des Betriebsangehörigen“ mitversichert sein. bb) Betriebsvereinbarung Für Haftungsausschlüsse in Betriebsvereinbarungen finden die §§ 305 ff. BGB gem. § 310 Abs. 4 Satz 1 BGB keine Anwendung. Eine über § 77 Abs. 1 und 2 BetrVG vermittelte Rechtskontrolle anhand des Verhältnismäßigkeitsgrundsatzes ist aber dennoch möglich.176 Obwohl die Inhaltskontrol174  Das ArbG Karlsruhe v. 16.08.1984  – 6 Ca 230 / 84 = VersR 1986, 455 nahm an, dass „aus der Fürsorgepflicht des Arbeitgebers auch die Verpflichtung folgen [könne], für in das Betriebsgebäude eingebrachte Sachen des Arbeitnehmers eine Feuerversicherung abzuschließen oder solche Sachen in eine bestehende Versicherung einzubeziehen“. Es setzt dabei allerdings voraus, dass sich der Abschluss einer solchen „in den betreffenden Gewerbezweigen mehr oder weniger schon eingebürgert hat“. Das LAG Hamm v. 02.11.1956 – 5 Sa 244 / 56 = BB 1957, 40, nahm zwar keine Verpflichtung, allerdings eine Obliegenheit zum Abschluss einer Diebstahlversicherung an. Vom ArbG Berlin v. 17.08.1971  – 19 Ca 189 / 71 = DB 1971, 1772 wurde eine Obliegenheit zum Abschluss einer Feuerversicherung bejaht; a. A. LAG Düsseldorf 19.10.1984 – 5 (2) Sa 888 / 89 = DB 1990, 1468: „Sofern keine gefahrerhöhenden Umstände vorliegen und der Abschluß einer Feuerversicherung in der betreffenden Branche nicht üblich ist, ist ein Arbeitgeber nicht verpflichtet, zum Schutz der eingebrachten Sachen der Arbeitnehmer eine Feuerversicherung abzuschließen.“ Die Angemessenheit bei Möglichkeit des Versicherungsschutz verneinend: Borgmann, in: Hümmerich / Reufels, Kap. 37 Rn. 2655; Däubler / DBD, § 309 Rn. 9; Jochums, in: Maschmann / Sieg / Göpfert, Vertragsgestaltung im Arbeitsrecht, Haftung des Arbeitgebers, Rn. 6; Lakies, Vertragsgestaltung und AGB im Arbeitsrecht, Rn. 271; Stoffels, in: Preis, Der Arbeitsvertrag, II H 10 Rn. 6; Thüsing, in: Graf von Westphalen, Vertragsrecht und AGB-Klauselwerke, Arbeitsverträge Rn. 312; vgl. zum Ganzen auch Becker-Schaffner, VersR 1972, 322; a. A.: Oetker, in: Staudinger BGB, § 618 Rn. 136. 175  Stoffels, in: Preis, Der Arbeitsvertrag, II H 10 Rn. 6. 176  BAG v. 01.12.1992  – 1 AZR 234 / 92, AP Nr. 3 zu § 77 BetrVG 1972 Tarifvorbehalt = NZA 1993, 613 (615); 26.10.1994  – 10 AZR 482 / 93, AP Nr. 18 zu

86

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

le von formularmäßigen Klauseln und die Wirksamkeitskontrolle von Betriebsvereinbarungen damit auf unterschiedlichen Rechtsgrundlagen fußen, sind die in der Sache getroffenen Wertungen vergleichbar und übertragbar177, so dass ein Haftungsausschluss, ähnlich wie bei § 307 BGB, erforderlich und angemessen sein muss.178 Deshalb verbietet sich eine Freizeichnung für Vorsatz und grobe Fahrlässigkeit auch im Rahmen einer Betriebsvereinbarung.179 Ferner ist bei der inhaltlichen Ausgestaltung zu berücksichtigen, dass sich Betriebsvereinbarungen nach der Rechtsprechung des BAG nicht ausschließlich in einer Haftungsfreizeichnung zugunsten des Arbeitgebers erschöpfen dürfen, sondern zumindest „in unmittelbarem Zusammenhang mit einer sonstigen, der Belegschaft zugutekommenden Regelung“ stehen [müssen]“180. Es liefe der Stellung des Betriebsrats als Repräsentant der Belegschaft zuwider, wenn in einer Vereinbarung zwischen ihm und dem Arbeitgeber einseitig nur letzterer durch den Wegfall einer sonst nach der Rechtsordnung gegenüber den Belegschaftsangehörigen eintretenden Haftung begünstigt werden könnte. In einem solchen Falle bleibe nach Ansicht des BAG von dem sein Wesen bestimmenden Charakter des Betriebsrats als Wahrer der Arbeitnehmerbelange schlechterdings nichts übrig, der Betriebsrat überschreite dann seine ihm von seiner Funktion her gegebene Handlungsfähigkeit.181 Die getroffene Betriebsvereinbarung wäre aufgrund der zweckwidrigen Inanspruchnahme der Normsetzungsbefugnis nichtig.182 Rechtswirksam wäre eine Freizeichnung deshalb beispielsweise nur, wenn die Betriebsvereinbarung Einrichtungen und Vorkehrungen zur Sicherung der eingebrachten Arbeitnehmergeräte vorsehen würde (Schließfächer oder Ähnliches), aber zugleich bestimmte, dass gegenüber demjenigen Arbeitnehmer, der von diesen Einrichtungen keinen Gebrauch macht und sein Gerät anderweitig verwahrt, eine Haftung des Betriebsinhabers entfällt.183 Sie § 611 BGB Anwesenheitsprämie = NZA 1995, 266 (268); 13.05.1997 – 1 AZR 75 / 97 = NZA 1998, 160 (162); zur Entwicklung der Rechtsprechung von der Billigkeitskontrolle zur Rechtskontrolle: Kreutz GK-BetrVG, §  77 Rn.  323 ff. m. w. N. aus Rspr. und Literatur; Preis / Ulber, RdA 2013, 211 (212); Rolfs, RdA 2006, 349 (354 f.). 177  Preis / Ulber, RdA 2013, 211 (222). 178  Reichold / MünchArbR I, § 85 Rn. 22. 179  BAG v. 05.03.1959 – 2 AZR 268 / 56, AP Nr. 26 zu § 611 BGB Fürsorgepflicht = NJW 1959, 1555 (1557); Reichold / MünchArbR I, § 85 Rn. 22. 180  BAG v. 05.03.1959 – 2 AZR 268 / 56, AP Nr. 26 zu § 611 BGB Fürsorgepflicht = NJW 1959, 1555 (1557). 181  BAG v. 05.03.1959 – 2 AZR 268 / 56, AP Nr. 26 zu § 611 BGB Fürsorgepflicht = NJW 1959, 1555 (1557). 182  Oetker, in: Staudinger BGB, § 618 Rn. 141. 183  Angelehnt an das Beispiel des BAG in seiner Entscheidung v. 05.03.1959 – 2 AZR 268 / 56, AP Nr. 26 zu § 611 BGB Fürsorgepflicht = NJW 1959, 1555 (1558).



F. Haftung zwischen Arbeitgeber und Arbeitnehmer87

kann aber auch für die Fälle rechtswirksam erzielt werden, in welchen der Arbeitgeber dem Arbeitnehmer durch technische Vorkehrungen eine Trennung der dienstlichen von den privaten Daten mittels Containerization ermöglicht, aber zugleich bestimmt, dass für private Daten, die im dienstlichen Container gespeichert werden, keine Haftung für einfache Fahrlässigkeit besteht, sollten diese per Fernlöschung automatisch gelöscht werden. c) Weitere Möglichkeiten der Haftungsbeschränkung Angesichts dieser sehr restriktiv auszulegenden Haftungsausschlüsse und der daraus resultierenden begrenzten gestalterischen Möglichkeiten verwundert es stark, dass in der BYOD-spezifischen arbeitsrechtlichen Literatur kaum weitere Möglichkeiten des Arbeitgebers diskutiert werden, sein haftungsrechtliches Risiko zu beschränken, zumindest aber kalkulierbarer zu machen. So wird insbesondere nicht auf die überaus wichtige haftungsbeschränkende Wirkung konkreter arbeitgeberseitiger Anordnungen und Anweisungen im Umgang mit den privaten Devices, der Datenaufbewahrung und Datensicherung sowie zur diebstahlsicheren Aufbewahrung eingegangen, obwohl diese – anders als entsprechende Haftungsausschlüsse – die Schadenersatzpflicht des Arbeitgebers bereits tatbestandsmäßig ausschließen, zumindest aber doch dazu führen können, dass sich der Arbeitnehmer bei Verlust oder Beschädigung des Privatgeräts ein mitwirkendes Verschulden zurechnen lassen muss, sollte er gegen die zulässigen184 Anweisungen verstoßen haben.185 Häufig wird das mitwirkende Verschulden sogar zu einem vollständigen Anspruchsverlust führen. Angesichts dessen sind die oben genannten Anweisungen und Regelungen nicht nur im datenschutzrechtlichen, sondern auch im haftungsrechtlichen Kontext erforderlich. Darüber hinaus ist an die Möglichkeit zu denken, entsprechende Ausschlussfristen in die Nutzungsvereinbarung einzubeziehen. Sofern bei deren Gestaltung § 202 Abs. 1 BGB berücksichtigt wird und die Frist ausreichend lang bemessen ist (mindestens 3 Monate186), kommt ihnen eine haftungsbeschränkende Wirkung zu. 184  Zulässig sind solche Anweisungen, wenn sie einer Angemessenheitskontrolle standhalten, insbesondere hinsichtlich des Regelungsziels erforderlich sind und für die Arbeitnehmer keine unverhältnismäßigen Nachteile zur Folge haben (Reichold /  MünchArbR I, § 85 Rn. 23). 185  Auf derartige Anweisungen und Regelungen wird unverständlicherweise vielfach nur im datenschutzrechtlichen nicht aber auch im haftungsrechtlichen Kontext eingegangen. 186  BAG v. 28.09.2005 – 5 AZR 52 / 05, AP Nr. 7 zu § 307 BGB Bl. 4 = NZA 2006, 149 (152); 28.11.2007  – 5 AZR 992 / 06, AP Nr. 33 zu § 307 BGB Rn. 25 = NZA 2008, 293 (294); 19.12 2007 – 5 AZR 1008 / 06, NZA 2008, 464 (466); sowie allgemein zur AGB-Kontrolle von Ausschlussfristen: Lakies, ArbRAktuell 2013, 318.

88

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

Pragmatisch und die kalkulierbarste Lösungsmöglichkeit – vor allem mit Blick auf mögliche verschuldensunabhängige Ersatzansprüche – bietet schließlich aber der Abschluss einer zusätzlichen Geräteversicherung für die privaten IT-Geräte und die Software der Mitarbeiter. Zusätzlich deshalb, weil zumindest die üblichen Betriebshaftpflichtversicherungen Schäden an mitarbeitereigener Hard- und Software regelmäßig nicht mit abdecken werden.187 Sollte der Arbeitgeber ohnehin eine (Sach-)Inhaltsversicherung bzw. die hierzu speziellere und umfassendere Elektronikversicherung abgeschlossen haben, wird im Einzelfall sorgfältig zu prüfen sein, ob die mobilen IT-Geräte tatsächlich als „Gebrauchsgegenstände des Betriebsangehörigen“ vom Versicherungsschutz mit umfasst sind oder ob es hierfür nicht einer entsprechenden Erweiterung bedarf. 2. Verschuldensunabhängige Haftung des Arbeitgebers a) Grundsätze der verschuldensunabhängigen Haftung bei Eigenschäden des Arbeitnehmers Auch ohne ein Verschulden des Arbeitgebers kann dem Arbeitnehmer ein Schadenersatzanspruch zustehen, sofern es sich um einen sog. betrieblich veranlassten Sonderschaden („Eigenschaden“) handelt. Die Rechtsprechung zieht zur dogmatischen Begründung eines solchen Anspruchs § 670 BGB analog heran.188 Die Brücke zu § 670 BGB schlägt sie über § 675 BGB, und der Aufwendungsbegriff, der nur freiwillige Vermögensopfer umfasst, wird auf erlittene Schäden, also unfreiwillige Vermögensopfer, ausgedehnt.189 Das entspricht der allgemeinen zivilrechtlichen Dogmatik, wonach Schäden des Auftragnehmers bei Durchführung eines Auftrags als Aufwendung geltend gemacht werden können, wenn sich dabei das tätigkeitsspezifische Risiko verwirklicht hat.190 Voraussetzung für eine verschuldensunab187  Conrad / Schneider,

ZD 2011, 153, (158); Franck, RDV 2013, 185 (189). GS v. 10.11.1961  – GS 1 / 60, AP Nr. 2 zu § 611 BGB Gefährdungshaftung des Arbeitgebers = NJW 1962, 411 (414 ff.); 08.05.1980  – 3 AZR 82 / 79, AP Nr. 6 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Bl. 1 R = NJW 1981, 702; 16.03.1995 – 8 AZR 260 / 94, AP Nr. 12 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Bl. 1 R = NZA 1995, 836; 28.10.2010 − 8 AZR 647 / 09, AP Nr. 43 zu § 611 BGB Haftung des Arbeitgebers Rn. 22 = NZA 2011, 406 (407); 22.06.2011 – 8 AZR 102 / 10, AP Nr. 45 zu § 611 BGB Haftung des Arbeitgebers Rn. 19 f. = NZA 2012, 91 (92). Zu den unterschiedlichen dogmatischen Ansätzen im arbeitsrecht­ lichen Schrifttum: Martinek, in: Staudinger BGB, § 670 Rn. 20 ff. 189  Siehe Rechtsprechung Fn. 209. Sowie Preis, in: ErfK-Arbeitsrecht, § 619a BGB Rn.  77 ff.; Seiler / MüKo-BGB, § 670 Rn. 17. 190  BGH v. 07.11.1960  – VII ZR 82 / 59 = NJW 1961, 359 (360); 27.11.1962  – VI  ZR 217 / 61 = NJW 1963, 390 (392); 05.12,1983  – II ZR 252 / 82 = NJW 1984, 188  BAG



F. Haftung zwischen Arbeitgeber und Arbeitnehmer89

hängige Einstands- und Ersatzpflicht des Arbeitgebers ist stets, dass der Arbeitnehmer einen Sach- oder Vermögensschaden „bei Ausführung einer betrieblichen Tätigkeit“191 erlitten hat. Der Schaden muss in einem inneren Zusammenhang mit der betrieblichen Tätigkeit stehen und darf nicht nur gelegentlich bei dieser eingetreten sein.192 Nicht erfasst sind folglich solche Schäden, die zwar einen räumlichen und zeitlichen Bezug zum Arbeitsverhältnis aufweisen, allerdings bei der Verfolgung privater Interessen des Arbeitnehmers entstehen.193 Eine darüber hinausgehende tätigkeitsbezogene Einschränkung dergestalt, dass es sich bei der betrieblichen Tätigkeit um eine gefährliche gehandelt haben muss, ist nach neuerer Rechtsprechung indessen nicht mehr erforderlich.194 Die Ersatzfähigkeit des Eigenschadens setzt weiterhin voraus, dass dieser nicht dem allgemeinen Lebensbereich des Arbeitnehmers zuzurechnen ist, sondern dem Betätigungsbereich des Arbeitgebers und dass der Arbeitnehmer ihn nicht selbst zu tragen hat, weil er hierfür keine besondere Vergütung erhält.195 Hierdurch wird die Ersatzpflicht des Arbeitgebers unter dem Aspekt der Risikotragung eingegrenzt; Schäden, bei denen sich lediglich das allgemeine Lebensrisiko des Arbeitnehmers realisiert, werden ausgenommen196 genauso wie arbeitsadäquate Sachschäden, mit denen nach Art und Natur des Betriebes oder der Arbeit zu rechnen ist und die notwendig, üblicherweise oder regelmäßig entstehen, weil sie 789 (790); HK-BGB / Schulze, § 670 Rn. 8; Salamon / Koch, NZA 2012, 658; Seiler / ­ MüKo-BGB, § 670 Rn. 14. § 670 BGB umfasst damit nur den „ex causa mandati“, nicht aber auch den „ex occasione mandati“ entstandenen Schaden. 191  BAG v. 16.03.1995  – 8 AZR 260 / 94, AP Nr. 12 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Ls. 1= NZA 1995, 836; 28.10. 2010  – 8 AZR 647 / 09, AP Nr. 43 zu § 611 BGB Haftung des Arbeitgebers Rn. 27 = NZA 2011, 406 (408); Siehe hierzu auch Reichold / MünchArbR I, § 85 Rn. 29. 192  BAG v. 16.03.1995  – 8 AZR 260 / 94, AP Nr. 12 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Ls. 1 = NZA 1995, 836; Hromadka / Maschmann, Arbeitsrecht I, § 9 Rn. 4. 193  BeckOK-BGB / Hesse, § 619a Rn. 57; Preis, in: ErfK-Arbeitsrecht, § 619a BGB Rn. 81. 194  So noch BAG GS v. 10.11.1961  – GS 1 / 60, AP Nr. 2 zu § 611 BGB Gefährdungshaftung des Arbeitgebers = NJW 1962, 411 (412.); vgl. auch BeckOKBGB / Hesse, § 619a Rn. 57; Hromadka / Maschmann, Arbeitsrecht I, § 9 Rn. 4. 195  BAG v. 16.03.1995  – 8 AZR 260 / 94, AP Nr. 12 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Bl.1 R = NZA 1995, 836; 28.10.2010  – 8 AZR 647 / 09, AP Nr. 43 zu § 611 BGB Haftung des Arbeitgebers Rn. 26 = NZA 2011, 406 (408); 22.06.2011  – 8 AZR 102 / 10, AP Nr. 45 zu § 611 BGB Haftung des Arbeitgebers Rn. 20 = NZA 2012, 91 (92). 196  Siehe hierzu nur BAG v. 22.06.2011  − 8 AZR 102 / 10, AP Nr. 45 zu § 611 BGB Haftung des Arbeitgebers Rn. 21= NZA 2012, 91 (92) sowie AnwK-­ ArbR / Brors, § 611 Rn. 957; BeckOK-BGB / Hesse, § 619a Rn. 58; Preis, in: ErfKArbeitsrecht, § 619a BGB Rn. 82.

90

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

regelmäßig mit der laufenden Vergütung abgegolten sind.197 Arbeitsinadäquate Sachschäden sind dagegen grundsätzlich erstattungsfähig, es sei denn, dem Arbeitnehmer wurde eine besondere Vergütung in Form einer Zulage gewährt.198 Diese muss ausdrücklich den Zweck verfolgen, den eingetretenen Sachschaden abzugelten und der Höhe nach jedenfalls so bemessen sein, dass der Arbeitnehmer wirtschaftlich in die Lage versetzt wird, eine Versicherung zwecks Risikoabdeckung abzuschließen.199 Ein etwaiges Mitverschulden muss sich der Arbeitnehmer in entsprechender Anwendung des § 254 BGB anrechnen lassen, wobei auch hier die Grundsätze über den innerbetrieblichen Schadensausgleich zu berücksichtigen sind.200 Bei vorsätzlichem und grob fahrlässigem Verhalten des Arbeitnehmers trifft den Arbeitgeber deshalb grundsätzlich keine Erstattungspflicht. Ob die Grundsätze der verschuldensunabhängigen Haftung des Arbeitgebers bei Eigenschäden des Arbeitnehmers vertraglich zu Lasten des Arbeitnehmers disponibel sind, hat das BAG201 bislang offen gelassen. Die vergleichbare Fallgestaltung der privilegierten Arbeitnehmerhaftung hat es als einseitig zwingendes Arbeitnehmerschutzrecht erachtet, von dem weder einzel- noch kollektivrechtlich zu Lasten des Arbeitnehmers abgewichen werden könne.202 Es hat dabei allerdings auch festgestellt, dass ein Anspruch aus § 670 BGB jedenfalls durch eine entsprechende (Risiko-)Vergütung ausgeschlossen werden kann. Voraussetzung sei nur, dass der Arbeitnehmer mit der Vergütung als Gegenwert für die Übernahme des Verlustund Beschädigungsrisikos dieses Risiko versichern könne. Von einem Teil der arbeitsrechtlichen Literatur wird die Abdingbarkeit der verschuldens­ 197  BAG GS v. 10.11.1961  – GS 1 / 60, AP Nr. 2 zu § 611 BGB Gefährdungshaftung des Arbeitgebers = NJW 1962, 411 (415); 08.05.1980 – 3 AZR 82 / 79, AP Nr. 6 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Bl. 1 R = NJW 1981, 702. 198  BAG v. 10.11.1961  – GS 1 / 60, AP Nr. 2 zu § 611 BGB Gefährdungshaftung des Arbeitgebers = NJW 1962, 411 (415); 08.05.1980  – 3 AZR 82 / 79, AP Nr. 6 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Bl. 1 R = NJW 1981, 702; 28.10.2010  – 8 AZR 647 / 09, AP Nr. 43 zu § 611 BGB Haftung des Arbeitgebers Rn. 26 f. = NZA 2011, 406 (408) m. w. N. 199  BAG v. 27.01.2000 – 8 AZR 876 / 98, AP Nr. 31 zu § 611 BGB Musiker Bl. 5 = NZA 2000, 727 (730); AnwK-ArbR / Brors, § 611 Rn. 968; Preis, in: ErfK-Arbeitsrecht, § 619a BGB Rn. 82. 200  BAG v. 23.11.2006  – 8 AZR 701 / 05, AP Nr. 39 zu § 611 BGB Haftung des Arbeitgebers Rn. 19 = NZA 2007, 870 (871); 28.10.2010  – 8 AZR 647 / 09, AP Nr. 43 zu § 611 BGB Haftung des Arbeitgebers Rn. 35 = NZA 2011, 406 (408); 22.06.2011  – 8 AZR 102 / 10, AP Nr. 45 zu § 611 BGB Haftung des Arbeitgebers Rn. 35 = NZA 2012, 91 (94); Salamon / Koch, NZA 2012, 658 (659). 201  BAG v. 27.01.2000 – 8 AZR 876 / 98, AP Nr. 31 zu § 611 BGB Musiker Bl. 5 = NZA 2000, 727 (730). 202  BAG v. 27.01.2000 – 8 AZR 876 / 98, AP Nr. 31 zu § 611 BGB Musiker Bl. 5 = NZA 2000, 727 (730).



F. Haftung zwischen Arbeitgeber und Arbeitnehmer91

unabhängigen Haftung des Arbeitgebers für Eigenschäden des Arbeitnehmers deshalb konsequenterweise verneint.203 Wenn von den Grundsätzen der privilegierten Arbeitnehmerhaftung nicht zuungunsten des Arbeitnehmers abgewichen werden könne, weil sie zwingendes Arbeitnehmerschutzrecht seien, könne für die auf demselben Rechtsgedanken beruhende verschuldensunabhängige Haftung für Eigenschäden nichts anderes gelten.204 Die Gegenauffassung schließt die Abdingbarkeit von Abreden über eine Veränderung der Grundsätze über den Eigenschaden von Arbeitnehmern hingegen nicht von vornherein aus, unterzieht solche Klauseln jedoch einer „qualifizierten“ Inhaltskontrolle nach § 307 BGB205 und gelangt damit im Wesentlichen zu keinem anderen Ergebnis. b) Betriebsmittelersetzendes BYOD Werden die obigen Grundsätze auf das betriebsmittelersetzende BYOD übertragen, insbesondere auch die wertungsmäßig vergleichbaren Maßstäbe der Rechtsprechung des BAG zur dienstlichen Nutzung eines privaten Pkw berücksichtigt, so trifft den Arbeitgeber eine Entschädigungspflicht aus § 670 BGB analog, wenn der Arbeitnehmer das mobile IT-Gerät bei Erfüllung seiner dienstlichen Tätigkeit oder im Zusammenhang mit dieser verliert, es beschädigt oder ihm gestohlen wird.206 Der Arbeitnehmer ist zur betrieblichen Nutzung des Privatgeräts verpflichtet, weshalb der dienstliche Einsatz einen arbeitsvertraglichen, dem Arbeitgeber zurechenbaren Grund hat: eine betrieblich veranlasste Tätigkeit liegt vor.207 Ohne den Einsatz des Privatgeräts hätte der Arbeitgeber ein eigenes Firmengerät stellen und einsetzen und damit dessen Beschädigungs- und Verlustrisiko tragen müssen. Deshalb ist die dienstliche betriebsmittelersetzende BYOD-Nutzung 203  BeckOK-BGB / Hesse, § 619a Rn. 62; Däubler / DBD, § 309 Rn. 9; MüllerGlöge, FS Dietrich, S. 387 (411); Richardi / Fischinger, in: Staudinger BGB, § 611 Rn. 422; Stoffels, in: Preis, Der Arbeitsvertrag, II H 10 Rn. 6. 204  Vgl. Literatur in Fn. 301. 205  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 88; Mayer-Maly, NZA Beil. 3 / 1991; Preis, in: ErfK-Arbeitsrecht, §  619a BGB Rn.  11 und 94; Reichold / MünchArbR I, § 51 Rn. 68. 206  BAG v. 17.07.1997  – 8 AZR 480 / 95, AP Nr. 14 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Ls. 1 = NZA 1997, 1346; 23.11.2006  – 8 AZR 701 / 05, AP Nr. 39 zu § 611 BGB Haftung des Arbeitgebers Ls. 1= NZA 2007, 870; 28.10.2010 – 8 AZR 647 / 09, AP Nr. 43 zu § 611 BGB Haftung des Arbeitgebers Ls. 1 = NZA 2011, 406 (408); 22.06.2011  – 8 AZR 102 / 10, AP Nr. 45 zu § 611 BGB Haftung des Arbeitgebers Ls. 1 = NZA 2012, 91 (92). Auf die Grundsätze der Haftung bei der Nutzung des privaten Pkw verweisen auch Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 90 und Däubler, Internet und Arbeitsrecht, § 4 Rn. 210r. 207  AnwK-ArbR / Brors, § 611 Rn. 957.

92

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

allein dem Betätigungsbereich des Arbeitgebers zuzurechnen und nicht dem Lebensbereich des Arbeitnehmers.208 Durch das gewährte Nutzungsentgelt ist ein etwaiger Schaden bzw. Verlust des IT-Geräts regelmäßig nicht abgegolten. Hiervon sind lediglich die laufenden Betriebskosten, nicht jedoch auch das darüber hinaus bestehende Verlust- und Beschädigungsrisiko abgedeckt. Ein Ausschluss des Anspruchs aus § 670 BGB kann nur durch Abgeltung in Form einer gesonderten Risikoprämienzahlung erzielt werden. Diese muss in der BYOD-Nutzungsvereinbarung so formuliert sein, dass ihr Zweck eindeutig benannt wird und der Höhe nach so bemessen, dass der Arbeitnehmer zumindest eine entsprechende Geräteversicherung zur Risikoabdeckung abschließen kann.209 Mit Blick auf §§ 307 ff. BGB begegnet aber gerade die Bezifferung der Riskozulagenhöhe erheblichen praktischen Schwierigkeiten, so dass der Klausel stets das Risiko einer nur unzureichenden Abgeltung anhaftet, mit der Folge, dass dem Arbeitnehmer ein entsprechender Erstattungsanspruch aus § 670 BGB zustünde.210 Pragmatischer und insgesamt auch rechtssicherer ist es deshalb für den Arbeitgeber, wenn er die Haftung nicht durch eine entsprechende Risikovergütung ausschließt, sondern etwaige Schäden und Verluste der Privatgeräte durch eine – wie bereits bei der verschuldensabhängigen Haftungspflicht des Arbeitgebers angesprochenen – von ihm selbst abgeschlossenen Versicherung abdeckt und dies in der BYOD-Nutzungsvereinbarung auch explizit festhält.211 Des Weiteren ist es im Sinne der Rechtsklarheit sinnvoll, eindeutige Regelungen dergestalt aufzunehmen, dass diejenigen Verlust- und Beschädigungskosten, die keine Beziehung zur betrieblichen Nutzung aufweisen, grundsätzlich vom Mitarbeiter selbst zu tragen sind.212 Derartige Regelungen haben nur deklaratorische Wirkung, geben ausschließlich die bestehende Rechtslage wieder und unterliegen keiner AGB-Inhaltskontrolle.

208  Dies entspricht der Argumentation des BAG zur dienstlichen Nutzung eines privaten Pkw. Dort erfolgt eine Zurechnung zum Betätigungsbereich des Arbeitgebers „wenn ohne den Einsatz des Arbeitnehmerfahrzeugs der Arbeitgeber ein eigenes Fahrzeug einsetzen und damit dessen Unfallgefahr tragen müsste“ (28.10.2010 – 8 AZR 647 / 09, AP Nr. 43 zu § 611 Haftung des Arbeitgebers Rn. 28). 209  BAG v. 27.01.2000 – 8 AZR 876 / 98, AP Nr. 31 zu § 611 BGB Musiker Bl. 5 = NZA 2000, 727 (730); AnwK-ArbR / Brors, § 611 Rn. 968. 210  Zöll / Kielkowski, BB 2012, 2625 (2628). 211  So auch Franck, RDV 2013, 185 (189); Zöll / Kielkowski, BB 2012, 2625 (2628). 212  Brachmann, AuA 2013, 680 (683).



F. Haftung zwischen Arbeitgeber und Arbeitnehmer93

c) Optionales BYOD Beim optionalen BYOD steht es dem Arbeitnehmer frei, ob er sein Privatgerät benutzt. Bei betrieblicher Notwendigkeit stehen ihm weiterhin ­firmeneigene Geräte zur Verfügung. Seine Dienstaufgaben kann der Arbeitnehmer problemlos auch ohne Einsatz seines eigenen IT-Geräts erledigen. Er greift mithin primär aus Gründen der persönlichen Erleichterung oder Bequemlichkeit auf sein Privatgerät zurück.213 Das hat zur Folge, dass die dienstliche Nutzung des Device nicht dem Tätigkeitsbereich des Arbeitgebers, sondern dem persönlichen Lebensbereich des Arbeitnehmers zuzurechnen ist und der Arbeitnehmer das bestehende Verlust- und Beschädigungsrisiko folglich selbst tragen muss.214 Ferner dürfte das mit der Ausführung der Tätigkeit verbundene Schadens- bzw. Verlustrisiko angesichts der weiterhin zur Verfügung gestellten unternehmenseigenen Geräte nicht zur Erreichung des Arbeitszwecks notwendig sein, weshalb ein eingetretener Schaden oder Verlust jedenfalls nicht „erforderlich“ im Sinne der Norm wäre. Eine Ersatzpflicht nach den Grundsätzen der verschuldensunabhängigen Haftung des Arbeitgebers bei Eigenschäden des Arbeitnehmers scheidet demnach aus.215 In der BYOD-Nutzungsvereinbarung sollte diese mangelnde Ersatzpflicht ausdrücklich festgehalten werden. Dabei muss die entsprechende Regelung eindeutig klarstellen, dass die verschuldensunabhängige Ersatzpflicht des Arbeitgebers für die Fälle ausgeschlossen ist, in denen der Mitarbeiter das private IT-Gerät bei dienstlicher Nutzung verliert, es beschädigt oder ge213  Vgl. dazu BAG v. 08.05.1980  – 3 AZR 82 / 79, AP Nr. 6 zu § 611 BGB Gefährdungshaftung des Arbeitgebers Bl. 2 = NJW 1981, 702; 23.11.2006 – 8 AZR 701 / 05, AP Nr. 39 zu § 611 BGB Haftung des Arbeitgebers Rn. 16b = NZA 2007, 1486 (1487). Ebenso Berndt, NJW 1997, 2213 (2214). 214  Mit wertungsmäßig vergleichbarer Argumentation verneint das BAG regelmäßig die Erstattungspflicht des Arbeitgebers bei einem Unfallschaden am Privatfahrzeug des Arbeitnehmers: „Ist es dem Arbeitnehmer (…) freigestellt, ob er zur Arbeitsstelle zu Fuß geht, mit öffentlichen Verkehrsmitteln fährt oder im eigenen Interesse sein Fahrzeug nutzt, erfolgt die Nutzung des Pkw nicht im Betätigungsbereich des Arbeitgebers.“ (v. 22.06.2011  – 8 AZR 102 / 10, AP Nr. 45 zu § 611 BGB Haftung des Arbeitgebers Rn. 26 = NZA 2012, 91 (92); ähnlich auch schon BAG v. 23.11.2006  – 8 AZR 701 / 05, AP Nr. 39 zu § 611 BGB Haftung des Arbeitgebers Rn. 16b = NZA 2007, 870 (871). 215  Zu gleichem Ergebnis gelangen auch Arning und Moos (Datennutzungsverträge, Teil 4 VI Rn. 88), als einige von wenigen, die hinsichtlich der Haftungsfragen unzweideutig zwischen dem betriebsmittelersetzendem um dem optionalen BYOD unterscheiden. Allerdings wird dabei nicht hinreichend ersichtlich, ob hierzu dogmatisch die Konstruktion eines Haftungsausschlusses herangezogen wird, oder die Ersatzpflicht – wie hier vertreten – schon aufgrund der fehlenden Tatbestandsvoraussetzungen zu verneinen ist.

94

2. Kap., § 4: Regelungsaspekte und inhaltliche Ausgestaltung

stohlen wird, sofern dem Arbeitgeber kein Vorsatz oder grobe Fahrlässigkeit vorzuwerfen ist. Da eine solche Vereinbarung nur die bestehende Rechtslage wiedergibt, unterliegt sie keiner AGB-Inhaltskontrolle.216 III. Ersatzbeschaffungspflicht Eng mit den haftungsrechtlichen Problemen ist die Frage verbunden, ob der Arbeitnehmer verpflichtet ist oder werden kann, sich erneut ein entsprechendes mobiles IT-Gerät anzuschaffen, wenn sein bisheriges Gerät beschädigt, zerstört oder verloren gegangen ist, ohne dass eine betriebliche Veranlassung vorgelegen hat. Von vornherein verneint werden muss eine Ersatzbeschaffungspflicht beim optionalen BYOD. Bei diesem bleibt die sonst zwischen Arbeitgeber und Arbeitnehmer bestehende Pflichtenaufteilung hinsichtlich der Bereitstellung von Arbeitsmitteln unberührt. Der Arbeitgeber allein muss die IT-Geräte bereitstellen. Möchte er hiervon abweichen, bedarf es einer ausdrücklichen, auf Ersatzbeschaffung gerichteten Vereinbarung. Weil die dienstliche Nutzung jedoch regelmäßig nicht gesondert vergütet wird, ist deren Wirksamkeit nach der hier vertretenen Ansicht zu verneinen, da hierdurch bestehende Arbeitgeberpflichten unzulässigerweise auf den Arbeitnehmer übertragen würden.217 Beim betriebsmittelersetzenden BYOD wird demgegenüber bewusst von der bestehenden Pflichtenaufteilung abgewichen; der Arbeitnehmer stellt nunmehr das IT-Gerät bereit. Daraus allein kann jedoch noch keine Ersatzbeschaffungspflicht abgeleitet werden, sofern die BYOD-Nutzungsvereinbarung als arbeitsvertragliche Änderungs- bzw. Ergänzungsvereinbarung qualifiziert und die daraus resultierende spezifische Risikoverteilung, wonach der Arbeitgeber zur Bereitstellung der Arbeitsmittel verpflichtet ist, berücksichtigt wird.218 Ohne besondere, ausdrückliche Vereinbarung muss auch hier eine Ersatzbeschaffungspflicht ausscheiden.

G. Herausgabepflichten Bei einem BYOD-Einsatz kann es Fallkonstellationen geben, in denen der Arbeitgeber ein Interesse daran hat, das mobile IT-Gerät und die darauf 216  BeckOK-BGB / Schmidt, § 307 Rn. 70, 75; Coester / Staudinger BGB, § 307 Rn.  289 ff.; Wurmnest / MüKo-BGB, § 307 Rn. 6 ff. 217  Muser, Personalwirtschaft Sonderheft 10 / 2013, S. 18 (19), spricht insoweit von „erheblichen Bedenken“. 218  Die in Kapitel 2 § 3 B. II. aufgezeigte Gegenansicht, die zur Regelung des BYOD-Nutzungsverhältnisses die mietrechtlichen Vorschriften für anwendbar erachtet, bejaht eine entsprechende Ersatzbeschaffungspflicht aus § 535 Abs. 1 Satz 1 BGB.



H. Beendigung des Arbeitsverhältnisses95

gespeicherten Daten vom Arbeitnehmer herauszuverlangen. Denkbare Gründe sind insbesondere der Verdacht einer Straftat, die Durchführung von Wartungs- und Supportarbeiten, die Installation von Sicherheitsprogrammen und deren Updates, die endgültige und dauerhafte Veräußerung des Privatgeräts, die Beendigung des Arbeitsverhältnisses oder schlicht die stichprobenartige Kontrolle der Einhaltung von Verpflichtungen aus der BYODNutzungsvereinbarung.219 Weil BYOD keinerlei Einfluss auf die eigentumsrechtliche Lage der IT-Geräte hat und die BYOD-Nutzungsvereinbarung vertragstypologisch nicht als Mietvertrag einzuordnen ist – bei dem sich ein Recht zur jedenfalls vorübergehenden Herausgabe aus dem Mietvertrag selbst ergeben würde (§ 535 Abs. 1 Satz 1 BGB) –, bedürfen entsprechende Herausgabepflichten einer ausdrücklichen Vereinbarung. Damit diese einer AGB-Kontrolle standhalten, den Arbeitnehmer vor allem nicht unangemessen i. S. des § 307 BGB benachteiligen, müssen sie auf die begründeten Ausnahmefälle der beschriebenen Art beschränkt sein und so konkretisiert werden, dass für den Arbeitnehmer hinreichend deutlich ist, unter welchen Voraussetzungen er mit der Herausgabe des Geräts und den darauf gespeicherten Daten rechnen muss. Vor dem Hintergrund einer unangemessenen Benachteiligung nach § 307 BGB wird bei einer länger andauernden Herausgabe220 auch stets zu berücksichtigen sein, ob dem Arbeitnehmer für die Zeit der Herausgabe ein gleichartiges und vollständig eingerichtetes unternehmenseigenes Ersatzgerät überlassen wird, um ihn so zu stellen, wie er ohne die Herausgabe stünde.221

H. Beendigung des Arbeitsverhältnisses Bei Beendigung des Arbeitsverhältnisses ist der Arbeitnehmer auch ohne besondere Absprache nach § 667 BGB verpflichtet, dienstliche Kontaktdaten, Geschäftsunterlagen, Aufzeichnungen und alle sonstigen in Erfüllung seiner dienstlichen Tätigkeit erlangten Daten, die er auf seinem mobilen IT-Gerät gespeichert hat, an den Arbeitgeber herauszugeben.222 Gleichwohl ist es sinnvoll, diese Verpflichtung deklaratorisch in eine entsprechende 219  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 100; Göpfert / Wilke, NZA 2012, 765 (769). 220  Arning / Moos setzen in Datennutzungsverträge, Teil 4 VI Rn. 101 eine Überschreitung von 24 Stunden voraus. 221  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 100; Göpfert / Wilke, NZA 2012, 765 (769). 222  BAG v. 14.12.2011 – 10 AZR 283 / 10, AP Nr. 2 zu § 667 BGB Rn. 17 = NZA 2012, 501 (502); Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 88; Brachmann, RDV 2013, 680 (684); Göpfert / Wilke, NZA 2012, 765 (769); Imping / Pohle, K&R 2012, 470 (474); Preis, in: ErfK-Arbeitsrecht, § 611 BGB Rn. 754.

96

2. Kap., § 5: Beteiligungsrechte des Betriebsrats

Regelung der BYOD-Nutzungsvereinbarung aufzunehmen.223 In dieser kann auch näher definiert werden, welche Daten vom Arbeitgeber konkret herauszugeben und welche Kopien zu löschen sind.224 Mangels Eigentümerstellung an den privaten Daten kann der Arbeitgeber die Kontrolle dieser Verpflichtung allerdings nur schwer verwirklichen. Die Möglichkeit der in Kapitel 3 § 7 II 7 c noch näher zu erörternden Fernlöschung ist in diesem Zusammenhang deshalb besonders bedeutsam und sollte neben den oben beschriebenen Fallkonstellationen auch bei Beendigung des Arbeitsverhältnisses ausdrücklich vorbehalten sein, wenn dafür nicht ohnehin eine temporäre Herausgabepflicht vereinbart wird, um eine vollständige Datenlöschung durch den Arbeitgeber sicherzustellen.

