RECHT Bring Your Own «Cloud» – Besonderheiten bei BYOD und Cloud-Services RA Anselm Filliger Mit Aufkommen des Smartphones ist der Einsatz von privaten elektronischen Datenverarbeitungsgeräten im Geschäfts- und Arbeitsumfeld alltäglich geworden; und zwar so alltäglich, dass dafür ein bekanntes Akronym besteht: BYOD (Bring Your Own Device). D er Einsatz von privaten Geräten der Arbeitnehmer für die geschäftliche Nutzung birgt rechtliche Tücken. Eine Komplexitätssteigerung erfahren diese Fallstricke, wenn sich ein Arbeitgeber für eine cloudbasierte BYOD-Lösung entscheidet. Der folgende Artikel zeigt kurz auf, welche grundlegenden Schritte ein Arbeitgeber zu ergreifen hat und über welche Aspekte er sich vor der Verwendung einer (cloudbasierten) BYOD-Lösung Klarheit zu verschaffen hat. Kein Anspruch auf BYOD Weder der Arbeitgeber noch der Arbeitnehmer haben (per Gesetz) einen Anspruch darauf, dass private Geräte für geschäftliche Zwecke genutzt werden können resp. sollen. Da dem Arbeitgeber das Weisungsrecht zusteht (Art. 321d OR), darf gegen den Willen des Arbeitgebers kein privates Gerät für geschäftliche Zwecke genutzt werden – um Missverständnisse zu vermeiden, ist hier ausschlaggebend, dass der Arbeitgeber einen solchen Willen aber auch kundtut. Will hingegen der Arbeitgeber den geschäftlichen Einsatz von privaten Geräten anordnen, kann er sich dabei nicht auf einen gesetzlichen Anspruch stützen. Gemäss Art. 327 OR hat der Arbeitgeber seine Arbeitnehmer mit den Geräten auszustatten, die diese zur Arbeit benötigen. 36 Die Einwilligung des Arbeitnehmers Besteht kein Anspruch auf den Einsatz von BYOD, so ist hier zwischen den Parteien ein Konsens zu finden. Es bedarf also der Freiwilligkeit und eines übereinstimmenden Willens des Arbeitnehmers und Arbeitgebers zum Gebrauch privater Geräte für geschäftliche Zwecke. Die Trennung der Sphären Jeder Arbeitgeber ist immer auch ein Bearbeiter von Personendaten. Er zahlt Lohn an eine bestimmte Person aus, er führt und bewahrt die Personaldossiers, wodurch er sogar zu einem Inhaber einer Datensammlung wird. Wer Personendaten bearbeitet, hat die Bestimmungen des Datenschutzgesetzes zu beachten. Die Bestimmungen und Vorgaben des Datenschutzgesetzes werden bezüglich Arbeitsverhältnisse durch Art. 328b OR konkretisiert: Der Arbeitgeber darf Daten des Arbeitnehmers nur dann bearbeiten, soweit es die Eignung für das entsprechende Arbeitsverhältnis betrifft (insb. Bewerbungsphase), oder wenn diese Bearbeitung zur Durchführung des Arbeitsvertrages notwendig ist. Ohne Arbeitsplatzbezug ist somit eine Datenbearbeitung unzulässig. Ausserdem hat der Arbeitgeber gemäss Art. 328 OR die Persönlichkeit des Arbeitnehmers zu achten und zu schützen und zum Schutz der persönlichen Integrität des Arbeitnehmers angemessene Massnahmen zu treffen. IT business 2/2015 RECHT Dies hat zur Folge, dass eine klare Trennung der privaten und der geschäftlichen Sphäre bei der Benutzung von BYOD zu beachten ist. Denn jede Datenbearbeitung durch den Arbeitgeber bezüglich privater Daten auf den privaten Geräten ist nicht durch Art. 328b OR gedeckt. Eine solche Bearbeitung wäre nur dann gerechtfertigt, wenn ein überwiegendes privates oder öffentliches Interesse vorliegen würde, oder die Einwilligung des Mitarbeitenden im Einzelfall gegeben ist. Handlungsempfehlung: Erstellung eines Reglements Da die Einwilligung im Einzelfall nur sehr schwer, langsam oder verspätet eingeholt werden kann, ist dies keine zielführende Option. Will also ein Arbeitgeber seinen Mitarbeitern die Möglichkeit offen lassen, ihre privaten Geräte für geschäftliche Zwecke zu nutzen, oder beabsichtigt