Smartphones im Unternehmen
Immer mehr Unternehmen stellen ihren Mitarbeitern Smartphones zur Verfügung, auch Tablets werden immer häufiger eingesetzt. Die Mitarbeiter sind damit besser erreichbar und können ihre E-Mails lesen, auch wenn sie nicht im Büro sind. Außendienstmitarbeiter können auch bei Kundenbesuchen stets auf die aktuellen Daten ihres Unternehmens zugreifen. So sinnvoll und nützlich Smartphones und Tablets sind, ihre Nutzung birgt auch Risiken für das Unternehmen.
Lässt ein Mitarbeiter sein Smartphone im Taxi oder in der U-Bahn liegen, so kann ein Dieb möglicherweise auf E-Mails und andere Daten zugreifen. Die Datenmengen, die auf ein Smartphone passen, sind sehr groß. Die berühmten 250.000 WikiLeaks „Cablegate“-Dokumente würden mehr als sechsmal auf ein iPhone 5 passen.
In jedem Unternehmen gibt es Daten, die geschützt werden müssen. Das sind einmal die Betriebs- und Geschäftsgeheimnisse, also beispielsweise Forschungsergebnisse, Beschreibung von Herstellungsverfahren, aber auch Preiskalkulationen oder E-Mails zu einer aktuellen Ausschreibung, an der sich das Unternehmen beteiligt. Auch vertrauliche Daten, die ein Geschäftspartner dem Unternehmen anvertraut hat, müssen geschützt werden, beispielsweise Konstruktionszeichnungen oder andere Informationen, die einer Vertraulichkeitsvereinbarung unterliegen. Schützenswert sind auch personenbezogene Daten, also Daten anderer Arbeitnehmer, Kunden und Lieferanten.
Gehen vertrauliche Daten verloren, wird dies für das Unternehmen schnell unangenehm. Zum einen droht dem Unternehmen Schaden, wenn die Konkurrenz Zugriff auf die vertrauliche Kommunikation erhält, beispielsweise die Preiskalkulation bei der Bewerbung um einen Auftrag. Zum anderen kommen auf das Unternehmen erhebliche Schadensersatzansprüche zu, wenn Informationen von Auftraggebern, also z. B. Konstruktionszeichnungen, in die falschen Hände geraten. Außerdem drohen bei Datenschutzverstößen Bußgelder bis zu 50.000 EUR, u.U. sogar bis zu 300.000 EUR. Zu den finanziellen Folgen kommen Reputationsschäden, wenn der Datenverlust in der Öffentlichkeit bekannt. Banken und Finanzdienstleister sind sogar verpflichtet, die Datenschutzbehörde und die Betroffenen über Datenlecks zu informieren, gleiches gilt in der Gesundheitsbranche. Solche Fälle finden sehr schnell den Weg in die Presse und schädigen das Ansehen des Unternehmens für viele Jahre.
Innerhalb des Unternehmens trifft die Haftung in erster Linie die Mitglieder des Vorstandes oder die Geschäftsführung, denn diese sind verpflichtet, Risikovorsorgemaßnahmen zu treffen und auch dafür zu sorgen, dass ein IT-Sicherheitskonzept existiert. Dieses Sicherheitskonzept muss auch die Nutzung von Smartphones umfassen.
Wichtige Sicherheitsmaßnahmen sind die zentrale Administration sämtlicher mobiler Geräte (Mobile Device Management), Passwortschutz zur Verhinderung eines missbräuchlichen Zugriffs, Möglichkeiten zur Fernlöschung bei Diebstahl oder Verlust des Gerätes. Zum Sicherheitskonzept gehört auch, den Mitarbeitern entsprechende Pflichten aufzuerlegen, entweder durch die IT-Richtlinie des Unternehmens oder eine vertragliche Vereinbarung zur Smartphone-Nutzung. Dort wird u.a. geregelt, welche Apps installiert werden dürfen (Blacklisting, Whitelisting), Jailbreaks und Nutzung der iCloud werden untersagt. Verfügt das Unternehmen über einen Betriebsrat, so ist eine Betriebsvereinbarung erforderlich.
Eine wichtige Frage ist, ob das Unternehmen seinen Mitarbeitern gestatten soll, die unternehmenseigenen Smartphones auch für private E-Mails oder Anrufe zu nutzen. Für das Unternehmen ist es wichtig, bei längerer Abwesenheit eines Mitarbeiters oder internen Untersuchungen auf die E-Mails der Mitarbeiter zuzugreifen.
Hat das Unternehmen wirksam bestimmt, dass ausschließlich die dienstliche Nutzung der Smartphones zulässig ist, so werden E-Mails genauso behandelt wie normale Geschäftsbriefe: Der Arbeitgeber hat vollen Zugriff darauf, wann immer er ihn benötigt. Die Regelung über die Beschränkung auf die dienstliche Nutzung gehört in die IT-Richtlinie, in die vertragliche Vereinbarung mit dem Mitarbeiter oder eine Betriebsvereinbarung. Dabei darf das Unternehmen es nicht bei der bloßen Regelung belassen, es muss auch stichprobenartig Kontrollen durchführen.
Der Arbeitgeber kann jedoch auch zulassen, dass die Arbeitnehmer das Smartphone in angemessenem Umfang für private Anrufe oder private E-Mails nutzen dürfen. Das kommt der Realität im Betrieb meist näher. Wichtig ist es dann aber, in der Vereinbarung klar zu regeln, wann das Unternehmen auf die E-Mails zugreifen darf. Andere Lösungen, beispielsweise die Gestattung von Webmail-Diensten für private E-Mails, sind ebenfalls möglich.
In der Praxis sieht es allerdings meist anders aus: Viele Unternehmen haben keine klaren Regelungen zur privaten Nutzung. Sie führen keine Kontrollen durch, sondern sehen über die private Nutzung hinweg. Diese Duldung führt dazu, dass die private E-Mail-Nutzung erlaubt wird. Damit wird es sehr schwierig, auf dienstliche E-Mails zuzugreifen, es besteht dann ein erhebliches Risiko der Strafbarkeit. Tritt dann der Fall ein, dass dringend auf Mails zugriffen werden muss, beispielsweise weil ein Mitarbeiter für mehrere Monate erkrankt ist oder weil er ausgeschieden ist, so steht der Arbeitgeber vor einem Problem: Nach mehreren Wochen doch auf die E-Mail zuzugreifen und das Risiko einer Strafbarkeit einzugehen oder die E-Mails ungelesen im Postfach zu lassen, obwohl sie möglicherweise wichtige Mitteilungen von Kunden enthalten. Diese Situation ist sehr unangenehm, meist kommt es dann zu Lösungen, die umständlich sind und die Geschäftsleitung sowie die übrigen Beteiligten in Gefahr bringen. Durch eine rechtzeitige Regelung in der IT-Richtlinie oder der Vereinbarung zur Smartphone-Nutzung lassen sich diese Risiken vermeiden.
Diese Fragen stellen sich in Fällen, in denen Unternehmen Smartphones zur Verfügung stellen. Manche Unternehmen gehen anders vor und gestatten dem Mitarbeitern, sein eigenes Smartphone oder Tablet im Unternehmen zu nutzen („Bring your own Device“). Hier sind noch weitere Fragen zu lösen, damit werden wir uns in einem der nächsten Beiträge beschäftigen.
Arnd Böken, Rechtsanwalt und Notar
Dr. Holger Kühl LL.M., Rechtsanwalt