§ 5 Betriebsverfassungsrechtliche Beteiligungsrechte des Betriebsrats In Betrieben, in denen ein Betriebsrat gewählt wurde, kann eine wirksame Implementierung von BYOD nur im Einvernehmen mit dem Betriebsrat erfolgen. Ist die unternehmerische Entscheidung zur Einführung gefallen, stehen dem Betriebsrat umfassende Beteiligungsrechte in der Planungs-, Vorbereitungs- und Umsetzungsphase zu. Es ist daher notwendig, den Betriebsrat schon von Anfang an mit in die BYOD-Konzeptionierung einzubeziehen. In Folgendem sollen die wichtigsten einschlägigen betriebsverfassungsrechtlichen Beteiligungsrechte aufgezeigt und erläutert werden, wobei sich die Darstellung nicht an den zeitlichen Abläufen der Implementierung, sondern an der Art der Beteiligung des Betriebsrats orientiert. Eine Darstellung nach Zeitabläufen225 würde dem Charakter der Implementierung von BYOD als dynamischem Prozess nicht hinreichend gerecht werden, stehen doch Planungs-, Vorbereitungs- und Umsetzungsphase gerade bei späterer Optimierung des Konzepts häufig zeitlich nebeneinander.226

223  Arning / Moos,

Datennutzungsverträge, Teil 4 VI Rn. 88. K&R 2012, 470 (474). 225  Eine solche erfolgt häufig bei Darstellung der Beteiligungsrechte des Betriebsrats bei der Telearbeit: Albrecht, NZA 1996, 1240 (1243 f.); Peter, DB 1998, 573 (577 ff.); Rieble / Picker, ZfA 2013, 383 (425); Schmechel, NZA 2004, 237 (238 ff.); Wedde, CR 1994, 230 (231 ff.). 226  Vgl. Boemke / Ankersen, BB 2000, 2254 (2255). 224  Imping / Pohle,



A. Allgemeiner Unterrichtungsanspruch – § 80 Abs. 2 BetrVG 97

A. Allgemeiner Unterrichtungsanspruch – § 80 Abs. 2  BetrVG § 80 Abs. 2 BetrVG gewährt dem Betriebsrat nicht nur bei den in § 80 Abs. 1 BetrVG genannten allgemeinen Aufgaben einen Informationsanspruch, sondern hinsichtlich sämtlicher ihm durch das BetrVG zugewiesenen Aufgaben.227 Der Arbeitgeber muss den Betriebsrat rechtzeitig unterrichten, d. h. so frühzeitig informieren, dass dieser seine gesetzliche Aufgabe erfüllen kann.228 Die Unterrichtung hat unaufgefordert und umfassend zu erfolgen. Der Betriebsrat muss von allen Angaben Kenntnis erlangen, die er benötigt, um seine Entscheidung ordnungsgemäß zu treffen.229 Das setzt voraus, dass die Unterrichtung vollständig und in einer für den Betriebsrat verständlichen Form erfolgt.230 Für die BYOD-Konzeptionierung hat dies zur Folge, dass der Arbeitgeber den Betriebsrat noch vor der endgültigen Entscheidung über die Einführung von BYOD, d. h. im Planungsstadium zu informieren hat, um ihm die Möglichkeit zu geben, gegebenenfalls unter Ausschöpfung seiner Beteiligungsrechte auf die Entscheidung einwirken zu können.231 Auf Verlangen des Betriebsrats ist der Arbeitgeber verpflichtet, ihm die zur Durchführung seiner Aufgaben erforderlichen Unterlagen jederzeit zur Verfügung zu stellen, unter den Voraussetzungen des § 80 Abs. 2 S. 3 BetrVG auch sachkundige Arbeitnehmer als Auskunftspersonen. Letzteres wird zur Wahrnehmung der Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG sowie der Überwachung zur Einhaltung der Bestimmungen des BDSG (§ 80 Abs. 1 Nr. 1 BetrVG) v. a. im Zusammenhang mit der komplexen und schwierigen technischen Ausgestaltung des BYOD-Konzepts regelmäßig notwendig sein. Die Hinzuziehung betriebsfremder Sachverständiger nach § 80 Abs. 3 BetrVG kommt grundsätzlich erst dann in Betracht, wenn die betriebsinternen Informationsquellen ausgeschöpft sind.232 Zusam227  Fitting, § 80 BetrVG Rn. 4; Weber, GK-BetrVG § 80 Rn. 7; Koch, in: Schaub Arbeitsrechts-Handbuch, § 233 Rn. 16; Thüsing, in: Richardi, § 80 BetrVG, Rn. 47. 228  Weber, GK-BetrVG, § 80 Rn. 70. 229  Thüsing, in: Richardi, § 80 BetrVG, Rn. 54 f.; Weber, GK-BetrVG, § 88 Rn. 71. 230  Fitting, § 80 BetrVG Rn. 56: „kein Fachchinesisch“; Weber, GK-BetrVG, § 88 Rn. 61. 231  So im Zusammenhang mit der Telearbeit: Boemke / Ankersen, BB 2000, 2254 (2255). 232  BAG v. 04.06.1987 – 6 ABR 63 / 85, AP Nr. 30 zu § 80 BetrVG 1972 Bl.2 f. = NZA 1988, 208; 16.11.2005 – 7 ABR 12 / 05, AP Nr. 64 zu § 80 BetrVG 1972 Rn. 31 = NZA 2006, 553 (556); zust.: Matthes / MünchArbR II, § 237 Rn. 33; Oetker, NZA 2003, 1233 (1239); Koch, in: Schaub Arbeitsrechts-Handbuch, § 233 Rn. 21; Vanema, NZA 1993, 252 (253 f.); krit.: Linnenkohl, BB 1988, 766 f.; Pflüger, NZA 1988, 45 (47); Wagner, ArbuR 1993, 70 (71 ff.); Weckbach, NZA 1988, 305 (307).

98

2. Kap., § 5: Beteiligungsrechte des Betriebsrats

mengefasst ist festzuhalten, dass sich der Betriebsrat, gestützt auf das aus § 80 Abs. 2 BetrVG folgende Unterrichtungsrecht, einen ersten Überblick darüber soll verschaffen können, in welchem Umfang mit BYOD zu rechnen ist (beispielsweise, ob BYOD für alle Mitarbeiter oder aber nur einzelnen Arbeitnehmer-Gruppen angeboten werden soll, ob nur bestimmte Geräte­klassen zugelassen werden und wenn ja, welche), wie das BYODKonzept konkret ausgestaltet wird (also die Frage, ob betriebsmittelersetzend oder nur optional) und mit welchen Auswirkungen insbesondere auf die IT-Infrastruktur des Unternehmens zu rechnen ist.

B. Arbeitsplatzplanung – § 90 BetrVG Unterrichtungs- und Beratungsrechte I. Unterrichtungsrecht nach § 90 Abs. 1 BetrVG Nach § 90 Abs. 1 BetrVG steht dem Betriebsrat ein besonderes Unterrichtungsrecht bei solchen Planungen zu, die sich auf die technische und organisatorische Gestaltung der Arbeitsplätze, des Arbeitsablaufs und der Arbeitsumgebung beziehen.233 Bei der Einführung von BYOD ist insbesondere der Planungsgegenstand „technische Anlagen“ (Nr. 2) von der Unterrichtungspflicht betroffen. Als technische Anlagen i. S. der Vorschrift sind alle technischen Geräte, Maschinen und Hilfsmittel zu verstehen, die unmittelbar oder mittelbar dem Arbeitsablauf dienen, für die Arbeitsumgebung von Bedeutung sind oder sich sonst auf die Gestaltung des Arbeitsplatzes auswirken können.234 Auch Bildschirmgeräte sind unter den Begriff der technischen Anlagen zu fassen235, wozu auch die privaten mobilen IT-Geräte der Mitarbeiter wie Laptops, Notebooks, Tablet-PCs und Smartphones zählen.236 BYOD nimmt aber auch Einfluss auf die organisatorische Gestaltung des Arbeitsprozesses und damit den Arbeitsablauf (Nr. 3), verstanden als zeitliche und räumliche Anordnung der Arbeitsvorhaben im Betrieb237, genauso wie auf das Arbeitsverfahren, verstanden als Technologie zur Veränderung des Arbeitsgegenstands i. S. der Arbeitsaufgabe.238 Ebenfalls einschlägig ist 233  Boemke / Ankersen,

BB 2000, 2254 (2256); Fitting, § 90 BetrVG Rn. 1. in: Richardi, § 90 BetrVG, Rn. 11; DKKW-Klebe, § 90 BetrVG Rn. 8; Fitting, § 90 Rn. 20; Kania, in: ErfK-Arbeitsrecht, § 90 BetrVG Rn. 3. 235  Annuß, in: Richardi, § 90 BetrVG, Rn. 11; DKKW-Klebe, § 90 BetrVG Rn. 9; Weber, GK-BetrVG, § 90 Rn. 14. 236  Aufhauser, Bildschirmarbeitsverordnung, § 2 Rn. 2. 237  Annuß, in: Richardi, § 90 BetrVG, Rn. 11; Fitting, § 90 Rn. 24; Weber, GK BetrVG, § 90 Rn. 17; HSWGNR-Rose, § 90 Rn. 37. 238  Annuß, in: Richardi, § 90 BetrVG, Rn. 13; Fitting, § 90 Rn. 23; Weber, GK BetrVG, § 90 Rn. 19. 234  Annuß,



B. Arbeitsplatzplanung – § 90 BetrVG Unterrichtungs- und Beratungsrechte 99

der sehr weite Anwendungsbereich des Planungsgegenstandes „Arbeitsplatz“ (Nr. 4). Der Betriebsrat ist bereits im Planungsstadium rechtzeitig und unter Vorlage der erforderlichen Unterlagen über die BYOD-Konzeptionierung und deren Auswirkungen auf die betreffenden Planungsgegenstände zu unterrichten, so dass er die Möglichkeit erhält, nicht erst die Entscheidung des Arbeitgebers zu beeinflussen, sondern die Planung selbst; er darf folglich nicht vor vollendete Tatsachen gestellt werden.239 Alle Umstände, die für die Beurteilung der Veränderungen, insbesondere in Bezug auf die Art der Arbeit und die Anforderungen an die Arbeitnehmer, von Bedeutung sind, müssen ihm offen dargelegt werden.240 Der Betriebsrat kann unter den Voraussetzungen von § 80 Abs. 2, Abs. 3 BetrVG sachkundige Arbeitnehmer oder Sachverständige hinzuziehen. II. Beratungsrecht nach § 90 Abs. 2 BetrVG Das Beratungsrecht des Betriebsrats nach § 90 Abs. 2 BetrVG, als Konkretisierung des Unterrichtungsrechts nach Abs. 1241, bezieht sich nicht nur auf die beispielhaft genannten Auswirkungen der vorgesehenen Maßnahmen in Bezug auf die Art der Arbeit und die sich daraus ergebenden Anforderungen an die Arbeitnehmer, sondern auch auf alle sonst in Betracht kommenden Auswirkungen der Arbeitsbedingungen auf die Arbeitnehmer.242 Es ermöglicht dem Betriebsrat, schon frühzeitig und umfassend zum BYOD-Konzept des Arbeitgebers Stellung zu beziehen und ihm Verbesserungsvorschläge zu unterbreiten. Hinsichtlich der Art der Arbeit ist vornehmlich über die einzusetzenden Geräteklassen, die konkrete technische Ausgestaltung des BYODKonzepts sowie die erforderlichen Datenschutzmaßnahmen zu beraten. Bezüglich der besonderen Anforderungen an die BYOD-nutzenden Arbeitnehmer wird u. a. an die Notwendigkeit gewisser technischer Kenntnisse zu denken sein, v. a. dann, wenn Sicherheitseinstellungen an den Geräten und der 239  BAG v. 11.12.1991  – 7 ABR 16 / 91, AP Nr. 2 zu § 90 BetrVG 1972 Bl.  3 R = NZA 1992, 850 (852); LAG Frankfurt v. 13.01.1993  – 15 Sa 1291 / 92 = ArbuR 1993, 306; Bernhardt, AiB 2010, 408 f. in Anm. zu ArbG Rostock v. 28.04.2009 – 1 BVGa 3 / 09 = AiB 2010, 407 f.; DKKW-Klebe, § 90 BetrVG Rn. 19; Fitting, § 90 BetrVG Rn. 8; Weber, GK-BetrVG, § 90 Rn. 6. Siehe hierzu auch BT-Drs. VI / 1786, S. 49 sowie den Bericht des BT-Ausschusses für Arbeit und Sozialordnung, zu ­BT-Drs. 6 / 2729, S. 4 f. 240  Annuß, in: Richardi, § 90 BetrVG, Rn. 20; Natzel, DB Beilage 24 / 1972 S. 9; BeckOK ArbR / Werner BetrVG § 90 Rn. 12. 241  Schmechel, NZA 2004, 237 (238). 242  Annuß, in: Richardi, § 90 BetrVG, Rn. 25; Boemke / Ankersen, BB 2000, 2254 (2256); Weber, GK-BetrVG, § 90 Rn. 29.

100

2. Kap., § 5: Beteiligungsrechte des Betriebsrats

Sicherheitssoftware durch die Arbeitnehmer selbst vorgenommen werden sollen oder sie selbst für Support und Wartung der Geräte verantwortlich sind. Fortbildungsmaßnahmen243 können deshalb genauso erforderlich sein wie interne Einführungen bzw. Schulungen zum richtigen Umgang mit den sensiblen Unternehmensdaten. Bei der Beratung sind die gesicherten arbeitswissenschaftlichen Erkenntnisse über die menschengerechte Gestaltung der Arbeit zu berücksichtigen (§ 90 Abs. 2 S. 2 BetrVG).

C. Betriebsänderung – § 111 BetrVG Im Ergebnis zu verneinen ist ein Beteiligungsrecht des Betriebsrats gemäß § 111 S. 1 BetrVG. Die Einführung von BYOD kann weder als Betriebsänderung i. S. des § 111 S. 3 Nr. 4 BetrVG noch als Betriebsänderung i. S. des § 111 S. 3 Nr. 5 BetrVG qualifiziert werden. Die vom Arbeitgeber zur Verfügung gestellten mobilen IT-Geräte werden durch die privaten arbeitnehmereigenen lediglich ersetzt bzw. ergänzt, so dass von einer grundlegenden Änderung der Betriebsanlagen bzw. Arbeitsmethoden keine Rede sein kann.244

D. Betriebliche Mitbestimmungsrechte nach § 87 Abs. 1  BetrVG Die weitestgehenden Beteiligungsrechte im Zusammenhang mit der konkreten Ausgestaltung und Umsetzung des BYOD-Konzepts lassen sich aus § 87 Abs. 1 BetrVG ableiten, dem „Herzstück der Betriebsverfassung“, der dem Betriebsrat ein umfassendes Mitbestimmungsrecht einräumt. I. Ordnungs- und Verhaltensvorschriften (§ 87 Abs. 1 Nr. 1 BetrVG) Gemäß § 87 Abs. 1 Nr. 1 BetrVG hat der Betriebsrat bei Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb mitzubestimmen. Zweck des Mitbestimmungsrechts sind der Schutz und die gleichberechtigte Teilhabe der Arbeitnehmer an der Gestaltung der betrieblichen Ordnung.245 Nach ständiger Rechtsprechung des BAG erfasst das Gesetz die Normierung von Verhaltensregeln zur Sicherung eines ungestörten Arbeitsablaufs und zur Gestaltung eines reibungslosen Zusammenlebens zur Telearbeit Boemke / Ankersen, BB 2000, 2254 (2256). Internet und Arbeitsrecht, § 4 Rn. 210i. 245  Wiese, GK-BetrVG, § 87 Rn. 170 m. w. N.

243  Vgl.

244  Däubler,



D. Betriebliche Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG 101

und Zusammenwirkens der Arbeitnehmer im Betrieb.246 Maßnahmen hingegen, die allein das Arbeitsverhalten des Arbeitnehmers oder in sonstiger Weise lediglich das Verhältnis des Arbeitnehmers zum Arbeitgeber zum Gegenstand haben, unterliegen nicht der Mitbestimmung aus § 87 Abs. 1 Nr. 1  BetrVG.247 Der Betriebsrat ist deshalb notwendig zu beteiligen, wenn der Arbeitgeber konkrete Verhaltensregelungen und Nutzungsbedingungen beim dienstlichen Umgang mit privaten IT-Geräten aufstellen will.248 Sie dienen nicht der Konkretisierung der Arbeitsleistung, sondern betreffen regelmäßig das Ordnungsverhalten der Arbeitnehmer. Deshalb unterliegen dem Mitbestimmungstatbestand insbesondere die für BYOD notwendigen Regelungen im Rahmen der Datenschutzorganisation, wie beispielsweise Vorgaben über Passwortnutzungen249 und Malwareschutz250, Abruffrequenzen der dienstlichen E-Mails251, Verschlüsselung der Firmendaten252 sowie Treiber oder Firmware-Updates. Auch Anweisungen bezüglich der zu verwendenden Klingeltöne und einer Deaktivierung von Ortungsdiensten bei GPS-fähigen Geräten innerhalb des Betriebes sind mitbestimmungspflichtig. Unerheblich ist, ob es sich um eine verbindliche Verhaltensregelung oder eine bloße Empfehlung des Arbeitgebers handelt, da der Mitbestimmungstatbestand auch alle sonstigen auf das Ordnungsverhalten bezogenen Maßnahmen ohne verpflichtenden Charakter umfasst.253 Ebenso unerheblich ist es, wenn sich 246  BAG v. 24.03.1981  – 1 ABR 32 / 78, AP Nr. 2 zu § 87 BetrVG 1972 Arbeitssicherheit Bl.  3; 08.08.1989  – 1 ABR 65 / 88, AP Nr. 15 zu § 87 BetrVG 1972 Ordnung des Betriebes Bl.  2 R.; 27.01.2004  – 1 ABR 7 / 03, AP Nr. 40 zu § 87 BetrVG 1972 Überwachung Bl.  2 R; 18.07.2006  – 1 AZR 578 / 05, AP Nr. 15 zu § 850 ZPO Rn. 24. 247  BAG v. 24.03.1981  – 1 ABR 32 / 78, AP Nr. 2 zu § 87 BetrVG 1972 Arbeitssicherheit; Bl.  3; 24.11.1981  – 1 ABR 108 / 79, AP Nr. 3 zu § 87 BetrVG 1972 Ordnung des Betriebes Ls. 1; 17.01.2012 – 1 ABR 45 / 10, AP Nr. 41 zu § 87 ­BetrVG 1972 Ordnung des Betriebes Rn. 22; Richardi, § 87 BetrVG, Rn. 178; Wiese, GKBetrVG, § 87 Rn. 197 m. w. N. 248  So jedenfalls für das Aufstellen von Regelungen zur Privatnutzung von Internet und E-Mail: LAG Hamm v. 07.04.2006  – 10 TaBV 1 / 06 = NZA-RR 2007, 20 (21); Bloesinger, BB 2007, 2177 (2179); Kramer, ArbRAktuell 2010, 164 (165). 249  Däubler, Internet und Arbeitsrecht, § 4 Rn. 210i; Franck, RDV 2013, 185 (188); Göpfert / Wilke, NZA 2012, 765 (770); Seel, MDR 2014, 69 (71). 250  Franck, RDV 2013, 185 (188). Malware (dt. Schadprogramm) stellt einen Oberbegriff für Programme dar, die entwickelt wurden, um vom Benutzer unerwünschte bzw. schädigende Funktionen auszuführen, wie z. B. Viren oder Würmer. 251  Arning / Moos / Becker, CR 2012, 592 (593); Däubler, Internet und Arbeitsrecht, § 4 Rn. 210i. 252  Brandt, CuA 10 / 2011, 13. 253  BAG st. Rspr. v. 24.03.1981  – 1 ABR 32 / 78, AP Nr. 2 zu § 87 BetrVG 1972 Arbeitssicherheit Bl.  2 R; 18.04.2000  – 1 ABR 22 / 99, AP Nr. 33 zu § 87 BetrVG

102

2. Kap., § 5: Beteiligungsrechte des Betriebsrats

die Regelung nicht allein auf die Betriebsstätte beschränkt, solange sie nicht ausschließlich die private Lebensführung des Arbeitnehmers zum Gegenstand hat, und berechtigte betriebliche Belange zu regeln sind, da der Begriff des Betriebes nicht räumlich, sondern funktional zu verstehen ist.254 Daher ist das Mitbestimmungsrecht auch dann gegeben, wenn es um das Verhalten der Arbeitnehmer außerhalb der Betriebsstätte geht, soweit das „betriebliche“ Verhalten betroffen ist.255 Bei BYOD besteht deshalb ein Mitbestimmungsrecht, wenn Anweisungen hinsichtlich der Abschaltung des Geräts bei Kundenterminen256 getroffen werden oder angeordnet wird, im Ausland Datenroaming257 zu dienstlichen Zwecken zu unterlassen, um so zusätzliche Kosten zu vermeiden258. Auch Verhaltensanordnungen hinsichtlich der Nutzung des Device außerhalb der Arbeitszeit können mitbestimmungspflichtig sein259, so beispielsweise die Anweisung, außerbetrieblich Jailbreaks260 zu unterlassen. Solche Anordnungen tangieren zwar das Privatverhalten der Arbeitnehmer, betreffen dieses jedoch nicht ausschließlich. Mitbestimmungsfrei ist hingegen die grundsätzliche Entscheidung des Arbeitgebers zur Einführung von BYOD. Die Erlaubnis, private Geräte auch dienstlich nutzen zu dürfen, erteilt der Arbeitgeber freiwillig. Sie kann 1972 Überwachung Bl. 2 R; 22.07.2008 – 1 ABR 40 / 07, AP Nr. 14 zu § 87 BetrVG 1972 Rn. 59; Matthes / MünchArbR II, § 243 Rn. 3; Richardi, BetrVG, § 87 Rn. 177; Wiese, GK-BetrVG, § 87 Rn. 178 m. w. N. 254  BAG v. 27.01.2004  – 1 ABR 7 / 03, AP Nr. 40 zu § 87 BetrVG 1972 Überwachung Bl.  3; 22.07.2008  – 1 ABR 40 / 07, AP Nr. 14 zu § 87 BetrVG 1972 Rn. 58. 255  BAG v. 27.01.2004  – 1 ABR 7 / 03, AP Nr. 40 zu § 87 BetrVG 1972 Überwachung Bl.  3; 22.07.2008  – 1 ABR 40 / 07, AP Nr. 14 zu § 87 BetrVG 1972 Rn. 58. Bejaht z. B. für die Einführung von Namensschildern für das außerhalb der Betriebsstätte tätig werdende Fahrpersonal (BAG v. 11.06.2002  – 1 ABR 46 / 01, AP Nr. 38 zu § 87 BetrVG 1972 Ordnung des Betriebs) und die Einführung von Ethikregeln über den Privatbesitz von Wertpapieren und die Ausübung von Nebentätigkeiten bei Redakteuren einer Wirtschaftszeitung (BAG v. 28.05.2002  – 1 ABR 32 / 01, AP Nr. 39 zu § 87 BetrVG 1972 Ordnung des Betriebes). 256  Franck, RDV 2013, 185 (188); Göpfert / Wilke, NZA 2012, 765 (770). 257  Roaming bezeichnet die Möglichkeit von Teilnehmern eines Mobilfunknetzes, ihre Endgeräte mit einer SIM-Card für Verbindungen in fremden Netzen zu nutzen (von Hammerstein, MMR 2001, 214). 258  Arning / Moos / Becker, CR 2012, 592 (593). 259  Göpfert / Wilke, NZA 2012, 765 (770); Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (761). 260  Bei „Jailbreaks“ (dt. Gefängnisausbruch) werden Schutzmechanismen und Sicherheitsstrukturen der Device umgangen, um nicht lizenzierte Software, insbesondere nicht offiziell im App-Store verfügbare Applikationen, zu installieren bzw. Funktionen freizuschalten, die vom Hersteller gesperrt wurden (Frings / Wahlers, BB 2011, 3126 [3133]; Zöll / Kielkowski, BB 2012, 2625 [Fn. 32]). Durch die Umgehung der Schutzmechanismen werden die Geräte besonders anfällig für einen Virenbefall.



D. Betriebliche Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG 103

nicht von ihm erzwungen werden.261 Der Betriebsrat kann auch bei einem Verbot der Privatnutzung während der Arbeitszeit nicht mitbestimmen, da für den Arbeitnehmer hierauf kein Rechtsanspruch besteht262 und allein die arbeitsvertragliche Verpflichtung des Arbeitnehmers zur Erbringung der Arbeitsleistung während der Arbeitszeit betroffen ist.263 Anweisungen zur Abgabe von Arbeitsergebnissen in einem bestimmten Datenformat (Word, PDF, PowerPoint) oder zur Verwendung bestimmter Vorlagen für Arbeitsergebnisse sind ebenfalls mitbestimmungsfrei;264 auch sie betreffen allein das Arbeitsverhalten. Nicht mitbestimmungspflichtig sind schließlich solche Vorgaben, die sich ausschließlich auf die private Lebensgestaltung der Arbeitnehmer beziehen, wozu insbesondere Regelungen über den Abschluss von Reparatur-, Wartungs- und Garantieverträgen sowie Software- und Hardwareanschaffungen zählen.265 II. § 87 Abs. 1 Nr. 2 und Nr. 3 BetrVG 1. Beginn und Ende der täglichen Arbeitszeit (§ 87 Abs. 1 Nr. 2) Ein Mitbestimmungsrecht des Betriebsrats kann sich bei BYOD auch aus § 87 Abs. 1 Nr. 2 BetrVG ergeben. Hiernach hat der Betriebsrat über Beginn und Ende der täglichen Arbeitszeit, d. h. die Lage der täglichen Arbeitszeit einschließlich der Pausen sowie Verteilung der Arbeitszeit auf die einzelnen Wochentage mitzubestimmen. Dagegen steht ihm kein Mitbestimmungsrecht bei der Festlegung der Dauer der wöchentlichen Arbeitszeit zu, d. h. über den Umfang des vom Arbeitnehmer vertraglich geschuldeten Arbeitszeit­ volumens.266 Der Begriff der Arbeitszeit i. S. des § 87 Abs. 1 Nr. 2 BetrVG – und gleichermaßen der in Nr. 3 – ist nicht deckungsgleich mit dem vergütungsrechtlichen Arbeitszeitbegriff, dem des ArbZG oder der Richtlinie 2003 / 88 / EG über bestimmte Aspekte der Arbeitszeitgestaltung vom 04.11.2003.267 Er bestimmt sich nach dem Zweck des Mitbestimmungs261  Brachmann,

AuA 2013, 680 (682). Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (761). 263  So auch das LAG Hamm v. 07.04.2006, jedoch hinsichtlich der Mitbestimmung des Betriebsrats bei der Änderung einer Dienstanweisung zur Untersagung der privaten Internetnutzung, in: NZA-RR 2007, 20 (21). 264  Brachmann, AuA 2013, 680 (682). 265  Franck, RDV 2013, 185 (188). 266  St. Rspr. des BAG, vgl. BAG v. 22.07.2003  – 1 ABR 28 / 02, AP Nr. 6 zu § 5 ArbZG = NZA 2004, 507 (508); Gutzeit, BB 1996, 106 (109 f.); Richardi, BetrVG, § 87 Rn. 262 ff.; Wiese, GK-BetrVG, §  87 Rn.  275 ff. m. w. N. 267  BAG v. 23.07.1996 – 1 ABR 17 / 96, AP Nr. 71 zu § 87 BetrVG 1972 Arbeitszeit = NZA 1997, 216 (218); 23.01.2001 – 1 ABR 36 / 00, AP Nr. 90 zu § 87 BetrVG 262  Lipp,

104

2. Kap., § 5: Beteiligungsrechte des Betriebsrats

rechts, die Interessen der Arbeitnehmer an der Lage ihrer Arbeitszeit und damit zugleich ihrer freien und für die Gestaltung ihres Privatlebens nutzbaren Zeit zur Geltung zu bringen.268 Arbeitszeit i. S. des § 87 Abs. 1 Nr. 2 BetrVG ist deshalb die Zeit, in welcher der Arbeitnehmer verpflichtet bzw. berechtigt ist, seine vertraglich geschuldete Arbeit zu leisten.269 Hierzu gehören auch die Zeiten der Rufbereitschaft, weil die Arbeitnehmer während deren Dauer nur eingeschränkt über ihre Freizeit disponieren können.270 Sieht das BYOD-Konzept vor, dass Arbeitnehmer auch außerhalb der regulären Arbeitszeit auf Anordnung des Arbeitgebers mittels BYO-Gerät erreichbar sein sollen, um auf Abruf Arbeit zu leisten, ist die Aufstellung eines entsprechenden Rufbereitschaftsplans mitbestimmungspflichtig. Der Betriebsrat hat über Beginn und Ende der Rufbereitschaft und deren Verteilung auf die einzelnen Wochentage mitzubestimmen.271 2. Vorübergehende Verlängerung der betriebsüblichen Arbeitszeit (§ 87 Abs. 1 Nr. 3 BetrVG) Vor allem dem in Nr. 3 normierten Mitbestimmungsrecht, als Unterfall des Mitbestimmungsrechts der Nr. 2,272 kommt bei der Nutzung mobiler Arbeitsmittel besondere Bedeutung zu. Denn gerade die mit BYOD verbundene Problematik der arbeitsbezogenen erweiterten Erreichbarkeit kann zu vorübergehenden Verlängerungen der betriebsüblichen Arbeitszeit führen, also einer Abweichung des für einen bestimmten Wochentag regulär festgelegten Zeitvolumens mit anschließender Rückkehr zur betriebsüblichen Dauer der Arbeitszeit. Sollte der Arbeitgeber Telefonate oder E-Mails mittels des privaten Device außerhalb der Arbeitszeit ohne Beteiligung des 1972 Arbeitszeit = NZA 2001, 741 (742); 14.11.2006 – 1 ABR 5 / 06, AP Nr. 121 zu § 87 BetrVG 1972 Arbeitszeit Rn. 26 = NZA 2007, 458 (460); a. A. Baeck / Deutsch, ArbZG Einführung Rn. 69; HSWGNR § 87 Rn. 141. 268  BAG v. 21.12.1982  – 1 ABR 14 / 81, AP Nr. 9 zu § 87 BetrVG 1972 Arbeitszeit Bl.  4; 23.07.1996  – 1 ABR 17 / 96, AP Nr. 71 zu § 87 BetrVG 1972 Arbeitszeit = NZA 1997, 216 (218); 14.11.2006  – 1 ABR 5 / 06, AP Nr. 121 zu § 87 BetrVG 1972 Arbeitszeit Rn. 26 = NZA 2007, 458 (460); Kania, in: ErfK-Arbeitsrecht, § 87 BetrVG Rn. 25; Richardi, BetrVG, § 87 Rn. 256. 269  BAG v. 14.11.2006 – 1 ABR 5 / 06, AP Nr. 121 zu § 87 BetrVG 1972 Arbeitszeit Rn. 27 = NZA 2007, 458 (460); sowie ausführlich Wiese, GK-BetrVG, § 87 Rn. 301. 270  BAG v. 21.12.1982  – 1 ABR 14 / 81, AP Nr. 9 zu § 87 BetrVG 1972 Arbeitszeit; Fitting, § 87 Rn. 96. 271  BAG v. 21.12.1982  – 1 ABR 14 / 81, AP Nr. 9 zu § 87 BetrVG 1972 Arbeitszeit Bl. 4 f.; 29.02.2000 – 1 ABR 15 / 99, AP Nr. 81 zu § 87 BetrVG 1972 Arbeitszeit Bl.  3; 23.01.2001  – 1 ABR 36 / 00, AP Nr. 90 zu § 87 BetrVG 1972 = NZA 2001, 741 (742). 272  Fitting, § 87 Rn. 130.



D. Betriebliche Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG 105

Betriebsrats entgegennehmen, verstößt er gegen das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 3 BetrVG,273 denn mitbestimmungspflichtig ist nicht nur die Anordnung, sondern auch die Duldung von (freiwillig geleisteten) Überstunden.274 An der Mitbestimmungspflicht ändert auch eine besondere Eilbedürftigkeit der Arbeitsleitung grundsätzlich nichts.275 Der Mitbestimmungstatbestand ist vielmehr geradezu ein Beleg für die Anerkennung der Mitbestimmung im Eilfall, denn eine vorübergehende Verkürzung oder Verlängerung der betriebsüblichen Arbeitszeit wird häufig kurzfristig angeordnet werden müssen.276 Den Betriebspartnern ist es zuzumuten, für Eil­ fälle eine entsprechende Vorsorge zu treffen.277 Das Arbeitszeitrecht im Allgemeinen und beide Mitbestimmungsrechte im Speziellen können sich im Zusammenhang mit BYOD durchaus als „neu­ ralgischer Punkt“278 erweisen, selbst wenn Betriebsräte der Einführung von BYOD sonst eher positiv gegenüberstehen. BYOD kann, wie ausführlich in Kapitel 2 § 4 C dargestellt wurde, dazu führen, dass Arbeitnehmer ständig erreichbar sein müssen und Arbeit noch nach Ende der täglichen Arbeitszeit zu erbringen haben279, vornehmlich auch zu Zeiten, die im Normalarbeitsverhältnis eher unüblich sind, wie z. B. in den späten Abendstunden, weshalb die Tätigkeit hier besonders gesundheitsbeeinträchtigend sein kann. Betriebsräte sind für diese Problematik zunehmend sensibilisiert und drängen immer häufiger auf klare Regelungen. Betriebsvereinbarungen, die der erweiterten arbeitsbezogenen Erreichbarkeit entgegenwirken und die Erforderlichkeit konkreter technischer Vorkehrungen, die eine Entgegennahme von Arbeitsleistungen außerhalb der täglichen Arbeitszeit weitestgehend verhindern, wie beispielsweise eine Abschaltung des Mail-Servers280, werden immer wichtiger. Sie sind deshalb in der Planungsphase der BYODKonzeptionierung zu berücksichtigen, weil so das bestehende Konflikt­ hierzu das anschauliche Beispiel bei Baunack, AiB 2012, 501 (503). nur Wiese, GK-BetrVG, § 87 Rn. 401 mit weiteren umfassenden Nachweisen aus Rechtsprechung und Literatur. 275  BAG v. 05.03.1974  – 1 ABR 28 / 73, AP Nr. 1 zu § 87 BetrVG 1972 Kurzarbeit Bl.  4 R; 13.07.1977  – 1 AZR 336 / 75, AP Nr. 2 zu § 87 BetrVG Kurzarbeit Bl. 4 R. 276  Richardi, BetrVG, § 87 Rn. 370. 277  BAG v. 13.07.1977  – 1 AZR 336 / 75, AP Nr. 2 zu § 87 BetrVG Kurzarbeit Bl. 4 R. 278  Brachmann, AuA 2013, 680 (682). 279  Siehe zur Problematik der arbeitsbezogenen erweiterten Erreichbarkeit Kapitel 2 § 4 C. I. b). 280  Bei der Volkswagen AG wurde durch Betriebsvereinbarung eine Abschaltung des Mail-Servers während des Zeitfensters von 18.15 Uhr bis 7.00 Uhr und an Wochenenden vereinbart. Die Initiative ging hierbei vom Gesamtbetriebsrat aus. Abgedruckt bei: Rudolph, AiB 2012, 378 (379). 273  Siehe 274  Siehe

106

2. Kap., § 5: Beteiligungsrechte des Betriebsrats

potential schon präventiv weitestgehend abgemildert werden kann. Mit derartigen Betriebsvereinbarungen käme der Betriebsrat zugleich seinen Aufgaben gem. § 80 Abs. 1 Nr. 1, Nr. 2b, Nr. 9 BetrVG nach, über die Einhaltung der zugunsten der Arbeitnehmer geltenden Gesetze (ArbZG) zu wachen und die Vereinbarkeit von Familie und Erwerbstätigkeit sowie die Maßnahmen des Arbeitsschutzes zu fördern. III. Überwachung mittels technischer Einrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG) Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen mitzubestimmen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Das Mitbestimmungsrecht dient dem Persönlichkeitsschutz der Arbeitnehmer, weil unpersönliche, anonyme Verhaltens- und Leistungskontrolle durch technische Einrichtungen Eingriffe in deren Persönlichkeitssphäre ermöglichen, die für die betroffenen Arbeitnehmer nicht erkennbar und damit auch nicht abwendbar sind.281 Es bezweckt allerdings keinen umfassenden Persönlichkeitsschutz oder den Schutz der Arbeitnehmer vor jeglicher Überwachung, wohl aber den vor den besonderen Gefahren, die sich für das Persönlichkeitsrecht der Arbeitnehmer aus dem Einsatz der technischen Einrichtungen ergeben.282 Insofern konkretisiert § 87 Abs. 1 Nr. 6 BetrVG den in § 75 Abs. 2 BetrVG niedergelegten Grundsatz des Schutzes und der Förderung der freien Entfaltung der Persönlichkeit des Arbeitnehmers.283 Zugunsten der potentiell in ihrem Persönlichkeitsrecht betroffenen Arbeitnehmer hat der Betriebsrat eine präventive Schutzfunk­ tion, um unzulässige Eingriffe bereits im Vorfeld zu verhindern.284 Das 281  BAG v. 09.09.1975  – 1 ABR 20 / 74, AP Nr. 2 zu § 87 BetrVG 1972 Überwachung Bl.  2 R = NJW 1976, 261 (262); 10.07.1979  – 1 ABR 50 / 78, AP Nr. 3 zu § 87 BetrVG 1972 Überwachung Bl.  1 R; 14.09.1984  – 1 ABR 23 / 82, AP Nr. 9 zu § 87 BetrVG 1972 Bl. 4 R = NZA 1985, 28 (29). Siehe hierzu auch Arnold, Die Zulässigkeit der Überwachung von mobilen Arbeitnehmern, S. 64; Schlewing, NZA 2004, 1071 (1073 f.). 282  BAG v. 11.03.1986  – 1 ABR 12 / 84, AP Nr. 20 zu § 76 BetrVG 1972 = NZA 1986, 526 (529); 27.05.1986  – 1 ABR 48 / 84, AP Nr. 15 zu § 87 BetrVG 1972 Überwachung Bl.  8 R; 08.1995  – 1 ABR 4 / 95, AP Nr. 29 zu § 87 BetrVG 1972 Überwachung Bl. 5 R; LAG Köln v. 07.06.2010  – 5 Ta 176 / 10 = NZA-RR 2010, 469 (470); Fitting, § 87 Rn. 215; Koch, in: Schaub Arbeitsrechts-Handbuch, § 235 Rn. 63; Wiese, GK-BetrVG, § 87 Rn. 486. 283  BAG v. 29.06.2004 – 1 ABR 21 / 03, AP Nr. 41 zu § 87 BetrVG Überwachung Bl. 3 f. = NZA 2004, 1278 (1280); Fitting, § 87 Rn. 215; Wiese, GK-BetrVG, § 87 Rn. 485. 284  Fitting, § 87 Rn. 215; Stege / Weinspach / Schiefer, § 87 BetrVG Rn. 150  ff.; DKKW-Klebe, § 87 BetrVG Rn. 166; Wiese, GK-BetrVG, § 87 Rn. 484.



D. Betriebliche Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG 107

Mitbestimmungsrecht wird ausgelöst, wenn die Überwachung der Arbeitnehmer durch eine „technische Einrichtung“ erfolgt. Technische Einrichtungen sind Apparate und Geräte im weitesten Sinne, die mit oder ohne Hilfe des Menschen selbsttätig operieren und so beispielsweise Daten erfassen, bestimmte Verhaltensweisen aufzeichnen (Anruflisten, E-Maillisten, etc.) sowie Bilder und Videos herstellen.285 Entgegen dem missverständlichen Wortlaut („dazu bestimmt“) kommt es für das Mitbestimmungsrecht nicht darauf an, ob der Arbeitgeber mit der technischen Einrichtung die Überwachung der Arbeitnehmer im Sinne einer subjektiven Überwachungsabsicht bezweckt. Vielmehr genügt es, wenn die technische Einrichtung objektiv geeignet ist, Verhaltens- und Leistungsinformationen über den Arbeitnehmer zu erheben und aufzuzeichnen, so dass es allein vom Willen des Arbeitgebers abhängt, ob er davon zu Kontrollzwecken Gerbrauch macht.286 Zu den technischen Einrichtungen im Sinne des Mitbestimmungstatbestandes zählt das private IT-Gerät demnach vor allem dann, wenn es mit dem Unternehmensserver synchronisiert wird, d. h. die auf dem IT-Gerät gespeicherten Daten mit den auf dem unternehmenseigenen Server gespeicherten Daten abgeglichen werden.287 Das ist vornehmlich bei einer technischen Ausgestaltung nach der sogenannten Containerization-Lösung der Fall.288 Die Überwachungsmöglichkeit ergibt sich aus der Verknüpfung von Uhrzeit mit dem Zugriff auf die Unternehmensdaten289 sowie der Möglichkeit, dienstliche E-Mails, Kalendereinträge oder To-do-Listen einzusehen.290 Der Arbeitgeber kann daraus lückenlose Rückschlüsse über das Verhalten oder die Leistung der Arbeitnehmer ziehen. Aber auch bei einer technischen Ausgestaltung nach der Virtualisierungslösung291 ist das IT-Gerät als tech285  Arnold, Die Zulässigkeit der Überwachung von mobilen Arbeitnehmern, S. 65; HSWGNR-Worzalla, § 87 Rn. 288. 286  BAG v. 10.07.1979  – 1 ABR 50 / 78, AP Nr. 3 zu § 87 BetrVG 1972 Überwachung Bl.  2; 27.01.2004  – 1 ABR 7 / 03, AP Nr. 40 zu § 87 BetrVG 1972 Überwachung Bl. 4 R; Wiese, GK-BetrVG, § 87 Rn. 507 m. w. N. 287  Brachmann, AuA 2013, 680 (682); Göpfert / Wilke, NZA 2012, 765 (769); Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (762); Seel, MDR 2014, 69 (71); Zöll / Kielkowski, BB 2012, 2625 (2629). 288  Beim Containerization werden die Unternehmensdaten auf dem jeweiligen Endgerät in einem isolierten und verschlüsselten Datencontainer gespeichert. Die dienstlichen Daten und die Zugriffe auf das Firmennetzwerk werden dabei über eine entsprechende Applikation verwaltet. Vgl. Ausführlich zur Containerization: Kapitel 3 § 7 II. b). 289  Arning / Moos / Becker, CR 2012, 592 (593). 290  Brachmann, AuA 2013, 680 (682). 291  Bei der Virtualisierungslösung werden die Daten gerade nicht auf dem jeweiligen Endgerät gespeichert, sondern verbleiben beim Unternehmen, der Mitarbeiter erhält jedoch einen geschützten Zugriff – häufig über VPN-Verbindungen.

108

2. Kap., § 5: Beteiligungsrechte des Betriebsrats

nische Einrichtung i. S. der Norm zu bewerten. Zwar findet hier keine Synchronisation mit dem Unternehmensserver statt, jedoch können über die datenerfassende Anwendungssoftware und den in diesem Zusammenhang erforderlichen Login und Logout ebenfalls entsprechende Rückschlüsse über Arbeitsverhalten und Arbeitsleistung gezogen werden, vor allem hinsichtlich Beginn und Ende der Arbeitszeit. Gegenstand des Mitbestimmungsrechts ist insbesondere der Zeitpunkt der Einführung von BYOD, der Zeitraum der Nutzung – auf Dauer oder nur zur Probe –, sowie die Frage, mit welcher Zweckbestimmung und mit welcher Wirkungsweise das private Gerät dienstlich eingesetzt und überwacht werden soll.292 Es umfasst auch die allgemeine Handhabe des Geräts, also unter welchen Voraussetzungen auf das IT-Gerät und die darauf enthaltenen Daten zugegriffen werden kann, einschließlich Art und Umfang der Kontrollen293 sowie die Möglichkeit der Fernlöschung. Auch die Installation der überaus wichtigen Mobile Device Managements Tool unterliegt dem Mitbestimmungstatbestand, weil auch diese durchaus Rückschlüsse über das Arbeitsverhalten der Arbeitnehmer zulassen. IV. Arbeitsschutz (§ 87 Abs. 1 Nr. 7 BetrVG) Ein Mitbestimmungsrecht des Betriebsrats kann sich schließlich auch aus § 87 Abs. 1 Nr. 7 BetrVG ergeben. Hiernach hat der Betriebsrat u. a. bei betrieblichen Regelungen über den Gesundheitsschutz mitzubestimmen, die der Arbeitgeber zwar auf Grund einer öffentlich-rechtlichen Rahmenvorschrift zu treffen hat, bei deren Gestaltung ihm aber Handlungsspielräume verbleiben.294 Bei deren Ausfüllung ist der Betriebsrat zu beteiligen. Relevant ist das Mitbestimmungsrecht aus § 87 Abs. 1 Nr. 7 BetrVG im Kontext von BYOD vor allem hinsichtlich der Durchführung der Gefährdungsbeurteilung nach § 5 ArbSchG und § 3 BildschirmarbV.295 Dessen Gegenstand sind generelle Regelungen der Beurteilung, z. B. bezüglich der anzuwendenden Methode, des jeweiligen Zeitpunkts sowie möglicher Wiederholungen.296 Es ist darüber hinaus aber auch hinsichtlich der Ausgestal292  Arning / Moos / Becker, CR 2012, 592 (593); Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (762). 293  Brachmann, AuA 2013, 680 (682). 294  BAG v. 15.01.2002 – 1 ABR 13 / 01, AP Nr. 12 zu § 87 BetrVG 1972 Gesundheitsschutz Bl.  4 = NZA 2002, 995 (997); 08.06.2004  – 1 ABR 13 / 03, AP Nr. 13 zu § 87 BetrVG 1972 Bl. 4 f. = NZA 2004, 1175 (1177). 295  BAG v. 08.06.2004 – 1 ABR 13 / 03, AP Nr. 13 zu § 87 BetrVG 1972 Gesundheitsschutz Bl.  4 R = NZA 2004, 1175 (1177); 12.08.2008  – 9 AZR 1117 / 06, AP Nr. 29 zu § 618 BGB Rn. 32 = NZA 2009, 102 (104). 296  Vgl. nur Wiese, GK-BetrVG, § 87 Rn. 629 m.w. N.



