Zum Inhalt springen Zur Navigation springen
Privatgerät für die Arbeit? Datenschutz beachten!

Privatgerät für die Arbeit? Datenschutz beachten!

Artikel von Philipp Dorowski·7. April 2026

Die Nutzung von einem Privatgerät für die Arbeit verspricht Flexibilität für Beschäftigte und Kosteneinsparungen für Unternehmen. Doch welche datenschutzrechtlichen Fallstricke lauern hier? Dieser Artikel beleuchtet einen Fall der spanischen Datenschutzbehörde (AEPD) und zeigt auf, wann die berufliche Nutzung privater Geräte zulässig ist und welche Pflichten Arbeitgeber dabei haben.

Nummern von Privatgeräten gesammelt, Datenschutz ignoriert

Ein Dienstleistungsunternehmen forderte über 200 Beschäftigte während einer Schulung auf, ihre privaten Mobilfunknummern auf einen Zettel zu schreiben, damit sichergestellt sei, dass diese auf dem neuesten Stand seien. Das Unternehmen registrierte diese privaten Nummern sodann für eine Zwei-Faktor-Authentifizierung (2FA). Dieses gängige Sicherheitsverfahren war notwendig, um auf die IT-Systeme eines Kunden zugreifen zu können.

Der Haken an der Sache: Die privaten Nummern wurden ohne Wissen der Beschäftigten an ein Unternehmen in China weitergeleitet. Eine Information über diesen internationalen Datentransfer oder gar eine ausdrückliche Einwilligung lag nicht vor. Besonders brisant: Der unternehmenseigene Datenschutzbeauftragte hatte die Geschäftsführung bereits im Vorfeld explizit vor der Rechtswidrigkeit dieser Vorgehensweise gewarnt. Er wurde jedoch unter dem Hinweis ignoriert, dass keine Alternativen zur Verfügung stünden und der Kunde die Mitteilung der Telefonnummern verlange.

Wann ist die Verarbeitung von Daten auf dem Privatgerät für die Arbeit erlaubt?

Das Unternehmen argumentierte, die Verarbeitung der privaten Telefonnummern sei zur Erfüllung des Arbeitsvertrags gemäß Art. 6 Abs. 1 lit. b DSGVO unerlässlich. Die AEPD widersprach dieser Auslegung jedoch entschieden und verhängte ein Bußgeld.

Die Behörde stellte unmissverständlich klar, dass eine Datenverarbeitung nur dann zur Vertragserfüllung „erforderlich“ ist, wenn sie objektiv und zwingend notwendig ist, um die Hauptleistungspflichten zu erfüllen. Eine Maßnahme, die für das Unternehmen lediglich nützlich oder praktisch ist, fällt nicht unter diese Rechtsgrundlage. Die Erfüllung eines Arbeitsvertrags erfordert nicht die Nutzung der privaten Telefone der Beschäftigten. Die private Nummer gehört zur persönlichen Sphäre und ihre Preisgabe ist für die berufliche Tätigkeit weder erforderlich noch verhältnismäßig. Die DSGVO schützt hier klar die Privatsphäre der Beschäftigten. Diese Einschätzung dürfte in Deutschland von Aufsichtsbehörden und Gerichten uneingeschränkt geteilt werden.

Auch ein Blick in das deutsche Arbeitsrecht gibt Aufschluss. Das Bundesarbeitsgericht hat in einem wegweisenden Urteil im Jahr 2021 (Az. 5 AZR 334/21) entschieden, dass Unternehmen die wesentlichen Arbeitsmittel zur Verfügung stellen müssen. Die Beschäftigten schulden grundsätzlich nur ihre Arbeitskraft, nicht ihre privaten Ressourcen.

Welche Voraussetzungen gelten für die Nutzung privater Geräte bei der Arbeit?

