Firmenhandy weg – wer haftet?
Bei einem Verlust des Firmenhandys oder Business-Tablets ist es den Betroffenen meist erst einmal egal, ob das mobile Endgerät tatsächlich gestohlen oder „nur“ liegengelassen oder verloren wurde.
Zunächst versucht man ja, das Gerät wiederzubekommen.
Also wenn die Ortung nicht klappt: Wege abgehen, Fundbüro, Deutsche Bahn, Fluggesellschaft oder Taxiunternehmen kontaktieren und versuchen, irgendwie wieder an das Gerät zu gelangen.
Wenn es tatsächlich und endgültig weg ist, sitzt der Schock meist tief.
Fragen tun sich auf:
- Welche Daten waren tatsächlich nur auf dem Handy gespeichert und sind jetzt mit ihm verschwunden?
- Wurde das Diensthandy gestohlen oder verloren?
- Muss ich eine Anzeige bei der Polizei machen?
- Muss ich die SIM-Karte sperren lassen?
- Habe ich einen sicheren Passcode für das Gerät gewählt oder lautet meine PIN „1111“?
- Hatte ich eine biometrische Sperre aktiviert?
- Habe ich vielleicht gegen die Diensthandy-Nutzungsvereinbarung meines Arbeitgebers verstoßen?
Die passende MDM-Software (MDM = Mobile-Device-Management) hilft nicht nur bei der Geräteverwaltung, sondern bietet auch Funktionen wie Remote Lock und Remote Wipe (Fernlöschung der Daten). Erfahre mehr in unserem MDM-Whitepaper.
Leichte, mittlere, grobe Fahrlässigkeit
Gibt es für das Diensthandy keine dezidierte Handy-Versicherung, gilt es zunächst zu klären, wer für den finanziellen Schaden aufkommt. Damit ist der Schaden gemeint, der durch den Verlust der Hardware entstanden ist. Ob der Arbeitnehmer bzw. die Arbeitnehmerin für den Verlust haftet oder nicht, hängt davon ab, ob er bzw. sie im Zusammenhang mit dem Verlust des Handys fahrlässig gehandelt hat.
Hier gilt in der Regel: Handelt es sich nur um eine leichte Fahrlässigkeit, haftet der Arbeitnehmer bzw. die Arbeitnehmerin nicht. Dieser Ausschluss der Arbeitnehmerhaftung gilt zum Beispiel, wenn ein Taschendieb das Smartphone aus der Jacketttasche angelt oder bei „alltäglicher Unachtsamkeit“.
Bei einer „mittleren Fahrlässigkeit“ kommen Arbeitnehmer*in und Arbeitgeber zu gleichen Teilen für den Schaden auf. Ob der Arbeitnehmer dabei die maßgebliche „erforderliche Sorgfalt nicht beachtet, ohne dass ihm ein besonders schwerer Vorwurf zu machen ist“, muss im Einzelfall geklärt werden.
Handelt der Arbeitnehmer bzw. die Arbeitnehmerin hingegen grob fahrlässig, muss er bzw. sie das abhanden gekommene Gerät ersetzen. Bei heutigen Premium-Modellen kann dies durchaus eine schmerzhafte Summe sein, auch wenn es sich dann nur noch um den Zeitwert des Geräts handelt.
Mobile Sicherheit, Datensicherheit und Haftung bei gestohlenen Firmenhandys
Um mehr als nur um ein paar hundert Euro geht es allerdings, wenn das gestohlene Smartphone Unbefugten Zugriff auf sensible Unternehmensdaten verschafft.
Hier sind alle möglichen Horrorszenarien denkbar: vom bußgeldbedrohten Datenschutzverstoß nach DSGVO über das Ausspionieren von Betriebsgeheimnissen (Datendiebstahl) bis hin zu Cyberkriminalität (Stichworte: Phishing, Malware, Ransomware).
