Free

Datenschutz und Smartphones : Aus dem Innenleben eines privat genutzten Smartphones

In vielen Unternehmen gehört es zum guten Ton, die private Nutzung dienstlicher Smartphones zu erlauben. Smartphones sind schließlich Telefone. Warum sollten private Telefongespräche, für die dank Flatrate keine Kosten anfallen, problematisch sein? Weiterhin lassen sich teure Smartphones als Incentive nutzen.

Lesezeit 6 Min.

Da Smartphones Computer mit Telefonfunktion sind und auch primär als Computer genutzt werden, verdient die Privatnutzung eine eingehendere Betrachtung. Der Autor hatte die Gelegenheit, Listen mit installierten Apps auszuwerten. Die Apps waren auf dienstlichen Smartphones mit erlaubter Privatnutzung installiert. Es gab keine Regelung, welche Art von Nutzung erlaubt oder verboten ist, und auch keine Beschränkungen der installierbaren Apps. Von den gewonnenen Erkenntnissen wird im Folgenden berichtet.

Zwischen „nicht“ und „exzessiv“

Die Spanne der Privatnutzung reicht von „nicht gemacht“ bis zur Nutzung des dienstlichen Smartphones als Ersatz für ein privates Gerät. Häufig zu finden waren Apps für die Zwecke:

  • öffentlicher Personennahverkehr (ÖPNV) und Flugreisen,
  • Navigation für Autos und Radfahrer,
  • Wettervorhersage,
  • Wetterwarnung und Katastrophenwarnung,
  • Fremdsprachenübersetzung,
  • Online-Musik und Hörspiele,
  • Bild- und Videobearbeitung,
  • Scannen von Dokumenten,
  • Umwandlung in PDF,
  • Nachrichtenportale und
  • Hotelbuchungen.

Eine Mischnutzung für dienstliche und private Zwecke ist insbesondere bei Apps für den ÖPNV, Navigation, Flugreisen, Hotelbuchungen, Bild- und Videobearbeitung, Umwandlung in PDF sowie Scannen von Dokumenten denkbar.

Je mehr Apps mit eindeutig privatem Charakter vorzufinden waren, desto exzessiver scheint die Privatnutzung betrieben zu werden. Apps zu den folgenden Themen wurden u. a. verwendet:

  • Banken und Finanzdienstleister,
  • Krankenkassen,
  • Gesundheitsakten, Gesundheitsratgeber,
  • Smart-Home-Steuerung,
  • Steuerung der privaten Solaranlage,
  • Autosteuerung,
  • Spiele,
  • private E-Mails,
  • Planung der Sportkurse und Musikschule für Kinder,
  • Kochbücher,
  • Messenger,
  • Anbindung an Fitnesstracker,
  • private Kalender und
  • Fitnesskurse.

Die Aufzählung macht deutlich, dass mit allen Lebensbereichen auf dem dienstlichen Smartphone zu rechnen ist.

Datenschutz und Smartphones-min
Datenschutz und Smartphones-min

Gleicher Zweck – viele Apps

Wer sich in einem App Store umschaut, stellt schnell fest, dass für die gleiche Aufgabe zahlreiche Apps angeboten werden. Diese Vielfalt schlägt sich auch auf den Smartphones nieder. Die Apps können sich im Funktionsumfang, aber auch in der Menge, der vom Hersteller und von Werbenetzwerken ausgeleiteten Daten unterscheiden. Je mehr unterschiedliche Apps in einem Unternehmen installiert sind, desto mehr potenzielle Sicherheitslücken gibt es und Stellen, wo unerlaubt Daten an Hersteller der Apps und Werbenetzwerke abfließen können. Es bietet sich an, für jedes Thema nur eine App zu erlauben.

Wer liest mit?

Manche Apps funktionieren nur in Zusammenarbeit mit Servern des Herstellers. Zu den „üblichen Verdächtigen“ zählen Apps zur

  • Bild- und Videobearbeitung,
  • Scannen von Dokumenten,
  • Umwandlung in PDF und
  • Datenspeicherung in der „Cloud“.

