„bring your own device“ – rechtsgrundlagen für die
TRANSCRIPT
„Bring your own device“ –
Rechtsgrundlagen für die Verwendung
privater IT-Geräte der Arbeitnehmerinnen
Diplomarbeit
zur Erlangung des Grades einer Magistra der
Rechtswissenschaften an der Rechtswissenschaftlichen
Fakultät der Leopold-Franzens-Universität Innsbruck
eingereicht bei:
Univ.-Prof. Dr. Gert-Peter Reissner
Institut für Arbeits- und Sozialrecht,
Wohn- und Immobilienrecht und Rechtsinformatik
von
Karin Bolai Tien
Innsbruck, Oktober 2015
Eidesstattliche Erklärung
Ich erkläre ehrenwörtlich, dass ich die vorliegende Arbeit
selbstständig und ohne fremde Hilfe verfasst, andere als die
angegebenen Quellen nicht verwendet und die den benützten
Quellen wörtlich oder inhaltlich entnommenen Stellen als
solche kenntlich gemacht habe.
……………………………………………………………………….
Innsbruck, am 31.10.2015
III
Vorwort
Das Zusammenwirken von Recht, Technik und Informationssicherheit stellt die
Arbeitswelt vor Herausforderungen, die das Verhältnis von Arbeitgeberinnen und
Arbeitnehmerinnen beeinflusst.
Die Arbeitgeberin kann das Arbeiten im Internet und mit betrieblicher Hardware auch
für private Zwecke erlauben. In manchen Fällen, wie in dieser Arbeit behandelt, werden die
Arbeitsmittel von den Arbeitnehmerinnen selbst mitgebracht und eingesetzt. Mit der
Verwendung eigener Privatgeräte am Arbeitsplatz, wird der Arbeitgeberin die Pflicht
auferlegt, die Unternehmensdaten zu schützen. Gleichzeitig bietet sich in diesem
Zusammenhang eine Kontrollmöglichkeit für die Arbeitgeberin. Durch die privaten Geräte
am Arbeitsplatz hat sie Einsicht in die Daten der Arbeitnehmerinnen, die sich auf dem
Privatgerät befinden.
Auch besteht die Schwierigkeit darin, ein Gerät, welches für private Einsatzgebiete
produziert wurde, an die Sicherheitsanforderungen des Datenschutzes in einem Betrieb
anzupassen. Werden Vorkehrungen nicht getroffen, kann das private mobile Gerät eine
Sicherheitslücke darstellen. Mobile Geräte werden verwendet, da diese ortsunabhängig
einsetzbar und gleichzeitig Knotenpunkt für mehrere Funktionen sind. Demnach wird der
klassische Rechnerarbeitsplatz mit kontrollierten Web- und Datenzugang oft ergänzt oder
vollständig abgelöst von einer Reihe mobiler Geräte. Der Trend zu einem dezentralen
Arbeitsplatz nimmt zu. In diesem Zusammenhang taucht das Schlagwort „Bring your own
device“ mit Datensicherheit, Unternehmenskultur und IT-Architektur auf.
Diese Arbeit soll einen Überblick über die rechtlichen Rahmenbedingungen bieten,
die dieses Phänomen begleiten. Auch für die Zukunft hat sich die gezeigt, dass die Nutzung
von technischen Hilfsmitteln, die im Eigentum der Arbeitnehmerinnen stehen, keinesfalls
bei den leicht erkennbaren Tablets, Smartphones und Zwischengrößen aller Art stehen
bleiben wird. Die Abgrenzung zwischen Privaten- und Unternehmensdaten wird
schwieriger. Der Umgang in einem Unternehmen mit „Bring your own device“ hat
bedeutsame Auswirkungen auf das Arbeitsrecht und das Datenschutzrecht.
IV
Hinweis
Zur Verbesserung der Textstruktur wird die eingeschlechtliche Bezeichnung
verwendet, somit sind alle Personen- und Funktionsbezeichnungen, die in dieser Arbeit in
der weiblichen Form verwendet werden, sinngemäß auch in der männlichen Form gemeint.
V
Inhaltsverzeichnis
Vorwort....................................................................................... III
Inhaltsverzeichnis ..................................................................... V
Abkürzungsverzeichnis .......................................................... VII
I. Einleitung ............................................................................. 1
1. Technische Entwicklung der mobilen Endgeräte .......................... 1
2. Problemstellung ................................................................................ 6
II. Arbeitsrechtliche Rahmenbedingungen ............................ 9
1. Rechtsgrundlagen für die Einbringung mobiler Geräte ................ 9
1.1. Inhalte von Nutzungsvereinbarungen im weiteren Sinne .........................12
1.1.1. Abgrenzung dienstliche oder private Daten .................................................. 13
1.1.2. Unterscheidung dienstliche oder private Nutzung ........................................ 14
1.2. Inhalte von Nutzungsvereinbarungen im engeren Sinne .........................15
1.2.1. Art und Umfang des Zugriffsrechtes ............................................................. 16
1.2.2. Kostentragung für Hardware, Software, Netzzugang ................................... 22
1.3. Beendigung der Nutzung mobiler Geräte ................................................23
1.3.1. Auflösung der Nutzungsvereinbarung ........................................................... 23
1.3.2. Verstoß gegen Nutzungsvereinbarung ......................................................... 25
1.3.3. Rechtsfolgen unzulässiger Nutzung ............................................................. 26
2. Schutzvorschriften für den Einsatz ............................................... 28
2.1. Bildschirm- und Büroarbeitsplätze ...........................................................28
2.2. Anforderung an mobile Bildschirmarbeit ..................................................29
3. Haftung und Schadenersatz .......................................................... 30
3.1. Beschädigung der AN-Geräte .................................................................31
3.1.1. Sonderfall: Fernlöschung ohne Begründung ................................................ 32
3.2. Schadensfälle durch die AN-Geräte ........................................................33
3.3. Haftung bei Schäden an Dritten ..............................................................36
4. Datensicherheit als AN-Pflicht ....................................................... 37
4.1. Verwahrung und Meldepflicht bei Verlust ................................................37
4.2. Vertraglicher Schutz der Daten insbesondere Geheimnisschutz .............37
4.3. Technische und organisatorische Schutzmaßnahmen ............................42
VI
5. Kontrolle der AN durch den Einsatz der mobilen Geräte ............ 43
5.1. Überwachung und Kontrolle des mobilen Endgerätes ............................45
5.1.1. Individualrechtliche Schranken ..................................................................... 45
5.1.1.1. Persönlichkeitsrecht und Menschenwürde ............................................ 46
5.1.1.2. Rechtfertigung einer Überwachung des mobilen Endgerätes ............... 47
5.1.2. Kollektivrechtliche Schranken ....................................................................... 50
5.1.2.1. Notwendige Mitbestimmung des BR ...................................................... 52
5.1.2.2. Einführung von Kontrollmaßnahmen ..................................................... 54
III. Datenschutzrechtliche Rahmenbedingungen ................. 57
1. Begriffsbestimmungen ................................................................... 57
1.1. Grundrecht auf Datenschutz ...................................................................61
1.1.1. Prinzipien des Datenschutzrechts ................................................................. 63
1.2. ArbeitnehmerInnendatenschutz ...............................................................64
1.2.1. Rechte der Betroffenen ................................................................................. 65
1.2.1.1. Widerspruchsrecht ................................................................................. 66
1.2.1.2. Auskunftsrechte ..................................................................................... 66
1.2.1.3. Recht auf Richtigstellung oder Löschung .............................................. 67
IV. Resümee .......................................................................... 68
V. Literaturverzeichnis ....................................................... 71
VI. Online Quellen ................................................................ 83
VII
Abkürzungsverzeichnis
ABGB Allgemeines Bürgerliches Gesetzbuch
Abs Absatz
AG Arbeitgeber(In)
AK Arbeiterkammer
AktG Aktiengesetz
AN Arbeitnehmer(In)
AngG Angestelltengesetz
Anwbl Österreichisches Anwaltsblatt
APK Android application package
App Application
ArbVG Arbeitsverfassungsgesetz
Art Artikel
ASchG ArbeitnehmerInnenschutzgesetz
ASG Arbeits- und Sozialgericht
AV Arbeitsvertrag
AVRAG Arbeitsvertragsrechts-Anpassungsgesetz
AZG Arbeitszeitgesetz
Bd Band
BGBl Bundesgesetzblatt
BR Betriebsrat
bspw beispielsweise
BS-V Bildschirmarbeitsverordnung
BWG Bundesgesetz über das Bankwesen
BYOD Bring your own device
bzgl bezüglich
bzw beziehungsweise
C’t Magazin für Computertechnik
Dako Datenschutz konkret
dBKA Deutsches Bundeskriminalamt
DHG Dienstnehmerhaftpflichtgesetz
DRdA Das Recht der Arbeit
dRdA (deutsche) Recht der Arbeit
8
DSG Datenschutzgesetz BGBl I Nr. 165/1999
DSK Datenschutzkommission
ecolex Fachzeitschrift für Wirtschaftsrecht
E-Government electronic government
E-Mail Elektronische Post
EMRK Europäische Menschenrechtskonvention
ENISA European Union Agency for Network and Information
Security
EuGH Europäische Gerichtshof
EWG Europäische Wirtschaftsraum
gem gemäß
GewO Gewerbeordnung 1859
GmbHG Gesetz über Gesellschaften mit beschränkter Haftung
GPS global positioning system
HDMI High Definition Multimedia Interface
HMD Praxis der Wirtschaftsinformatik
Hrsg Herausgeber
iDPLA iPhone/iPad Developer Program License Agreement
IKT Informations- und Kommunikationstechnik
Inc. Corporation
infas Informationen aus Arbeits- und Sozialrecht
iOS Betriebssoftware von Apple
IoT Internet of the things
iSd Im Sinne der/des
IT Informationstechnik
iVm Verbindung mit
iwS Im weiteren Sinne
JB Jahrbuch
JBl Juristische Blätter
JSt Journal für Strafrecht
KI Kriminalistisches Institut
lit Buchstabe
LStR Lohnsteuerrichtlinien
LTE Long Term Evolution
M2M Machine to machine
mA meiner Ansicht
MDM Mobile Device Management
9
mE meines Erachtens
mMn meiner Meinung nach
MR Medien und Recht
NFC Near Field Communication
Ob Aktenzeichen des Obersten Gerichtshofes
für Zivilsachen
ObA Aktenzeichen des Obersten Gerichtshofes
für Arbeitsrechtssachen
ÖBB Österreichische Bundesbahn
ObS
Aktenzeichen des Obersten Gerichtshofes
für Sozialrechtssachen
OGH Oberster Gerichtshof
ÖJZ Österreichische Juristen Zeitung
OLG Oberlandesgericht
OS Operating System
OTA Over-the-air
PC Personal computer
PDA Personal digital assistent
PIN Persönliche Identifikationsnummer
QR Quick Response
RdW Recht der Wirtschaft
REM Recht der elektronischen Massenmedien
RFID radio-frequency identification
RL Richtlinie
Rsp Rechtsprechung
RTR Aufsichts- und Schlichtungsstelle für den österreichischen
Rundfunk- und Telekommunikationsmarkt
Rz Randzahl
SCADA Supervisory Control and Data Acquisition
StGB Strafgesetzbuch
StGG Staatsgrundgesetz
TAN Transaktionsnummer
UGB Unternehmensgesetzbuch
uo und oder
usw und so weiter
UWG Bundesgesetz gegen den unlauteren Wettbewerb
VO Verordnung
10
vv vice versa
wbl Wirtschaftsrechtliche Blätter
WLAN Wireless Local Area Network
WPBI Wirtschaftspolitische Blätter
WuM Wirtschaftsinformatik und Management
Z Ziffer
ZAS Zeitschrift für Arbeits- und Sozialrecht
zB Zum Beispiel
ZIIR Zeitschrift für Informationsrecht
ZPO Zivilprozessordnung
1
I. Einleitung
1. Technische Entwicklung der mobilen Endgeräte
Die Entwicklung der Smartphones begann bereits 1973, damals noch bezeichnet als
Mobiltelefon. Die Telekommunikationsindustrie unterlag einer rasanten Entwicklung,
insbesondere durch den Elektroingenieur Dr. Martin Lawrence Cooper und
Industriedesigner Rudy Krolopp, beide zu dieser Zeit tätig für die Firma Motorola
Corporation. Ihre Entwicklung war der erste Protoyp eines klassischen Mobiltelefons,
namens DynaTAC 8000X1. Weiter schritt der Prozess 1994 voran, da eine innovative
Integration einer kapazitiven Benutzerinnenoberfläche entwickelt wurde. Die Neuheit
BellSouth2 „Simon Personal Communicator“, kreiert von International Business Machines
Corporation IBM und hergestellt durch Mitsubishi Electric Corporation, konnte mit dieser
durch Berühren am Bildschirm Informationen verarbeiten.
Rund vierunddreißig Jahre nach DynaTAC am 9.1.2007 wurde das erste Smartphone
des Unternehmens Apple Inc., unter der Produktbezeichnung „iPhone“, der
Weltöffentlichkeit vorgestellt. Das „iPhone“ hatte ein ansprechendes Design und ein
anwenderinnenfreundliches Betriebssystem mit dem Bezeichnung „iOS“. Ab diesem
Meilenstein der Geschichte der Smartphones wurde das Kommunikationsgerät zu einem
Allzweckwerkzeug. Heute integriert es im Gebrauchsalltag bereits Kamera,
Tonaufnahmegerät, Navigationsgerät, MP3-Player, Wecker, Spielkonsolen und sogar die
Taschenlampe. Die Kernaufgabe der Telefonie und Nachrichtenübertragung wird mit jedem
voranschreitenden Jahr intuitiver und der Schwerpunkt weiter auf E-Mail- und Instant-
Messaging-Dienste3 gesetzt. Neben der Vervielfältigung der Funktionen von Smartphones
wurde in den letzten Jahren ein breites Angebot am Markt an Herstellerinnen und
Betriebssystemen bemerkbar. Deshalb ist die Bandbreite, an verwendeten Marken und
Updateversionen, fragmentiert. Eine einfache Auswahl, nur eines Modells als Firmenhandy,
kann durch das große Angebot selten allen Präferenzen der Arbeiterinnen genügen.
1 Motorola Inc., Communications Divison Motorola Annual Report 1973, http://www.motorolasolutions.com/content/dam/msi/docs/en-xw/static_files/1973_Motorola_Annual_Report.pdf
(17.8.2015). 2 International Business Machines Corporation, Simon User Manuals, http://research.microsoft.com/en-us/um/people/bibuxton/buxtoncollection/a/pdf/Simon%20User%20Manuals.pdf (17.8.2015). 3 Dazu näher Rundfunk und Telekom Regulierungs-GmbH, Kommunikationsbericht 2014, http://www.parlament.gv.at/PAKT/VHG/XXV/III/III_00194/imfname_437412.pdf (17.8.2015).
2
Eingesetzt werden die Smartphones im Unternehmensumfeld, um Mitarbeiterinnen
es zu ermöglichen, abseits vom Festnetztelefon oder stationären „Voice over IP“ Systemen,
in Kontakt zu Kundinnen oder Arbeitskolleginnen zu treten. Sie können auch Termine und
Aufgaben am Gerät ersichtlich machen, sowie Zugriffe auf Datensätze durchführen.
Vorrangig befand sich das Firmenhandy im Eigentum der Arbeitgeberin. Die Überlassung
von Dienstgeräten, auch zum Einsatz im Privatleben, wurde über Nutzungsvereinbarungen
geregelt.
Neben einer neuen Generation an Hardware und Betriebssystemen, ist auch die
Weiterentwicklung der Anwendungssoftware, eine Herausforderung für die Datensicherheit
geworden. Diese Software, auch genannt „Mobile Application“ (Kurzform: Apps), dient dazu
Anwendungen auf den mobilen Gerät auszuführen. Diese Apps werden auf
Internetplattformen, meist durch die Betriebssystemherstellerinnen, vertrieben. In
angebotenen Online-Stores haben Besitzerinnen eines Smartphones die Möglichkeit diese
Programme zu beziehen und sich infolgedessen diese über einen Installationsvorgang
verwendungsbereit zur Verfügung zu stellen. Die Plattformbetreiberinnen, wie
beispielsweise Apple Inc. mit „App Store“, regeln mit firmeneigenen Vorgaben die
Entwicklung einer App. Diese "iPhone/iPad Developer Program License Agreement", auch
abgekürzt als iDPLA4, legen Bedingungen festgelegt, die die kostenpflichtige Registrierung
von Entwicklerinnen, Lizenzrechte, Urheberrechte und Datenschutzbestimmungen
betreffen. Auch Google Inc. mit „Google Play“ hat Bestimmungen5 für die Entwicklung von
Android-Apps und legt damit auch Voraussetzungen für Design, Cloud und Backup
Dienstleistungen fest.
Plattformbetreiberinnen legen demnach den Grundbaustein für die benötigte
Datensicherheit bei eingesetzten Apps. Sicherheitslücken6, in Bezug auf
Identitätsfeststellung der Entwicklerinnen, gefälschte Bewertungen der Apps für ein
besseres Ranking und unzureichende Kontrollen, können trotz Kontrolle der
Plattformbetreiberinnen entstehen.
4 Apple Inc., iPhone/iPad Developer Program License Agreement, https://developer.apple.com/programs/terms/ios/standard/ios_program_standard_agreement_20140909.pdf (18.8.2015). 5 Google Inc., Legal Notice, http://developer.android.com/legal.html (18.8.2015). 6 Dazu näher European Union Agency for Network and Information Security (ENISA), Appstore security: 5 lines of defence against malware, http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/appstore-security-5-lines-of-defence-against-malware/at_download/fullReport (18.8.2015).
3
Eine weitere Möglichkeit Apps zur Verfügung zu stellen, ist der Vertrieb ohne die
klassische Bereitstellung oder eines separaten Verteilungskanals in den Online-Stores.
Hierzu werden die programmierten Dateien, wie im Fall für Androidsysteme als „Android
application package“ (APK) Format oder für iOS als „iPhone application archive“ (IAP),
weiter gegeben. Firmenintern7 können ausgewählte Apps an eine gesonderte
Personengruppe zur Verfügung gestellt werden oder die Verteilung über den Firmenserver
an sämtliche Mitarbeiterinnen erfolgen.
Zu unterscheiden ist, neben den Verteilungsansätzen der Apps, auch deren
Entwicklerumgebung. Bei der bereits angeführten Option der Verbreitung von Apps, über
die Online-Stores oder der internen Verteilung, handelt es sich um eine „Native App“ oder
„Hybrid App“. Beide unterscheiden sich darin, wie weit das Programm der App, das
Betriebssystem miteinbinden kann, damit sind Funktionen des Gerätes gemeint, auf die die
App Zugriff haben kann oder nicht.8 Bei der „Hybrid App“ wird ein nativer Rahmen9
geschaffen, in dem schlussendlich die programmierte „Web-App“ ihrer Funktionen einen
7 Plattformen zur firmeninternen Verteilung von Apps werden auch als Enterprise App-Stores bezeichnet. 8 Funktionen, wie bspw Push-Benachrichtigungen oder das Scannen von QR-Codes. 9 Der native Rahmen lädt im Hintergrund eine webbasierte Anwendung, nutzt die Funktionen des mobilen Gerätes und leitet Informationen weiter.
Abbildung 1: Mobile Kommunikation mit Einbindung privater Smartphones
4
Handlungsspielraum verleiht. Auch für sich alleine kann die dritte Variante, eine sogenannte
„Web-App“, mit Zugriff über das Internet entwickelt werden. Diese kann vollständig
unabhängig zum Betriebssystem im Browser aufgerufen werden. Nachteil einer „Web-App“
ist die benötigte Internetkonnektivität und der eingeschränkte Zugang zu Funktionen des
Gerätes. Zur Ergänzung sei an dieser Stelle noch die „Multi-Channel-Apps“ erwähnt. Diese
können von jedem mobilen und stationären Gerät abgerufen werden und sind unabhängig
vom verwendeten Betriebssystem.
Demnach ist das hervorstechende Kennzeichen, in der Unterscheidung der App
Formate10, der volle oder teilweise Zugriff auf die Funktionen der Smartphones, um Hard-
oder Softwarekomponenten nutzen zu können. Je flexibler ihre Unabhängigkeit zum
eingesetzten Betriebssystem, desto mehr Anwenderinnen können sie nutzen. Es ist für
Arbeitgeberinnen wichtig zu erfahren, welches Betriebssystem eingesetzt wird, da bereits
die Plattformbetreiberinnen unterschiedliche Sicherheitsanforderungen haben, um Apps
zur Verteilung zuzulassen. Jedes Betriebssystem erfordert eigene Softwareentwicklung
und zugeschnittene Sicherheitsstandards. Die AG kann sich dazu entscheiden ihre Firmen-
Apps selbst zu verteilen oder dies einer Plattformbetreiberin zu überlassen.
Eine Geräteverwaltung kann über Programme erfolgen, die Inhalte auf dem Gerät
kontrollieren können.11 Das „Mobile Device Management“ (MDM) gleicht einem virtuellen
Kontrollzentrum, das von Fernlöschung über Remote-Zugriff das gesamte Gerät steuern
kann. Somit kann eine MDM-Lösung12 eine einheitliche Regelung von
Unternehmensrichtlinien gestalten und durchsetzen. Mitunter ist es über diese
Kontrollfunktion möglich, sowohl die Arten der Verbindung, wie WLAN oder Bluetooth eines
mobilen Endgerätes einzusehen und diese zu stoppen. Die Kamerafunktion kann ebenso
aktiviert oder deaktiviert und die Nutzung von bestimmten Apps eingestellt werden. Wenn
die Wahl auf den vollständigen Zugriff des Gerätes fällt, ist es schwierig persönliche Daten
der AN zu isolieren.
Die Arbeitgeberin kann entweder den Zugriff auf das gesamte Gerät verlangen oder
den Datenaustausch durch eine „Container“ Strategie lenken. Bei einer Container Lösung
wird ein virtueller verschlüsselter Bereich geschaffen, der private und unternehmensinterne
10 Martens/Hein, Daten wachsen Beine: Auswahlkriterien für mobile BI-Apps, CFO aktuell 2014, 34 (35). 11 Weitere mögliche Aufgaben von MDM: Verschlüsselungen von Nachrichten, Softwareverteilung organisieren, verwendete Geräte listen und Containerlösungen beaufsichtigen. 12 Kreuzhuber/Teufl/Zefferer, Sicherheitsanalyse mobiler Plattformen Version 1.0 vom 22.4.2014,
http://www.a-sit.at/pdfs/Technologiebeobachtung/studie_sicherheitsanalyse_mobile_plattformen_v1.0.pdf (21.8.2015).
5
Daten trennt. Meist wird in diesem abgeschotteten Umfeld die Firmen-Apps zur Verfügung
gestellt.13 Bei einem separaten abgeschotteten Datenbereich des Unternehmens
vereinfacht sich die Kontrolle über unternehmenssensiblen Dateien und die Durchsetzung
von Datenschutzrichtlinien.
Klassische mobile Geräte, wie Smartphones, Tablets, werden bereits heute ergänzt,
durch am Körper getragene technische Hilfsmittel. Beispielsweise Uhren14, sogenannte
„Smartwatches“, die mit Smartphones verbunden sind, verfügen über einen Bildschirm und
können auch Nachrichten empfangen.15 Oft werden durch Sportmessgeräte (bspw
Fitnesstracker), die sich mit den mobilen Geräten synchronisieren, Gesundheitsdaten
erstellt. Ebenso sind bereits in vielen alltäglichen Gegenständen16 Messgeräte
eingearbeitet werden, die Daten aufzeichnen und auswerten.
Die Vernetzung zwischen mobilen und auch stationären Geräten wird mit „Internet of
the Things“ und der Kommunikation von „Machine-to-Machine“ voranschreiten.17 Durch den
Einsatz der mobilen Geräte und technische Hilfsmittel am Arbeitsplatz wird das Recht auf
Geheimhaltung personenbezogener Daten in der Arbeitswelt berühren.
13 Teufl/Zefferer, Bedrohungsanalyse und Sicherheitsanforderungen für M-Government Applikationen Angriffspotentiale und Schutzfunktionen, Version 2.0 vom 1.7.2011, https://online.tugraz.at/tug_online/voe_main2.getvolltext?pCurrPk=58566 (21.8.2015). 14 Lehner/Grabmann/Ennsgraber, Crowdfunding - Innovationsmotor oder Irrweg? Auswirkungen auf
Geschäftsmodelle junger Unternehmen, CFO aktuell 2015, 156 (158). 15 Problematisch für den Datenschutz, da ein PIN bspw nicht nur auf dem Smartphone, sondern auch auf der Uhr angezeigt wird. 16 zB Google Glass, textile Flächengebilde mit integrierten Messsensoren. 17 Burgstaller, Editorial IoT und M2M: Wo bleibt der Datenschutz und die Informationssicherheit? ZIIR 2015, 121 (121).
Abbildung 2: Trennung der Daten mit Containerlösungen
6
2. Problemstellung
Die Einbringung privater Gegenstände und deren Einsatz während der Arbeitszeit,
um beruflich notwendige Erledigungen zu erfüllen, ist im Arbeitsrecht keine Neuheit. Es
werden bereits beispielsweise Laptops18, Fahrzeuge19 und Arbeitskleidung20 von
Mitarbeiterinnen zur Verfügung gestellt. Bisher war der klassische Stand-PC, der
Firmenlaptop, das Firmenhandy für den Arbeitseinsatz allein ausgerichtet. Hingegen sind
private mobile Geräte nicht unbedingter Weise auf den Einsatz im Unternehmensumfeld
ausgelegt.
Die nächste Besonderheit gründet sich in der Eigentumsfrage. AN sind die
Eigentümerinnen der Geräte, sie wählten diese unter Anbetracht ihrer persönlichen
Präferenzen. Die Dispositionsfreiheit über die mobilen Geräte obliegt der AN. Privatgeräte
sind für den Privatkonsum hergestellt worden und bieten selten ausreichende
Schutzmechanismen für den Datenschutz betrieblicher Informationen. Somit ist der
Datenschutz ein zentrales Thema beim Einsatz privater Endgeräte.21
Diese Arbeit wird das Problem des Aufwandersatzes erörtern, inwieweit die AG
verpflichtet ist, Ausgaben für den Kauf und das Betreiben der Geräte zu ersetzen. Der
Kostenfaktor spielt eine bedeutende Rolle. Es fallen die Kosten der Anschaffung, Reparatur
und Wartung an. Die Entwicklungskosten für Sicherheitssysteme oder Software gegen
Schadprogramme müssen ebenso in die Kostenfrage miteinbezogen werden.22 Auch wird
darauf eingegangen, welche Regelungen für einen Schadensfall getroffen werden können.
Wann und wie die Nutzung überhaupt erlaubt und in welcher Form die Erlaubnis widerrufen
werden kann.
Die technischen Lösungen, wie bereits beschrieben, mit Vollzugriff oder
Containerlösung, bestimmen die Intensität der Eingriffe auf die Daten der Privatgeräte. Die
AG kann in einem Zulassungsverfahren festlegen, ob eine Unterscheidung, im Hinblick auf
Gerätespezifikationen, gemacht wird. Demnach welche aktuellen Versionen von
Betriebssystemen erlaubt werden und welche Geräte den unternehmenseigenen
18 Dazu näher Zankel, Bring your own device: Problemfelder der Übertragung von Arbeitgeberpflichten aus
der Sicht des Arbeits- und des Datenschutzrechts, ASoK 2013, 423 (423). 19 Dazu näher Gerhartl, Schäden am dienstnehmereigenen Kraftfahrzeug, ASoK 2013, 56 (59). 20 Dazu näher Mitschka/Steiner, Beistellungs- und Kostentragungspflicht für Arbeitskleidung, ZAS 2014/50, 304 (306). 21 Kohlbacher, Spielräume bei der Vertragsgestaltung, ZAS 2015/22, 136 (139). 22 Pollirer, Checkliste - Bring Your Own Device (BYOD), Dako 2014/17, 12 (13).
7
Standards23 genügen. Ihre Regelung kann auch die Frage klären, inwiefern es erheblich ist,
wenn es sich um eine modifizierte Betriebssystemvariante24 handelt.
Für Geräteinhaberinnen ist es von besonderem Interesse absehen zu können, welche
Datensicherheitsmaßnahmen getroffen werden müssen. Da eine Verletzung dieser
arbeitsvertragliche Konsequenzen nach sich ziehen können. Arbeitnehmerinnen haben
Schutzrechte, die ihnen bei schwerwiegender rechtswidriger Datenverwendung zur
Verfügung stehen.25 BYOD ist ein Balanceakt, zwischen einer Reglementierung, um Daten
der AG zu schützen und dennoch die Nutzbarkeit der Geräte im privaten Umfeld aufrecht
zu erhalten. Ein Mittel hierfür ist bspw die Verwendung von „White“- und „Blacklists“, diese
legen die Freigabe für die Nutzung bestimmter Apps fest.26 Arbeitnehmerinnen müssen für
sich entscheiden, in welchem Ausmaß sie sich den Regelungsinteresse der AG
unterwerfen.
Das mobile Endgerät kann Träger unternehmensrelevanter Daten sein. Diese gilt es
von internen und externen Angriffen zu schützen. Gleichzeitig darf diese
Vorsichtsmaßnahme keine generelle Ausnahme bilden, um ein Nährboden für
Kontrollmaßnahmen der AG gegenüber der AN darzustellen. Hier bekommt auch das
Kollektivrecht ein bedeutende Rolle zugeschrieben, da gegebenenfalls den Informations-
und Mitbestimmungsrechte des Betriebsrats Rechnung getragen werden muss.
Da Dispositionshandlungen über das Gerät nicht ohne Zustimmung der Eigentümerin
ergehen können, muss auch ein Austausch, Verkauf oder eine notwendige Entsorgung
ebenso Inhalt einer Nutzungsvereinbarung sein.27 Auch sind
Arbeitnehmerinnenschutzbestimmungen beim Einsatz von BYOD beachtenswert, die
Verantwortung über den Gesundheitsschutz von Bewegungsapparat und Sehkraft,
obliegen auch bei Nutzung privater Geräte der Arbeitgeberin.
