Die Fußball Weltmeisterschaft der Männer in Katar ist derzeit in aller Munde, auch aus Sicht des Datenschutzrechts. Unternehmen sind zwingend aufgefordert, notwendige Sicherheitsmaßnahmen zu prüfen und umzusetzen.

Hintergrund.

Wer zur WM nach Katar reist, muss die beiden Apps "Ehteraz" zur Nachverfolgung von Coronavirus-Infektionen und "Hayya", mit dem die Eintrittskarten und der Zugang zum ÖPNV bereitgestellt werde, installieren. Die Installation der Apps ist für die Einreise zur Fußball-Weltmeisterschaft in Katar verpflichtend!

Beide Apps sind datenschutzrechtlich problematisch, sodass Unternehmen verhindern sollten, dass sie auf dienstlich genutzten Handys installiert werden.

Datenschutzrechtliche Einordnung.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit („BfDI“) hat die auch in Deutschland in den gängigen Appstores verfügbaren Apps geprüft – und eindringlich vor der Nutzung auf dem regulären Handy gewarnt.

In seiner Stellungnahme vom 15. November 2022 teilt er mit, dass unter anderem erhoben werde, ob und mit welcher Nummer ein Telefonat geführt wird. Hierbei handelt es sich aber um mitunter sensible Telekommunikationsverbindungsdaten, die in Deutschland unter das Fernmeldegeheimnis fallen. Außerdem könnten auf diese Art und Weise Geschäftsbeziehungen aufgedeckt und enthüllt werden.

Zudem sei es naheliegend, dass die von den Apps verwendeten Daten nicht nur lokal auf dem Gerät verbleiben, sondern an einen zentralen Server übermittelt werden – also ein Zugriff von „außen“ für den Nutzer unkontrollierbar möglich sein könnte.

Andere europäische Datenschutzbehörden gehen sogar noch weiter und vermuten ein Ausspähen sämtlicher Informationen auf dem Endgerät und eine umfassende „Überwachung“ der Nutzer (bspw. Norwegen).

Der BfDI rät – wenn die Installation der Apps unumgänglich ist – zur Verwendung eines Telefons, das ausschließlich für diese beiden Apps genutzt wird. Auf diesem Telefon sollten keine personenbezogenen Daten gespeichert sein und das Telefon sollte nach der Nutzung der Apps vollständig – also nicht nur die verwendeten Apps sondern das gesamte Betriebssystem – gelöscht werden.

Auswirkungen für die Unternehmen.

Unternehmen sollten nicht untätig sein und den ganz aktuellen Anlass nutzen, um den Status Quo zu prüfen: In welchem Umfang dürfen mobile Endgeräte genutzt werden? Welche geschäftlich relevanten Informationen befinden sich auf den Endgeräten? Gibt es IT-seitig bereits Sperren bzgl. problematischer Apps oder entsprechende vertragliche Regelungen?

Um Geschäftsgeheimnisse zu schützen und eine rechtwidrige Übermittlung von personenbezogenen Daten von Kunden, Geschäftspartnern und sonstigen Dritten auszuschließen, sollten Unternehmen jetzt nicht untätig sein. Sofern zutrifft, was zentrale Datenschutzbehörden annehmen, dürften weitreichend Geschäftsgeheimnisse in Gefahr sein. Die wirtschaftlichen Konsequenzen lassen sich kaum absehen.

Generell: Handlungsoptionen der Unternehmen.

Generell gilt, dass Unternehmen sofort handeln sollten. Grundsätzlich haben sie zwar nur äußerst geringen Einfluss auf das Verhalten der Mitarbeitenden in ihrer Freizeit außerhalb des Betriebes. Dies gilt uneingeschränkt für eine Reise zur WM.