Wenn der Mitarbeiter solche Apps auch mal dienstlich nutzt, werden Daten des Unternehmens an einen Dritten übertragen, mit dem das Unternehmen keine Vertragsbeziehung unterhält. In der Folge legt der Mitarbeiter ggf. Geschäftsgeheimnisse offen. Werden durch den Mitarbeiter personenbezogene Daten, die er im Rahmen seines Beschäftigungsverhältnisses verarbeitet, an den Hersteller übermittelt, stellt das eine unrechtmäßige Datenübermittlung dar. Ob dieser Vorgang auch gegenüber der Datenschutzaufsichtsbehörde meldepflichtig ist, ist im Einzelfall zu prüfen.

Unternehmen sollten deshalb alle Apps, bei denen Daten zu Herstellern abfließen können, entweder technisch sperren oder von den Unternehmensdaten abschotten. Wenn eine technische Sperre nicht möglich ist, bleibt als letztes Mittel das Aussprechen eines Verbots der Nutzung.

Werbenetzwerke lesen mit

Kostenfreie Apps finanzieren sich regelmäßig durch eingeblendete Werbung. Dazu übermittelt die App eine eindeutige, grundsätzlich unveränderliche „Werbe-ID“ zusammen mit weiteren Daten an ein bis sehr viele Werbenetzwerke. Welche Daten eine App übermittelt, legt der Hersteller fest. Insofern ist nicht ausgeschlossen, dass Unternehmensdaten abfließen. Standortdaten gehören regelmäßig dazu. Damit werden auch die beruflichen Bewegungen übermittelt.

Unternehmen sollten deshalb darauf achten, dass ausschließlich werbefreie Apps verwendet werden. Dieses kann durch eine technische Sperre aller nicht freigegebenen Apps erfolgen. Auf ein Verbot sollte nur dann gesetzt werden, wenn eine technische Sperre nicht umsetzbar ist.

Dienstlich motivierte Nutzung außerhalb des Back-ups

Grundsätzlich sollte jedes dienstliche Smartphone durch eine Software zum Mobile Device Management verwaltet werden. Ein Mobile Device Management erlaubt nicht nur, die installierbaren Apps vorzugeben, sondern auch die Fernlöschung der Geräte. Eine Fernlöschung ist zwingend erforderlich, um im Fall des Verlustes, Diebstahls oder verhaltensbedingter Freistellung die Daten vom Gerät aus der Ferne zu löschen.

Was passiert, wenn ein Vorgesetzter seinen Mitarbeitern nahelegt, eine kostenfreie App zu installieren, um ihre Arbeiszeiten dort einzutragen? Davon abgesehen, dass verschiedene Datenschutzfragen zu prüfen wären, ist die Idee nicht sonderlich durchdacht. Eine solche App ist nicht an das Backup-System des Unternehmens angeschlossen. Wenn die Daten lokal auf dem Smartphone abgelegt werden, sind diese verloren, wenn das Gerät aus der Ferne gelöscht wird. Die Arbeitszeitaufzeichnung kann folglich jederzeit durch den Arbeitgeber gelöscht werden. Der Mitarbeiter gibt seinen Nachweis aus der Hand und schwächt seine Rechtsposition. Ist das Unternehmen zur Arbeitszeitaufzeichnung verpflichtet, würde es seine Nachweise löschen und gegen die Aufzeichnungspflicht verstoßen.

Tiefe Einblicke in das Privatleben

Aus guten Gründen trennt nicht nur das Recht, sondern auch die Gepflogenheit zwischen Beschäftigungsverhältnis und Privatleben. Durch die Privatnutzung werden Daten aus dem Privatleben auf Geräten des Arbeitgebers abgelegt. Die Trennung wird aufgehoben.

Da der Arbeitgeber über sein Gerät grundsätzlich verfügen kann, kann er jederzeit ein Smartphone einfordern und dabei auch die installierten Daten und Apps zur Kenntnis nehmen. Gleiches kann auch im Rahmen einer Wartung durch die IT-Abteilung geschehen.