D. Betriebliche Mitbestimmungsrechte nach § 87 Abs. 1 BetrVG 109

tung der Modalitäten der Unterweisung nach § 12 ArbSchG einschlägig, vorausgesetzt es handelt sich um kollektive Regelungen. Beschränkt sich der Arbeitgeber hingegen auf Einzelunterweisungen, sind diese mitbestimmungsfrei.297

297  Wiese,

GK-BetrVG, § 87 Rn. 613.

3. Kapitel

Telekommunikations- und Datenschutzrecht § 6 BYOD und das Telekommunikationsrecht A. Das Telekommunikationsgesetz (TKG) I. Anwendbarkeit des § 88 TKG? Zu den telekommunikationsrechtlichen Klassikern gehört bis heute die Frage, ob ein Arbeitgeber, der seinen Arbeitnehmern die private Nutzung der betrieblichen Telekommunikationsmöglichkeiten (wie Internetzugang, E-Mail, Telefon, etc.) gestattet, als Diensteanbieter i. S. des § 3 Nr. 6 TKG dem einfachgesetzlichen Fernmeldegeheimnis nach § 88 TKG unterfällt.1 Auch bei BYOD kann dies problematisch sein, wobei jedoch stets danach zu differenzieren ist, ob die Telekommunikationsdienste tatsächlich durch den Arbeitgeber erbracht werden, weil der systemimmanente Privatnutzungsanteil nicht automatisch ein Eingreifen des Fernmeldegeheimnisses nach sich zieht.2 Vielmehr hängt die Anwendbarkeit des TKG häufig von der technischen Ausgestaltung des BYOD-Konzepts ab, die wiederum maßgeblich vom jeweils eingesetzten Endgerätetyp beeinflusst wird. Nicht dem Anwendungsbereich des TKG unterfallen von vornherein diejenigen Sachverhalte, bei denen Arbeitnehmer über eine Telefon- und Internetflatrate für ihr mobiles IT-Gerät verfügen – wie es vornehmlich bei Handys, Smartphones oder auch Tablet-PCs der Fall ist – und den bereitgestellten Telefon- und Internetzugang ihres jeweiligen Vertragsanbieters für den Zugriff auf das Unternehmensnetzwerk nutzen. Hier erfolgt keine private Nutzung der betrieblichen Telekommunikationsmöglichkeiten. Nicht der Arbeitgeber erbringt die Telekommunikationsdienste, sondern der Vertragspartner des Arbeitnehmers. Dieser ist Provider und Diensteanbieter nach dem TKG.

1  Neumann,

IRNIK-Diskussionspapier Nr. 3, 2014 S. VII. Arning / Moos, DB 2013, 2607 (2608); a. A. Mitglieder des DIIR Arbeitskreises „IT-Revision“, ZIR 3 / 2014, 122 (123). 2  Zutreffend



A. Das Telekommunikationsgesetz (TKG)111

Ebenfalls nicht dem Anwendungsbereich des TKG unterfallen die Sachverhalte, bei denen Arbeitnehmer zwar den bereitgestellten betrieblichen Internetzugang des Arbeitgebers benutzen dürfen, dessen Privatnutzung ihnen aber ausdrücklich untersagt wurde. Der Arbeitgeber ist dann unbestritten nicht Diensteanbieter, weil er nicht „geschäftsmäßig“ i. S. des § 3 Nr. 10 TKG handelt3, mangelt es doch von vornherein an dem hierfür erforderlichen „Angebot für Dritte“.4 Problematisch und der rechtlichen Klärung bedürfen die Sachverhalte, bei denen der Arbeitgeber Arbeitnehmern eine (dienstliche) SIM-Karte5 zur Verfügung stellt und die private Nutzung des damit ausgestatteten Privatgeräts erlaubt6 sowie dann, wenn der Arbeitgeber sowohl die betrieblichen E-Mail- als auch die betrieblichen Internetsysteme (WLAN-Netz des Unternehmens) für den Anschluss der Privatgeräte öffnet und die Privatnutzung ausdrücklich gestattet.7 Nur dann erlaubt der Arbeitgeber die private Nutzung der betrieblichen Telekommunikationsmöglichkeiten, weshalb nur hier die Anwendbarkeit des TKG problematisch sein kann. 1. Herrschende Ansicht in der arbeitsrechtlichen Literatur Die (noch) herrschende Ansicht in der Literatur bewertet den Arbeitgeber als Diensteanbieter i. S. des § 3 Nr. 6 TKG8 und erachtet den Anwendungsbereich des einfachgesetzlichen Fernmeldegeheimnisses aus § 88 TKG für eröffnet, wenn der Arbeitgeber die private Nutzung der betrieblichen Telekommunikationsmöglichkeiten in der oben beschriebenen Weise gestat3  Vgl. nur Bock, in Beck’scher TKG-Kommentar, § 88 Rn. 24; Eckhardt, in: Spindler / Schuster, Recht der elektronischen Medien, § 88 TKG Rn. 18; Härting, CR 2007, 311; Löwisch, DB 2009, 2782; Munz, in: Taeger / Gabel BDSG, § 88 TKG Rn. 20. 4  Siehe nur Lindemann / Simon, BB 2001, 1950 (1951). 5  Denkbar ist diese Fallvariante vor allem dann, wenn Dual-SIM-Handys eingesetzt werden (s. hierzu Kapitel 2 § 4 E. I. 2. a)) oder der Arbeitgeber den Telekommunikationsvertrag selbst übernimmt und dem Arbeitnehmer für die Einräumung der Möglichkeit der privaten Nutzung einen pauschalen Betrag in Rechnung stellt (s. hierzu Kapitel 2 § 4 E. I. 2. b)). 6  Arning / Moos, DB 2013, 2607 (2608); dies. / Becker, CR 2012, 592 (598). 7  Diese Fallkonstellation tritt vielfach, aber nicht nur, bei der Nutzung privater Laptops und Notebooks auf, weil sich der Internetzugriff hier ansonsten häufig nur über so genannte Surf-Sticks herstellen ließe. 8  Unter Rückgriff auf § 3 Nr. 10 TKG und unter Ausblendung der Einzelheiten der Legaldefinitionen zur Telekommunikation und -anlagen aus §§ 3 Nr. 22 und 23 TKG ist derjenige Diensteanbieter, der zumindest teilweise nachhaltig Telekommunikationsdienste für Dritte erbringt, wobei es nicht auf eine mögliche Gewinnerzielungsabsicht ankommt.

112

3. Kap., § 6: BYOD und das Telekommunikationsrecht

tet.9 Der Arbeitgeber erbringe in diesen Fällen geschäftsmäßige Telekommunikationsdienstleistungen, weil der Arbeitnehmer bei gestatteter Privatnutzung als „Dritter“ i. S. des § 3 Nr. 10 TKG anzusehen sei.10 Dieser handle bei privater Inanspruchnahme der betrieblichen Telekommunika­ tionsmöglichkeit weder als Vertreter noch als Handlungsgehilfe des Arbeitgebers, sondern verfolge eigene Zwecke.11 Deshalb könne der Arbeitnehmer nicht mehr der betrieblichen Sphäre des Arbeitgebers zugerechnet werden.12 Dass der Arbeitgeber die Nutzung der Telekommunikationsmöglichkeiten unentgeltlich gestatte, sei unerheblich, weil die „Geschäftsmäßigkeit“ i. S. des § 3 Nr. 10 TKG gerade keine Gewinnerzielungsabsicht voraussetze. Neben dieser grammatikalischen Auslegung ließe sich die Anwendbarkeit des einfachgesetzlichen Fernmeldegeheimnisses auch und im Besonderen 9  Speziell zu BYOD: Arning / Moos, DB 2013, 2607 (2608); dies. / Becker, CR 2012, 592 (598); Kremer / Sander, ITRB 2012, 275 (279). Auch Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (752) sowie Göpfer / Wilke, NZA 2012, 765 (767) deuten die Anwendbarkeit des TKG an. Allgemein zur Anwendbarkeit des TKG: Barton, NZA 2006, 460 (461); Bock, in: Beck’scher TKG-Kommentar, § 88 Rn. 24; Burkard, NJW-Spezial 2011, 370; Eckhardt, in: Spindler / Schuster Recht der elektronischen Medien, § 88 TKG Rn. 18; Ernst, NZA 2002, 585 (587); Feldmann, NZA 2008, 1398; Fetzer, in: Arndt / Fetzer / Scherer / Graulich TKG, § 3 Rn. 27, 54; Frings / Wahlers, BB 2011, 3126 (3130); Gola, MMR 1999, 322 (323); ders., Datenschutz am Arbeitsplatz, Rn.  227; ders. / Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rn. 733 ff.; Hanebeck / Neunheffer, K&R 2006, 112 f.; Jandt, K&R 2011, 631; Jenny, in: Plath BDSG, § 88 TKG Rn. 15; Koch, NZA 2008, 911 (912 f.); Munz, in: Taeger / Gabel BDSG, § 88 TKG Rn. 23; Rath / Karner, K&R 2007, 446 (450); Sassenberg / Mantz, BB 2013, 889; Seifert, in: Simitis BDSG, § 32 Rn. 92; Tiedemann, Anm. zu LAG Niedersachsen v. 31.05.2010 – 12 Sa 875 / 09, MMR 2010, 639 (641 f.); Vietmeyer / Byers, MMR 2010, 807 (808); Weißnicht, MMR 2003, 448 (449); Wolf / Mulert, BB 2008, 442 (445). Auch das ArbG Hannover hat die Anwendbarkeit des einfachgesetzlichen Fernmeldegeheimnisses bejaht: 28.04.2005  – 10 Ca 791 / 04 = NZA-RR 2005, 420. Dieser Ansicht folgen zudem die Datenschutzbehörden des Bundes und der Länder: Bund: http: // www.bfdi.bund.de / SharedDocs / Publikationen / Infobroschueren / INFO5_Sep tember_2013.pdf?__blob=publicationFile; Baden-Württemberg: http: // www.badenwuerttemberg.datenschutz.de / wp-content / uploads / 2013 / 03 / Dienstliche-und-privateE-Mail-und-Internet-Nutzung-am-Arbeitsplatz.pdf; Bayern: https: // www.datenschutzbayern.de / technik / orient / privmail.html; Hessen: https: // www.datenschutz.hessen.de /  ar003.htm. 10  Eckhardt, in: Spindler / Schuster Recht der elektronischen Medien, § 88 TKG Rn. 18; Feldmann, NZA 2008, 1398; Gola, MMR 1999, 322 (324); ders. / Wronka, Handbuch zum Arbeitnehmerdatenschutz, Rn. 740; Härting, CR 2007, 311, 312; Sei­ fert, in: Simitis BDSG, § 32 Rn. 92; Weißnicht, MMR 2003, 448 (449); Vietmeyer /  Byers, MMR 2010, 807 (808) m. w. N. 11  Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 7. 12  Fetzer, in: Arndt / Fetzer / Scherer / Graulich TKG, § 3 Rn. 27; Gola, MMR 1999, 322 (324).



A. Das Telekommunikationsgesetz (TKG)113

auf die Materialien zum Gesetzgebungsverfahren zur Vorgängervorschrift in § 85 TKG 1996 stützen,13 dessen bisherige Vorschriften zum Fernmeldegeheimnis unverändert in das heute geltenden TKG übernommen werden sollten und übernommen worden sind.14 So seien die Verfasser der Regierungsbegründung ausdrücklich von der Anwendbarkeit des Fernmeldegeheimnisses im Arbeitsverhältnis ausgegangen, heißt es in den Erläuterungen doch: „Dem Fernmeldegeheimnis unterliegen damit z. B. Corporate Networks, Nebenstellenanlagen in Hotels und Krankenhäusern, Clubtelefone und Nebenstellenanlagen in Betrieben und Behörden, soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung gestellt sind.“15.

2. Gegenansicht und instanzgerichtliche Rechtsprechung Die Gegenansicht16, der sich mehrere aktuelle instanzgerichtliche Entscheidungen17 angeschlossen haben, bewertet den Arbeitgeber hingegen nicht als Diensteanbieter i. S. des TKG und erachtet folglich auch den Anwendungsbereich des einfachgesetzlichen Fernmeldegeheimnisses aus § 88 TKG nicht für eröffnet. Gegen die Einbeziehung des Arbeitgebers in den Adressatenkreis des § 88 TKG spreche vor allem der Normzweck des TKG. Nach § 1 TKG bezwecke das Gesetz, durch technologieneutrale Regulierung den Wettbewerb im Bereich der Telekommunikation durch leistungsfähige Telekommunikationsinfrastrukturen zu fördern und flächen­ 13  Vgl.

nur Hanebeck / Neunheffer, K&R 2006, 112 (113). zum Gesetzesentwurf der Bundesregierung, BT-Drs. 15 / 2316,

14  Begründung

S. 87. 15  Begründung zum Gesetzesentwurf der Bundesregierung, BT-Drs. 13 / 3609, S. 53. Im Entwurf des Gesetzes zur Regelung des Beschäftigtendatenschutzes, BTDrs. 17 / 4230, S. 42 heißt es sogar ausdrücklich: „Insoweit bleibt es bei der bestehenden Rechtslage, wonach die vom Arbeitgeber erlaubte private Nutzung von Telekommunikationsdiensten am Arbeitsplatz nach den Vorschriften des Telekommunikationsgesetzes, insbesondere nach § 88 TKG, zu beurteilen ist.“ 16  Barton, CR 2003, 839 (843); Diercks, K&R 2014, 1 (4); Fülbier / Splittberger, NJW 2012, 1995 (1999); Löwisch, DB 2009, 2782; Scheben / Klos, CCZ 2013, 88 (89 ff.); dies. / Geschonneck, CCZ 2012, 13 (16); Schimmelpfennig / Wenning, DB 2006, 2290 (2292 ff.); Schuster, CR 2014, 21 (22 f.); Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 79 ff.; Walther / Zimmer, BB 2013, 2933 ff.; Wybitul, ZD 2011, 96 (71 ff.) sowie die umfassenden weiteren Nachweise bei Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 3 Fn. 2. 17  LAG Niedersachsen v. 31.05.2010  – 12 Sa 875 / 09 = NZA-RR 2010, 406 (408); LAG Berlin-Brandenburg v. 16.02.2011  – 4 Sa 2132 / 10 = NZA-RR 2011, 342 (343), so auch schon die Vorinstanz: ArbG Berlin v. 17.08.2010 – 36 Ca 235 / 10 = BeckRS 2011, 70280; VG Karlsruhe v. 27.05.2013  – 2 K 3249 / 12 Rn. 63 ff.  – juris.

114

3. Kap., § 6: BYOD und das Telekommunikationsrecht

deckend angemessene und ausreichende Dienstleistungen zu gewährleisten. Es zielt also auf die Rechtsbeziehungen zwischen dem Staat und den Telekommunikationsanbietern sowie diejenigen zwischen den Telekommunika­ tionsanbietern untereinander ab.18 Sinn und Zweck des Gesetzes sei es hingegen nicht, die unternehmensinternen Rechtsbeziehungen zwischen Arbeitgeber und Arbeitnehmer zu regeln, zumal ein Arbeitgeber, der die Privatnutzung des unternehmenseigenen Anschlusses gestattet, im Telekommunikationsmarkt in keinen Wettbewerb zu anderen Anbietern treten könne.19 Neben diesem teleologischen Argument sprächen ferner grammatikalische Erwägungen gegen die Anwendbarkeit des TKG. Für eine Einordnung des Arbeitgebers als Diensteanbieter müsste der Arbeitnehmer „Dritter“ i. S. d. § 3 Nr. 10 sein. Dies sei jedoch deshalb abzulehnen, weil der Arbeitnehmer auch bei einer erlaubten Privatnutzung weiterhin „im Dienst“ und damit in die Unternehmensorganisation integriert sei, folglich im Verhältnis zum Arbeitgeber gerade nicht als „Dritter“ eingeordnet werden könne.20 Des Weiteren werde die in § 3 Nr. 24 enthaltene Legaldefinition des Begriffes „Telekommunikationsdienste“ überdehnt, wonach TK-Dienste „in der Regel gegen Entgelt“ erbracht werden.21 Im Verhältnis Arbeitgeber-Arbeitnehmer sei es gerade nicht die Regel, dass der Arbeitgeber für die Benutzung des betrieblichen Anschlusses ein Entgelt verlange.22 Würde der Arbeitgeber als Diensteanbieter bewertet, werde der Grundsatz des § 3 Nr. 24 TKG – Entgeltlichkeit als Regel, Unentgeltlichkeit als Ausnahme – in sein Gegenteil verkehrt; der gesetzliche Ausnahmefall würde zur Regel.23 Schließlich überzeuge der argumentative Wert der Regierungsbegründung nicht. So sei schon äußerst fraglich, ob die Begründung mit „Nebenstellen“ nicht nur 18  VG Karlsruhe v. 27.05.2013  – 2 K 3249 / 12 Rn. 65  – juris; Barton, CR 2003, 839 (843); Fülbier / Splittberger, NJW 2012, 1995 (1999); Löwisch, DB 2009, 2782; Schuster, CR 2014, 21 (26 f.); Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 93. 19  Barton, CR 2003, 839 (843). 20  Deiters, ZD 2012, 109 (110); Dierks, K&R 2014, 1 (4); Scheben / Klos / Geschonneck, CCZ 2012, 13 (16); sowie Wybitul, ZD 2011, 96 (71 f.), der eine Begriffsbestimmung des „Dritten“ unter Rückgriff auf § 3 Abs. 8 Satz 2 BDSG nahelegt. 21  Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 82. 22  Scheben / Klos, CCZ 2013, 88 (90); Schimmelpfennig / Wenning, DB 2006, 2290 (2292); Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 82; Wybitul, ZD 2011, 69 (71). Bei Schuster, CR 2014, 21 (24) heißt es sogar: „Unter keinem denkbaren Gesichtspunkt erbringt der Arbeitgeber Telekommunikationsdienste gegenüber seinen Arbeitnehmer gegen Entgelt. Im Gegenteil: Der Arbeitgeber zahlt ein Entgelt (nämlich den Arbeitslohn) an den Arbeitnehmer“. 23  Dierks, K&R 2014, 1 (4); Schimmelpfennig / Wenning, DB 2006, 2290 (2292 f.); Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 82.



A. Das Telekommunikationsgesetz (TKG)115

solche Einrichtungen gemeint habe, die von den für die geschäftliche Nutzung vorgesehenen Einrichtungen getrennt seien,24 bzw. isolierte, aber allgemein zugängliche Telekommunikationsanlagen.25 3. Stellungnahme Die Frage, ob der Arbeitgeber, der seinen Arbeitnehmern die private Nutzung der betrieblichen Telekommunikationsmöglichkeiten gestattet, als Diensteanbieter i. S. des § 3 Nr. 6 TKG dem einfachgesetzlichen Fernmeldegeheimnis nach § 88 TKG unterfällt, bedarf der umfassenden Auslegung der einschlägigen Vorschriften. a) Grammatikalische Auslegung Der Wortlaut der einschlägigen Vorschriften des TKG spricht, wie von der Gegenansicht häufig behauptet, nicht eindeutig gegen die Einordnung des Arbeitgebers als „Diensteanbieter“. Mag es vordergründig zwar durchaus plausibel erscheinen, den Arbeitnehmer deshalb nicht als „Dritten“ anzusehen, weil er bei einer erlaubten Privatnutzung weiterhin in die Unternehmensorganisation eingeordnet und damit Teil des Unternehmens sei, so ist das dennoch kein durchschlagendes Argument gegen die h. M. Entscheidend für eine am Wortlaut orientierte Auslegung ist, ob der Anbieter (= Arbeitgeber) und der Nutzer (= Arbeitnehmer) verschiedene Personen sind.26 Um dabei auch arbeitsteilige Organisationen zu erfassen, kann eine Abgrenzung nicht rein formal erfolgen, sondern muss nach den jeweiligen Sphären vorgenommen werden.27 Erlaubt der Arbeitgeber die Privatnutzung, so erbringt er Telekommunikationsdienste nicht nur für eigene, sondern zumindest auch für fremde Zwecke.28 Deshalb liegt eine über den internen, durch die Identität der Interessen zwischen Arbeitgeber und Arbeitnehmer gekennzeichneten Bereich hinausgehende Bestimmung der Telekommunikationserbringung vor; die rein betriebliche Sphäre wird verlas24  Löwisch,

DB 2009, 2782. Beschäftigtendatenschutz und Compliance, § 3 Rn. 87. 26  Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 7; so auch Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 84. 27  Fetzer, in: Arndt / Fetzer / Scherer / Graulich TKG, § 3 Rn. 27, 54; Lutz / Weigel, CR 2014, 85 (88); Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 7; Rath / Karner, K&R 2007, 446 (449); Sassenberg / Mantz, BB 2013, 889; so auch Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 84. 28  Lindemann / Simon, BB 2001, 1950 (1951); Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 7; Wellhörner / Byers, BB 2009, 2310. 25  Thüsing,

116

3. Kap., § 6: BYOD und das Telekommunikationsrecht

sen.29 Gleiches gilt für den Arbeitnehmer. Dieser verfolgt bei der Nutzung des Angebots des Arbeitgebers eigene, private Zwecke, die nicht den Interessen des Arbeitgebers dienen und insoweit ebenfalls außerhalb der betrieblichen Sphäre stehen.30 Insgesamt lässt sich deshalb festhalten, dass Arbeitgeber und Arbeitnehmer bei erlaubter Privatnutzung der betrieblichen Telekommunikationseinrichtungen sowohl unter faktischen als auch wertenden Gesichtspunkten als unterschiedliche Personen bewertet und der Arbeitnehmer deshalb mit der h. M. als „Dritter“ i. S. d. Norm anzusehen ist. b) Systematische Auslegung Diesem Wortlautverständnis wird vielfach die Legaldefinition des § 3 Nr. 24 TKG entgegengehalten, wonach „Telekommunikationsdienste in der Regel gegen Entgelt erbrachte Dienste“ darstellen, was jedoch im Verhältnis Arbeitgeber-Arbeitnehmer keinesfalls üblich sei.31 Würde der Arbeitgeber als Diensteanbieter bewertet werden, verkehre man den Grundsatz des § 3 Nr. 24 TKG – Entgeltlichkeit als Regel, Unentgeltlichkeit als Ausnahme – in sein Gegenteil; der gesetzliche Ausnahmefall würde zur Regel.32 Damit geriete der Wortlaut in Konflikt zur Systematik der Norm.33 Dem ersten Anschein nach mag es begründet sein, für die Bestimmung des Begriffs „Diensteanbieter“ auf die Definition von „Telekommunikationsdienst“ aus § 3 Nr. 24 abzustellen, kennzeichnet sich der Diensteanbieter nach § 3 Nr. 6 lit. a TKG doch dadurch aus, dass er „geschäftsmäßig Telekommunikationsdienste“ erbringt. Verkannt wird dabei allerdings, dass § 3 Nr. 10 TKG eine eigenständige, von der Legaldefinition des § 3 Nr. 24 TKG 29  Koenig / Neumann, K&R 2000, 417 (419). Kratz / Gubbels, NZA 2009, 652 (654) spricht insoweit davon, dass der Arbeitgeber „mit den Arbeitnehmern – neben dem Arbeitsverhältnis – ein telekommunikationsrechtliches Vertragsverhältnis als „Service-Provider“ begründet“. Auch Koch, NZA 2008, 911 (912) argumentiert in diese Richtung: „Die Nutzung dieser Dienste wird nicht im Arbeitsvertrag geregelt, sondern grundsätzlich in einem hiervon streng zu unterscheidenden Nutzungsvertrag“. Bei Mengel, BB 2004, 1445 (1450 mit umfassenden weiteren Nachweisen) heißt es „der Arbeitnehmer soll gegenüber dem Arbeitgeber im Hinblick auf die Privatnutzung der Telekommunikationsanlage als außenstehender Dritter zu qualifizieren sein, der neben dem Arbeitsverhältnis ein gesondertes Telekommunikationsnutzungsverhältnis zum Unternehmen hat“, auch wenn sie dies im Ergebnis als „recht realitätsfern“ erachtet. 30  Vgl. nur Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 7 f. m. w. N. 31  Siehe Literatur Fn. 22. 32  So vor allem Dierks, K&R 2014, 1 (4); Schimmelpfennig / Wenning, DB 2006, 2290 (2292 f.); Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 82. 33  Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 82.



A. Das Telekommunikationsgesetz (TKG)117

losgelöste und nicht mit dieser zu vermischende Definition für das „geschäftsmäßige Erbringen von Telekommunikationsdiensten“ enthält.34 Wie Neumann35 richtig ausführt, ist die Definition für den Begriff „geschäftsmäßiges Erbringen von Telekommunikationsdiensten“ spezieller gegenüber der Definition für den Begriff „Telekommunikationsdienst“, weil sie zusätzlich zu diesem Grundbegriff an die weitergehende Formulierung des geschäftsmäßigen Erbringens anknüpft. Dabei nimmt die Begriffsbestimmung in § 3 Nr. 10 TKG keinen Bezug auf den Begriff „Telekommunikationsdienste“ nach der Definition des § 3 Nr. 24 TKG, sondern vielmehr auf den Begriff der „Telekommunikation“, dessen Legaldefinition sich in § 22 TKG wiederfindet.36 Auf eine Entgeltlichkeit oder Gewinnerzielungsabsicht kommt es dabei nicht an, weshalb von einem Konflikt zwischen Wortlaut und Systematik der Normen auch keine Rede sein kann. Trotz des gleichen Wortstamms „Telekommunikationsdienst“ baut der Begriff des „geschäftsmäßigen Erbringens von Telekommunikationsdiensten“ also nicht auf § 3 Nr. 24 TKG auf. Es ist methodisch unzulässig, die Legaldefinition in § 3 Nr. 24 TKG zur Ausfüllung der Definition des „Diensteanbieters“ heranzuziehen. Entscheidend ist allein die Definition aus § 3 Nr. 10 TKG. Gestützt wird diese Sichtweise auch vom Gesetzgebungsverfahren zum TKG 2004 unter besonderer Einbeziehung des TKG 1996.37 Letzteres unterschied noch ausdrücklich zwischen dem „geschäftsmäßige[n] Erbringen von Telekommunikationsdiensten“ (§ 3 Nr. 5 TKG 1996) und „Telekommunikationsdienstleistungen“ (§ 3 Nr. 18 TKG 1996). Der Begriff des „geschäftsmäßigen Erbringens von Telekommunikationsdiensten“ wurde speziell nur für den Geltungsbereich des Fernmeldegeheimnisses eingeführt und auch nur in den Vorschriften des damaligen 11. Teils (heutiger 7. Teil; Fernmeldegeheimnis) verwendet.38 Er zielte auf eine eindeutige Abgrenzung gegenüber dem Begriff der „Telekommunikationsdienstleistungen“ in den anderen Teilen des TKG ab.39 In der Begründung der Beschlussempfehlung

34  Eckhardt, in: Spindler / Schuster Recht der elektronischen Medien, § 88 TKG Rn. 16; ders. in: Heun Handbuch zum TK-Recht, Teil 1 B 2. Allgemeines, Rn. 10.; Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 11. 35  Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 11. 36  Eckhardt, in: Spindler / Schuster, Recht der elektronischen Medien, § 88 TKG Rn. 16 Fn. 2; ders., in: Heun Handbuch zum TK-Recht, Teil 1 B 2. Allgemeines, Rn. 11.; Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 11. 37  Siehe hierzu ausführlich Eckhardt, in: Heun Handbuch zum TK-Recht, Teil 1 B 2. Allgemeines, Rn. 11 ff. 38  Wuermeling / Felixberger, CR 1997, 230 (231 f.). 39  Eckhardt, in: Heun Handbuch zum TK-Recht, Teil 1 B 2. Allgemeines, Rn.  11 ff.

118

3. Kap., § 6: BYOD und das Telekommunikationsrecht

des Ausschusses für Post und Telekommunikation heißt es hierzu ausdrücklich: „Durch die Einführung des Begriffs ‚geschäftsmäßiges Erbringen von Telekommunikationsdiensten‘ ist die erforderliche Differenzierung im Anwendungsbereich gegenüber den ‚Telekommunikationsdienstleistungen‘ gewährleistet. Insbesondere die Vorgaben im Elften Teil des Gesetzes (Datenschutz, Fernmeldegeheimnis) gelten damit auch für Unternehmen, die Telekommunikationsdienste ‚ohne Gewinnerzielungsabsicht‘ nutzen“.40

Bei der Novellierung des TKG wurde die vorherige Definition des „geschäftsmäßigen Erbringens von Telekommunikationsdiensten“ in § 3 Nr. 10 TKG wortgleich übernommen.41 Der Begriff der „Telekommunikationsdienstleistungen“ wurde in § 3 Nr. 24 TKG normiert, aber durch den Ter­ minus „Telekommunikationsdienste“ ersetzt.42 Damit hat der Gesetzgeber zwar die Verwendung unterscheidbarer Begriffe aufgegeben, nicht aber die unterschiedliche und abgrenzbare Anwendung als solche.43 Denn trotz des geänderten Terminus entspricht die Definition in § 3 Nr. 24 TKG materiell weiterhin vollständig der des § 3 Nr. 18 TKG 1996. Die Begriffsersetzung diente lediglich der Anpassung an die Begrifflichkeiten des Artikel 2 c Satz  1 der Richtline 2002 / 21 / EG.44 c) Historische Auslegung Weil sowohl der Wortlaut der einschlägigen Normen als auch die Gesetzessystematik einer Anwendung des einfachgesetzlichen Fernmeldegeheimnisses im Verhältnis Arbeitgeber-Arbeitnehmer nicht entgegenstehen, ist die historische Auslegung von besonderer Bedeutung für die Klärung der Streitfrage. Das gilt nicht zuletzt deshalb, weil die Aussagen in der Entwurfsbegründung zu § 85 Abs. 2 TKG 1996 – dessen Vorschriften zum Fernmeldegeheimnis unverändert in das heute geltende TKG übernommen werden sollten45 – die wesentliche Argumentationsgrundlage für die h. M.46 bilden. In diesen heißt es: „Verpflichteter ist jeder, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt. Hier wird bewusst vom ‚geschäftsmäßigen‘ (und nicht vom 40  BT-Drs.

13 / 4864 (neu), S. 76. 15 / 2316, S. 58. 42  BT-Drs. 15 / 2316, S. 58. 43  Eckhardt, in: Heun, Handbuch zum TK-Recht, Teil 1 B 2. Allgemeines, Rn. 13. 44  BT-Drs. 15 / 2316, S. 58. 45  Begründung zum Gesetzesentwurf der Bundesregierung, BT-Drs. 15 / 2316, S. 55 und S. 88. 46  Vgl. nur Hanebeck / Neunheffer, K&R 2006, 112 (113). 41  BT-Drs.



A. Das Telekommunikationsgesetz (TKG)119 ‚gewerblichen‘ Erbringen von Telekommunikationsdiensten gesprochen, um deutlich zu machen, dass es hier nicht auf eine Gewinnerzielungsabsicht ankommt, wie die Definition der Telekommunikationsdienstleistungen in § 3 Nr. 15 nahelegt (das ‚gewerbliche‘ Angebot von Telekommunikation einschließlich des Angebots von Übertragungswegen für Dritte). Auch ein ohne Gewinnerzielungsabsicht erfolgtes, auf Dauer angelegtes Angebot von Telekommunikationsdiensten verpflichtet zur Wahrung des Fernmeldegeheimnisses. Dem Fernmeldegeheimnis unterliegen damit z. B. Corporate Networks, Nebenstellenanlagen in Hotels und Krankenhäusern, Clubtelefone und Nebenstellenanlagen in Betrieben und Behörden, soweit sie den Beschäftigten zur privaten Nutzung zur Verfügung gestellt sind.“47

Sofern die Gegenansicht den argumentativen Wert der Regierungsbegründung deshalb bezweifelt, weil „schon nicht klar [sei], ob die Begründung mit „Nebenstellen“ nicht nur solche Einrichtungen meint, die von den für die geschäftliche Nutzung vorgesehenen Einrichtungen getrennt sind“48, so vermag dies nicht zu überzeugen. Neumann49 führt treffend aus, dass schon die Verwendung des Begriffs „soweit“ verdeutlicht, dass die Entwurfsverfasser von Nebenstellenanlagen ausgegangen sind, die sowohl betrieblich als auch privat genutzt werden können. Auch die These, der Gesetzgeber habe mit der Aufzählung Corporate Networks, Nebenstellenanlagen in Hotels usw. die Intention verfolgt, die „geschäftsmäßige“ Erbringung von Telekommunikation von der „gewerblichen“ abzugrenzen50 trägt nicht. Diese Abgrenzung hatte für die Anwendung des § 85 TKG 1996 – ebenso wie für § 88 TKG – keinerlei Bedeutung. Voraussetzung war nur eine geschäftsmäßige Telekommunikationsdienstleistung, die eine gewerbliche Dienstleistung mit einschloss.51 Der offene Widerspruch zur gesetzgeberischen Intention lässt sich schließlich auch nicht mit der Annahme auflösen, bei der Einbeziehung des Arbeitgebers in den Adressatenkreis des § 88 TKG handle es sich um ein redaktionelles Versehen.52 Denn insoweit erklärte der Parlamentarische Staatssekretär Dr. Paul Laufs schon kurz nach Inkrafttreten des TKG 1996 ausdrücklich: „Mit der Überlassung einer sog. Nebenstellenanlage an Arbeitnehmer bietet der Arbeitgeber diesen Telekommunikation an. Dieses Angebot ist in der Regel auch 47  Begründung zum Gesetzesentwurf der Bundesregierung, BT-Drs. 13 / 3609, S. 53 (Hervorhebung durch Autorin). 48  Löwisch, DB 2009, 2782. 49  Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 16. 50  Schimmelpfennig / Wenning, DB 2006, 2290 (2293); Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 86. 51  So Thüsing, Beschäftigtendatenschutz und Compliance, § 3 Rn. 86. Vgl. hierzu auch Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 16 Fn. 76. 52  Härting, CRonline-Blog v. 04.06.2013, VG Karlsruhe: Kein TK-Geheimnis am Arbeitsplatz (Fall Mappus).

120

3. Kap., § 6: BYOD und das Telekommunikationsrecht

auf Dauer angelegt und dient nicht nur für bestimmte Telefonate im Einzelfall. Damit liegt ein geschäftsmäßiges Erbringen von Telekommunikationsdiensten vor. Die Formulierung ‚geschäftsmäßiges Erbringen von Telekommunikationsdiensten‘ ist im Zuge der Ausschußberatungen nicht zuletzt deshalb in das TKG aufgenommen worden, damit die Geltung des Fernmeldegeheimnisses nach § 85 TKG und der Datenschutzregelungen im § 89 TKG auch für solche Telekommunikationssituationen sichergestellt ist.“53

d) Teleologische Auslegung Eine restriktive Anwendung des Fernmeldegeheimnisses ließe sich angesichts der Gesetzessystematik und der Gesetzgebungsgeschichte nur noch aus dem Gesetzeszweck ableiten. Die Gegenansicht führt hierzu aus, der Arbeitgeber sei schon deshalb aus dem Adressatenkreis des § 88 TKG herauszunehmen, weil es nicht der Ziel- und Zwecksetzung des § 1 TKG entspräche, unternehmensinterne Rechtsbeziehungen zwischen Arbeitgeber und Arbeitnehmer zu regeln. Beim TKG handle es sich um ein Gesetz zur Förderung und zum Schutz des privaten Wettbewerbs im Bereich der Telekommunikation.54 Dieses Ziel erreichen oder diesen Zweck umsetzten könnten nur solche Firmen, deren Haupttätigkeit im gewerblichen Angebot von Telekommunikationsdiensten auf dem TK-Markt liege.55 Bei einem derart restriktiven Verständnis der Zwecksetzung des TKG wird jedoch verkannt, dass das Gesetz nicht nur dem Schutz des Wettbewerbs nach § 1 dient, sondern vielfältige, in § 2 näher ausdifferenzierte Ziele verfolgt.56 Hierzu zählt ausdrücklich auch die Wahrung des Fernmeldegeheimnisses (§ 2 Abs. 2 Nr. 1 TKG), das durch die spezifischen Vorschriften im 7. Gesetzesteil konkretisierend ausgefüllt wird. Der Schutz des Fernmeldegeheimnisses ist dabei nicht nur auf wettbewerbsorientierte Telekommunikationsmärkte und „klassische“ Marktakteure beschränkt (Umkehr53  Antwort des Parlamentarischen Sekretärs Dr. Paul Laufs vom 22.04.1997, BTDrs. 13 / 7540, S. 20 (zu Nr. 36); siehe hierzu auch die Unterrichtung durch die Bundesregierung aus dem Jahr 1999, BT-Drs. 14 / 1191, S. 9 sowie den Entwurf des Gesetzes zur Regelung des Beschäftigtendatenschutzes, BT-Drs. 17 / 4230, S. 42 in dem es sogar ausdrücklich heißt: „Insoweit bleibt es bei der bestehenden Rechtslage, wonach die vom Arbeitgeber erlaubte private Nutzung von Telekommunikationsdiensten am Arbeitsplatz nach den Vorschriften des Telekommunikationsgesetzes, insbesondere nach § 88 TKG, zu beurteilen ist.“ Siehe hierzu insbesondere auch Neumann, IRNIK-Diskussionspapier Nr. 3, 2014 S. 16. 54  VG Karlsruhe v. 27.05.2013  – 2 K 3249 / 12 Rn. 65  – juris; Barton, CR 2003, 839 (843); Fülbier / Splittgerber, NJW 2012, 1995 (1999); Löwisch, DB 2009, 2782; Schuster, CR 2014, 21 (26 f.). 55  So Schuster, CR 2014, 21 (27). 56  Kratz / Gubbels, NZA 2009, 652 (655); Schuster, CR 2014, 21 (27).



A. Das Telekommunikationsgesetz (TKG)121

schluss zu § 2 Abs. 2 Nr. 2 TKG). Das TKG unterscheidet ausdrücklich zwischen dem geschäftsmäßigen Erbringen von Telekommunikationsdiensten als Anknüpfung für die Anwendung der Vorschriften des 7. Gesetzesteils zum Fernmeldegeheimnis einerseits und Telekommunikationsdienst(leistu ng)en als Anknüpfungspunkt für die wettbewerbsrechtliche Regulierung andererseits.57 Entsprechend der gesetzgeberischen Intention ist hierdurch sichergestellt, dass auch solche Anbieter unter den Anwendungsbereich des Fernmeldegeheimnisses fallen, die keine Gewinnerzielungsabsicht verfolgen, ist diese doch naturgemäß ein wesentlicher Bestandteil des Wettbewerbs.58 Eine einzig am Wettbewerb orientierte Zielsetzung des TKG vermag weder die in den Gesetzgebungsmateriealien dokumentierte Regelungsabsicht, telekommunikationsfremde Anbieter in den Anwendungsbereich des § 88 einzubeziehen59, noch die aus ihr folgende Differenzierungen der gesetzlichen Anknüpfungspunkte zu erklären. e) Fazit Die Auslegung der einschlägigen TKG-Vorschriften und Gewichtung der Argumente ergibt, dass ein Arbeitgeber, der seinen Arbeitnehmern die private Nutzung der betrieblichen Telekommunikationsmöglichkeiten gestattet, mit der herrschenden Ansicht in der Literatur als Diensteanbieter i. S. des § 3 Nr. 6 TKG dem einfachgesetzlichen Fernmeldegeheimnis unterfällt. Die damit vermeintlich einhergehenden praktischen Umsetzungsschwierigkeiten rechtfertigen keine Interpretation des TKG, die der Intention des Gesetzgebers widerspricht. Die Lösung ist vielmehr in umfassenden technischen Vorkehrungen und eindeutigen Nutzungsbestimmungen zu suchen. II. Rechtsfolgen und Konsequenzen für die BYOD-Nutzung Stellt der Arbeitgeber seinen Arbeitnehmern eine (dienstliche) SIM-Karte zur Verfügung und erlaubt er die private Nutzung des damit ausgestatteten Privatgeräts oder öffnet der Arbeitgeber sowohl die betrieblichen E-Mailals auch die betrieblichen Internetsysteme (WLAN-Netz des Unternehmens) für den Anschluss der Privatgeräte und gestattet dabei ausdrücklich auch deren Privatnutzung findet das TKG Anwendung. Der Arbeitgeber muss in diesen Fällen für alle Inhalte und die näheren Umstände der privaten Telekommunikation das Fernmeldegeheimnis nach § 88 Abs. 2 TKG beachten. 57  Neumann,

IRNIK-Diskussionspapier Nr. 3, 2014 S. 28. NZA 2009, 652 (655). 59  Begründung zum Gesetzesentwurf der Bundesregierung, BT-Drs. 13 / 3609, S. 53. 58  Kratz / Gubbels,

122

3. Kap., § 6: BYOD und das Telekommunikationsrecht

Darüber hinaus müssen die privaten Kommunikationsinhalte und -daten durch angemessene technische Vorkehrungen gem. § 109 Abs. 1 TKG geschützt und geheim gehalten werden. Weil diese Verpflichtungen aus § 109 Abs. 1 TKG im Wesentlichen der Verpflichtung aus § 9 BDSG entspricht, wird insoweit auf die Ausführungen in Kapitel 3 § 7 B II verwiesen, in welchem die erforderlichen technisch-organisatorischen Maßnahmen näher beschrieben werden. 1. Reichweite des Schutzes des einfachgesetzlichen Fernmeldegeheimnisses Für die Bestimmung der Reichweite des Schutzes des Fernmeldegeheimnisses beim E-Mail-Verkehr sind die vom Bundesverfassungsgericht60 aufgestellten Grundsätze zur Beschlagnahme bei einem externen E-Mail Provider zu berücksichtigen. Auch wenn das Gericht über Fälle mit strafprozessualem Einschlag zu entscheiden hatte, bei welchen der Zugriff auf den privaten Kommunikationsinhalt durch eine staatliche Behörde und keine Privatperson erfolgte, ist die Gefährdungslage bei gestatteter privater EMail-Kommunikation im Arbeitsverhältnis zumindest vergleichbar.61 Die dabei aufgestellten Grundsätze sind übertragbar und für die Anwendung des einfachgesetzlichen Fernmeldegeheimnisses entsprechend anzuwenden.62 Daraus folgt, dass der Schutz des Fernmeldegeheimnisses in erster Linie den Kommunikationsinhalt und die Kommunikationsumstände während des Übermittlungsvorgangs umfasst. Er erstreckt sich nicht auf die außerhalb eines laufenden Kommunikationsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherten Inhalte und Umstände der Kommunikation. Denn die spezifischen Gefahren der räumlich distanzierten Kommunikation bestehen im Herrschaftsbereich des Empfängers, der eigene Schutzvorkehrungen gegen einen ungewollten Datenzugriff treffen kann, nicht mehr. Der Schutz des Fernmeldegeheimnisses endet insoweit in dem Moment, in dem die E-Mail beim Empfänger angekommen und der Über60  BVerfG v. 02.03.2006  – 2 BvR 2099 / 04 = BVerfGE 115, 166 sowie BVerfG 16.06.2009  – 2 BvR 902 / 06 = BVerfGE 124, 43. 61  Hoppe / Braun, MMR 2010, 80 (81) sprechen sogar von einer „identische[n] Gefährdungslage im Arbeitsverhältnis“. 62  Rath / Karner, K&R 2010, 469 (472); Kraska / Schütze, Veröffentlichungen des Instituts für IT-Recht Kategorie: Datenschutz, 24.08.2011, Beschäftigten-Datenschutz: private Arbeitnehmer E-Mails und die Reichweite des Fernmeldegeheimnisses, abrufbar unter:https: // www.iitr.de / veroeffentlichungen-des-instituts-fuer-itrecht / 230-beschaeftigten-datenschutz-private-arbeitnehmer-e-mails-und-die-reichweite-des-fernmeldegeheimnisses.html [zuletzt abgerufen am 06.06.2015]; Hoppe / Braun, MMR 2010, 80 (81).



