Nicht erst seit dem enormen Hype um „Pokémon GO“1Das Smartphone-Spiel Pokémon GO wurde innerhalb von 19 Tagen mehr als 75 Millionen Mal auf iOS- und Android-Geräten weltweit runtergeladen. Heise, ...continue zeigt sich, dass Mobilgeräte, insbesondere Smartphones, als Gaming-Plattform besonders beliebt sind. Laut einer aktuellen Umfrage, die Bitkom Research im Auftrag des Digitalverbands Bitkom durchgeführt hat, spielen 85 Prozent der Gamer auch auf dem Smartphone.2Bitkom, Gaming-Trends in Deutschland, 2016, S. 5. Diese Mobilität dieser Freizeitbeschäftigung wirft im Unternehmen nicht nur arbeitsrechtliche sondern gerade auch IT-sicherheitsrechtliche Problematiken auf, die im Folgenden kurz dargestellt werden sollen.

1. Überblick zur arbeitsrechtlichen Rechtslage

Der Arbeitnehmer ist gem. § 611 Abs. 1 BGB zur Erbringung der Arbeitsleistung verpflichtet. Soweit der Beschäftigte während der Arbeitszeit privaten Dingen über das Smartphone, wie zum Beispiel dem Spielen von „Pokémon GO“ nachgeht, kann er diese Verpflichtung in der Regel nicht simultan erfüllen.3Howald: Kündigung bei privater Nutzung von Handy und Internet, öAT 2014, 49. Der Arbeitnehmer verletzt seine vertragliche Hauptleistungspflicht. Dies rechtfertigt in der Regel zunächst eine Abmahnung. Nach einschlägiger Abmahnung ist im Fall fortgesetzter Missachtung eine verhaltensbedingte Kündigung gerechtfertigt.4LAG Hamm, NZA-RR 2006, 353; LAG Niedersachsen, NZA-RR 1998, 259 zu vergleichbaren Rauchpausen. Ob dies der Fall ist, entscheidet sich nach dem konkreten Einzelfall und vor allem nach dem durch den Arbeitgeber eingeräumten Nutzungsumfang des Smartphones während der Arbeitszeit. Das Direktionsrecht aus § 106 Satz 1 der Gewerbeordnung (GewO) gibt dem Arbeitgeber das Recht die Nutzung des Smartphones während der Arbeitszeit zu privaten Zwecken zu verbieten. So haben zum Beispiel die Unternehmen VW, Evonik, BMW und thyssenkrupp ein generelles Verbot der Nutzung von „Pokémon GO“ im Unternehmen ausgesprochen. Umstritten ist dabei, ob bei der Aussprache eines solchen Verbotes ein Mitbestimmungsrecht des Betriebsrates gem. § 87 Abs. 1 Nr. 1 Betriebsverfassungsgesetz (BetrVG) existiert. In der arbeitsgerichtlichen Instanzrechtsprechung gibt es diesbezüglich unterschiedliche Äußerungen. So vertritt das LAG Rheinland-Pfalz5LAG Rheinland-Pfalz, Beschluss vom 30.10.2009 – Aktenzeichen 6 TaBV 33/09, BeckRS 2010, 66924. das bei der Aussprache eines solchen Verbotes kein Mitbestimmungsrecht des Betriebsrates besteht, da eine solche Anweisung sich allein auf das mitbestimmungsfreie Arbeitsleistungsverhalten des Arbeitnehmers bezieht. Es gehört, dem LAG zur Folge, zu den selbstverständlichen Pflichten, dass die Arbeitnehmer während der Arbeitszeit von der aktiven und passiven Benutzung der Smartphones absehen.6LAG Rheinland-Pfalz, Beschluss vom 30.10.2009 – Aktenzeichen 6 TaBV 33/09, BeckRS 2010, 66924. Das Arbeitsgericht München7ArbG München Beschluss vom 18.11.2015, 9 BVGa 52/15. vertritt die Ansicht, dass Arbeitgeber die Nutzung von Handys während der Arbeitszeit nicht ohne Zustimmung des Betriebsrats generell untersagen dürfen. Das generelle Handynutzungsverbot betreffe nicht etwa das mitbestimmungsfreie Arbeitsverhalten der Arbeitnehmer, sondern gestaltet i.S.v. § 87 Abs. 1 Nr. 1 BetrVG die betriebliche Ordnung im Betrieb und regelt das Verhalten der Arbeitnehmer im Betrieb. Arbeitgeber sollten auf Grund dieser noch unklaren rechtlichen Ausgangslage die private Nutzung von Smartphones während der Arbeitszeit nicht ohne die Zustimmung des Betriebsrates generell untersagen. Um eine Mitbestimmung des Betriebsrates in jeden Fall ausschließen zu können kann der Arbeitgeber sein Direktionsrecht allerdings gegenüber einzelnen Arbeitnehmern ausüben – so mangelt es an einem kollektiven Bezug, eine Mitbestimmung des Betriebsrates ist nicht erforderlich. Fehlt eine solches Verbot bzw. eine klare Nutzungsregelung, so soll der Arbeitnehmer i.d.R. von der Duldung derartiger Handlungen im angemessenen, sozialadäquaten Umfang (10 Min/Tag) ausgehen können.8LAG Köln, NZA 2006, 106. Dass das Spielen mit dem Smartphone während der Arbeitszeit aber auch ein extremes Gefährdungspotential für die Umwelt hat, zeigt sich nach dem neuesten Stand der Ermittlungen der Staatsanwaltschaft Traunstein in erschütternder Weise bei dem Zugunglück in Bad Aibling im Februar dieses Jahres. Den Ermittlungen zur Folge hat der Verantwortliche Fahrdienstleiter unter Verstoß gegen Fahrdienstvorschriften der Bahn während seines Dienstes am Morgen des Unglückstages sein Mobiltelefon eingeschaltet, ein Online-Computerspiel gestartet und über einen längeren Zeitraum bis kurz vor der Kollision der Züge aktiv gespielt.9Zugunglück Bad Aibling: Pressemitteilung der STAATSANWALTSCHAFT TRAUNSTEIN vom 12. April 2016.