Bereits die Liste der Installierten Apps verrät Sachverhalte, die üblicherweise der Arbeitgeber nicht erfragen oder verarbeiten darf. Dazu zählt bspw.:

  • Bei welchen Banken unterhält der Mitarbeiter Konten?
  • Welche Gesundheitsprobleme hat der Mitarbeiter (jedes „Problem“ hat eine App)?
  • Bei welchem Anbieter verwaltet der Mitarbeiter seine Gesundheitsakte?
  • Welche Nachrichteportale liest der Mitarbeiter (politische Einstellung)?
  • Welche Spiele spielt der Mitarbeiter?
  • Was steht in den privaten E-Mails?
  • Welchen Sport betreibt der Mitarbeiter?
  • Welche Fitnesstracker nutzt der Mitarbeiter?
  • Hat der Mitarbeiter eine Solaranlage?
  • Wie steuert der Mitarbeiter sein Haus oder seine Wohnung?

Hat der Arbeitgeber ein entsperrtes Gerät in der Hand, kann er auf die Inhalte der Apps zugreifen. Viele Apps verlangen keine weitere Authentifizierung. Ob ein solcher Zugriff zulässig ist, bleibt dahingestellt. Der Arbeitgeber könnte bspw.:

Datenschutz und Smartphones 3
Datenschutz und Smartphones 3

 

  • das Smart Home steuern, also ggf. auch Haustüren öffnen und Videokameras einsehen,
  • seine Kenntnisse über die Gesundheit des Mitarbeiters um die vom Mitarbeiter nicht mitgeteilten Sachverhalte erweitern,
  • aus den gelesenen Nachrichten-Apps
  • die privaten E-Mails lesen und
  • die Fitnesstracker-Daten lesen.

Auch wenn die gewonnenen Erkenntnisse regelmäßig nicht legal im Beschäftigungsverhältnis verwendet werden können, lassen sie sich doch im Hinterkopf nutzen.

Rechtsrisiken inbegriffen

Es gibt Spiele, die zu festen Zeiten oder anlassbezogen von ihren Spielern „verlangen“, zu spielen. Spiele-Apps sind teilweise so aufgebaut, dass der Spieler möglichst lange im Spiel gehalten wird oder möglichst häufig pro Tag das Spiel aufrufen soll. Der Mitarbeiter ist versucht, auch während der Arbeitszeit – wenn auch nur für kurze Zeit – zu spielen. Andernfalls riskiert er den sozialen Druck der Mitspieler oder bekommt die im Spiel in Aussicht gestellten Belohnungen nicht. Unternehmen sollten deshalb kritisch abwägen, ob Spiele auf einem Dienstgerät die richtige Entscheidung darstellen.

Es gibt weiter Apps, deren Installation bzw. Mitführen in Deutschland verboten ist. Dazu zählen auch Blitzer-Warn-Apps. Diese Apps können sich bei erlaubter Privatnutzung plötzlich auf dem Firmengerät befinden. Es empfiehlt sich, solche Apps technisch zu sperren und zusätzlich explizit zu verbieten.

Fazit

„Privatnutzung“ beschreibt kein einheitliches Nutzungsmuster. Eine erlaubte Privatnutzung verwischt die Grenze zwischen Beschäftigungsverhältnis und Privatleben. In der Folge gibt der Mitarbeiter mehr über sein Privatleben preis, als ihm vielleicht bewusst und recht ist. Der Arbeitgeber bezahlt die Privatnutzung mit Sicherheits- und Rechtsrisiken.

Auf der anderen Seite besitzen viele, wenn nicht fast alle Mitarbeiter private Smartphones. Es stellt sich deshalb die Frage, ob die erlaubte Privatnutzung noch zeitgemäß ist. Zwar mutet ein Verbot auf den ersten Blick rückständig an. Doch schützt es letztlich auch den Mitarbeiter vor einer ungewollten Preisgabe seines Privatlebens und den Arbeitgeber vor den genannten Sicherheits- und Rechtsrisiken sowie dem Verdacht, auf private Daten zugreifen zu können. Die Trennung zwischen Beschäftigungsverhältnis und Privatleben würde wiederhergestellt.

Unternehmen, die die Privatnutzung trotzdem erlauben wollen, sollten mindestens ein System zum Mobile Device Management einsetzen und die Privatnutzung auf ausgewählte Apps beschränken. Eine geregelte Privatnutzung führt zu höheren Kosten, da der Prüfungsaufwand von Apps durchaus beachtlich ausfällt.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

Diesen Beitrag teilen: