Employment

BYOD – Labour law aspects

BYOD brings a lot of advantages for both employers and employees. However, there are several labour law issues that need to be considered before implementing this new trend.

BYOD is happening whether employers like it or not

More and more employ­ees use pri­vate­ly-owned devices for work pur­pos­es. This so-called “Bring Your Own Device”, “BYOD” or “Con­sumer­iza­tion” is — from an employer’s per­spec­tive – aimed pri­mar­i­ly at increas­ing pro­duc­tiv­i­ty, mobil­i­ty and employee’s moti­va­tion. How­ev­er, BYOD comes along with a host of secu­ri­ty and legal issues, espe­cial­ly as no spe­cif­ic statu­to­ry pro­vi­sions exist in this regard.

Key labour law issues

Loss of con­trol / Employee’s pri­va­cy

The main issue for employ­ers imple­ment­ing BYOD is a loss of con­trol. Employ­ers are respon­si­ble for cor­po­rate data, even if it is stored on employ­ee-owned devices. But how can employ­ers bind­ing­ly instruct employ­ees on how to use their pri­vate­ly-owned devices in order to secure busi­ness data? What if employ­ees’ pri­vate­ly-owned devices are lost or stolen? What hap­pens if the employ­ee leaves the com­pa­ny? If the employ­er needs to access the per­son­al device, how can that be accom­plished with­out vio­lat­ing the employee’s pri­va­cy?

Work­ing time 

BYOD involves the risk that employ­ees using their own devices will raise wage and hour claims for work­ing over­time. How can employ­ers effec­tive­ly con­trol the extent to which employ­ees are work­ing when allow­ing BYOD?

Costs

In prin­ci­ple, the employ­er is oblig­ed to com­pen­sate the employ­ee for work-relat­ed costs. How­ev­er, the sep­a­ra­tion of those costs from the employee’s pri­vate costs may be dif­fi­cult with­out a suit­able agree­ment (eg with regard to mobile phone bills).

Lia­bil­i­ty 

By anal­o­gy with sec­tion 1014 of the Aus­tri­an Civ­il Code (All­ge­meines bürg­er­lich­es Geset­zbuch-ABGB), employ­ers may be held liable, inde­pen­dent of fault, for all loss­es typ­i­cal­ly linked to the per­for­mance of work tasks (eg if an employ­ee has had an acci­dent using his or her own car to per­form work). In con­nec­tion with BYOD, it may be dif­fi­cult to assess whether a loss (eg a lost or stolen device) results from the employ­ee mak­ing his or her device avail­able for the employer’s use or if it is attrib­ut­able to the sphere of the employee’s risk.

Fur­ther­more, accord­ing to sec­tion 4 of the Employ­ment Lia­bil­i­ty Act (Dien­st­ge­ber­haftpflicht­ge­setz-DHG), employ­ers may be held respon­si­ble for dam­ages caused by employ­ees (eg if client data is lost) depend­ing on the fault of the employ­ee.

Recommendations

Agree­ments with employ­ees

In order to pre­vent uncon­trol­lable data loss, as well as cor­po­rate and per­son­al lia­bil­i­ty, BYOD should be imple­ment­ed on the basis of an indi­vid­ual agree­ment set­ting out sev­er­al con­di­tions under which employ­ees may use their per­son­al devices. Such an agree­ment should pri­mar­i­ly cov­er the fol­low­ing issues:

  • Usage and stor­age: the specifics of usage and stor­age should be defined in detail. Employ­ees should, for exam­ple, be pro­hib­it­ed from shar­ing the device with friends and fam­i­ly, from stor­ing unse­cure apps on the device, from chang­ing the con­fig­u­ra­tion of it, etc. Fur­ther­more, employ­ers should describe the con­se­quences (eg up to the ter­mi­na­tion of employ­ment) of vio­lat­ing these rules and enforce them, if so required.
  • Device man­age­ment / Data pri­va­cy: employ­ers should obtain the employee’s pri­or con­sent to be able to man­age the employee’s devices (eg in order to install a Mobile Device Man­age­ment Soft­ware, to car­ry out an update, to remote­ly wipe the device if it is lost or stolen, etc.) in order to prop­er­ly secure busi­ness data.
  • Costs: employ­ers need to define who will be pay­ing for the device, usage charges, loss­es, etc.
  • Work­ing time: employ­ees should be required to keep detailed records of the employee’s start­ing and fin­ish­ing work­ing times when using devices out­side the office. Fur­ther­more, in order to reduce com­pen­sa­tion claims, employ­ers may agree with employ­ees on a so-called all-in-agree­ment, pro­vid­ed that such a pay­ment actu­al­ly cov­ers employ­ee enti­tle­ments.
  • Ter­mi­na­tion of employ­ment con­tract / Lost or stolen devices: the agree­ment should address what hap­pens with com­pa­ny data stored on per­son­al devices when an employ­ee leaves or is ter­mi­nat­ed from the com­pa­ny. It must also include actions that will be tak­en if a device is lost or stolen (eg imme­di­ate­ly report stolen devices, data-wip­ing of mobile phone, etc.).