A. Das Telekommunikationsgesetz (TKG)123

tragungsvorgang beendet ist63, so dass der Arbeitnehmer über ihr weiteres Schicksal eigenverantwortlich bestimmen, die E-Mail vor allem speichern, löschen und einem Zugriff des Arbeitgebers entziehen kann.64 Die tatsächliche Beendigung des Übermittlungsvorgangs hängt dabei entscheidend von der Art des eingesetzten E-Mail-Systems ab. a) POP3-Verfahren Beim so genannten POP3-Verfahren (Post Office Protocol Version 3) werden die E-Mails vom Mailserver des Arbeitgebers empfangen und bis zum Abruf des Arbeitnehmers vorgehalten.65 Ruft der Arbeitnehmer die EMails ab, werden sie auf seinem lokalen Datenspeicher hinterlegt. Ob die E-Mails nach dem Abruf des Arbeitnehmers auch vom Mailserver des Arbeitgebers gelöscht werden, hängt maßgeblich von der Konfiguration der POP3-Anwendung ab. Häufig sehen die Standardeinstellungen keine Löschung vom Mailserver des Arbeitgebers vor. Sie bleiben folglich weiterhin im Herrschaftsbereich des Providers, wodurch der Arbeitnehmer keine eigenen Schutzvorkehrungen gegen einen ungewollten Datenzugriff durch den Arbeitgeber treffen kann. In diesen Fällen endet der Schutz des Fernmeldegeheimnisses nicht mit der Mail-Abfrage des Arbeitnehmers, sondern erst wenn eine endgültige Löschung vom Server erfolgt. Anders verhält es sich, wenn die POP3-Anwendung so konfiguriert wurde, dass eine serverseitige Lösung der Daten durchgeführt wird und die EMails auf dem Privatgerät des Arbeitnehmers abgespeichert werden. Hier ist der Übermittlungsvorgang mit dem Abruf der Mails beendet. Ab diesem Zeitpunkt endet der Schutz des Fernmeldegeheimnisses, weil sich die EMail nicht mehr im Herrschaftsbereich des Arbeitgebers befindet und der Arbeitnehmer Zugriffe Dritter durch eigene Schutzvorkehrungen, wie etwa lokaler Löschungen, verhindern kann. b) IMAP-Verfahren Beim so genannten IMAP-Verfahren (Internet Message Access Protocol), das in der Praxis weit häufiger verwendet wird als das POP3-Verfahren, verbleiben die E-Mails nach Abruf stets auf dem Mailserver des Arbeitge63  BVerfG v. 02.03.2006 – 2 BvR 2099 / 04 = BVerfGE 115, 166 (183 ff.); BVerfG 16.06.2009  – 2 BvR 902 / 06 = BVerfGE 124, 43 (54). 64  Siehe hierzu auch VG Frankfurt a. M. v. 06.11.2008  – 1 K 628 / 08.F bestätigt durch den Beschluss des VGH Kassel v. 19.05.2009 – 6 A 2672 / 08.Z = NJW 2009, 2470 (2471). 65  Hoppe / Braun, MMR 2010, 80 (82); Rath / Karner, K&R 2010, 469 (472).

124

3. Kap., § 6: BYOD und das Telekommunikationsrecht

bers. Beim Abruf der E-Mail wird auf dem Endgerät des Arbeitnehmers nur ein graphisches Abbild des Serverdatenbestandes ausgegeben.66 Der Server und die Client-Server-Anwendung auf dem Privatgerät werden synchronisiert, so dass die E-Mail-Daten wie bei einem Spiegelbild67 abgeglichen werden. Verschiebt der Arbeitnehmer also eine E-Mail in den Papierkorb, wird die E-Mail auch auf dem Server in den Papierkorb verschoben. Leert der Arbeitnehmer seinen Papierkorb, so werden die betreffenden E-Mails beim nächsten Synchronisationsvorgang vom Server gelöscht. Beim IMAP-Verfahren enden der Übermittlungsvorgang und damit der Schutz des Fernmeldegeheimnisses jedenfalls in dem Moment, in dem die E-Mail endgültig vom Server des Arbeitgebers entfernt wurde, weil sie dann dem Herrschaftsbereich des Arbeitgebers entzogen ist. Hat der Arbeitnehmer die E-Mail auf seinem mobilen Endgerät abgespeichert, richtet sich die Zulässigkeit eines arbeitgeberseitigen Zugriffs nur noch nach den allgemeinen Vorschriften des BDSG. In der Literatur wird allerdings teilweise die Ansicht68 vertreten, dass der Schutz des Fernmeldegeheimnisses beim IMAP-Verfahren schon früher beendet sei, und zwar zu dem Zeitpunkt, in welchem der Arbeitnehmer die E-Mail zur Kenntnis genommen habe. Wenn der Arbeitnehmer nach Kenntniserlangung nichts unternehme und die E-Mail nicht vom zentralen Server lösche, sei dies als bewusste und freiwillige Entscheidung zu werten, die E-Mail im Machtbereich des Arbeitgebers zu belassen, mit der Folge, dass diese nicht mehr dem Fernmeldegeheimnis unterlägen. Diese Ansicht überzeugt nicht und ist abzulehnen. Eine bloße passive Kenntnisnahme kann einer aktiven Handlung wie dem Löschen oder dem Verschieben der E-Mail nicht gleichgesetzt werden, zumal den wenigsten Arbeitnehmern bewusst sein wird, wie der technische E-Mailvorgang abläuft und welchen Zugriffen ihre E-Mails ausgesetzt sein könnten, wenn sie auf dem Server verbleiben.69 Entscheidend muss mit Blick auf die Rechtsprechung des Bundesverfassungsgerichts vielmehr die mit dem IMAP-Verfahren entstandene Gefähr66  Hoppe / Braun,

MMR 2010, 80 (82 f.).

67  http: // blogs.merkl-it.de / emailarchivierung / ?p=288

[zuletzt abgerufen am 06.09. 2015]. 68  Sassenberg / Mantz, BB 2013, 889 (890); Schöttler, jurisPR-ITR 4 / 2009 Anm. 2; Stamer / Kuhnke, in: Plath BDSG, § 32 Rn. 107; Nolte / Becker, CR 2009, 125 (127 f.). 69  Kraska / Schütze, Veröffentlichungen des Instituts für IT-Recht Kategorie: Datenschutz, 24.08.2011, Beschäftigten-Datenschutz: private Arbeitnehmer E-Mails und die Reichweite des Fernmeldegeheimnisses, abrufbar unter: https: // www.iitr. de / veroeffentlichungen-des-instituts-fuer-it-recht / 230-beschaeftigten-datenschutzprivate-arbeitnehmer-e-mails-und-die-reichweite-des-fernmeldegeheimnisses.html; http: // blogs.merkl-it.de / emailarchivierung / ?p=288.



A. Das Telekommunikationsgesetz (TKG)125

dungslage sein und deshalb ausschließlich die Möglichkeit des Zugriffs des Arbeitgebers.70 Diese besteht ohne endgültige Löschung vom Server unabhängig von der Kenntnisnahme durch den Arbeitnehmer fort. c) Sicherungskopien des Arbeitgebers Unabhängig davon, ob ein POP3- oder ein IMAP-Verfahren eigesetzt wird, werden in der Praxis regelmäßig Sicherungskopien des gesamten EMail-Verkehrs angefertigt. Alle E-Mails, die sich zum Zeitpunkt der Sicherung auf dem Unternehmensserver befinden, werden vom Arbeitgeber archiviert, auch wenn der Arbeitnehmer sie zu diesem Zeitpunkt noch nicht abgerufen und zur Kenntnis genommen hat. Diese Sicherungskopien sind aufgrund der fehlenden Zugriffsmöglichkeit des Arbeitnehmers besonders schutzwürdig und unterliegen dem Fernmeldegeheimnis.71 2. Kontrolle des E-Mail-Verkehrs im Anwendungsbereich des TKG a) Kontrolle des E-Mail-Inhalts Eine Inhaltskontrolle der privaten Kommunikation ist im oben beschriebenen Anwendungsbereich des Fernmeldegeheimnisses grundsätzlich unzulässig. Eine Einwilligung des Arbeitnehmers nach § 94 TKG kann eine Kontrolle des Arbeitgebers zwar rechtfertigen, begegnet aber aufgrund des Freiwilligkeitserfordernisses hohen Hürden und ist jederzeit frei widerruflich. Darüber hinaus bedürfte es auch stets der vorherigen Einwilligung des jeweiligen Kommunikationspartners72, was sich jedoch praktisch kaum rea­ lisieren ließe. Auch eine Betriebsvereinbarung vermag die Kontrollgrenzen des Arbeitgebers nicht über die gesetzlichen Vorgaben hinaus auszudehnen.73 Denkbar wäre ein notwehrähnlicher Rechtfertigungsgrund in absoluten Ausdiese Richtung auch Hoppe / Braun, MMR 2010, 80 (82 f.). K&R 2010, 469 (473); Hoppe / Braun, MMR 2010, 80 (82). 72  Siehe hierzu die ausführlichen Literaturangaben bei Neumann IRNIK-Diskussionspapier Nr. 3, 2014 Fn. 181, 182. 73  Siehe ausführlich Mengel, BB 2004, 2014 (2021), Maschmann, FS Hromadka, 2008, S. 233, 253; Besgen / Prinz / Busse, Neue Medien und Arbeitsrecht, 2006, S. 373; Hanau / Hoeren, Private Internetnutzung durch Arbeitnehmer, 2003, S. 51; Mattl, Die Kontrolle der Internet- und E-Mail-Nutzung am Arbeitsplatz, 2008, S. 108; Hilber / Frik, RdA 2002, 89, 94; Hoppe / Braun, MMR 2010, 80, (84); a. A. Beckschulze / Henkel, DB 2001, 1491, (1496); Fleck, BB 2003, 306, (308); Pröpper / Römermann, MMR 2008, 514; Thüsing, Beschäftigtendatenschutz und Compliance, § 4 Rn. 9 ff. 70  In

71  Rath / Karner,

126

3. Kap., § 6: BYOD und das Telekommunikationsrecht

nahmefällen, wie dem konkreten Verdacht auf Verrat von Geschäftsgeheimnissen oder schweren Straftaten.74 Damit sich das Telekommunikationsgeheimnis nicht auch auf die dienstliche Kommunikation erstreckt und diese weiterhin kontrollfähig bleibt, müssen betriebliche und private E-Mails und alle weiteren Kommunikationen strikt voneinander getrennt werden. Erfolgt keine Trennung, strahlt das Fernmeldegeheimnis auch auf die betriebliche Kommunikation aus, mit der Folge, dass diese wie die private Kommunikation zu behandeln und dem Arbeitgeber ein Zugriff grundsätzlich verwehrt ist.75 Eine strikte Trennung lässt sich – unabhängig vom jeweils eingesetzten E-Mail-System – unschwer durch technische Vorkehrungen erzielen, vor allem durch eigens hierfür eingerichtete E-Mail-Posteingänge, automatisierte Weiterleitungen oder schlicht dadurch, dass dem Arbeitnehmer für seinen privaten E-Mail-Verkehr eine separate E-Mail-Adresse eingerichtet wird.76 Die Inhaltskontrolle privater E-Mails lässt sich also vergleichsweise einfach vermeiden und ist kein „Kollateralschaden“ von BYOD. Die Zulässigkeit der Kontrolle dienstlicher E-Mails richtet sich bei strikter Trennung nach den Vorschriften des BDSG sowie mittelbar nach den Grundrechten des Arbeitnehmers (siehe ausführlich Kapitel 3 § 7 C.). b) Kontrolle der Verkehrsdaten Verkehrsdaten77 privater E-Mails können nach § 96 Abs. 1 TKG nur erhoben und verarbeitet werden, wenn dies für die geschäftsmäßige Erbringung der Telekommunikationsdienstleistung erforderlich ist.78 Die Erforderlichkeit kann in denjenigen Fallkonstellationen bejaht werden, in welchen der Arbeitgeber dem Arbeitnehmer eine SIM-Karte zur Verfügung stellt und die private Nutzung der E-Mail- und Internetdienste zumindest anteilig kostenpflichtig gestattet.79 Dann werden die Verkehrsdaten für die Kostenabrechnung benötigt. Berücksichtigt werden muss dabei allerdings, 74  Mengel, BB 2004, 2014 (2019) m.w.N. in Fn. 76; Stamer / Kuhnke, in: Plath BDSG, § 32 Rn. 111. 75  Siehe hierzu auch ausführlich Koch, NZA 2008, 913; Heldmann, DB 2010, 1235 (1239). 76  Beckschulze, DB 2009, 2097; Rath / Karner, K&R 2007, 446 (452); Vietmeyer /  Byers, MMR 2010, 807 (809); Hörl / Buddee, ITRB 2002, 160 (163); Stamer / Kuhnke, in: Plath BDSG, § 32 Rn. 112. 77  Verkehrsdaten sind nach § 3 Nr. 30 TKG Daten, die bei der Erbringung eines Telekommunikationsdienstes erhoben, verarbeitet oder genutzt werden. 78  Mengel, BB 2004, 2014 (2018). 79  Siehe hierzu allgemein: Wolf / Mulert, BB 2008, 442 (445) und Mengel, BB 2004, 2014 (2018) m. w. N. in Fn. 63.



A. Das Telekommunikationsgesetz (TKG)127

dass sich die Erforderlichkeit in erster Linie auf das übermittelte Datenvolumen bezieht, weil dies für die Bemessung der anfallenden Gebühren entscheidend ist. Die Erfassung, Speicherung und Auswertung der vollständigen E-Mail Adresse ist für die Abrechnung und die ordnungsgemäße Erbringung von Telekommunikationsdiensten hingegen nicht erforderlich.80 Öffnet der Arbeitgeber die betrieblichen E-Mail- und Internetsysteme kostenfrei für den Anschluss der Privatgeräte, was angesichts des geringen Gebührenaufwands in der Praxis häufig der Fall sein wird, dürfen Verbindungsdaten privater E-Mails nicht nach § 96 Abs. 1 TKG erfasst und gespeichert werden. Das Erheben und Verarbeiten von Verkehrsdaten ist unter den strengen Voraussetzungen des § 100 Abs. 1 TKG zur Erkennung und Beseitigung von Störungen oder Fehlern an der Telekommunikationsanlage sowie nach § 100 Abs. 3 TKG bei einem begründeten Missbrauchsverdacht zulässig. Eine Auswertung zur arbeitsrechtlichen Kontrolle ist angesichts der besonderen Zweckbindung hingegen unzulässig. 3. Kontrolle der Internetnutzung im Anwendungsbereich des TKG a) Kontrolle des Inhalts der Internetseite Für die Kontrolle der Internet-Nutzung gilt das gleiche wie für die EMail-Nutzung. Eine inhaltliche Kontrolle der privat durch den Arbeitnehmer aufgerufenen Internetseiten ist bei gestatteter Privatnutzung grundsätzlich unzulässig. Nur in Ausnahmefällen, wie etwa dem konkreten Verdacht einer strafbaren Handlung oder anderen schweren Verfehlung zu Lasten des Arbeitgebers, darf eine inhaltliche Kontrolle und Erfassung der aufgerufenen Internetseiten erfolgen.81 b) Kontrolle der Verkehrsdaten Verkehrsdaten, einschließlich der angewählten Internetadresse, dürfen erhoben und verarbeitet werden, wenn die private Inanspruchnahme der Internetdienste gegen eine zumindest anteilige Kostenerstattung gestattet wurde. Dann sind die Daten nach §§ 96 Abs. 1, 97 Abs. 1 TKG erforderlich für die Kostenabrechnung. Gestattet der Arbeitgeber die Privatnutzung ohne entsprechende Kostenerstattung, besteht keine Rechtfertigung für eine Auswer80  Lindemann / Simon,

BB 2001, 1950 (1953). NZA 2008, 609 (611); Barton, CR 2003, 592 (598); Lindemann / Simon, BB 2001, 1950 (1953). 81  Oberwetter,

128

3. Kap., § 6: BYOD und das Telekommunikationsrecht

tung der Verbindungsdaten. Die Auswertung der Verbindungsdaten zur Überprüfung des Internetverhaltens des Mitarbeiters ist bis auf die bereits dargelegten extremen Ausnahmefälle nicht zulässig.82 4. Kontrolle des Telefonverkehrs im Anwendungsbereich des TKG a) Kontrolle des Inhalts von Telefongesprächen Stellt der Arbeitgeber seinen Arbeitnehmern eine (dienstliche) SIM-Karte zur Verfügung und erlaubt er die private Nutzung des damit ausgestatteten Privatgeräts, führt der Arbeitnehmer hierüber regelmäßig sowohl dienstliche als auch private Telefongespräche. Das Mithören und Aufzeichnen des Inhalts von Telefongesprächen ist angesichts des schwerwiegenden Eingriffs in das Recht am gesprochen Wort als Teil des allgemeinen Persönlichkeitsrechts83 grundsätzlich unzulässig, und zwar unabhängig davon, ob das Tele­ fongespräch privater oder dienstlicher Natur ist. Ein Mithören und Aufzeichnen ließe sich nur in extremen Ausnahmefällen rechtfertigen, etwa bei einem begründeten Verdacht schwerwiegender strafbarer Handlungen, insbesondere dem Verrat von Geschäfts- und Betriebsgeheimnissen.84 b) Kontrolle der Verkehrsdaten Verkehrsdaten (Rufnummer, Telefonatdauer, Anzahl der angefallenen Gebühreneinheiten) dürfen beim Telefonverkehr gem. §§ 96 Abs. 1, 97 TKG nur erhoben werden, wenn sie für eine Kostenabrechnung benötigt werden. Das vollständige Erfassen der Zielrufnummer ist jedenfalls dann nicht erforderlich, wenn die Kostenbeteiligung pauschaliert wird. Sollen dem Arbeitnehmer hingegen nur die privaten Telefongespräche in Rechnung gestellt werden, müssen dienstliche und private Gespräche exakt ermittelt und voneinander unterschieden werden können. Dann ist ein vollständiges Erfassen der Zielnummer unumgänglich. Am praktikabelsten ist es, wenn in diesem Fall eine so genannte Duo-Bill-SIM-Karte genutzt wird, die zwei Telefonnummern enthält – eine dienstliche und eine private. Für jede der beiden Nummern werden ein separater Einzelverbindungsnachweis und eine eigene Rechnung vom externen Telekommunikationsanbieter erstellt. Der Arbeitnehmer erhält die Kostenabrechnung direkt von ihm. 82  Wellhörner / Byers,

BB 2009, 2310 (2311). nur BVerfG v. 09.10.2002  – 1 BvR 1611 / 96, 1 BvR 805 / 98, BVerfGE 106, 28 (39 ff.). 84  Dann / Gastell, NJW 2008, 2945 (2948); Oberwetter, NZA 2008, 609 (611); Vietmeyer / Byers, MMR 2010, 807 (809). 83  Siehe



B. Telemediengesetz (TMG)129

B. Telemediengesetz (TMG) Stellt der Arbeitgeber seinen Arbeitnehmern eine (dienstliche) SIM-Karte zur Verfügung und erlaubt die private Nutzung des damit ausgestatteten Privatgeräts oder öffnet er sowohl die betrieblichen E-Mail- und Internetsysteme (WLAN-Netz des Unternehmens) für den Anschluss der Privatgeräte und gestattet dabei ausdrücklich auch deren Privatnutzung, ist er seinen Arbeitnehmern gegenüber nicht nur Diensteanbieter i. S. des TKG, sondern auch Diensteanbieter i. S. des TMG.85 Das TMG gilt gem. § 1 Abs. 1 für alle elektronischen Informations- und Kommunikationsdienste, soweit sie nicht Telekommunikationsdienste nach § 3 Nr. 24 TKG, die ganz in der Übertragung von Signalen bestehen, oder Rundfunk im Sinne von § 2 RStV sind. In der Entwurfsbegründung zum TMG hat der Gesetzgeber ausdrücklich klargestellt, dass das Bereitstellen eines Internetzugangs und die EMail-Übertragung gleichzeitig sowohl einen Telemediendienst als auch einen Telekommunikationsdienst nach dem TKG darstellen.86 Die Ausnahmevorschrift aus § 11 Abs. 1 Nr. 1 TMG greift nicht ein. Sie beschränkt sich im Dienst- und Arbeitsverhältnis nur auf solche Dienste, die zu ausschließlich beruflichen oder dienstlichen Zwecken erbracht werden. Zu berücksichtigen ist, dass das TMG in den oben beschriebenen BYODSachverhalten jedoch nur einschränkend ergänzend zu den Vorschriften des TKG zur Anwendung kommt. Bei der Internet- und E-Mail-Nutzung handelt es sich um Informations- und Kommunikationsdienste, die überwiegend in der Übertragung von Signalen über Telekommunikationsdienste bestehen, so dass nach § 11 Abs. 3 TMG nur noch bestimmte Datenschutzvorschriften des TMG angewendet werden, nämlich das Koppelungsverbot (§ 12 Abs. 3), die Möglichkeiten der Datenverarbeitung zur Bekämpfung von missbräuchlichen Nutzungen (§ 15 Abs. 8) und die dazugehörigen Sanktionen (§ 16 Abs. 2 Nr. 2 und 5).87

§ 7 BYOD und das Datenschutzrecht Von grundsätzlicher Bedeutung – unabhängig davon, ob zusätzlich die Sondervorschriften des TKG eingreifen oder nicht – ist bei BYOD die Umsetzung der datenschutzrechtlichen Vorgaben, insbesondere von § 9 BDSG 85  Moos, in: Taeger / Gabel, BDSG § 11TMG Rn. 16; Däubler, Gläserne Belegschaften, § 6 Rn. 343; Müller-Broich, § 11 TMG Rn. 3. 86  BT-Drucks. 16 / 30778, S. 13. 87  BT-Drucks. 16 / 30778, S. 15 f.; siehe hierzu auch ausführlich Moos, in: Taeger / Gabel, BDSG § 11 TMG Rn. 16; Müller-Broich, § 11 TMG Rn. 7; Hullen / Roggenkamp, in: Plath BDSG § 11 TMG Rn. 19; Sassenberg / Mantz, BB 2013, 889 f.

130

3. Kap., § 7: BYOD und das Datenschutzrecht

und seiner Anlage. Auf den Endgeräten werden in der Regel nicht nur private Daten des Arbeitnehmers verarbeitet und gespeichert, sondern auch solche von anderen Mitarbeitern, Kunden und des Unternehmens selbst, also personenbezogene Daten i. S. des § 3 Abs. 1 BDSG.88 Trotz der skeptischen Stellungnahmen vieler Datenschutzbeauftragten der Länder89 ist mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) von der grundsätzlichen Möglichkeit einer datenschutzkonformen Nutzung privater Endgeräte auszugehen.90 Unerlässlich ist hierbei ein umfassendes Datenschutz- und Datensicherheitskonzept, bestehend aus technischen Maßnahmen und zusätzlichen, datenschutzspezifischen Regelungen in der BYODNutzungsvereinbarung. Welchen Mindestanforderungen ein solches Maßnahmenbündel genügen muss und wie es konkret ausgestaltet werden kann, ist Gegenstand der nachfolgenden Ausführungen.

A. BYOD als Auftragsdatenverarbeitung? Werden im Rahmen des Arbeitsverhältnisses personenbezogene Daten zu betrieblichen Zwecken erhoben, verarbeitet oder gespeichert, ist der Arbeitgeber als verantwortliche Stelle nach § 3 Abs. 7 BDSG verpflichtet, die Einhaltung der datenschutzrechtlichen Vorgaben sicherzustellen. Der Arbeitgeber ist auch dann „verantwortliche Stelle“, wenn er eine „andere Stelle“ mit der Durchführung von Datenverarbeitungsvorgängen beauftragt (§ 3 Abs. 7 Alt. 2, § 11 BDSG) Bei der Auftragsdatenverarbeitung ist der Begriff des „Auftrags“ weit zu verstehen und beschränkt sich nicht auf Auftragsverhältnisse i. S. des § 662 BGB, sondern umfasst auch Dienst-, Werk- oder Geschäftsbesorgungsverträge.91 Entscheidend ist allein, dass der Auftragnehmer gegenüber dem Auftraggeber weisungsgebunden 88  Frank,

RDV 2013, 185. für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern, „Bring Your Own Device“ (BYOD) – ist ein datenschutzgerechter Einsatz von Smartphones und Tablet-PC’s möglich?, abrufbar unter: https: // www.datenschutzmv.de / online_tb / byod; Hessischer Datenschutzbeauftragter, Handreichung zur Nutzung von Smartphones und Tablet-Computern in Behörden und Unter­nehmen, Stand 15.04.2013, abrufbar unter: https: // www.datenschutz.hessen.de / tf015.htm. Der Einsatz von BYOD im Bereich der öffentlichen Verwaltung wird vom Berliner Beauftragten für Datenschutz und Informationsfreiheit für unzulässig erachtet, Tagungsbericht für das Jahr 2012, S. 32, abrufbar unter http: // www.datenschutz-berlin.de / con tent / nachrichten / datenschutznachrichten / 27-maerz-2013; in diese Rich­tung auch das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, 31. Tätigkeitsbericht 2009, BT-Drucks. 16 / 2439 S. 115 ff. 90  BSI, Überblickpapier Consumerisation und BYOD, abrufbar unter: https: //  www.bsi.bund.de / SharedDocs / Downloads / DE / BSI / Grundschutz / Download / Ueber blickspapier_BYOD_pdf.pdf?__blob=publicationFile. 89  Landesbeauftragter



A. BYOD als Auftragsdatenverarbeitung?131

ist.92 Hiervon kann insbesondere dann ausgegangen werden, wenn der Auftragnehmer keine eigene wesentliche Entscheidungsbefugnis über die Daten hat,93 folglich nur eine Hilfsfunktion für die Erfüllung der Aufgaben und Geschäftszwecke der verantwortlichen Stelle ausübt.94 Liegt eine Auftragsdatenverarbeitung vor, sind die formellen und materiellen Voraussetzungen des § 11 BDSG zu berücksichtigen, vor allem das Schriftformerfordernis aus Abs. 2. Unumstritten ist bei BYOD, ob die Verarbeitung und die Nutzung personenbezogener Daten auf privaten Endgeräten durch selbstständige, freie Mitarbeiter oder Unternehmen den Vorschriften der Auftragsdatenverarbeitung unterliegen, sofern diese Personen die Weisungen des Auftraggebers zu befolgen haben und keine Funktionsübertragung95 vorliegt.96 Dann bedarf es eines formbedürftigen Vertrags nach § 11 Abs. 2 Satz 2 BDSG, in dem die nach dieser Vorschrift im Einzelnen aufgeführten Gegenstände festzulegen sind. Andernfalls verhält sich der Arbeitgeber vorsätzlich oder fahrlässig ordnungswidrig nach § 43 Abs. 1 Nr. 2b BDSG, was mit einem Bußgeld von bis zu 50.000 € geahndet werden kann. Umstritten ist dagegen, ob der Einsatz von BYOD auch dann zur Anwendung der Vorschriften der Auftragsdatenverarbeitung führt, wenn Arbeitnehmer personenbezogene Daten auf ihren privaten Endgeräten verarbeiten oder nutzen. 91  Gola / Klug / Körffer, in: Gola / Schomerus BDSG, § 11 Rn. 6; Plath, in: Plath BDSG § 11 Rn. 21; Taeger / Gabel, BDSG § 11 Rn. 11; Thüsing / Granetzny, in: Thüsing, Beschäftigtendatenschutz und Compliance § 16 Rn. 9; Wedde, in: Däubler / Klebe / Wedde / Weichert, BDSG, § 11 Rn. 17. 92  Plath, in: Plath, BDSG § 11 Rn. 26; Spindler / Nink, in: Spindler / Schuster, Recht der elektronischen Medien, § 11 BDSG Rn. 13. 93  Gola / Klug / Körffer, in: Gola / Schomerus BDSG, § 11 Rn. 9; Taeger / Gabel, BDSG § 11 Rn. 12. 94  Vgl. nur Thüsing / Granetzky, in: Thüsing, Beschäftigtendatenschutz und Compliance, § 16 Rn. 13 m. w. N. 95  Anders als bei der Auftragsdatenverarbeitung, wird der Auftragnehmer bei der Funktionsübertragung nicht nur in einer bloßen Hilfsfunktion für die Erfüllung der Aufgaben und Geschäftszwecke der verantwortlichen Stelle tätig (Spindler / Nink, in: Spindler / Schuster, Recht der elektronischen Medien, § 11 BDSG Rn. 13; Thüsing /  Granetzky, in: Thüsing, Beschäftigtendatenschutz und Compliance, § 16 Rn. 13 m. w. N.). Ihm wird nicht nur die Datenverarbeitung als solche übertragen, sondern eine eigenständige „rechtliche Zuständigkeit“ für die Aufgabe, deren Erfüllung die Datenverarbeitung oder die Nutzung zugrundeliegt (Gola / Schomerus, BDSG, § 11 Rn. 9). 96  Conrad / Schneider, ZD 2011, 153 (154), die insoweit eine Parallele zur Tele­ arbeit ziehen; Däubler, Internet und Arbeitsrecht, § 4 Rn. 210k; Imping / Pohle, K&R 2012, 470 (473); Jandt / Steidle, CR 2013, 338 (340).

132

3. Kap., § 7: BYOD und das Datenschutzrecht

I. Meinungsstand Von Teilen der Literatur wird dies meist ohne nähere Begründung bejaht.97 Sofern der Arbeitgeber seinem Arbeitnehmer gestatte, betriebliche Kunden- oder Mitarbeiterdaten auf dem Privatgerät zu verarbeiten oder zu speichern, werde der Arbeitnehmer zum Auftragnehmer dieser Personendatenverarbeitung.98 Die formellen und materiellen Voraussetzungen des § 11 BDSG müssten eingehalten, insbesondere ein detailliert geregelter, schriftlicher Vertrag über die Auftragsdatenverarbeitung abgeschlossen werden. Die Gegenansicht99 lehnt es ab, den Arbeitnehmer als Auftragsdatenverarbeiter zu bewerten. Aus dem Umstand, dass der Arbeitnehmer die Datenverarbeitungsvorgänge von seinem Privatgerät aus durchführt, könne nicht gefolgert werden, dieser werde zu einer „eigenen Stelle“ i. S. des § 11 Abs. 1 BDSG.100 Das Datenschutzrecht treffe eine funktionsbezogene Abgrenzung.101 Entscheidend für die Zuordnung zum Unternehmen sei allein, ob der Arbeitnehmer die Daten in seiner dienstlichen Funktion erhalte und nutze, wie es bei BYOD regelmäßig der Fall sei.102 Dann bleibe er Teil des Unternehmens, mithin Teil der verantwortlichen Stelle. Auf die Eigentumsverhältnisse an der zur Datenverarbeitung eingesetzten IT könne es nicht ankommen. Insoweit sei die Rechtslage vergleichbar mit denjenigen Sachverhalten, in welchen der Arbeitnehmer gemietete oder geleaste mobile Endgeräte zur Datenverarbeitung gebraucht. Hierbei werde ebenfalls nicht in Abrede gestellt, dass der Arbeitnehmer Teil der verantwortlichen Stelle bleibt, wenn er die Datenverarbeitung zur Erfüllung seiner arbeitsvertrag­ lichen Pflichten vornimmt.103

97  Koch, ITRB 2012, 35 (39); Koch, in: Kongehl Gruppe 2.17, S. 28 sowie Buchholz, „Bring your own Device“ – Rechtliche Hürden, 841 (847 ff.). 98  Koch, ITRB 2012, 35 (39). 99  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 12; Brachmann, AuA 2013, 680; Conrad / Schneider, ZD 2011, 153 (154); Däubler, Internet und Arbeitsrecht, § 4 Rn. 210k; Franck, RDV 2013, 185 (186); Jandt / Steidle, CR 2013, 338 (340); Kamps, ArbRB 2013, 350 (351); Kremer / Sander, ITRB 2012, 275 (278 f.); Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (750 f.); Seel, MDR 2014, 69 (70); Zöll / Kielkowski, BB 2012, 2625. Auch Walter / Dorschel, WuM 2012, 22 (26), allerdings mit unzutreffender Begründung. 100  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 12; Däubler, Internet und Arbeitsrecht, § 4 Rn. 210k; Kremer / Sander, ITRB 2012, 275 (278 f.); Zöll / Kielkowski, BB 2012, 2625. 101  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 12. 102  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 12. 103  Däubler, Internet und Arbeitsrecht, § 4 Rn. 210k; Kamps, ArbRB 2013, 350 (351); Jandt / Steidle, CR 2013, 338 (340).



A. BYOD als Auftragsdatenverarbeitung?133

II. Stellungnahme Mit der Gegenansicht ist der betriebliche Einsatz privater Endgeräte durch Arbeitnehmer nicht als Auftragsdatenverarbeitung zu bewerten. Der Umstand, dass der Arbeitnehmer sein eigenes mobiles Endgerät als Arbeitsmittel gebraucht, macht ihn nicht zu einer „anderen Stelle“. Er bleibt bei der betrieblichen Datenverarbeitung weiterhin Teil des Unternehmens und damit Teil der verantwortlichen Stelle, so dass es eines gesonderten Vertrags nach § 11 Abs. 2 Satz 2 BDSG nicht bedarf. Anderes gilt nur, wenn der Arbeitnehmer sein Privatgerät ohne Wissen und Duldung des Arbeitgebers für die Datenverarbeitung nutzt. In diesen Fällen kann keine Zuordnung zum Unternehmen erfolgen; der Arbeitnehmer wird selbst zur verantwortlichen Stelle. Dafür spricht nicht nur, dass die Eigentumsverhältnisse an der zur Datenverarbeitung eingesetzten IT-Infrastruktur kein normiertes Kriterium für die datenschutzrechtliche Bewertung bilden und es deshalb nicht überzeugen kann, diejenigen Fälle, in denen gemietete oder geleaste IT-Geräte außerhalb des Betriebsgeländes zum Einsatz kommen, anders zu behandeln als diejenigen, in denen mitarbeitereigene Endgeräte genutzt werden. Auch die Systematik des BDSG verbietet es, den Arbeitnehmer als Auftragsdatenverarbeiter zu bewerten.104 Die datenschutzrechtlichen Vorschriften unterscheiden insoweit ausdrücklich zwischen Arbeitnehmern („bei der Datenverarbeitung beschäftigten Person“; § 5 BDSG) und Auftragsdatenverarbeitern („durch andere im Auftrag vornehmen lässt“; § 3 Abs. 7 Alt. 2 BDSG). Gestützt wird diese Differenzierung zusätzlich durch eine europarechtskonforme Auslegung.105 Auch die EG-Datenschutzrichtlinie (RL 95 / 46 / EG) unterscheidet beide Begriffe strikt voneinander. So werden Arbeitnehmer in Art. 2 lit. f als Personen beschrieben, „die unter der unmittelbaren Verantwortung des für die Verarbeitung Verantwortlichen oder des Auftragsver­ arbeiters befugt sind, die Daten zu verarbeiten“. Dass das BDSG einen Arbeitnehmer nicht als Auftragsdatenverarbeiter einordnet, wird schließlich durch den Pflichtenkatalog des § 11 Abs. 4 Nr. 2 BDSG bestätigt. Hiernach hat der Auftragnehmer unter anderem einen Datenschutzbeauftragten nach § 4f BDSG zu bestellen und die erforderlichen technischen und organisatorischen Maßnahmen zur Gewährleistung des Datenschutzes nach § 9 BDSG zu treffen. Sinnvoll und nachvollziehbar lassen sich diese Pflichten nur in marktförmigen Beziehungen begründen, 104  Siehe hierzu ausführlich Kremer / Sander, ITRB 2012, 275 (278) und Franck, RDV 2013, 185 (186) sowie Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (751). 105  Kremer / Sander, ITRB 2012, 275 (278).

134

3. Kap., § 7: BYOD und das Datenschutzrecht

die einer Auftragsdatenverarbeitung typischerweise zugrunde liegen, nicht aber in hierarchischen Beziehungen, wie sie zwischen Arbeitgeber und Arbeitnehmer aufgrund des Arbeitsvertrags bestehen.106

B. Technische und organisatorische Maßnahmen Der Arbeitgeber ist als verantwortliche Stelle nach § 9 Satz 1 BDSG verpflichtet, die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführungen der datenschutzrechtlichen Vorschriften, insbesondere die in der Anlage zu § 9 BDSG genannten Anforderungen, zu gewährleisten. Erforderlich sind die technisch-organisatorischen Maßnahmen gemäß Satz 2 dann, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Ob und inwieweit der Arbeitgeber Maßnahmen zur Datensicherheit zu treffen hat, hängt demnach maßgeblich davon ab, welche personenbezogenen Daten (besonders sensible oder schützenswerte Daten) in welchem Umfang verarbeitet und gespeichert werden.107 Entscheidend ist der konkrete Einzelfall. Im Folgenden soll vor allem auf diejenigen technisch-organisatorischen Maßnahmen eingegangen werden, die bei BYOD umgesetzt werden müssen, wenn der Arbeitnehmer einen vollständigen Zugriff auf die unternehmenseigenen IT-Ressourcen erhalten soll. Dies ermöglicht eine umfassende Analyse und Bewertung, nicht zuletzt auch deshalb, weil die Lösungsansätze bei einfacheren BYODKonzepten ohne vollständigen Zugriff auf die unternehmenseigenen ITRessourcen gleichfalls Anwendung finden können. I. Mobile Device Management In der betrieblichen Praxis lässt sich die Einhaltung der Vorgaben des § 9 BDSG und seiner Anlage nur durch den Einsatz so genannter Mobile Device Management Systeme („MDM“; dt. Mobilgeräteverwaltung) sicherstellen. Hierbei handelt es sich um Programme, die es dem Arbeitgeber ermöglichen, das Endgerät zentral zu verwalten, technisch abzusichern, Fernlöschungen vorzunehmen und private Daten von dienstlichen zu trennen.108 Letzteres ist angesichts des Trennungsgebots nach Nr. 8 der Anlage zu § 9 BDSG und mit Blick auf die Vorgaben zum Beschäftigtendatenschutz für den BYOD-Einsatz unerlässlich. MDM-Systeme werden von verschiedensten Herstellern für eine Vielzahl an Endgeräten und Betriebssystemen angeboten. Für die Auswahl eines entsprechenden MDM-Systems sind das je106  Jandt / Steidle,

CR 2013, 338 (340). Datennutzungsverträge, Teil 4 VI Rn. 8. 108  Arning / Moos, DB 2013, 2607 (2609). 107  Arning / Moos,



B. Technische und organisatorische Maßnahmen135

weilige Endgerät und das von ihm verwendete Betriebssystem entscheidend. Noch vor dem konkreten BYOD-Einsatz muss deshalb geprüft werden, ob das präferierte MDM-System mit dem jeweiligen Betriebssystem des Arbeitnehmers kompatibel ist und die erforderlichen datenschutzrechtlichen Sicherheitsmaßnahmen durchgesetzt werden können. Bei Endgeräten mit dem Betriebssystem iOS, das bei Apple-Produkten wie dem iPhone oder dem iPad genutzt wird, basieren viele MDM-Systeme auf dem hierfür entwickelten Apple-Konfigurationsprogramm (AppleConfigurator).109 Das Konfigurationsprogramm kann über den App-Store erworben werden und ermöglicht es, das Endgerät sicher in der Unternehmensumgebung zu registrieren, drahtlos Einstellungen zu konfigurieren und zu aktualisieren, die Einhaltung von Datenschutzrichtlinien zu überwachen und Daten durch Fernzugriff zu löschen oder zu sperren.110 Zu berücksichtigen ist allerdings, dass sich mittels des MDM-Systems nicht mehr Einstellungen und Sicherheitsmaßnahmen vornehmen lassen, als das Apple-Konfigurationsprogramm hierfür bereitstellt.111 Deshalb ist sorgfältig zu prüfen, ob die vordefinierten Einstellungen im konkreten Einzelfall ausreichen, um das gewünschte Schutzniveau zu erreichen. Bei Endgeräten mit dem Betriebssystem Android – das vornehmlich bei Geräten von Samsung oder Sony im Einsatz ist – wird eine App des MDMSystems auf dem Endgerät installiert. Die für die App eingeräumten Rechte legen fest, welche Sicherheitsstandards das MDM-System für das Endgerät vorgeben kann.112 Werden zusätzliche Sicherheitsmechanismen benötigt, sind weitere Anwendungen erforderlich, die mit dem MDM-System zusammenarbeiten. Das MDM-System allein kann diese nicht gewährleisten. Aus Kostengründen und aufgrund des administrativen Aufwands für die IT-Abteilung werden nur die wenigsten Unternehmen in der Lage sein, die Vielzahl an unterschiedlichen Gerätetypen und Betriebssystemen mittels MDM-Systemen zu administrieren. Deshalb ist es zu empfehlen, die BYODNutzung auf diejenigen Endgeräte zu beschränken, deren Betriebssysteme mit dem präferierten MDM-System kompatibel sind und die notwendigen Sicherheitseinstellungen ermöglichen.113 In der BYOD-Nutzungsvereinba109  Siehe hierzu: Implementierung von iPhone und iPad – Mobile Device Management, abrufbar unter https: // www.apple.com / de / ipad / business / docs / iOS_6_ MDM_ DE.pdf. 110  Implementierung von iPhone und iPad – Mobile Device Management, abrufbar unter https: // www.apple.com / de / ipad / business / docs / iOS_6_MDM_ DE.pdf. 111  BSI, Überblickpapier Consumerisation und BYOD, S. 4. 112  BSI, Überblickpapier Consumerisation und BYOD, S. 4. 113  Arning / Moos, DB 2013, 2607 (2610); dies., Datennutzungsverträge, Teil 4 VI Rn. 109.