Chancengerechtigkeit in den Zugangs- und Nutzungsmöglichkeiten von digitalen
Medien ist auch im Bereich der Hardware und Software ein relevantes Thema. Es ist wichtig
älteren Generationen an AN eine realistische Teilnahme zu ermöglichen. Auch Menschen
23 Bspw Prozessorleistung, Speicherkapazität, erforderliche Schnittstellen, Bildschirmauflösung. 24 Modifikationen des Betriebssystems können tiefergehende Einstellungen ermöglichen und Herstellerinnenrichtlinien umgehen, hier wird auf „jail-break“ für iOS und „Root“ für Android angesprochen. 25 Dohr/Pollirer/Weiss/Knyrim, Kommentar zum Datenschutzgesetz² (2014) § 33 ErläutRV (Stand: 7.7.2015, rdb.at). 26 „Black-“ und „Whitelist“ Protokolle sollen eine Anleitung sein, um anzugeben, welche Programme nicht installiert werden dürften und welche erlaubt sind. Fallweise das Verbot von bestimmten Apps, die Daten in Clouds automatisch speichern. 27 Walter/Dorschel, Mobile Device Management – rechtliche Fragen, WuM 2012/3, 22 (23).
8
mit Einschränkungen im Bewegungsapparat oder Sinnesbehinderung soll eine barrierefreie
Kommunikation28 gelingen dürfen.
Laut der Mobile Marketing Association29 durchgeführten Befragung setzen 62 % der
Österreicherinnen ihr Privathandy ausschließlich in ihrer Freizeit ein. Ein Drittel benutzt die
Geräte, während der geschäftlichen Tätigkeit und außerhalb der Arbeit. Nur mehr ein
Prozent setzt das Handy rein beruflich ein. Ist es erlaubt Apps auf den Firmenhandys zu
installieren, achten bereits knapp mehr als die Hälfte auf die Zugriffsrechte, die die Apps
verlangt. Auch reagieren Mitarbeiterinnen, bei einem zu großem Ausmaß an
Zugriffsrechten, mit einer Nichtinstallation darauf. Zwar besitzen 2015 noch nicht einmal
zehn Prozent eine „Smartwatch“, doch war einer der weiteren genannten Gründe, für die
Kaufentscheidung, die Einsetzbarkeit in der Arbeit.
Die Bewusstseinsbildung eines verantwortungsvollen Umgangs mit neuen Medien
und Geräten30 entwickelt sich je nach Alter, Erfahrung und technischen Möglichkeiten. Das
mobile Gerät wird zu einem allzeit einsetzbaren Werkzeug, das einerseits stark die Identität
der einzelnen Trägerinnen widerspiegelt, aber auch die AG einem Risiko aussetzt. Die
Geräte können durch die handliche Größe schneller verloren gehen. Mit dem
ortsunabhängigen Einsatz sind diese gefährdet zerstört oder gestohlen zu werden. Selbst
durch unsachgemäße Verwendung kann sogar die Betriebssoftware nachhaltig beschädigt
und das Gerät unbrauchbar werden. Ein Schaden durch einen Datenverlust ist nicht leicht
zu beziffern.31
Auf den ersten Blick steigt die Mitarbeiterinnenzufriedenheit, bei der freien Wahl ihrer
Geräte32, doch besteht die Schwierigkeit darin, Datensicherheit zu gewährleisten. Die
informationelle Selbstbestimmung33 kann durch die Weisungs- und
Kontrollunterworfenheit34 der AN gegenüber der AG auch im Arbeits- und Datenschutzrecht
nur schwer durchgesetzt werden.
28 Siehe Web Accessibility Initiative, Richtlinien für barrierefreie Webinhalte, http://www.w3.org/WAI/intro/wcag (16.10.2015). 29 Mobile Marketing Association, Mind Take Research GmbH Communications Report 2015, http://www.mmaaustria.at/html/img/pool/mobilecommunicationsreport2015.pdf (3.9.2015). 30 Ghazal, Schutz der Persönlichkeit im Internet, in Jaksch-Ratajczak (Hrsg), Aktuelle Rechtsfragen der Internetnutzung (2010) 43 (69). 31 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., Spezieller Datenschutz, 17. Arbeitnehmerdatenverarbeitung, D. Mobile IT-Geräte im Arbeitsumfeld, 3. IT-Geräte im Eigentum des Mitarbeiters Bring Your Own Device (Stand: 7.7.2015, rdb.at). 32 Dazu näher Bartz/Schmutzer, New World of Work, WPBI 2015/1, 163 (171). 33 Grabenwarter, Das Recht auf informationelle Selbstbestimmung im Europarecht und im Verfassungsrecht, AnwBl 2015, 404 (405). 34 Dazu näher Auer-Mayer, Die Grenze zwischen selbständiger und unselbständiger Tätigkeit aus sozialversicherungsrechtlicher Sicht dargestellt am Beispiel der IT-Branche, ZAS 2015/2, 4 (8).
9
II. Arbeitsrechtliche Rahmenbedingungen
1. Rechtsgrundlagen für die Einbringung mobiler Geräte
Unternehmerinnen setzen materielle und immaterielle Güter ein, um ihre
angebotenen Dienstleistungen oder Produkte am Markt anbieten zu können. Als Grundsatz
im Arbeitsrecht muss die AG zur Erbringung der Arbeitsleistung verpflichtend die
Arbeitsmittel bereitstellen.35
Unter mobilen IT-Geräten sind in der Arbeitswelt alle, für einen mobilen Einsatz
geeignete Geräte, zu verstehen, so etwa Notebooks, Personal Digital Assistants (PDAs),
Tablet-PCs und Smartphones. Der Begriff mobile IT-Geräte umfasst jene technischen
Vorrichtungen, die geeignet sind ortunabhängig eingesetzt zu werden. Vorrangig wurden in
dieser Form Laptops, Notebooks, Personal Digital Assistants, als tragbare Rechner
eingesetzt. Peripheriegeräte ergänzen mobile Geräte, diese sind entweder intern verbaut
oder extern verbunden. Die betriebliche Nutzung von mobilen Endgeräten wird durch
Smartphones, Tablet-PCs, Wearables verstärkt. Abhängig von Leistungsstärke und
erforderlichen Hardwarekomponenten können mobile Geräte Arbeitsschritte erleichtern
oder beschleunigen. Es muss unterschieden werden, zwischen einem aktiven Einsatz und
einer reinen passiven Datensammlung. Es existieren mobile Geräte, deren Hauptaufgabe
es ist, zum heutigen Standpunkt der Technik, entweder Gesundheitsdaten („Life Tracking“)
zu sammeln oder als Schlüsselfunktion, die Weiterleitung von Informationen und
Zugangsdaten (zB Mobile TANs auch auf die Smartwatch, Türöffner) zu ermöglichen. Im
Arbeitsumfeld ist dies beachtlich, da sich diese wiederum mit den Geräten, welche indirekt
verbunden sind zur AG, synchronisiert werden können.
Das Bereitstellen von Arbeitsmittel durch die AN kann vereinbart werden.36 Die
Grenze einer Bereitstellungspflicht zeigt sich in der unangemessenen Abwälzung des
wirtschaftlichen Risikos auf die AN. Ob nun Mitarbeiterinnen ihre privaten Mittel einsetzen,
ist kein zwingendes Indiz für eine Abgrenzung zu einem freien Dienstvertrag oder
Werkvertrag. Als Teil des Unternehmerinnenrisikos, ist es eine Auswahl der Arbeitsmittel
zu treffen, deren Eignung zu überprüfen und die Wartung zu gewährleisten. Ebenso obliegt
es der AG das Risiko des Untergangs des Arbeitsmittels zu tragen.37 Die Einsatz- und
35 Mit Ausnahmen bei einem freien Dienstvertrag oder Werkvertrag. 36 Rebhahn in Neumayr/Reissner (Hrsg), Kommentar zum Arbeitsrecht² (2011) § 1151 ABGB Rz 114. 37 Rebhahn in ZellKomm² § 1151 ABGB Rz 116.
10
Arbeitsbereitschaft einer AN wird nicht daran gekoppelt eigene Arbeitsmittel zur Verfügung
zu stellen. Es besteht keine Verpflichtung zB besondere Schutzkleidung oder technische
Vorrichtungen zur Erbringung der geschuldeten Arbeit mitzunehmen.
Bei der Einbringung privater mobiler Geräte in die Unternehmenssphäre können
diese einer Schädigung unterliegen. Ein Ersatzanspruch wird durch das
Schadenersatzrecht des Zivilrechts nach §§ 1293 ff ABGB38 geregelt sind. Fußend auf die
Erfordernis der Rechtswidrigkeit, sowie des Verschuldens, kann die Haftung nach § 1014
ABGB ebenso relevant werden. Da das Gerät eingesetzt wird, um eine Arbeitsleistung zu
erbringen, dabei im Sinne der AG in ihrem Interesse und zu ihrem Nutzen verwendet wird,
erhöht sich das Haftungsrisiko der AG. Voraussetzung hierfür, ist das Erreichen der
Erheblichkeitsschwelle, also ein regelmäßiger Einsatz, sowie ein Mehrwert für die AG, der
durch das eingesetzte Privateigentum entsteht.39 Die Risikohaftung nach § 1014 ABGB ist
abdingbar.40
Prinzipiell besteht kein Rechtsanspruch auf den Einsatz der privaten mobilen
Geräte.41 Liegt keine Regelung oder ausdrückliche Erlaubnis vor, kann sich beim Einsatz
der Geräte eine betriebliche Übung abzeichnen. Eine betriebliche Übung präsentiert sich in
der Arbeitswelt in einer vielseitigen Art und Weise. Sämtliche Vereinbarungen, die in einem
AV getroffen werden können, sind potentielle Regelungsinhalte, die durch eine betriebliche
Übung einen AV ergänzen können.42 Ohne Grund an der Vorgehensweise im Betrieb zu
zweifeln, wie beispielsweise die regelmäßige private Nutzung des Internets am Arbeitsplatz,
wird das von der AG geduldete Verhalten zu einem verbindlichen Bestandteil der
Einzelarbeitsverträge. Es verfestigt sich die Annahme einer betrieblichen Übung, wenn die
AG der Duldungshandlung, als weiteres Kriterium, auch billigend entgegen sieht.43 Das
Weisungsrecht, als Konkretisierung der übernommenen Pflichten, vermag keine
Verpflichtung der AN aufzuerlegen, ihr mobiles Privatgerät einzusetzen. Die Beistellpflicht
der AG, um benötigte Betriebsmittel am Arbeitsplatz verfügbar zu machen, obliegt nur ihr.
Somit kann das Einsetzen der privaten Mobilgeräte der AN keine Hauptleistung darstellen
oder durch eine Weisung erweitert werden. Primär ist die Orientierung des Umfangs, der
vereinbarten Leistung, durch einen Arbeitsvertrag festzulegen.44 Sollte dieser keinen
38 JGS 1811, 946. 39 Knallnig, Verwendung privater Arbeitsmittel des AN (insb Privatfahrzeug), in Reissner/Neumayr (Hrsg),
Zeller Handbuch Arbeitsvertrags-Klauseln (2010) Rz 32.11. 40 OGH 4.9.1996, 9 ObA 2136/96z, DRdA 1997/28, 273 (Kerschner) = ASoK 1997, 59. 41 Huger/Laimer, BYOD und Arbeitsrecht, ecolex 2014, 303 (305). 42 Vinzenz, Die betriebliche Übung, JAP 2012/2013/25, 266 (226). 43 Vinzenz, JAP 2012/2013/25, 227. 44 Reissner in Reissner (Hrsg), Kommentar Angestelltengesetz² (2015) § 6 Rz 5 ff.
11
Aufschluss darüber geben, wie mit der Zurverfügungstellung von Arbeitsmitteln zu
verfahren ist, wird auf die Ortsüblichkeit abgestellt (zB Programmiererinnen nehmen
vorzugsweise ihre eigene Tastatur mit). Die Angemessenheit wird ebenso als Maßstab
herangezogen, mit einer anschließenden Interessensabwägung.
Doch kann sich eine Pflicht zur Bereitstellung eigener Geräte in bestimmten Fällen
ergeben. Diese Beistandspflicht wird abgeleitet aus der Treuepflicht, um bereits drohende
oder nachhaltige Beeinträchtigungen zu verhindern.45 Das Fundament Treuepflicht und
arbeitsvertraglich festgelegte Regelungen, gegliedert in die Haupt- und Nebenpflichten46,
werden in die Unterlassungspflicht (zB Geheimhaltungspflicht und Konkurrenzverbot) und
Handlungspflicht (zB Notarbeitspflicht und Meldepflicht) eingeteilt. Diese Elemente können
wesentlich werden, sofern sich eine Situation einstellt, die ein Einsetzen privater Geräte
erforderlich macht. ME liegt eine solche vor, wenn eine Cyberattacke47 den Betrieb betrifft
und bedroht. Nach den erforderlichen Charakteristika des § 20 Abs 1 AZG48 müssen
dadurch außergewöhnliche und schwerwiegenden nachteilige Konsequenzen entstehen.
Daraus kann sich ein Betriebsnotstand ergeben, welcher vorliegt, wenn es sich nicht um
ein allgemeines Betriebsrisiko handelt. Der Auslöser, eines solchen Zustandes, muss
tatsächlich unvorhersehbar sein und ein unmittelbares Handeln notwendig machen.49 Eine
Notarbeitspflicht mit den mobilen Privatgeräten bei einer Cyberattacke auf das
Firmennetzwerk und somit ein Stillstand der firmeneigenen Hardware, kann mAn Ausdruck
einer Beistandspflicht sein.
Es gibt folgende Situationen in denen sich der Einsatz mobiler Endgeräte am
Arbeitsplatz wieder finden kann:
- Dienstgebrauch ohne Regelung
- Ausdrückliche Erlaubnis
- Nutzungsvereinbarung
- Betriebsvereinbarung
- Nutzungserlaubnis in bestimmten Fällen (zB auf einer Dienstreise)
- Inanspruchnahme bei Notstand
- Einsatz trotz Nutzungsverbot (Schatten-IT)
45 Vgl Mosler in Neumayr/Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht² (2011) § 19d AZG Rz 32. 46 Rebhahn/Kietaibl in Neumayr/Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht² (2011) § 1153 ABGB Rz 34. 47 Gezielter Angriff auf die IT-Infrastruktur eines Unternehmens. 48 BGBl 1969/461. 49 Pfeil in Neumayr/Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht² (2011) § 20 AZG Rz 8.
12
1.1. Inhalte von Nutzungsvereinbarungen im weiteren Sinne
Die Verwendung von privaten IT-Geräten kann nur in bestimmten Fällen erlaubt sein
oder die regelmäßige Nutzung vereinbart werden. Der Aufwandersatz betrifft entweder die
eingesetzte Hardware uo die Kosten zur Telefonie. Ein Aufwandsersatz für entstandene
Kosten, die in direktem Zusammenhang mit den erbrachten Erledigungen für die AG steht,
ist zu leisten.50 Ob eine abnutzungsbedingte Wertminderung bei mobilen Endgeräten
aufgeteilt werden kann oder die Abgeltung der Kosten über den Datenverbrauch, liegt an
der beruflichen Notwendigkeit und dem Ausmaß der Nutzung.51
Bei Übernahme der Kosten für Telefonie und Datenvolumen durch die AG, sollte
darauf geachtet werden, welche Person Rechnungsträgerin ist und den Vertrag abschließt,
da pauschal vereinbarter Kostenersatz eine Relevanz in der Lohnsteuerpflicht auslösen
kann.52 Die Privatautonomie wird nur beschränkt durch die eindeutige Sittenwidrigkeit,
wenn etwa angefallene Roaming-Gebühren, während einer Dienstreise, als tatsächlicher
Aufwand in keinem Verhältnis zum Ersatz stehen. Wird aber hingegen mehr ausbezahlt,
als ein angemessener Ausgleich vonnöten ist, kann dieser Überschuss als Entgelt
angesehen werden.53 Herrscht keine eindeutige Regelung, über den Ersatz von Auslagen
(auch bei Barauslagen, wie zB Zukaufen eines Roamingpaketes oder eines HDMI
Adapterkabel für eine Kundinnenpräsentation), kann durch Duldung oder Zustimmung von
seitens der AG auf den Kostenersatz nach § 1014 ABGB zurückgegriffen werden. Diese
Ersatzpflicht kann, anders als die Risikohaftung, nicht abbedungen werden kann.
Sollte keine firmeneigene Sicherheitssoftware oder Versicherung zum Einsatz
kommen, können auch die Kosten für einen solchen Dienst Teil einer Zusatzleistung sein.
Darauf Rücksicht zu nehmen ist dabei, dass nur Schäden im Privatbereich abgedeckt sind,
da die meisten Dienste eine kommerzielle Nutzung untersagen. Liegt ein Wechsel in der
IT-Infrastruktur vor und mit diesem auch eine Neuaufstellung der Hardwaregeräte, kann
eine Teilkündigung der Nutzungsvereinbarung erfolgen und ein Wegfall der
Geschäftsgrundlage für den Ersatz des Aufwands.54
50 OLG Wien 24.10.1997, 9 Ra 249/97x, ARD 4904/12/98. 51 LStR 2002, Lohnsteuerrichtlinien 2002, Rz 339. 52 Schuster, Werbungskosten und Sachbezug Bring Your Own Device! Zur Verwendung eigener Arbeitsmittel als Dienstnehmer, SWK 2012/25, 1065 (1067). 53 Knallnig in ZellHB AV Klauseln Rz 32.14. 54 Knallnig in ZellHB AV Klauseln Rz 32.26.
13
1.1.1. Abgrenzung dienstliche oder private Daten
Ab dem Moment des Einsatzes der mobilen Devices am Arbeitsplatz, kommt es zu
einer Vermengung der betrieblichen und privaten Daten. Eine Grenze zu ziehen, ist auch
in diesem Anwendungsfall nicht neuartig, bereits bei der Privatnutzung von E-Mail Konten
der AG, ist eine Differenzierung zwischen den persönlichen und den betrieblichen
Nachrichten zu vorzunehmen. Da auch berufliche und private E-Mails auf den Privatgeräten
bearbeitet werden, unterliegen diese dem Briefgeheimnis, vor allem bei einer privaten
Kennzeichnung. Unabhängig davon, ob diese verschlüsselt wurden oder nicht, gelten auch
die Bestimmungen nach § 118 StGB55 dem Briefgeheimnis und dem Fernmeldegeheimnis
nach Art 10a StGG, da sie der geschützten Privatsphäre unterliegen.56 Eine Durchbrechung
des Leseschutzes der Nachrichten kann nur zum Zweck der Verfolgung einer schweren
Straftat zulässig sein.57 Sinn der Aufschlüsselung in private und dienstliche Nachrichten ist,
den unbeschränkten Zugriff der AG auf die Firmendaten zu gewährleisten, ohne
datenschutzrechtliche Schutzvorschriften zu verletzen. Des Weiteren gilt es, der AN eine
Möglichkeit zu bieten, ihre privaten Daten zu sichern (auch auf den abgetrennten
betrieblichen Bereichen), da ansonsten bei Datenschädigung oder vorzeitigen Löschen
Aufwandsentschädigungen und Ersatzansprüche58 denkbar sind. Sämtliche Angaben zum
Inhalt von privaten Nachrichten sind vor Zugriffen durch das Kommunikationsgeheimnis zur
Gänze geschützt.59 Somit ist die Unterscheidung in Privat- und Unternehmensdaten und
deren Umgang ein wesentlicher Punkt einer Nutzungsvereinbarung.
Das Kriterium der Arbeitszeit, als Abgrenzungsmerkmal, in der Frage der
Datenherkunft, führt zu keinem Ergebnis. Private Daten können auch während der
Arbeitszeit (zB Fitnesstracker) entstehen und betriebliche Informationen, außerhalb des
Büros, sich auf den mobilen Geräte einfinden (zB Kundin sendet Datenpaket, Over-the-air
Update60). Übrig bleibt eine technische Lösung zur Trennung der betrieblichen und privaten
Daten, entweder mittels Boxensystem (abgetrennte Datenbestände) oder einer
Virtualisierungslösung61. Der Einsatz von privaten Devices mit uneingeschränktem Zugriff
seitens der AG auf sämtliche Daten bleibt datenschutzrechtlich bedenklich.
55 BGBl I 112/2015. 56 Laimer/Mayr, Zum Spannungsverhältnis von Arbeitgeber- und Arbeitnehmerinteressen rund um die EDV-Nutzung, DRdA 2003, 410 (412). 57 Jahnel, Datenschutz im Internet Rechtsgrundlagen, Cookies und Web-Logs, ecolex 2001, 84 (86). 58 Dazu näher Goricnik, Die Kontrolle der Internet-Nutzung und des E-Mail-Verkehrs, in Grünanger/Goricnik (Hrsg), Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle (2014) 139 (151). 59 Brodil, Kontrolle und Datenschutz im Arbeitsrecht, ZAS 2009/21, 121 (125). 60 Kabelloses Installieren von Updates über Schnittstellen wie WLAN oder Mobilfunknetz. 61 Nur Zugriff auf Firmennetzwerk, ohne Lokalspeicherung von betrieblichen Daten auf dem Gerät.
14
1.1.2. Unterscheidung dienstliche oder private Nutzung
Durch die Mischform von zwei Lebensbereichen, nämlich der Arbeit und der Freizeit,
verbunden in einem oder mehreren Geräten, verschwimmen die Grenzen zur Beurteilung,
welcher tatsächlich vorliegt. Grundsätzlich ist durch die mobile Arbeitswelt eine
Flexibilisierung62 in Ort, Zeit und Arbeitsgerät entstanden. Projekte und Aufgaben können
zu den unterschiedlichsten Zeiten, an außergewöhnlichen Orten und auf einer großen
Auswahl an Bildschirmen bearbeitet und erledigt werden.
Die Erreichbarkeit über Privatgeräte hat Einfluss auf die Arbeitszeit, infolge dessen
auf einem arbeitsrechtlich relevanten Gebiet. Die Erholung in der Freizeit, Krankenstand
und Urlaub wird im Arbeitsrecht in verschiedenen Gesetzesgrundlagen beachtet. Auch
dient die Feststellung der geleisteten Arbeitsstunden, als Basis für eine Berechnung der
Entlohnung. Werden Anrufe der AG auf einem mobilen Privatgerät angenommen oder ihre
Nachrichten beantwortet, liegt eine Überstunde vor, selbst wenn die AN nicht durch
Weisung oder Vereinbarung dazu verpflichtet wurde, in ihrer Freizeit diese Arbeiten zu
erledigen. Kontaktaufnahmen durch Dritte unterstehen keiner AG Anordnung und können
beim freiwilligen Annehmen nicht als Arbeitsleistung gewertet werden, wenn dazu keine
vertragliche Verpflichtung besteht.
Die Unterscheidung nach § 20a AZG splittet die Arbeitsbereitschaft in Erreichbarkeit
und Rufbereitschaft auf. Rufbereitschaft wird gesetzlich definiert, als freie Wahl des
Aufenthaltsortes, der Freizeitverwendung und der Zurverfügungstellung einer notwendigen
Arbeitsfähigkeit. Kommt es während einer Rufbereitschaft zu einer konkreten
Arbeitsleistung, wie das Annehmen eines Anrufes, so ist es als Arbeitszeit zu qualifizieren.
Dies hat somit Einfluss auf die Tageshöchstarbeitszeit und Ruhezeiten, ist
demensprechend angemessen zu entlohnen. Beim Einsatz von mobilen Geräten sollte eine
Vereinbarung getroffen werden, die eine Abrechnung für kurzfristige Unterbrechungen der
arbeitsfreien Zeit regelt. Die Pflicht zur Erreichbarkeit stellt, ohne vertragliche Grundlage,
keine Nebenpflicht dar.63 Nach Risak64 liegt keine Rufbereitschaft vor, wenn eine Nachricht
der AN beantwortet wird, da ein voller Einsatz der Arbeitsleistung beim Beantworten nicht
notwendig wird.
62 Maier, Ein Plädoyer für ein Ende der Ausgrenzung der Digitalen Welt, Information Technology IT 2010/6, 360 (362). 63 Risak, Arbeiten in der Grauzone zwischen Arbeitszeit und Freizeit: Dargestellt am Beispiel der
"Dauererreichbarkeit" am Smartphone, ZAS 2013/50, 296 (300). 64 Risak, Rufbereitschaft, ZAS 2013/57, 339 (339).
15
Somit wird bei der Feststellung, ob eine dienstliche oder private Nutzung vorliegt,
primär darauf abgestellt, inwieweit eine fremdbestimmte Arbeitszeit oder selbstbestimmte
Freizeit vorliegt.65 Auch außerhalb der Arbeitszeit ist die AN an gewisse Handlungs- und
Unterlassungspflichten gebunden.66 Es kann in Nutzungsvereinbarungen genauer geregelt
werden, welche Pflichten die AN zum Schutze betrieblicher Daten in der Freizeit zu erfüllen
hat (zB White/Blacklist Apps).
1.2. Inhalte von Nutzungsvereinbarungen im engeren Sinne
Eine Nutzungsvereinbarung soll dazu dienen genauere Regeln festzulegen, die die
Handhabung privater Geräte im Arbeitsverhältnis erleichtert. Ist eine Erlaubnis zum Einsatz
erfolgt, müssen für beide Seiten die damit verbundenen Pflichten verdeutlicht werden.67
Eine Konkretisierung von Folgen einer Überschreitung der Nutzungsvereinbarung oder
einer unerlaubten Schatten-IT68 können ebenso festgelegt werden. Die AN wird großes
Interesse daran haben, wie bspw bei einer erhöhten Telefonkostenabrechnung der
Aufwand rückerstattet wird, wie lange sie Zeit hat, um ein verlorenes Gerät wieder zu
beschaffen und welche Zugriffe sie zu dulden hat.69 Die AG als datenschutzrechtliche
Auftraggeberin treffen Verpflichtungen des Datenschutzgesetzes. Bei geplanten Zugriffs-
und Kontrollrechten in der „Informations- und Kommunikationstechnik“ IKT spielt nicht nur
das Arbeitsrecht eine bedeutende Rolle, sondern auch der Sorgfaltsmaßstab des § 347
UGB70 (in weiterer Folge ggf. auch § 70 Abs 1 AktG71 und § 25 Abs 1 GmbHG72). Deshalb
ist die AG, im Sinne des IT Sicherheitshandbuchs, zum Schutze des Inhalts auf tragbaren
Geräten verpflichtet. Es sind zweckentsprechende Gegenmaßnahmen anzudenken, um ein
Schutzniveau zu erreichen, das Integrität und Vertraulichkeit als umgesetztes Ziel
formuliert.73
65 Rebhahn in ZellKomm² § 1151 ABGB Rz 105. 66 Rainer, Regelungen über außerdienstliches Verhalten, in Reissner/Neumayr (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln (2010) Rz 60.08. 67 Franck, Bring your own device – Rechtliche und tatsächliche Aspekte, RDV 2013/4, 185 (191). 68 Ohne Kenntnis der AG oder der IT Abteilung eingesetzte Geräte, die mit betrieblichen Daten in Berührung kommen. 69 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., Spezieller Datenschutz, 17. Arbeitnehmerdatenverarbeitung, D. Mobile IT-Geräte im Arbeitsumfeld, 2. Unternehmenseigene Smartphones und Tablet-PCs (Stand: 7.7.2015, rdb.at). 70 dRGBl 1897, 219. 71 BGBl 1965/98. 72 RGBl 1906/58. 73 Österreichisches Informationssicherheitshandbuch Version 4.0, Smartphone Sicherheit, https://www.sicherheitshandbuch.gv.at/2013/index.php (28.9.2015).
16
1.2.1. Art und Umfang des Zugriffsrechtes
Seitens der AG muss entschieden werden, welches Zugriffsystem zum Einsatz
kommen soll, welche Geräte unter dem Sammelbegriff „Bring your own device“ für die
betriebliche Arbeit geeignet sind und welche mobilen Devices nicht zugelassen werden.
Es kann der Zugriff auf alle privaten Daten erfolgen, da Firmensoftware und
Sicherheitstools direkt auf dem mobilen Endgerät installiert werden. Die Daten werden nach
außen mittels Verschlüsselung74 geschützt, aber dennoch kann die AG sämtliche Inhalte
und Funktionen des Gerätes registrieren. Da die Geräte für Endkonsumentinnen abgesetzt
werden, wird ein Aufwand zur Sicherung der Firmendaten unumgänglich sein. Der
Vollzugriff auf Apps, lokal auf die gespeicherten medialen Inhalte, Verbindungsdaten,
Hardwarefunktionen, ohne Trennung der Datenbestände, ist datenschutzrechtlich kritisch
zu betrachten. Sollte die Nutzung des Gerätes auf Kosten der Datensicherheit im privaten
Umfeld nicht mehr einsetzbar sein (zB Blacklist von nichtvertrauenswürdigen Apps, die
beliebt in ihrer Benützung sind) wird auch von Seiten der Anwenderin, entweder die
Sicherheitsbestimmung umgangen oder die Vereinbarung zur Nutzung hinfällig. Bei einer
Lösung mit der virtualisierten Arbeitsumgebung kommt es zu keiner Datenspeicherung auf
dem Privatgerät. Der Datenaustausch erfolgt über eine simulierte virtuelle Oberfläche, die
auf einer physischen Einheit zwischen Hardware und Anwendung läuft. Die Inhalte können
von jedem mobilen Endgerät mit Zugangskennung abgerufen werden. Die
Arbeitsumgebung ist nur abhängig von einer stetigen Internetverbindung, wenn über einen
simulierten Desktop gearbeitet wird. Die Verarbeitung und Speicherung der Daten liegt
unter der Kontrolle der AG, da das mobile Endgerät nur als Medium zur Verarbeitung der
Informationen funktioniert. Bei Verlust oder Diebstahl befinden sich keine Daten auf dem
Gerät.