Shop agree­ments 

The con­clu­sion of one or more shop agree­ments may be nec­es­sary with regard to mea­sures employ­ers may take in con­nec­tion with the imple­men­ta­tion of BYOD. It should be not­ed that in some cas­es (eg mon­i­tor­ing and access­ing data and appli­ca­tions on employee’s device in order to pro­tect cor­po­rate data), even the con­sent of the employ­ee affect­ed may not replace the works council’s con­sent. Thus, in order to prop­er­ly imple­ment any mea­sures, employ­ers should assess if the works coun­cil may have co-deter­mi­na­tion rights before imple­ment­ing them.

In order to mitigate risks arising from BYOD, employers should agree with employees on several key aspects to securing both sensitive business data and employees' privacy. Furthermore, the works council's consent may be required before implementing any measures.

BYOD – Arbeitsrechtliche Aspekte

BYOD kann sowohl für Arbeitgeber als auch für Arbeitnehmer viele Vorteile bringen. Bei der betrieblichen Einführung dieses neuen Trends sollten aber unterschiedliche arbeitsrechtliche Aspekte beachtet werden.

Gewollt oder ungewollt – BYOD wird Bestandteil unserer Arbeitswelt

Pri­vate elek­tro­n­is­che Geräte wer­den immer häu­figer von Arbeit­nehmern für ihre Erwerb­sar­beit genutzt. Diese soge­nan­nte „Kon­sumerisierung“ oder „Bring Your Own Device“ (BYOD) wird von Arbeit­ge­bern primär zur Steigerung der Pro­duk­tiv­ität, der Mobil­ität und der Moti­va­tion der Arbeit­nehmer einge­set­zt. Eine explizite geset­zliche Regelung über diesen neuen Trend existiert nicht. Es stellen sich daher einige sicher­heit­stech­nis­che und rechtliche Fra­gen.

Zentrale arbeitsrechtliche Themen 

Ver­lust an Kon­trolle / Pri­vat­sphäre 

Für Arbeit­ge­ber ist der mit BYOD ein­herge­hende Kon­trol­lver­lust das wohl wichtig­ste The­ma. Der Arbeit­ge­ber ist für die Unternehmens­dat­en ver­ant­wortlich selb­st wenn sie auf einem Gerät des Arbeit­nehmers gespe­ichert sind. Der Kon­trol­lver­lust ste­ht dabei in einem Span­nungs­feld mit der Pri­vat­sphäre der Arbeit­nehmer. Wie kön­nen daher Arbeit­ge­ber die Art und Weise des Gebrauchs von arbeit­nehmereige­nen Endgeräten vorgeben um die eige­nen Unternehmens­dat­en zu schützen? Was passiert wenn das Gerät des Arbeit­nehmers ver­loren geht oder gestohlen wird? Was geschieht, wenn der Arbeit­nehmer das Unternehmen ver­lässt? Wie kann der Arbeit­ge­ber Zugang zum Gerät des Arbeit­nehmers erlan­gen, ohne dessen Pri­vat­sphäre zu ver­let­zen?

Arbeit­szeit 

Durch Benützung des pri­vat­en Geräts im Rah­men erhöhen sich die Möglichkeit und auch die Bere­itschaft von Arbeit­sleis­tun­gen in der Freizeit. Auf­grund von zusät­zlich­er und erhöhter Über­stun­denar­beit kann es zu ver­mehrten Ent­gelt­forderun­gen und zu Arbeit­szeit­the­matiken kom­men. Wie kann daher eine effek­tive Kon­trolle der Arbeit­szeit­en bei BYOD durch den Arbeit­ge­ber erfol­gen?

Kosten

Der Arbeit­ge­ber hat grund­sät­zlich dem Arbeit­nehmer alle arbeits­be­zo­ge­nen Aus­gaben zu erset­zen. Man­gels ein­er entsprechen­den Vere­in­barung kann sich eine Tren­nung dieser Aufwände von den pri­vat­en Kosten des Arbeit­nehmers in der Prax­is oft­mals schwierig gestal­ten (z.B. in Hin­blick auf Handyrech­nun­gen).

Haf­tung

Arbeit­ge­ber kön­nen, ana­log § 1014 ABGB, unab­hängig von ihrem Ver­schulden für alle Schä­den des Arbeit­nehmers, die typ­is­cher­weise auf­grund der Erbringung von Arbeit­sauf­gaben ein­treten (z.B. wenn ein Arbeit­nehmer einen Unfall hat­te und zur Erbringung sein­er Arbeit­sleis­tung sein eigenes Auto ver­wen­det hat), haften. Ob ein Schaden bei BYOD (z.B. bei Ver­lust oder Dieb­stahl) im Rah­men der Arbeit­sleis­tung des Arbeit­nehmers einge­treten ist oder ob der Schaden der Risikosphäre des Arbeit­nehmers zuzurech­nen ist, stellt sich oft schwierig dar.

