Das Unternehmermagazin aus der Handelsblatt Media Group

Creditreform

Viele Beschäftigte nutzen auf dem Firmenhandy dieselben Messenger-Dienste, die sie auch privat verwenden. Sie avancieren damit zum ernsthaften Rechtsrisiko für ihren Arbeitgeber. 

 

© Getty Images

Bahnbrechende Urteile werden normalerweise nicht in Bad Hersfeld gesprochen. Eine jüngere Entscheidung des dortigen Amtsgerichts sollte Arbeitgeber in Deutschland aber aufhorchen lassen. Das Gericht befand: Wer, wie fast alle Nutzer des Messenger-Dienstes Whatsapp, der Telefonnummern seiner Kontakte automatisch an die Whatsapp Inc. in den USA weiterleitet, verstößt gegen geltendes Recht. Er läuft damit Gefahr, dass ihn die betreffenden Personen kostenpflichtig abmahnen (Aktenzeichen: F 120/17 EASO).

Im entschiedenen Fall ging es zwar nicht um einen unternehmerischen Kontext, sondern um ein familienrechtliches Verfahren, konkret um die Smartphone-Nutzung eines elf Jahre alten Jungen. Dieser hatte exzessiv per Whatsapp mit seinen Freunden kommuniziert. Das Gericht verpflichtete die Mutter des Kindes daraufhin, von allen Personen, die im Adressbuch ihres Sohnes gespeichert sind, schriftliche Zustimmungserklärungen einzuholen und dadurch sicherzustellen, dass die Kontakte des Kindes mit der Übermittlung ihrer Daten nach Menlo Park, Kalifornien, einverstanden sind.

Zwar vertreten nicht alle Gerichte zu diesem Thema dieselbe harte Linie wie das Amtsgericht Bad Hersfeld. Dennoch sollten Unternehmen die Entscheidung zum Anlass nehmen, den eigenen Umgang mit Whatsapp und anderen kritischen Anwendungen zu überprüfen und den rechtlichen Rahmen für die Nutzung mobiler Messenger eindeutig zu definieren.

 

Datenkraken auf dem Diensthandy

Schwierig sind vor allem Fälle, in denen Mitarbeiter ein Firmenhandy besitzen, das sie auch privat benutzen dürfen. „Das Bewusstsein, dass eine Vermischung von privaten und beruflichen Daten Probleme bereiten kann, ist in vergangenen Jahren zwar gestiegen“, sagt René Rautenberg, der als externer Datenschutzbeauftragter vor allem kleine und mittelständische Unternehmen betreut. Dennoch sei diese Praxis noch immer recht verbreitet. „Meist entsprechen Arbeitgeber damit dem Wunsch der Mitarbeiter, nicht zwei Handys mit sich herumschleppen zu wollen.“

Dieses Entgegenkommen kann sich rächen. „Ohne konkrete Vorgaben, welche Apps der Mitarbeiter auf seinem Diensthandy installieren und nutzen darf, sind regelmäßige Rechtsbrüche durch die Belegschaft kaum zu vermeiden“, warnt Rautenberg.

Bestes Beispiel: der beliebte Messenger‑Dienst Whatsapp. Datenschützer kritisieren schon seit langem, dass das Programm nach der Zustimmung des Anwenders zu den Allgemeinen Geschäftsbedingungen automatisch auf sämtliche im Smartphone gespeicherten Kontakte zugreift, unabhängig davon, ob die selbst Whatsapp nutzen oder nicht. „Diese Praxis ist mit deutschem Recht zwar nicht zu vereinbaren“, so Rautenberg.

Die Crux ist nur: Wer dem Verfahren nicht zustimmt, kann den Dienst nicht verwenden. Entsprechend setzen die meisten Nutzer bereitwillig ein Häkchen an der vorgesehenen Stelle – und machen es dem Arbeitgeber damit oft unmöglich, die im Handy gespeicherten Daten einzusehen.

 

Eingeschränkte Kontrollrechte

„Ein Zugriff auf personenbezogene Daten des Mitarbeiters ist nach geltender Rechtslage nur unter engen Voraussetzungen zulässig: zur Durchführung des Arbeitsverhältnisses, bei Verdacht auf eine Straftat oder mit Einwilligung des Mitarbeiters“, erklärt Hans Markus Wulf, Fachanwalt für IT-Recht und Partner bei SKW Schwarz in Hamburg. Ist dem Arbeitnehmer die private Nutzung seines Diensthandys erlaubt, steht der Chef also vor großen Problemen.

Um rechtlich auf der sicheren Seite zu sein, muss er per Software eine Trennung von beruflichen und privaten Daten sicherstellen. Das gelingt zum Beispiel durch Einsatz einer Mobile-Device-Management-Software. Alternativ kann er eine Mitarbeitervereinbarung zur Nutzung mobiler Endgeräte schließen – oder eine entsprechende Betriebsvereinbarung.

Fast noch schwieriger ist die Situation, wenn Mitarbeiter Whatsapp auf ihrem Diensthandy beruflich nutzen, etwa, um mit Kunden zu kommunizieren. Denn auch dann mischen sich im Regelfall berufliche und private Daten. Will der Arbeitgeber den Gesprächsverlauf einsehen, ist er darauf angewiesen, dass der Beschäftigte dem zustimmt und ihm damit auch Zugriff auf seine privaten Nachrichten erlaubt.

 

Einmal um die Welt

Die Nutzung von Whatsapp auf dem Diensthandy macht aber noch aus anderen Gründen Probleme. Wer beruflich über den Messenger-Dienst kommuniziert, sorgt dafür, dass personenbezogene Daten des Unternehmens (zum Beispiel die Kontaktdaten von Ansprechpartnern der Kunden oder Lieferanten) auf Servern in den USA landen. Das Bundesdatenschutzgesetz und die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung erlauben die Übermittlung personenbezogener Daten in Nicht-EU-Staaten aber grundsätzlich nur, wenn die dortigen Datenempfänger ein „angemessenes Datenschutzniveau“ gewährleisten. „In den USA ist das nicht der Fall, es sei denn, das betreffende US-Unternehmen hat sich dem sogenannten EU-US Privacy Shield unterworfen. Whatsapp hat das aber nicht getan“, sagt Wulf. Auch alle anderen Apps, die über US-Server laufen, sind problematisch – zum Beispiel Dropbox oder Twitter.

Die Nutzung solcher Anwendungen durch die Belegschaft kann für Unternehmen sogar zum finanziellen Risiko werden: Ab Mai 2018 dürfen die Behörden Verstöße theoretisch mit Bußgeldern bis zu einer Höhe von 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes ahnden.

Dass eine Firma wirklich den Höchstbetrag zahlen muss, gilt in Fachkreisen zwar als unrealistisch. Allerdings sieht die Verordnung ausdrücklich vor, dass die Geldbuße „abschreckenden“ Charakter haben soll. Unangenehme Überraschungen sind daher nicht auszuschließen. Und das bedeutet: Arbeitgeber, die auf der sicheren Seite sein wollen, sollten zumindest auf die berufliche Nutzung von WhatsApp am besten verzichten.