Des Weiteren kann das Konzept verfolgt werden, zwei Profile auf dem Gerät zu führen
und die Daten getrennt zu speichern. Hierzu muss eine Regelung festgelegt werden, die
die Mitarbeiterin dahingehend verpflichtet ihr gesamtes betriebliches Aufgabengebiet über
dieses Konto abzuwickeln.75 Auch besteht die Möglichkeit, zwischen den zwei virtuellen
Umgebungen, die Interaktion zueinander zu verhindern und dennoch durch eine technische
Umsetzung es zulassen, dass diese nebeneinander Programme ausführen können. Mit
diesem Lösungsansatz können auch Apps verwendet werden, die dem höheren
Sicherheitsstandard des Unternehmens nicht ausreichen, für den Privatgebrauch aber
74 Dazu näher Silent Circle, Mobile Device mit PrivatOS Blackphone, https://www.silentcircle.com (9.9.2015). 75 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., 17.D.2 (Stand: 7.7.2015, rdb.at).
17
interessant sind. Bei der Container-Lösung wird die Arbeitsumgebung der Programme
verschlüsselt und durch die AG gesteuert. Der AN steht es somit frei für welche Apps sie
sich in ihrer Freizeit entscheidet, solange die Sicherheit auf den abgetrennten
Datenbereichen gewährleistet ist.76
Abbildung 3: Technische Umsetzungsmöglichkeiten und Auswirkungen auf Privatdaten
Da der betriebliche Einsatz des Gerätes, Einschnitte in der privaten Verwendung
bedeutet, ist es für die AN wichtig aufgeklärt zu werden, welche Strategie der
Datensicherung und Kontrolle gewählt wird. Je nach Wahl der technischen
Umsetzungsmöglichkeit wird das Gerät völlig oder teilweise durch die AG kontrolliert
werden können. Dabei werden die Geräte an einer zentralen Stelle erfasst und die
Datenpflege betreut. Sofern die AG Firmen-Apps einsetzt, werden diese mittels MDM
aktualisiert oder hinzugefügt, Sicherungen erstellt und Schutzmechanismen der
Unternehmensanwendung integriert. Der AG ist es technisch möglich Daten auf dem Gerät
zu löschen. Welche Sicherheitsstandards tragend werden, steht in Abhängigkeit zu der
gewählten Plattform, die nötig ist, um Daten zwischen AN und AG auszutauschen und in
welchem Ausmaß sensible Dateien verarbeitet werden. Der Wert der Daten wird als Kern-
Assets bezeichnet, diese gelten als bedrohte Objekte.77
76 Walter, BYOD Ein Praxisratgeber, HMD 2014, 84 (85). 77 Österreichisches Informationssicherheitshandbuch Version 4.0, Smartphone Sicherheit, https://www.sicherheitshandbuch.gv.at/2013/index.php (28.9.2015).
18
Inhalte einer Nutzungsvereinbarung können nach ihrem Regelungsgegenstand
eingeteilt werden.78 Zur Übersicht in dieser Arbeit werden vier Gruppen mit einem jeweils
unterschiedlichen Schutzziel angeordnet. Für die Datensicherheit kommen insbesondere
Verhaltensgebote und Vorsichtsmaßnahmen zum Tragen. Bei der Softwarebetreuung wird
darauf abgestellt Eingriffe auf das Gerät im Detail zu regeln und in welchen Zeiträumen
damit zu rechnen ist. Zugriffskontrollen sollen Aufzeichnungen darüber führen, um welche
Personen und Daten es sich handelt, die Zugang zu unternehmenssensiblen Informationen
ausüben. Ein Großteil der Schutzmaßnahmen kann als Präventivmaßnahme aufgesetzt
werden, die Schäden durch die Verwendung der Privatgeräte unterbinden.
Datensicherheit:
- Verbot von Manipulationen des Betriebssystems des mobilen Endgerätes
(Jailbreak für iOS oder das Rooten bei Android)
- Verwaltung und Überwachung von Sicherheitszertifikaten und
Sicherheitsrichtlinien79
- Regelmäßige Sicherungen und Wiederherstellung
- Zurücksetzen von Passwörtern, Zugangsdaten
- Konfigurieren bestimmter Einstellungen am Gerät
- Ausstattung (zB Sichtschutzfolie)
Softwarebetreuung:
- Installation von firmeneigener Anwendung
- Verwendung einer Sicherheitssoftware
- Updates und Wartungszeiträume
- White-/Blacklist
- Kein Installieren von Apps aus unbekannten Quellen (eigenverantwortliche
Überprüfung der Vertrauenswürdigkeit)
- Kein Einsatz von Schwarzmarkt-Apps (zB Aptoide)
Zugriffskontrolle:
- Identifikation des Gerätes und der Nutzerin
- Fernzugriff und Fernlöschung
- Sperren des Gerätes
- Verbindungsstatus
- Kontrolle der Speicherkapazität
78 Dazu näher Pilarski/Freier/Schumann, MDM - Eine strukturierte Marktanalyse, HMD 2015, 373 (375). 79 Dazu näher Föck, Sicherheitsrichtlinien für den Einsatz mobiler Endgeräte, HMD 2014, 94 (95).
19
- Herausgabepflicht bei Verdacht einer Straftat
- Aufzeichnung der Arbeitszeit und Telefonkosten
- Verbot des Einsatzes von bestimmten Hardwarekomponenten während der
Arbeitszeit (zB GPS, Aufnahmegerät, Kamera uvm)
Schutzmaßnahmen:
- Umfang einer zulässigen privaten Nutzung während der Arbeitszeit
- Unerlaubte Webinhalte während der Arbeitszeit (zB pornografische Websites)
- Passwortregelung
- Berichterstattung bei Abhandenkommen des Gerätes (Festlegen des Zeitraums
zwischen Verlust und Meldung an die AG)
- Bekanntgabe eines Hacking-Angriffes
- Rechtzeitiges Aufzeigen beim Wechsel des Gerätes oder Verkauf (zur
endgültigen Bereinigung der digitalen Spuren)
- Teilnahme an Schulungen
- Umgang mit Schatten-IT80
- Prävention gegen Internetsucht81
- Schutz vor Cybermobbing82
Im privaten Umfeld soll festgelegt werden, inwiefern Dritte (zB Familienangehörige,
Arbeitskolleginnen) Zugriff haben dürfen auf das mobile Gerät. Die Regelung über das
Ausleihen, auch in Alltagssituationen, muss klar definiert sein (zB kurzes Telefonat einer
Unbekannten oder befreundeten Person). Wenn sich eine weitere AG der Arbeitsleistung
der AN bedient, benötigt es ebenso Regelungen, die die Sicherung der Datenbestände
auch am zweiten Arbeitsplatz gewährleisten kann.83
Eine absolute Sicherheit, nur durch eine technische Umsetzung, wird für beide Seiten
nicht erreicht werden können. Eine manuelle Manipulation kann nicht verhindert werden.
Mitarbeiterinnen können Schutzvorkehrungen umgehen und wiederum die AG unbemerkt
auf Privatdaten zugreifen.84
80 Siehe Walterbusch/Fietz/Teuteberg, Schatten-IT: Implikationen und Handlungsempfehlungen für Mobile
Security, HMD 2014, 24 (26). 81 Dazu näher Kreil, Entlassung wegen Privatnutzung von Internetdiensten am Arbeitsplatz, in Jaksch-Ratajczak (Hrsg), Aktuelle Rechtsfragen der Internetnutzung (2010) 131 (149). 82 OGH 26.11.2012, 9 ObA 131/11x, ZAS 2013/46, 279. 83 Jandt/Steidle, On Device Fits All? - Ein Endgerät für mehrere Arbeitgeber, CR 2013, 338 (338). 84 Siehe Disterer/Kleiner, Bring Your Own Device, HMD 2013, 92 (99).
20
Die Festlegung eines Zeitfenster, in der die Meldung des Verlustes von statten zu
gehen hat, unterstützt die AG darin, ihre Daten zu schützen. Es ist zu vereinbaren, ab
welchem Zeitpunkt, nach dem Abhandenkommen des Gerätes, eine Fernlöschung in Frage
kommt. Falls auch private Daten davon betroffen sind, kann in einer Nutzungsvereinbarung
geregelt werden, wie die Erlaubnis zum Löschen dieser einzuholen ist. MA ist vor jeder
Fernlöschung eine gesonderte Erlaubnis der AN einzuholen, da sich auch im Laufe der
Verwendungsdauer eines Gerätes die Eigenschaften der Daten ändern. Beim Erstellen der
Nutzungsvereinbarung werden sich meist vorerst wenig bedeutsame Daten auf dem Gerät
befinden. Nach und nach kann die Qualität der Daten zunehmen, wie bspw die Speicherung
bedeutungsvoller privater Dokumente oder Mediendateien (zB Dokumentation eines
privaten Verkehrsunfalls).
Auch die Fernlöschung hindert Dritte nicht daran, dennoch Zugriff auf
Unternehmensdaten zu erlangen. Unberechtigte Personen, die in den Besitz des Gerätes
gelangt sind, können die Verbindung zur AG unterbrechen und die geschützten Bereiche
entschlüsseln. Deshalb ist es unumgänglich in diesem Bedrohungsszenario umgehend zu
reagieren. Die zeitliche Komponente in einem Verlustfall ist wesentlich, um den Schritt zur
Löschung rechtzeitig anzuwenden, bevor das Gerät aus dem Zugriffsbereich der AG
entfernt wird.85 Die AN treffen grundsätzlich Anzeige- und Meldepflichten, die als
Nebenpflichten auch eine Abwendung oder Verhinderung von negativen
Beeinträchtigungen der AG und Unternehmensabläufen beinhaltet. Demnach müssen auch
jene Fälle angezeigt werden, die Schäden in der IT-Architektur verursachen könnten und
ein solcher liegt beim Verlust, selbst in der Freizeit, mAn vor. Wobei eine generelle
Verpflichtung Kolleginnen zu melden, wenn diese gegen die Nutzungsbestimmungen
verstoßen, kennt das Arbeitsrecht nicht.86
Entscheidend für die Sicherheit sind die Auswahlkriterien für die Zulassung des
betrieblichen Gebrauchs. Viele ältere Modelle bekommen von Herstellerinnen keine nötigen
Updates87 mehr, weshalb diese nicht geeignet sind. Die Systemvoraussetzungen (Leistung,
Betriebssystem, uvm) und Formerfordernissen (zB Schnittstellen, Bildschirmgröße,
Helligkeit, Pixeldichte) haben einen bedeutenden Einfluss auf die Sicherheit von
Anwenderinnen- und Unternehmensdaten.
85 Merz, Sichere mobile Unternehmensanwendungen, HMD 2014, 45 (47). 86 Rebhahn/Kietaibl in ZellKomm² § 1153 ABGB Rz 39. 87 Aktualisierung von Software mit Verbesserungen für den Einsatz oder Schließen von Sicherheitslücken.
21
Es spielt auch eine Rolle, wie Menschen mit besonderen Bedürfnissen ihre
Hardwaregeräte (zB Tablet mit Blindenschrift88) einbinden können. Die Möglichkeit speziell
angefertigte Geräte auch nutzen zu dürfen, ist für AN eine Zugangserleichterung, um in der
betrieblichen Kommunikation barrierefrei teilnehmen zu können.89 Auch einer
Altersdiskriminierung der Generationen "vor 1980" (Digital Immigrants90) kann durch die
Option zur Teilnahme an Schulungs- und Weiterbildungsmaßnahmen verhindert werden.
Die interne Kommunikation soll keine Ausgrenzung bestimmter Personengruppen im
Betrieb unterstützen. Durch die mögliche Bereitstellung von eigener Firmensoftware wird
auch die Art und Weise, wie Personen die Benutzung (User-Experience, Usability) einer
Computeranwendung handhaben, beeinflusst. Wichtige Elemente91 werden auf
stereotypisierende Weise implementiert, ohne auf eine diskriminierungsfreie Gestaltung92
(Bildsprache, geschlechtssensible Sprache) von Apps zu achten.
Auch ist die Frage zu klären, ob modifizierte Betriebssysteme auf den Geräten
zugelassen werden, wie bspw „Root“ oder „Jail-Break“. Die Manipulation der
Betriebssysteme muss nicht in jedem Fall negativ behaftet oder bedrohlich sein, besondere
Schutzmechanismen gegen Spyware93 können erst bei einem tiefergehenden Zugriffsrecht
für die Nutzerin ersichtlich werden. Wird eine Abänderung der Betriebssysteme dennoch
als Verstoß gegen eine Nutzungsvereinbarung festgelegt, sind zugleich auch die
Konsequenzen daraus zu definieren. Eine Einteilung von Apps, die eine
Sicherheitsbedrohung darstellen, kann als Übersicht für die AN dienen. Somit kann sie
entweder mit höherer Sorgfalt ihre Einstellungen, die Zugriffsrechte der Apps auf die Daten
im Einzelnen justieren oder deren Installation vollends untersagen. Die sogenannten
„White“- und „Black“-List94 sind eine erhebliche Einschränkung zur Nutzung des Gerätes im
privaten Umfeld. Die Option einer vorherigen Überprüfung der Sicherheitszertifizierungen
der App kann auch in Betracht gezogen werden. Hierzu muss die AN abwarten bis diese
den Installationsvorgang, nach Freigabe durch die AG, abschließen darf.
88 Siehe BlitabTechnology, Brailleschrift Textvisualisierung mit physischen Signalen auf mobilen Geräten, http://blitab.com/ (10.9.2015). 89 Bundeskanzleramt Österreich, Digitale Integration in Österreich Handlungsfelder und Beispiele 2008, http://www.bka.gv.at/Docs/2010/3/29/Digitale_Integration_De.pdf (29.9.2015). 90 Siehe Fischlmayr, Verändert digitale Kommunikation Unternehmen? Oder: Sollen sich Unternehmen den "Digital Natives" anpassen? ASoK 2011, 235 (237). 91 Bspw das Produktdesign, die Funktionalitäten oder Kommunikationsabläufe. 92 Erharter/Xharo, Welche Aspekte sind für die Gestaltung von Websites und Apps von Bedeutung? in Marsden/Kempf (Hrsg), Gender-UseIT Gendability (2014) 129 (128). 93 Programme, die Daten des mobilen Gerätes unbekannterweise und ohne Zustimmung weiterleiten. 94 Vgl Knyrim/Horn, Bring Your Own Device - Ein Trend hält Einzug in Österreichs Unternehmen, ecolex 2013, 365 (366).
22
Da die mobilen Geräte im Eigentum der AN stehen, können diese die Gerät
weitergegeben oder selbstständig entsorgen, dann sind alle darauf gespeicherten Daten
und Einstellungen zu löschen. Dazu eignet sich ein „Factory Reset“, hierzu wird das Gerät
in den Auslieferungszustand versetzt, also sämtliche Daten gelöscht und die angelegten
Profile entfernt. Die Nutzungsvereinbarung kann hier eine entsprechende Verpflichtung des
Mitarbeiters vorsehen oder eine Herausgabepflicht, damit dies durch die AG selbst oder
eine IT-Spezialistin durchgeführt werden kann.
Die Gleichstellung der Privatgeräte, mit ausgegebenen Firmengeräten, birgt den
gänzlichen Verzicht auf eine Selbstbestimmtheit über den Umgang mit Daten am eigenen
Gerät.95 Je restriktiver die Schutzmaßnahmen und Regelungsinhalte ausfallen, um
Geschäfts- und Betriebsgeheimnisse (Assets) zu schützen, desto mehr können
gesammelte Daten Rückschlüsse zulassen, über die die einzelne AN in vielen Fällen keine
Möglichkeit besitzt, deren Interpretation oder Verwendung zu entscheiden.96
1.2.2. Kostentragung für Hardware, Software, Netzzugang
Die Nutzungsvereinbarung soll aufarbeiten, im welchen Umfang sich die AG an den
anfallenden Kosten zum betrieblichen Einsatz der mobilen Geräte beteiligt. Festzuhalten ist
die Aufteilung der Aufwendungen zur Anschaffung und inwieweit die AG die entstehenden
Kosten für den betrieblichen Einsatz deckt (insbesondere wenn technische
Mindestanforderungen nötig sind, um eine Integration in die eigene IT-Infrastruktur zu
ermöglichen).97
Die Gebühren für die Telefonie und das Verbrauchen des Datenvolumens, als auch
die meist jährlich anfallende Servicepauschale, werden durch die Privatgeräte am
Arbeitsplatz zur Kostenfrage. Es ist ein Verteilungsschlüssel zur Verrechnung der
verbrauchten Ressourcen für den Arbeitseinsatz festzuhalten. Der AG obliegt es ein
Ersatzgerät zur Verfügung zu stellen, wenn das Privatgerät durch eine Beschädigung oder
einer Wartung nicht benutzt werden kann.
Wenn das Gerät durch den Arbeitseinsatz beschädigt wird, ist ebenso ein Ersatzgerät
bereitzustellen. Die vereinbarten Regelungen sind ein Anhaltspunkt für den Fall eines
95 Wilk, Meins oder Deins – Private Endgeräte im Unternehmenseinsatz, HMD 2014, 5 (8). 96 Zerbes, Spitzeln, Spähen, Spionieren- Sprengung strafprozessualer Grenzen durch geheime Zugriffe auf
Kommunikation (2010) 40. 97 Tichy, BYOD - Was steckt wirklich dahinter? ecolex 2014, 300 (301).
23
Ausfalles des privaten Mobilegerätes.98 Bei übermäßigem Gebrauch, des oft durch die
Mobilfunkanbieterin angebotenen unbegrenzten Datenvolumens, wird die
Downloadgeschwindigkeit reduziert und kann damit das Arbeiten mit dem mobilen Endgerät
einschränken. Existiert eine Begrenzung an der Anzahl an Minuten oder Nachrichten, die
verbraucht werden können, ist der anfallende Mehraufwand zu begleichen. Demnach sind
Zusatzpakete, die zugekauft werden, Teil des Aufwandersatzes. Hierzu ist ein betrieblicher
Bezug zu den anfallenden Kosten Voraussetzung, die AG ist nicht dazu verpflichtet Kosten
für den Freizeitgebrauch zu decken.
Bei unlimitierten Telefonie- und Datenvolumen, die durch den Privatgebrauch selten
ausgeschöpft werden, entsteht grundsätzlich der AN kein zusätzlicher Aufwand, der durch
die AG ausgeglichen werden muss. Da es sich aber um eine Leistung handelt, die im
Zusammenhang mit der Erfüllung der Arbeitsleistung steht und einen geldwerten Aufwand
darstellt, muss dieser entschädigt werden.99 Diese Arbeitsmittelvergütung kann auch als
Pauschalbetrag abgegolten werden, solange sich diese im Bereich der tatsächlich
angefallenen Kostenhöhe bewegt, fällt diese nicht unter den Begriff des Entgelts.
1.3. Beendigung der Nutzung mobiler Geräte
1.3.1. Auflösung der Nutzungsvereinbarung
Bei Auflösung der Nutzungsvereinbarung oder Beendigung des Arbeitsverhältnisses
sind auch nachvertragliche Interessen beider Seiten zu beachten. Mitunter kann eine
datenschutzrechtliche Löschungspflicht für die Daten, die am Privatgerät gespeichert sind,
relevant werden. Denn durch die Auflösung des Arbeitsverhältnisses fällt der erforderliche
Zweck zur Datenverarbeitung auf dem Gerät weg.100
Grundsätzlich ist bei Entfall des Erfordernisses zur Speicherung der Datensatz zu
löschen. Gesetzliche Aufbewahrungsfristen können das Speichern der Daten, über das
Arbeitsverhältnis hinaus, verlangen. Diese Bestimmungen finden sich in
sozialversicherungsrechtlichen Gesetzesmaterialien, den abgabenrechtlichen Vorschriften
98 Brandstetter/Windisch-Altieri, BYOD erlauben und regeln – Richtlinien für die Nutzung privater Endgeräte am Arbeitsplatz, personal manager 2013/2, 29 (31). 99 Pačić, Aufwandersatz, in Reissner/Neumayr (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln (2010) Rz 33.06. 100 Wulf/Burgenmeister, IT-Compliance beim Einsatz privater Hard- und Software am Arbeitsplatz (BYOD), Compliance Berater 2014/10, 374 (375).
24
und jenen des Zivilrechts nach § 1486 Z 5 ABGB. Für die Entgeltansprüche und den
Aufwandersatz wird demnach eine längere Dokumentationspflicht abverlangt. Die absolute
Frist der Verjährung nach § 207 Abs 2 BAO101 tritt nach fünfzehn Jahren ein. Wird das
Arbeitsverhältnis beendet, sind all jene Daten zu löschen, die nicht in den notwendigen
Bereich des ASVG102 und der BAO fallen. Wobei jene Stammdaten gespeichert werden
müssen, um auch noch nach dreißig Jahren ein Dienstzeugnis ausstellen zu können. Erst
dann greift das Recht auf eine endgültige Löschung sämtlicher Daten der AN,103 verankert
in § 27 DSG104.
Eine Datenlöschungsklausel kann die Pflichten der AN nach Auflösung
konkretisieren. Die AN kann dazu verpflichtet werden, ihre persönlichen Daten als privat zu
kennzeichnen. Ist eine Kennzeichnung der Daten erfolgt, entscheidet die AN selbst über
deren Aufbewahrung. Erst nach dem Aushändigen einer Sicherungskopie ihrer Privatdaten
unterliegen diese einer Löschungspflicht für die AG. Ebenso ist die AG dazu berechtigt ihre
Daten auf Speichermedien zu sichern oder eine Kopie der betriebsbezogenen Daten zu
erhalten. Die beidseitige Herausgabepflicht unterstützt die Rückführung von
Datenmaterialien.105
Es ist auch denkbar einen Widerruf der Nutzung zu vereinbaren. Auf dem Grundsatz
der beiderseitigen Freiwilligkeit106 basierend, kann auch ein einseitiger Widerruf107 in einer
Nutzungsvereinbarung geregelt werden. Liegen sachliche Gründe vor, die einen weiteren
dienstlichen Einsatz eines Privatgerätes entgegenstehen, kann ein Widerruf erfolgen. Auch
ist beim Aussetzen der Arbeit für einen absehbaren Zeitraum (zB Präsenzdienst,
Vaterschaftskarenz) das Ausüben des Widerrufsrechts berechtigt.108 Das Widerrufsrecht
kann vereinbart werden, solange keine Bestandteile des Entgelts betroffen sind, die eine
wesentliche Schmälerung darstellen oder eine gewichtige Interessensbeeinträchtigung.109
101 BGBl 1961/194. 102 BGBl 2000/101. 103 Vgl Brodil, Löschung von Arbeitnehmerdaten, ZAS 2014/ 54, 335 (335). 104 2000 BGBl I 1999/165. 105 Knallnig in ZellHB AV Klauseln Rz 32.27. 106 Dazu näher Mertinz, Arbeitsrecht im Außendienst, ASoK 2015, 97 (104). 107 Siehe Körber, Die Privatnutzung von Dienstfahrzeugen, ZAS 2005/13, 67 (71). 108 Vgl Rauch, Private Nutzung firmeneigener Mobiltelefone und PKW, ASoK 2011, 175 (176). 109 G. Kuras, Möglichkeiten und Grenzen einzelvertraglicher Gestaltungen im aufrechten Arbeitsverhältnis, ZAS 2003/19, 100 (109).
25
1.3.2. Verstoß gegen Nutzungsvereinbarung
Die AN kann Handlungen setzen, die einen Verstoß gegen die vereinbarten
Nutzungsmodalitäten für den Gebrauch der Privatgeräte darstellen. Sofern die
Veranlassung in der Sphäre der AN liegt, kann auch eine Vertragsklausel aufgesetzt
werden, die eine Missachtung oder Verletzung als einen Entlassungsgrund, neben jener
der gesetzlich verankerten, zulässt.110
Auch außerdienstliche Verhaltensweisen können einen Entlassungsgrund bilden. Ist
ein betriebliches Interesse objektiv gefährdet und hat das Verhalten der AN Einfluss, auf
die Art und Weise der Verwendung des mobilen Gerätes, kann dies eine Grundlage für
einen vertraglich festgelegten Verstoß sein. Eine Konkretisierung der möglichen
Pflichtverstöße ist sinnvoll, um abzustecken, ab wann die Grenze der
Vertrauensunwürdigkeit111 erreicht wird (zB sorgloses Liegenlassen eines betrieblich
eingesetzten Privatgerätes ohne Passwortschutz während einer Fachmesse). Das
Miteinbeziehen eines Nebentätigkeitsverbots, in die Nutzungsvereinbarung für mobile
Geräte, kann ausschlaggebend sein, um zu verhindern, dass das Gerät für
Nebenbeschäftigungen eingesetzt wird. Werden beispielsweise zwei unterschiedliche
betriebliche Softwaresysteme auf einem Gerät betrieben, können technische
Komplikationen auftreten. Es kann deshalb eine Meldepflicht112 vereinbart werden, um im
Vorfeld abzuklären, in welchem Ausmaß das Gerät für Nebentätigkeiten eingesetzt werden
darf. Die AG muss informiert werden, um rechtzeitig eruieren zu können, welche
Unternehmensdateien betroffen sind und Sicherheitsvorkehrungen daraufhin anzupassen.
Bei einer grundlosen Auflösung des Arbeitsverhältnisses und den dabei entstandenen
Schaden, kann auch eine vereinbarte Konventionalstrafe zum Tragen kommen.113
Konventionalstrafen können nur durch eine vereinbarte Handlung ausgelöst werden, sie
sollen dazu dienen eingetretene Schäden aus einer Vertragsverletzung zu
pauschalieren.114 Auch für den Schadensbeweis erleichtert die Konventionalstrafe, bei
einer zeitwidrigen, unberechtigten oder von der AN verschuldeten Auflösung des
Arbeitsverhältnisses, die Frage des Verschuldens und der Schadenshöhe.115 Vor allem im
Bereich der IT sind diese nicht immer sofort erkennbar oder aufwandslos zu beziffern.
110 Neumayr, Vereinbarung vorzeitiger Lösungsrechte, in Reissner/Neumayr (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln (2010) Rz 12.07. 111 Dazu näher Rainer, Regelung über außerdienstliches Verhalten, in Reissner/Neumayr (Hrsg), Zeller
Handbuch Arbeitsvertrags-Klauseln (2010) Rz 60.15. 112 Dazu näher Heinz-Ofner, Vertragliches Nebentätigkeitsverbot, in Reissner/Neumayr (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln (2010) Rz 61.27. 113 Mayr, Kommentar zum Arbeitsrecht, § 1162a ABGB E 7 (Stand: 1.10.2015). 114 Brenn in Reissner (Hrsg), Angestelltengesetz² (2015) § 38 Rz 3. 115 Reissner in Marhold/Burgstaller/Preyer (Hrsg), Kommentar AngG § 38 Rz 27.
26
1.3.3. Rechtsfolgen unzulässiger Nutzung
"Jeder weiß, dass wir unsere privaten Telefone benutzen, obwohl es verboten ist."
(Philipp Rösler, während einer Reise in Silicon Valley im Mai 2013)116
Neben einer Erlaubnis für die uneingeschränkte Verwendung mobiler Privatgeräte an
der Arbeitsstätte, kann dies auch nur für bestimmte Zwecke (zB Dienstreise) oder
Zeiträume (zB während Bildungskarenz) bewilligt werden. Auch ist ein Totalverbot möglich
oder eine Beschränkung für ausgewählte Räumlichkeiten (zB Produktionsstraßen).
Personen, die dagegen verstoßen, verletzen ihre vertraglichen Pflichten. Liegt ein wichtiger
Auflösungsgrund vor, obliegt es der AG im Rahmen des Entlassungsschutzes das
Dauerschuldverhältnis einseitig zu lösen (gem §§ 25 ff AngG117, §§ 82 ff GewO 1994118 und
§§ 1162 ff ABGB). Eine Rechtfertigung der Auflösung ist ein Schlüsselpunkt für weitere
arbeitsrechtliche Folgen (Abfertigung, Urlaubsansprüche uvm). In Einzelfällen hat die Rsp
bereits im Zusammenhang mit IT-Geräten entschieden.
Im Fall119 einer unerlaubten Datenübertragung und gleichzeitigen Vorbereitung für
Konkurrenztätigkeiten hat die Rsp eine Entlassung als gerechtfertigt bestätigt. Hier wurden
Einflussfaktoren herangezogen, die sich an der Stellung der betroffenen Arbeitskraft im
Unternehmen, Umfang und Bedeutung des Verstoßes und Umstände, die dazu geführt
haben, orientieren. Es wurde eine Abwägung der einzelnen Aspekte vorgenommen, die
hier zum Ergebnis führt, dass das Kopieren von Geschäftsunterlagen für private Zwecke,
um eine Konkurrenztätigkeiten vorzubereiten, gegen das Datengeheimnis verstößt. Diese
sind vor dem Zugriff einer unberechtigten Person zu schützen. Wogegen das Mitnehmen
von Datensätzen für eine Bearbeitung von zu Hause120 aus, nicht zwingendermaßen eine
Vertrauensunwürdigkeit begründet. Solange die Daten nicht unberechtigten Personen
zugänglich sind, verletzt es nicht das Datengeheimnis. Hier ist nach der Rsp kein Verhalten
nachzuweisen, welches einen Entlassungsgrund rechtfertige.
Selbst wenn Daten manipuliert oder gelöscht werden, die während der Arbeitszeit
eigenständig generiert wurden, kann dies unter Umständen zur Entlassung führen. Zwar
spielte sich der Streitfall121 in der Konstellation „Entlassung wegen Löschung einer
116 Die Welt, Rösler wird im Silicon Valley ein bisschen keck vom 22.5.13 http://www.welt.de/politik/deutschland/article116397994/Roesler-wird-im-Silicon-Valley-ein-bisschen-keck.html (30.9.2015). 117 BGBl 1921/292. 118 BGBl 194. 119 OGH 11.2.2004, ObA 91/03b, ARD 5504/2/2004. 120 OGH 18.9.2003, ObA 87/03g, ARD 5461/7/2003. 121 OGH 25.10.2011, 8 ObA 218/01v, ZAS 2002/16, 143.