2. IT-Sicherheitsrechtliche Betrachtung

Sofern das Smartphone, unabhängig ob privates oder dienstliches Gerät, im Unternehmensnetzwerk verwendet wird, ist die Informationssicherheit des Netzwerkes einem nicht unerheblichen Sicherheitsrisiko ausgesetzt.  Informationssicherheit im Unternehmen umfasst dabei den Schutz jeglicher Firmendaten. Dies erstreckt sich auf Unternehmenswissen, Wissen über Kunden sowie auf Wissen über Mitarbeiter und deren Verhalten.10Kraska, AuA, 2014, 272. Bei der konventionellen Nutzung des Smartphones besteht u.a. das Risiko, bei dem Abruf von E-Mails auch unscheinbare Anhänge auf das Smartphone zu laden, die Schadsoftware enthalten kann. Auch das Surfen im Internet über das Smartphone birgt das Risiko, sich über den Aufruf von Webseiten mit Schadsoftware zu infizieren. Ebenso kann der Bezug von mobilen Spielen zur Infizierung des Smartphones führen. So sind bislang mehr als 215 „Fake-Apps“ zu der derzeit wohl meistgespielten App „Pokémon GO“ identifiziert worden.11Heise Security, Pokémon GO: Sicherheitsforscher stoßen auf 215 Fake-Apps, ...continue

Diese geben sich als Spiel- oder Hilfs-Tool aus, haben allerdings mit der Original-App nichts gemein. Insbesondere die Verschiebung des Veröffentlichungstermins der offiziellen App in Deutschland führte dazu, dass sich im Netz zahlreiche manipulierte Dateien unter der Bezeichnung „Pokémon GO“ fanden und diese oftmals auch heruntergeladen wurden. Mit Hilfe solcher Trojaner, wie zum Beispiel DroidJack, können unbefugte Dritte die GPS-Koordinaten auslesen, Kamera und Mikrophon aktivieren sowie auf die Daten des Smartphones zugreifen. Gerade bei „Augmented-Reality-Spielen“ können Dritte Einblicke in die unmittelbare Umgebung und somit ggf. auch vertrauliche Informationen und Daten des Unternehmens gewinnen. Unter anderen diesen möglichen Verstoß gegen die Wahrung der Vertraulichkeit nahmen bereits mehrere Firmen wie VW, Evonik oder thyssenkrupp12Die Firma Tyssenkrupp hat mit einer Rundmail unter dem plakativen Betreff „Don’t Pokémon and work“ eine Rundmail an deren Mitarbeiter ...continue zum Anlass für das Verbot von „Pokémon GO“ auf dem Werks-/Betriebsgelände.

3. Regelungsmöglichkeit im Rahmen eines IT-Sicherheitskonzepts

Sofern der Arbeitgeber die Nutzung des Smartphones auf dem Betriebsgelände / während der Arbeitszeit erlauben möchte, sollte er im eigenen Interesse diese Erlaubnis an einschränkende Voraussetzungen knüpfen.13Conrad / Hausen, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 37, Rn. 206. Ein umfangreiches Bild über ein entsprechendes Sicherheitskonzept können Sie sich im Rahmen unseres Workshops am 11. Oktober 2016 machen, weitere Informationen erhalten Sie hier.

Referenzen   [ + ]

1. Das Smartphone-Spiel Pokémon GO wurde innerhalb von 19 Tagen mehr als 75 Millionen Mal auf iOS- und Android-Geräten weltweit runtergeladen. Heise, Pokémon GO verbucht 75 Millionen Downloads, http://www.heise.de/newsticker/meldung/Pokemon-Go-verbucht-75-Millionen-Downloads-3278437.html.
2. Bitkom, Gaming-Trends in Deutschland, 2016, S. 5.
3. Howald: Kündigung bei privater Nutzung von Handy und Internet, öAT 2014, 49.
4. LAG Hamm, NZA-RR 2006, 353; LAG Niedersachsen, NZA-RR 1998, 259 zu vergleichbaren Rauchpausen.
5. LAG Rheinland-Pfalz, Beschluss vom 30.10.2009 – Aktenzeichen 6 TaBV 33/09, BeckRS 2010, 66924.
6. LAG Rheinland-Pfalz, Beschluss vom 30.10.2009 – Aktenzeichen 6 TaBV 33/09, BeckRS 2010, 66924.
7. ArbG München Beschluss vom 18.11.2015, 9 BVGa 52/15.
8. LAG Köln, NZA 2006, 106.
9. Zugunglück Bad Aibling: Pressemitteilung der STAATSANWALTSCHAFT TRAUNSTEIN vom 12. April 2016.
10. Kraska, AuA, 2014, 272.
11. Heise Security, Pokémon GO: Sicherheitsforscher stoßen auf 215 Fake-Apps, http://www.heise.de/security/meldung/Pokemon-Go- Sicherheitsforscher-stossen-auf-215-Fake-Apps-3270676.html, abgerufen am 13. September 2016.
12. Die Firma Tyssenkrupp hat mit einer Rundmail unter dem plakativen Betreff „Don’t Pokémon and work“ eine Rundmail an deren Mitarbeiter verschickt, in der auf das Verbot von Pokémon GO auf dem Werksgelände und dem Diensthandy hingewiesen wurde.
13. Conrad / Hausen, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, § 37, Rn. 206.