Diensthandy korrekt nutzen

Gerade im Homeoffice greifen viele Mitarbeiter gezwungenermaßen auf ihr privates Telefon zurück. Andere nutzen das Diensthandy auch privat. Wo liegen hier rechtlich – auch hinsichtlich DSGVO – die Grauzonen? Wir zeigen die juristischen Fallstricke auf und erklären, welche Apps in der beruflichen Kommunikation nichts zu suchen haben.

Fall 1: Das private Handy beruflich nutzen

Auf vielen Privathandys finden sich Apps, die Datenschutzexperten ihre Stirn besorgt in Falten legen lassen. WhatsApp, Snapchat und co. werden zwar gerne genutzt. Zugleich weisen sie aber Sicherheitslücken auf, die in der beruflichen Verwendung Probleme bereiten können. Zahlreiche Apps – darunter fallen auch Messengerdienste wie WhatsApp – lesen das gesamte Adressbuch aus und übertragen die Daten auf ausländische Server.

Dennoch hat sich der amerikanische Messengerdienst in den vergangenen Jahren sowohl privat als auch für die berufliche Kommunikation als vielgenutztes Werkzeug etabliert. Trotz medialen Aufschreis um die Datenschutz-Änderungen Anfang 2021 kommt der amerikanische Branchenprimus weiterhin am häufigsten zum Einsatz. Fast 80 Prozent aller Deutschen senden darüber ihre Nachrichten. Auch in der Versicherungs- und Finanzwirtschaft ist die berufliche Nutzungsquote hoch. Wie eine aktuelle Studie gezeigt hat, verwenden über 82 Prozent der Befragten aus der Branche WhatsApp auch für berufliche Zwecke.

Problem: Unsichere Apps lesen Daten aus

WhatsApp verarbeitet weiterhin Metadaten der WhatsApp-Nachrichten in den USA und erhebt dazu Adressdaten aus dem telefoneigenen Adressbuch des Nutzers. Im Rahmen der rechtlichen Möglichkeiten teilt der Messengerdienst generell Daten mit dem Mutterkonzern Facebook, der seinen Hauptsitz außerhalb der EU betreibt. Möglich und wahrscheinlich ist deshalb auch, dass Daten dorthin übertragen werden. Als personenbezogene Daten zählen unter anderem das Profilbild, die eigene Telefonnummer, das Betriebssystem oder der Standort. Nur erfolgt das ohne Einwilligung der Betroffenen und damit regelmäßig auch nicht dem Betrieb angehörende Dritter. Aus diesem Grund empfiehlt das Bayerische Landesamt für Datenschutzaufsicht aus datenschutzkonformen Gründen eher Alternativen zu WhatsApp wie beispielsweise Threema, Signal und Hoccer. Aber auch wire, ginlo, Beekeeper und Teamwire sind DSGVO-konform.

Privates Handy mittels VoIP nutzen

Eine Möglichkeit, berufliche und private Telefonie ohne Diensthandy zu trennen, ist die Voice-over-IP-Telefonie. Dabei handelt es sich um das Telefonieren über Rechnernetze, die nach Internetstandards aufgebaut sind. Dabei werden für Telefonie typische Informationen, wie Sprache und Steuerinformationen etwa für den Aufbau einer Verbindung, über ein Datennetz übertragen. Aber auch hier zeigen sich Stolpersteine. Datenschutzexperte Bartlomiej Zornik erklärt: “Sollte sich der Arbeitgeber für VoIP entscheiden und private Nutzung von Diensthandys gewähren, sollte er sich darüber im Klaren sein, so in die Rolle eines Anbieters von Telekommunikationsdiensten zu fallen und entsprechenden Vorschriften zu unterliegen. Hier muss er entsprechend alles auch im Hinblick auf Datenschutz (Löschung, Speicherung, Sicherung etc.) penibel beachten.”