27
Privatdatei vom Dienstrechner“ ab, doch ist es mE denkbar, eine Problemstellung
herbeizuführen, bei der das Löschen einer Unternehmensdatei auf einem Privatgerät,
ebensolche arbeitsrechtliche Konsequenzen nach sich zieht. Insbesondere, wenn eine
Löschung von Betriebsdaten mit Absicht zur Behinderung einer Aufklärung vorgenommen
wird und gegen eine Anweisung der AG ausgeführt wurde.
Aus dem Entlassungsrecht haben sich Grundsätze gebildet, anhand derer festgestellt
wird, ob die Qualifikation der berechtigten Entlassung vorliegt. Hier ist von tragender
Bedeutung, die objektive Sichtweise einer geeigneten Maßfigur heran zuziehen. Mit der
Voraussetzung der Vorlage eines wichtigen Grundes und der folgenden Unzumutbarkeit
einer Weiterbeschäftigung kann sich eine Entlassung rechtfertigen.122 In einer
Nutzungsvereinbarung können Verstöße, ausgelöst durch das Verhalten der AN, mit der
Folge einer Entlassung vereinbart werden. Vertraglich zulässige Entlassungstatbestände
müssen in Abstimmung zu den bereits bestehenden gesetzlichen Tatbeständen stehen und
können auch betriebs- und branchenspezifische Anforderungen miteinbezieht.123 Für den
Einsatz mobiler Privatgeräte bedeutet dies, dass insbesondere, wenn sensible
Unternehmensdaten verarbeitet werden, deren Schutz in Abhängigkeit zum
Wettbewerbsvorteil124 in einem Fachgebiet steht, ein spezifischer Entlassungstatbestand
vereinbart werden kann.
Im Fall125 einer Mitarbeiterin, die aufgrund einer vertraglichen Vereinbarung dazu
aufgefordert war, das Firmengerät nicht für Privatgespräche zu nutzen, wurde durch die
Rsp eine gerechtfertigte Entlassung bestätigt. Beim Pflichtverstoß wurde kein Privatgerät
verwendet, doch lässt sich die Argumentation der Rsp, um die Entlassung zu rechtfertigen,
mA nach auch für den unerlaubten betrieblichen Einsatz eines privaten Gerätes heran
ziehen. Ziel ist immer den Schutz der Leistungsfähigkeit und Sicherheit der internen
Kommunikation über das Firmennetzwerk zu bewahren.126 Sollte dies durch den Einsatz
eines mobilen Device, durch die AN gefährdet werden, kann eine vorzeitige Auflösung von
Seiten der AG aus wichtigem Grund erfolgen. Insbesondere, wenn dies einem
ausdrücklichen Verbot unterliegt und als Verstoß gegen eine betriebliche
Ordnungsvorschrift127 zu erkennen ist.
122 Friedrich, Grundfragen des Entlassungsrechts: Wesen des wichtigen Grundes und unverzügliche Geltendmachung, ASoK 2008, 453 (455). 123 Neumayr in ZellHB AV Klauseln Rz 12.12. 124 zB Verbot von Privatgeräte in einer Produktionshalle um Fertigungstechniken vor Betriebsspionage zu schützen. 125 OGH 23.11.2006, 8 Ob A 69/06i, ecolex 2007/130 = ZAS 2007/109. 126 Hartmann, Der Internetzugang am Arbeitsplatz im Fokus einer Gesetzesnovelle, JB Datenschutzrecht
(2010) 211 (217). 127 Dazu näher Pfeil in ZellKomm² § 27 AngG Rz 133.
28
Die heutige technische Ausstattung der Geräte mit Sensoren, drahtlosen
Verbindungsarten und Aufnahmemöglichkeiten erleichtern eine unkomplizierte Weitergabe
von betrieblichen Daten. Die Einfachheit der Bedienung und in vielen Fällen Sorglosigkeit
im Umgang mit Daten, durch die Gerätebetreiberinnen, macht eine Konkretisierung
möglicher Verstöße in Nutzungsvereinbarungen unumgänglich. Somit können AN ihr
Nutzerinnenverhalten überhaupt erst anpassen und Präventivmaßnahmen im Interesse
beider Vertragsparteien vornehmen.
2. Schutzvorschriften für den Einsatz
Einen Großteil der Arbeitszeit verbringen viele AN vor Bildschirmgeräten. Diese
Arbeitshaltung nimmt Einfluss auf den gesamten Bewegungsapparat und das
Sehvermögen von Menschen. Mit gesetzlichen Vorschriften wird den negativen Folgen
versucht entgegen zu wirken. Beim Arbeiten mit Bildschirmgeräten regelt die
Bildschirmarbeitsverordnung (BS-V)128 und das ArbeitnehmerInnenschutzgesetz
(AschG)129 Sicherheitsvorkehrungen, um die Gefahr der Gesundheitsgefährdung zu
senken. Es existieren auch spezifische Sonderreglungen für Heimarbeiterinnen,
Bundesbedienstete und Arbeitnehmerinnen in der Land- und Forstwirtschaft. Ergonomisch
gestaltete Arbeitsplätze wirken gesundheitlichen Beeinträchtigungen entgegen und
erleichtern die Arbeitsbedingungen, bei längeren Arbeiten an Bildschirmarbeitsplätzen.130
2.1. Bildschirm- und Büroarbeitsplätze
Das ArbeitnehmerInnenschutzgesetz normiert einen Bildschirmarbeitsplatz als
Eingabe- und Datenerfassungsvorrichtungen. Bildschirmarbeitsplätze unterliegen der
Pflicht nach Stand der Technik gestaltet zu werden und ergonomischen Anforderungen zu
genügen. Deren Schutzvorschriften werden erweitert durch § 67 Abs 4 ASchG und gelten
auch für regelmäßig eingesetzte tragbare Datenverarbeitungsgeräte. Für
Bildschirmarbeitsplätze finden sich besondere Maßnahmen, die die Gefahren der
physischen und psychischen Belastung minimieren, sowie das Wahrnehmungsorgan Auge
128 BS-V BGBl II 1998/124. 129 BGBl 1994/450. 130 Mosler, Arbeitnehmerschutzrecht, in Jahnel/Mader/Staudegger (Hrsg), IT-Recht³ (2012) 465 (468).
29
schützen sollen. Neben der verwendeten Hardware, ist auch die Software in die
Schutzbestimmungen aufgenommen worden.131
Somit soll die zur Verfügung gestellte Software, nach § 68 Abs 2 ASchG, zur Tätigkeit
passen und benutzerinnenfreundlich sein. Die Software soll einen Überblick über Abläufe
bieten, in deren Geschwindigkeit und Format anpassbar sein. Für zutreffend halte ich die
Ansicht nach Mosler132, der den undefinierten Begriff der Benutzerinnenfreundlichkeit
kritisiert und das Fehlen von verbindlichen Prüfmustern aufzeigt, die es ermöglichen diese
Kriterien nachvollziehbar beurteilen zu können. Es liegt jedoch eine Verpflichtung der
Arbeitgeberin vor, die eingesetzte Software, somit auch die verwendeten Firmen-Apps nach
ergonomischen Gesichtspunkten an die Nutzerinnen anzupassen.
2.2. Anforderung an mobile Bildschirmarbeit
Die Anforderungen an Bildschirmarbeitsplätze werden neben dem ASchG
konkretisiert durch die Bildschirmarbeitsverordnung zum Gesundheitsschutz der AN. Diese
definiert Bildschirmarbeitsplätze als Arbeitsmittel und listet in § 3 Abs 1 Z 1-8 BS-V jene
Anforderungen auf, die Formatgröße, Helligkeit, Pixeldichte, Reflexion sowie Erkennbarkeit
betreffen.
Die Unterweisungspflicht der Arbeitgeberin nach § 13 BS-V bezieht sich auf jede
wesentliche Veränderung der Organisation des Arbeitsplatzes. ME liegt dies beim Einsatz
von mobilen IT-Geräten vor und demnach muss ein bestimmungsgemäßer Gebrauch durch
eine Unterweisungspflicht berücksichtigt werden.
Nach Mosler133 werden in Rahmen der tragbaren Datenverarbeitungsgeräte Laptops
und Notebooks angeführt, wobei er offen lässt, ob mit der Bezeichnung „Ähnliche Geräte“
auch Mobile Geräte im Sinne der Smartphones, Tablets und Wearables gemeint sind.
Wesentlich ist die Einordnung der mobilen Privatgeräte als tragbare
Datenverarbeitungsgeräte iSd der BS-V deshalb, da diese infolge dessen unter ein höheres
Schutzniveau fallen. Die EG-Richtlinie134 über die „Durchführung von Maßnahmen zur
Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der
131 Nöstlinger, ArbeitnehmerInnenschutz² (2013) 232. 132 Mosler, Arbeitnehmerschutzrecht 476. 133 Mosler, Arbeitnehmerschutzrecht 471. 134 RL 89/391/EWG, ABl 1990 L 156, 14.
30
Arbeit“ gibt keinen direkten Hinweis darauf. Weswegen der EuGH sich in dieser
Auseinandersetzung mit Begriff „tragbare Datenverarbeitungsgeräte“ in der Rechtssache135
„Dietrich/Westdeutscher Rundfunk“ befasst hat. Zwar wurde dieser nicht dahingehend
konkretisiert, dass eindeutig mobile Geräte wie Tablets, Smartphones usw darunter zu
verstehen sind, doch begründet er eine weite Begriffsauslegung mit dem Ziel auch auf neue
Technologien in der Arbeitswelt zu reagieren.
Auch für Lambach/Prümper136 legt der EuGH den Begriff „tragbare
Datenverarbeitungsgeräte“ der Richtlinie über die Mindestvorschriften, bezüglich der
Sicherheit und des Gesundheitsschutzes bei der Arbeit an Bildschirmgeräten, dahin
gehend aus, dass mobile IT-Geräte ebenso erfasst sind.
3. Haftung und Schadenersatz
Beim Einsatz mobiler Privatgeräte der AN können Schäden entstehen. Entweder an
den Geräten selbst oder durch die Geräte am Eigentum der AG, Mitarbeiterinnen oder
Kundinnen. Bei Beeinträchtigungen und wirtschaftlichen Nachteilen, verursacht durch die
AN, an dem Vermögen der AG, greift das allgemeine Schadenersatzrecht des ABGB und
im Geltungsbereich des Dienstnehmerinnenhaftpflichtgesetz (DHG) eine Beurteilung nach
dem Mäßigungsrecht. Wird im Zusammenhang mit den Geräten der AN, ein Schadensfall
realisiert (zB durch eingeschleuste Schadprogramme), kann sich auch die AG
schadenersatzpflichtig machen. Da die AN ihre Privatgeräte im Interesse der AG einsetzt,
erhöht sich deren Risiko, während der vertraglich geschuldeten Tätigkeit, einen
Schadensfall zu erleiden. Dieses erhöhte Risiko wird durch das
Dienstnehmerhaftpflichtgesetz bedachtsam miteinbezogen, weshalb bei einer
entschuldbaren Fehlleistung der AN, die AG ebenfalls den Schaden auszugleichen hat. Die
Fehlleistung und der entstandene Schaden, bei der Erbringung der Arbeitsleistung, müssen
hierfür im direkten Zusammenhang zum Arbeitsverhältnis stehen (zB Spielen einer privaten
App während der Arbeitszeit). Sollte durch den Einsatz der mobilen Endgeräte, auch eine
dritte Person einen Schaden erlitten haben, kann eine Haftung der AG dennoch entstehen.
Schäden können im Bereich der IT in vielen Fällen nicht eindeutig zugeordnet werden, da
mehrere Faktoren zusammenspielen. Oft kann auch erst durch die Kombination eines
Fehlverhaltens der AN und der AG ein Schaden entstehen (zB unzureichendes Passwort
135 EuGH 6.7.2000, Rs C-11/99, Dietrich/Westdeutscher Rundfunk (Bildschirmarbeitsplatz), Slg 2000, I-5589. 136 Lambach/Prümper, Mobile Bildschirmarbeit: Auswirkungen der Bildschirmrichtlinie 90/270/EWG und der BildscharbV auf die Arbeit an mobil einsetzbaren IT-Geräten, RdA 2014, 345 (354).
31
der AN und Sicherheitslücke der Firmensoftware der AG erleichtert eindringen der
Schadsoftware von außen)137. In der IT kann ein Schaden weitreichende Folgen mit sich
ziehen, demnach kann ein gänzlicher Stillstand des Betriebes zustande kommen.
3.1. Beschädigung der AN-Geräte
Prinzipiell hat die AG notwendige Betriebsmittel zur Verfügung zu stellen, doch
können auch die AN ihre Privatgeräte am Arbeitsplatz einsetzen. Bei dieser betrieblichen
Verwendung kann ein Schaden an der Hard- oder Software entstehen. Hier greift die
Risikohaftung des § 1014 ABGB, die verschuldensunabhängig die AG für Sachschäden zur
Verantwortung heranzieht. Grund für die verschuldensunabhängige Haftung ist der
betriebliche Einsatz des Privateigentums im Interesse der AG. Die Verjährung für einen
angemessenen Ersatzanspruch nach § 1486 Z 5 ABGB liegt bei drei Jahren.138 Wenn die
Geräte nur für die persönliche Entlastung139 eingesetzt werden, obwohl die AG anderweitige
zur Verfügung gestellt hat, wird dies (zB Einsatz der Smartphonekamera im Labor, obwohl
Kompaktkamera zu Dokumentationszwecken bereit steht) dem persönlichen Bereich der
AN zugerechnet. Das Ausmaß für den Schadenersatz beinhaltet keine
abnützungsbedingten Schäden, sondern nur jene die tatsächlich im Zusammenhang mit
der Arbeitsleistung zustande kommen. Solange kein Vorsatz der Schädigung der AN vorlag,
kann Ersatz gefordert werden.
Sollte die AN ein Verschulden am Schaden des eigenen Gerätes treffen, wird auf den
Grad der Fahrlässigkeit Bedacht genommen. Bei einer entschuldbaren Fehlleistung wird
§ 2 Abs 3 DHG140 herangezogen und die gesamte Ersatzpflicht trifft dennoch die AG. Eine
schlechte Einweisung für die Benützung der technischen Mittel und unter Umständen eine
schadhafte firmeneigene Software kann eine Rolle spielen, bei der Verteilung der
Haftungsfrage.141 Ob die Risikohaftung im Arbeitsrecht vollkommen abdingbar ist, kann
nicht einheitlich beantwortet werden, da die Rsp diese, bisher nur grundsätzlich bestätigt.142
137 Siehe Der Standard, Unternehmen werden gezielt gehackt, http://derstandard.at/2000014276193/Virenjaeger-Unternehmen-werden-gezielt-gehackt (8.10.2015). 138 Greifeneder, Vereinbarungen über die AG-Haftung bei Schädigung in der Sphäre des AN, in Reissner/Neumayr (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln (2010) Rz 68.01. 139 Siehe OGH 18.2.1986, 4 Ob 180/85, DRdA 1988/6, 132 (Jabornegg) = ZAS 1987/10, 85 (Kerschner); 9 ObA 504/87, DRdA 1991/2, 27 (Jabornegg) = Arb 10.664; 9 ObA 222/90, DRdA 1991, 153 = Arb 10.901. 140 DHG BGBl 1965/80. 141 Vgl Löschnigg, Arbeitsrecht12 (2015) Rz 6/799. 142 OGH 4.9.1996, 9 Ob A 2136/96z, DRdA 1997/28.
32
Bei einer Regelung zur Abdingbarkeit der Risikohaftung gilt die Grenze der
Sittenwidrigkeit.143
Das Unternehmerinnenrisiko soll nicht auf die AN abgewälzt werden können, von
diesem Schutzgedanken ist das DHG geprägt und unterstützt die AN bei einer
entschuldbaren Fehlleistung. Da § 1014 ABGB analog angewandt wird, ist dessen
Abdingbarkeit nicht zwingendermaßen auch von dieser erfasst.144 Somit entgehen AN dem
Drängen der AG ihre Privatgeräte einzusetzen, da Schäden an diesen auch von ihr bei
keinem Verschulden bzw einer entschuldbaren Fehlleistung getragen werden müssen.
Grundsätzlich haftet die AG nicht, wenn sich Schäden am Eigentum der AN
realisieren, die dem allgemeinen Lebensrisiko zugerechnet werden können. Mobile Geräte
sind alleine durch ihren Wert einer Raub- und Diebstahlsgefahr ausgesetzt. Diese erhöht
sich mit dem Einsatz am Arbeitsplatz, hier ist eine Abgrenzung zum allgemeinen
Lebensrisiko schwer zu ziehen.145
3.1.1. Sonderfall: Fernlöschung ohne Begründung
Mit Sicherheitstools werden sensible Daten gesichert und auch eine Fernlöschung
kann angewendet werden.146 Eine Fernlöschung147 bedeutet das Lokalisieren des Gerätes,
eine Verbindungsaufnahme zu diesem und die Löschung von Daten ohne physischen
Zugriff auf das Gerät selbst. Diese Löschung kann, entweder von der AG selbst oder der
AN durchgeführt werden. Nach dem Bekanntwerden eines Diebstahls oder bei Annahme
eines Verlustes kann, getragen durch die Festlegung in einer Nutzungsvereinbarung, eine
Meldepflicht ausgelöst werden. Nach der Anzeige an die AG, entscheidet diese gemeinsam
mit der AN, ob eine Löschung notwendig ist.148 Müssen im Zuge der Datensicherheit149 auch
AN Daten gelöscht werden, hat dieser Zugriff der AN mitgeteilt zu werden.
143 Windisch-Graetz in ZellKomm² § 1014 ABGB Rz 19. 144 Löschnigg/Reissner, Arbeitgeberhaftung für Sachschäden auf der Dienstreise, ecolex 1991, 110 (113). 145 Vgl Kerschner, Die geraubte Fotoausrüstung Serie: "Der praktische Fall" DRdA 1986, 230 (234). 146 Arning/Moos/Becker, Vertragliche Absicherung von Bring Your Own Device: Was in einer Nutzungsvereinbarung zu BYOD mindestens enthalten sein sollte, CR 2012, 591 (592). 147 Wird auch als Remote-Löschung oder Remote Wipe bezeichnet. 148 Goricnik/Riesenecker-Caba, Datenschutz und Datensicherheit beim betrieblichen Einsatz mobiler "smarter" Endgeräte, Dako 2014/16, 34 (35). 149 Vgl Dürager, Datenschutzrechtliche Aspekte der mobilen Kommunikation im Unternehmen: "Bring your own device" - ein Risiko für den Arbeitgeber? in Jahnel (Hrsg), JB Datenschutzrecht und E-Government (2012) 137 (147).
33
Eine nicht autorisierte Fernlöschung, entweder durch eine Verwechslung von Geräten
oder ohne Vorliegen eines Verlustes, liefert bereits die Tatbestandsmerkmale des § 126a
StGB der Datenbeschädigung150. Dies birgt die Gefahr für die Geräteinhaberin, dass das
Gerät unbrauchbar wird. Technisch ist es möglich ein Gerät zu sperren, Daten zu löschen
und als schwerwiegendster Eingriff die Funktionsfähigkeit151 des Gerätes zu stören. Wird
nicht nur das Gerät gesperrt und die Daten gelöscht, sondern eine schwere Störung152 der
Funktionsfähigkeit herbeiführt wird (sog Kill Switch, verhindert unbefugtes Zurücksetzen
des Gerätes in den Auslieferungszustand, ohne Anmeldedaten zum Konto der
Herstellerinnen nicht aufhebbar), kann das Gerät, trotzt Flugmodus und das Umgehen der
Diebstahlsicherung, deaktiviert werden. Wird diese Funktion ausgeübt, Daten der AN
grundlos gelöscht, ihr Gerät funktionsunfähig, hat die AG Ersatz des Gerätes und der
Wiederbeschaffungswert der Privatdaten zu leisten.153
3.2. Schadensfälle durch die AN-Geräte
Die Schadenszufügung durch die AN muss die typischen Elemente (Schaden,
Verschulden, Rechtswidrigkeit, Kausalität) zur Schadenersatzpflicht des §§ 1293 ff ABGB
enthalten.154 Sollte gegen eine Nutzungsvereinbarung, ein gesetzlich geregeltes
Rechtsgebot verstoßen uo Sorgfaltspflichten außer Acht gelassen worden sein, ist die AN
dazu verpflichtet für ihre schuldhaft verursachten Schäden aufzukommen.155
Das DHG greift, sofern die Schädigung im Lauf der Erbringung einer Arbeitsleistung
erfolgt ist. Die Haftungserleichterung zugunsten der AN entfaltet sich in einer
Aufschlüsselung der Verschuldensgrade (mit Abstufungen im Mäßigungsrecht nach § 2
DHG entschuldbare Fehlleistung, grobe Fahrlässigkeit, sowie Vorsatz). Verschuldensgrade
sind nach allgemeinen Grundsätzen des Zivilrechts einzuordnen.156 Die Beweisregeln
führen die AG in die Lage Schaden und Verursachung darlegen zu müssen. Hier hat die
AN die nicht vorhandene Zurechenbarkeit, des ihr unterlaufenen Fehlverhaltens, zu
beweisen hat.157 Gerade im Bereich der Vereinigung von Privat- und Unternehmensdaten
150Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., 17.D.2 (Stand: 7.7.2015, rdb.at). 151 Bspw durch Zerstörung des Prozessors mit einer zu großen Stromzufuhr aus dem Akku „overvolting“ oder Diebstahlschutz auf Hardware-Ebene mit Manipulation der Schaltkreise. 152 Dazu näher Dürager/Leiter, Wirtschaftsstrafrecht, in Napokoj (Hrsg), Risikominimierung durch Corporate
Compliance (2010) Rz 1087. 153 Vgl Öhlböck/Esztegar, Rechtliche Qualifikation von Denial of Service Attacken, JSt 2011, 126 (129). 154 Reissner, Lern- und Übungsbuch Arbeitsrecht5 (2015) 320. 155 Löschnigg, Arbeitsrecht12 Rz 6/750. 156 Reissner, Arbeitsrecht5 (2011) 323. 157 Mayr, Arbeitsrecht (2015) § 2 DHG E 13 (Stand: 1.10.2015).
34
auf einem einzigen Gerät, ist eine Abgrenzung schwierig, zwischen einer Tätigkeit, die der
geschuldeten Arbeit zugewiesen werden kann und einer die eine private Handlung darstellt.
Insofern ist die Feststellung, ob eine private oder berufliche Handlung gesetzt wird,
ausschlaggebend für die Haftungserleichterung des DHG. Bereits bei einer
Arbeitsunterbrechung, zwischen den auszuführenden Tätigkeiten zugunsten der AG
Interessen und dem gleichzeitigen Schadenseintritts, liegt eine private Aktivität vor.158 Eine
Haftung unter Arbeitskolleginnen ist nach den allgemeinen Bestimmungen des
Schadenersatzrecht abzuhandeln, wobei hier eine Haftungserleichterung nicht zum Tragen
kommt.159
Ein Verstoß gegen das DSG wird auch bei Schädensfällen durch die AN relevant.
Schäden aus einer unsachgemäßen Verarbeitung können Schutzbestimmungen des
Datenschutzrechts betreffen. Mit der Entscheidung Daten für einen bestimmten Zweck zu
verarbeiten, ohne im Auftrag der AG zu handeln, kann die AN als Auftraggeberin
angesehen werden. Demnach kann sie gegebenenfalls dazu verpflichtet werden,
Schadenersatz nach § 33 Abs 1 DSG zu leisten, wenn durch ihre Missachtung des DSG
eine betroffene Person zu Schaden gekommen ist.160 Ferner wird die AN
schadenersatzpflichtig, wenn ein schutzwürdiges Geheimhaltungsinteresse in einer Weise
verletzt wird, die vergleichbar einer Bloßstellung des § 7 Abs 1 MedienG ist161, selbst wenn
die Veröffentlichung nicht in Form eines für jederfrau zugängliches Medium vonstattengeht.
Hier können Fälle der unerlaubten Verbreitung von pikanten Nachrichten oder Bilder der
Arbeitskolleginnen eine Schadenersatzpflicht auslösen.
Mit der Vernetzung zwischen betrieblichen Rechnern, privaten Geräten und dem
Internet, ist ein Einschleusen von Schadprogrammen (zB Öffnen eines Email Anhangs),
selbst bei einer sorgfältigen Sicherheitsvorkehrung, im Bereich des Möglichen. Die
Nutzungsvereinbarung legt fest, welche Verhaltensregeln die AN zu erfüllen hat. Das
Ergebnis ist der Schutz von sensiblen Daten (zB Geschäftsgeheimnisse), das Funktionieren
des betrieblichen Computernetzwerks und das Aufrechterhalten der Funktionsfähigkeit der
damit verbundenen Hardwarekomponenten. Ihre Haftung steht in Abhängigkeit zur
vereinbarten Regelung der Nutzung. Sobald eine Tätigkeit am Privatgerät ausgeführt wird,
die nicht Gegenstand einer Leistungserbringung für die AG ist (zB Download von Apps,
158 Windisch-Graetz in ZellKomm² § 2 DHG Rz 13. 159 Windisch-Graetz in ZellKomm² § 3 DHG Rz 6. 160 Berka, Welchen Beitrag leistet das Datenschutzrecht zum Persönlichkeitsschutz? in Berka/Grabenwarter/Holoubek (Hrsg), Persönlichkeitsschutz in elektronischen Massenmedien, REM Bd 9
(2012) 79 (88). 161 Siehe Dohr/Pollirer/Weiss/Knyrim, DSG², § 33, E23.2 (Stand: 7.7.2015, rdb.at).
35
privates Surfen im Internet usw), unabhängig davon ob sich dies während der Arbeitszeit
ereignet, greift das DHG nicht mehr. Hier muss die AN für die verursachten Schäden
Verantwortung übernehmen.
Bei der Beurteilung, ob eine entschuldbare Fehlleistung vorlag, sollte die Gefährdung,
während einer vertraglich geschuldeten Tätigkeit, als Folge der Erfüllung einer Arbeitspflicht
eingetreten sein. Einflussgebend ist die Absehbarkeit einer Gefahr, inwieweit die AN davon
auszugehen hatte. Installiert die AN eine als Gefahrenquelle bezeichnete App, entgegen
einer Black-List, so liegt mA bereits keine entschuldbare Fehlleistung mehr vor. Auch das
Öffnen von Anhängen am mobilen Gerät ohne die Identität der Absenderin zu kennen oder
das Installieren von Apps aus unbekannten Quellen sind ähnlicher Konstellationen, in
denen eine entschuldbare Fehlleistung schwer zu beweisen sein wird. Die AG hat der AN
Sicherheitsvorkehrungen zur Seite zu stellen, um den Schutz für ihr betriebliches Netzwerk
und auch den Schutz der Daten der AN zu unterstützen.162
Bei einem vorsätzlichen Einsetzen von Schadprogrammen, in Gewinn- oder
Schädigungsabsicht, hingegen greift der Straftatbestand des § 118a StGB Widerrechtlicher
Zugriff auf ein Computersystem. Diese Schadprogramme werden meist zu
Spionagezwecken eingesetzt und sollen Sicherheitsvorkehrungen umgehen. Auch können
die Delikte nach § 126a StGB der Datenbeschädigung und der Störung der
Funktionsfähigkeit eines Computersystems nach § 126b StGB verwirklicht werden.163
Neben strafrechtlichen Folgen können Vermögensschäden entstehen und bei einem
Ausfall der Hardware, sogar ein Stillstand des Betriebs drohen. Diese Schäden hat die AN
nach § 1324 ABGB zu ersetzten.
Zur Wiederherstellung von beschädigten oder gelöschten Daten, sowie zur
Beweissicherung kann die Computerforensik Aufschluss geben, sofern nicht spezielle
Formatierungs- und Löschprogramme zum Einsatz gekommen sind.164
162 Laimer/Mayr, Zum Spannungsverhältnis von Arbeitgeber- und Arbeitnehmerinteressen rund um die EDV-Nutzung, DRdA 2003, 410 (410). 163 Reindl-Krauskopf, Cyberstrafrecht im Wandel, ÖJZ 2015/19, 112 (114). 164 Willer/Hoppen, Computerforensik – Technische Möglichkeiten und Grenzen, CR 2012, 610 (615).
36
3.3. Haftung bei Schäden an Dritten
Bei Schäden an Dritten erfolgt das schädigende Verhalten, während der Erbringung
der Arbeitsleistung. Ist ein Vertragsverhältnis gegeben, zwischen der AN und der AG,
richten sich die Konsequenzen aus der Schädigung nach §§ 3 f DHG. Gilt die AG als
Geschäftsherrin, die AN als ihre Erfüllungsgehilfin, kommt die Haftung nach § 1313a ABGB
zur Anwendung. Die Risikohaftung nach § 1014 ABGB wird analog angewandt, wenn es
sich um Schäden durch die AN an Dritten handelt.165
Eine Inanspruchnahme der AG durch die geschädigte Dritte Person, kann einen
Regressanspruch gegen die AN nach sich ziehen. Dieser richtet sich nach den
Prüfelementen des DHG. Vv wird ein Rückforderungsanspruch der AN gegen die AG,
mittels einer Vergütung geltend gemacht, begründet sich dies, durch eine
Schadenersatzforderung einer dritten Person, im Vorfeld.166 Nach § 1313a ABGB kann
somit die dritte Person Schadenersatz verlangen, sollten Daten beschädigt worden sein,
ein Verstoß gegen das DSG vorliegen oder Hardware durch die Schädigung nicht mehr
einsetzbar sein.167 Die Verjährungsfrist beträgt drei Jahre ab Kenntnis der Schädigung. 168
Der Sorgfaltsmaßstab des § 25 Abs 1 GmbHG und des § 84 AktG umspannt auch die
Vertraulichkeit von Unternehmensdaten. Die Aktualität der Sicherheitsvorkehrung von IT-
Systemen, nach Stand der Technik, ist zu gewährleisten. Daten dritter Personen dürfen,
weder an Unberechtigte heraus zu geben werden, noch einer Beschädigung ausgesetzt
sein.169 Sobald ein Verlust des Privatgerätes einer AN, inklusive die darauf gespeicherten
Daten einer dritten Person, der AG bekannt ist, ist diese gemäß § 24 Abs 2a DSG durch
die AG darüber zu informieren.170 Sofern die Datensicherheit durch angemessene
Vorkehrungen beachtet worden ist und ein größtmögliches Schutzniveau erreicht wurde,
kann die Verletzung der Geheimhaltungspflicht der AG nicht als Grundlage zur
Schadenersatzforderung angebracht werden.171
165 Löschnigg, Arbeitsrecht12 Rz 6/768. 166 Löschnigg, Arbeitsrecht12 Rz 6/768. 167 Windisch-Graetz in ZellKomm² § 3 DHG Rz 3. 168 Löschnigg, Arbeitsrecht12 Rz 6/785. 169 Hasberger, IT-Sicherheit und Haftung, ecolex 2007, 508 (510). 170 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., 17.D.3 (Stand: 7.7.2015, rdb.at). 171 Dürager, Datenschutzrechtliche Aspekte 151.