er selber, die Nutzung von privaten Geräten zu forcieren oder gar anzuordnen, ist dringend ein Reglement zu erstellen, das den Umgang mit BYOD und insbesondere die Trennung von geschäftlichen und privaten Daten regelt. Besonderheiten einer cloudbasierten BYOD-Lösung Die Trennung der privaten und geschäft lichen Sphäre kann nicht nur mit einem Reglement geregelt werden, sondern es kann auch versucht werden, mittels technischer Hilfsmittel eine tatsächliche Trennung von persönlichen und geschäftlichen Daten zu vollziehen. So gibt es Anbieter, die Apps zur Verfügung stellen, die eine klare Trennung von privaten und geschäftlichen Daten IT business 2/2015 für BYOD versprechen (z. B. Google for Work). Dabei ist aber durch den Arbeitgeber zu beachten, wo sich die Rechenzentren der cloudbasierten BYOD-Lösung befinden, und genau abzuklären, welche Daten (nur geschäftliche oder doch allenfalls auch private) dem Anbieter schlussendlich übermittelt werden. Als Bearbeiter von Personendaten kann ein Arbeitgeber jede Datenbearbeitung auch von einem Dritten vornehmen lassen. Solches Outsourcing von Datenbearbeitungen ist gang und gäbe. Dies ist ohne Einwilligung der Betroffenen zulässig, solange dabei die Vorgaben von Art. 10a DSG eingehalten werden. Wichtig ist aber Folgendes: Weiterhin verantwortlich für die rechtmässige Datenbearbeitung ist der Auftraggeber. Er hat sich zu versichern, dass der Dritte die Datensicherheit gewährleistet und die Daten nur so bearbeitet werden, wie er es selbst tun dürfte. Der entsprechende Outsourcing-Vertrag hat also die Zweckmässigkeit der Datenbearbeitung ausdrücklich zu regeln. Allfälliger Datentransfer ins Ausland Oft werden sich Anbieter solcher Lösungen nicht nur in der Schweiz befinden, sondern ihren Firmensitz und, noch viel ausschlaggebender, ihre Rechenzentren im Ausland haben. Damit kommt es bei der Benutzung eines solchen Dienstes zu einer sogenannten Bekanntgabe von Personendaten ins Ausland, welche nur unter den Voraussetzungen von Art. 6 DSG zulässig ist. Personendaten dürfen nur dann ins Ausland bekannt gegeben werden, wenn das Zielland eine Gesetzgebung ausweist, die einen angemessenen Datenschutz ge- währleistet. Der EDÖB führt eine Liste von Staaten, deren Datenschutz diesen Anforderungen genügt. Betreffend eine allfällige Datenbekanntgabe in die USA ist zu beachten, dass eine Datenbekanntgabe nur dann zulässig ist, wenn der Datenempfänger im Rahmen des sog. Safe-Harbor-Programms entsprechend zertifiziert ist. Ist das Zielland nicht auf der Liste des EDÖB aufgeführt oder der Datenempfänger nicht entsprechend zertifiziert, ist eine Datenbekanntgabe nur noch zulässig, wenn ein Datenschutzvertrag besteht, der den Datenschutz explizit regelt. Da bei den meisten Anbietern wohl nicht Individualverträge ausgehandelt werden, sondern die AGB resp. EULA des Anbieters akzeptiert werden müssen, scheidet diese Lösung aus. Ebenso ist die Einwilligung des Betroffenen nicht erfolgversprechend, da diese wiederum im Einzelfall erteilt und eingeholt werden müsste. Eine solche Lösung ist damit nicht praktikabel. Fazit Wer BYOD einsetzen oder seinen Mitarbeitern den Einsatz von BYOD erlauben will, hat sich über die Erstellung eines entsprechenden Reglements abzusichern. Wer sich zusätzlich für eine cloudbasierte BYOD-Lösung entscheidet, hat abzuklären, welche Daten genau durch den Anbieter letztendlich bearbeitet werden und wo die Bearbeitung dieser Daten stattfinden wird. Der Auftraggeber der Datenbearbeitung hat letztendlich die datenschutzrechtliche Verantwortung des «Bring Your Own Device» in der Cloud zu tragen. ■ 37
© Copyright 2024 ExpyDoc