136

3. Kap., § 7: BYOD und das Datenschutzrecht

rung sollte ausdrücklich geregelt werden, welche Endgeräte und Betriebssysteme zum Einsatz kommen dürfen. Es bietet sich an, diese in einem Anhang zur Nutzungsvereinbarung aufzulisten und unter den Vorbehalt nachträglicher Änderungen oder Ergänzungen zu stellen. Das ermöglicht es dem Arbeitgeber, den BYOD-Einsatz entsprechend seiner IT-Ressourcen nachträglich anzupassen. Die BYOD-Nutzung ist dem Arbeitnehmer nur dann zu gestatten, wenn zuvor die Mobile Device Management Tools auf seinem Endgerät installiert wurden, weil sich nur so die Einhaltung der datenschutzrechtlichen Bestimmungen gewährleisten lässt. Sollte sich der Arbeitnehmer hiermit nicht einverstanden erklären, kann sein Gerät für BYOD nicht eingesetzt werden. Die BYOD-Nutzung ist ihm dann ausdrücklich zu untersagen. II. Vorgaben der Anlage zu § 9 BDSG 1. Trennungsgebot Das Trennungsgebot zwischen dienstlichen und privaten Daten nach Nr. 8 der Anlage zu § 9 BDSG lässt sich auf unterschiedlichste Weise gewährleisten. Am bekanntesten und verbreitesten sind Container- und Vir­ tualisierungslösungen, die in der Regel fester Bestandteil der MDM-Systeme sind. a) Containerlösungen Bei den Container-Lösungen (häufig auch als „Sandboxing“ bezeichnet) wird auf dem Endgerät eine Container-App installiert, die es ermöglicht, dienstliche Daten und Anwendungen wie beispielsweise E-Mails, Kontakte, Termine oder Aufgaben abgeschirmt vom Rest des Systems in einem geschlossenen Datencontainer bereitzustellen, zu verarbeiten und lokal abzuspeichern.114 Auf dem Endgerät werden so zwei voneinander getrennte Datenbereiche geschaffen. Die dienstlichen und privaten Daten werden vollständig voneinander getrennt, ohne dass die private Nutzung des Endgeräts eingeschränkt würde. Besonders wichtig ist, dass die Container-App die dienstlichen Daten im Container verschlüsselt, um zu verhindern, dass virenbefallene oder besonders sicherheitsriskante Applikationen Zugriff auf die dienstlichen Daten erhalten und dass vor jeder Nutzung des Containers der 114  Siehe hierzu ausführlich Hemker, DuD 2012, 165 (167) sowie Wisskirchen /  Schiller, DB 2015, 1163; Jandt / Steidle, CR 2013, 338 (344); Minnerup, ITRB 2012, 119 (120); BSI, Überblickpapier Consumerisation und BYOD, S. 5.



B. Technische und organisatorische Maßnahmen137

Arbeitnehmer mittels eines Passworts identifiziert wird.115 Auch die Verbindung zum Unternehmensserver muss beim Datentransfer verschlüsselt sein.116 b) Virtualisierungslösungen Eine Trennung von dienstlichen und privaten Daten lässt sich auch über die so genannten Virtualisierungslösungen erzielen. Bei diesen werden die dienstlichen Daten anders als bei den Containerlösungen nicht auf dem Endgerät des Arbeitnehmers verarbeitet oder gespeichert, sondern verbleiben auf dem Unternehmensserver. Der Arbeitnehmer erhält über ein Programm auf seinem mobilen Endgerät und eine abgesicherte Netzverbindung Zugriff auf die dienstlichen Daten des Unternehmensservers, kann diese aber nicht direkt auf seinem Endgerät verarbeiten oder speichern.117 Damit dient das Endgerät lediglich als Anzeigegerät für die Geschäftsanwendungen118 und ist vergleichbar mit Thin-Clients, die vor allem im DesktopBereich schon seit Längerem einen datenschutzkonformen Umgang mit dienstlichen Daten ermöglichen.119 Der Zugriff auf den Unternehmensserver ist regelmäßig so ausgestaltet, dass für jeden Arbeitnehmer im Vorfeld ein Benutzeraccount eingerichtet wird, so dass dienstliche Daten nur mit entsprechenden Zugangsdaten eingesehen werden können. c) Vor- und Nachteile Virtualisierungslösungen bieten im Gegensatz zu den Containerlösungen den Vorteil einer strikten Datentrennung, da die Daten das Unternehmen zu keinem Zeitpunkt verlassen. Hierdurch lassen sie sich insgesamt besser kontrollieren. Darüber hinaus ist das Risiko, dass die privaten Daten des Arbeitnehmers bei einer Datensicherung durch das Unternehmen mit einbezogen werden, ausgeschlossen. Die Virtualisierungslösungen setzten allerdings eine durchgehend verfügbare und ausreichend dimensionierte Internetverbindung voraus, was gerade im Ausland hohe Daten-Roaming-Kosten verursachen kann.120 Zusätzlich erhöht sich der Stromverbrauch, wodurch 115  Buchholz, „Bring your own Device“ – Rechtliche Hürden, 841 (842); BSI, Überblickpapier Consumerisation und BYOD, S. 5. 116  Jandt / Steidle, CR 2013, 338 (344). 117  Bierekoven, ITRB 2012, 106 (107); BSI, Überblickpapier Consumerisation und BYOD, S. 5. 118  Buchholz, „Bring your own Device“ – Rechtliche Hürden, 841 (842). 119  Bierekoven, ITRB 2012, 106 (107); BSI, Überblickpapier Consumerisation und BYOD, S. 5. 120  BSI, Überblickpapier Consumerisation und BYOD, S. 6.

138

3. Kap., § 7: BYOD und das Datenschutzrecht

sich der Akku bedeutend schneller entlädt als bei den Containerlösungen. Schließlich ist zu berücksichtigen, dass sich Virtualisierungslösungen nicht auf allen Endgerätetypen realisieren lassen, weil einige Gerätetreiber nicht zur Verfügung stehen.121 2. Zutrittskontrollen Neben der Einhaltung des Trennungsgebots ist Unbefugten der Zutritt zur Datenverarbeitungsanlage zu verwehren (Nr. 1 der Anlage zu § 9 BDSG). Schutzmaßnahmen wie bei Standrechnern am Arbeitsplatz sind bei BYOD kaum möglich, handelt es sich doch um mobile Endgeräte, die jederzeit und überall eingesetzt werden können. Der Arbeitnehmer sollte jedoch ausdrücklich dazu verpflichtet werden, das Endgerät nicht unbeaufsichtigt und unverschlossen aufzubewahren.122 3. Zugangskontrollen Darüber hinaus muss durch technisch-organisatorische Maßnahmen verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Nr. 2 der Anlage zu § 9 BDSG). Für den BYOD-Einsatz ist der Arbeitnehmer zu einer höchstpersönlichen Nutzung des Endgeräts zu verpflichten, um zu verhindern, dass unbefugte Dritte, wie etwa Familienangehörige, Freunde oder Bekannte, Zugriff auf die dienstlichen Daten erhalten.123 Ohne eine entsprechende Regelung besteht die Gefahr, dass die Weitergabe des Geräts an Dritte eine unzulässige Datenübermittlung i. S. des § 3 Abs. 4 Nr. 3 BDSG ist, die für den Arbeitgeber die Benachrichtigungspflicht aus § 42a BDSG auslöst. Kommt er dieser nicht nach, verhält er sich ordnungswidrig nach § 43 Abs. 2 Nr. 7, was mit einer Geldbuße von bis zu dreihunderttausend Euro geahndet werden kann (§ 43 Abs. 3 Alt. 2 BDSG). 121  BSI,

Überblickpapier Consumerisation und BYOD, S. 6. DB 2013, 2607 (2609) schlagen hierzu die Aufbewahrung in einer Gürteltasche oder einem Case vor. 123  Kraska / Meuser, BB 2012, Heft 42 S. VI; Franck, RDV 2013, 185 (186); Hörl, ITRB 2012, 258 (206); Arning / Moos / Becker, CR 2012, 592; Däubler, Internet und Arbeitsrecht, § 4 Rn. 210n; BSI, Überblickpapier Consumerisation und BYOD, S. 8; a. A. Conrad / Schneider, ZD 2011, 153 (158), die zögernd formulieren „Allerdings wird der Arbeitgeber wohl nicht verbieten können, dass der Arbeitnehmer seinen privaten Laptop auch anderen Personen, z. B. Familienmitgliedern, zur Verfügung stellt.“. Differenzierend Lipp, Bring Your Own Device (BYOD) – Das neue Betriebsmittel, 747 (755), die eine höchstpersönliche Nutzung und ein Verbot der Weitergabe des Geräts an Dritte jedenfalls dann für fraglich erachtet, wenn der Zugriff auf die dienstlichen Daten nicht durch einen entsprechenden Benutzeraccount und Zugangsdaten bzw. ein Passwort gesichert ist. 122  Arning / Moos,



B. Technische und organisatorische Maßnahmen139

Trotz einer vertraglichen Verpflichtung ist dennoch nicht auszuschließen, dass das Gerät im häuslichen und familiären Bereich temporär weitergegeben wird. Deshalb ist es erforderlich, das Endgerät technisch zusätzlich so zu konfigurieren, dass ein Zugriff auf die Container-App bzw. den Unternehmensserver nur nach Eingabe eines Passworts erfolgen kann und dieses Passwort geheim gehalten wird. Denkbar und sinnvoll ist es, dass der Arbeitgeber spezielle Anforderungen an das Passwort stellt. So kann er etwa eine bestimmte Buchstabenanzahl vorgeben oder verlangen, dass das Passwort sowohl aus Buchstaben als auch aus Zahlen besteht. Sollte zur Datentrennung eine Virtualisierungslösung genutzt werden, ist es geboten, die Verbindung zum Unternehmensserver nach einem bestimmten Zeitraum ohne Aktivität automatisch trennen zu lassen, um so den Schutz vor unbefugten Zugriffen weiter zu erhöhen.124 Sofern der Arbeitgeber einen eigenen innerbetrieblichen Techniksupport zur Verfügung stellt, sollte der Arbeitnehmer bei der Nutzung von Containerlösungen verpflichtet werden, jenen in Anspruch zu nehmen, wenn Reparaturen und Wartungen am Endgerät notwendig werden. So wird verhindert, dass unbefugte Dritte die gespeicherten Daten einsehen können. Sollten Supportarbeiten durch unternehmensexterne Servicedienste erforderlich werden, muss die BYOD-Nutzungsvereinbarung eine Regelung vorsehen, dass noch vor der Übergabe des Geräts eine Datensicherung und bei sehr sensiblen Daten eine Löschung erfolgt.125 Um eine wirksame Zugangskontrolle zu gewährleisten, ist schließlich erforderlich, dass für die BYOD-Nutzung nur solche Geräte zugelassen werden, die ausschließlich im Eigentum des Arbeitnehmers stehen. Steht das Endgerät im Eigentum Dritter, etwa Familienangehöriger, einer Finanzierungs- oder Leasinggesellschaft, kann der Arbeitgeber einen Zugriff regelmäßig nicht wirksam vertraglich ausschließen, es sei denn, der Dritte hat einer Zugangskontrolle ausdrücklich zugestimmt.126 4. Zugriffskontrolle Für eine wirksame Zugriffskontrolle nach Nr. 3 der Anlage zu § 9 BDSG muss es dem Arbeitgeber möglich sein, Konfigurationseinstellungen des Endgeräts vorzugeben und gegebenenfalls selbst vorzunehmen. Auch wenn sich diese Einstellungen zentral über die MDM-Systeme steuern lassen, ist es dennoch sinnvoll, den Arbeitnehmer in der BYOD-Nutzungsvereinbarung 124  Bierekoven,

ITRB 2012, 106 (107). Beauftragter für Datenschutz und Informationsfreiheit, Bericht 2012, 32 (35). In diese Richtung auch Kraska / Meuser, BB 2012, Heft 42 S. VI. 126  Franck, RDV 2013, 185 (186 Fn. 23); Bitkom, Bring Your Own Device, S. 7. 125  Berliner

140

3. Kap., § 7: BYOD und das Datenschutzrecht

zu verpflichten, die vom Arbeitgeber vorgegebenen Geräteinstellungen zu verwenden und nachträglich nicht wieder zu verändern.127 Das erhöht nicht nur den Schutz der dienstlichen Daten, es ermöglicht dem Arbeitgeber auch, zentral zu steuern, welche dienstlichen Daten der Arbeitnehmer abrufen kann und welche dienstlichen Anwendungen von ihm genutzt werden dürfen. So ist gewährleistet, dass der Arbeitnehmer nur im Rahmen seiner bestehenden Berechtigung Zugriff auf die Unternehmensdaten erhält.128 Entsprechend den Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sollte die BYOD-Nutzungsvereinbarung eine Regelung enthalten, die es dem Arbeitgeber erlaubt, automatisierte Scans bei Netzzugangskontrollen durchzuführen. Hierdurch kann überprüft werden, ob das Endgerät die vorgegebenen Einstellungen und Sicherheitsvorkehrungen einhält.129 Geräte, welche die Sicherheitsvorgaben nicht erfüllen, erhalten nach dem Scan keinen Zugriff auf das Unternehmensnetzwerk oder werden in einem getrennten „Quarantäne-Netz“ untergebracht, so dass keine Sicherheitslücken entstehen.130 Der Sicherheitsscan kann von außen direkt auf das Endgerät erfolgen. Das Endgerät kann aber auch mit einem so genannten „Agenten“ ausgestattet werden, der eine lokale Überprüfung des Geräts ermöglicht und im Anschluss daran die Ergebnisse an den Unternehmensserver weiterleitet.131 Solche „Agenten“ sind häufig fester Bestandteil der MDM-Systeme und teilweise sogar in der Lage, das Gerät bei Abweichungen wieder so zu konfigurieren, dass es die vorgegebenen Einstellungen und Sicherheitsvorgaben erfüllt. 5. Weitergabekontrolle Nach Nr. 4 der Anlage zu § 9 BDSG muss gewährleistet werden, dass personenbezogene Daten während ihrer Übertragung, ihres Transports oder ihrer Speicherung nicht von Unbefugten gelesen, kopiert, verändert oder entfernt werden können. Das kann nur durch eine Verschlüsselung der Daten und einer verschlüsselten Kommunikation mit der IT des Arbeitgebers erreicht werden.132 Die Verschlüsselung der Daten auf dem Transportweg ist insbesondere über integrierte Verschlüsselungsmechanismen möglich oder bei Virtualisierungslösungen über generische Methoden wie VPN133.134 127  Berliner Beauftragter für Datenschutz und Informationsfreiheit, Bericht 2012, 32 (34). Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 33. 128  Arning / Moos, DB 2013, 2607 (2609). 129  BSI, Überblickpapier Consumerisation und BYOD, S. 9. 130  BSI, Überblickpapier Consumerisation und BYOD, S. 7. 131  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 34. 132  Schumann, Datenschutz Berater 2012, 110 (112).



B. Technische und organisatorische Maßnahmen141

6. Eingabekontrolle Der Arbeitgeber hat nach Nr. 5 der Anlage zu § 9 BDSG zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Hierfür sind Protokollierungen erforderlich, die sich technisch unter anderem über Data-Loss-Prevention-Systeme (kurz „DLP-Systeme“)135 erreichen lassen. Beim Einsatz solcher Systeme ist das Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG besonders wichtig, weil diese Programme je nach ihrer konkreten Ausgestaltung eine Echtzeitüberwachung des datenverarbeitenden Arbeitnehmers ermöglichen.136 7. Verfügbarkeitskontrolle a) Anti-Virenprogramme und das Verbot von „Jailbreaks“ Nach Nr. 7 der Anlage zu § 9 BDSG muss gewährleistet werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Das eingesetzte Endgerät muss deshalb stets über ein aktuelles AntiVirenprogramm verfügen. Der Arbeitnehmer ist in der BYOD-Nutzungsvereinbarung zu verpflichten, das Anti-Virenprogramm noch vor dem BYODEinsatz aufzuspielen und zu aktualisieren, sollte das Unternehmen dies nicht ohnehin selbst getan haben und zentral steuern lassen. Dem Arbeitnehmer sind Einstellungen und Veränderungen am Gerät zu untersagen, die zu einer Umgehung des Anti-Virenprogramms führen. Darüber hinaus ist der Arbeit-

133  Virtual Private Network (dt. virtuelles privates Netz, kurz „VPN“). VPN ermöglicht es, von außerhalb auf das Unternehmensnetzwerk zuzugreifen. Die gesamte Internetverbindung ist verschlüsselt, so dass gewährleistet ist, dass die Kommunikation nicht mitgelesen werden kann. 134  Siehe hierzu ausführlich Bitkom, Bring Your Own Device, S. 9. 135  DLP Systeme können als schützenswert vordefinierte Daten über verschiedene Datenformate und Systeme hinweg identifizieren, überwachen und auch schützen. Sie erkennen, wenn z. B. ein nichtautorisierter Nutzer Daten am Endgerät verarbeitet oder auf einem als unzulässig definierten Speicherort abspeichern will. DLS-Systeme ermöglichen eine Netzwerküberwachung in Echtzeit. Sie sind in der Lage gängige Netzwerkprotokolle zu decodieren und darin nach Mustern, Stichworten oder Ähnlichkeiten zu bekannten Dokumenten zu suchen (siehe hierzu ausführlich Conrad, CR 2011, 797 [799 ff.]). 136  Siehe hierzu ausführlich Buchholz, „Bring your own Device“ – Rechtliche Hürden, 841 (850).

142

3. Kap., § 7: BYOD und das Datenschutzrecht

nehmer zu verpflichten, Updates137, Patches138 und Upgrades139 des Betriebssystems aufzuspielen.140 Diese Programmaktualisierungen sind erforderlich, um zu gewährleisten, dass die Anti-Virenprogramme und MDMSysteme ordnungsgemäß abgespielt werden können, weil sie stets auf die jeweils aktuelle Version des Betriebssystems abgestimmt sind. Der Arbeitnehmer ist ferner zu verpflichten, „Jailbreaks“141 und „Roots“142 zu unterlassen. Durch diese werden die vom Hersteller eingerichteten Schutzfunktionen umgangen, um zusätzliche Anwendungen installieren zu können, die ohne diese Manipulation nicht auf dem Endgerät abgespielt werden könnten. Manipulierte Endgeräte werden besonders leicht zum Einfallstor für Angriffe von außen.143 Schadprogramme, wie Viren und Trojaner, können das Gerät und die darauf enthaltenen Daten ausspähen und angreifen. Auch die installierten MDM-Systeme lassen sich nicht mehr zuverlässig ausführen und verwalten. Sicherheitsscans144 sind deshalb besonders wichtig für den BYOD-Einsatz. Sie identifizieren die manipulierten Endgeräte schon frühzeitig und verweigern ihnen den Zugriff auf das Unternehmensnetzwerk. b) Verbot von Cloud-Computing Eine exakte juristische Definition für den Begriff des Cloud-Computing145 gibt es bislang nicht. Eine der treffendsten Umschreibungen findet sich in der Mitteilung zur „Freisetzung des Cloud-Computing-Potenzials in Europa“ der Europäischen Kommission: „ ‚Cloud-Computing‘ meint in einfachen Worten 137  Der Terminus technicus „Updates“ bezeichnet eine Programmaktualisierung, die etwaige Programmfehler behebt, die Programmsicherheit oder die Programmausführungsgeschwindigkeit erhöht. 138  Patches sind häufig Bestandteil eines Updates. Sie bezeichnen kleinere Fehlerbehebungen des Softwareprogramms. 139  Während bei Updates die bestehenden Programmfunktionen lediglich verbessert werden, bezeichnet der Terminus technicus „Upgrade“ eine Programmaktualisierung, bei welcher die Programmfunktionen erweitert werden. 140  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 27. 141  Siehe hierzu die Erläuterung in Fn. 248. 142  Mittels Rootings lassen sich tiefgreifende Systemänderungen an Geräten mit dem Betriebssystem Android vornehmen. Vorinstallierte Programme und Apps können entfernen werden. Teilweise lässt sich sogar das gesamte Betriebssystem austauschen. 143  Göpfert / Wilke, NZA 2012, 765 (767). 144  Siehe hierzu ausführlich § 7 B II 4. 145  Ausführlich hierzu Singer, Wissenschaftlicher Dienst des Bundestags – Aktueller Begriff Cloud Computing, abrufbar unter: http: // www.bundestag.de / blob /  191178 / 22a7553089d81c2e06866e15fc354a0e / cloud_computing-data.pdf.



B. Technische und organisatorische Maßnahmen143

das Speichern, Verarbeiten und Verwenden von Daten, die sich in entfernten Rechnern befinden und auf die über das Internet zugegriffen wird“.146 Nach dieser Mitteilung ist kennzeichnend für das Cloud-Computing, dass die Hardware (Rechner, Speichergeräte etc.) dem Cloud-Computing-Anbieter gehört, nicht dem jeweiligen Nutzer.147 Die an einem entfernten Standort befindliche Hardware speichert und verarbeitet die Daten und stellt sie dem Nutzer über entsprechende Anwendungen zur Verfügung. Der Nutzer benötigt nur eine Internetverbindung, um überall und jederzeit auf die Inhalte in der Datenwolke zugreifen zu können.148 Dabei ist ihm in der Regel nicht bekannt, wo genau oder mit welchem Teil der Hardware die Datenspeicherung oder -verarbeitung zu einem bestimmten Zeitpunkt erfolgt.149 Auch wenn das Cloud-Computing eine Reihe wirtschaftlicher und gesellschaftlicher Vorteile mit sich bringt150, sollte seine Nutzung für das Speichern dienstlicher Daten in der BYOD-Nutzungsvereinbarung ausdrücklich untersagt werden.151 Das Cloud-Computing birgt eine Vielzahl datenschutzrechtlicher Risiken und kann den deutschen Datenschutzvorschriften nach dem derzeitigen Stand der Technik nicht genügen. Die Artikel-29-Datenschutzgruppe152 verweist treffend auf die fehlende Kontrolle über die personenbezogenen Daten und die fehlende Transparenz, die sich vor allem daraus ergibt, dass der Nutzer nicht weiß, wie, wo und durch wen die Daten verarbeitet bzw. im Unterauftrag verarbeitet werden.153 Es ist nicht auszuschließen, dass Datenübermittlungen in Staaten erfolgen, die über kein angemessenes Datenschutzniveau verfügen, weshalb sowohl die personenbe146  COM (2012) 529 final S. 2.; allgemein anerkannt ist auch die Definition des International Institutes of Standards and Technology des amerikanischen Institutes of Commerce: „Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z. B. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können.“ (https: // www. bsi.bund.de / DE / Themen / CloudComputing / Grundlagen / Grundlagen_node.html). 147  COM (2012) 529 final S. 3. 148  Pötters, NZA 2013, 1055. 149  COM (2012) 529 final S. 3. 150  Siehe hierzu ausführlich COM (2012) 529 final S. 3 f. 151  Bierekoven, ITRB 2012, 106 (108); Göpfert / Wilke, NZA 2012, 765 (767); Koch, ITRB 2012, 35 (37); Däubler, Internet und Arbeitsrecht, § 4 Rn. 210p. 152  Die Datenschutzgruppe wurde gemäß Artikel 29 der Richtlinie 95 / 46 / EG eingesetzt. Sie ist das unabhängige Beratungsgremium der Europäischen Union in Datenschutzfragen. Ihre Aufgaben sind in Artikel 30 der Richtlinie 95 / 46 / EG sowie in Artikel 15 der Richtlinie 2002 / 58 / EG festgelegt. 153  Zusammenfassung der Stellungnahme 05 / 2012 zum Cloud-Computing v. 01.06.2012, WP 196, 01037 / 12 / DE, S. 2.

144

3. Kap., § 7: BYOD und das Datenschutzrecht

zogenen Daten als auch Betriebs- und Geschäftsgeheimnisse aufs stärkste gefährdet sind.154 Darüber hinaus ist zu berücksichtigen, dass es sich beim Cloud-Computing im Regelfall um eine Auftragsdatenverarbeitung nach § 3 Abs. 7 Alt. 2, § 11 BDSG handelt.155 Das hat nicht nur zur Folge, dass die Vorgaben aus § 11 Abs. 2 Satz 2 BDSG eingehalten werden müssen. Der Auftraggeber (Arbeitgeber) hat nach § 11 Abs. 2 Satz 4 BDSG in regelmäßigen Zeitabständen auch die Einhaltung der datenschutzrechtlichen Bestimmungen beim Cloud-Anbieter (Auftragnehmer) zu überprüfen sowie bei allen mit der Datenverarbeitung in der Cloud beschäftigten Rechenzentren die Zutritts-, Zugangs- und Zugriffskontrolle (Nr. 1 bis 3 der Anlage zu § 9 BDSG) durch entsprechende Maßnahmen sicherzustellen.156 Dies wird der Arbeitgeber aber nicht erfüllen können. Heidrich und Wegener157 weisen zu Recht darauf hin, dass es „schlicht wirklichkeitsfern [sei], zu glauben, dass sich der Auftragnehmer […] vor Beginn der Auftragsdatenverarbeitung vor Ort etwa persönlich von der Einhaltung wirksamer Zugangs- und Zugriffsbeschränkungen informiert. Auch [werde] der Anbieter einer Cloud einem potenziellen Kunden niemals Zugang zu seinen streng geschützten Rechenzentren gewähren oder ihm gar intime Einblicke in IT-Notfall-Szenarien ermöglichen.“. c) Fernlöschungen und -sperrungen Darüber hinaus sollte die Möglichkeit der Fernlöschung und -sperrung (Remote Wipe) bei Verlust oder Diebstahl des Geräts bestehen. Diese Funktion wird durch alle gängigen MDM-Systeme unterstützt und trägt dazu bei, dass der Arbeitgeber seiner Benachrichtigungspflicht aus § 42a BDSG nachkommen kann.158 Obwohl es bei der Nutzung von MDM-Systemen zur Datentrennung sehr unwahrscheinlich ist, lässt sich technisch dennoch nie vollständig ausschließen, dass von einer Fernlöschung auch die privaten Daten des Arbeitnehmers erfasst werden. Die BYOD-Nut154  Göpfert / Wilke, NZA 2012, 765 (767); Däubler, Internet und Arbeitsrecht, § 4 Rn. 210p. Zur Problematik, welches Recht bei der Cloud-Computing-Nutzung anwendbar ist: Pötters, NZA 2013, 1055 f. 155  Heidrich / Wegener, MMR 2010, 803 (806); Pötters, NZA 2013, 1055 (1057 ff.); Gaul / Koehler, BB 2011, 2229 (2231); Schuster / Reichl, CR 2010, 38 (41 f.); differenzierend nach den Leistungen, die der Cloud Anbieter erbringt Engels, K&R 2011, 548 (550). 156  Schuster / Reichl, CR 2010, 38 (42). 157  Heidrich / Wegener, MMR 2010, 803 (806). Zweifelnd ebenfalls Schuster /  Reichl, CR 2010, 38 (42), die insoweit vom „Dilemma des Cloud-Computing“ sprechen; Gaul / Koehler, BB 2011, 2229 (2232 f.); Pötters, NZA 2013, 1058. 158  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 11.



B. Technische und organisatorische Maßnahmen145

zungsvereinbarung sollte deshalb eine Regelung enthalten, die es dem Arbeitgeber in berechtigten Ausnahmefällen gestattet, eine solche vorzunehmen, selbst wenn dies zum Verlust oder zur Beschädigung privater Daten führt. Die Vereinbarung muss auch eine Regelung enthalten, wie und wann der Arbeitgeber über den Sicherheitsfall zu informieren ist. Es empfiehlt sich, die Informationspflicht des Arbeitnehmers nicht nur bei Diebstahl oder Verlust des Geräts zu vereinbaren, sondern auch bei Verdacht der unrechtmäßigen Kenntniserlangung durch Dritte und einer Gefährdung durch Schadsoftware wie Viren und Trojaner.159 Der Arbeitgeber und die Verantwortlichen der IT-Abteilung müssen unverzüglich entweder telefonisch oder über E-Mail unterrichtet werden. In Anlehnung an die Vorgaben der Verordnung 611 / 2013 der EU-Kommission vom 24.06.2013 über die Benachrichtigung von Verletzungen des Schutzes personenbezogener Daten gemäß der RL 2002 / 58 / EG, sollte der Arbeitgeber innerhalb von 24 Stunden informiert werden.160 Sinnvoll kann es auch sein, so genannte „SelfService-Portale“ einzurichten. Diese ermöglichen es dem Arbeitnehmer, von einem beliebigen Computer mit Internetanschluss Kontakt mit den Verantwortlichen der IT-Abteilung aufzunehmen, um den Sicherheitsfall schnellstmöglich zu melden. Sie erlauben es dem Arbeitnehmer aber auch, selbsttätig Maßnahmen zu ergreifen, wie beispielsweise das Gerät zu orten oder fernzulöschen.161 Fernlöschungen setzten regelmäßig voraus, dass das Endgerät eingeschaltet und die SIM-Karte nicht entfernt worden ist.162 Sollte die SIM-Karte etwa von einem Dieb entfernt worden sein, können die Daten nicht mehr gelöscht werden. Es ist nur noch möglich, das Gerät mit speziellen Diensten über die International Mobile Equipment Nummer (kurz „IMEI-Nummer“) zu orten und zu sperren.163 Ein hinreichend starker Passwortschutz des Geräts und der darauf befindlichen Daten sowie eine ausreichende Verschlüsselung sind deshalb auch in diesem Zusammenhang besonders wichtig für den BYOD-Einsatz. In der BYOD-Nutzungsvereinbarung sollte schließlich noch geregelt werden, wie mit wiedererlangten Endgeräten verfahren werden soll. Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt, nicht nur das Endgerät gründlich auf Schadsoftware zu überprüfen, sondern auch alle 159  Siehe hierzu den Formulierungsvorschlag bei Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 63; BSI, Überblickpapier Consumerisation und BYOD, S. 9. 160  Siehe hierzu ausführlich Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 68. 161  Kraska / Meuser, BB 2012, Heft 42 S. VI. 162  BSI, Überblickpapier Consumerisation und BYOD, S. 4. 163  BSI, Überblickpapier Consumerisation und BYOD, S. 4.

146

3. Kap., § 7: BYOD und das Datenschutzrecht

Daten auf dem Gerät zu löschen, es danach auf den Werkzustand zurückzusetzen und anschließend neu zu konfigurieren.164 d) Blacklist Einige Apps besitzen Funktionen, welche die Vertraulichkeit, Integrität oder Verfügbarkeit der dienstlichen Daten gefährden, indem sie etwa das Eindringen von Schadprogrammen erleichtern. Deshalb ist es sinnvoll, gemeinsam mit der IT-Abteilung eine Ausschlussliste (so genannte „Blacklist“) aufzustellen, in der alle Apps und Programme aufgeführt werden, die als besonders sicherheitskritisch eingestuft werden und bei BYOD nicht zum Einsatz kommen dürfen.165 Dem Arbeitnehmer ist in der BYOD-Nutzungsvereinbarung zu untersagen, die in der „Blacklist“ aufgeführten Apps zu installieren und zu nutzen. Sollte dieser bereits eine App installiert haben, die auf der „Blacklist“ geführt wird, so ist er zu verpflichten, sie nach Bekanntmachung der Ausschlussliste zu löschen.166 Der Arbeitgeber sollte sich vorbehalten, die Liste gegebenenfalls zu aktualisieren. Die Einhaltung der „Blacklist“ kann mithilfe von MDM-Systemen und Sicherheitsscans durchgesetzt werden. Diese bieten Funktionen an, die Endgeräten den Zugriff auf das Unternehmensnetzwerk untersagen, sollten auf ihnen sicherheitsriskante Apps installiert worden sein. Noch weitergehend als „Blacklists“ sind die so genannten „Whitelists“. Sie erlauben dem Arbeitnehmer nur solche Apps zu installieren und zu nutzen, die ausdrücklich in der Liste aufgeführt werden.167 Klauseln, die den Arbeitnehmer verpflichten, die Vorgabe einer „Whitelist“ einzuhalten, sind unwirksam nach § 307 Abs. 1 BGB. Denn sie beziehen sich nicht nur auf solche Apps, von denen eine Gefährdung für die dienstlichen Daten ausgeht und bei denen deshalb ein berechtigtes Interesse des Arbeitgebers an einem Verbot besteht, sondern auf alle verfügbaren Apps, unabhängig von ihrem jeweiligen Gefährdungspotenzial. Das schränkt die Eigentumsund Nutzungsrechte des Arbeitnehmers an seinem Privatgerät zu stark ein und benachteiligt ihn unangemessen.

164  BSI,

Überblickpapier Consumerisation und BYOD, S. 4. Datennutzungsverträge, Teil 4 VI Rn. 74 f.; Däubler, Internet und Arbeitsrecht, § 4 Rn. 210p, der die Ausschlussliste als „Negativliste“ bezeichnet; BSI, Überblickpapier Consumerisation und BYOD, S. 5. 166  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 72 Klausel 8.1. 167  Siehe zum Whitelisting ausführlich Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 75. 165  Arning / Moos,



C. Verwaltung und Kontrolle der Endgeräte 147

C. Verwaltung und Kontrolle der Endgeräte Die beschriebenen umfangreichen technisch-organisatorischen Maßnahmen stellen sicher, dass die Ausführungen der datenschutzrechtlichen Vorschriften, insbesondere die in der Anlage zu § 9 BDSG genannten Anforderungen gewährleistet werden. Durch die MDM-Systeme werden private von dienstlichen Daten getrennt. Die Endgeräte lassen sich zentral steuern und verwalten, so dass der Arbeitgeber auf die dienstlichen Daten zugreifen und diese gegebenenfalls lesen, ändern oder auch löschen kann. Bei alledem dürfen die personenbezogenen Daten des jeweiligen Mitarbeiters allerdings nicht unberücksichtigt gelassen werden. Die mit den MDM-Systemen verbundenen Kontroll- und Überwachungsmöglichkeiten müssen auf das rechtlich zulässige Maß begrenzt bleiben.168 I. Speichern dienstlicher Daten Sofern die MDM-Systeme eine Datentrennung nach der Containerlösung vorsehen, werden dienstliche Daten (Dokumente, E-Mails, etc.) lokal auf dem jeweiligen Endgerät des Arbeitnehmers gespeichert. Hierfür muss seine vorherige Zustimmung eingeholt werden. Das folgt aus dem Eigentumsrecht des Arbeitnehmers an seinem mobilen Endgerät gem. § 903 BGB, wonach grundsätzlich niemand ohne Einwilligung des Berechtigten auf dessen mobiles Endgerät zugreifen und Daten abspeichern darf.169 In die BYODNutzungsvereinbarung ist eine entsprechende Reglung mit aufzunehmen. In dieser sollte auch ausdrücklich festgehalten werden, dass nur dienstliche Daten und E-Mails im Container abgespeichert werden dürfen, nicht auch private. So wird dem Trennungsgebot aus Nr. 8 der Anlage zu § 9 BDSG Rechnung getragen und eine Kontrolle erheblich erleichtert. Wird eine Virtualisierungslösung gewählt, verlassen die dienstlichen Daten zu keinem Zeitpunkt das Unternehmen. Einer Zustimmung zur Speicherung der Daten auf dem mobilen Endgerät bedarf es deshalb nicht. Diese ist nur für das Aufspielen des MDM-Systems erforderlich. Weil die Erlaubnis zur Nutzung von BYOD jedoch davon abhängig gemacht werden sollte, dass zuvor ein MDM-System auf dem Endgerät installiert wurde, bereitet die entsprechende Zustimmung des Arbeitnehmers regelmäßig keinerlei rechtliche Schwierigkeiten.

168  Arning / Moos,

DB 2013, 2607 (2610). Beauftragter für Datenschutz und Informationsfreiheit, Bericht 2012, 32 (34); Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 42. 169  Berliner

148

3. Kap., § 7: BYOD und das Datenschutzrecht

II. Zugriff auf dienstliche Daten Von einem (Fern-)Zugriff des Arbeitgebers auf die abgespeicherten dienstlichen Daten können auch personenbezogene Daten des jeweiligen Arbeitnehmers, wie beispielsweise Kalendereinträge, To-Do-Listen etc. betroffen sein. Wurden die dienstlichen Daten getrennt von den privaten in einem speziellen Container auf dem Endgerät abgespeichert, so bedarf der lesende Zugriff des Arbeitgebers grundsätzlich keiner gesonderten datenschutzrechtlichen Einwilligung des Arbeitnehmers. Er ist regelmäßig nach § 32 Abs. 1 BDSG zulässig. Den Arbeitgeber treffen die dargestellten Pflichten aus § 9 BDSG und seiner Anlage, zu deren Erfüllung er notwendig Zugriff auf den dienstlichen Datencontainer benötigt.170 Gleiches gilt für den Zugriff auf dienstliche E-Mails, die separiert auf dem Privatgerät abgespeichert wurden. Auch hier ist der Zugriff nach § 32 Abs. 1 BDSG grundsätzlich zulässig. Werden keine MDM-Systeme zur Datentrennung genutzt und private Daten zusammen mit den dienstlichen auf dem Endgerät abgespeichert, müsste der Arbeitgeber regelmäßig auch auf private Daten zugreifen, um überhaupt feststellen zu können, um welche Art von Daten es sich handelt. Ein Zugriff auf diese privaten Daten, v. a. die privaten E-Mails, wäre nach § 32 Abs. 1 BDSG bzw. § 28 Abs. 1 Satz 1 Nr. 2 BDSG allenfalls zu dem Zweck zulässig, sie der einen oder anderen Kategorie zuordnen können171, was jedoch stets voraussetzt, dass der Zugriff im konkreten Einzelfall tatsächlich erforderlich ist und die Interessen des Arbeitnehmers am Schutz seines Persönlichkeitsrechts und an der Unverletzbarkeit seiner Privatsphäre nicht überwiegen.172 Letzteres wird regelmäßig nicht der Fall sein. Vermeiden ließe sich die Problematik, wenn eine entsprechende Einwilligung des Arbeitnehmers i. S. d. § 4a BDSG eingeholt würde. An deren Wirksamkeit werden aber hohe Anforderungen gestellt. Die Einwilligung muss schriftlich, freiwillig, informiert und spezifisch erklärt werden.173 Gerade die Annahme von „Freiwilligkeit“ begegnet aber im Arbeitsverhältnis erheblichen Bedenken, weil es von einem Über- und Unterordnungsverhältnis zwischen Arbeitgeber und Arbeitnehmer und damit einem Machtgefälle geprägt ist. Schon die Besorgnis eines verständigen Arbeitnehmers, er kön170  Wisskirchen / Schiller, 171  Berliner

DB 2015, 1163 (1165). Beauftragter für Datenschutz und Informationsfreiheit, Bericht 2012,

32 (34). 172  Fülbier / Splittberger, NJW 2012, 1995 (2000) unter Bezugnahme des Urteils des LAG Berlin Brandenburg v. 06.12.2011  – 4 Sa 2132 / 00, NZA-RR 2011, 342. 173  Wisskirchen / Schiller, DB 2015, 1163 (1165); Thüsing, Beschäftigtendatenschutz und Compliance, § 5, hier v. a. die Randnummern 3 bis 18; Gola / Schomerus BDSG, § 4a Rn. 19, 26 f. und 29.