37
4. Datensicherheit als AN-Pflicht
4.1. Verwahrung und Meldepflicht bei Verlust
Da sich unternehmensrelevante Daten auf den Geräten der AN befinden, ist deren
Zustand vor Missbrauch und Schädigung, auch durch die AN, zu schützen. Eine
Meldepflicht von pflichtwidrigen Verhalten der Arbeitskolleginnen und daraus resultierende
Behinderungen von Betriebsabläufen, trifft nur die AN, wenn diese eine Stellung im Betrieb
innehat, in der ihr eine Aufsichtsfunktion zukommt. Dann hat sie im Zuge ihrer
Anzeigepflicht über pflichtwidriges Verhalten anderer AN und Gefährdungen des
Geschäftsbetriebs eine Meldung an die AG abzugeben. Die generelle Anzeigepflicht lässt
sich durch die Treuepflichten ableiten, wobei besonders der Fall des Verlustes und des
Diebstahls hervorzuheben ist.172
Der Schutz des Gerätes am Arbeitsplatz ist zu gewährleistet (zB vor Flüssigkeiten,
Staub uvm) und ebenso in der privaten Sphäre, um einen Ausfall entgegen zu wirken (zB
offensichtliches Liegenlassen im PKW). Der Persönlichkeitsschutz der AN und die damit
verbundene Fürsorgepflicht der AG, trifft auch die vermögensrelevanten Interessen der
Privatgeräte, um diese vor Schäden zu bewahren.173 Die zumutbare Fürsorgepflicht174 kann
auch vermögensorientiert betrachtet werden, somit befinden sich die, der AN eingebrachten
mobilen Endgeräte, auch durch die Anerkennung der Rsp, wohlgleich nicht wörtlich
normiert, im Schutzradius des § 1157 ABGB. Geeignete Aufbewahrungsmöglichkeiten an
der Arbeitsstätte, um die Geräte zu sichern, sind Teil der Fürsorgepflicht der AG.175
4.2. Vertraglicher Schutz der Daten insbesondere Geheimnisschutz
Informationen beeinflussen den Wettbewerb. Die AG wird in den meisten Fällen ihr
ausgeprägtes Geheimhaltungsinteresse, ihrer Geschäfts- und Betriebsgeheimnisse, an
ihre AN kommunizieren, demnach ist ihr Geheimhaltungswillen nach außen getragen. Ist
der Personenkreis beschränkt und gelangen die Informationen, entgegen einem
schutzwürdigen wirtschaftlichen Interesse, an unberechtigte Personen, kann dies die
172 Mayer, Anzeigepflicht des Arbeitnehmers AG über Missstände im Betrieb, ZAS 2010/31, 186 (186). 173 Egermann, Gibt es eine generelle Förderungs- und Aufklärungspflicht des Arbeitgebers? ZAS 2005/20, 111 (115). 174 Vgl OGH 8.8.2007, 9 Ob A 90/07m, DRdA 2009/3. 175 Pačić, Fürsorgeplicht der Arbeitgebers im Lichte der Rechtssprechung, ZAS 2010/26, 144 (147).
38
Arbeitgeberin in eine nachteilige Lage bringen. Durch die unerlaubte Weitergabe oder
unbeabsichtigte Verteilung von Betriebsgeheimnissen (zB Kenntnisse technischer Natur)
und Geschäftsgeheimnissen (zB betriebswirtschaftliches Kompetenzen) werden der
Öffentlichkeit oder Unberechtigten Details über den Betrieb offenbart.
Neben den arbeitsvertraglichen Konsequenzen, erlangen auch weitere
Gesetzesgrundlagen bei einem Verstoß, gegen die unerlaubte Weitergabe von geschützten
Daten, eine Bedeutsamkeit. Das Strafrecht, das Bankwesengesetz und das Gesetz gegen
den unlauteren Wettbewerb (UWG)176 schützen die unerlaubte Weitergabe von Daten. Das
UWG bietet der AG einen Schutzbereich, der darauf abgestellt ist, Geheimnisse, während
aufrechten Arbeitsverhältnis, vor einer unerlaubten Freigabe zum Zwecke des Wettbewerbs
zu bewahren. Ebenso unterliegt es dem UWG, wenn vor und nach dem Ende des
Arbeitsverhältnisses gesetz- und sittenwidrig Geschäfts- oder Betriebsgeheimnisse
beschafft werden. Auch wird sanktioniert wenn diese verwertet oder Unberechtigten
mitgeteilt werden. Die Verletzung eines Geschäfts- oder Betriebsgeheimnisses können nur
Personen bewerkstelligen, wenn sie durch ihre Tätigkeit im Betrieb davon Kenntnis erlangt
haben und gesetzlich dazu angehalten waren dieses zu wahren. Erst dann betrifft die
Handlung das Verwertungs- und Offenbarungsverbot des § 122 StGB, weswegen eine
vertragliche Bindung zum Schutze der unternehmenssensitiven Informationen nach § 11
UWG als Privatanklagedelikt anzusehen ist.177
Konventionalstrafen können vereinbart werden, die auch ein zeitliches Schutzfenster
definieren, in dem der Verstoß gegen die Verschwiegenheit, sanktioniert wird. Nach
§ 82 lit e GewO 1859 und § 27 Z 1 Fall 3 AngG kann die Verletzung der
Verschwiegenheitspflicht sogar einen Entlassungsgrund bilden. Die Allgemeine Pflicht zur
Verschwiegenheit wird abgedeckt durch die Treuepflicht, da diese ein berechtigtes und
schutzwürdiges Interesse der AG darstellt. Einen strengeren Maßstab lässt man
ausgewählten Berufsgruppen (zB Anwältinnen, Wirtschaftstreuhänderinnen uvm.)
zukommen, der auch nachvertragliche Wirkungen entfalten kann. Im Bereich des
Datenschutzes muss eigens eine Vereinbarung getroffen werden, die sich nach dem DSG
richtet, wenn Mitarbeiterinnen eingesetzt werden, die Zugriffsrechte auf personenbezogene
Daten haben.178
176 BGBl 1993/532. 177 Dürager/Leiter, Wirtschaftsstrafrecht Rz 1093. 178 Löschnigg, ArbeitnehmerInnendatenschutz, in Jahnel/Mader/Staudegger (Hrsg), IT-Recht³ (2012) 497 (515).
39
Eine Geheimnisschutzklausel stützt die AG dahingehend, einen unkontrollierten
Datenfluss nicht in Richtung Dritter oder Mitbewerberinnen zu lenken. Die
Geheimnisschutzklausel ermöglichte es den Umfang und betroffene Materialien festlegen,
Daten ihrer Belegschaft zu schützen, selbst wenn das Arbeitsverhältnis bereits aufgelöst
wurde. Eine Datenschutzklausel findet Eingang in einer arbeitsvertraglichen Regelung,
wenn diese der Wahrung des Datengeheimnisses dient.
Strafrechtlich relevante Tatbestände betreffen nicht nur nach § 122 StGB die
Preisgabe von Geschäfts- oder Betriebsgeheimnissen oder die Wirtschaftsspionage nach
§§ 123 f StGB. Das Internet-Strafrecht beinhaltet eine Reihe von Verstößen gegen das
StGB und in weiterer Folge eine Gefährdung des Geheimnisschutzes. Im Strafrecht werden
nach § 74 Abs 1 Z 8 StGB unter Computersysteme Vorrichtungen verstanden, die einer
automatisierten Datenverarbeitung dienen.179
Computerstraftaten, die mit einem mobilen Gerät begangen werden können:
- § 118a StGB Widerrechtlicher Zugriff auf ein Computersystem (zB Eingabe von
Zugangscodes bis der richtige PIN entdeckt wird, heimlicher Zugriff auf
Computer180)
- § 119 StGB Verletzung des Telekommunikationsgeheimnis
- § 119a StGB Missbräuchliches Abfangen von Daten
- § 120 StGB Missbrauch von Tonaufnahmen oder Abhörgeräte
- § 126c StGB Missbrauch von Computerprogrammen und Zugangsdaten (zB
Veröffentlichung von Zugangsdaten)
- § 126b StGB Störung der Funktionsfähigkeit eines Computersystems (zB
Erpressung von Lösegeld, damit das Mobile Device entsperrt wird)
- § 126a StGB Datenbeschädigung (zB Berechtigte kann keinen Zugriff mehr auf
die Daten ausüben, da diese unwiederbringlich zerstört worden sind)
- § 148a StGB Betrügerischer Datenverarbeitungsmissbrauch (zB Manipulation
der Firmensoftware)
- § 225a StGB Datenfälschung (zB Manipulation von Daten um AG zu täuschen,
wie das Verfälschen von Arbeitsaufzeichnungen181)
Da in Betrieben virtuelle Systeme einen hohen Stellenwert haben, sind diese ein
Einfallstor für Manipulationen, die auch über den Einsatz von Privatgeräten am Arbeitsplatz
179 Sonntag, Einführung in das Internetrecht: Rechtsgrundlage für Informatiker² (2014) 347. 180 Siehe OGH 30.9.2005, 9 ObA 134/05d, RdW 2006/283, 300. 181 Siehe OGH 28.8.2003, 8 ObA 69/03k, RdW 2004/139, 176; 22.10.2010, 9 ObA 40/10p, RdW 2011/166, 164 = ARD 6125/4/2011.
40
verübt werden können. Produktionsstraßen und Kommunikationsabläufe, die bereits über
mobile Steuerungssoftware (zB SCADA-Systeme Supervisory Control and Data
Acquisition)182 überwacht, reguliert und visualisiert werden können, sind Ziele von
Störangriffen. Unabhängig von der Eingabe eines Menschen, sind Computersysteme
bereits fähig miteinander Informationen über Maschinen auszutauschen. Dieser Prozess
wird als Maschine-zu-Maschine-Kommunikation (M2M) bezeichnet und findet Anwendung
im Bereich der Logistik um Arbeitsschritte zu automatisieren. Mit dieser Möglichkeit werden
Bestellungen, Aufträge, Produktion bedarfsorientiert und autonom gesteuert und eine
beträchtliche Datenmenge aus mehreren Quellen mittels einer Datenbank (Big Data183)
verarbeitet.
Ist ein Betrieb ausgestattet mit hochentwickelten IT-Systemen,184 wird die
Anforderung den Geheimnisschutz zu wahren, auch das Verhalten der einzelnen AN
betreffen. Das Arbeiten mit Privatgeräten birgt ein Sicherheitsrisiko. Der Nachweis von
Strafdelikten ist aufwändig und oftmals begleitet von negativen Folgen, wie der
Rufschädigung. Vertragliche Regelungen können mit einer Geheimnisschutzklausel, auch
nach der Beendigung des Arbeitsverhältnisses, eine Geheimhaltungsverpflichtung
aufrechterhalten. Bei einem Verstoß gegen die daraus resultierende
Verschwiegenheitspflicht kann eine Konventionalstrafe festgelegt werden.185
Im Gebiet der Cyber-Kriminalität stehen sich Betriebe einer großen Anzahl an
Bedrohungen ihrer Daten und einer möglichen Schädigung ihrer IT-Infrastruktur gegenüber.
Oftmals werden AN darin verwickelt oder die Verstöße von ihnen begangen. Es werden
sensible Daten abgefangen, Identitäten vorgetäuscht, gefälschte Waren verkauft, im
schlimmsten Fall sogar der Vertriebskanal für Drogentransporte missbraucht (Fall:
Niederländische Hacker schmuggeln zwei Tonnen Kokain und Heroin durch Manipulation
der Ankunftszeiten der Container mittels Email mit Schadprogramm an Hafenmitarbeiter
von Antwerp186). Vermehrt werden absichtlich Sicherheitslücken aufgedeckt, um damit eine
Erpressung durchzuführen oder sich Zugang zu Kundinnendaten über den Zugriff auf
Mitarbeiterinnen zu verschaffen (Fall: virtueller Bankraub von hundert Banken mit
182 Bundeskanzleramt Österreich, Bericht Cyber Sicherheit 2015, Schwachstellen, https://www.bka.gv.at/DocView.axd?CobId=58898 (5.10.2015). 183 Dazu näher Feiler/Fina, Datenschutzrechtliche Schranken für Big Data, MR 2013, 303 (308). 184 Siehe Wulf/Burgenmeister, Industrie 4.0 in der Logistik – Rechtliche Hürden beim Einsatz neuer
Vernetzungs-Technologien, CR 2015, 404 (406). 185 Knallnig, Geheimhaltungsvereinbarung, Datenschutzklausel, in Reissner/Neumayr (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln (2010) 63.16. 186 Bloomberg Business, Belgium Arrests Drug-Probe Suspects for Hacking Port Web Sites,
http://www.bloomberg.com/news/articles/2013-06-17/belgium-arrests-drug-probe-suspects-for-hacking-port-web-sites (5.10.2015).
41
Schadprogramm Carbanak in Höhe von rund einer Milliarde Dollar mit Betroffenen aus 30
Ländern187). Auch Rechtsanwaltskanzleien werden, mit bezahlten Hackergruppen,
vermehrt zu Angriffszielen, da sie oft Knotenpunkt sehr wichtiger Informationen sind und
bemerkenswert schwache Sicherheitshürden188 aufweisen (zB unverschlüsselter E-Mail
Verkehr, vertrauliche Informationen im Intranet).
Sollten mobile Endgeräte zum Einsatz kommen, wird nicht nur von außen die
Datensicherheit und in Folge dessen Geschäfts- und Betriebsgeheimnisse gefährdet,
sondern auch durch ein Verhalten, gesetzt von Mitarbeiterinnen. Mit dem Konzept ihre
Privatgeräte zu verwenden, koppeln sich zwei Schwachstellen. Einerseits sind die
Anwenderinnen beeinflussbar durch soziale Kontakte (zB Ausnutzen des
Passwortschutzes bei Wiederverwendung) und andererseits ist das vielschichtige
komplexe Feld der mobilen Geräte mit dem Risiko einer Einbringung von Schadsoftware
oder einem unkontrollierten Datenverlust schwer einzuschätzen.189
Durch die Pflicht zur Geheimhaltung müssen AN auch Vorkehrungen treffen, die
dieser dienlich sind. Sie können dazu verpflichtet werden, innerhalb einer gewissen Frist
die neuesten Updates zu installieren, nicht leicht zu erratende und periodisch wechselnde
Zugangsdaten (PIN Codes) zu verwenden oder wie bereits angeführt eine höhere Sorgfalt
bei der Auswahl von Apps einzuhalten. Der Gebrauch einer Antivirensoftware kann
ebenfalls Teil einer einzuhaltenden Schutzmaßnahme sein. Auch ist es hilfreich
Schulungen und Informationsblätter anzubieten, Belehrungen190 durchzuführen und
Sensibilisierungsmaßnahmen zu treffen. Aufklärung im Bereich Datensicherheit und
Geheimnisschutz unterstützen technische Maßnahmen und erschweren den Verlust von
unternehmenssensiblen Daten.191
Je nach eingesetzter Strategie (zB MDM oder Sandboxing) zur betrieblichen
Einbindung von mobilen Geräten, ist das erforderliche Mitwirken der AN stärker ausgeprägt.
Bei einer klassischen Einbindung der Geräte, mittels Vollzugriff, wird das gesamte Gerät
verschlüsselt. Die einzuhaltenden Schutzfunktionen, die die AN betrifft, sind physischer
Natur, wie das sichere Verwahren in der Öffentlichkeit. Demnach ist es erforderlich keine
187 Zeit Online, Kriminalität: Hacker erbeuten von Banken eine Milliarde Dollar, http://www.zeit.de/digital/internet/2015-02/banken-hackerangriff-cyberkriminalitaet (5.10.2015). 188 Siehe Cede, Rechtsanwaltskanzleien als Beispiel hybrider Bedrohung, in Dengg/Schurian (Hrsg), Vernetzte Unsicherheit – Hybride Bedrohungen im 21. Jahrhundert (2015) 211. 189 Vgl Bundeskanzleramt Österreich, Bericht Cyber Sicherheit 2015, Schwachstellen, https://www.bka.gv.at/DocView.axd?CobId=58898 (9.9.2015). 190 Dazu näher Dohr/Pollirer/Weiss/Knyrim, DSG² § 14 Rz 8 (Stand: 2.7.2014, rdb.at). 191 Schmidt/Knyrim, Der Mensch ist die größte Schwachstelle, Dako 2015/18, 26 (26).
42
Zugangserleichterung für unberechtigte Personen zu schaffen oder die Weitergabe des
Gerätes an nicht vertrauenswürdige Personen zu praktizieren. Es muss kein tatsächliches
Eindringen in ein System, mittels technischer Fertigkeiten von statten gehen, sondern auch
das Beeinflussen sozialer Kontakte, um an Informationen zu gelangen, bietet einen Weg
Sicherheitsvorkehrungen zu umgehen.192 Dieses Vorgehen wird „Social Engineering“
genannt und wird auch im privaten Umfeld eingesetzt.193
Durch die Größe und Mobilität194 der privaten Endgeräte erhöht sich das Risiko diese
zu verlieren. Ein Angriff auf die Daten ist leichter durchzuführen, da ihre Sicherheitshürden
oft niedriger ausfallen und dennoch eine Verbindung zum Firmennetzwerk besteht.195
4.3. Technische und organisatorische Schutzmaßnahmen
Mit dem Kompromiss zwischen finanziell vertretbarem Aufwand und der Pflicht zur
Sicherung der Daten von Mitarbeiterinnen, sowie Dritter, ist die AG angehalten, nach dem
Stand der Technik Vorkehrungen zu treffen. Diese müssen einen ausreichenden Schutz für
die verarbeiteten Informationen vor Manipulation, Zerstörung und Missbrauch darstellen.196
Diesbezüglich obliegt es ihrer Verantwortung diese Sicherungsmaßnahmen zu
dokumentieren und ein Datensicherheitshandbuch197 zu erstellen. Auch für jene Geräte, die
mobil von ihren AN eingesetzt werden, ist ein solches anzulegen, um die Maßnahmen
abbilden zu können.198
Unter technischen Maßnahmen werden Vorkehrungen bezeichnet, die IT-
Sicherheitsmaßnahmen (zB Firewall, Authentifizierungsstufen, usw.) beinhalten, aber auch
personellen Zugangsschutz und Gebäudeschutz. Zu den organisatorischen Maßnahmen
werden Richtlinien, Schulungen und Verhaltensanweisungen gezählt. 199
192 Koch, Strafrechtliche Probleme des Angriffs und der Verteidigung in Computernetzwerken (2007) 30. 193 Vgl Pierrot, Hacker, in Ernst (Hrsg), Hacker, Cracker und Computerviren: Recht und Praxis der Informationssicherheit (2004) Rz 39. 194 Dazu näher Lemke/Brenner, Einführung in die Wirtschaftsinformatik (2015) 14. 195 Goricnik/Riesenecker-Caba, Dako 2014/16, 34. 196 Dürager, Datenschutzrechtliche Aspekte 146. 197 Siehe Jahnel, Datenschutzrecht: Grundrecht auf Datenschutz, Zulässigkeitsprüfung, Betroffenenrechte, Rechtsschutz (2010) Rz 5/17. 198 Vgl Dürager, Datenschutzrechtliche Aspekte 150. 199 Bundeskanzleramt Österreich, Bericht Cyber Sicherheit 2015, Schwachstellen, https://www.bka.gv.at/DocView.axd?CobId=58898 (5.10.2015).
43
Folgende Maßnahmen können eingesetzt werden:
Technische Maßnahmen
Organisatorische Maßnahmen
- Verwaltung und Überwachung
von Sicherheitszertifikaten
- Herstellen regelmäßiger
Sicherungen
- Ausstattung (zB Sichtschutzfolie)
- Konfiguration Geräteeinstellung
- Gebrauch Sicherheitssoftware
- Authentifizierung der Nutzerin
- Remote-Control
- kryptographisch Verfahren
- Einschränkung Hardware (zB
Kamera)
- Schulungen
- Passwortmanagement
- Verbot „Jail-Break“ und „Root“
- Black-/Whitelist
- Verlustmeldung
- Beschränken von unbekannten
Quellen
Ein aktives Passwortmanagement kann bereits das Ändern von PIN-Codes der SIM-Karte
in regelmäßigen Abständen sein, das Verwenden von Fingerprints, eine gesonderte
Freigabe der Apps, mit einem Kennwort oder einer Multi-Faktor-Authentifizierung200.
Ebenso ist es zweckmäßig die Freigabe bestimmter Datenbestände für einen
eingegrenzten Personenkreis vorzusehen.201 Eine Beschränkung der Zugriffserlaubnis,
mittels Verteilung von befristeten Zugangsberechtigungen und Zeitbeschränkungen (zB
kein Zugriff am Wochenende, im Urlaub), ist nach Anwendungsfall zugleich denkbar.
5. Kontrolle der AN durch den Einsatz der mobilen Geräte
Die Grenzen einer Überwachung eines Computerarbeitsplatzes ist in der Literatur
bereits aus Sicht des Datenschutzes und dem Arbeitsrecht beleuchtet worden. Mit dem
Einsatz mobiler Privatgeräte stellt sich die Frage, wie weit eine Kontrolle, auf einem mobilen
Privatgeräte, das tatsächlich ebenso in der Freizeit zum Einsatz kommt, Anwendung finden
darf?
200 Unter einer Multi-Faktor-Authentifizierung wird verstanden, mehrere Stufen der Identitätsfeststellung einzusetzen, um ein größeres Vertrauen in die Authentizität zu schaffen zB Pin und Fingerscan. 201 Dürager, Datenschutzrechtliche Aspekte 147.
44
Kontrollmaßnahmen finden sich im Arbeitsrecht naturgemäß, aufgrund der
vertraglichen Rechtsbeziehung zwischen AN und AG, zur Überwachung der geleisteten
Schuld und zum Schutz der Belegschaft vor Gefahren, die am Arbeitsplatz drohen
können.202 Hier kollidieren die Interessen der AG den Arbeitsablauf zu bestimmen,
gegenüber der kontrollunterworfenen AN, mit dem verfassungsrechtlich verankerten Schutz
der Privatsphäre203. Die Privatsphäre ist betroffen, da sich Daten auf dem mobilen Gerät
befinden, die keinen betrieblichen Zusammenhang aufzeigen, die personenbezogen sind,
in vielen Fällen sensible Daten darstellen. Als Mehrzweckgerät sind mobile Geräte auch in
Anwendungsbereichen zu finden, die nicht direkt mit der beruflichen Tätigkeit im
Zusammenhang stehen (Urlaub, Sportaktivitäten, Lokalbesuche uvm). Aus diesem Grund
sind diese Geräte, durch ihren erweiterten Nutzungsradius, einem höheren Risiko
ausgesetzt, entweder entwendet oder mit einer Schadsoftware infiziert zu werden. Dies gibt
Anlass die Position des Gerätes und den Datenverkehr der Privatgeräte genauer zu
betrachten. Durch Informationen der stetigen Internetverbindung, dem Freischalten von
GPS, der Kamera/Video- und Tonaufnahmefunktion, Kommunikation über Bluetooth oder
NFC lassen sich Rückschlüsse ziehen, welche Position die Inhaberin des Gerätes innehat
und zu welchen Zeiten sie auf bestimmte Daten Zugriff erlangte.204
Das Ansammeln von personenbezogener Daten, mittels technischer Unterstützung
mit Ziel einer Kontrolle, fällt nach Rebhahn205 unter das DSG. Da diese Maßnahme eine
intensivere Kontrolle darstellt, als das Aufzeichnen von Informationen, durch eine
Befragung oder persönlicher Beobachtung. Am Arbeitsplatz ist die Hemmschwelle hoch,
sensible Informationen bekannt zu machen, die nachteilig ausgelegt werden können. In der
Freizeit aber, bewegt sich die AN auch im Internet frei. Sie greift auf Telebanking,
Diagnoseseiten Kontaktportale oder Onlineshops unbefangen zu. Softwareprogramme206
für „Problem-Mitarbeiterinnen“ oder jene AN, die sich in der Kündigungsfrist befinden, sind
im Stande Prozesse der Geräte auszuwerten und diese zu überwachen (Anrufe,
Nachrichten, Emails, Medienbetrachtung, installierte Apps und deren Mitteilungen, uvm).
Ebenso ist zur Auswertung von Gesundheitsdaten (wie im ÖBB Datensammelskandal207)
das mobile Endgerät eine interessante Quelle (Schritte, Wegstrecken, Ruhezeiten,
202 Brodil, Nutzung und Kontrolle von neuen Medien im Arbeitsrecht, ecolex 2001, 853 (854). 203 Siehe Brodil, Die Kontrolle der Nutzung neuer Medien im Arbeitsverhältnis, ZAS 2004/28, 156 (160). 204 Bundeskanzleramt Österreich, Digitale Integration in Österreich Handlungsfelder und Beispiele 2008, http://www.bka.gv.at/Docs/2010/3/29/Digitale_Integration_De.pdf (29.9.2015). 205 Rebhahn, Mitarbeiterkontrolle am Arbeitsplatz: Rechtliche Möglichkeiten und Grenzen (2009) 46. 206 Dazu näher FlexySpy, http://www.flexispy.com/de/employee-monitoring.htm (6.10.2015). 207 Siehe Brodil, Datenschutzrechtliche Aspekte der Verwendung von Gesundheitsdaten im Arbeitsverhältnis, ecolex 2010, 122 (123).
45
Gewicht, Stresslevel, Essen, Ernährung usw)208, welches scheinbar spielerisch in den
Arbeitsalltag und für die Freizeit integriert wird. Geräte oder technische Vorrichtungen, die
fähig sind Daten zu sammeln, in der Tasche zur Arbeit getragen oder unter der Haut209,
werden als Kontrollmaßnahme gewertet, sobald sie geeignet210 sind die AN zu kontrollieren
und eine Überwachung zuzulassen. Beispiel einer Grenze, einer erlaubten
Überwachungsmaßnahme, ist die Protokollierung des Internetverlaufs einer AN, hier ist das
Aufzeichnen von Umfang und Zeitraum erlaubt, doch keine Auswertung der Internetadresse
selbst, da diese den Inhalt miterfasst.211
5.1. Überwachung und Kontrolle des mobilen Endgerätes
5.1.1. Individualrechtliche Schranken
Zur Anwendung von Kontrollmaßnahmen wird auf eine Güterabwägung zwischen
dem Interesse der AG und dem schutzwürdigen Persönlichkeitsrechten der AN abgestellt.
Es muss ein Kontrollziel vorhanden sein, das sachlich gerechtfertigt ist und mit geeigneten,
verhältnismäßigen Maßnahmen erreicht werden kann. Werden durch die
Überwachungsmaßnahme personenbezogene Daten der AN verarbeitet, unterliegt die
Kontrolle auch dem DSG 2000 und somit dem Recht auf Datenschutz.212 Unter dem Begriff
Kontrollmaßnahmen wird die Erhebung von Verhaltensmuster, Eigenschaften der AN durch
die AG verstanden und benötigt die Zustimmung nach § 10 AVRAG.213 Private Daten
(Verkehrsdaten) dürfen generell nicht eingesehen oder kontrolliert werden und nur mit
Zustimmung gespeichert werden.214 Eine Kontrolle außerhalb des Arbeitsplatzes und der
Dienstzeit muss einem immanenten Kontrollinteresse (besondere Gefahrensituation)
entgegenstehen und darf nur stichprobenartig abgehandelt werden, ohne dabei die
Privatsphäre zu verletzen.215
208 Bspw Global Corporate Challenge, https://www.gettheworldmoving.com (6.10.2015) oder Corporate Wellness by Jawbone™, https://groups.jawbone.com (6.10.2015). 209 Dazu näher Hagen in Der Standard, Mit einem Chip unter der Haut die Bürotür öffnen,
http://derstandard.at/2000022105112/Mit-einem-Chip-unter-der-Haut-die-Buerotuer-oeffnen (6.10.2015). 210 Vgl Reissner in ZellKomm2 § 96 ArbVG Rz 22. 211 Stiger, Die Zulässigkeit der Protokollierung der Internetzugriffe von Dienstnehmern durch den Dienstgeber aus arbeits-, datenschutz- sowie telekommunikationsrechtlicher Sicht, in Forgó/Feldner/Witzmann/Dieplinger
(Hrsg), Probleme des Informationsrecht (2003) 407 (417). 212 Gerhartl, Persönlichkeitsschutz im Arbeitsverhältnis (2009) 149. 213 Löschnigg, ArbeitnehmerInnendatenschutz, in Jahnel/Mader/Staudegger (Hrsg), IT-Recht³ (2012) 497 (513). 214 Felten/Mosler, IKT am Arbeitsplatz, in Jahnel/Mader/Staudegger (Hrsg), IT-Recht³ (2012) 481 (495). 215 Rebhahn, Mitarbeiterkontrolle 106.
46
5.1.1.1. Persönlichkeitsrecht und Menschenwürde
Der Schutz von Menschenwürde und Persönlichkeitsrechten setzt sich auch im
Berufsleben fort.216 Der Individualschutz, als Grundrecht für AN, gründet in der
Generalklausel des § 16 ABGB, die eine Verletzung des Persönlichkeitsrechts untersagt.