Darüber hin­aus kön­nen Arbeit­ge­ber gemäß § 4 DHG, für vom Arbeit­nehmer verur­sachte Schä­den (z.B. wenn Kun­den­dat­en ver­loren gehen), abhängig vom Ver­schulden des Arbeit­nehmers, haften.

Empfehlungen

Vere­in­barun­gen mit den Arbeit­nehmern

Um unkon­trol­lier­baren Daten­ver­lust sowie Haf­tun­gen weitest­ge­hend zu ver­mei­den, soll­ten bei Ein­führung von BYOD Einzelvere­in­barun­gen über die betriebliche Nutzung der pri­vat­en Geräte abgeschlossen wer­den. Eine solche Vere­in­barung sollte ins­beson­dere fol­gende Punk­te enthal­ten:

  • Nutzung und Auf­be­wahrung: Die Einzel­heit­en über die Nutzung und Auf­be­wahrung soll­ten detail­liert vere­in­bart wer­den. So sollte zum Beispiel die gemein­same Nutzung mit Fre­un­den oder der Fam­i­lie, die Instal­la­tion unsicher­er Anwen­dun­gen (Apps), die Änderung der Kon­fig­u­ra­tion, etc unter­sagt wer­den. Arbeit­ge­ber Die bei einem Ver­stoß gegen diese Regeln dro­hen­den Kon­se­quen­zen soll­ten fest­gelegt wer­den (zB bis zur Beendi­gung des Arbeitsver­hält­niss­es). Ver­stöße soll­ten auch tat­säch­lich sank­tion­iert wer­den.
  • Geräte­m­an­age­ment / Daten­schutz: Die Zus­tim­mung des Arbeit­nehmers zum Zugriff des Arbeit­ge­bers auf das Gerät (z.B. um eine „Mobile Device Man­age­ment Soft­ware“ zu instal­lieren, ein Update auszuführen, eine fer­nges­teuerte Daten­löschung im Fall des Dieb­stahls oder Ver­lusts durchzuführen, etc.) sollte einge­holt wer­den.
  • Kosten: Die Kos­ten­tra­gung hin­sichtlich des Geräts, die Nutzungs­ge­bühren, Ver­lust, etc sollte geregelt wer­den.
  • Arbeit­szeit: Der Arbeit­nehmer sollte zur detail­lierten Aufze­ich­nung von Arbeits­be­ginn und –ende bei Nutzung des Geräts außer­halb des betrieblichen Arbeit­splatzes verpflichtet wer­den. Durch Vere­in­barung eines All-In Ent­gelts, voraus­ge­set­zt dieses deckt die tat­säch­lich erbracht­en Arbeit­sleis­tun­gen ab, kön­nte das Entste­hen weit­er­er Ent­geltansprüche des Arbeit­nehmers ver­hin­dert wer­den.
  • Beendi­gung des Dien­stver­hält­niss­es / Ver­lorene oder gestoh­lene Geräte: Die Behand­lung von auf dem Gerät gespe­icherten Unternehmens­dat­en bei Beendi­gung des Arbeitsver­hält­niss­es sollte geregelt wer­den. Weit­ers sind Regelun­gen für den Fall eines Ver­lusts oder Dieb­stahls zu tre­f­fen (z.B. sofor­tiges Melden gestohlen­er Geräte, fer­nges­teuertes Löschen von Dat­en auf Mobil­tele­fo­nen, etc).

Betrieb­svere­in­barun­gen

Die betriebliche Ein­führung von BYOD kön­nte den Abschluss ein­er oder mehrerer Betrieb­svere­in­barun­gen, abhängig von den zu set­zen­den Maß­nah­men des Arbeit­ge­bers, notwendig machen. In bes­timmten Fällen (z.B. Überwachung und Zugriff auf Dat­en und Anwen­dun­gen auf dem Gerät des Arbeit­nehmers zum Schutz von Unternehmens­dat­en) kann selb­st die Zus­tim­mung des einzel­nen Arbeit­nehmers die Zus­tim­mung des Betrieb­srats nicht erset­zt. Vor der Ein­führung bes­timmter Maß­nah­men soll­ten jeden­falls etwaige Mitbes­tim­mungsrechte des Betrieb­srats geprüft wer­den.

Um die Risiken von BYOD zu reduzieren und Unternehmensdaten einerseits als auch die Privatsphäre der Arbeitnehmer andererseits zu schützen, sollten entsprechende Einzelvereinbarungen zwischen Arbeitgebern und Arbeitnehmern getroffen werden. Darüber hinaus könnte die Zustimmung des Betriebsrates vor der Einführung bestimmter Maßnahmen erforderlich sein.