C. Verwaltung und Kontrolle der Endgeräte 149

ne bei der Verweigerung der Einwilligung Nachteile erleiden, schließt die Freiwilligkeit aus.174 Bei BYOD kann die Freiwilligkeit der Einwilligung deshalb auch nicht pauschal damit begründet werden, dass die Nutzung von BYOD grundsätzlich vom Willen des Arbeitnehmers abhängt. Wisskirchen und Schiller175 verweisen zutreffen darauf, dass der Arbeitgeber mit der Einführung von BYOD regelmäßig auch eigene Interessen verfolgt, insbesondere eine Kostenreduktion, weshalb beim Arbeitnehmer der Eindruck entstehen kann, die Teilnahme an BYOD sei zumindest „gern gesehen“ und die Verweigerung innerbetrieblichen Aufstiegschancen abträglich. Selbst wenn eine wirksame Einwilligung des Arbeitnehmers vorliegen sollte, müsste zusätzlich berücksichtigt werden, dass sich die privaten Daten häufig auch auf andere Personen, wie etwa Kommunikationspartner des Arbeitnehmers beziehen. Deren Einwilligung muss deshalb ebenfalls eingeholt werden, was sich in der Praxis aber kaum realisieren lässt.176 Festhalten lässt sich deshalb, dass sich ein datenschutzkonformer Zugriff auf die dienstlichen Daten ohne einen Rest an Rechtsunsicherheit nur bei sorgfältiger Datentrennung gewährleisten lässt, weshalb von einer BYOD-Nutzung ohne entsprechende Datentrennung nachdrücklich abzuraten ist. III. Löschen dienstlicher Daten § 35 Abs. 2 BDSG normiert für die dort vorgesehenen Fälle eine Löschverpflichtung des Arbeitgebers. Deshalb ist es besonders wichtig, nicht nur auf die gespeicherten dienstlichen Daten zugreifen, sondern diese gegebenenfalls auch löschen und sperren zu können. Technisch lässt sich dies über die MDM-Systeme gewährleisten, die über eine Remote-Wipe-Funktion verfügen. Sie ermöglichen es, dienstliche Daten zu löschen und zu sperren, während sich das Gerät beim Arbeitnehmer befindet (so genannte Fernlöschung; siehe hierzu ausführlich Kapitel 3 § 7 B. II. 7. c)). Sofern die dienstlichen Daten getrennt von den privaten in einem Datencontainer abgespeichert wurden, ist deren Löschung nach § 32 Abs. 1 BDSG grundsätzlich zulässig. Auch wenn die Wahrscheinlichkeit sehr gering ist, lässt sich trotz des Einsatzes von MDM-Systemen zur Datentrennung nie vollständig ausschließen, dass von einer Fernlöschung auch die privaten Daten des Arbeitnehmers erfasst werden. In die BYOD-Nutzungsvereinbarung sollte deshalb eine Regelung aufgenommen werden, die es dem Arbeitgeber in berechtigten Ausnahmefällen gestattet, eine Fernlöschung bzw. 174  Thüsing,

Beschäftigtendatenschutz und Compliance, § 5 Rn. 14. DB 2015, 1163 (1165). 176  Berliner Beauftragter für Datenschutz und Informationsfreiheit, Bericht 2012, 32 (34). 175  Wisskirchen / Schiller,

150

3. Kap., § 7: BYOD und das Datenschutzrecht

-sperrung vorzunehmen, selbst wenn dies zum Verlust oder zur Beschädigung privater Daten führt. Ohne eine entsprechende Vereinbarung käme ein Schadenersatzanspruch des Arbeitnehmers nach § 280 Abs. 1, § 241 Abs. 1 BGB sowie § 823 Abs. 1 BGB in Betracht.177 Auch mit Blick auf § 303a StGB ist eine solche Regelung zu empfehlen, weil der Arbeitgeber hierdurch sicherstellen kann, dass die Löschung der Daten zumindest nicht als rechtswidrig zu bewerten wäre.178 Wurden dienstliche und private Daten nicht getrennt voneinander abgespeichert, bereitet eine Löschung erhebliche Probleme. Die Wahrscheinlichkeit, dass davon auch private Daten betroffen sind, ist hoch. Deshalb erlangt das Löschverbot aus § 35 Abs. 3 Nr. 2 BDSG besondere Relevanz, wonach an die Stelle der Löschung eine Sperrung treten muss, wenn Grund zu der Annahme besteht, dass schutzwürdige Interessen des Betroffenen beeinträchtigt würden.179 Ohne entsprechende Einwilligung des Arbeitnehmers i. S. des § 4a BDSG lässt sich eine Löschung von dienstlichen Daten praktisch kaum realisieren.

177  Göpfert / Wilke,

NZA 2012, 765 (766). den strafrechtlichen Implikationen von BYOD ausführlich Kapitel 5. 179  Wulf / Burgenmeister, CB 2014, 374 (375). 178  Zu

4. Kapitel

Lizenz- und Urheberrecht Allen BYOD-Modellen ist gemein, dass privat lizensierte Software des Arbeitnehmers für betriebliche Zwecke zum Einsatz kommen kann und dass umgekehrt teilweise auch Unternehmenssoftware für private Zwecke genutzt wird.1 Um Urheberrechtsverletzungen und die damit einhergehenden Haftungsfolgen zu vermeiden, ist ein umfassendes Lizenzmanagement unverzichtbar. Das gilt besonders für diejenigen Unternehmen, die schon aufgrund nationaler oder internationaler Corporate Governance bzw. ComplianceVorgaben, wie dem AktG oder dem Sarbanes Oxley Act (SOX)2, zu einem umfassenden Risikomanagement angehalten sind.3

A. Lizenzrechtliche Ausgangssituation Im Rahmen von BYOD können unterschiedlichste Softwareprogramme4 zum Einsatz kommen, die nach §§ 69a ff. UrhG urheberrechtlich geschützt sind. Für deren Installation und Nutzung muss eine entsprechende Lizenz erworben werden. Die Nutzung darf nur in Übereinstimmung mit den Lizenzbedingungen erfolgen, die der Anwender zuvor – regelmäßig im Zuge der Installation – zu bestätigten hatte. Wird die Software zu anderen als den vereinbarten Zwecken genutzt, liegt eine Urheberrechtsverletzung vor, die entsprechende Unterlassungs- und Schadenersatzansprüche nach sich ziehen 1  Bitkom,

Bring Your Own Device, S. 10. Sarbanes-Oxley Act wurde 2002 als Reaktion auf die Finanzskandale in den USA als Gesetz in Kraft gesetzt, um das Vertrauen der Anleger in die Richtigkeit veröffentlichter Finanzdaten zu stärken. Section 404 enthält umfangreiche Anforderungen zum unternehmensinternen Risikomanagement. Der SOX gilt für alle in- und ausländischen Unternehmen, die an US-amerikanischen Börsen notiert sind. Er begründet eine persönliche Außenhaftung der Mitglieder der Unternehmensleitung, insbesondere auch für die Wirksamkeit der internen Kontrollen. (Hierzu ausführlich Lehmann / Meents, Handbuch des Fachanwalts für Informationstechnologie, Kapitel 21 Rn. 23 und Obermayr, in: Hauschka, Corporate Compliance, § 17 Rn. 20 ff.). 3  Söbbing / Müller, ITRB 2012, 15. 4  Im Zusammenhang mit Smartphones und Tablet-PCs werden diese Softwareprogramme auch als „Apps“ bezeichnet. 2  Der

152

4. Kap.: Lizenz- und Urheberrecht

kann. Um diese möglichst auszuschließen, muss schon vor der Implementierung des BYOD-Programms geklärt sein, welche Software zum Einsatz kommen soll, wer sie erwirbt und vor allem, wie sie konkret genutzt werden darf. I. Nutzung von Unternehmenssoftware Ob und inwieweit Unternehmenssoftware auf dem privaten Endgerät genutzt werden darf, hängt entscheidend von der konkreten Ausgestaltung des jeweiligen Lizenzvertrags ab.5 In der Praxis häufig anzutreffen sind so genannte „Personal Licenses“. Hierbei handelt es sich um Software, die nur bestimmten Personen des Unternehmens zugeordnet ist und nur von diesen genutzt werden darf. Die Installation des Programmes auf zwei unterschiedlichen Endgeräten, wie z. B. einem Desktop-PC und einem Laptop, ist in der Regel zulässig, solange sichergestellt ist, dass die Software nicht zeitgleich genutzt wird. Das bedeutet im Umkehrschluss jedoch nicht, dass Lizenzvereinbarungen auch die private Nutzung der Software mit umfassen.6 Hier bedarf es in jedem Einzelfall einer sorgfältigen Überprüfung der Lizenzbestimmungen und gegebenenfalls einer entsprechenden Nachlizensierung. Bei Software für Client-Server-Systeme – Software, die einem konkreten Arbeitsplatz zugeordnet ist und den Nutzer berechtigt, auf einen Server und die darauf installierte Software zuzugreifen – ist eine Übertragung von Nutzungsrechten durch so genannte Aufspaltungsverbote oder die Nutzung für Geräte, die nicht im Eigentum des Unternehmens als Lizenznehmer stehen, regelmäßig vertraglich ausgeschlossen.7 Nachverhandlungen sind dann zwingend erforderlich, die noch vor der Vernetzung des Servers mit dem privaten Endgerät erfolgen müssen, um eine Überschreitung der Lizenzbestimmungen und Urheberrechtsverstöße auszuschließen. II. Nutzung privater Software Neben der Nutzung von Unternehmenssoftware ist es im Rahmen von BYOD auch denkbar, dass der Arbeitnehmer seine privat erworbene Software zu dienstlichen Zwecken nutzt. Das ist problematisch, weil die Lizenzbedingungen der auf den privaten Endgeräten vorhandenen Software regel5  Siehe

hierzu ausführlich Bitkom, Bring Your Own Device, S. 10. DB 2013, 2607 (2612); Bitkom, Bring Your Own Device,

6  Arning / Moos,

S. 10. 7  Decker, Urheberrechtliche Probleme bei „Bring Your Own Device“, abrufbar unter: http: // blog-it-recht.de/2013/06/03/urheberrechtliche-probleme-bei-bring-yourown-device / . Ausführlich hierzu auch Bitkom, Bring Your Own Device, S. 10.



B. Haftungsrisiken für Urheberrechtsverletzungen 153

mäßig auf eine private Nutzung beschränkt sind und eine gewerbliche häufig ausdrücklich ausschließen.8 So ist auf Tablet-PCs mit dem Betriebssystem Windows RT 8.1. beispielsweise stets eine Version von Microsoft Office 2013 RT vorinstalliert, die ausweislich der Endnutzerlizenzvereinbarungen „nicht für kommerzielle, gemeinnützige oder Einnahmen erwirtschaftende Aktivitäten verwendet werden“9 darf. Würde der Arbeitnehmer mit einer solchen Version eine Power-Point-Präsentation oder Excel-Tabelle zu betrieblichen Zwecken erstellen, verstieße er gegen die Bestimmungen des Lizenzvertrages. Gleiches gilt für die Nutzung des Adobe-Readers10. Auch hier darf die Software „ausschließlich für nicht kommerzielle Zwecke“11 verwendet werden. Weil auch eine Sublizensierung privat erworbener Software an Unternehmen nach den Lizenzbestimmungen häufig ausgeschlossen ist, muss der Arbeitgeber zusätzliche Lizenzen der entsprechenden Software erwerben, damit die Programme betrieblich eingesetzt oder innerhalb der betrieblichen Client-Server-Systeme genutzt werden dürfen. Dies gilt besonders für die in den vorhergehenden Beispielen erwähnte Software, da Microsoft die kommerzielle Nutzung der Office Version 2013 RT ausdrücklich nur dann gestattet, wenn zusätzlich eine Lizenz für eine unlimitierte Office 2013-Version im Unternehmen vorhanden ist.12

B. Haftungsrisiken für Urheberrechtsverletzungen Nutzen Arbeitnehmer im Rahmen von BYOD nicht ordnungsgemäß lizensierte Software, ergeben sich hieraus beträchtliche Haftungsrisiken sowohl für das Unternehmen als auch für die jeweils handelnden Organe. I. Haftung des Unternehmens 1. § 99 UrhG Eine der wichtigsten Anspruchsgrundlagen für die Haftung des Unternehmens bildet § 99 UrhG. Hiernach haftet dieses für Urheberrechtsverletzungen seiner Arbeitnehmer oder Beauftragten, sofern diese im Rahmen ihrer 8  Kremer / Sander,

ITRB 2012, 275 (276).

9  https: // products.office.com / de-de / microsoft-software-license-agreement.

10  Der Adobe Reader ist ein Programm, zur Anzeige, Bearbeitung oder Herstellung von PDF-Dateien. 11  http: // www.adobe.com / de / legal / general-terms.html. 12  Kremer / Sander, ITRB 2012, 275 (276).

154

4. Kap.: Lizenz- und Urheberrecht

Tätigkeit für das Unternehmen erfolgten.13 Sinn und Zweck der Vorschrift ist es, den Inhaber eines Unternehmens daran zu hindern, sich bei ihm zugute kommenden Urheberrechtsverletzungen von Angestellten oder Beauftragten auf das Handeln abhängiger Dritter zu berufen.14 Ihm wird damit die Exkulpationsmöglichkeit genommen, wenn Urheberrechtsverletzungen in seinem Unternehmen begangen werden, wodurch dem Inhaber des Urheberrechts die Durchsetzung seiner Rechte erheblich erleichtert wird.15 Die Haftung des Unternehmens tritt neben die Haftung des Verletzers, so dass sich der Personenkreis erweitert, den der Inhaber des Urheberrechts in Anspruch nehmen kann.16 Ein Verschulden oder die Kenntnis des Unternehmensinhabers sind nicht erforderlich; § 99 UrhG begründet eine eigenständige, verschuldensunabhängige Haftung. Unberührt bleibt die Möglichkeit des Unternehmens, Regressansprüche gegen den Arbeitnehmer unter Berücksichtigung der Grundsätze des innerbetrieblichen Schadensausgleichs geltend zu machen. Voraussetzung für eine Haftung nach § 99 UrhG ist, dass ein Arbeitnehmer oder Beauftragter des Unternehmens eine Urheberrechtsverletzung begangen hat. Der Begriff des Arbeitnehmers ist entsprechend dem Schutzzweck der Norm weit auszulegen und umfasst nicht nur Arbeitnehmer im arbeitsrechtlichen Sinn, sondern alle Personen, die auf Grundlage eines Dienst- oder Werkvertrages oder im Rahmen eines Auftragsverhältnisses verpflichtet sind, dem Geschäftsbetrieb Dienste zu erbringen (wie z. B. Auszubildende, externe Berater, etc.).17 Des Weiteren muss die Urheberrechtsverletzung „im Unternehmen“ begangen worden sein. Davon ist auszugehen, wenn sie im Rahmen des Tätigkeitsbereichs des Unternehmens erfolgte18 und diesem zugute kommt.19 Unerheblich ist, ob sie in den Räumlichkeiten des Unternehmens vorgenommen wurde, weil der Begriff des Unternehmens nicht räumlich, sondern 13  Arning / Moos,

DB 2013, 2607 (2612). zum Gesetzesentwurf der Bundesregierung, BT-Drs. IV / 270, S. 104; BGH v. 16.01.1992  – I ZR 36 / 90, NJW 1992, 1310 (1311). 15  Bohne, in: Wandtke / Bullinger, Praxiskommentar zum Urheberrecht, § 99 Rn. 1; Dreier, in: Dreier / Schulze, UrhG, § 99 Rn. 1; Spindler, in: Spindler / Schuster, Recht der elektronischen Medien, § 99 UrhG Rn. 2. 16  Siehe nur Dreier, in: Dreier / Schulze, UrhG, § 99 Rn. 1. 17  BGH v. 16.01.1992 – I ZR 36 / 90, NJW 1992, 1310 (1311); Bohne, in: Wandtke /  Bullinger, Praxiskommentar zum Urheberrecht, § 99 Rn. 6; Dreier, in: Dreier /  ­Schulze, UrhG, § 99 Rn. 5; Söbbing / Müller, ITRB 2012, 15 (16). 18  Dreier, in: Dreier / Schulze, UrhG, § 99 Rn. 4; Bohne, in: Wandtke / Bullinger, Praxiskommentar zum Urheberrecht, § 99 Rn. 3; Spindler, in: Spindler / Schuster, Recht der elektronischen Medien, § 99 UrhG Rn. 5. 19  BGH v. 05.04.1995  – I ZR 133 / 93, NJW 1995, 2355 (2356). 14  Begründung



B. Haftungsrisiken für Urheberrechtsverletzungen 155

funktional zu verstehen ist.20 Ausgenommen vom Anwendungsbereich des § 99 UrhG sind Verletzungshandlungen, die der Arbeitnehmer lediglich „bei Gelegenheit“ seiner Tätigkeit im Unternehmen vornimmt und die allein ihm selbst und nicht dem Unternehmen zugute kommen.21 Für die BYODKonzeptionierung und dem damit einhergehenden Lizenzmanagement ergibt sich daraus Folgendes: Sollte der Arbeitnehmer im Rahmen von BYOD nicht lizensierte Software (so genannte Raubkopien) oder nicht ordnungsgemäß lizensierte Software zu betrieblichen Zwecken gebrauchen, läge stets eine Urheberrechtsverletzung i. S. des § 99 UrhG vor, weil das Softwareprogramm im Rahmen der arbeitsvertraglichen Verpflichtung des Arbeitnehmers genutzt und dem Unternehmen unmittelbar zugute käme. Nicht vom Anwendungsbereich des § 99 UrhG erfasst wäre hingegen die private Nutzung von privat erworbener, nicht ordnungsgemäß lizensierter Software, fehlte es doch offensichtlich am erforderlichen Unternehmensbezug und käme die Handlung allein dem Arbeitnehmer zugute.22 Anspruchsgegner ist der Inhaber des Unternehmens. Das ist ist nach § 99 UrhG derjenige, „unter dessen Namen das Unternehmen geführt wird und der dadurch nach außen die Verantwortung für das Unternehmen übernommen hat“23. Bei Einzelunternehmen ist dies der betreibende Kaufmann. Bei Personengesellschaften ist Inhaber des Unternehmens die Gesellschaft selbst, sind es aber auch die persönlich haftenden Gesellschafter.24 Bei juristischen Personen ist Inhaber stets die juristische Person und sind es nicht etwa die Anteilseigner als Eigentümer oder die Geschäftsführer und Vorstände.25 Bei letzteren kann allerdings eine Organhaftung in Betracht kommen. Aufgrund des Verweises in § 99 UrhG auf die §§ 97 Abs. 1 und 98 UrhG haftet der Unternehmensinhaber auf Beseitigung der Urheberrechtsverletzung, bei Wiederholungsgefahr auf Unterlassung sowie auf Vernichtung etwaiger Vervielfältigungsstücke des Werks und im Falle von deren Verbreitung auf Rückruf bzw. Überlassung.26 Einen Anspruch auf Schadenersatz gegen den Unternehmensinhaber begründet § 99 UrhG dagegen nicht. 20  Meckel, in: Dreyer / Kotthoff / Meckel, § 99 Rn. 3; Göpfert / Wilke, NZA 2012, 765 (767). 21  OLG München v. 07.12.2006  – 29 U 3845 / 06, GRUR-RR 2007, 345 (346). 22  Göpfert / Wilke, NZA 2012, 765 (767), führen insoweit das sehr treffende Beispiel an, dass bei der bloßen Benutzung einer nicht ordnungsgemäß lizensierten Spiele-App während der Mittagspause ein Anspruch aus § 99 UrhG zu verneinen wäre. 23  So Dreier, in: Dreier / Schulze, UrhG, § 99 Rn. 7. 24  Meckel, in: Dreyer / Kotthoff / Meckel, § 99 Rn. 5; Spindler, in: Spindler / Schuster, Recht der elektronischen Medien, § 99 UrhG Rn. 7. 25  Dreier, in: Dreier / Schulze, UrhG, § 99 Rn. 7. 26  Siehe hierzu ausführlich Arning / Moos, DB 2013, 2607 (2612).

156

4. Kap.: Lizenz- und Urheberrecht

2. § 97 Abs. 2 UrhG Schadenersatzansprüche des Verletzten gegen den Unternehmensinhaber können sich bei vorsätzlichen oder fahrlässigen Urheberrechtsverletzungen der Arbeitnehmer aus § 97 Abs. 2 UrhG i. V. m. § 278 BGB ergeben, wenn das Unternehmen die Nutzung privater Software zu betrieblichen Zwecken anordnet oder gestattet, sich die Lizenzbedingungen jedoch auf die private Nutzung beschränken.27 Insoweit verweisen Göpfert / Wilke28 treffend darauf, dass eine betriebliche Softwarenutzung durch den Arbeitnehmer über die Nutzungserlaubnis hinaus zumindest als fahrlässig anzusehen ist. Denn vor der Installation der Software hatte der Arbeitnehmer zu bestätigen, dass er die Lizenzbestimmungen zur Kenntnis genommen und sich mit diesen einverstanden erklärt hat. Er wäre damit jedenfalls in der Lage gewesen, die Rechtswidrigkeit der betrieblichen Verwendung zu erkennen. Hat er die Lizenzbestimmungen ungelesen bestätigt, drängt sich ein „Außerachtlassen der im Verkehr erforderlichen Sorgfalt“ i. S. d. § 276 Abs. 2 BGB geradezu auf.29 Neben der Einstandspflicht des Unternehmens für Urheberrechtsverletzungen der Arbeitnehmer kann unter den Voraussetzungen des § 31 BGB (analog) auch eine Einstandspflicht für schadenersatzverpflichtende Handlungen der Organe des Unternehmens in Betracht kommen. II. Haftung der Organe Neben der Haftung des Arbeitnehmers und der Haftung des Unternehmens nach § 99 UrhG sowie § 97 Abs. 2 UrhG kann auch eine Haftung der für das Unternehmen handelnden Organe in Betracht kommen, wie etwa der Geschäftsführer einer GmbH oder der Vorstände einer Aktiengesellschaft. Diese sind gemäß §§ 93 Abs. 1 AktG, 43 Abs. 1 GmbHG und aufgrund des Gesellschaftsvertrags bzw. des Geschäftsführerdienstvertrags zur sorgfältigen Geschäftsführung verpflichtet.30 Hiervon umfasst ist auch die Pflicht, Gesetzesverstöße und Schäden für das Unternehmen zu vermeiden. Deshalb ist die Unternehmensleitung im Bereich der IT verpflichtet, den EDV-Einsatz so zu organisieren und zu kontrollieren, dass Gesetze eingehalten, Schäden abgewendet und Rechte Dritter nicht verletzt werden.31 27  Söbbing / Müller,

ITRB 2012, 15 (16). NZA 2012, 765 (768). 29  Heldmann, BYOD, S. 27. 30  Deusch, K&R 2013, 11 (13): „Für Einzelunternehmer ergibt sich zumindest eine Obliegenheit zur Schadensvermeidung gemäß § 254 BGB.“. 31  Deusch, K&R 2013, 11 (13); Schmidl, NJW 2010, 476 (478); Thüsing, Beschäftigtendatenschutz und Compliance, § 2 Rn. 6 ff.; sowie allgemein Lensdorf / Steger, ITRB 2006, 206 ff. 28  Göpfert / Wilke,



B. Haftungsrisiken für Urheberrechtsverletzungen 157

Die Verpflichtung, einem Schaden aus nachgewiesenen Gefährdungen vorzubeugen, ergibt sich zudem aus § 91 Abs. 2 AktG, der in entsprechender Anwendung ebenso für „den Pflichtenrahmen der Geschäftsführer […] anderer Gesellschaftsformen“32 gilt. Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. Die Entwicklung und Umsetzung eines Risikomanagements i. S. eines umfassenden Lizenzmanagements, mit dem sichergestellt wird, dass Arbeitnehmer nur ordnungsgemäß lizensierte Software gebrauchen, ist deshalb für den Einsatz von BYOD unerlässlich.33 Nicht ausreichend ist es, die Arbeitnehmer lediglich darauf hinzuweisen, dass nur ordnungsgemäß lizensierte Software zum Einsatz kommen darf.34 Vielmehr muss durch regelmäßige Kontrollen oder technische Vorrichtungen sichergestellt werden, dass Urheberrechtsverletzungen der Arbeitnehmer unterbleiben.35 Kommen Geschäftsführer und Vorstände dieser Verpflichtung nicht nach, haften sie gegenüber der Gesellschaft gemäß §§ 93 Abs. 2 S. 1 AktG, 43 Abs. 2 S. 1 GmbHG mit ihrem eigenen Vermögen für dadurch schuldhaft verursachte Schäden.36 §§ 93 Abs. 2 AktG, 43 Abs. 2 GmbHG verdrängen bzw. modifizieren eine parallele Haftung aus § 280 Abs. 1 BGB i. V. m. dem Anstellungsvertrag.37 Relevanz kann in diesem Zusammenhang auch dem Ordnungswidrigkeitenrecht zukommen. Haben die fehlenden Organisations- und Kontrollmaßnahmen Straftaten oder Ordnungswidrigkeiten anderer Personen im Unternehmen ermöglicht oder wäre der Verstoß durch Aufsichts- bzw. Kontrollmaßnahmen wesentlich erschwert worden, kann gemäß § 30 OWiG gegen das Unternehmen und gemäß § 130 OWiG gegen den Geschäftsführer, Vorstand oder weitere verantwortliche Personen der Unternehmensleitung ein Bußgeld bis zu € 1,0 Mio. verhängt werden.38 Die Nichteinhaltung der beschriebenen Organisationspflichten kann darüber hinaus auch erhebliche versicherungsrechtliche Konsequenzen nach sich 32  Begründung des Bundesrats zum Gesetzesentwurf der Bundesregierung, BRDrucks. 872 / 97, S. 37. 33  Lensdorf, CR 2007, 413 (414). 34  OLG Karlsruhe v. 23.04.2008  – 6 U 180 / 06, CR 2009, 217 (220). 35  OLG Karlsruhe v. 23.04.2008  – 6 U 180 / 06, CR 2009, 217 (220). 36  BGH v. 20.02.1995 – II ZR 143 / 93, NJW 1995, 1290; Thüsing, Beschäftigtendatenschutz und Compliance, § 2 Rn. 27. 37  BGH v. 12.06.1989  – II ZR 334 / 87, NJW-RR 1989, 1255 f.; BGH v. 09.12.1996  – II ZR 240 / 95, DStR 1997, 252; BGH v. 26.11.2007  – II ZR 161 / 06, DStR 2008, 58; Thüsing, Beschäftigtendatenschutz und Compliance, § 2 Rn. 27; Fleischer, in: MüKo-GmbHG, § 43 Rn. 8. 38  Deusch, K&R 2013, 11 (14).

158

4. Kap.: Lizenz- und Urheberrecht

ziehen. So ist es möglich, dass der Versicherungsschutz ganz entfällt, weil die fehlerhafte oder unterbliebene Softwarekontrolle je nach Vertragsgestaltung eine Verletzung der Nebenpflichten des Versicherungsnehmers sein kann.39 Denkbar ist auch, dass mangelnde Kontrollen als fahrlässige Herbeiführung des Schadensfalls zu bewerten sind und die Leistung deshalb nach § 81 Abs. 2 VVG zumindest zu kürzen ist.40

C. Folgerungen für die BYOD-Nutzungsvereinbarung Soll Unternehmenssoftware auf privaten Endgeräten zum Einsatz kommen, muss das Unternehmen vor der Implementierung von BYOD sicherstellen, ob und unter welchen Bedingungen eine solche Nutzung zulässig und inwieweit eine Privatnutzung durch den Arbeitnehmer gestattet ist. Darüber hinaus ist es zu empfehlen, die für die dienstliche Nutzung erforderliche Software selbst bereitzustellen, weil eine ordnungsgemäße Lizensierung hierdurch bestmöglich sichergestellt ist.41 Soll dennoch private Software der Arbeitnehmer zum Einsatz kommen, ist sorgfältig zu prüfen, ob eine zusätzliche Lizensierung durch das Unternehmen erforderlich ist. Darüber hinaus sollte in der BYOD-Nutzungsvereinbarung ausdrücklich festgehalten werden, dass nur ordnungsgemäß lizensierte Software zum Einsatz kommen darf. Dabei ist es denkbar, dass in der Vereinbarung positiv festgehalten wird, welche Software konkret zum Einsatz kommen darf (so genanntes „Whitelisting“) bzw. welche Softwarenutzung gerade nicht gestattet wird (so genanntes „Blacklisting).42 Um die Einhaltung der lizenzrechtlichen Vorgaben überprüfen zu können, ist es ratsam, in regelmäßigen Abständen den Nachweis des Arbeitnehmers zu verlangen, dass die von ihm zu betrieblichen Zwecken genutzte eigene Software ordnungsgemäß lizensiert wurde.43 Zur Absicherung sollte die Vereinbarung auch eine stichprobenartige Kontrolle durch den Arbeitgeber vorsehen und den Arbeitnehmer deshalb in begründeten Verdachtsfällen zur Herausgabe des Endgeräts verpflichten.44 Nicht ausgeschlossen ist, dass Lizenzgeber zukünftig bei Lizenzkontrollen (so genannte Lizenzaudits) auch die im Rahmen von BYOD eingesetz39  Heckmann, MMR 2006, 280 (283); Lehmann / Meents, Handbuch des Fachanwalts für Informationstechnologie, Kapitel 21 Rn. 24. 40  Deusch, K&R 2013, 11 (14). 41  Arning / Moos, DB 2013, 2607 (2613). 42  Siehe hierzu ausführlich Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 75. 43  Söbbing / Müller, ITRB 2012, 15 (17). 44  Arning / Moos, DB 2013, 2607 (2613).



C. Folgerungen für die BYOD-Nutzungsvereinbarung159

ten Endgeräte der Arbeitnehmer überprüfen wollen, um kontrollieren zu können, ob das Unternehmen die jeweiligen Lizenzvereinbarungen einhält.45 Dafür muss die BYOD-Nutzungsvereinbarung eine entsprechende Herausgabepflicht des Arbeitnehmers enthalten und den Lizenzgeber berechtigen, stichprobenartige Kontrollen durchzuführen.46

45  Arning / Moos, 46  Arning / Moos,

DB 2013, 2607 (2613). DB 2013, 2607 (2614).

5. Kapitel

Strafrechtliche Risiken bei der BYOD-Nutzung Die BYOD-Nutzung birgt sowohl für den Arbeitnehmer als auch den Arbeitgeber strafrechtliche Risiken. Wie diese vermieden werden können und welchen Anforderungen die BYOD-Nutzungsvereinbarung diesbezüglich genügen muss, ist Gegenstand der nachfolgenden Ausführungen.

A. §§ 17, 18 UWG Mit der Nutzung von BYOD geht die Gefahr einher, dass Betriebs- und Geschäftsgeheimnisse des Arbeitgebers unbefugt Dritten zur Kenntnis gelangen. Als Betriebs- und Geschäftsgeheimnisse werden alle auf ein Unternehmen bezogene Tatsachen, Umstände und Vorgänge verstanden, die nicht offenkundig, sondern nur einem begrenzten Personenkreis zugänglich sind und an deren Nichtverbreitung der Rechtsträger ein berechtigtes Interesse hat, weil eine Aufdeckung der Tatsachen geeignet wäre, ihm wirtschaftlichen Schaden zuzufügen.1 Betriebsgeheimnisse betreffen den technischen Betriebsablauf, insbesondere Herstellung und Herstellungsverfahren; Geschäftsgeheimnisse den allgemeinen Geschäftsverkehr des Unternehmens (z. B. Kundenadressen).2 Die Verwirklichung des Straftatbestands aus § 17 UWG setzt voraus, dass der Arbeitnehmer Betriebs- oder Geschäftsgeheimnisse, die auf seinem mobilen Endgerät abgespeichert sind, unbefugt an jemanden zu Zwecken des Wettbewerbs, aus Eigennutz, zugunsten eines Dritten oder in der Absicht, dem Inhaber des Unternehmens Schaden zuzufügen, mitteilt. Nach § 18 UWG macht sich der Arbeitnehmer strafbar, wenn er die dort genannten Betriebsgeheimnisse zu Zwecken des Wettbewerbs oder aus Eigennutz unbefugt verwertet oder jemandem mitteilt.

1  BVerfG v. 14.03.2006  – 1 BvR 2087 / 03, 1 BvR 2111 / 03 = BVerfGE 115, 205 (230); BGH v. 10.05.1995 – 1 StR 764 / 94 = NJW 1995, 2301; BGH v. 07.11.2002 – I ZR 64 / 00NJW-RR  2003, 618 (620); BGH v. 27.04.2006  – I ZR 126 / 03 = ITRB 2006, Rn. 19. 2  BVerfG v. 14.03.2006  – 1 BvR 2087 / 03, 1 BvR 2111 / 03 = BVerfGE 115, 205 (230 f.); BAG v. 15.12.1987  – 3 AZR 474 / 86, AP Nr. 5 zu § 611 BGB Betriebsgeheimnis Bl. 4.



B. § 202a Abs. 1 StGB161

Wurden Betriebs- oder Geschäftsgeheimnisse auf dem mobilen Privatgerät abgespeichert, stellt sich die Frage, ob durch die bloße Weitergabe an Dritte (beispielsweise Familienangehörige, Freunde und Bekannte etc.) bereits die Strafbarkeit nach §§ 17, 18 UWG ausgelöst werden kann.3 Unter einer Mitteilung i. S. des § 17 UWG ist jede beliebige Bekanntgabe zu verstehen. Das Merkmal „unbefugt“ setzt voraus, dass die Bekanntgabe ohne den tatsächlichen oder mutmaßlichen Willen des Arbeitgebers erfolgt und Rechtfertigungsgründe nicht vorliegen.4 Weil die Tatbestandsvoraussetzungen weit auszulegen sind, lässt sich hierunter auch die Weitergabe des mobilen Endgeräts im privaten Umfeld subsumieren, mit der Folge, dass der objektive Tatbestand der §§ 17, 18 UWG als verwirklicht anzusehen ist. Die Weitergabe des Privatgeräts erfolgt jedoch regelmäßig nur im Rahmen des üblichen privaten Umgangs und nicht zu den in §§ 17, 18 UWG genannten Zwecken, so dass es an einem entsprechenden Vorsatz des Arbeitnehmers mangelt; der subjektive Tatbestand wird daher in der Regel nicht erfüllt sein.5 Zum Schutz der auf dem Endgerät abgespeicherten Betriebs- und Geschäftsgeheimnisse ist dem Arbeitgeber jedoch anzuraten, den Arbeitnehmer in der BYOD-Nutzungsvereinbarung zu einer höchstpersönlichen Nutzung des Endgeräts zu verpflichten und dieses zusätzlich technisch so zu konfigurieren, dass ein Zugriff auf die im Datencontainer abgespeicherten Daten nur nach Eingabe eines Passworts erfolgen kann.6 So wird sichergestellt, dass Dritte keinen ungestörten Zugriff auf die abgespeicherten Betriebs- oder Geschäftsgeheimnisse erhalten.

B. § 202a Abs. 1 StGB Gemäß § 202a Abs. 1 StGB macht sich strafbar, wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft. Die Norm schützt die formelle Verfügungsbefugnis desjenigen, der als „Herr der Daten“ darüber bestimmen kann, wem diese zugänglich sein sollen.7 Eine besondere Zugangssicherung liegt vor, wenn Vorkehrungen vorhanden sind, die objektiv geeignet und subjektiv nach dem Willen des Berechtigten dazu bestimmt sind, den Zugriff auf die 3  Bierekoven,

ITRB 2012, 106 (107); Kremer / Sander, ITRB 2012, 275 (279). § 17 UWG Rn. 11, 21. 5  Ebenso Bierekoven, ITRB 2012, 106 (107). 6  Siehe hierzu ausführlich Kapitel 3 § 7 B. II. 3. Zugangskontrollen. 7  Lenckner / Eisele, in: Schönke / Schröder StGB, § 202a Rn. 1; Graf, in: Münchener Kommentar zum StGB, § 202a Rn. 2; Heger, in: Lackner / Kühl StGB, § 202a Rn. 1; Kargel, in: Kindhäuser / Neumann / Paeffgen StGB, § 202a Rn. 3; Schumann, NStZ 2007, 675 (676). 4  Büscher / Dittmer / Schiwy-Niebel,

162

5. Kap.: Strafrechtliche Risiken bei der BYOD-Nutzung

Daten auszuschließen oder wenigstens nicht unerheblich zu erschweren.8 Im Zusammenhang mit der BYOD-Nutzung kann der Straftatbestand des § 202a StGB dann relevant werden, wenn der Arbeitgeber ohne Befugnis Einsicht in passwortgeschützte oder verschlüsselte9 private Daten und E-Mails des Arbeitnehmers nimmt. In diesen Fällen verschafft er sich unter Überwindung der Zugangssicherung unbefugten Zugang zu den privaten Daten des Arbeitnehmers. Sollten die privaten Daten hingegen nicht besonders gesichert worden sein – was in der Praxis den Regelfall darstellt –, scheidet eine Strafbarkeit nach § 202a StGB aus. Dann werden die Daten lediglich abgefangen, ohne dass es der Überwindung einer Zugangssicherung bedarf. In Betracht kommt allerdings eine Strafbarkeit nach § 202b StGB, wenn sich die Daten noch im Übermittlungsstadium befinden sollten. Der Arbeitnehmer kann sich nach § 202a StGB strafbar machen, wenn er sich über sein mobiles Endgerät unbefugten Zugriff auf passwortgeschützte betriebliche Daten verschaffen sollte.

C. § 202b StGB Gemäß § 202b StGB macht sich strafbar, wer unbefugt sich oder einem anderen unter Anwendung von technischen Mitteln nicht für ihn bestimmte Daten (§ 202a Abs. 2 StGB) aus einer nichtöffentlichen Datenübermittlung oder aus der elektromagnetischen Abstrahlung einer Datenverarbeitungsanlage verschafft. § 202b StGB stellt das elektronische Pendant zum Abhören und Aufzeichnen von Telefongesprächen dar10 und schützt – ebenso wie § 202a StGB – das Datengeheimnis des Verfügungsberechtigten. Tatobjekt sind nur Daten, die sich zur Zeit der Tat in einem Übertragungsvorgang befinden. Hierzu zählen vor allem herkömmliche Übermittlungsarten wie Telefon, Telefax oder E-Mail, aber auch neuartige wie etwa die Internettelefonie oder VPN-Übermittlungen.11 Gespeicherte Daten, die zu einem früheren Zeitpunkt übermittelt wurden, sind hingegen nicht geschützt.12 Entscheidend für die „Nichtöffentlichkeit“ einer Datenübermittlung sind nicht Art oder Inhalt der übertragenen Daten, sondern die Art des Übertra8  BT-Drucks. 16 / 3656 S. 10; Lenckner / Eisele, in: Schönke / Schröder StGB, § 202a Rn. 14; Kargel, in: Kindhäuser / Neumann / Paeffgen StGB, § 202a Rn. 9; Schumann, NStZ 2007, 675 (676). 9  Siehe zur Verschlüsslung als taugliche Zugangssicherung Lenckner / Eisele, in: Schönke / Schröder StGB, § 202a Rn. 46. 10  BT-Drucks. 16 / 3656 S. 11. 11  Graf, in: Münchener Kommentar zum StGB, § 202b Rn. 9; Eisele, in: Schönke / Schröder StGB, § 202b Rn. 4; Kargel, in: Kindhäuser / Neumann / Paeffgen StGB, § 202b Rn. 4. 12  BT-Drucks. 16 / 3656, S. 11.



D. § 202c StGB163

gungsvorgangs. Eine Übermittlung ist dann nichtöffentlich, wenn die entsprechenden Daten nach dem Willen des Absenders nur an einen bestimmbaren oder bestimmten Empfängerkreis gerichtet sind.13 Anders als § 202a StGB setzt § 202b StGB nicht die Überwindung einer Zugangssicherung voraus. Sollte der Arbeitgeber ohne Einverständnis des Arbeitnehmers auf dessen private E-Mails zugreifen, die sich noch im Übermittlungsstadium befinden, macht er sich nach § 202b StGB strafbar. Wie auch im Anwendungsbereich des § 88 TKG, ist der Übermittlungsvorgang erst dann beendet, wenn der Adressat die Herrschaft über die Daten erlangt hat. Das wird maßgeblich von der Art des eingesetzten E-Mail-Systems bestimmt (POP3- bzw. IMAPVerfahren). Um das Strafbarkeitsrisiko zu minimieren, sollten sich Zugriffe und Kontrollen des Arbeitgebers nur auf dienstliche Inhalte beschränken und private und dienstliche E-Mails durch eigens eingerichtete E-MailPosteingänge, automatisierte Weiterleitungen oder die Verwendung zweier separater E-Mail-Adressen strikt getrennt werden.

D. § 202c StGB Das Datengeheimnis des Verfügungsberechtigten wird auch von § 202c Abs. 1 StGB geschützt. Mit dem so genannten „Hackerparagraphen“ werden bestimmte, besonders gefährliche Vorbereitungshandlungen zu Taten nach § 202a StGB, § 202b StGB selbständig mit Strafe bedroht.14 Erfasst sind insbesondere das Herstellen, Verschaffen, Verbreiten usw. so genannter Hacker-Tools, die bereits nach der Art und Weise ihres Aufbaus darauf angelegt sind, illegalen Zwecken zu dienen und die aus dem Internet weitgehend anonym geladen werden können.15 Bei Programmen, deren funktionaler Zweck nicht eindeutig ein krimineller ist und die erst durch missbräuchliche Anwendung zu einem Tatwerkzeug werden, ist der objektive Tatbestand nicht erfüllt.16 Die bloße Eignung von Software zur Begehung von Computerstraftaten ist nicht ausreichend. Vom Straftatbestand des § 202c Abs. 1 StGB ausgenommen sind deshalb Computerprogramme zum Zwecke der Sicherheitsprüfung, zur Entwicklung von Sicherheitssoftware oder zu Ausbildungszwecken in der IT-Sicherheitsbranche.17 Setzt der Ar13  Fischer,

§ 201 StGB Rn. 3 f. in: Schönke / Schröder StGB, § 202c Rn. 4; Heger, in: Lackner / Kühl StGB, § 202c Rn. 1; Kargel, in: Kindhäuser / Neumann / Paeffgen StGB, § 202c Rn.  1 f.; Weidemann, in: BeckOK StGB, § 202c Rn. 2. 15  BT-Drucks. 16 / 3656, S. 12. 16  BT-Drucks. 16 / 3656, S. 19; Eisele, in: Schönke / Schröder StGB, § 202c Rn. 4. 17  Söbbing / Müller, ITRB 2011, 263 (265). 14  Eisele,

164

5. Kap.: Strafrechtliche Risiken bei der BYOD-Nutzung

beitgeber bei BYOD derartige Computerprogramme und Fernwartungssysteme zum Zwecke der Sicherheitsprüfung ein, scheidet die Strafbarkeit nach § 202c StGB aus.

E. § 206 StGB Gem. § 206 Abs. 1 StGB macht sich strafbar, wer unbefugt einer anderen Person eine Mitteilung über Tatsachen macht, die dem Post- oder Fernmeldegeheimnis unterliegen und die ihm als Inhaber oder Beschäftigtem eines Unternehmens bekanntgeworden sind, das geschäftsmäßig Post- oder Telekommunikationsdienste erbringt. Gleiches gilt gem. § 206 Abs. 3 Nr. 3 StGB für Personen, die mit der Herstellung einer dem Betrieb eines solchen Unternehmens dienenden Anlage oder mit Arbeiten daran betraut sind. Der Täterkreis des § 206 Abs. 1 StGB ist nach den im Gesetzgebungsverfahren geäußerten Vorstellungen deckungsgleich mit dem Kreis der Personen, die gemäß §§ 39 Abs. 2 PostG, 88 Abs. 2 TKG zur Wahrung des Post- oder Fernmeldegeheimnisses verpflichtet sind.18 Relevant wird § 206 StGB für den Arbeitgeber sowie die für ihn handelnden Personen der IT-Abteilung, die in seinem Interesse die privaten Endgeräte der Arbeitnehmer zu Kontrollzwecken scannen oder überwachen, wenn hierdurch private Inhalts- und Verbindungsdaten des Arbeitnehmers erhoben werden.19 Diese unterliegen dem Fernmeldegeheimnis und müssen geheim gehalten werden. Um auch das Strafbarkeitsrisiko aus § 206 StGB zu minimieren, muss der Arbeitgeber Administrierungen und Kontrollen nur auf dienstliche Inhalte beschränken und private und dienstliche E-Mails durch eigens eingerichtete E-MailPosteingänge, automatisierte Weiterleitungen oder die Verwendung zweier separater E-Mail-Adressen strikt voneinander trennen.

