Bring Your Own «Cloud» – Besonderheiten bei

RECHT
Bring Your Own «Cloud» – Besonderheiten
bei BYOD und Cloud-Services
RA Anselm Filliger
Mit Aufkommen des Smartphones ist der Einsatz von privaten
elektronischen Datenverarbeitungsgeräten im Geschäfts- und
Arbeitsumfeld alltäglich geworden; und zwar so alltäglich,
dass dafür ein bekanntes Akronym besteht: BYOD (Bring Your
Own Device).
D
er Einsatz von privaten Geräten der Arbeitnehmer für die
geschäftliche Nutzung birgt rechtliche Tücken. Eine Komplexitätssteigerung erfahren diese
Fallstricke, wenn sich ein
Arbeitgeber für eine cloudbasierte BYOD-Lösung entscheidet. Der folgende Artikel zeigt kurz auf, welche
grundlegenden Schritte ein
Arbeitgeber zu ergreifen hat
und über welche Aspekte
er sich vor der Verwendung einer (cloudbasierten) BYOD-Lösung Klarheit zu
verschaffen hat.
Kein
Anspruch
auf BYOD
Weder der Arbeitgeber
noch der Arbeitnehmer haben (per Gesetz) einen Anspruch
darauf, dass private Geräte für geschäftliche Zwecke genutzt werden können resp.
sollen. Da dem Arbeitgeber das Weisungsrecht zusteht (Art. 321d OR), darf gegen
den Willen des Arbeitgebers kein privates Gerät für geschäftliche Zwecke genutzt
werden – um Missverständnisse zu vermeiden, ist hier ausschlaggebend, dass
der Arbeitgeber einen solchen Willen aber
auch kundtut. Will hingegen der Arbeitgeber den geschäftlichen Einsatz von privaten Geräten anordnen, kann er sich dabei nicht auf einen gesetzlichen Anspruch
stützen. Gemäss Art. 327 OR hat der Arbeitgeber seine Arbeitnehmer mit den Geräten auszustatten, die diese zur Arbeit benötigen.
36
Die Einwilligung
des Arbeitnehmers
Besteht kein Anspruch auf den Einsatz von
BYOD, so ist hier zwischen den Parteien
ein Konsens zu finden. Es bedarf also der
Freiwilligkeit und eines übereinstimmenden Willens des Arbeitnehmers und Arbeitgebers zum Gebrauch privater Geräte
für geschäftliche Zwecke.
Die Trennung der Sphären
Jeder Arbeitgeber ist immer auch ein Bearbeiter von Personendaten. Er zahlt Lohn
an eine bestimmte Person aus, er führt und
bewahrt die Personaldossiers, wodurch er
sogar zu einem Inhaber einer Datensammlung wird. Wer Personendaten bearbeitet,
hat die Bestimmungen des Datenschutzgesetzes zu beachten. Die Bestimmungen und Vorgaben des Datenschutzgesetzes werden bezüglich Arbeitsverhältnisse
durch Art. 328b OR konkretisiert: Der Arbeitgeber darf Daten des Arbeitnehmers
nur dann bearbeiten, soweit es die Eignung für das entsprechende Arbeitsverhältnis betrifft (insb. Bewerbungsphase),
oder wenn diese Bearbeitung zur Durchführung des Arbeitsvertrages notwendig
ist. Ohne Arbeitsplatzbezug ist somit eine
Datenbearbeitung unzulässig. Ausserdem
hat der Arbeitgeber gemäss Art. 328 OR die
Persönlichkeit des Arbeitnehmers zu achten und zu schützen und zum Schutz der
persönlichen Integrität des Arbeitnehmers
angemessene Massnahmen zu treffen.
IT business 2/2015
RECHT
Dies hat zur Folge, dass eine klare Trennung der privaten und der geschäftlichen
Sphäre bei der Benutzung von BYOD zu
beachten ist. Denn jede Datenbearbeitung
durch den Arbeitgeber bezüglich privater
Daten auf den privaten Geräten ist nicht
durch Art. 328b OR gedeckt. Eine solche
Bearbeitung wäre nur dann gerechtfertigt,
wenn ein überwiegendes privates oder öffentliches Interesse vorliegen würde, oder
die Einwilligung des Mitarbeitenden im
Einzelfall gegeben ist.