Können Unternehmen also niemals die Nutzung privater Geräte verlangen? Doch, das ist unter strengen Bedingungen möglich. Die entscheidende Voraussetzung ist die Freiwilligkeit. In einem Arbeitsverhältnis mit seinem natürlichen Machtgefälle ist der Begriff der Freiwilligkeit jedoch mit Vorsicht zu genießen. Die Möglichkeit, dass das Unternehmen die privaten Geräte der Beschäftigten für berufliche Zwecke nutzt, setzt voraus, dass diese Nutzung von den Beschäftigten freiwillig gewählt wurde, nachdem sie die vorgesehenen Informationen über die Verarbeitung ihrer personenbezogenen Daten und über die Möglichkeit erhalten haben, die erteilte Einwilligung jederzeit und ohne nachteilige Folgen zu widerrufen. Diese ausdrückliche Willensbekundung könnte unter anderem dann als freiwillig angesehen werden, wenn das Unternehmen zuvor eine Alternative bereitgestellt und angeboten hätte – in diesem Fall ein Unternehmensgerät.

Doch selbst wenn eine freiwillige Vereinbarung getroffen wird, ist die Arbeit damit nicht getan. Modelle wie „Bring Your Own Device“ bergen ihre eigenen Herausforderungen.

  • Arbeitszeiterfassung:
    Unternehmen sind verpflichtet, die Arbeitszeit der Beschäftigten systematisch zu erfassen. Die privaten Geräte kommen typischerweise sowohl im beruflichen Kontext als auch in der privaten Nutzung zum Einsatz. Es bedarf daher klarer Maßnahmen, zu welchem Zeitpunkt die Verwendung des Geräts der Arbeitszeit und wann sie der Freizeit zugeordnet werden kann.
  • Archivierungspflichten:
    Unternehmen unterliegen steuer- und handelsrechtlichen Aufbewahrungspflichten (z. B. für Handelsbriefe nach § 257 HGB). Die Gewährleistung einer revisionssicheren Archivierung ist erschwert, wenn die betreffenden E-Mails oder Dokumente auf privaten Geräten liegen, über die die Beschäftigten die volle Kontrolle haben und auf dem sie Daten jederzeit löschen können.
  • Datensicherheit und Kontrolle:
    Unternehmen sind als Verantwortliche nach Art. 32 DSGVO verpflichtet, die Sicherheit der verarbeiteten Daten durch geeignete technische und organisatorische Maßnahmen (TOM) zu gewährleisten. Bei einem Privatgerät kann Kontrolle zum Problem werden. Unternehmen müssen die Wirksamkeit der TOM überprüfen können, was schnell zu einem Konflikt mit dem Recht der Beschäftigten auf die Unverletzlichkeit ihrer privaten Daten führt.

Welche Modelle zur Gerätenutzung gibt es?

Die Nutzung privater Geräte für berufliche Zwecke ist daher mehr als nur eine Frage der Praktikabilität. Sie stellt ein Vorhaben dar, das eine sorgfältige Planung und eine klare rechtliche Absicherung erfordert. Für Unternehmen und Beschäftigte gibt es keine Pauschallösungen, jedoch verschiedene Ansätze:

  • Bring Your Own Device (BYOD): Beschäftigte nutzen ihre eigenen Geräte.
  • Choose Your Own Device (CYOD): Beschäftigte wählen aus vom Unternehmen freigegebenen Geräten.
  • Unternehmensgeräte: Unternehmen stellen eigene Geräte zur Verfügung.

Rechtssicherheit bei der Gerätenutzung erfordert klare Richtlinien und technische Maßnahmen

Risiken lassen sich durch den Einsatz von Container-Lösungen oder Mobile Device Management (MDM) minimieren, die eine Trennung von privaten und beruflichen Daten auf einem Gerät ermöglichen. Diese Technologien helfen, die Kontrolle über Unternehmensdaten zu behalten, ohne die private Sphäre der Beschäftigten übermäßig zu beeinträchtigen.

Letztlich sind Unternehmen gut beraten, in enger Abstimmung mit ihren Datenschutzbeauftragten und gegebenenfalls dem Betriebsrat klare Richtlinien zu entwickeln. Solche Regelungen sollten technische Sicherheit, rechtliche Konformität und die Interessen der Beschäftigten in Einklang bringen, um eine tragfähige und datenschutzkonforme Lösung zu schaffen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.