Trotzdem sieht der Datenschutzexperte das private Handy in der beruflichen Kommunikation kritisch. Er rät dazu, Mitarbeiter mit Diensthandys auszustatten, auch wenn es Mehrkosten verursache und etwas Aufwand mit sich bringe. Um sicher zu gehen, welche Apps und Softwarenutzung sicher sind, empfiehlt er, sich vorab mit einem Anwalt oder Datenschutzbeauftragten auszutauschen.

Fall 2: Das Diensthandy privat nutzen

Steht einem Mitarbeiter ein Diensthandy zur Verfügung, muss er zunächst abklären, ob er dieses überhaupt zu privaten Zwecken nutzen darf. Die gültigen Bestimmungen befinden sich im Arbeitsvertrag. Grundsätzlich gibt es vier Modelle für eine dienstlich-private Nutzung.

• Wenn der Arbeitgeber die private Nutzung nicht ausdrücklich erlaubt, handelt es sich um ein reines Diensthandy. Dieses privat zu nutzen, ist entsprechend verboten.
• Das Firmenhandy darf auch privat genutzt werden, allerdings nur innerhalb strikt definierter Grenzen.
• Die private Nutzung des Geschäftshandys ist zwar erlaubt, geht aber auf Kosten des Arbeitnehmers. Hierfür wird häufig das „Twin-Bill“-Modell verwendet. Twin-Bill bedeutet, dass das Diensthandy über zwei Rufnummern erreichbar ist: Eine ist beruflich und eine dient privaten Zwecken.
• Dank einer Flatrate ist die private Nutzung des Firmenhandys unbeschränkt erlaubt.

Kann der Nutzer den ersten Fall ausschließen, darf er das Diensthandy (eingeschränkt) auch für private Zwecke einsetzen. Besonders in diesem Fall muss er auf die Datensicherheit großen Wert legen, um nicht abgemahnt werden zu können – oder ein Datenleck zu verursachen. Wie auch auf dem privaten Handy dürfen nicht ohne weiteres Apps installiert werden, die Zugriff auf Daten fordern. Viele Diensthandys verfügen deshalb über Einschränkungen, die vorrangig der Datensicherheit dienen und gewissen Apps die Installation verweigern.

Datenschutzexperte Bartlomiej Zornik rät trotz allem davon ab, das Diensthandy privat zu nutzen. Er erklärt seine Vorsicht: “Die Vermischung zwischen privat und gewerblich kann jederzeit ein Betriebsrisiko darstellen. Hierbei gibt es zahlreiche Faktoren, unter anderem steuerliche, datenschutzrechtliche, arbeitsrechtliche und versicherungsrechtliche Vorgaben.” Für ihn ist es auch irrelevant, wenn auf dem Handy keinerlei kritische Dienstprogramme installiert seien.

Unternehmen verbietet WhatsApp und Snapchat auf Diensthandy

Dem Autozulieferer Continental war das Sicherheitsrisiko zu groß und verbot schon 2018 seinen Mitarbeitern die Nutzung von Social Media Apps wie WhatsApp und Snapchat auf ihren Diensthandys. Das Unternehmen konnte den Zugriff auf das Adressbuch nicht einschränken – und die entsprechenden Datenschutzrisiken habe das Unternehmen nicht tragen wollen, hieß es. Schließlich belaufen sich die angedrohten Strafen in drakonischer Höhe. Unsichere Apps wie WhatsApp, Snapchat und Co haben also auf dem Handy, das beruflich genutzt wird, nicht zu suchen.

Apps den Zugriff auf Kontakte entziehen

Für Firmen, die wie der Autozulieferer auf Nummer sicher gehen wollen, hatte Apple schon 2018 eine Lösung auf den Markt gebracht. Mit iOS 11.3 reagierte das amerikanische Unternehmen und schaffte die Möglichkeit, Facebook und WhatsApp ihren Zugriff auf Kontakte zu entziehen. Um diese zu nutzen, ist ein Enterprise-Mobility-Management-Systems (EMM) notwendig. Zum Beispiel bieten sich MobileIron, Cortado oder andere hierfür an.