Sofern aber nun mobile Endgeräte ins Spiel kommen, die (auch) betriebliche Informationen enthalten, kann etwas anderes gelten. Für die Frage, inwieweit Unternehmen steuernd eingreifen können ist zentral, in welchem Rahmen mobile Endgeräte genutzt werden:

Bei einem ausschließlich dienstlich genutzten, im Eigentum des Arbeitgebers stehenden Mobiltelefons ist eine Untersagung der Installation der Apps problemlos möglich und kann meist sogar technisch unterbunden werden.

Problematisch ist dies bei einer gemischten Nutzung des Mobiltelefons, also in den Fällen, in denen der Arbeitgeber den Mitarbeitenden auch die private Nutzung des Diensttelefons erlaubt hat oder in den Fällen des sogenannten „Bring Your Own Device“ („BYOD“). Bei diesem Modell stellt der Mitarbeitende das in seinem Eigentum stehende, private Mobiltelefon dem Arbeitgeber auch zur dienstlichen Nutzung zur Verfügung. In diesen Fällen ist eine Untersagung der Installation der beiden Apps problematisch, weil im Falle des BYOD das Telefon im Eigentum des Mitarbeitenden steht und im Falle der erlaubten Privatnutzung das Diensthandy ausdrücklich auch zu privaten Zwecken genutzt werden darf.

Was können Unternehmen konkret tun?

In jedem Fall können Unternehmen ihre Mitarbeitenden für die Probleme der Installation und Nutzung der Apps sensibilisieren. Selten werden sie aber konkret wissen, ob Mitarbeitende nach Katar reisen – oder auch einfach nur aus Interesse die Apps installieren. Sie sollten auch auf die Gefahren für den Privatbereich hinweisen und dies auch dokumentieren.

Um Geschäftsgeheimnisse zu schützen und eine rechtwidrige Übermittlung von personenbezogenen Daten von Kunden, Geschäftspartnern und sonstigen Dritten auszuschließen, sollten Unternehmen zudem prüfen, auf welcher Grundlage den Mitarbeitenden die Diensttelefone überlassen werden.

Wenn ein Diensthandy ausschließlich dienstlich genutzt werden darf, könnten die Unternehmen anweisen, dass eine Installation zu unterbleiben hat – oder diese sogar IT-seitig sperren lassen.

Darf ein Diensthandyauch privat genutzt werden, wird es bereits problematischer. Hier sollte genau geprüft werden, inwieweit Abreden bestehen, nach denen bereits jetzt die Privatnutzung eingeschränkt oder beschränkbar ist. Letztlich sollten aber auch in dieser Konstellation Installation und Nutzung der Apps unter Hinweis auf die große, drohende Gefahr von wirtschaftlich umfangreichen Schäden untersagt werden dürfen.

Sollte es sich um ein BYOD-Gerät handeln, sind die Möglichkeiten der Unternehmen stark begrenzt. Auch hier sollte geprüft werden, ob es Abreden gibt, die einen gewissen Spielraum eröffnen, mit dem (potenziell) schädliche Software untersagt werden kann. Jedenfalls aber sollten in diesen Fällen Mitarbeitende umfangreich sensibilisiert werden.

Praxishinweis.

In jedem Fall sollten Unternehmen die aktuelle Thematik zum Anlass nehmen, ihre Handhabe zur dienstlichen und privaten Nutzung von mobilen Endgeräten grundsätzlich zu prüfen.

Hierbei muss hinterfragt werden, ob eine Vermischung von dienstlicher und privater Nutzung von Endgeräten notwendig ist. Gerade aus arbeitsrechtlicher Sicht ist es sehr sinnvoll, beide Bereiche strikt zu trennen.

Faktisch sollten in Rücksprache mit der IT sollte sichergestellt werden, dass grundsätzlich (datenschutzrechtlich) schadhafte Software nicht installiert werden darf und kann. Wo private Nutzung erlaubt oder gar bei BYOD-Modellen gelebt werden sollte dringend sichergestellt werden, dass Nutzungsbedingungen aktualisiert werden. Das gilt nicht nur für die beiden „Katar-Apps“, sondern für alle potenziell problematischen Apps.