Inwiefern eine Überwachungsmaßnahme tatsächlich in das Persönlichkeitsrecht eingreift,
ist letztlich eine Frage der Interessensabwägung, als Gegenüberstellung beider
Interessenslagen.217 Im Arbeitsrecht findet sich als Konsequenz der Fürsorgepflicht der AG
(§ 1157 ABGB, § 18 AngG) ein Gebot zur Wahrung der Persönlichkeitsrechte.
Menschenwürde wird nach Rebhahn218 in drei Komponenten, aufgeschlüsselt, die
beeinträchtigt werden können, entweder an der Person selbst als physische Kontrolle, nach
Art und Weise der eingesetzten Maßnahme und der Intensität. Tragend nach der
Ausführung Tomandls219 ist die Gesamtbetrachtung des Begriffs Menschenwürde, als
Generalklausel, um eine ungehinderte Entfaltung der Menschen, auch im beruflichen
Umfeld, ohne ständige Furcht einer Überwachung zu schützen. Sicherlich steht es im
Interesse der AG ihre Daten zusammen zu tragen, auszuwerten und deren Benützung zu
regeln, dennoch besteht ihr Recht nicht in einer geheimen Kontrolle, da auch eine
immerwährende Furcht vor Überwachung und Kontrolle, außerhalb einer dienstlichen
Grundlage, die freie Entwicklung eines Menschen empfindlich einschränken.
Ein unbemerkter Einsatz von Überwachungssoftware (Spyware, Monitoring-Tools) ist
selbst bei einem Verbot der Privatnutzung der mobilen Privatgeräte am Arbeitsplatz nach
dem Grundsatz der „Datenverarbeitung nach Treu und Glauben“ unzulässig, da einer
Informationspflicht gem § 24 DSG nachzukommen ist, die die AN in Kenntnis davon setzt
welche Daten zu welchem Zweck ermittelt werden.220 Eine Zustimmung der AN zu
Kontrollmaßnahmen ist im Anbetracht der verdünnten Willensfreiheit als sittenwidrig
anzusehen, sofern ihre Einwilligung durch ein Ausnützen der Position der wirtschaftlichen
Überlegenheit der AG zustande kommt.221 Eine Zustimmung nach dem DSG würde
wirksam abgegeben werden, wenn es sich nicht um eine unverhältnismäßige
216 Heilegger, Überwachung und Datenschutz im Arbeitsverhältnis, infas 2009, 139 (140). 217 Rebhahn, Mitarbeiterkontrolle 15. 218 Rebhahn, Mitarbeiterkontrolle 20. 219 Tomandl, Rechtsprobleme bei der Einführung und Anwendung von Kontrollmaßnahmen, ZAS 1982/5, 163 (168). 220 Goricnik, Arbeitnehmer-Datenschutz 154. 221 Rebhahn/Kietaibl in ZellKomm² § 879 ABGB Rz 15.
47
Kontrollmaßnahme handelt, Anwendung (zB Auswertung), Speicherdauer der Daten
ausdrücklich, nach Information über die Datenverwendung, erklärt wurde.222
5.1.1.2. Rechtfertigung einer Überwachung des mobilen Endgerätes
Die Interessensabwägung, zwischen den betrieblichen Interessen der AG und der
Privatsphäre der AN, unterliegt einem dualen Maßstab, dem zulässigen Kontrollziel und
dem Verhältnismäßigkeitsprinzips, da kein allgemeines Zugriffsrecht besteht.223
Demzufolge ist der Einsatz des gelindesten Mittels gerechtfertigt, wenn das
Kontrollinteresse weder willkürlich noch mit unnötiger Eingriffsintensität verfolgt wird.224
Durch die Bewegungssensoren und die Einordbarkeit welche WLAN Netze verwendet
worden sind, bzw bei eingeschalteten GPS, ist der Radius zurück gelegter Strecken
nachzeichenbar geworden (zB Verreisen im Krankenstand ohne ärztliche Empfehlung).
Somit können diese Daten Aufschluss geben, inwiefern eine körperliche Beeinträchtigung
vorliegt und unterliegen, als Teil der Privatsphäre, einem Anspruch auf Geheimhaltung. Die
Lehre diskutiert die Beschränkung keine Diagnose zu erhalten, sondern nur Auskunft über
den Verhinderungsgrund (Arbeitsunfall, Krankheit, Kuraufenthalt uvm). Wie Mazal225
ausführt liegt es im Interesse der AG Ausmaß und Einschränkung der Tätigkeit zu erfahren,
um Anspruchsvoraussetzungen für die Entgeltfortzahlung rechtlich zu beurteilen. Auch
sieht Tomandl226 Abstufungsmöglichkeiten im Grad der Arbeitsunfähigkeit aus
medizinischen Gründen, um die AN dennoch zumutbare Tätigkeiten verrichten zu lassen.
Werden nun Daten des mobilen Gerätes zum Schutze von Diebstahl oder Angriffen
(Vermeidung von Datenverlusten bei der Übertragung von Unternehmensdaten über
öffentliche Mobilfunknetze und WLAN-Netzwerke) ausgewertet, die einen Rückschluss
zulassen auf den Aufenthaltsort, kann dies zur Problematik führen, dass diese dem
Grundrecht der Geheimhaltung nach Art 8 EMRK, auch bei Standortermittlung und
abgeleiteter Bewegungsprofile, unterliegen.227
222 Goricnik, Arbeitnehmer-Datenschutz 160. 223 Brodil, Individualrechtliche Fragen der Kontrolle des Arbeitnehmers, in Resch (Hrsg), Die Kontrolle des Arbeitnehmers vor dem Hintergrund moderner Medien (2005) 74. 224 Brodil, Kontrollmaßnahmen aus arbeitsrechtlicher und datenschutzrechtlicher Sicht, in Bogendorfer (Hrsg), Datenschutz im Unternehmern (2011) 62. 225 Mazal, Der Informationsanspruch des Arbeitgebers bei EFZ im Krankheitsfall, ecolex 2010, 118 (119). 226 Tomandl, Alternativen zur Krankschreibung, ecolex 1991, 865 ff. 227 Grünager/Goricnik, Ermittlung von Standortdaten im Arbeitsverhältnis, in Grünager/Goricnik (Hrsg), Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle (2014) 139 (172).
48
Bei der datenschutzrechtlichen Zulässigkeitsprüfung, ohne Verletzung eines
schutzwürdigen Geheimhaltungsinteresses für eine Videoüberwachung nach
§ 50a Abs 3 ff DSG, sieht die Gesetzgebung Ausnahmen vor, wenn es sich um ein
lebenswichtiges Interesse handelt, ausgerichtet darauf öffentlich wahrgenommen zu
werden (zB Sportkampf) oder eine ausdrückliche Zustimmung vorliegt. Hier kann eine
Videoüberwachung ohne Interessensabwägung angedacht werden, wogegen § 50a Abs 5
DSG ein Verbot normiert, eine Videoüberwachung zur Leistungskontrolle von
Mitarbeiterinnen zu installieren.228 Eine Videoüberwachung, mit Aktivieren der
Gerätekamera bei einer Gefahrenabwehr (gerichtlich bedrohte Strafhandlung zB
Diebstahl), kann bei einer Rechtfertigung durch eine Interessensabwägung, ohne
Verletzung eines schutzwürdigen Geheimhaltungsinteresses, mittels Remote-Zugriff
zulässig sein (zB Foto der Diebin erstellen).
Die Generierung von Daten und deren Eignung zur Interpretion, in weiterer Folge
auch Kontrolle durch die AG, gehen Hand in Hand, sobald eine Beeinträchtigung von
Persönlichkeitsrechten vorliegt, die die Menschenwürde verletzt, kann keine betriebliche
Interessensabwägung stattfinden, um die Kontrollmaßnahme zu gerechtfertigen.229
Hinweis auf eine erlaubte Überwachung zur Gewährleistung der Systemfunktionalität,
wengleich private oder berufliche Kommunikation betroffen sind, gibt Groricnik230, da diese
nicht abgetrennt bei der Bedrohung des IT-Systems betrachtet werden können, wenn die
AG auch Eigentümerin ist des Gerätes. Im Fall des Einsatzes privater IT-Geräte fällt die
Argumentation dahingehend aus, dass die betrieblichen Daten im Eigentum der AG
stehen231 und wiederum dementsprechend Schutzmaßnahmen zu treffen sind, selbst wenn
das Speichermedium privater Natur ist.
Das „Modell der stufenweise Kontrollverdichtung“ nach Kotschy/Reimer232 zeigt, dass
eine generelle Auswertungen und ständige Protokollführung ohne konkreten
Missbrauchsverdacht unverhältnismäßig die Menschenwürde verletzten und zielt darauf ab
die Erfordernisse zur Zulässigkeit einer Kontrollmaßnahmen zu verdeutlichen:
228 Grünanger, Videoüberwachung am Arbeitsplatz, in Grünager/Goricnik (Hrsg), Arbeitnehmer-Datenschutz
und Mitarbeiterkontrolle (2014) 113 (126). 229 Goricnik, Arbeitnehmer-Datenschutz 147. 230 Goricnik, Arbeitnehmer-Datenschutz 155. 231 OGH 22.10.2012, 9 Ob A 110/12k, ZAS-Judikatur 2013/8 (27). 232 Kotschy/Reimer, Die Überwachung der Internet-Kommunikation am Arbeitsplatz, Ein Diskussionsbeitrag aus datenschutzrechtlicher Sicht, ZAS 2004/29, 167 (169).
49
Somit ist die Intenstiät der Überwachung des mobilen Devices abhängig von der
erlaubten Nutzung am Arbeitsplatz (zB Totalverbot), wobei ein Zugriff auf Privatdaten also
zur personenbezogenen Überwachung auf konkrete Bewegegründe gestützt, sowie
verhältnismäßig und der AN angekündigt worden ist.233 Eine Speicherung von
Verkehrsdaten ist für technische Erfordernisse ist erlaubt.234
Eine Elektronische Zutrittskontrolle ist auch mit einem mobilen Device möglich, da
über Datenübertragungen auf kurzer Distanz mittels Funktechnik (zB RFID, NFC oder
Bluethooth 4.0) Informationen ausgetauscht werden können, die Berechtigungen
übermitteln, um bspw entweder Türen oder Schrankschließsysteme zu öffnen. Sofern eine
gerechtfertigte Notwendigkeit besteht, sind jene Daten, die dadurch ermittelt werden
können zulässig, ein Missbrauch jedoch, um ein Bewegungsprofil und damit verbunden
eine Leistungsbewertung abzufragen, stellen ein unverhältnismäßiges Mittel einer Kontrolle
dar.235 Die Elektronische Arbeitszeitkontrolle kann auch mit Erfassen des mobilen Gerätes
ab Einstieg in das Firmennetzwerk geregelt werden oder per Log-In der Nutzerin auch
außerhalb der Arbeitsstätte (oder dem Aufrufen von Unternehmes-Apps). Solange die AN
233 Thiele, Internet am Arbeitsplatz, Erste arbeitsrechtliche Konfliktfäll, ecolex 2001, 613 ff. 234 Haidinger, Datenschutz am Arbeitsplatz: Was und wie weit darf der Arbeitgeber kontrollieren? Dako 2014/18 40 (41). 235 Kotschy, Datenschutz in systemischer Einordnung zum Arbeitsrecht, in Brodil (Hrsg), Datenschutz im Arbeitsrecht (2010) 1 (9).
Abbildung 4: Modell der stufenweisen Kontrollverdichtung siehe Kotschy/Reimer in Die Überwachung der Internet-Kommunikation am Arbeitsplatz, ZAS 2004, 169
50
selbst die Aufzeichnung des Arbeitsbeginn und –ende bestimmen kann und keine weiteren
Ortungsdaten mitdokumentiert werden, muss die Zeiterfassung nach § 8 Abs 3 Z4 DSG für
die Vertragserfüllung erforderlich sein, um einer Zulässigkeit nicht entgegen zu stehen.236
Ein Indoor-Routing, also eine Positionsbestimmung innerhalb geschlossener Räume (mit
Hilfe der Auswertung von Sensoren der Beschleunigung, Mobilfunkstandards wie LTE,
Kompass, Luftdruck-Sensor, Barometer, Beschleunigungssensoren, Gyroskop und GPS)
sollte demnach nicht das gelindeste Mittel zur Aufzeichnung der Arbeitszeit gelten.
5.1.2. Kollektivrechtliche Schranken
Das Mitbestimmungsrecht des Betriebsrats richtete sich nach dem
Arbeitsverfassungsgesetz. Die Betriebsinhaberin hat dem BR mitzuteilen welche
personenbezogenen Daten verarbeitet werden und wie deren Übermittelungen ausgestaltet
werden. Bei Einführung bzw Einsatz von flächendeckenden, generellen
Kontrollmaßnahmen und technischen Systemen zur Kontrolle der AN nach § 96 Abs 1 Z3
ArbVG, bedarf es einer notwendigen nicht ersetzbaren Zustimmung des BR237 und da dies
eine gesetzlich definierte Maßnahme ist, kann dies nur durch eine Betriebsvereinbarung
festgelegt werden.238 Die Zustimmungserfordernis ist demnach an die Beschränkung oder
Verletzung von Persönlichkeitsrechten, Fürsorgepflichten und der mittelbaren Drittwirkung
der Grund- und Freiheitsrechte geknüpft, welche als Menschenwürde definiert wird. Eine
Verletzung derer, selbst bei Vorliegen der Zustimmung des BR, führt zu einer
Gesetzwidrigkeit der Kontrollmaßnahme.239 Ein Berühren der Menschenwürde hingegen
löst die Zustimmungspflicht aus, die bei Nichterfolgen Beseitigungs- und
Unterlassungsansprüche auslösen.240
Nach Rebhahn241 ist ein Vorgehen gegen eine unzulässige Kontrolle schwierig, da
eine effektive Verbotsdurchsetzung gesetzlich schwach gestützt wird und eine gerichtlich
strafbare Relevanz, erst bei einem unerlaubten Abhören erreicht werden würde.
Verwaltungsstrafen sehen die Bestimmungen nach § 96 und § 96a ArbVG nicht vor und
jene des § 52 DSG, sowie eine Feststellungsklage durch die Datenschutzkommission, erlag
236 Grünager/Goricnik, Arbeitnehmer-Datenschutz 203. 237 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., 17.C. Zustimmungspflichtige Maßnahmen
Arbeitnehmerdatenverarbeitung. 238 Reissner, Kontrollmaßnahmen und Kontrollsysteme, in Reissner/Neumayr (Hrsg), Zeller Handbuch Betriebsvereinbarungen (2014) RZ 3.03. 239 Gerhartl, Persönlichkeitsschutz 196. 240 Rebhahn, Mitarbeiterkontrolle 23. 241 Rebhahn, Mitarbeiterkontrolle 27.
51
auch keiner sonderlich bedeutenden Rolle in der Praxis. Selbst bei
Unterlassungsansprüchen242 der einzelnen AN bei widerrechtlicher Schädigung nach § 32
Abs 2 DSG, bestehend auf § 16 ABGB, wird die Abschreckung, durch die persönliche
Abhängigkeit im Arbeitsverhältnis, eine Barriere darstellen. Auch § 33 DSG zielt der
Schadenersatzanspruch auf das Vorhandensein eines schwer zu beweisenden
Vermögensschaden ab, immaterielle Schäden werden nur bei öffentlicher Verwendung und
nicht durch einen Eingriff ersetzt. Der BR kann eine Verletzung des Mitbestimmungsrechts
durch eine kollektive Feststellungsklage nach § 54 ASGG anstreben, Unterlassungs- sowie
Beseitigungsansprüche mit § 50 Abs 2 ASGG erwirken. Für einzelne AN kann der BR keine
datenschutzrechtliche Ansprüche geltend machen.243
Gesondert ist auf die Tatsache zu verweisen, wie der Umgang mit rechtswidrig
erlangte Informationen im Zivilprozess Auswirkungen entfalten kann. Diese unterliegen
keinem Beweisverwertungsverbot im Zivilprozess, solange gegen keine Grundrechte
verstoßen worden ist.244 Rebhahn245 kritisiert das Ignorieren des Grundrechtes auf
Geheimhaltung in Verfahren zwischen Privaten und setzt bildlich in Szene wie dadurch das
Zivilprozessrecht über dem im Verfassungsrecht verankerten Grundrechtsschutz gehoben
wird und demnach ein Nährboden für Verstöße vorprogrammiert wird. Er zielt auf den Fall
der Entlassung wegen Löschung einer Privatdatei vom Dienstrechner246 ab und hinterfragt
weshalb das Ablegen der Privatdatei durch die beklagte Partei (hier: Arbeitgeber) den OGH
nicht dazu bewog zu beurteilen, ob die Speicherung überhaupt zulässig war. Auch trifft
Hattenberger247 den Punkt der Kritik mit dem Herausstreichen des Widerspruchs des
Verbots der Verwendung von Protokolldaten für eine Kontrolle, aber Zulassung im
Zivilprozess, um einen Entlassungstatbestand zu konkretisieren. Oder der Untersagung der
Installation von Vorrichtungen, ohne Kenntnisnahme der AN zur Kontrolle, wenn doch die
daraus erworbenen Daten als Beweis zur Entlassungsbegründung herangezogen werden
können.
Auch sieht Grünanger/Goricnik248 im Datenschutzrecht ein Beweisverwertungsverbot
zu befürworten. Hingegen führen Graf/Schöberl249 in Anbetracht der hM nach Fasching250,
242 Dazu näher Rassi, Die Durchsetzung des Unterlassungsanspruchs, ÖBl 2015/44, 207. 243 OGH 29. 6. 2006, 6 Ob A 1/06z. 244 Dohr/Pollirer/Weiss/Knyrim, DSG², § 8 Anm 16, 2 (Stand: 2.7.2014, rdb.at). 245 Rebhahn, Mitarbeiterkontrolle 29. 246 OGH 25.10.2011, 8 ObA 218/01v, ZAS2002/16, 143 (Brodil). 247 Hattenberger, Die Bedeutung des Datenschutzrechts für das Arbeitsrecht, in Resch (Hrsg), Die Kontrolle des Arbeitnehmers vor dem Hintergrund moderner Medien (2005) 13 (45). 248 Vgl Grünager/Goricnik, Arbeitnehmer-Datenschutz 51. 249 Vgl Graf/Schöberl, Beweisverwertungsverbote im Arbeitsrecht? ZAS 2004/30, 172 ff. 250 Vgl Fasching, Lehrbuch des österreichischen Zivilprozeßrechts² (1990) Rz 934 ff.
52
Rechenberger251, Kodek252 aus es werden die rechtswidrig erlangten Beweismaterialien
keine Auswirkung haben auf deren Zulässigkeit im Zivilprozess, solange diese gegen
Grundrechte nicht verstoßen (wobei nach hL eine Verletzung des Datenschutzrecht ohne
Folgen eines Beweisverwertungsverbot ausfällt).
Daneben sprechen sich Dohr, Pollirer, Weiss und Knyrim253 für eine
Interessensabwägung aus und unterstützen ein Beweisverwertungsverbot im Kern des
Privat- und Familienlebens, da sie eine Abstufung nach der Sensibilität der Daten
vornehmen.
5.1.2.1. Notwendige Mitbestimmung des BR
Sobald eine auf Dauer angelegte Überwachung mit technischer Umsetzung geeignet
ist das Verhalten der AN zu kontrollieren liegt eine Kontrollmaßnahme vor.254 Damit ist der
Kreis weit zu ziehen, denn mobile Geräte hinterlassen digitale Spuren255. Grundlegend
berührt eine Maßnahme der Kontrolle die Menschenwürde, sofern diese geeignet ist
Persönlichkeitsrechte zu beeinträchtigen.256 Es folgt eine Interessensabwägung, die
zugunsten der betrieblichen Interessen ausfallen kann, um das legitime Kontrollziel zu
verfolgen.
Das Leistungsverweigerungsrecht soll bei gravierenden Eingriffen (zB sittenwidrige
Videoüberwachung in Sanitäranlagen) in das Persönlichkeitsrecht der AN Abhilfe schaffen
und sie auch bis hin zur Arbeitsverweigerung stützen. Bei einer entsprechenden
Unzumutbarkeit sogar als gerechtfertigter Austrittsgrund gelten.257 Nach Rebhahn258 kann
dies auch bei einer zustimmungspflichtigen Maßnahme ohne Einverständnis des BR als
Grund angesehen werden die Arbeitsleistung zu verweigern. Selbst wenn eine Weisung
der AG vorliegt muss diese nicht befolgt werden.259
251 Vgl Rechberger in Fasching/Konecny, Kommentar zu den Zivilprozessgesetzen², § 266 ZPO Rz 70 ff. 252 Kodek, Rechtswidrig erlangte Beweismittel im Zivilprozeß, ÖJZ 2001, 285 (286). 253 Dohr/Pollirer/Weiss/Knyrim, DSG², § 8 Anm 16, 2.2 (Stand: 2.7.2014, rdb.at). 254 Reissner, ZellKomm², § 96 ArbVG Rz 21. 255 Dazu näher Staudinger, Wo Internet-User ihre Spuren hinterlassen, in Jaksch-Ratajczak (Hrsg), Aktuelle
Rechtsfragen der Internetnutzung (2009) 233 ff. 256 Goricnik, Persönlichkeitsschutz bei der Ermittlung und Benützung von Standortdaten im Arbeitsverhältnis, wbl 2012, 301 (305). 257 Jabornegg in Strasser/Jabornegg/Resch (Hrsg), ArbVG § 96 Rz 41. 258 Rebhahn, Mitarbeiterkontrolle 24. 259 OGH 20. 4. 1995, 8 ObA 340/94, RdW 1996, 28= ARD 4661/10/95 = infas 1995.
53
Die Zustimmung des BR ist in folgenden Fällen erforderlich bzw ersetzbar:
Zusammenfassend kann die Zustimmungserfordernis aufgeschlüsselt werden in
nachfolgende Bereiche im Sinne von Stiger260: jene Kontrollmaßnahmen, welche
sittenwidrig (Verletzung der Menschenwürde) sind erlangen auch durch die Zustimmung
des BR keine Rechtmäßigkeit. Beim Berühren der Menschenwürde muss die Freigabe der
Maßnahme mit § 96 ArbVG als zustimmungspflichtige BV geregelt werden. Für
Kontrollmaßnahmen nach § 96a ArbVG ist die Zustimmung des BR ersetzbar, sowie nach
§ 97 ArbVG, wenn Ordnungsvorschriften, Benützungsregeln betroffen sind. Auch kann der
BR bei freiwilligen BVs betreffend der Arbeitsplatzgestaltung, Sicherung miteingebrachter
Geräte, Aufwandsentschädigungen vertragliche Regelungen treffen.
260 Stiger, Protokollierung der Internetzugriffe 413.
Abbildung 5: Zustimmungserfordernis des BR bei Überwachungsmaßnahmen
54
5.1.2.2. Einführung von Kontrollmaßnahmen
Nach Erfüllen der Informationspflicht gem § 92 Abs 2 ArbVG über eine Überwachung
an den BR, muss sich die Maßnahme einer Zulässigkeitsprüfung, hinsichtlich
Verhältnismäßigkeit (Gibt es ein gelinderes Mittel?), rechtmäßigen Zweck (Erforderlichkeit
des Eingriffes in das Persönlichkeitsrecht der AN), keinem Verletzen schutzwürdiger
Geheimhaltungsinteressen, nach dem DSG unterziehen. Eine Kontrolle der
Internetnutzung fällt als technisches System unter § 96 Abs 1 Z 3 ArbVG und die
Zustimmungserfordernis wird durch das Ausmaß der Betroffenheit der Menschenwürde in
Abhängigkeit gestellt. Sofern die Maßnahme die Menschenwürde berührt (hier insb
Speicherung und Dokumentation von aufgerufenen Websites, E-Mails) wird eine
Zustimmung, von Seitens des BR als Betriebsvereinbarung und nach § 17 ABGB der
betroffenen AN, erforderlich.261 Eine umfassende Aufnahme aller Tätigkeiten im Internet
und deren Auswertung verletzt die Menschenwürde und kann weder durch eine BV oder
Zustimmung der AN legitimiert werden. Es können auch Maßnahmen ergriffen werden, die
weder die Menschenwürde noch die Persönlichkeitsrecht der AN berühren und demnach
unter den § 96a Abs 1 Z1 ArbVG fallen, wenn bspw bei begründeten Verdacht eine
Überprüfung erfolgt und dabei BR und die betroffene AN einbezogen werden würden (zB
personenbezogenes Erfassen des Einloggen und Zeitdauer, ohne Auswertung der
angewählten Websites).
Ein Erfassen von Standortdaten bezieht sich laut § 96 Abs 1 Z 3 ArbVG auf die
objektive Eignung, nicht auf den tatsächlichen Einsatz. Somit sind mobile Endgeräte, die
für betriebliche Einsätze heran gezogen werden technische Vorkehrungen, die eine
Kontrollmöglichkeit hervorbringen. Hier setzt auch Grünanger/Goricnik262 die technische
Umsetzung in Szene, demnach wird das mobile Gerät nicht als Kontrollmöglichkeit
angesehen, wenn es sich um einen abgeschlossener Bereich handelt, der weder durch die
AG erweiterbar ist, noch ohne Wissen der AN manipuliert werden kann. Diese Anforderung
erfüllen mMn momentane Strategien zum Einsatz von mobilen Privatgeräten nicht, weder
der Vollzugriff auf die Geräte, noch die Virtualisierungslösungen und das Sandboxing bieten
absolute Sicherheit vor der (unbekannten, ungewollten) Kontrolle der AG. Die hL geht bei
einer Überwachung der Standortdaten von einer Berührung der Menschenwürde aus,263
weshalb eine solche Maßnahme einem Zustimmungserfordernis des BR unterliegt.
261 Goricnik, Arbeitnehmer-Datenschutz 148. 262 Grünanger/Goricnik, Arbeitnehmer-Datenschutz 192. 263 Vgl Reissner in ZellKomm² § 96 ArbVG Rz 22.
55
Eine Videoüberwachung in besonderen Fällen (bei Diebstahl, Verlust), als
anlassbezogene Echtzeitüberwachung für eine Beweissicherung, würde weder einer
Leistungskontrolle unterliegen noch einer Verletzung der Menschenwürde der AN
bedeuten, doch sind sie nach Grünanger264 nicht im Regelungsbereich des § 96 Abs 1 Z 3
und § 96a ArbVG und können deshalb nicht Inhalt einer BV sein, da es sich nicht um ein
erforderliches „System“ handelt.
Eine Zugangskontrolle, durch eine Ermittlung biometrischer Daten der AN wie zB
Fingerscan oder Gesichtserkennung, kann auch bei einem mobilen Gerät als
Authentifizierungsmaßnahme, zum Freischalten mancher Firmen-Apps oder um in einem
bestimmtes Netzwerk einsteigen zu können, gestaltet werden. Im Fall eines
Krankenhauses, das biometrische Daten einsetzte, um Mitarbeiterinnen Zugang zu
Räumlichkeiten zu gewähren, qualifizierte der OGH als zustimmungspflichtige Maßnahme
gem § 96 Abs 1 Z 3 ArbVG.265
Um nach § 96a Abs 1 Z 2 ArbVG Fragebögen zur Beurteilung von Mitarbeiterinnen
als technisches System einzuführen, bedingt dies die Zustimmung des BR, wenn die
betriebliche Verwendung gerechtfertigt ist.266
Sobald die Telefon-/Kommunikationsdaten der mobilen Geräte (Anrufliste, Dauer,
Datenverbrauch uvm.) ausgewertet werden können, liegt ein Kontrollsystem iSd Art 96 Abs
1 Z 3 ArbVG vor, das die Menschenwürde berührt. Sollte die technische Umsetzung
ausgestaltet werden, ohne ein Erfassen der gewählten Rufnummern, wird dies als
Maßnahme des § 96a Abs 2 ArbVG angesehen.267
Zur Aufdeckung von Straftaten, die im Zusammenhang mit der Vertragserfüllung
stehen oder bei Verdacht auf eine Straftat, ist es nach Brodil268 zulässig eine Kontrolle
auszuführen, insbesondere wenn es sich um eine schwere Vertragsverletzung handelt
(Geheimnisschutz), hier kann eine Einsichtnahme sogar in private E-Mails erfolgen. Auch
sieht Rebhahn269 eine Sicherstellung von Aufzeichnungen, die als privat gekennzeichnet
worden sind, aber den Hinweis auf Betriebsgeheimnisse geben, als gerechtfertigt, solange
dies von einer neutralen Position (zB BR) vorgenommen wird. Auch mit einem mobilen
264 Grünanger, Arbeitnehmer-Datenschutz 132. 265 OGH 20.12.2006, 9 Ob A 109/06d. 266 OGH 20. 8. 2008, 9 Ob A 95/08y. 267 Haidinger, Datenschutz am Arbeitsplatz: Was und wie weit darf der Arbeitgeber kontrollieren? Dako 2014/18, 40 (41). 268 Brodil, Die Kontrolle der Nutzung neuer Medien im Arbeitsverhältnis, ZAS 2004/28, 156 (161). 269 Rebhahn, Mitarbeiterkontrolle 42.