Allerdings reicht ein reines Mobile-Device-Management-System (MDM) nicht. Die Verteilung von iOS-nativen Policies muss möglich sein. Das System benötigt demnach eine native Mobile-Application-Management-Funktion, was allerdings schon bei vielen Standard ist. Positiv für Unternehmen ist: Sie müssen nicht auf eine neue Version der EMM-Systeme warten, da die Umsetzung mit den bestehenden Policies erfolgt. Nur die Umsetzung auf dem Gerät selbst wurde mit iOS 11.3 vervollständigt.

Diese Systeme sollen zentral steuern, welche Apps der Mitarbeiter installieren darf und auf welche Unternehmensressourcen er Zugriff hat. Es sorgt für Sicherheit, wenn das Handy in falsche Hände geraden sollte. Für Android-Betriebssysteme gibt es ein vergleichbares Angebot. Android Enterprise bietet APIs, womit Firmen Android-Steuerelemente in EMM-Tools integrieren können, um mobile Geräten abzusichern und Updates zu verwalten. Allerdings ist eine einheitliche Lösung für Android aufgrund der Vielzahl an modifizierten Androidsystemen und Hardwarevarianten schwieriger.

Zudem gibt es die Option, über Cloud-Angebote der jeweiligen Hersteller Kontrolle über das Diensthandy zu behalten. Privaten Anwendungen kann der Zugriff auf geschäftliche Kontakte entzogen werden. Das Management von iOS unterscheidet zwischen gemanagten Apps und nicht-gemanagten. Für die Systemanwendung Mail kennt iOS zusätzlich die gemanagten Accounts, die sich analog zu den gemanagten Apps verhalten. Apps und Accounts, die gemanagt werden sollen, kann der Nutzer im EMM-System definieren. Genauere Informationen gibt es auf der Website von Computerwoche nachzulesen.

Hier eignet sich WhatsApp nicht als Kommunikationsmittel

Egal, ob privates oder dienstliches Handy – wer WhatsApp trotz aller Sicherheitslücken beruflich nutzen möchte, sollte im Vorfeld seine Kunden informieren – oder zu WhatsApp Business wechseln. In einigen Fällen sollten Mitarbeiter von WhatsApp jedoch als Kommunikationsmittel gänzlich Abstand nehmen. Denn auch wenn sich durch die neuen AGB , die Mitte Mai in Kraft treten, kein unmittelbares Datenschutzleck öffnet, hat der Messengerdienst durchaus einige Schwachpunkte.

Deshalb raten Experten ausdrücklich von der Nutzung ab bei:

• einer rein internen Unternehmenskommunikation sowie
• einer Kommunikation mit Berufsgeheimnisträgern (u.a. Ärzten).

Für die Konfiguration der App wird zudem empfohlen:

• Nachrichtenverläufe sollten nicht archiviert werden.
• Am besten keine automatische Speicherung der Nachrichten im internen Speicher – insbesondere betrifft das Anhänge, wenn weitere Apps auf dem Handy installiert sind, denen Zugriff auf den internen Speicher gewährt ist.
• WhatsApp möglichst auf einem separaten Smartphone installieren oder auf eine Containerlösung im Rahmen eines Mobile Device Management zurückzugreifen.
• Sobald der Zugriff auf das Telefonbuch gewährt wird, muss sichergestellt werden, dass nur Kundenkontakte eingespeichert sind, die dafür eine Einwilligung erteilt haben.

Hier bloggt die Redaktion des Gothaer Maklerblogs zu allgemeinen und speziellen Themen rund um die Beratung in Sachen Versicherung, Finanzen und Vorsorge aber auch zu Unternehmensthemen der Gothaer. Wir wünschen eine spannende und unterhaltende Lektüre! Kontakt zur Redaktion