Handlungsempfehlung:
Erstellung eines Reglements
Da die Einwilligung im Einzelfall nur sehr
schwer, langsam oder verspätet eingeholt
werden kann, ist dies keine zielführende
Option. Will also ein Arbeitgeber seinen
Mitarbeitern die Möglichkeit offen lassen, ihre privaten Geräte für geschäftliche
Zwecke zu nutzen, oder beabsichtigt er selber, die Nutzung von privaten Geräten zu
forcieren oder gar anzuordnen, ist dringend ein Reglement zu erstellen, das den
Umgang mit BYOD und insbesondere die
Trennung von geschäftlichen und privaten
Daten regelt.
Besonderheiten einer
cloudbasierten BYOD-Lösung
Die Trennung der privaten und geschäft­
lichen Sphäre kann nicht nur mit einem
Reglement geregelt werden, sondern es
kann auch versucht werden, mittels technischer Hilfsmittel eine tatsächliche Trennung von persönlichen und geschäftlichen
Daten zu vollziehen.
So gibt es Anbieter, die Apps zur Verfügung stellen, die eine klare Trennung
von privaten und geschäftlichen Daten
IT business 2/2015
für BYOD versprechen (z. B. Google for
Work). Dabei ist aber durch den Arbeitgeber zu beachten, wo sich die Rechenzentren der cloudbasierten BYOD-Lösung
befinden, und genau abzuklären, welche
Daten (nur geschäftliche oder doch allenfalls auch private) dem Anbieter schlussendlich übermittelt werden.
Als Bearbeiter von Personendaten kann
ein Arbeitgeber jede Datenbearbeitung
auch von einem Dritten vornehmen lassen. Solches Outsourcing von Datenbearbeitungen ist gang und gäbe. Dies ist
ohne Einwilligung der Betroffenen zulässig, solange dabei die Vorgaben von Art.
10a DSG eingehalten werden. Wichtig ist
aber Folgendes: Weiterhin verantwortlich
für die rechtmässige Datenbearbeitung
ist der Auftraggeber. Er hat sich zu versichern, dass der Dritte die Datensicherheit
gewährleistet und die Daten nur so bearbeitet werden, wie er es selbst tun dürfte.
Der entsprechende Outsourcing-Vertrag
hat also die Zweckmässigkeit der Datenbearbeitung ausdrücklich zu regeln.
Allfälliger Datentransfer
ins Ausland
Oft werden sich Anbieter solcher Lösungen nicht nur in der Schweiz befinden,
sondern ihren Firmensitz und, noch viel
ausschlaggebender, ihre Rechenzentren im
Ausland haben. Damit kommt es bei der
Benutzung eines solchen Dienstes zu einer sogenannten Bekanntgabe von Personendaten ins Ausland, welche nur unter den Voraussetzungen von Art. 6 DSG
zulässig ist.
Personendaten dürfen nur dann ins Ausland bekannt gegeben werden, wenn das
Zielland eine Gesetzgebung ausweist, die
einen angemessenen Datenschutz ge-
währleistet. Der EDÖB führt eine Liste
von Staaten, deren Datenschutz diesen
Anforderungen genügt. Betreffend eine
allfällige Datenbekanntgabe in die USA ist
zu beachten, dass eine Datenbekanntgabe
nur dann zulässig ist, wenn der Datenempfänger im Rahmen des sog. Safe-Harbor-Programms entsprechend zertifiziert
ist.
Ist das Zielland nicht auf der Liste des
EDÖB aufgeführt oder der Datenempfänger nicht entsprechend zertifiziert, ist
eine Datenbekanntgabe nur noch zulässig, wenn ein Datenschutzvertrag besteht,
der den Datenschutz explizit regelt. Da bei
den meisten Anbietern wohl nicht Individualverträge ausgehandelt werden, sondern die AGB resp. EULA des Anbieters
akzeptiert werden müssen, scheidet diese
Lösung aus. Ebenso ist die Einwilligung
des Betroffenen nicht erfolgversprechend,
da diese wiederum im Einzelfall erteilt und
eingeholt werden müsste. Eine solche Lösung ist damit nicht praktikabel.
Fazit
Wer BYOD einsetzen oder seinen Mitarbeitern den Einsatz von BYOD erlauben will, hat sich über die Erstellung eines
entsprechenden Reglements abzusichern.
Wer sich zusätzlich für eine cloudbasierte
BYOD-Lösung entscheidet, hat abzuklären, welche Daten genau durch den Anbieter letztendlich bearbeitet werden und
wo die Bearbeitung dieser Daten stattfinden wird. Der Auftraggeber der Datenbearbeitung hat letztendlich die datenschutzrechtliche Verantwortung des
«Bring Your Own Device» in der Cloud
zu tragen.
■
37