F. § 303a StGB Den Straftatbestand des § 303a StGB verwirklicht, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert. Geschütztes Rechtsgut ist das Interesse des Verfügungsberechtigten an der unversehrten Verwendbarkeit von als Daten gespeicherten Informationen.20 Der Anwendungsbereich des § 303a StGB ist deshalb auf solche Daten beschränkt, an 18  BT-Drucks. 13 / 8016, S. 29; Altenhain, in: Münchener Kommentar zum StGB, § 206 Rn. 10. 19  Göpfert / Wilke, NZA 2012, 765 (767). 20  BayObLG v. 24.06.1993  – 5 St RR 5 / 93 = wistra 1993, 304 (305); OLG Nürnberg v. 23.01.2013  – 1 Ws 445 / 12 = BeckRS 2013, 03553; Stree / Hecker, in: Schönke / Schröder StGB, § 303a Rn. 1; Zaczyk, in: Kindhäuser / Neumann / Paeffgen



F. § 303a StGB165

denen einer anderen Person als dem Täter ein unmittelbares rechtlich schutzwürdiges Interesse in Form einer eigentümerähnlichen Verfügungsbefugnis zusteht.21 Hinsichtlich der auf dem Endgerät gespeicherten privaten Daten besitzt allein der Arbeitnehmer die Verfügungsbefugnis. Sollte der Arbeitgeber Daten mittels Fernzugriffs vorsätzlich löschen oder verändern, verwirklicht er den Straftatbestand des § 303a StGB. Bei der BYOD-Nutzung sind allerdings Sachverhalte denkbar, die eine Löschung oder Veränderung der privaten Daten erfordern. So beispielsweise, wenn durch die privaten Daten die Vertraulichkeit und Integrität des Endgeräts und mithin auch dienstliche abgespeicherte Daten gefährdet werden22 oder etwa dann, wenn bei einem Diebstahl oder Verlust des Gerätes eine Fernlöschung notwendig ist, sich technisch jedoch nicht ausschließen lässt, dass hiervon auch private Daten betroffen sind. Um in diesen Fällen das Strafbarkeitsrisiko des Arbeitgebers auszuschließen, ist es empfehlenswert, in die BYOD-Nutzungsvereinbarung auch eine Einverständniserklärung des Arbeitnehmers aufzunehmen, mit der er einer Löschung seiner privaten Daten ausdrücklich zustimmt. Das Einverständnis bewirkt, dass bereits der objektive Tatbestand des § 303a StGB nicht erfüllt ist. Die Löschung privater Daten sollte nur für absolute Ausnahmefälle vorgesehen werden und sich nur auf solche Sachverhalte beschränken, in denen ein erhebliches Gefährdungspotential für die abgespeicherten dienstlichen Daten besteht. Eine solche Begrenzung stellt sicher, dass eine entsprechend vorformulierte Regelung nicht als unangemessene Benachteiligung des Arbeitnehmers nach § 307 Abs. 1 BGB zu beurteilen ist. Hinsichtlich der auf dem Endgerät abgespeicherten dienstlichen Daten ist die Verfügungsbefugnis deutlich schwieriger zu bestimmen. Einerseits ist zwar der Arbeitnehmer Eigentümer des Endgeräts und damit des Datenträgers, auf dem die dienstlichen Daten abgespeichert werden, andererseits wurden ihm diese Daten aber vom Arbeitgeber zur Erfüllung der dienstlichen Aufgaben überlassen.23 Mit welchem Kriterium die Datenverfügungsbefugnis i. S. des § 303a StGB in derartigen Sachverhalten zu begründen ist, ist in der strafrechtlichen Literatur und Rechtsprechung stark umstritten. Teilweise wird die originäre Datenverfügungsbefugnis in Abhängigkeit von StGB, § 303a Rn. 2; Heger, in: Lackner / Kühl StGB, § 303a Rn. 1; Wieck-Noodt, in: Münchener Kommentar zum StGB, § 303a Rn. 1. 21  OLG Nürnberg v. 23.01.2013  – 1 Ws 445 / 12 = BeckRS 2013, 03553; Weidemann, in: BeckOK StGB, § 303a Rn. 5; Stree / Hecker, in: Schönke / Schröder StGB, § 303a Rn. 3; Heger, in: Lackner / Kühl StGB, § 303a Rn. 4. 22  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 54. 23  Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 54.

166

5. Kap.: Strafrechtliche Risiken bei der BYOD-Nutzung

der sachenrechtlichen Zuordnung des Datenträgers bestimmt, wobei der Verfügungsberechtigte die Befugnis der Datennutzung auf schuldrechtlicher Grundlage auch einem Dritten einräumen kann.24 Fallen Eigentum am Datenträger und Nutzungsrecht auseinander, wie es bei BYOD die Regel ist, bestimmt sich die Verfügungsbefugnis nach dem vertraglichen Rechtsverhältnis der Beteiligten. Das heißt, dass der Arbeitgeber als schuldrechtlicher Nutzungsberechtigter hinsichtlich der überlassenen dienstlichen Daten neben oder sogar an die Stelle des Arbeitnehmers als dinglichen Nutzungsberechtigten treten kann. Andere vertreten hingegen die Ansicht, dass hinsichtlich der Datenverfügungsbefugnis auf die Urheberschaft der Daten als maßgebliches Zuordnungskriterium abzustellen ist, auf den so genannten „Skripturakt“.25 Verfügungsbefugt über die Daten sei in aller Regel der „Skribent“ als Urheber der Speicherung, also der Arbeitgeber, wenn diese in seinem Interesse erfolgt. Angesichts des in der Literatur weit verbreiteten sachenrechtlichen Ansatzes schafft nur eine eindeutige Regelung über die Verfügungsbefugnis die notwendige Rechtsklarheit. Durch eine entsprechende Vereinbarung wird sichergestellt, dass der Arbeitgeber zumindest als schuldrechtlicher Nutzungsberechtigter hinsichtlich der überlassenen dienstlichen Daten an die Stelle des Arbeitnehmers als dinglichen Nutzungsberechtigten treten kann und eine Datenlöschung oder -veränderung für ihn jedenfalls nicht rechtswidrig wäre.26

24  Stree / Hecker, in: Schönke / Schröder StGB, § 303a Rn. 3; Fischer, § 303a StGB Rn. 6; Wieck-Noodt, in: Münchener Kommentar zum StGB, § 303a Rn. 10. 25  BayObLG v. 24.06.1993  – 5 St RR 5 / 93 = wistra 1993, 304 (305); OLG Nürnberg v. 23.01.2013  – 1 Ws 445 / 12 = BeckRS 2013, 03553. 26  Siehe hierzu ausführlich Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 54.

6. Kapitel

Steuerrecht Ausdrückliche steuerrechtliche Regelungen zu BYOD fehlen bislang. Normiert ist ausschließlich der umgekehrte Fall, in dem Arbeitnehmer arbeitgebereigene Geräte sowohl zu betrieblichen als auch privaten Zwecken nutzen. Im Nachfolgenden soll deshalb aufgezeigt werden, welche steuerrechtlichen Aspekte bei der betrieblichen Nutzung arbeitnehmereigener Endgeräte zu berücksichtigen sind und wie der Arbeitgeber seiner Verpflichtung zur ordnungsgemäßen Dokumentation und Aufbewahrung steuerrelevanter Daten nachkommen kann.

A. Betriebsmittelersetzendes BYOD Beim betriebsmittelersetzenden BYOD hat der Arbeitgeber alle mit der betrieblichen Nutzung des Geräts verbunden Kosten des Arbeitnehmers zu tragen. Hierzu zählen insbesondere solche für Internet- und Telefonie (siehe hierzu ausführlich Kapitel 2 § 4 E. I.). Beträge, die der Arbeitgeber an den Arbeitnehmer für die Kostenerstattung zahlt, kann er als Betriebsausgaben nach § 4 Abs. 4 EStG abziehen. Nicht möglich ist es, aus dem Kostenersatz einen Vorsteuerabzug nach § 15 Abs. 1 Nr. 1 UStG geltend zu machen, weil eine nach den §§ 14, 14a UStG ausgestellte Rechnung fehlt. Darüber hinaus dienen die gezahlten Beträge lediglich dazu, die Arbeitsfähigkeit des Arbeitnehmers abzusichern, weshalb es an einem umsatzsteuerrelevanten Leistungsaustausch mangelt. Alle Beträge, die der Arbeitnehmer vom Arbeitgeber erhält, sind grundsätzlich lohnsteuerpflichtig (§§ 19 Abs. 1 S. 1 Nr. 1, 38 Abs. 1 EStG, § 2 Abs. 1 LStDV). Bei BYOD zahlt der Arbeitgeber allerdings nur deshalb Beträge an den Arbeitnehmer, weil er dessen Auslagen für die zusätzliche dienstliche Nutzung des Geräts zu ersetzen hat. Für solche Beträge kommt eine Steuerbefreiung nach § 3 Nr. 50 EStG (Auslagenersatz) in Betracht.1 Hierfür muss im Einzelnen nachgewiesen werden, dass die Aufwendungen 1  Siehe zum Auslagenersatz Heinicke, in: Schmidt EStG, § 3 Stichwort: Durchlaufende Gelder und Auslagenersatz (§ 3 Nr. 50), der dabei ausdrücklich auch auf die Nutzung des privaten Telefons für betriebliche Zwecke verweist.

168

6. Kap.: Steuerrecht

im ganz überwiegenden Interesse des Arbeitgebers getätigt wurden, sie der Arbeitsausführung dienten und nicht zu einer Bereicherung des Arbeitnehmers führten.2 Entstehen dem Arbeitnehmer wiederkehrend beruflich veranlasste Telekommunikationsaufwendungen – was der Regelfall bei BYOD ist – können aus Vereinfachungsgründen ohne Einzelnachweis bis zu 20 % des vom Arbeitnehmer vorgelegten Rechnungsbetrags, höchstens jedoch 20 € monatlich steuerfrei ersetzt werden.3 Der Auslagenersatz kann auch pauschal ermittelt werden, wenn er regelmäßig wiederkehrt und der Arbeitnehmer für einen repräsentativen Zeitraum von drei Monaten den Einzelnachweis führt.4 Der sich aus den Einzelabrechnungen ergebende Durchschnittsbetrag kann als pauschaler Auslagenersatz fortgeführt werden, bis sich die Verhältnisse wesentlich ändern (z. B. Änderung der Berufstätigkeit).5 Die steuerfreien Auslagen mindern mögliche Werbungskosten. Beide Methoden können zu unterschiedlichen Ergebnissen führen, wie das nachfolgende Beispiel verdeutlicht: Beispiel6: Der Arbeitnehmer nutzt den Telefon- und Internetanschluss seines mobilen Privatgeräts im Jahr 2014 auch zu dienstlichen Zwecken. Seine Telekommunikationsaufwendungen betragen im Januar 90 €, im Februar 110 € und im März 60 €. Die Auswertung der Einzelverbindungsnachweise ergibt einen durchschnittlichen beruflichen Anteil von 30 %.

Verzichtet der Arbeitgeber auf einen Einzelnachweis der betrieblich veranlassten Kosten und erstattet stattdessen 20 % des vom Arbeitnehmer vorgelegten Rechnungsbetrags, können im Januar 2014 insgesamt 18 € (20 % von 90 €) steuerfrei erstattet werden. Im Februar beliefe sich der Betrag auf 22 € (20 % von 110 €). Aufgrund der Deckelung von 20 € ist jedoch nicht der Gesamtbetrag von 22 €, sondern nur der Betrag von 20 € steuerfrei erstattungsfähig. Für März können insgesamt 12 € (20 % von 60 €) steuerfrei erstattet werden. Wird der Auslagenersatz hingegen mittels nachgewiesenen Durchschnittsbetrags für einen repräsentativen Zeitraum von drei Monaten aus den Einzelabrechnungen ermittelt, können 30 % der durchschnittlichen Telekommunikationsaufwendungen steuerfrei erstattet werden, im Ergebnis also 26 € (90  € +110  € + 60  € = 260  €; davon ⅓ = 86,66  €; davon 30 % = 26  €). 2  BFH v. 21.08.1995  – VI R 30 / 95 = BStBl II 1995, 906; 25.03.2006  – VI R 24 / 03 = BStBl II 2006, 473 (474). 3  R 3.50 Abs. 2 LStR. 4  R 3.50 Abs. 2 LStR; OFD Frankfurt am Main, Verfügung vom 04.03.2003 S 2354 A – 39 – St II 30, DB 2003, 1085. 5  R 3.50 Abs. 2 LStR; OFD Frankfurt am Main, Verfügung vom 04.03.2003 S 2354 A – 39 – St II 30, DB 2003, 1085. 6  Angelehnt an Günther, Telekommunikations-Aufwendungen – lohnsteuerliche Behandlung ab 2002, Gestaltende Steuerberatung  – Ausgabe 02 / 2002, 57.



B. Optionales BYOD169

Darüber hinausgehende Erstattungsbeträge sind lohnsteuerpflichtig (§§ 19 Abs. 1 S. 1 Nr. 1, 38 Abs. 1 EStG, § 2 Abs. 1 LStDV). Der Arbeitgeber kann die Lohnsteuer für solche Zuschüsse allerdings nach § 40 Abs. 2 Nr. 5 EStG mit einem Pauschsteuersatz von 25 %, zuzüglich Solidaritätszuschlag und gegebenenfalls Kirchensteuer entrichten. Die pauschale Lohnversteuerung umfasst seit dem Jahressteuergesetz 2013 nicht mehr nur Zuschüsse für „Personalcomputer“, sondern alle Zuschüsse für „Datenverarbeitungsgeräte“. Hierunter sind auch private Telekommunikationsgeräte, wie Smartphones und Tablet-PCs, zu subsumieren. Bis zu einem monatlichen Betrag von 50 € kann der Erstattungsbetrag des Arbeitgebers ohne weiteren Nachweis pauschal lohnversteuert werden.7 Bei höheren Beträgen muss der Einzelnachweis für einen repräsentativen Zeitraum von drei Monaten geführt werden.8 Ansonsten greifen die allgemeinen Lohnversteuerungsregelungen (§§ 38 ff. EStG). Gewährt der Arbeitgeber dem Arbeitnehmer Zuschüsse zu einmaligen Anschaffungs- und Reparaturkosten des mobilen Endgeräts, sind diese weder steuerfrei nach § 3 Nr. 50 EtSG, noch kann der Arbeitgeber die Lohnsteuer für den Arbeitnehmer pauschal abführen. Hierbei handelt es sich um Lohnzahlungen im Wege des so genannten abgekürzten Zahlungswegs. Die Zuschüsse sind lohn- und sozialversicherungspflichtig (§§ 38 EStG).

B. Optionales BYOD Beim optionalen BYOD ist der Arbeitgeber nicht verpflichtet, die mit der betrieblichen Nutzung des Geräts verbunden Kosten des Arbeitnehmers zu erstatten (siehe hierzu ausführlich Kapitel 2 § 4 E. II.). Der Arbeitnehmer trägt sowohl die privaten als auch die betrieblich veranlassten Kosten regelmäßig selbst. Aufwendungen für die beruflich bedingte Nutzung des mobilen Endgeräts kann der Arbeitnehmer als Werbungskosten nach § 9 Abs. 1 S. 1 und 2 EStG abziehen. Hierfür ist erforderlich, dass er die beruflich veranlassten Telekommunikationsaufwendungen durch Einzelnachweise belegt. Wird der Anteil der beruflich veranlassten Aufwendungen an den Gesamtaufwendungen für einen repräsentativen Zeitraum von drei Monaten im Einzelnen nachgewiesen, kann dieser berufliche Anteil für den gesamten Veranlagungszeitraum zugrunde gelegt werden.9 Während der „Drei-Monats-Nachweis“ beim Auslagenersatz nach § 3 Nr. 50 EStG solange Gültigkeit hat, bis sich die Verhältnisse wesentlich ändern, hat der „Drei-MonatsNachweis“ hier nur Geltung für den Veranlagungszeitraum und muss deshalb 7  Krüger,

in: Schmidt EStG, § 40 Rn. 17. in: Schmidt EStG, § 40 Rn. 17. 9  R 9.1 Abs. 5 LStR. 8  Krüger,

170

6. Kap.: Steuerrecht

im Folgejahr erneut geführt werden.10 Ohne Einzelnachweis kann der Arbeitnehmer bis zu 20 % des Rechnungsbetrags, höchstens jedoch 20 Euro monatlich als Werbungskosten abziehen (R 9.1 Abs. 5 LStR). Der Arbeitnehmer kann einen Vorsteuerabzug nach § 15 Abs. 1 UStG mangels Unternehmereigenschaft nicht geltend machen (§§ 2 Abs. 1, Abs. 2 Nr. 1, 15 Abs. 1 UStG). Aufwendungen für die private Nutzung des mobilen Endgeräts sind nicht abzugsfähige Ausgaben i. S. des § 12 Nr. 1 EStG, weil sie der privaten Lebensführung des Arbeitnehmers zuzurechnen sind. Sollte sich der Arbeitgeber auch beim optionalen BYOD für eine Erstattung der dienstlichen Betriebskosten entscheiden, weil er etwa die Verbreitung von BYOD in seinem Unternehmen fördern und die Nutzung eigener Geräte unterstützen möchte, gelten die gleichen steuerrechtlichen Grundsätze wie beim betriebsmittelersetzenden BYOD, weshalb insoweit auf die dortigen Ausführungen verwiesen wird.

C. Dokumentations- und Aufbewahrungspflichten Auch bei BYOD treffen den Arbeitgeber die Dokumentations- und Aufbewahrungspflichten aus § 257 Abs. 1 HGB sowie § 147 AO. Er hat alle steuerrelevanten Daten und Unterlagen sowie Handelsbriefe und Buchungsbelege während der gesetzlich vorgeschriebenen Aufbewahrungsfrist (§ 257 Abs. 4 HGB; § 147 Abs. 3 AO) zu archivieren, so dass diese jederzeit verfügbar und bei Außenprüfungen der Finanzbehörden elektronisch zugänglich sind (§ 147 Abs. 6 AO). Weil die Finanzbehörden seit 2002 vermehrt zur elektronischen Außenprüfung übergegangen sind, ist es für Arbeitgeber wichtig, den Anforderungen der digitalen Betriebsprüfung gerecht zu werden. Besonders relevant werden in diesem Zusammenhang die GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff), die für alle Veranlagungszeiträume ab dem 31.12.2014 gelten und die Archivierung von handelsrechtlich und steuerrechtlich relevanten Daten in elektronischer Form sowie die Befugnisse der Finanzverwaltung detailliert regeln. Sie lösen die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) und die GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme) ab. Werden Virtualisierungslösungen zur Datentrennung gewählt, verbleiben alle steuer- und handelsrechtlich relevanten Daten auf dem Unternehmens10  Günther, Telekommunikations-Aufwendungen – lohnsteuerliche Behandlung ab 2002, Gestaltende Steuerberatung  – Ausgabe  02 / 2002, 57.



C. Dokumentations- und Aufbewahrungspflichten171

server. Sie werden nicht auf dem mobilen Endgerät des Arbeitnehmers abgespeichert, weshalb sie bei einer Außenprüfung der Finanzbehörden grundsätzlich unproblematisch elektronisch zugänglich sind. Um die Einhaltung der Dokumentations- und Aufbewahrungspflichten bestmöglich sicherzustellen, sind jedoch nicht nur technische Datentrennungsmaßnahmen, sondern auch ausdrückliche Regelungen bzw. Anweisungen zur Speicherung, Bearbeitung und Löschung dokumentationspflichtiger Unterlagen erforderlich. Letzteres ist kein BYOD-spezifisches Problem. Es stellt sich vielmehr immer, wenn Arbeitnehmer im Geschäftsverkehr für den Arbeitgeber tätig werden, unabhängig von der eigentumsrechtlichen Lage am datenverarbeitenden Gerät. Sollte der Arbeitgeber nicht ohnehin Grundsätze im Umgang mit dokumentationspflichtigen Unterlagen aufgestellt haben, sollten diese in der BYOD-Nutzungsvereinbarung festgehalten werden. Wählt der Arbeitgeber hingegen eine Containerization-Lösung, werden steuer- und handelsrechtlich relevante Daten auf dem mobilen Endgerät des Arbeitnehmers getrennt von seinen privaten Daten abgespeichert. Diese sind bei Außenprüfungen der Finanzbehörden über einen Fernzugriff elektronisch zugänglich. Weil sich technisch jedoch nie vollständig ausschließen lässt, dass von einem Fernzugriff auch private Daten des Arbeitnehmers betroffen sind, sollte in der BYOD-Nutzungsvereinbarung eine Regelung aufgenommen werden, die einen Fernzugriff bei elektronischen Außenprüfungen der Finanzbehörden ausdrücklich gestattet. Sollte die Finanzbehörde Herausgabe des Geräts verlangen, so bedarf es auch hierfür einer ausdrücklichen Regelung. Damit diese nicht als unangemessene Benachteiligung des Arbeitnehmers nach § 307 Abs. 1 BGB zu bewerten ist, ist es sinnvoll, dem Arbeitnehmer für die Zeit der Herausgabe ein gleichartiges und vollständig eingerichtetes unternehmenseigenes Ersatzgerät zu überlassen, um ihn so zu stellen, wie er ohne die Herausgabe stünde. Auch beim Einsatz von Datencontainern sind ausdrücklichen Regelungen bzw. Anweisungen zur Speicherung, Bearbeitung und Löschung dokumentationspflichtiger Unterlagen erforderlich, die gegebenenfalls in der BYOD-Nutzungsvereinbarung festzuhalten sind.

7. Kapitel

Zusammenfassung der wichtigsten Thesen 1. Der Einsatz arbeitnehmereigener mobiler Endgeräte zu betrieblichen Zwecken (BYOD) erfordert eine detailliert geregelte BYOD-Nutzungsvereinbarung und den Einsatz von Mobile Device Management Systemen (dt. Mobilgeräteverwaltung) zur Datentrennung und Kontrolle der Endgeräte. Ohne ein umfassendes Regelwerk und technische Maßnahmen können die Privatgeräte nicht rechtssicher und datenschutzkonform im Unternehmen implementiert werden. Von einem ungeregelten BYOD-Einsatz ohne entsprechende Datentrennung ist deshalb abzuraten. 2. Für die rechtssichere Einführung von BYOD ist eine Regelung im Arbeitsvertrag oder eine spätere Ergänzungsvereinbarung erforderlich. Die aus der Nutzung resultierenden Rechte und Pflichten können entweder in der arbeitsvertraglichen Vereinbarung geregelt oder durch eine BYOD-Betriebsvereinbarung konkretisiert und vervollständigt werden. Ein Anspruch auf Nutzung von BYOD aufgrund betrieblicher Übung scheidet aus. 3.  Die arbeitszeitrechtliche Problematik der ständigen Erreichbarkeit und Arbeitsaufnahme außerhalb der regulären Arbeitszeit ohne entsprechende ausdrückliche Anordnung durch den Arbeitgeber lässt sich sachgerecht nur über das Kriterium der Zurechenbarkeit lösen. Dieses ist nicht nur bei einer ausdrücklichen Anordnung des Arbeitgebers zu bejahen, sondern auch dann, wenn er die Erreichbarkeit und Arbeitsaufnahme konkludent angeordnet, gebilligt oder zumindest geduldet hat. 4. Kurzzeitige, geringfügige BYOD-Einsätze nach Ende der Arbeitszeit sind grundsätzlich als Unterbrechungen der Ruhezeit (§ 5 ArbZG) zu bewerten. 5.  Während der Arbeitnehmer beim betriebsmittelersetzenden BYOD alle betrieblich veranlassten Aufwendungen vom Arbeitgeber ersetzt verlangen kann, scheidet ein Aufwendungsersatzanspruch nach § 670 BGB (analog) beim optionalen BYOD aus. Bei diesem verwendet der Arbeitnehmer sein Privatgerät allein aus Gründen der persönlichen Erleichterung oder Bequemlichkeit, weshalb er die mit der BYOD-Nutzung verbundenen Aufwendungen primär im eigenen Interesse tätigt.



7. Kap.: Zusammenfassung der wichtigsten Thesen173

6. Sowohl bei der betriebsmittelersetzenden als auch der optionalen BYOD-Nutzung ist eine vertragliche Freizeichnung des Arbeitgebers von der Vorsatzhaftung unzulässig (§ 276 Abs. 3 BGB). Gleiches gilt für eine formularmäßige Abbedingung der Haftung bei grober Fahrlässigkeit (§ 309 Nr. 7 lit. b BGB). Eine vollständige Freizeichnung des Arbeitgebers für einfache / mittlere Fahrlässigkeit scheidet beim betriebsmittelersetzenden BYOD aus, während sie beim optionalen BYOD jedenfalls dann als angemessen und wirksam nach § 307 Abs. 1 BGB zu bewerten ist, wenn der Arbeitgeber die ihn treffende Schadenersatzpflicht nicht durch eine entsprechende Versicherung mit abdecken kann. 7.  Die Grundsätze der verschuldensunabhängigen Haftung des Arbeitgebers bei Eigenschäden des Arbeitnehmers finden beim betriebsmittelersetzenden BYOD Anwendung. Ein Ausschluss des Anspruchs aus § 670 BGB kann nur durch Abgeltung in Form einer gesonderten Risikoprämienzahlung erzielt werden. Beim optionalen BYOD scheidet eine Ersatzpflicht nach den Grundsätzen der verschuldensunabhängigen Haftung des Arbeitgebers bei Eigenschäden des Arbeitnehmers regelmäßig aus. 8.  In Betrieben, in denen ein Betriebsrat gewählt wurde, kann eine wirksame Implementierung von BYOD nur im Einvernehmen mit dem Betriebsrat erfolgen. Ihm stehen umfassende Unterrichtungs- (§§ 80 Abs. 2, 90 Abs. 1 BetrVG), Beratungs- (§ 90 Abs. 2 BetrVG) und Mitbestimmungsrechte (§ 87 Abs. 1 Nr. 1, Nr. 2, Nr. 3, Nr. 6 BetrVG) zu. 9. Stellt der Arbeitgeber seinen Arbeitnehmern eine (dienstliche) SIMKarte zur Verfügung und erlaubt die private Nutzung des damit ausgestatteten Privatgeräts oder öffnet er sowohl die betrieblichen E-Mail- als auch die betrieblichen Internetsysteme (WLAN-Netz des Unternehmens) für den Anschluss der Privatgeräte und gestattet ausdrücklich auch deren Privatnutzung, findet das Telekommunikationsgesetz Anwendung. Der Arbeitgeber ist Diensteanbieter i. S. des § 3 Nr. 6 TKG. Für alle privaten Inhalte und die näheren Umstände der privaten Telekommunikation ist das Fernmeldegeheimnis nach § 88 Abs. 2 TKG zu beachten. Das Telemediengesetz findet in diesen Fällen ebenfalls Anwendung, allerdings nur eingeschränkt ergänzend zu den Vorschriften des TKG (§ 11 Abs. 3 TKG). 10. Verarbeiten oder nutzen Arbeitnehmer personenbezogene Daten auf ihren privaten Endgeräten, liegt keine Auftragsdatenverarbeitung vor. Die formellen und materiellen Voraussetzungen des § 11 BDSG, insbesondere das Schriftformerfordernis aus Abs. 2., sind nicht zu berücksichtigen. 11.  Die Einhaltung der Vorgaben des § 9 BDSG und seiner Anlage lässt sich nur durch den Einsatz von Mobile Device Management Systemen ­sicherstellen. Das Trennungsgebot zwischen dienstlichen und privaten Daten

174

7. Kap.: Zusammenfassung der wichtigsten Thesen

nach Nr. 8 der Anlage zu § 9 BDSG kann nur mittels Container- und Virtua­ lisierungslösungen sichergestellt werden. 12.  Ein umfassendes Lizenzmanagement ist Grundvoraussetzung für den BYOD-Einsatz. Wird Unternehmenssoftware auf dem privaten Endgerät genutzt, bedarf es einer sorgfältigen Überprüfung der Lizenzbestimmungen und gegebenenfalls einer entsprechenden Nachlizensierung. Gleiches gilt, wenn der Arbeitnehmer seine privat erworbene Software zu dienstlichen Zwecken verwenden darf. Nutzen Arbeitnehmer nicht ordnungsgemäß lizensierte Software, ergeben sich hieraus beträchtliche Haftungsrisiken sowohl für das Unternehmen (§§ 99, 97 Abs. 2 UrhG) als auch für die jeweils handelnden Organe (§§ 93 Abs. 2 AktG, 43 Abs. 2 GmbHG). 13.  Die BYOD-Nutzung birgt sowohl für den Arbeitnehmer als auch den Arbeitgeber strafrechtliche Risiken. Besondere Relevanz erlangen die Straftatbestände der §§ 17, 18 UWG sowie §§ 202a Abs. 1, 202b, 202c, 206 Abs. 1 und Abs. 3 Nr. 3, § 303a StGB. Die Risiken lassen sich allerdings durch entsprechende Regelungen in der BYOD-Nutzungsvereinbarung nach Möglichkeit vermeiden. 14.  Beim betriebsmittelersetzenden BYOD erhält der Arbeitnehmer vom Arbeitgeber Zuschüsse, die seine Auslagen für die zusätzliche dienstliche Nutzung des Geräts ersetzen sollen. Für solche Zuschüsse kommt eine Steuerbefreiung nach § 3 Nr. 50 EStG (Auslagenersatz) in Betracht. Beim optionalen BYOD erhält der Arbeitnehmer regelmäßig keine Zuschüsse. Er hat seine privaten und seine beruflich bedingten Aufwendungen selbst zu tragen. Die Aufwendungen für die beruflich bedingte Nutzung des mobilen Endgeräts kann er als Werbungskosten nach § 9 Abs. 1 S. 1 und 2 EStG abziehen.

Muster einer Nutzungsvereinbarung für den optionalen BYOD-Einsatz Nachfolgend wird das Muster einer individualvertraglichen Nutzungsvereinbarung für den optionalen BYOD-Einsatz dargestellt. Das Muster dient als Orientierungshilfe, die bei einer individuellen, unternehmensbezogenen Lösungsfindung herangezogen werden kann. Vereinbarung über die Nutzung arbeitnehmereigener mobiler Endgeräte zu dienstlichen Zwecken (BYOD)1 Zwischen der __________________________ [Firma des Betriebs inklusive Rechtszusatz]  – in Folgendem: „Arbeitgeber“ – und ______________________________ [Name des Arbeitnehmers] – in Folgendem: „Arbeitnehmer“ – 1. Dienstliche Nutzungsbefugnis und Sicherheitsvorgaben 1.1  Die Nutzung privater Endgeräte („Bring Your Own Device“, kurz „BYOD“) zu betrieblichen Zwecken ist dem Arbeitnehmer gestattet. Es besteht weder eine Verpflichtung noch eine betriebliche Notwendigkeit, Privatgeräte zu nutzen. Unternehmenseigene Geräte werden zur Bearbeitung dienstlicher Aufgaben weiterhin uneingeschränkt bereitgestellt. 1.2  Der Umfang der dienstlichen Nutzung wird durch den Arbeitgeber vorgegeben. Der Arbeitgeber gestattet dem Arbeitnehmer den Zugriff auf dienstliche E ­ -Mails, Kalender- und Adresseinträge2 über das folgende private mobile Endgerät: Marke: ________________ Model: ________________ Gerätenummer: _______________________ Der dienstliche E-Mail Account darf nicht zu privaten Zwecken genutzt werden. 1  Angelehnt an die Musterbetriebsvereinbarung zu Bring Your Own Device von Arning / Moos, Datennutzungsverträge, Teil 4 VI Rn. 5 ff. 2  Die Zulassung weiterer Anwendungen ist denkbar. Dann ist eine Anpassung des Musters notwendig.

176 Muster einer Nutzungsvereinbarung für den optionalen BYOD-Einsatz 1.3  Das private mobile Endgerät darf nur zu betrieblichen Zwecken genutzt werden, wenn zuvor eine spezielle Sicherheitssoftware – derzeit die Software ______________  – und das MDM-System ___________ durch den Arbeitgeber installiert wurden. Der Arbeitnehmer verpflichtet sich, sein mobiles Endgerät zu ­ diesem Zweck an den Arbeitgeber herauszugeben. 1.4 Der Arbeitnehmer ist verpflichtet, verfügbare Softwareaktualisierungen unverzüglich vorzunehmen, insbesondere Updates, Sicherheits-Patches und Upgrades zu installieren. Das Anti-Virenprogramm ist stets auf aktuellem Stand zu halten. 1.5  Das Betriebssystem des mobilen Endgeräts darf nicht verändert werden. Gleiches gilt für die auf dem Endgerät installierte Sicherheitssoftware. Dem Arbeitnehmer ist es untersagt, „Jailbreaks“ und / oder „Roots“ vorzunehmen, d. h. die vom Hersteller eingerichteten Schutzfunktionen zu umgehen, um zusätzliche Anwendungen installieren zu können, die ohne diese Manipulation nicht auf dem Endgerät abgespielt werden könnten. 1.6  Der Arbeitgeber ist berechtigt, Sicherheitseinstellungen für das private mobile Endgerät vorzugeben und gegebenenfalls mittels Fernzugriffs zu ändern. Die vorgegebenen Sicherheitseinstellungen dürfen nicht nachträglich verändert werden. Dem Arbeitgeber ist es erlaubt, im Rahmen von Netzzugangskontrollen automatisierte Scans durchzuführen, um zu überprüfen, ob das Endgerät des Arbeitnehmers die vorgegebenen Einstellungen und Sicherheitsvorkehrungen einhält. 1.7 Der Arbeitnehmer ist verpflichtet, das mobile Endgerät mit einem Zahlencode / Passwort zu sichern und diesen / dieses sowie alle weiteren Zugangsdaten geheim zu halten. Das private mobile Endgerät darf ausschließlich persönlich vom Arbeitnehmer genutzt werden. Außenstehenden Dritten, insbesondere Familienangehörigen, Freunden oder Bekannten ist die Benutzung zu untersagen. Das Gerät darf zum Schutz vor Diebstahl und Verlust nicht unbeaufsichtigt und unverschlossen aufbewahrt werden. 1.8  Der Arbeitgeber ist berechtigt, die Installation von Programmen und Apps zu untersagen, die die Vertraulichkeit, Integrität und Verfügbarkeit der auf dem Endgerät abgespeicherten dienstlichen Daten gefährden. Derartige Programme und Apps werden in der beigefügten Blacklist aufgeführt, die in regelmäßigen Abständen aktualisiert und betriebsüblich über das Intranet bekannt gemacht wird. Sollte der Arbeitnehmer bereits eine App installiert haben, die in der Blacklist aufgeführt ist, muss er sie unverzüglich löschen. Dem Arbeitgeber ist es erlaubt, im Rahmen von automatisierten Scans (Ziff. 1. 6) zu überprüfen, ob auf dem Endgerät nicht zugelassene Programme und Apps installiert wurden. 1.9  Der Arbeitnehmer ist verpflichtet, privat erworbene Programme und Apps (in Folgendem als „private Software“ bezeichnet) selbst ordnungsgemäß zu lizensieren. Der Arbeitnehmer verpflichtet sich, den Arbeitgeber von jeglicher Haftung freizustellen, die durch den Einsatz nicht ordnungsgemäß lizensierter privater Software verursacht wird. Es besteht weder eine Verpflichtung noch betriebliche Notwendigkeit, private Software zu dienstlichen Zwecken zu gebrauchen. Alle für die dienstliche Nutzung erforderlichen Programme und Apps werden vom Arbeitgeber bereitgestellt (in Folgendem als „Unternehmenssoftware“ bezeichnet). Sämtliche Installations-, Lizenz- und Wartungskosten für die Unternehmenssoftware trägt der Arbeitgeber.



Muster einer Nutzungsvereinbarung für den optionalen BYOD-Einsatz177

1.10  Der Arbeitgeber stellt den innerbetrieblichen Techniksupport auch für private mobile Endgeräte zur Verfügung. Sofern Reparatur-, Support- und Wartungsarbeiten erforderlich werden, ist der Arbeitnehmer verpflichtet, zunächst diesen in Anspruch zu nehmen. Die Kosten trägt der Arbeitgeber. Können Reparatur-, Supportund Wartungsarbeiten ausschließlich durch unternehmensexterne Servicedienste durchgeführt werden, ist der Arbeitnehmer verpflichtet, die auf dem Endgerät abgespeicherten dienstlichen Daten auf einem hierfür bereitgestellten Datenträger zu sichern und noch vor Übergabe des mobilen Endgeräts von diesem zu löschen. 2. Sicherung, Administrierung und Kontrolle dienstlicher Daten 2.1 Alle dienstlichen Daten dürfen ausschließlich in einem gesonderten Bereich (so genannter „Datencontainer“) abgespeichert werden. Die Speicherung dienstlicher Daten außerhalb des Datencontainers ist untersagt. Private Daten des Arbeitnehmers dürfen nicht im Datencontainer gespeichert werden. Die Nutzung von Cloud-Computing zur Speicherung dienstlicher Daten ist dem Arbeitnehmer nicht gestattet. 2.2  Über alle Inhalte, die im Datencontainer gespeichert sind, darf der Arbeitgeber frei verfügen. Er ist insbesondere befugt, jederzeit auf sie zuzugreifen, sie zu ändern oder im Rahmen seiner Verpflichtung aus § 35 Abs. 2 BDSG zu löschen. In berechtigten Ausnahmefällen (in Folgendem als „Sicherheitsvorfall“ bezeichnet), wie etwa einem Diebstahl oder Verlust des Geräts, ist der Arbeitgeber berechtigt, alle betrieblichen Daten im Datencontainer mittels Fernzugriffs zu löschen, selbst wenn dies zum Verlust oder zur Beschädigung privater Daten führen sollte. Erlangt der Arbeitnehmer ein gestohlenes Gerät wieder, ist der Arbeitgeber berechtigt, es vor einem erneuten Einsatz auf Schadsoftware zu überprüfen, das Gerät auf den Werkzustand zurückzusetzen und anschließend neu zu konfigurieren. 2.3  Bei Diebstahl, Verlust, Beschädigung oder Gefährdung des mobilen Endgeräts durch Schadsoftware wie Viren und Trojaner ist der Arbeitgeber unverzüglich unter folgender Telefonnummer zu unterrichten: _____________. 2.4 Alle Anweisungen und Richtlinien zur Nutzung betrieblicher Kommunikationssysteme, sind auch im Rahmen der Nutzung von BYOD anwendbar. Gleiches gilt für Anweisungen und Richtlinien zur Speicherung, Bearbeitung und Löschung dokumentationspflichtiger steuer- und handelsrechtlicher Unterlagen. 3. Kostenerstattung Alle Aufwendungsersatzansprüche des Arbeitnehmers gegen den Arbeitgeber für die Bereitstellung des Geräts sowie für die anfallenden Betriebskosten sind ausgeschlossen. Alternative: Der Arbeitnehmer erhält für alle mit der dienstlichen Nutzung seines Endgeräts verbundenen laufenden Kosten (insbesondere solche für Internet und Telefonie) eine monatliche Pauschale i. H. v. ______  €. Alle Kostenersatzansprüche des Arbeitnehmers, aus der dienstlichen Nutzung des mobilen Endgeräts gegenüber dem Arbeitgeber sind hiermit abgegolten.

178 Muster einer Nutzungsvereinbarung für den optionalen BYOD-Einsatz 4. Haftung 4.1 Der Arbeitgeber haftet nicht für den Verlust oder die Beschädigung privater Daten, die durch eine Fernlöschung im Rahmen eines Sicherheitsvorfalls (Ziff. 2.2) verursacht werden. Gleiches gilt für Schäden und Folgeschäden, die im Zusammenhang mit der Inanspruchnahme des innerbetrieblichen Techniksupports entstehen. Diese Haftungsausschlüsse gelten nicht für vorsätzliches oder grob fahrlässiges Verhalten des Arbeitgebers. 4.2 Eine Ersatzpflicht des Arbeitgebers ist ausgeschlossen, wenn der Arbeitnehmer sein privates IT-Gerät bei dienstlicher Nutzung verliert, es beschädigt oder gestohlen wird, sofern den Arbeitgeber kein Vorsatz oder grobe Fahrlässigkeit trifft. 5. Arbeitszeit Der Arbeitnehmer ist nicht verpflichtet, sein privates mobiles IT-Gerät außerhalb der vereinbarten Arbeitszeit zu dienstlichen Zwecken zu nutzen, außerhalb der vereinbarten Arbeitszeit erreichbar zu sein oder auf E-Mails zu antworten. Es wird auch nicht stillschweigend erwartet, dass der Mitarbeiter erreichbar ist. Werden Nachrichten nicht abgerufen oder das Gerät abgeschaltet, entstehen dem Mitarbeiter keinerlei Nachteile. Unberührt bleibt das Recht des Arbeitgebers, im Rahmen der gesetzlichen, arbeits- und / oder tarifvertraglichen Regelungen bei begründeter dienstlicher Notwendigkeit Rufbereitschaft anzuordnen. 6. Beendigung der BYOD-Nutzung 6.1 Der Arbeitgeber ist berechtigt, den dienstlichen Nutzungsumfang (Ziff. 1.2) jederzeit einzuschränken und die Nutzung von BYOD ganz oder teilweise zu beenden. Der Arbeitnehmer ist hierüber schriftlich zu informieren. 6.2  Der Arbeitnehmer ist jederzeit berechtigt, die Nutzung von BYOD zu beenden und fortan ausschließlich unternehmenseigene Geräte zur Bearbeitung dienstlicher Aufgaben zu verwenden. Der Arbeitgeber ist hierüber schriftlich zu informieren. Der Arbeitnehmer verpflichtet sich, sämtliche betriebliche Daten auf einem hierfür bereitgestellten Datenträger zu sichern und von seinem mobilen Endgerät zu löschen. 7. Herausgabepflichten In begründeten Ausnahmefällen, wie dem konkreten Verdacht einer Straftat, der endgültigen und dauerhaften Veräußerung des Privatgeräts durch den Arbeitnehmer, bei notwendigen Installationen von Sicherheitsprogrammen, Außenprüfungen der Finanzbehörden oder bei Beendigung des Arbeitsverhältnisses, ist der Arbeitnehmer zur Herausgabe des mobilen Endgeräts und der darauf abgespeicherten dienstlichen Daten an den Arbeitgeber verpflichtet. Ist die Rückgabe des mobilen Privatgeräts innerhalb von 24 Stunden nicht möglich, wird dem Arbeitnehmer bis zur Rückgabe ein vollständig eingerichtetes unternehmenseigenes Ersatzgerät zur Verfügung gestellt.