56
Gerät können Computerstraftaten begangen werden, beispielsweise die Datenfälschung
(zB Umprogrammieren von Speicherkarten), als nachgebildetes Delikt der
Urkundenfälschung. Auch das missbräuchliche Abfangen von Daten nach § 119a StGB (zB
Man-in-the-middle-Angriffe), Datenbeschädigung gem § 126a StGB (zB denial-of-service-
Attacke, Viren und Würmer, Passwort ändern) oder § 123 StGB Auskundschaften von
Geschäfts- und Betriebsgeheimnisse.270
Bei einer Überwachung des Internetzugriffs werden Daten zusammen getragen, die
einen Rückschluss auf die Person zulassen (zB Zugriff auf Firmenapp am Wochenende),
auch sind Tools, die fähig sind bestimmte Internetseiten zu verbieten, auf einem Privatgerät
nicht sonderlich hilfreich (zB Facebook wird außerhalb der Arbeitszeit gesperrt). Sollten
demnach Kontrollen eingesetzt werden, die personenbezogene Daten aufzeichnen, ist die
Privatsphäre berührt und eine Zustimmung des BR nach § 96 Abs 1 Z 3 ArbVG von
Nöten.271
270 Sonntag, Internetrecht² 349 ff. 271 Stiger, Protokollierung der Internetzugriffe 418.
57
III. Datenschutzrechtliche Rahmenbedingungen
Unternehmerinnen, die einen betrieblichen Einsatz privater IT-Geräte erlauben,
gehen ein Risiko ein, Daten zu verlieren oder den Datenfluss nicht mehr überblicken zu
können. Datenlisten von Kundinnen oder deren zugesendeten Daten unterliegen der Pflicht
der AG geschützt zu werden. Ebenso die Informationen über die Belegschaft. Das Interesse
die eigenen unternehmenssensiblen Daten nicht unkontrolliert zugänglich zu machen, ist
Teil der Motivation der AG, Datensicherheitsmaßnahmen umzusetzen. Gleichzeitig liefert
das Datenschutzrecht Bestimmungen, deren Einhaltung auch im Arbeitsverhältnis
anzuwenden sind272 und nicht immer deckungsgleich mit dem Wunsch der AG, die
vollständige Kontrolle über sämtliche Abläufe in ihrem Betrieb zu erlangen.
1. Begriffsbestimmungen
In der Begriffsbestimmung der Daten müssen diese differenziert werden zur
Information, da Daten bereits Informationen darstellen. Diese werden eingesetzt zur
Kommunikation, Interpretation und Verarbeitung.273 Somit sind Informationen mit
Bedeutungen belegt, die maschinenlesbar codiert werden. Entweder, wie im
datenschutzrechtlichen Begriff nach ihrem Sinn (semantische Ebene, Einteilung von
Symbolen und deren Interpretation) oder nach der Codierung als Zeichenmenge
(syntaktische Ebene, Beziehung zwischen Zeichen). Daten sind Informationen, die in Form
von einer Anzahl an Zeichen, durch die Informationstechnik und Lesegeräte, verarbeitet
werden können. Sie müssen allgemein keine besondere Bedeutung haben, auch deren
Inhalt ist in vielen Fällen nicht von bedeutender Relevanz, ihr Wert richtet sich nach jener
der Betrachterin (im Schadenersatzrecht wird der Wiederbeschaffungswert274
herangezogen). Eine weitere Unterscheidung ist die Gruppe jener Daten, die als Software
anzusehen ist und jene, die als Anwenderinnendaten, also durch eine menschliche Leistung
erstellt oder durch Einsatz von Geräten (zB Aufnahmen) generiert werden. Mit der Vielzahl
an Speichermöglichkeiten ist die Lokalisierung von Daten nicht mehr nur einer
Datenträgerin oder Speichermedium zuzuordnen, auch sind Synchronisationsdienste,
meist zur Sicherung von Dateien im Einsatz, wie im „Cloud Computing“.275 Eine
272 Siehe Brodil, Kontrolle und Datenschutz im Arbeitsrecht, ZAS 2009/21, 121 (123). 273 Sonntag, Informationstechnologie Grundlagen, in Jahnel/Mader/Staudegger (Hrsg), IT-Recht3 (2012) 1 (5). 274 Dazu näher Öhlböck/Esztegar, Rechtliche Qualifikation von Denial of Service Attacken, JSt 2011, 126
(129). 275 Zech, Daten als Wirtschaftsgut: Überlegungen zu einem „Recht des Datenerzeugers“, CR 2015, 137 (138).
58
automationsunterstützte Datenanwendung liegt dann vor, wenn Abläufe zusammengefasst
werden, die einen Gesamtzweck verfolgen und durch ein IT-System verarbeitet werden.
Nach Dürager276 benötigt es eine logische Einheit, die sich aus den einzelnen Schritten
ergeben muss.
Ferner wird unterschieden zwischen personenbezogenen Daten, indirekt
personenbezogenen Daten, anonymen und sensiblen Daten. Unter personenbezogenen
Daten konkretisiert § 4 Z 1 DSG, jegliche Angaben über eine Person oder ein Unternehmen,
die eine Verbindung zu den Betroffenen herstellen lassen.277 Indirekt personenbezogene
Daten sind verschlüsselte Daten, die sich nicht ohne Umgehen von Schutzbestimmungen
zuordnen lassen (zB Gesundheitsdaten, Entschlüsselungsprogramme, Beschaffen von
Namen um sie Kontonummern zuweisen zu können usw.). Anonyme Daten geben keinen
Aufschluss darüber, welche Personenidentität betroffen ist und sind keine schutzwürdigen
Daten nach dem DSG, da kein Datenschutz erforderlich ist.278 Ein allgemeines
Verwendungsverbot279 trifft sensible Daten, also jene, die Auskunft über eine natürliche
Person geben, wenn sie deren politische Meinung, Gewerkschaftszugehörigkeit,
Gesundheitszustand, ethnische und rassische Herkunft, religiöse Meinung, und
Sexualleben preisgeben.280 Die Unterscheidung von Verkehrs- und Inhaltsdaten281 gliedert
sich in deren Informationsgehalt, sind diese konzentriert auf die Kennzeichnung der
Kommunikationsquelle (zB Dateigröße, Log-Files), nicht ausreichend aufschlussreich
genug, die Nutzerin genauer durchleuchten zu können (zB Interpretation der Website wie
zB www.playgirl.com) und nicht einsetzbar, um sensiblen Daten freizulegen, liegen
Verkehrsdaten vor.282
Es werden all jene Vorgänge dem DSG unterworfen, welche eine Verbindung
zwischen personenbezogenen Daten und eine Datenanwendung herstellen lassen. Der
Überbegriff der Datenanwendung beinhaltet die Bezeichnung „Datenverarbeitung“ und
„Datenübermittlung“. Damit werden Handlungsweisen erfasst, die das Ermitteln, Speichern,
Aufbewahren, Kennzeichnen, Erfassen, Abfragen, Nützen, Löschen, uvm. von Daten nach
§ 4 Z 9 und Z 12 DSG betrifft. Jene Person, die eine freie Entscheidungswahl treffen kann,
wie diese Daten verwendet werden, wird im Datenschutzrecht als Auftraggeberin angeführt.
276 Vgl Dürager, Datenschutzrechtliche Aspekte 141. 277 Dohr/Pollirer/Weiss/Knyrim, DSG² § 4 Anm 2 (Stand: 2.7.2014, rdb.at). 278 Dohr/Pollirer/Weiss/Knyrim, DSG² § 4 Anm 2 (Stand: 2.7.2014, rdb.at). 279 Dazu näher Dohr/Pollirer/Weiss/Knyrim, DSG² § 9 Anm 3 (Stand: 2.7.2014, rdb.at). 280 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, ABl 1995 L281, 40. 281 Siehe Brodil, Die Registrierung von Vermittlungsdaten im Arbeitsverhältnis, ZAS 2004/4, 17 (20). 282 Gerhartl, Persönlichkeitsschutz 151.
59
Als „Herrin der Daten“ bestimmt sie die Abläufe der Datenübermittlung und Verarbeitung.283
Sie kann eine juristische oder eine natürliche Person sein und dennoch als die
Auftraggeberin angesehen werden, selbst wenn sie die Daten zur Verarbeitung an eine
Dienstleisterin, also an eine Dritte, weiter gibt. Neben der Figur der Auftraggeberin, geht
das DSG auch von einer Betroffenen und einer Dienstleisterin aus. Dienstleisterinnen (als
natürliche oder juristische Person) erbringen gem § 153 GewO Dienstleistungen, die sie
berechtigt eine automatische Datenverarbeitung einzusetzen, um die der AG überlassenen
Daten, zur Herstellung eines Werkes, zu nutzen. 284
Beim Einsatz von mobilen Endgeräten am Arbeitsplatz ist das DSG wesentlich, um
feststellen, welche Daten betroffen sind und wer die Rolle der Auftraggeberin innehat.
Verarbeitet oder erstellt die AN private Daten für sich ist sie die Auftraggeberin, da sie die
Entscheidung trifft, wie die Daten eingesetzt werden. Während ihrer geschuldeten
Arbeitszeit, übernimmt sie für die AG die Datenanwendung, auch auf ihrem Privatgerät. Sie
ist im Fall der Übernahme von Daten der AG und Weiterverarbeitung, als auch Erstellung,
zweckgebunden und muss sich orientieren an der Anweisung, wie die Daten zu behandeln
sind. Auch sind die Daten, weder einer freien Weitergabe durch die AN ausgesetzt, noch
verlassen diese den vorbestimmten Arbeitsbereich. Die eingesetzten Daten sind jene der
AG und werden in ihrem Auftrag behandelt, sie unterliegen ihrer Verfügungsgewalt und
bestimmen sie deshalb zur Auftraggeberin. Somit unterliegt die Datenanwendung dem
Zweck der AG, weswegen sie, auch beim Einsatz mobiler Privatgeräte durch die AN, die
Auftraggeberin ist.
Ebenso fällt die AN aus der Qualifikation als Dienstleisterin heraus, da keine
Werksherstellung, sondern Arbeitsleistung geschuldet wird. Obwohl die AN weder eine
Auftraggeberin noch eine Dienstleisterin ist, sind Vorgänge betroffen, die durch die AN
vorgenommen werden und dem DSG unterliegen, wie beispielsweise nach § 4 Z 9 DSG die
Datenverarbeitung (Ermitteln, Verfassen, Speichern, Sortieren, Verknüpfen, Löschen
usw.). Betroffene sind all jene Personen, deren Daten durch die dienstliche Anordnung
verarbeitet werden.285
283 Siehe Dohr/Pollirer/Weiss/Knyrim, DSG² § 4 E13 (Stand: 2.7.2014, rdb.at). 284 Dohr/Pollirer/Weiss/Knyrim, DSG² § 4 Anm 6 (Stand: 2.7.2014, rdb.at). 285 Dürager, Datenschutzrechtliche Aspekte 142.
60
Im Falle einer Datenanwendung ist eine Interessensabwägung notwendig, zwischen
dem berechtigten schutzwürdigen Interesse der Betroffenen und jenen der dritten Person,
sollte nicht klar abzugrenzen sein, ob sensible Daten vorliegen, wird deren Vorhandensein
angenommen.286
Unter dem schutzwürdigen Geheimhaltungsinteresse, wird im DSG verstanden, wenn
Daten (also nicht-sensible Daten, im Zweifelsfall liegen sensible Daten vor) verwendet
werden sollen und geregelt unter welchen Voraussetzungen dies zulässig ist.287 Somit
unterliegen bereits personenbezogene Daten einem schutzwürdigen
Geheimhaltungsinteresse, deren Einsatz unter folgenden Grundlagen erlaubt ist:
- Ausdrückliche, gesetzliche Genehmigung oder Verpflichtung
- (konkludente) Zustimmung durch die Betroffene mit jederzeitigem Widerrufsrecht
- Erfordernis der Verwendung aufgrund lebenswichtigen Interesse der Betroffenen
(zB bei Verkehrsunfall Blutgruppe)
- Interessensabwägung zwischen Betroffener und Auftraggeberin
Bei indirekt personenbezogene Daten oder veröffentlichte Daten (zB Firmenbuch)
besteht kein schutzwürdiges Geheimhaltungsinteresse, aber ein Widerspruchsrecht nach
286 Dohr/Pollirer/Weiss/Knyrim, DSG² § 8 Anm 9 (Stand: 2.7.2014, rdb.at). 287 Sonntag, Internetrecht² 242.
Abbildung 6: Rollenverteilung im DSG
61
§ 28 DSG. Sensible Daten unterliegen immer einem schutzwürdigen
Geheimhaltungsinteresse und können nur taxativ nach § 9 DSG verarbeitet werden, wie
beispielsweise:
- Selbstständige Veröffentlichung durch die Betroffene
- Ausdrückliche Zustimmung
- Lebenswichtiges Interesse
- Zur Wahrung eines wichtigen öffentlichen Interesses
Das Schutzwürdige Geheimhaltungsinteresse entfaltet bei Zustimmung, der
Betroffenen und Verarbeitung von nicht-sensiblen Daten, keine nachteiligen
Konsequenzen. Wenn dieses ohne Zustimmung, aber mit berechtigtem Interesse erfolgt
ist, insbesondere bei gewöhnlichen betrieblichen Tätigkeiten, also notwendig zur Erfüllung
arbeitsvertraglicher Pflichten der AN (Bekanntgabe von Kontaktdaten wie zB Name und
Qualifikation), dann ist dies ebenso gerechtfertigt. Bei keinem unmittelbaren
Zusammenhang zwischen Herausgabe an Daten, über eine AN und deren beruflicher
Tätigkeit, benötigt es deren Zustimmung.288
1.1. Grundrecht auf Datenschutz
Die Privatsphäre ist verfassungsrechtlich geschützt, demnach sind selbst staatliche
Eingriffe gesetzlich als Ausnahmen geregelt.289 Werden Daten bearbeitet, ohne
Bewusstsein290 für deren Wertigkeit und Sicherungsmöglichkeiten, besteht die Gefahr einer
ungewollten Preisgabe, durch unberücksichtigte Sicherheitslücken. Die Verteidigung
gegenüber Überwachungsmaßnahmen (zB Vorratsdatenspeicherung, Predictive
Policing291) oder Cybercrime (zB Daten- und Identitätsdiebstahl, Erpressung, Spionage)
lässt die Wahrung der Privatsphäre, zu einer elementaren Aufgabe des Datenschutzrechts
herangewachsen.
288 Greifeneder, Vereinbarung über die Veröffentlichung von Informationen über den An, insb im Inter- oder Intranet, in Reissner/Neumayr, Zeller Handbuch Arbeitsvertrags-Klausel (2010) Rz 57.20. 289 Hattenberger, Der staatliche Griff nach der Privatsphäre, in Gruber/Rippitsch/Wintersteiner (Hrsg), JB Friedenskultur Menschenrechte und Frieden (2009) 80 (83). 290 Dazu näher Adolf, Involuntaristische Mediatisierung, in Ortner/Pfurtscheller/Rizzolli/Wiesinger (Hrsg),
Datenflut und Informationskanäle (2014) 19 (25). 291 Dazu näher Schürmann, Bundeskriminalamt Nordrhein-Westfalen, Predictive Policing, Forum KI am 25.6.2015, http://www.bka.de/nn_256028/SharedDocs/Downloads/DE/Publikationen/ForumKI/ForumKI2015/kiforum2015SchuermannPositionspapier,templateId=raw,property=publicationFile.pdf/kiforum2015SchuermannPositionspapier.pdf (14.10.2015).
62
Die Verfassungsbestimmung mit dem Grundrecht auf Datenschutz wurzelt im
höchstpersönlichen Recht auf Achtung des Privat- und Familienlebens nach Art 8 EMRK.
Der Anspruch auf Geheimhaltung von personenbezogenen Daten, bei einem
schutzwürdigen Interesse, wird bereits im § 1 DSG geregelt. Nur durch eine Ausnahme
kann eine Datenanwendung erfolgen, ohne das schutzwürdige Geheimhaltungsinteresse
zu verletzen (zB Zustimmung, überwiegenden berechtigen oder lebensnotwendiges
Interesse, gesetzliche Ermächtigung).292
Neben dem DSG spielt das Telekommunikationsgeheimnis nach Art 10a StGG eine
Rolle, im Schutz der Geheimhaltung von personenbezogenen Daten. Auch unterliegen
Inhaltsdaten, dem Schutz des Geheimnisschutz des Telekommunikationsgesetzes nach §
93 Abs 3 TKG und dies kommt indirekt zur Anwendung zwischen AG und AN.293
Bislang wurde noch keine gesetzliche Materie geschaffen, das ein eigenständiges
Arbeitnehmerinnendatenschutzrecht bildet, weshalb sich jeder Eingriff einer allgemeinen
Verhältnismäßigkeitsprüfung und einer Interessensabwägung nach dem DSG unterziehen
muss.294
292 Knyrim, Datenschutzrecht: Praxishandbuch für richtiges Registrieren, Verarbeiten, Übermitteln, Zustimmen, Outsourcen, Werben uvm² (2012) 8. 293 Brodil, Kontrolle und Datenschutz im Arbeitsrecht, ZAS 2009/21, 121 (124). 294 Rebhahn, Mitarbeiterkontrolle 18.
Abbildung 7: Zulässigkeitsprüfung nach Jahnel in Jahnel/Mader/Staudegger (Hrsg), IT-Recht³ (2012)
63
Selbst wenn eine AN ihr privates Gerät nicht beruflich einsetzt, werden ihre Daten auf
den Privatgeräten anderer AN verarbeitet. Dem erhöhten Risiko eines Verlustes muss die
AG entgegenwirken, mit angemessenen Sicherheitsmaßnahmen, um auch den Schutz
ihrer Daten, Daten Dritter und jener der AN vor strafrechtlich relevanten Einwirkungen (zB
Diebstahl, Datenmanipulation), Verlust und Beschädigung zu schützen.295
1.1.1. Prinzipien des Datenschutzrechts
Das Recht auf Geheimhaltung, als Grundpfeiler des Datenschutzrechts, formuliert die
Wahrung des Datengeheimnisses gem § 15 DSG und verpflichtet die AG, jene Daten
geheim zu halten, die durch das Beschäftigungsverhältnis zugänglich wurden oder
anvertraut worden sind. Auch können sich AN weigern, eine nicht erlaubte Datenweitergabe
durchzuführen und vertraglich verpflichtet werden das Datengeheimnis zu unterstützen.296
Mit dem Grundsatz der rechtmäßige Verarbeitung nach Treu und Glauben soll ein
faires Gleichgewicht geschaffen werden, zwischen der Informationsbeschaffung der AG
und dem Schutz der Daten der AN. Es wird darauf abgezielt, eine gewisse Transparenz der
Verarbeitung der Daten zu schaffen, da in vielen Fällen diese nicht auf den ersten Blick
erkennbar ist (zB Firmen-App wird installiert). Die Offenlegung des Datengebrauchs
gegenüber der Betroffenen nach § 6 Abs 1 Z 1 DSG und die Aufklärung über deren Rechte,
soll die Publizität sicherstellen.297 Eine Zweckgebundenheit soll eine Datensammelwut
unterbinden, auch deren Verbleib auf längere Zeit ist nicht gerechtfertigt, sobald der Anlass
der Datenerhebung wegfällt. Die Beschränkung von Umfang, Dauer der Speicherung und
Zweck dienen der Datenarmut, um den Wesentlichkeitsgrundsatz einzuhalten.
Die Zulässigkeit einer Datenverwendung richtet sich nach den im DSG festgelegten
Grundsätze, es soll ein erforderlicher Eingriff sein, der die Privatsphäre und das
schutzwürdige Geheimhaltungsinteresse nur in jenem Ausmaß berührt, der vertretbar und
gem § 7 Abs 3 DSG angebracht ist.
295 Dohr/Pollirer/Weiss/Knyrim, DSG², Anhang V., 17.D.3 (Stand: 7.7.2015, rdb.at). 296 Gerhartl, Persönlichkeitsschutz 93. 297 Hattenberger, Kontrolle des Arbeitnehmers 31.
64
1.2. ArbeitnehmerInnendatenschutz
Die über das Arbeitsumfeld hinaus gehende Überwachung der AN ist grundsätzlich,
trotz Treuepflichten oder weiteren vertraglichen Obliegenheit, untersagt. Nur als
Stichprobe, mit ausreichenden Rechtfertigungsgründen, ist eine solche Überwachung
möglich. Mit einem mobilen Endgerät jedoch bleibt die Verbindung und damit auch die
Kontrollmöglichkeit auch in der Freizeit der AN bestehen.298 Eine Überwachung muss das
gelindeste Mittel darstellen und Folge eines begründeten Verdachts einer Gefährdung der
Interessen der AG. Sobald kein innerer Zusammenhang, zwischen dem Verhalten der AN
in ihrer Freizeit und dem arbeitsvertraglichen Verhältnis zur AG besteht, ist eine
Kontrollmaßnahme nicht zuzulassen.299
Verstöße gegen das DSG werden mit Verwaltungsstrafen geahndet, welche entweder
eine tatsächliche Verletzung darstellen, eine potentielle Gefahr begünstigen oder ein
Betroffenenrecht erschweren. Bei konkreten Verletzungen können bis zu
fünfundzwanzigtausend Euro verhängt werden, bei Gefährdung und Beeinträchtigung von
Betroffenenrechten zehntausend Euro. Eine Verletzung liegt vor, wenn sich Personen am
Arbeitsplatz, vorsätzlich die Einsichtnahme in personenbezogene Daten verschaffen. Dies
liegt bspw vor, wenn kein zügiges Ausloggen aus einem fremden Account, das
Aufrechterhalten eines widerrechtlichen Zugangs praktiziert oder ein Datengeheimnis
durchbrochen wird (zB Verwendung der Daten für anderen Zweck). Eine Gefährdung bildet
ein gröbliches Vernachlässigen von erforderlichen Sicherheitsmaßnahmen zum Schutz der
Daten, ein leichtfertiger Umgang mit Daten (kein Virenprogramm verwenden, kein WLAN
Passwort, usw.) oder eine gezielte Durchsuchung von Videoüberwachungsmaterial, ohne
Protokollierung.300
In dem EuGH Urteil301 zur Thematik, Umgang von Fotos, sowie Videoaufnahmen von
AN ist ersichtlich, dass eine Abgrenzung zwischen sensiblen und nicht-sensiblen
personenbezogenen Daten schwer zu treffen ist. Hier wurden die Interessen der AG zur
Weiterverarbeitung in den Vordergrund gestellt. Das Urteil verweist auf die Regelungen der
nicht-sensiblen Daten in der EG-DatenschutzRL und zeigt an, dass es sich um nicht-
sensible Daten handelt.302
298 Rebhahn, Mitarbeiterkontrolle 103. 299 Majoros, Social Networks und Arbeitsrecht, ecolex 2010, 829 (832). 300 Sonntag, Internetrecht² 263. 301 EuGH 11.12.2014, C-212/13, Ryneš/Tschechische Datenschutzbehörde, Rn 34. 302 Knyrim/Horn, Die Zulässigkeit der Verwendung von Mitarbeiteraufnahmen, Dako 2015/4, 7 (7).
65
Selbst bei Umgründungen, Verschmelzungen, Abspaltungen kann der Datenschutz
der personenbezogenen Daten der Mitarbeiterinnen eine Relevanz entwickeln. Durch die
informationelle Selbstbestimmung der Betroffenen, in Bezug auf ihre Datenbestände, kann
dies Einfluss nehmen, auf die teilweise oder gänzliche Gesamtrechtsnachfolge, bei der
Daten übertragen werden.303 Demnach ist darauf zu achten, ob es sich um sensible Daten
handelt oder jene, die nicht vertraglich verpflichtend erhoben wurden. Nach Fetl/Mosing304
unterliegt dieser Vorgang einer Einzelfallprüfung.
Im Zuge eines Datenlecks, eines Angriffes von innen oder außen, einer technischen
Störung oder eines Verstoßes einer Drittanbieterin oder Kundin, können Daten entwendet,
unrechtmäßig verwendet, beschädigt werden, die die AN betreffen.
Sobald der Betroffenen (zB AN, Kundin) ein Schaden droht, ist diese in geeigneter
Form zu informieren.305 Der (nicht nur rein finanzielle) Schaden muss zumindest über die
Geringfügigkeit hinausgehen, wobei aber nicht die Folgeschäden (zB Imageschaden bei
Hackangriff auf Ashley Madison306 oder Fiat Chrysler307) miteinbezogen werden, sondern
nur der Wert der bedrohten Daten. Die Datenschutzbehörde muss über die Angriffe oder
Datenverluste nicht informiert werden.
1.2.1. Rechte der Betroffenen
Nach der Offenlegungs- und den Informationspflichten gem § 23 DSG ist auf Anfrage
der AN mitzuteilen, welche Anwendungen vorgenommen werden. Die Informationspflicht
betreffend § 24 DSG, sieht eine Aufklärung der Betroffenen vor. Es ist zu erörtern, welche
Daten ermittelt werden, zu welchem Zweck die Datenerhebung dient und welche Person
diese Datenerhebung (Identität der Auftraggeberin) ausführt. Erst durch Kenntnis einer
Datenverarbeitung können betroffene AN überhaupt erst ihre Rechte, begründet auf dem
DSG, wahrnehmen.308 Da digitale Sammlungen von Informationen, über
Nutzerinnenverhalten, nur in einem engen dienstlichen Zusammenhang zur beruflichen
Tätigkeit erstellt werden dürfen, haben AN ein Einsichtsrecht. Die sogenannte digitale
Personalakte beinhaltet Angaben zur Person. Diese Daten können durch die AN überprüft
303 Feltl/Auer, Zur datenschutzrechtlichen Relevanz von Umstrukturierungsvorgängen, SWK 17/2009, 55 (57). 304 Fetl/Mosing, Grundrecht auf Datenschutz bei Verschmelzung und Spaltung, GesRZ 2007, 233 (243). 305 Sonntag, Internetrecht² 238. 306 Futurezone, Gehackte Nutzerdaten von Seitensprung-Portal im Darkweb, http://futurezone.at/digital-life/gehackte-nutzerdaten-von-seitensprung-portal-im-darkweb/147.811.484 (16.10.2015). 307 News ORF, Der Alptraum aller Autohersteller, http://orf.at/stories/2291458/2291245/ (16.10.2015). 308 Jahnel, Datenschutzrecht, in Jahnel/Mader/Staudegger (Hrsg), IT-Recht³ (2012) 415 (444).
66
werden. Abgeleitet von § 1 Abs 3 DSG wird es der AN ermöglicht, eine Erklärung dazu
abzugeben und die Richtigkeit des Inhalts entweder zu bestätigen oder eine Richtigstellung
zu fordern.309
1.2.1.1. Widerspruchsrecht
Das Widerspruchsrecht nach § 28 DSG schützt vor Veröffentlichung oder
Datenanwendung, wenn diese gesetzlich nicht vorgesehen ist. Somit hat das
Widerspruchsrecht keinen Einfluss auf die Zulässigkeit der Ermittlung der Daten, es sollen
nur jene Daten gelöscht werden, gegen die Widerspruch erhoben worden ist, weshalb auch
kein Schadenersatz daraus abgeleitet werden kann.310
In bspw öffentlich zugänglichen Register und Datenbanken kann dieses Begehren
jederzeit, ohne Begründung, abgegeben werden und die Löschung muss binnen acht
Wochen erfolgen.
1.2.1.2. Auskunftsrechte
Gem § 26 DSG wird der AN ein Auskunftsrecht zur Seite gestellt, sie hat dem zur
Folge einen Anspruch, nach einer Anfrage mitgeteilt zu bekommen, welche Daten, aus
welchem Anlass, zu welchem Zweck erforderlich, verarbeitet worden sind. Die Auskunft
kann kostenpflichtig sein, sofern bereits eine Auskunft im selben Jahr erteilt wurde und
verweigert werden, wenn Dritte oder Interessen der AG dadurch gefährdet werden.311 Das
Auskunftsbegehren ist binnen acht Wochen schriftlich abzugeben, wobei dies nur über
personenbezogene Daten offenzulegen ist. Indirekte Daten (zB Online-Zeiten auf
bestimmten Apps) müssen nicht dargelegt werden, da diese ohne die Identität der
Betroffenen feststellen zu können, ermittelt worden sind. Die Daten, über die ein
Auskunftsgesuch abgelegt worden ist, dürfen vier Monate lang nicht vernichtet werden.312
Sollte dem Auskunftsrecht nicht entsprochen werden, kann die Beschwerde nach § 31 DSG
309 Goricnik, Datenverwendung in der Personalverwaltung und Personalführung, in Grünanger/Goricnik, Arbeitnehmer-Datenschutz und Mitarbeiterkontrolle (2014) 205 (255). 310 Dohr/Pollirer/Weiss/Knyrim, DSG² § 28 ErläutRV (Stand: 2.7.2014, rdb.at). 311 Gerhartl, Persönlichkeitsschutz 93. 312 Sonntag, Internetrecht² 235.
67
an die Datenschutzbehörde erfolgen, welche bei Verletzungen des Datenschutzes
zuständig ist.313
1.2.1.3. Recht auf Richtigstellung oder Löschung
Nach § 27 Abs 1 Z 1 DSG ist es von Nöten unrichtige Daten zu korrigieren, die AG ist
aufgefordert diese Richtigzustellen oder eine Richtigstellung durch die AN zuzulassen, da
sich deren Anspruch darauf auf § 27 Abs 2 Z 2 DSG gründet. Ebenso ist die Aktualität
bedeutend, da Daten laufend angepasst werden müssen (zB neues Smartphone wird
verwendet).314 Nach dem Antragsprinzip ist die Unrichtigkeit der AN zu korrigieren oder die
nicht zulässig ermittelten Daten zu löschen, wobei wiederum, indirekte Daten aus diesem
Raster fallen. Es ist der AN mitzuteilen, inwiefern die Löschung oder Richtigstellung erreicht
wurde, sollte dies technisch nicht umsetzbar sein, muss eine Ausbesserung mit einem
Vermerk belegt werden. Dieser wird auch als Vermerk festgelegt, wenn die Unrichtigkeit
der Daten nicht belegt werden kann und darf nur aufgrund einer gerichtlichen Anordnung
oder mit Zustimmung der AN entfernt werden.
313 Sonntag, Internetrecht² 258. 314 Hattenberger, Kontrolle des Arbeitnehmers 35.
68
IV. Resümee
Mobile Geräte werden in der Arbeitswelt eingesetzt, entweder mit einer Bereitstellung
durch die AG oder AN. Eine Bereitstellungspflicht für die AN sieht das Arbeitsrecht
prinzipiell nicht vor. Da die Geräte, geprägt von einem weitläufigen und ortunabhängigen
Einsatzfeld, viele Arbeitsabläufe im täglichen Gebrauch erleichtern, besteht der Wunsch
der AN diese am Arbeitsplatz einzusetzen.