Hackerangriffe sind teuer: So befragte das Marktforschungsunternehmen Vanson Bourne im Februar letzten Jahres bei einer Umfrage 500 IT-Sicherheitsverantwortliche aus dem Corporate-Bereich (mehr als 1.000 Mitarbeiter) zu Erfahrungen mit Ransomware. Im Ergebnis stellte die Untersuchung fest, dass den betroffenen Unternehmen durch eine solche Cyber-Erpressung durchschnittlich 750.000 Euro Schaden entstanden waren.
Im schlimmsten Fall werden aber nicht nur beträchtliche Summen erpresst. Es gibt dokumentierte Fälle, in denen das gesamte Unternehmen den Betrieb einstellen musste – etwa, weil geschäftskritische Daten von den erpresserischen Cyber-Kriminellen gelöscht worden waren.
(Edit: ein prominentes Opfer einer solchen Attacke ist der schwäbische Maschinenbauer Pilz, bei dem die gesamte Unternehmens-IT durch Verschlüsselung von Dateien stillgelegt wurde.)
Rechtzeitig einrichten: Ortungsdienste
Nun bieten viele Hersteller Dienste an, die bei Verlust des Handys eine Ortung des Geräts erlauben. Zudem lassen sich meist aus der Ferne auch Sperren aktivieren, Daten löschen und weitere Gerätefunktionen steuern.
Über den Dienst „Find my Mobile” von Samsung zum Beispiel kann man das Gerät klingeln lassen und sich die Liste der letzten 50 Anrufe anzeigen lassen. Auch der Standort lässt sich mittels der Anwendung nachvollziehen. Voraussetzung für die Ortung ist allerdings, dass das Gerät vor dem Verlust mit einem Samsung-Konto verknüpft wurde.
Ist das Android-Smartphone mit einem Google-Account verknüpft, kannst du von Anfang an den Ortungsdienst von Google nutzen, da dieser dann automatisch aktiviert ist. Auch hier kannst du Daten löschen, das Telefon klingeln lassen und dir den Standort anzeigen lassen.
Bei Apple-Geräten heißt diese Funktion (ab der iOS-Version 5) „Mein iPhone suchen“. Aber Achtung: Auch diese muss vorher aktiviert worden sein. Apple schreibt hierzu:
„Wenn ‚Mein iPhone suchen‘ auf Ihrem Gerät nicht aktiviert war, bevor es verloren ging, haben Sie keine andere Möglichkeit, Ihr Gerät zu finden, zu orten oder als verloren oder gestohlen zu kennzeichnen.“3
Vor dem Ernstfall Maßnahmen für Mobile Sicherheit ergreifen
Container-Apps und Mobile-Device-Management-Lösungen
Ist das Handy erst einmal weg, ist man zunächst einmal betroffen. Vielleicht war es ja ein Weihnachtsgeschenk der Firma, vielleicht befanden sich darauf auch besonders schöne und nun unwiederbringlich verlorengegangene Fotos?
Fakt ist: Im Nachhinein kann man nicht mehr viel für die Mobile Security tun. Kümmere dich also schon vorher um einen möglichen Diensthandy-Diebstahl.
„Locking“ und „Wiping“
Technische Lösungen wie eine sogenannte Container-App oder eine Mobile-Device-Management-Lösung helfen dir bei der Sicherung deiner Daten. Diese Programme richten auf dem Smartphone einen speziell geschützten Bereich ein.
Screenshot: Ansichten aus dem Arbeitsbereich bzw. Privatbereich eines Firmenhandys
Der Arbeitsbereich („Android Arbeitsprofil“) kann auch aus der Ferne administriert werden. So können beispielsweise abhanden gekommene Geräte gesperrt („Locking“) oder sensible Unternehmensdaten per Remote-Befehl gelöscht werden („Remote Wipe“).
Was genau der Unterschied zwischen einer Container-App und einem MDM ist, erfährst du in unserem Whitepaper „Mobile-Device-Management“.
Übrigens: Wenn du bei Everphone im Rahmen von „Device-as-a-Service“ eure Firmenhandys mietest, ist eine MDM-Lösung für die Geräte im Mietpreis bereits enthalten.