Muster einer Nutzungsvereinbarung für den optionalen BYOD-Einsatz179 8. Salvatorische Klausel

Sollte eine Bestimmung dieser Vereinbarung und / oder ihre Änderungen bzw. Ergänzungen ganz oder teilweise unwirksam sein, so wird dadurch die Wirksamkeit der Vereinbarung im Übrigen nicht berührt. Die unwirksame Bestimmung wird durch eine wirksame ersetzt, die dem wirtschaftlich Gewollten am nächsten kommt. ___________________ ____________________________ [Ort, Datum]



[Unterschrift des Arbeitnehmers]

___________________ ____________________________ [Ort, Datum]



[Unterschrift des Arbeitgebers]

Literaturverzeichnis Albrecht, Rüdiger: Die Einrichtung von Tele- und Außenarbeitsplätzen – Rechtliche und personalpolitische Anforderungen, NZA 1996, S. 1240–1245 Annuß, Georg: (Nichts) Neues zur Arbeitnehmerhaftung?, NZA 1998, S. 1089–1095 Arndt, Hans-Wolfgang / Fetzer, Thomas / Scherer, Joachim / Graulich, Kurt: TKG Tele­kommunikationsgesetz Kommentar, 2. Auflage, Berlin 2015 Arning, Marian / Moos, Flemming: Bring Your Own Device – Eine Entscheidungshilfe zur datenschutz- und lizenzkonformen Einführung im Unternehmen, DB 2013, S. 2607–2615 Arning, Marian / Moos, Flemming / Becker, Maximilian: Vertragliche Absicherung von Bring Your Own Device – Was in einer Nutzungsvereinbarung zu BYOD mindestens enthalten sein sollte, CR 2012, S. 592–598 Arnold, Iris: Die Zulässigkeit der Überwachung von mobilen Arbeitnehmern, Dissertation Bielefeld, 2010 Aufhauser, Rudolf: Bildschirmarbeitsverordnung-Kommentar, Baden-Baden 2012 Baeck, Ulrich / Deutsch, Markus: Arbeitszeitgesetz-Kommentar, 3. Auflage, München 2014 Baeck, Ulrich / Lösler, Annette: Neue Entwicklungen im Arbeitszeitrecht, NZA 2005, S. 247–250 Barton, Dirk M.: Betriebliche Übung und private Nutzung des Internetarbeitsplatzes „Arbeitsrechtliche Alternativen“ zur Wiedereinführung der alleinigen dienstlichen Verwendung, NZA 2006, S. 460–466 – E-Mail-Kontrolle durch Arbeitgeber, CR 2003, S. 839–844 – (Mit-)Verantwortlichkeit des Arbeitgebers für rechtsmissbräuchliche Online-Nutzungen durch den Arbeitnehmer, CR 2003, S. 592–598 Becker-Schaffner, Reinhard: Ist der Arbeitgeber verpflichtet die vom Arbeitnehmer in den Betrieb eingebrachten Sachen zu versichern?, VersR 1972, S. 322 Beck’scher Online-Kommentar Arbeitsrecht, Rolfs, Christian / Gießen, Richard / Kreikebohm, Ralf / Udsching, Peter (Hrsg.), Stand 01.06.2015, 36. Edition Beck’scher Online-Kommentar BGB, Bamberger, Georg / Roth, Herbert (Hrsg.), Stand 01.08.2015, 36. Edition Beck’scher Online-Kommentar StGB, von Heintschel-Heinegg, Bernd (Hrsg.), Stand 02.06.2015, 27. Edition Beckschulze, Martin / Henkel, Wolfram: Der Einfluß des Internets auf das Arbeitsrecht, DB 2001, S. 1491–1506

Literaturverzeichnis181 Berliner Beauftragter für Datenschutz und Informationsfreiheit: Datenschutz und Informationsfreiheit Bericht 2012, S. 32–38 Berndt, Joachim: Aufwendungsersatzansprüche des Arbeitnehmers bei Dienstfahrten mit privatem Pkw, NJW 1997, S. 2213–2216 Bernhardt, Ute: Auskunfts- und Beratungsanspruch des Betriebsrats bei der Beschaffung betrieblicher Räume; Anmerkung zum Urteil des ArbG Rostock v. 28.04.2009  – 1  BVGa 3 / 09, AiB 2010, S. 407–409 Bierekoven, Christiane: Bring your own Device: Schutz von Betriebs- und Geschäftsgeheimnissen, ITRB 2012, S. 106–108 Bissels, Alexander / Domke, Carsten / Wisskirchen, Gerlind: BlackBerry & Co.: Was ist heute Arbeitszeit?, DB 2010, S. 2052–2055 Bloesinger, Hubert: Grundlagen und Grenzen privater Internetnutzung am Arbeitsplatz, BB 2007, S. 2177–2184 Boemke, Burkhard / Ankersen, Per: Telearbeit und Betriebsverfassung, BB 2000, S. 2254–2260 Brachmann, Carsten: Arbeits- und datenschutzrechtliche Regelungen – Bring your own device (BYOD), AuA 2013, S. 680–684 Brandt, Jochen: BYOD – Kernpunkte möglicher Regelungen, CuA 2011 Heft 10 S. 12–13 Brox, Hans / Rüthers, Bernd / Henssler, Martin: Arbeitsrecht, 18. Auflage, Stuttgart 2011 Buchholz, Marie-Joline: „Bring Your Own Device“ – Rechtliche Hürden beim Einsatz privater mobiler Endgeräte zu Unternehmenszwecken, in: Taeger, Jürgen (Hrsg.),Tagungsband Herbstakademie 2012, IT und Internet – mit Recht gestalten, S. 841–860 Burkard, Julia: Data-use-Policies – Ausgleich von Unternehmens- und Arbeitnehmerinteressen, NJW-Spezial 2011, S. 370–371 Canaris, Claus-Wilhelm: Die Vertrauenshaftung im deutschen Privatrecht, München 1971 Conrad, Isabell: Einsatz von Data Loss Prevention-Systemen im Unternehmen, CR 2011, S. 797–805 Conrad, Isabell / Schneider, Jochen: Einsatz von „privater IT“ im Unternehmen, ZD 2011, S. 153–159 Dann, Matthias / Gastell, Roland: Geheime Mitarbeiterkontrollen: Straf- und arbeitsrechtliche Risiken bei unternehmensinterner Aufklärung, NJW 2008, S. 2945– 2949 Däubler, Wolfgang: Gläserne Belegschaften, 6. Auflage, Frankfurt 2015 – Internet und Arbeitsrecht, 4. Auflage, Frankfurt 2013 – Nutzung des Internet durch den Arbeitnehmer, K&R 2000, S. 323–327 – Das Fernsprechgeheimnis des Arbeitnehmers, AiB 1995, S. 149–157

182 Literaturverzeichnis Däubler, Wolfgang / Bonin, Birger / Deinert, Olaf: AGB-Kontrolle im Arbeitsrecht: Kommentar zu den §§ 305 bis 310 BGB, 4. Auflage, München 2014 Däubler, Wolfgang / Klebe, Thomas / Wedde, Peter / Weichert, Thilo: Kompaktkommentar zum BDSG, 4. Auflage, Frankfurt 2014 Deiters, Gerhard: Betriebsvereinbarung Kommunikation, ZD 2012, S. 109–115 Deusch, Florian: Compliance-Vorgaben für den Einsatz von Smartphones im Unternehmen, K&R 2013, S. 11–17 Dickmann, Roman, Inhaltliche Ausgestaltung von Regelungen zur privaten Internetnutzung im Betrieb, NZA 2003, S. 1009–1013 Diercks, Nina: Social Media im Unternehmen, K&R 2014, S. 1–7 Dietrich, Thomas / Hanau, Peter / Müller-Glöge, Rudi / Preis, Ulrich / Schaub, Günter / Schmidt, Ingrid (Hrsg.): Erfurter Kommentar zum Arbeitsrecht, 15. Auflage, München 2015 Dreier, Thomas / Schulze, Gernot: Urheberrechtsgesetz: UrhG Kommentar, 5. Auflage, München 2015 Dreyer, Gunda / Kotthoff, Jost / Meckel, Astrid: Urheberrecht Kommentar, 3. Auflage, München 2013 Engels, Thomas: Datenschutz in der Cloud – Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, S. 548–551 Ernst, Stefan: Der Arbeitgeber, die E-Mail und das Internet, NZA 2002, S. 585–591 Falder, Roland: Immer erreichbar – Arbeitszeit- und Urlaubsrecht in Zeiten des technologischen Wandels, NZA 2010, S. 1150–1157 Feldmann, Thorsten: Unterliegen Arbeitgeber der Pflicht zur Vorratsdatenspeicherung gem. § 113a TKG? – Erwiderung auf Koch, NZA 2008, 911, NZA 2008, S. 1398–1399 Fischer, Thomas: Strafgesetzbuch Kommentar, 62. Auflage, München 2015 Fitting, Karl / Engels, Gerd / Schmidt, Ingrid / Trebinger, Yvonne / Linsenmaier, Wolfgang: Betriebsverfassungsgesetz Handkommentar, 27. Auflage, München 2014 Fleck, Ulrike: Brauchen wir ein Arbeitnehmerdatenschutzgesetz?, BB 2003, S. 306– 310 Forst, Gerrit: Die Rechte des Arbeitnehmers infolge einer rechtswidrigen Datenverarbeitung durch den Arbeitgeber, AuR 2010, S. 106–112 Franck, Lorenz: Bring your own device – Rechtliche und tatsächliche Aspekte, RDV 2013, S. 185–191 Frings, Arno / Wahlers, Ulrich: Social media, iPad & Co. im Arbeitsverhältnis, BB 2011, S. 3126–3133 Fülbier, Ulrich / Splittberger, Andreas: Keine (Fernmelde-)Geheimnisse vor dem Arbeitgeber?, NJW 2012, S. 1995–2001 Galperin, Hans: Arbeitsbereitschaft und Bereitschaftsdienst, DB 1960, S. 695–698

Literaturverzeichnis183 Gaul, Björn: Leistungsdruck, psychische Belastung & Stress – Arbeitsrechtliche Handlungserfordernisse, DB 2013, S. 60–65 Gaul, Björn / Koehler, Lisa-Marie: Mitarbeiterdaten in der Computer Cloud: Datenschutzrechtliche Grenzen des Outsourcing, BB 2011, S. 2229–2236  Geppert, Martin / Schütz, Reimund: Beck’scher TKG-Kommentar, 4. Auflage, München 2013 Gneiting, Stefan: BYOD Regeln müssen sein, ProFirma 2012, S. 70–72 Gola, Peter: Neuer Tele-Datenschutz für Arbeitnehmer?, MMR 1999, S. 322–330 – Datenschutz am Arbeitsplatz, 5. Auflage, Heidelberg 2014 Gola, Peter / Schomerus, Rudolf: Bundesdatenschutzgesetz-Kommentar, 12. Auflage, München 2015 Gola, Peter. / Wronka, Georg: Handbuch Arbeitnehmerdatenschutz, 6. Auflage, Heidelberg 2013 Göpfert, Burkard / Wilke, Elena: Nutzung privater Smartphones für dienstliche Zwecke, NZA 2012, S. 765–771 Günther, Karl-Heinz: Telekommunikations-Aufwendungen – lohnsteuerliche Behandlung ab 2002, Gestaltende Steuerberatung  – Ausgabe  02 / 2002, S. 57–62 Gutzeit, Martin: Die Mitbestimmung des Betriebsrats bei Fragen der Arbeitszeit, BB 1996, S. 106–112 Hammerstein, Christian von: National Roaming im UMTS-Markt, MMR 2001, S. 214–218 Hanau, Peter / Hoeren, Thomas: Private Internetnutzung durch Arbeitnehmer, München 2003 Hanebeck, Alexander / Neunheffer, Friederike: Anwendungsbereich und Reichweite des telekommunikationsrechtlichen Fernmeldegeheimnisses – Rechtliche Schwierigkeiten bei der Anwendung des TKG, K&R 2006, S. 112–115  Hauschka, Christoph E. (Hrsg.): Corporate Compliance, Handbuch der Haftungsvermeidung im Unternehmen, 2. Auflage, München 2010 Härting, Niko: E-Mail und Telekommunikationsgeheimnis, CR 2007, S. 311–317 – VG Karlsruhe: Kein TK-Geheimnis am Arbeitsplatz (Fall Mappus) CRonlineBlog v. 04.06.2013 Heckmann, Dirk: Rechtspflichten zur Gewährleistung von IT-Sicherheit im Unternehmen, MMR 2006, S. 280–285 Heidrich, Joerg / Wegener, Christoph: Sichere Datenwolken, MMR 2010, S. 803–807 Heldmann, Sebastian: Dienstliche Nutzung privater Endgeräte (BYOD) und privater Gebrauch betrieblicher Kommunikationsmittel, Dissertation Oldenburg, 2014 – Betrugs- und Korruptionsbekämpfung zur Herstellung von Compliance, DB 2010, S. 1235–1239 Hemker, Thomas: „Ich brauche das!“ – Mobile Geräte im Unternehmenseinsatz, DuD 2012, S. 165–168

184 Literaturverzeichnis Henssler, Martin / Willemsen, Heinz Josef / Kalb, Heinz-Jürgen (Hrsg.): Arbeitsrecht Kommentar, 6. Auflage, Köln 2014 Herrnleben, Georg: BYOD – die rechtlichen Fallstricke der Software-Lizenzierung für Unternehmen, MMR 2012, S. 205–206 Hess, Harald / Worzalla, Michael / Glock, Dirk / Nicolai, Andrea / Rose, Franz-Josef / Huke, Kristina: Betriebsverfassungsgesetz Kommentar, 9.  Auflage, Köln 2014 Heun, Sven-Erik (Hrsg.): Handbuch zum Telekommunikationsrecht, 2. Auflage, Köln 2007 Hilber, Marc D. / Frik, Roman: Rechtliche Aspekte der Nutzung von Netzwerken durch Arbeitnehmer und den Betriebsrat, RdA 2002, S. 89–97  Hoppe, René / Braun, Frank: Arbeitnehmer-E-Mails: Vertrauen ist gut – Kontrolle ist schlecht, MMR 2010, S. 80–84 Hörl, Bernhard: Bring your own Device: Nutzungsvereinbarung im Unternehmen, ITRB 2012, S. 258–260 Hörl, Bernhard / Buddee, Antje: Private E-Mail-Nutzung am Arbeitsplatz, ITRB 2002, S. 160–163 Hromadka, Wolfgang: Zur betrieblichen Übung, NZA 1984, S. 241–246 Hromadka, Wolfgang / Maschmann, Frank: Arbeitsrecht Band 1, 5. Auflage, Berlin, Heidelberg 2012 Hümmerich, Klaus: Widerrufsvorbehalte in Formulararbeitsverträgen, NJW 2005, S. 1759–1767. Hümmerich, Klaus / Düwell, Franz Josef: Anwaltkommentar Arbeitsrecht, Band 1, 2. Auflage, Bonn 2010 Hümmerich, Klaus / Reufels, Martin: Gestaltung von Arbeitsverträgen – Kommentierte Klauseln und Musterverträge, 3. Auflage, Baden-Baden 2015 Imping, Andreas / Pohle, Jan: „BYOD“ – Rechtliche Herausforderungen der dienst­ lichen Nutzung privater Informationstechnologie, K&R 2012, S. 470–476 Jandt, Silke: Fernmeldegeheimnis im Arbeitsverhältnis bei erlaubter E-Mail-Nutzung zu privaten Zwecken, K&R 2011, S. 631–632 Jandt, Silke / Seidle, Roland: One Device Fits All? – Ein Endgerät für mehrere Arbeitgeber, CR 2013, S. 338–344 Jauernig, Othmar: Kommentar zum Bürgerlichen Gesetzbuch, 15. Auflage, München 2014 Junker, Abbo: Die Entwicklung des Computerrechts in den Jahren 2001 / 2002, NJW 2003, S. 2792–2799 Juris-Praxiskommentar BGB – Band 2, Junker Markus / Beckmann, Michael / Rüßmann, Helmut (Bandherausgeber), 7. Auflage 2015 Kamps, Michael: „Bring your own device“ (BYOD) als datenschutzrechtliche He­ rausforderung, ArbRB 2013, 350–352

Literaturverzeichnis185 Kilian, Wolfgang / Heussen, Benno (Hrsg.): Computerrechts-Handbuch, Stand: 32. Ergänzungslieferung, München 2013 Kindhäuser, Urs / Neumann, Ulfrid / Paeffgen, Hans-Ullrich: Strafgesetzbuch Kommentar, 4. Auflage, Baden-Baden 2013 Koch, Frank A.: Arbeitsrechtliche Auswirkungen von „Bring your own Device“ – Die dienstliche Nutzung privater Mobilgeräte und das Arbeitsrecht, ITRB 2012, S. 35–39 – Rechtsprobleme privater Nutzung betrieblicher elektronischer Kommunikationsmittel, NZA 2008, S. 911–916 Koenig, Christian / Neumann, Andreas: Die neue Telekommunikations-Datenschutzverordnung, K&R 2000, S. 417–425 Kollmer, Norbert / Klindt, Thomas: Arbeitsschutzgesetz-Kommentar, 2.Auflage, München 2011 Kothe, Wolfhardt: Psychische Belastungen und arbeitsbedingter Stress – Mögliche rechtliche und sonstige Regulierungen (Gutachten), in: Kamp / Pickshaus (Hrsg.), Regelungslücke psychische Belastungen schließen, 2011 S. 10–68. Kramer, Stefan: Internetnutzung als Kündigungsgrund, NZA 2004, S. 457–464 – Gestaltung betrieblicher Regelungen zur IT-Nutzung, ArbRAktuell 2010, S. 164– 166 Kraska, Sebastian / Meuser, Peter: Im Blickpunkt: Bring Your Own Device / Datenschutz-Empfehlungen und technische Umsetzungsmöglichkeiten, BB 2012, Heft 42 S. VI Kratz, Felix / Gubbels, Achim: Beweisverwertungsverbote bei privater Internetnutzung am Arbeitsplatz, NZA 2009, S. 652–656 Kremer, Sascha / Sander, Stefan: Bring Your Own Device, ITRB 2012, S. 275–280 Kripko, Lars Marten: Das Problem heißt Schatten-IT „Bring your own device“ als Lösung?, AuA 2012, S. 660–663 Küttner, Wolfdieter (Hrsg.): Personalbuch, 22. Auflage, München 2015 Lackner, Karl / Kühl, Kristian: Strafgesetzbuch Kommentar, 28. Auflage, München 2014 Lakies, Thomas: Das Weisungsrecht des Arbeitgebers (§ 106 GewO) – Inhalt und Grenzen, BB 2003, S. 364–369 – Vertragsgestaltung und AGB im Arbeitsrecht, 2. Auflage, Heidelberg 2011 – Die Vergütung von Überstunden und Mehrarbeit – materielle und prozessuale Probleme, ArbRAktuell 2013, S. 541–544 Landmann, Robert von / Rohmer, Gustav: Gewerbeordnung-Kommentar, Stand: 68. Ergänzungslieferung August, München 2014 Larenz, Karl: Methodenlehre der Rechtswissenschaft, 5. Auflage, Berlin 1983 Lehmann, Michael / Meents, Jan Geert: Handbuch des Fachanwalts Informationstechnologie, 2. Auflage, Köln 2011

186 Literaturverzeichnis Lembke, Mark: Privatnutzung eines Firmenfahrzeugs; Anmerkung zum Urteil des BAG v. 19.12.2006  – 9 AZR 294 / 06, BB 2007, S. 1624–1628 Lenhardt, Uwe / Ertel, Michael / Morschhäuser, Martina: Psychische Arbeitsbelastungen in Deutschland: Schwerpunkte – Trends – betriebliche Umgangsweisen, WSI-Mitteilungen 7 / 2010, S. 337–342 Lensdorf, Lars: IT-Compliance – Maßnahmen zur Reduzierung von Haftungsrisiken von IT-Verantwortlichen, CR 2007, S. 413–418 Lensdorf, Lars / Steger, Udo: IT-Compliance im Unternehmen, ITRB 2006, S. 206– 210 Lindemann, Achim / Simon, Oliver: Betriebsvereinbarungen zur E-Mail-, Internetund Intranet-Nutzung, BB 2001, S. 1950–1956 Linnenkohl, Karl: Hinzuziehung eines außerbetrieblichen EDV-Sachverständigen; Anmerkung zum Beschluss des BAG v. 04.06.1987  – 6 ABR 63 / 85, BB 1988, S. 766–768 Lipp, Katharina: Bring Your Own Device (BYOD) – Das neue Betriebsmittel, in: Taeger, Jürgen (Hrsg.), Tagungsband Herbstakademie 2013 Band 2, Law as a Service (LaaS) – Recht im Internet- und Cloud-Zeitalter, S. 747–765 Löwisch, Manfred: Fernmeldegeheimnis und Datenschutz bei der Mitarbeiterkontrolle, DB 2009, S. 2782–2787 Lutz, Holger / Weigl, Michaela: Unified Communications as a Service, CR 2014, S. 85–93 Martin, Peter: Gefährdungsbeurteilung psychischer Belastungen, AiB 2010, S. 241– 246 Maschmann, Frank: Mitarbeiterkontrolle in Theorie und Praxis, in: Maschmann, Frank (Hrsg.): Festschrift für Wolfgang Hromadka zum 70. Geburtstag, München 2008, S. 233–254 Maschmann, Frank / Sieg, Rainer / Göpfert, Burkard: Vertragsgestaltung im Arbeitsrecht, München 2012 Mattl, Tina: Die Kontrolle der Internet- und E-Mail-Nutzung am Arbeitsplatz, Dissertation Tübingen, 2008 Mayer-Maly, Theo: Plädoyer für einen Abschied von der Gefahrgeneigtheit, in: Dietrich, Thomas (Hrsg.), Festschrift für Marie Luise Hilger und Hermann Stumpf zum 70. Geburtstag, München 1983, S. 467–476 – Die Risikohaftung des Arbeitgebers für Eigenschäden des Arbeitnehmers, NZA Beilage Heft 3 1991, S. 5–16 Mengel, Anja: Kontrolle der Telefonkommunikation am Arbeitsplatz, BB 2004, S. 1445–1453 – Kontrolle der E-mail- und Internetkommunikation am Arbeitsplatz, BB 2004, S. 2014–2021 Minnerup, Silke: Bedrohung und Schutz mobiler Geräte im Unternehmenseinsatz, ITRB 2012, S. 119–120

Literaturverzeichnis187 Mitglieder des DIIR Arbeitskreises „IT-Revision“: Bring Your Own Device (BYOD). ZIR 3 / 2014, S. 122–130 Moll, Wilhelm: Münchener Anwaltshandbuch Arbeitsrecht, 3. Auflage, München 2012 Moos, Flemming (Hrsg.): Datennutzungs- und Datenschutzverträge, Köln 2014 Müller-Broich, Jan D.: Telemediengesetz Kommentar, Baden-Baden 2012 Müller-Glöge, Rudi: Die Gefährdungshaftung des Arbeitgebers, in: Hanau, Peter / Heither, Friedrich / Kühling, Jürgen (Hrsg.), Festschrift für Thomas Dietrich zum 65. Geburtstag, München 1999, S. 387–413 Münchener Kommentar zu GmbHG (Gesetz betreffend die Gesellschaften mit beschränkter Haftung): Fischer Holger / Goette, Wulf (Hrsg.), Band  2, München 2012 Münchener Kommentar zum Bürgerlichen Gesetzbuch: Säcker, Jürgen / Rixecker, Roland (Hrsg.), Band 2, 6. Auflage, München 2012; Band 3, 6. Auflage, München 2012; Band 4, 6. Auflage, München 2012 Münchener Kommentar zum Strafgesetzbuch: Joecks, Wolfgang / Miebach, Klaus (Hrsg.), Band 4, 2. Auflage, München 2012; Band 5, 2. Auflage, München 2014 Muser, Albrecht: Mit dem eigenen Tablet zur Arbeit, Personalwirtschaft Sonderheft 10 / 2013, S. 18–20. Neumann, Andreas: Zur Anwendbarkeit des Fernmeldegeheimnisses nach § 88 TKG bei gestatteter Privatnutzung betrieblicher Kommunikationsmöglichkeiten, IRNIK Diskussionspapier Nr. 3, 2014 Neumann, Dirk / Biebl, Josef: Arbeitszeitgesetz-Kommentar, 16. Auflage, München 2012 Nolte, Norbert / Becker, Philipp: VG Frankfurt / M.: Kein Fernmeldegeheimnis für EMails nach Abschluss des Übertragungsvorgangs, Anmerkung zum Urteil des VG Frankfurt v. 06.11.2008  – 1 K 628 / 08.F, CR 2009, S. 125–128 Oberthür, Nathalie: Die Arbeitssicherheit im mobile Office, NZA 2013, S. 246–249 Oberwetter, Christian: Arbeitnehmerrechte bei Lidl, Aldi & Co., NZA 2008, S. 609– 613 Oetker, Hartmut: Der sachkundige Arbeitnehmer als Auskunftsperson des Betriebsrats, NZA 2003, S. 1233–1239 Otto, Hansjörg / Schwarze, Roland / Krause, Rüdiger: Die Haftung des Arbeitnehmers, 4. Auflage, Berlin 2014 Pangert, Barbara / Schüpbach Heinz: Die Auswirkungen arbeitsbezogener erweiterter Erreichbarkeit auf Life-Domain-Balance und Gesundheit, Fachbeitrag Bundesanstalt für Arbeitsschutz und Arbeitsmedizin, 2013 Peter, Jörg: Kernfragen der Telearbeit, DB 1998, S. 573–579 Pflüger, Norbert: Die Hinzuziehung eines Sachverständigen gem. § 80 III BetrVG, NZA 1988, S. 45–49

188 Literaturverzeichnis Plath, Kai-Uwe (Hrsg.): Bundesdatenschutzgesetz (BDSG) – Kommentar zum BDSG sowie den datenschutzrechtlichen Regelungen des TMG und des TKG, Köln 2013 Pötters, Stephan: Beschäftigtendaten in der Cloud, NZA 2013, S. 1055–1059 Preis, Ulrich: Arbeitsrecht I, Individualarbeitsrecht – Lehrbuch für Studium und Praxis, 4. Auflage, Köln 2012 – Der Arbeitsvertrag – Handbuch der Vertragsgestaltung, 5. Auflage 2015 Preis, Ulrich / Ulber, Daniel: Direktionsrecht und Sonntagsarbeit, NZA 2010, S. 729– 733 – Die Rechtskontrolle von Betriebsvereinbarungen, RdA 2013, S. 211–226 Pröpper, Martin / Römermann, Martin: Nutzung von Internet und E-Mail am Arbeitsplatz (Mustervereinbarung), MMR 2008, S. 514–518 Rath, Michael / Karner, Sophia: Private Internetnutzung am Arbeitsplatz – rechtliche Zulässigkeit und Kontrollmöglichkeiten des Arbeitgebers, K&R 2007, S. 446–452 – Internetnutzung und Datenschutz am Arbeitsplatz, K&R 2010, S. 469–475 Reinhard, Barbara: Sonntags bleibt die Küche kalt – Arbeitsrechtliche Fragestellungen zur ständigen Erreichbarkeit, ArbRB 2012, S. 186–189 Reinhardt, Uwe: Die dogmatische Begründung der Haftungsbeschränkung des Arbeitnehmers, Dissertation Göttingen, 1977 Richardi, Reinhard: Betriebsverfassungsgesetz Kommentar, 14. Auflage, München 2014 Richardi, Reinhard / Wißmann, Hellmut / Wlotzke, Otfried / Oetker, Hartmut: Münchener Handbuch zum Arbeitsrecht, Band 1 und Band 2, 3. Auflage, München 2009 Rieble, Volker / Picker, Christian: Arbeitsschutz und Mitbestimmung bei der häuslichen Telearbeit, ZfA 2013, S. 383–432 Rolfs, Christian: Die Inhaltskontrolle arbeitsrechtlicher Individual- und Betriebsvereinbarungen, RdA 2006, S. 349–356 Rudolph, Wolf-Dieter: Erreichbarkeit mittels Smartphone – Handlungsmöglichkeiten des Betriebsrats, AiB 2012, S. 378–381 Salamon, Erwin: Das Smartphone als mobiles Büro  – „24 / 7 online“ mitten im Arbeitsrecht des 21. Jahrhunderts, COMPACT Special Arbeitsrecht und Datenschutz, 2013, S. 4–6 Salamon, Erwin / Hoppe, Christian / Rogge, Nico: Überstunden im Fokus der jüngeren Rechtsprechung, BB 2013, S. 1720–1725 Salamon, Erwin / Koch, Malte: Die Darlegungs- und Beweislast des Arbeitnehmers bei der Gefährdungshaftung des Arbeitgebers, NZA 2012, S. 658–661 Sassenberg, Thomas / Mantz, Reto: Die (private) E-Mail-Nutzung im Unternehmen, BB 2013, S. 889–894  Schaub, Günter u. a.: Arbeitsrechts-Handbuch: systematische Darstellung und Nachschlagewerk für die Praxis, 16. Auflage, München 2015

Literaturverzeichnis189 Scheben, Barbara / Klos, Christian: Analyse von Chatprotokollen und E-Mails – Was ist erlaubt? Was ist verwertbar?, CCZ 2013, S. 88–93 Scheben, Barbara / Geschonneck, Alexander: Evidence and Disclosure Management (EDM) Eine (datenschutz-)rechtliche Analyse, CCZ 2012, S. 13–17 Schimmelpfennig, Hans-Christoph / Wenning, Holger: Arbeitgeber als Telekommunikationsdienste-Anbieter?, DB 2006, S. 2290–2294  Schlegel, Rainer: Grenzenlose Arbeit, NZA Beilage 2014, Heft 1 S. 16–22 Schlewing, Anja: Prozessuales Verwertungsverbot für mitbestimmungswidrig erlangte Erkenntnisse aus einer heimlichen Videoüberwachung?, NZA 2004, S. 1071– 1077 Schliemann, Harald: Bereitschaftsdienst im EG-Recht, NZA 2006, S. 1009–1014 Schlottfeldt, Christian / Hoff, Andreas: „Vertrauensarbeitszeit“ und arbeitszeitrechtliche Aufzeichnungspflicht nach § 16 II ArbZG, NZA 2001, S. 530–533 Schmechel, Tanja: Die Rolle des Betriebsrats bei der Einführung und Durchführung von Telearbeit, NZA 2004, S. 237–241 Schmidl, Michael: Aspekte des Rechts der IT-Sicherheit, NJW 2010, S. 476–481 Schmidt, Ludwig: Einkommensteuergesetz Kommentar, 33. Auflage, München 2014 Schönke, Adolf / Schröder, Horst: Strafgesetzbuch Kommentar, 29. Auflage, München 2014 Schöttler, Ingo: Schutz von E-Mail-Daten durch das Fernmeldegeheimnis, jurisPRITR 4 / 2009 Anm. 2 Schulze, Reiner / Dörner, Heinrich / Ebert, Ina / Hoeren, Thomas / Kemper, Rainer / Schreiber, Klaus / Schulte-Nölke, Hans / Saenger, Ingo: Bürgerliches Gesetzbuch: BGB Handkommentar, 8. Auflage, Baden-Baden 2014 Schumann, Kay H.: Das 41. StrÄndG zur Bekämpfung der Computerkriminalität, NStZ 2007, S. 675–680 Schumann, Sven: Private IT-Geräte am Arbeitsplatz, DSB 2012, S. 110–114 Schuster, Fabian: Der Arbeitgeber und das Telekommunikationsgesetz, CR 2014, S. 21–27 Schuster, Fabian / Reichl, Wolfgang: Cloud Computing & SaaS: Was sind die wirklich neuen Fragen?, CR 2010, S. 38–43 Schwab, Bernd: Die Schadenshaftung im Arbeitsverhältnis – Eine Übersicht, 2. Teil: Die Haftung des Arbeitgebers, NZA-RR 2006, S. 505 Sedlmeier, Tobias / Kolk, Daniel: ASP – Eine vertragstypologische Einordnung, MMR 2002, S. 75–80 Seel, Henning-Alexander: Private Endgeräte im betrieblichen Einsatz – Rechtsfragen im Rahmen von „BYOD“, MDR 2014, S. 69–72 Seiter, Hugo: Die Betriebsübung: zugleich ein Beitrag zur Lehre vom Rechtsgeschäft und von den Zurechnungsgründen rechtserheblichen Verhaltens im Privatrecht, Düsseldorf 1967

190 Literaturverzeichnis – Zur dogmatischen Begründung der betrieblichen Übung; Anmerkung zum Urteil des BAG v. 01.03.1972  – 4 AZR 200 / 71, AP Nr. 11 zu § 242 BGB Betriebliche Übung Bl. 4 Seitz, Christian: Wann entsteht eine betriebliche Übung?, Dissertation Mannheim, 2009 Simitis, Spiros: Bundesdatenschutzgesetz Kommentar, 8.  Auflage, Baden-Baden 2014 Singer, Reinhard: Neue Entwicklungen im Recht der Betriebsübung, ZfA 1993, S. 487–516 Söbbing, Thomas / Müller, Nils R.: Bring your own Device: Haftung des Unternehmens für urheberrechtsverletzenden Inhalt, ITRB 2012, S. 15–17 Spindler, Gerald / Schuster, Fabian: Recht der elektronischen Medien, 3. Auflage, München 2015 Staudinger, J. von: Kommentar zum Bürgerlichen Gesetzbuch mit Einführungsgesetz und Nebengesetzen: – §§ 305–310; UKlaG (Recht der Allgemeinen Geschäftsbedingungen), Neubearbeitung 2013 – §§ 535–555f (Mietrecht 1 – Allgemeine Vorschriften; Wohnraummiete), Neubearbeitung 2015 – Vorbemerkung zu § 611 ff.; §§ 611–613 (Dienstvertragsrecht 1), Neubearbeitung 2010 – §§ 611 BGB–619a (Dienstvertragsrecht 2), Neubearbeitung 2010 – §§ 657–704 (Geschäftsbesorgung), Neubearbeitung 2006 Steinau-Steinrück, Robert von: Smartphone versus Arbeitsrecht, NJW-Spezial 2012 S. 178–179 Stoppkotte, Eva-Maria / Stiel, Claudia: Mitarbeiter auf Stand-by, AiB 2011, S. 423–426 Taeger, Jürgen / Gabel, Detlev: Kommentar zum BDSG und Datenschutzvorschriften des TKG und TMG, 2. Auflage, Frankfurt 2013 Thüsing, Gregor: Beschäftigtendatenschutz und Compliance, 2. Auflage, München 2014 Tiedemann, Jens, Arbeitsrechtliche Aspekte von „Bring your own device“ (BYOD) – Was ist beim Einsatz privater Endgeräte im Betrieb zu beachten?, ArbRB 2013, S. 152–155 – Anm. zu LAG Niedersachsen v. 31.05.2010  – 12 Sa 875 / 09, MMR 2010, S. 641–642 Uebernicke, Frank / Brenner, Walter: Die Herausforderungen der IT heute, in: Der Weg zur modernen IT-Fabrik: Industrialisierung – Automatisierung – Optimierung, Wiesbaden 2013, S. 11–36 Venema, Charlotte: Der Anspruch des Betriebsrats auf Hinzuziehung eines Sachverständigen gem. § 80 III BetrVG beim Einsatz von EDV-Anlagen, NZA 1993, S. 252–256

Literaturverzeichnis191 Vietmeyer, Katja / Byers, Philipp: Der Arbeitgeber als TK-Anbieter im Arbeitsverhältnis – Geplante BDSG-Novelle lässt Anwendbarkeit des TKG im Arbeitsverhältnis unangetastet, MMR 2010, S. 807–811 Wagner, Joachim: Zur Erforderlichkeit von Sachverständigen bei technologischen Fragestellungen, ArbuR 1993, S. 70–76 Walter, Thorsten / Dorschel, Joachim: Mobile Device Management – rechtliche Fragen, WuM 2012, S. 22–26 Waltermann, Reimund: Anspruch auf private Internetnutzung durch betriebliche Übung?, NZA 2007, S. 529–533 Walther, Michael / Zimmer, Mark: Mehr Rechtssicherheit für Compliance-Ermittlungen, BB 2013, S. 2933–2937  Wandtke, Artur-Axel / Bullinger, Winfried: Praxiskommentar zum Urheberrecht: UrhG, 4. Auflage 2014 Weckbach, Thomas: Informationsrechte des Betriebsrats bei Einsatz von EDV in der Personalverwaltung, NZA 1988, S. 305–307 Wedde, Peter: Telearbeit und Mitbestimmung des Betriebsrats, CR 1994, S. 230–236 Weiß, Frank / Leimeister, Jan Marco: Consumerization IT-Innovationen aus dem Konsumentenumfeld als Herausforderung für die Unternehmens-IT, Wirtschaftsinformatik 2012, S. 351–354 Weißnicht, Elmar: Die Nutzung des Internet am Arbeitsplatz, MMR 2003, S. 448–453 Wellhörner, Astrid / Byers, Philipp: Datenschutz im Betrieb – Alltägliche Herausforderung für den Arbeitgeber?!, BB 2009, S. 2310–2316 Wiese, Günther / Kreutz, Peter / Oetker, Hartmut / Raab, Thomas / Weber, Christoph / Franzen, Martin / Gutzeit, Martin / Jacobs, Matthias: Gemeinschaftskommentar Betriebsverfassungsgesetz, 10. Auflage, Köln 2014 Wisskirchen, Gerlind / Schiller, Jan Peter: Aktuelle Problemstellungen im Zusammenhang mit „Bring your own device“, DB 2015, S. 1163–1168 Wolf, Thomas / Mulert, Gerrit: Die Zulässigkeit der Überwachung von E-Mail-Korrespondenz am Arbeitsplatz, BB 2008, S. 442–447 Wuermeling, Ulrich / Felixberger, Stefan: Fernmeldegeheimnis und Datenschutz im Telekommunikationsgesetz, CR 1997, S. 230–238 Wulf, Markus / Burgenmeister, Clemens: IT-Compliance beim Einsatz privater Hardund Software am Arbeitsplatz (BYOD), CB 2014, S. 374–378 Wybitul, Tim: Neue Spielregeln bei Betriebsvereinbarungen und Datenschutz, NZA 2014, S. 225–232 – Neue Spielregeln bei E-Mail-Kontrollen durch den Arbeitgeber, ZD 2011, S. 69– 74 Westphalen, Friedrich Graf von / Thüsing, Gregor: Vertragsrecht und AGB-Klauselwerke, 35. Ergänzung, München 2014 Zöll, Oliver / Kielkowski, Jacek B.: Arbeitsrechtliche Umsetzung von „Bring Your Own Device“ (BYOD), BB 2012, 2626–2630

Sachverzeichnis Alternativkonzepte  25 –– COPE  25 –– CYOD  27 Arbeitsschutzgesetz  66 Arbeitszeit –– Anordnung der Erreichbarkeit  51 –– Fehlende Anordnung der Erreichbarkeit  52 –– Höchstarbeitszeit  57 –– Ruhezeit  58 –– Sonn und Feiertagsruhe  62 –– Überstunden  63 Arbeitszeitrecht  47 Aufwendungsersatz  69 –– Betriebsmittelersetzendes BYOD  69 –– Einzelnachweis  71 –– Optionales BYOD  76 –– Pauschalvereinbarung  72 –– Übernahme Telekommunikationsvertrag  74 Beendigung Arbeitsverhältnis  95 Begriffsbestimmung BYOD  21 Beteiligungsrechte Betriebsrat  96 –– § 80 Abs. 2 BetrVG  97 –– § 87 Abs.  1 Nr. 1 BetrVG  100 –– § 87 Abs. 1 Nr. 2 und Nr. 3 BetrVG  103 –– § 87 Abs. 1 Nr. 6 BetrVG  106 –– § 87 Abs. 1 Nr. 7 BetrVG  108 –– § 90 BetrVG  98 –– § 111 BetrVG  100 Betriebliche Übung  38 Betriebsvereinbarung  35 Bildschirmarbeitsverordnung  68 Blacklist  146

Cloud-Computing  142 Containerlösungen  136 Datenschutzrecht  129 –– Anlage zu § 9 BDSG  136 –– Auftragsdatenverarbeitung  130 –– Eingabekontrolle  141 –– Mobile Device Management  134 –– Trennungsgebot  136 –– Verfügbarkeitskontrolle  141 –– Verwaltung und Kontrolle der Endgeräte  147 –– Weitergabekontrolle  140 –– Zugangskontrollen  138 –– Zugriffskontrolle  139 –– Zutrittskontrollen  138 Direktionsrecht  30 Erscheinungsformen  22 –– BYOD als Betriebsmittelersatz  23 –– nicht geregelter Einsatz  24 –– optionales BYOD  24 Fernlöschung  144 Haftung  78 –– Ansprüche des Arbeitgebers  79 –– Ansprüche des Arbeitnehmers  80 –– Ersatzbeschaffungspflicht  94 –– Haftungsausschluss  83 Herausgabepflichten  94 IMAP-Verfahren  123 Individualvereinbarung  31 Jailbreaks  141

Sachverzeichnis193 Lizenzrecht  151 –– Nutzung privater Software  152 –– Nutzung von Unternehmenssoftware  152 POP3-Verfahren  123 Steuerrecht  167 –– Auslagenersatz  167 –– Betriebsmittelersetzendes BYOD  167 –– Dokumentations- und Aufbewahrungspflichten  170 –– Optionales BYOD  169 Strafrechtliche Risiken  160 –– §§ 17, 18 UWG  160 –– § 202a Abs. 1 StGB  161 –– § 202b StGB  162 –– § 202c StGB  163

–– § 206 StGB  164 –– § 303a StGB  164 Support  75 Telekommunikation  110 Telekommunikationsrecht  110 –– Anwendbarkeit § 88 TKG  110 –– Kontrolle E-Mail-Verkehr  125 –– Kontrolle Internetnutzung  127 –– Kontrolle Telefonverkehr  128 –– Kontrolle Verkehrsdaten  126 Telemediengesetz  129 Urheberrecht  151 –– Haftung der Organe  156 –– Haftung nach § 97 Abs. 2 UrhG  156 –– Haftung nach § 99 UrhG  153 Virtualisierungslösungen  137