Mobile Gerät unterliegen einer stetigen Weiterentwicklung ihrer Hard- und Software
durch die Herstellerinnen und Programmiererinnen. Seit dem ersten iPhone und dessen
Präsentation 9.1.2007 ist nicht ein Jahrzehnt vergangen und dennoch hat das mobile Gerät
die Arbeitsweise, Kommunikation und Freizeitgestaltung verändert. Die unbekannte Größe
Datenschutz, Schutz vor Kontrolle, Entdecken und beweisen von Verstößen, scheint
technisches Grundwissen und oft auch tiefgreifende Expertise zu benötigen. Der Kompass
einer informellen Selbstbestimmung315 entwickelt sich erst langsam. Die Motivation an
Netzwerken teilzuhaben, leichteren Informationszugang und schnellerem Ausführen von
Aufgaben, liefern Argumente, um in der Arbeitswelt integriert zu werden. Mitarbeiterinnen
müssen scheinbar Einschnitte hinnehmen, damit sie ihre Geräte am Arbeitsplatz einsetzen
dürfen. Der virtuelle Raum umspannt die Arbeits- und Freizeit, ein aktives Abgrenzen ist
hierbei nötig. Einerseits um die Kosten einzuordnen, andererseits die Arbeitszeit zu
dokumentieren. Nutzungsvereinbarungen können die ersten Schritte des Einsatzes privater
Mobilgeräte sein. Diese können einzelvertraglich, spezifisch auf die Branche oder auf den
Arbeitsplatz zugeschnitten werden. Es müssen kollektivrechtliche Bedingungen für
Überwachungsmaßnahmen beachtet werden. Das mobile Werkzeug wird als geeignetes
Medium angesehen, selbst ohne Absicht der AG, als Hilfsmittel zur Kontrolle eingesetzt zu
werden.
Mit dem Einsatz von mobilen Geräten am Arbeitsplatz, die im Eigentum der AN
stehen, kann sich ein Risiko ergeben wichtige Daten zu verlieren. Dieser Gefahr sind
Dienstgeräte ebenso ausgesetzt, nur unterliegt ein solches, der völligen Kontrolle der AG.
Bei BYOD hingegen, kann die Eigentümerin des Gerätes Einstellungen vornehmen, die die
Datensicherheit erschweren, Programme benutzen, deren Zugriffsrechte auf das Gerät
schwer einzuschätzen sind. Daten werden durch oft kostenlose Apps an
315 Dazu näher EuGH 6.10.2015, Rs C‑362/14, Schrems/Data Protection Commissioner.
69
Werbenetzwerke316 verteilt, Spyware-Programme sind für Nutzerinnen schwer
auszumachen. Zumal ist die Hardware (zB Diebstahl, Beschädigung), aber auch die
Software (zB Schad-Programme, Datenschutzverstöße) ein Angriffspunkt. Ein hieraus
resultierender Schaden ist schwer abzuschätzen. Selbst die Fernlöschung kann umgangen
und die gestohlenen Daten noch Jahre später verwendet, weiter gegeben oder
wiederherstellt werden. Deshalb ist eine Regelung für Verlustfälle, in Form einer
Nutzungsvereinbarung wesentlich, da die AG bei einer zeitnahen Verlustmeldung, eine
realistische Chance wahrnehmen kann, die Daten selbst zu vernichten. Sollte das nicht
mehr möglich sein, sind Personen, deren Daten betroffen sind zu informieren. Dadurch
kann ein Vertrauensverlust entstehen und die Reputation darunter leiden.
Der Zugriff der AG auf das Privatgerät legt einen Einblick auf die Privatdaten der AN
frei. Vermehrt zeigen sich in diesem Spannungsverhältnis eine Annäherungen der Literatur
die Komplexität des Individualrechts, Kollektivrechts, Datenschutzes und weitere
Rechtsgebiete (zB Urheberrecht, Steuerrecht, Strafrecht, uvm) gesamtheitlich zu
betrachten. Insbesondere wird der Schutz der Daten, vor der AG oder Dritten, in den
Vordergrund gestellt. Ein nicht existentes Arbeitnehmerinnendatenschutzrecht lässt eine
Schnittmenge mehrerer Ansätze zu: ein vollkommendes Unterwerfen des Privateigentums
der AN zum Interesse der AG, mit unterschiedlich abgeschwächter Intensität an Kontroll-
und Schutzmechanismen am Gerät, abgesichert durch Nutzungsvereinbarungen oder ein
bewusster Umgang der Datenverarbeitung nach dem Grundsatz für die AG der
„Datensparsamkeit“ und zum Eigenschutz der Privatsphäre durch die AN die
„Datenvermeidung“.317
Eine absolute Datensicherheit gibt es nicht. Gegenwärtig gibt es nur Auskunft- und
Widerspruchsrechte, keine transparente Kontrollmöglichkeit der AN, um nachvollziehen zu
können, welches Zugriffsrecht die AG auf ihrem Gerät wahrnimmt. Eine Kontrolle der AG,
ob die Datenverwendung nach dem, nach außen getragenen Zweck, tatsächlich zum
Einsatz kommt, ist technisch schwer umzusetzen. Der Schutz von indirekten Daten, die in
manchen Fällen leicht zu sensiblen Daten werden können, ist mA nicht ausreichend.
Demnach bleibt ein intransparentes Vertrauensband, zwischen der AG und der AN,
zwischen der Aufraggeberin und der Betroffenen. Dies steht in Abhängigkeit dazu, welche
Person zügiger IT-Wissen aufbaut und einer digitale Selbstverteidigung oder einer
vorteilhafteren Datenanwendung fähig ist.
316 Siehe Barczok/Eikenber/Wischnjak, Schnüffel-Apps durchleuchten, C’t Wissen Überwachung abwehren
2015, 12 (13). 317 Hattenberger, Die Kontrolle des Arbeitnehmers 68.
70
Vielleicht trägt die Sorge, über den Schutz von Unternehmensdaten, dazu bei, die
Sensibilität über die Wertigkeit von Daten im Allgemeinen zu fördern. In Folge dessen auch
Aufklärung über den Wert der Daten der AN. Denn mit wenigen Schritten können daraus
Informationen abgelesen werden, die sich dazu eigenen, in die arbeitsrechtliche
Vertragsbeziehung, zwischen ihr und der AG, hinein zu strahlen. Ein besonders heraus
stechendes Beispiel ist dafür die Darlegung des nicht vorhandenen
Beweisverwertungsverbots von widerrechtlich erlangten Daten.
BYOD wird aus Sicht der AG, in Hinblick ihres Datengeheimnisses für Geschäfts- und
Betriebsdaten, vielleicht als „Bring your own desaster“ angesehen, von Seiten der AN kann
dies als „Bring your own data“ bezeichnet werden. Die Verlinkung und Vermengung der
privaten Daten mit jenen der AG, ist ein Prozess, der sich weiter fortsetzen wird.
71
V. Literaturverzeichnis
Adolf, Marian
- in Ortner / Pfurtscheller / Rizzolli / Wiesinger (Hrsg), Datenflut und
Informationskanäle (2014)
Arning, Marian / Moos, Flemming / Becker, Maximilian
- Vertragliche Absicherung von Bring Your Own Device: Was in einer
Nutzungsvereinbarung zu BYOD mindestens enthalten sein sollte, CR 2012,
592
Auer-Mayer, Susanne
- Die Grenze zwischen selbständiger und unselbständiger Tätigkeit aus
sozialversicherungsrechtlicher Sicht dargestellt am Beispiel der IT-Branche,
ZAS 2015/2, 4
Barczok, Achim / Eikenber, Ronald / Wischnjak, David
- Schnüffel-Apps durchleuchten, C’t Wissen Überwachung abwehren 2015, 12
Bartz, Michael / Schmutzer, Thomas
- Mobilität: New World of Work – Warum kein Stein auf dem anderen bleibt,
WPBI 2015/1, 163
Berka, Walter
- in Berka / Grabenwarter / Holoubek (Hrsg), Persönlichkeitsschutz in
elektronischen Massenmedien, Bd 9 (2012)
Brandstetter, Franz / Windisch-Altieri, Bettina
- BYOD erlauben und regeln – Richtlinien für die Nutzung privater Endgeräte
am Arbeitsplatz, Personal Manager 2/2013, 29
Brenn, Christoph
- in Reissner (Hrsg), Kommentar zum Angestelltengesetz, 2. Auflage (2015)
Brenner, Walter / Lemke, Claudia
72
- Einführung in die Wirtschaftsinformatik: Verstehen des digitalen Zeitalters
(2015)
Brodil, Wolfgang
- Datenschutzrechtliche Aspekte der Verwendung von Gesundheitsdaten im
Arbeitsverhältnis, ecolex 2010, 122
- Die Kontrolle der Nutzung neuer Medien im Arbeitsverhältnis, ZAS 2004/28,
156
- Die Registrierung von Vermittlungsdaten im Arbeitsverhältnis, ZAS 2004/4, 17
- in Bogendorfer (Hrsg), Datenschutz im Unternehmen (2011)
- in Resch, Reinhard (Hrsg), Die Kontrolle des Arbeitnehmers vor dem
Hintergrund moderner Medien (2005)
- Kontrolle und Datenschutz im Arbeitsrecht, ZAS 2009/21, 121
- Löschung von Arbeitnehmerdaten, ZAS 2014/54, 335
- Nutzung und Kontrolle von neuen Medien im Arbeitsrecht, ecolex 2001, 853
Burgenmeister, Clemens / Wulf, Hans Markus
- IT-Compliance beim Einsatz privater Hard- und Software am Arbeitsplatz
(BYOD), 2014/10, 374
Burgenmeister, Clemens / Wulf, Hans Markus
- Industrie 4.0 in der Logistik – Rechtliche Hürden beim Einsatz neuer
Vernetzungs-Technologien, CR 2015, 404
Burgstaller, Peter
- Editorial IoT und M2M: Wo bleibt der Datenschutz und die
Informationssicherheit? ZIIR 2015, 121
Cede, Christoph R.
- in Dengg / Schurian (Hrsg), Schriftenreihe der Landesverteidigungsakademie:
Vernetzte Unsicherheit – Hybride Bedrohungen im 21. Jahrhundert, Bd 15
(2015)
Disterer, Georg / Kleiner, Carsten
- Bring Your Own Device, HMD 2013, 92
73
Dohr, Walter / Pollirer, Hans / Weiss, Ernst / Knyrim, Rainer, Datenschutzgesetz
- Onlinekommentar zum Datenschutz, 2. Auflage (Stand 7.7.2015, rdb.at)
Dorschel, Joachim / Walter, Thorsten
- Mobile Device Management – rechtliche Fragen, WuM 2012/03, 22
Dürager, Sonja
- in Jahnel (Hrsg), Datenschutzrechtliche Aspekte der mobilen Kommunikation
im Unternehmen, JB Datenschutzrecht und E-Government (2012)
Dürager, Sonja / Leiter, Dominik
- in Napokoj (Hrsg), Risikominimierung durch Corporate Compliance (2010)
Egermann, Clemens
- Gibt es eine generelle Förderungs- und Aufklärungspflicht des Arbeitgebers?
ZAS2005/3, 111
Erharter, Dorothea / Xharo, Elka
- in Marsden / Kempf (Hrsg), Gender-UseIT Gendability: Welche Aspekte sind
für die Gestaltung von Websites und Apps von Bedeutung? (2014)
Fasching, Hans
- Lehrbuch des österreichischen Zivilprozeßrechts, 2. Auflage (1990)
Feiler, Lukas / Fina, Siegfried
- Datenschutzrechtliche Schranken für Big Data, MR 2013, 303
Felten, Elias / Mosler, Rudolf
- in Jahnel / Mader / Staudegger (Hrsg), IT-Recht, 3. Auflage (2012)
Feltl, Christian / Auer, Maximilian
- Zur datenschutzrechtlichen Relevanz von Umstrukturierungsvorgängen, SWK
17/2009, W 55
Feltl, Christian / Mosing, Max W.
74
- Grundrecht auf Datenschutz bei Verschmelzung und Spaltung, GesRZ 2007,
233
Fischlmayr, Ingrid
- Verändert digitale Kommunikation Unternehmen? Oder: Sollen sich
Unternehmen den "Digital Natives" anpassen? ASoK 2011, 235
Föck, Michael
- Sicherheitsrichtlinien für den Einsatz mobiler Endgeräte, HMD 2014, 94
Franck, Lorenz
- Bring your own device – Rechtliche und tatsächliche Aspekte, RDV 2013/4,
185
Friedrich, Michael
- Grundfragen des Entlassungsrechts: Wesen des wichtigen Grundes und
unverzügliche Geltendmachung, ASoK 2008, 453
Gerhartl, Andreas
- Schäden am dienstnehmereigenen Kraftfahrzeug, ASoK 2013, 56
- Persönlichkeitsschutz im Arbeitsverhältnis: Kontrolle - Gleichbehandlung -
Datenschutz (2009)
Ghazal, Nadya
- in Jaksch-Ratajczak (Hrsg), Aktuelle Rechtsfragen der Internetnutzung (2010)
Goricnik, Wolfgang
- in Goricnik / Grünanger (Hrsg), Arbeitnehmer Datenschutz und
Mitarbeiterkontrolle (2014)
- Persönlichkeitsschutz bei der Ermittlung und Benützung von Standortdaten im
Arbeitsverhältnis, wbl 2012, 301
Goricnik, Wolfgang / Riesenecker-Caba, Thomas
- Datenschutz und Datensicherheit beim betrieblichen Einsatz mobiler "smarter"
Endgeräte, Dako 2014/16, 34
75
Grabenwarter, Christoph
- Das Recht auf informationelle Selbstbestimmung im Europarecht und im
Verfassungsrecht, AnwBl 2015, 404
Graf, Caroline / Schöberl, Elisabeth
- Beweisverwertungsverbote im Arbeitsrecht? ZAS 2004/30, 172
Greifeneder, Martin
- in Neumayr / Reissner (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln
(2010)
Grünanger, Josef
- in Goricnik / Grünanger (Hrsg), Arbeitnehmer Datenschutz und
Mitarbeiterkontrolle (2014)
Hartmann, Thomas
- Der Internetzugang am Arbeitsplatz im Fokus einer Gesetzesnovelle, JB
Datenschutzrecht (2010)
Hasberger, Michael
- IT-Sicherheit und Haftung, ecolex 2007, 508
Hattenberger, Doris
- in Resch (Hrsg), Die Kontrolle des Arbeitnehmers vor dem Hintergrund
moderner Medien (2005)
- in Gruber / Rippitsch / Wintersteiner (Hrsg), JB Friedenskultur
Menschenrechte und Frieden (2009)
Heidinger, Viktoria
- Datenschutz am Arbeitsplatz: Was und wie weit darf der Arbeitgeber
kontrollieren? Dako 2014/18, 40
Heilegger, Gerda
- Überwachung und Datenschutz im Arbeitsverhältnis, infas 2009, 139
Heinz-Ofner, Silke
76
- in Neumayr / Reissner (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln
(2010)
Hoppen, Peter / Willer, Christoph
- Computerforensik – Technische Möglichkeiten und Grenzen, CR 2012, 610
Huger, Martin / Laimer, Hans Georg
- BYOD und Arbeitsrecht, ecolex 2014, 303
Jabornegg, Peter
- in Strasser / Jabornegg / Resch (Hrsg), Kommentar zum
Arbeitsverfassungsgesetz – ArbVG (2013)
Jahnel, Dietmar
- Datenschutz im Internet Rechtsgrundlagen, Cookies und Web-Logs, ecolex
2001, 84
- Datenschutzrecht: Grundrecht auf Datenschutz, Zulässigkeitsprüfung,
Betroffenenrechte, Rechtsschutz (2010)
Jandt, Silke / Steidle, Roland
- On Device Fits All? - Ein Endgerät für mehrere Arbeitgeber, CR 2013, 338
Kerschner, Ferdinand
- Die geraubte Fotoausrüstung (Serie: "Der praktische Fall"), DRdA 1986, 230
Knallnig, Barbara
- in Neumayr / Reissner (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln
(2010)
Knyrim, Rainer
- Datenschutzrecht: Praxishandbuch für richtiges Registrieren, Verarbeiten,
Übermitteln, Zustimmen, Outsourcen, Werben uvm, 2. Auflage (2012)
Knyrim, Rainer / Horn, Bernhard
- Bring Your Own Device - Ein Trend hält Einzug in Österreichs Unternehmen,
ecolex 2013, 365
77
- Die Zulässigkeit der Verwendung von Mitarbeiteraufnahmen, Dako 2015/4, 7
Knyrim, Rainer / Schmidt, Katharina
- Der Mensch ist die größte Schwachstelle, Dako 2015/18, 26
Koch, Alexander
- Strafrechtliche Probleme des Angriffs und der Verteidigung in
Computernetzwerken (2007)
Kodek, Georg
- Rechtswidrig erlangte Beweismittel im Zivilprozeß, ÖJZ 2001, 281
Kohlbacher, Elisabeth
- Spielräume bei der Vertragsgestaltung, ZAS 2015/22, 36
Körber, Katharina
- Die Privatnutzung von Dienstfahrzeugen, ZAS 2005/13, 67
Kotschy, Waltraut
- in Brodil (Hrsg), Datenschutz im Arbeitsrecht Mitarbeiterüberwachung versus
Qualitätskontrolle, Wiener Oktobergespräche (2009)
Kotschy, Waltraut / Reimer, Sebastian
- Die Überwachung der Internet-Kommunikation am Arbeitsplatz: Ein
Diskussionsbeitrag aus datenschutzrechtlicher Sicht, ZAS 2004/29, 167
Kreil, Linda
- in Jaksch-Ratajczak (Hrsg), Aktuelle Rechtsfragen der Internetnutzung (2010)
Kuras, Gerhard
- Möglichkeiten und Grenzen einzelvertraglicher Gestaltungen im aufrechten
Arbeitsverhältnis, ZAS 2003/19, 100
Laimer, Barbara / Mayr, Klaus
- Zum Spannungsverhältnis von Arbeitgeber- und Arbeitnehmerinteressen rund
um die EDV-Nutzung, DRdA 2003, 410
78
Lambach, Inés Calle / Prümper, Jochen
- Mobile Bildschirmarbeit: Auswirkungen der Bildschirmrichtlinie 90/270/EWG
und der BildscharbV auf die Arbeit an mobil einsetzbaren IT-Geräten,
RdA 2014
Lehner Othmar M. / Grabmann Elisabeth / Ennsgraber Carina
- Crowdfunding - Innovationsmotor oder Irrweg? Auswirkungen auf
Geschäftsmodelle junger Unternehmen, CFO aktuell 2015, 156
Löschnigg, Günther
- Arbeitsrecht, 12. Auflage (2015)
- in Jahnel / Mader / Staudegger (Hrsg), IT-Recht, 3. Auflage (2012)
Löschnigg, Günther / Reissner, Gert-Peter
- Arbeitgeberhaftung für Sachschäden auf der Dienstreise, ecolex 1991, 110
Maier, Ronald
- Ein Plädoyer für ein Ende der Ausgrenzung der Digitalen Welt, Information
Technology IT 2010/6, 360
Majoros, Thomas
- Social Networks und Arbeitsrecht, ecolex 2010, 829
Martens, Thomas / Hein, Christoph
- Daten wachsen Beine: Auswahlkriterien für mobile BI-Apps, CFO aktuell 2014,
34
Mayer, Susanne
- Anzeigepflicht des Arbeitnehmers AG über Missstände im Betrieb, ZAS
2010/31, 186
Mayr, Klaus
- Onlinekommentar zum Arbeitsrecht (Stand: 1.10.2015)
Mazal, Wolfgang
79
- Der Informationsanspruch des Arbeitgebers bei EFZ im Krankheitsfall, ecolex
2010, 118
Mertinz, Anna
- Arbeitsrecht im Außendienst, ASoK 2015, 97
Merz, Peter
- Sichere mobile Unternehmensanwendungen, HMD 2014, 45
Mitschka, Miriam / Steiner, Peter
- Die Beistellungs- und Kostentragungspflicht für Arbeitskleidung: Zugleich ein
Beitrag zur Risikoverteilung im Arbeitsverhältnis, ZAS 2014/50, 304
Mosler, Rudolf
- in Neumayr / Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht, 2. Auflage
(2011)
- in Jahnel, Dietmar / Mader, Peter / Staudegger, Elisabeth (Hrsg), IT-Recht, 3.
Auflage (2012)
Neumayr, Matthias
- in Neumayr / Reissner (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln
(2010)
Nöstlinger, Walter
- ArbeitnehmerInnenschutz, 2. Auflage (2013)
Öhlböck, Johannes / Esztegar, Balazs
- Rechtliche Qualifikation von Denial of Service Attacken, JSt 2011, 126 (129)
Öhlböck, Johannes / Esztegar, Balazs
- Rechtliche Qualifikation von Denial of Service Attacken, JSt 2011, 126
Pačić, Jasmin
- in Neumayr / Reissner (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln
(2010)
80
- Die Fürsorgepflicht des Arbeitgebers im Lichte der Rechtsprechung,
ZAS2010/3, 144
Pfeil, Walter J.
- in Neumayr / Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht, 2. Auflage
(2011)
Pierrot, Olivier
- in Ernst (Hrsg), Hacker, Cracker und Computerviren Recht: Praxis der
Informationssicherheit (2004)
Pilarski, Björn / Freier, Pascal / Schumann, Matthias
- Mobile Device Management - Eine strukturierte Marktanalyse, HMD 2015, 373
Pollirer, Hans
- Checkliste - Bring Your Own Device (BYOD), Dako 2014/6, 13
Rainer, Linda
- in Neumayr / Reissner (Hrsg), Zeller Handbuch Arbeitsvertrags-Klauseln
(2010)
Rassi, Jürgen C.T.
- Die Durchsetzung des Unterlassungsanspruchs, ÖBl 2015/44, 207
Rauch, Thomas
- Private Nutzung firmeneigener Mobiltelefone und PKW, ASoK 2011, 175
Rebhahn, Robert
- in Neumayr / Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht, 2. Auflage
(2011)
- Mitarbeiterkontrolle am Arbeitsplatz: Rechtliche Möglichkeiten und Grenzen
(2009)
Rebhahn, Robert / Kietaibl, Christoph
- in Neumayr / Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht, 2. Auflage
(2011)
81
Rechberger, Walter
- in Fasching / Konecny (Hrsg), Kommentar zu den Zivilprozessgesetzen, 2.
Auflage (2011)
Reindl-Krauskopf, Susanne
- Cyberstrafrecht im Wandel, ÖJZ 2015/19, 112
Reissner, Gert-Peter
- in Reissner (Hrsg), Kommentar zum Angestelltengesetz, 2. Auflage (2015)
- in Marhold / Burgstaller / Preyer (Hrsg), Kommentar zum Angestelltengesetz
(2013)
- Lern- und Übungsbuch Arbeitsrecht, 5. Auflage (2015)
- in Neumayr / Reissner (Hrsg), Zeller Handbuch Betriebsvereinbarungen
(2014)
Risak, Martin
- Arbeiten in der Grauzone zwischen Arbeitszeit und Freizeit: Dargestellt am
Beispiel der "Dauererreichbarkeit" am Smartphone, ZAS 2013/50 300
- Rufbereitschaft, ZAS 2013/57, 339
Schuster, Stefan
- Werbungskosten und Sachbezug, Bring Your Own Device! Zur Verwendung
eigener Arbeitsmittel als Dienstnehmer, SWK 2012/15, 1065
Sonntag, Michael
- Einführung in das Internetrecht: Rechtsgrundlage für Informatiker, 2. Auflage
(2014)
- Jahnel / Mader / Staudegger (Hrsg), IT-Recht, 3. Auflage (2012)
Staudinger, Martin
- in Jaksch-Ratajczak (Hrsg), Aktuelle Rechtsfragen der Internetnutzung (2009)
Stiger, Andreas
- in Forgó / Feldner / Witzmann / Dieplinger (Hrsg), Probleme des
Informationsrechts (2003)
82
Thiele, Clemens
- Internet am Arbeitsplatz: Erste arbeitsrechtliche Konfliktfäll, ecolex 2001, 613
Tichy, Wolfgang
- BYOD - Was steckt wirklich dahinter? ecolex 2014, 300
Tomandl, Theodor
- Rechtsprobleme bei der Einführung und Anwendung von Kontrollmaßnahmen,
ZAS 1982/5, 163
- Alternativen zur Krankschreibung, ecolex 1991, 865
Vinzenz, Verena
- Die betriebliche Übung, JAP 2012/2012/25, 226
Walter, Thorsten
- BYOD Ein Praxisratgeber, HMD 2014, 85
Walterbusch, Marc / Fietz, Adrian / Teuteberg, Frank
- Schatten-IT: Implikationen und Handlungsempfehlungen für Mobile Security,
HMD 2014, 24
Windisch-Graetz, Michaela
- in Neumayr / Reissner (Hrsg), Zeller Kommentar zum Arbeitsrecht, 2. Auflage
(2011)
Zankel, Sebastian
- Bring Your Own Device! Problemfelder der Übertragung von
Arbeitgeberpflichten aus der Sicht des Arbeits- und des Datenschutzrechts,
AsoK 2013, 423
Zech, Herbert
- Zech, Daten als Wirtschaftsgut: Überlegungen zu einem „Recht des
Datenerzeugers“, CR 2015, 137
83
VI. Online Quellen
Apple Inc., iPhone/iPad Developer Program License Agreement,
URL https://developer.apple.com/programs/terms/ios/standard/ios_program_standard_agreement_20140909.pdf
BlitabTechnology, Brailleschrift Textvisualisierung mit physischen Signalen
URL http://blitab.com/
Bloomberg Business, Belgium Arrests Drug-Probe Suspects for Hacking Port Web
Sites, URL http://www.bloomberg.com/news/articles/2013-06-17/belgium-arrests-drug-probe-suspects-for-hacking-
port-web-sites
Bundeskanzleramt Österreich, Bericht Cyber Sicherheit 2015, Schwachstellen
URL https://www.bka.gv.at/DocView.axd?CobId=58898
Bundeskanzleramt Österreich, Digitale Integration in Österreich Handlungsfelder und
Beispiele 2008
URL http://www.bka.gv.at/Docs/2010/3/29/Digitale_Integration_De.pdf
Corporate Wellness by Jawbone, Fitnessarmband
URL https://groups.jawbone.com/
Die Welt, Rösler wird im Silicon Valley ein bisschen keck
URL http://www.welt.de/politik/deutschland/article116397994/Roesler-wird-im-Silicon-Valley-ein-bisschen-keck.html
European Union Agency for Network and Information Security (ENISA), Appstore
security: 5 lines of defence against malware,
URL http://www.enisa.europa.eu/activities/Resilience-and-CIIP/critical-applications/smartphone-security-1/appstore-
security-5-lines-of-defence-against-malware/at_download/fullReport
FlexySpy, Mobile Überwachungs- Spionagesoftware
URL http://www.flexispy.com/de/employee-monitoring.htm
Futurezone, Gehackte Nutzerdaten von Seitensprung-Portal im Darkweb,
URL http://futurezone.at/digital-life/gehackte-nutzerdaten-von-seitensprung-portal-im-darkweb/147.811.484
84
Global Corporate Challenge, Gesundheitsprogramm zur Verhaltensänderungen der
Mitarbeiterinnen mit Datensammlung von Bewegungspensum, Ernährung, Schlaf und
psychologisches Wohlbefinden
URL https://www.gettheworldmoving.com/
Google Inc., Legal Notice,
URL http://developer.android.com/legal.html
Hagen, Lara in Der Standard, Mit einem Chip unter der Haut die Bürotür öffnen
URL http://derstandard.at/2000022105112/Mit-einem-Chip-unter-der-Haut-die-Buerotuer-oeffnen
International Business Machines Corporation, Simon User Manuals,
URL http://research.microsoft.com/en-us/um/people/bibuxton/buxtoncollection/a/pdf/Simon%20User%20Manuals.pdf
Kreuzhuber, Sandra / Teufl, Peter / Zefferer Thomas, Sicherheitsanalyse mobiler
Plattformen 1.0 vom 22.4.2014,
URL http://www.a-sit.at/pdfs/Technologiebeobachtung/studie_sicherheitsanalyse_mobile_plattformen_v1.0.pdf
Mobile Marketing Association, Mind Take Research GmbH Communications Report
MMA 2015,
URL http://www.mmaaustria.at/html/img/pool/mobilecommunicationsreport2015.pdf
Motorola Inc., Communications Divison Motorola Annual Report 1973,
URL http://www.motorolasolutions.com/content/dam/msi/docs/en-xw/static_files/1973_Motorola_Annual_Report.pdf
News ORF, Der Alptraum aller Autohersteller
URL http://orf.at/stories/2291458/2291245/
Österreichisches Informationssicherheitshandbuch Version 4.0 vom 15.10.2014
URL https://www.sicherheitshandbuch.gv.at/2013/index.php
Rundfunk und Telekom Regulierungs-GmbH, Kommunikationsbericht 2014,
URL http://www.parlament.gv.at/PAKT/VHG/XXV/III/III_00194/imfname_437412.pdf
85
Schürmann, Dieter, Bundeskriminalamt Nordrhein-Westfalen, Predictive Policing,
Forum KI am 25.6.2015
URL
http://www.bka.de/nn_256028/SharedDocs/Downloads/DE/Publikationen/ForumKI/ForumKI2015/kiforum2015Schuerman
nPositionspapier,templateId=raw,property=publicationFile.pdf/kiforum2015SchuermannPositionspapier.pdf
Silent Circle, Mobile Device mit PrivatOS Blackphone
URL https://www.silentcircle.com/
Teufl, Peter / Zefferer Thomas, Bedrohungsanalyse und Sicherheitsanforderungen für
M-Government Applikationen Angriffspotentiale und Schutzfunktionen 2.0 vom
1.7.2011,
URL https://online.tugraz.at/tug_online/voe_main2.getvolltext?pCurrPk=58566
Web Accessibility Initiative, Richtlinien für barrierefreie Webinhalte,
URL http://www.w3.org/WAI/intro/wcag
Zeit Online, Kriminalität: Hacker erbeuten von Banken eine Milliarde Dollar,
URL http://www.zeit.de/digital/internet/2015-02/banken-hackerangriff-cyberkriminalitaet
Alle URLs wurden zuletzt am 19.10.2015 geprüft.