Digitale Sicherheit
Datenschutz auf Diensthandys
Wie du deine Privatsphäre schützt, wenn dein Handy auch ein Arbeitsgerät ist
.jpg)
Immer mehr Unternehmen statten ihre Beschäftigten mit Diensthandys aus.
Oft dürfen Arbeitnehmer:innen ihr Diensthandy auch privat nutzen. In beiden Fällen, also dienstlich wie auch privat, ist das Thema Sicherheit enorm wichtig. Immerhin geht es darum, sensible Unternehmensdaten und die eigene Privatsphäre zu schützen.
Die riesigen Datenmengen und digitalen Spuren, die wir über unsere Diensthandys produzieren, sind für sogenannte Datenhändler nämlich ein riesiges Geschäft. Vor allem Standortdaten von Handys sind heiß begehrt und können auch leicht käuflich erworben werden, wie eine aktuelle Studie beweist. Mit Hilfe von Standortdaten kann das Verhalten von Menschen noch genauer analysiert und Werbung noch zielgenauer ausgespielt werden.
Viele Arbeitnehmer:innen sind verunsichert, was dieser Handel mit Handydaten für sie bedeutet bzw. wie sie sich schützen können. Das „Kompetenzzentrum Arbeit und Technik im ÖGB“ hat Antworten auf die wichtigsten Fragen.
Ich habe von meinem Arbeitgeber ein Diensthandy bekommen. Wer ist für die Verwaltung des Geräts zuständig?
Der Arbeitgeber ist für das Mobile Device Management (also die „Mobilgeräteverwaltung“) seiner Dienstgeräte verantwortlich, also auch dafür, welche Apps installiert werden dürfen oder müssen.
Entsprechend dem Grundsatz Privacy by Default („Datenschutz ab Werk”) sollten in den Voreinstellungen des Smartphones bzw. der Apps unnötige und potenziell schädliche Berechtigungen wie Standort- und anderes Tracking deaktiviert sein, bzw. nach Privacy by Design („Datenschutz durch Technikgestaltung“) überhaupt nicht ermöglicht werden.
Das ist aber selten der Fall und Datenhändler finden immer wieder Lücken, um Daten abzusaugen.
Mein Arbeitgeber verpflichtet mich dazu, bestimmte Apps auf meinem Diensthandy zu installieren. Was muss ich beachten?
Ordnet der Arbeitgeber die Verwendung bestimmter Apps an, muss man darauf achten, ob von diesen Apps Daten gesammelt und an Dritte weitergegeben werden – auch abgesehen von den in etwaigen Auftragsverarbeitungsverträgen (siehe nächste Frage) ausgewiesenen. Das tun Arbeitgeber wahrscheinlich genauso selten wie Privatpersonen.
Sich ganz davor zu schützen, ist wahrscheinlich so gut wie unmöglich.
Was sind Auftragsverarbeitungsverträge?
Arbeitgeber sind in der Regel auch Verantwortliche über die Verarbeitung persönlicher Daten, z. B. ihrer Kundinnen und Kunden, Lieferant:innen und ihrer Mitarbeiter:innen.
Wenn die Datenverarbeitung ausgelagert wird und persönliche Daten damit auch an Dritte weitergegeben werden, ist der jeweilige Dritte der Auftragsverarbeiter. Dafür muss es einen Auftragsverarbeitungsvertrag geben, in dem sichergestellt wird, dass die Daten geschützt und im Sinne des Arbeitgebers und DSGVO-konform verarbeitet werden. Nutzt der Auftragsverarbeiter auch die Dienste Dritter, muss darüber im Auftragsverarbeitungsvertrag informiert werden.
Diese Verkettung von Datenverarbeitern und Verträgen kann wohl auch der Arbeitgeber selbst schwer kontrollieren.
In der Datenschutzerklärung muss jedenfalls darüber informiert werden, wenn persönliche Daten an Dritte weitergegeben werden.
Darf mein Arbeitgeber nachverfolgen, wo ich im Netz mit meinem Firmenhandy unterwegs war bzw. wo ich mich gerade aufhalte?
Natürlich ist es durch das Mobile Device Management grundsätzlich möglich, Handys zu finden genauso wie auch wahrscheinlich die Surf-Wege nachzuverfolgen.
Um sicher zu gehen, dass diese Möglichkeit nicht in einem Ausmaß genutzt wird, die das Wohlbefinden (und auch die Menschenwürde) der Beschäftigten beeinträchtigt, ist für die Nutzung die ausdrückliche Zustimmung des Betriebsrats in Form einer Betriebsvereinbarung nötig.
Die Menschenwürde wird z. B. berührt, wenn diese Überwachung permanent oder ohne Grund stichprobenartig geschieht.
Wurde das Handy verloren oder gestohlen oder wird die Mitarbeiterin oder der Mitarbeiter vermisst, ist davon auszugehen, dass es erlaubt ist.
Ich habe den Verdacht, dass mein Firmenhandy bzw. die Apps, die ich darauf nutzen muss, ein Sicherheitsrisiko darstellen. Kann ich gezwungen werden, sie trotzdem weiterzuverwenden?
Wenn Beschäftigte ein Sicherheitsrisiko sehen, sollten sie nicht gezwungen werden, die vorgeschriebenen Apps zu nutzen bzw. müssen sie vor allem die Möglichkeit bekommen, Sicherheitsbedenken zu äußern.
Darf ich die Sicherheitseinstellungen der Apps auf meinem Firmenhandy auch eigenmächtig ändern?
Der mögliche Datenhandel sollte jedenfalls in einer Datenschutz-Folgenabschätzung berücksichtigt werden. Im Sinne der Fürsorgepflicht sollten Mitarbeiter:innen eine Unterweisung bekommen, wie sie ihre Einstellungen verändern können und worauf sie bei der Installation von Apps oder dem Aufruf diverser Websites achten müssen.
Idealerweise erfolgt diese Unterweisung von unabhängiger Stelle. Mitarbeiter:innen und Betriebsräte sollte dabei auch die Möglichkeit haben, Feedback zu geben, wenn ihnen etwas Fragwürdiges bei ihren dienstlich genutzten Apps oder ihrem Smartphone allgemein auffällt.
Ich bin freier/freie Dienstnehmer:in und verwende mein Privathandy – was gilt für mich bzw. worauf muss ich achten?
Bei Beschäftigungsverhältnissen wie freien Dienstverträgen, bei denen man sein eigenes Gerät verwendet, hat der Arbeitgeber besonders darauf zu achten, dass weder von der Arbeitsplattform noch von den Smartphones der Beschäftigten Daten übermittelt werden.
Bei Plattformarbeit ist davon auszugehen, dass Beschäftigtendaten verarbeitet werden. Zu Beginn des Dienstverhältnisses muss also eine Datenschutzerklärung vorliegen. Es kann allerdings sein, dass diese unvollständig oder nicht mehr aktuell ist.
Im Zweifelsfall kann man ein Datenauskunftsbegehren an den Arbeitgeber stellen und sich dafür von der Gewerkschaft Unterstützung holen.