Darf der Arbeitgeber mein privates Handy orten?
Zwei Fakten entscheiden alles: MDM-Profil installiert oder nicht. Ohne Profil sieht der Chef fast nichts. Mit BYOD-Enrollment die genaue Grenze nach §26 BDSG.
Auf dieser Seite 9 Abschnitte
- Zwei Fälle, die alles entscheiden
- Wie du in 90 Sekunden prüfst, in welchem Fall du bist
- Fall A: Privates Handy ohne MDM
- Fall B: BYOD in MDM eingeschrieben
- Was §26 BDSG und die DSGVO tatsächlich sagen
- Die Rolle des Betriebsrats
- Anzeichen, dass dein Handy überwacht wird
- Was tun, wenn du ein unbekanntes Profil findest
- Diensthandy, privates Handy, BYOD: drei verschiedene Situationen
Ob der Arbeitgeber das private Handy orten darf, hängt von zwei technischen Fakten ab, nicht von der Uhrzeit und nicht von der Berufsbezeichnung. Alles andere ist Detailarbeit.
Kurzversion:
- Kein MDM-Profil auf dem Handy: Der Arbeitgeber sieht fast nichts.
- BYOD in MDM eingeschrieben: Der verwaltete Bereich ist sichtbar, persönliche Apps und Nachrichten bleiben unsichtbar.
- Standortortung nach Feierabend auf privatem Handy: ohne klare Rechtsgrundlage und Betriebsvereinbarung unzulässig.
Zwei Fälle, die alles entscheiden
Bevor du in die rechtlichen Details gehst, lohnt ein Blick auf die technische Realität. Sie teilt fast alle Fragen zur Arbeitgeber-Ortung in genau zwei Fälle.
Fall A: Privates Handy ohne Arbeitgeber-Profil. Kein Dienst-E-Mail über ein Unternehmensportal eingerichtet. Keine Pflicht-App der IT installiert. Kein “Company Portal” auf dem Gerät. In diesem Fall ist der Arbeitgeber technisch blind. Er sieht keine Apps, keine Nachrichten, keinen Standort, keine Fotos, keinen Browserverlauf. Die einzigen Wege, etwas zu sehen: über das Firmennetzwerk, in das du dich einloggst (das WLAN im Büro kann Domainnamen protokollieren), und über unternehmenseigene Dienste, auf die du dich von deinem Handy einloggst (Slack, Teams, Outlook). Der Dienst selbst gehört der Firma, nicht das Handy.
Fall B: Privates Handy ist in das MDM des Arbeitgebers eingeschrieben. Das passiert meistens genau dann, wenn du Dienst-E-Mail einrichtest. Der Setup-Assistent bittet dich, ein “Konfigurationsprofil” zu installieren, damit die Firma die E-Mail-Verbindung absichern kann. Danach kann der Arbeitgeber Gerätemodell, Betriebssystemversion, installierte verwaltete Apps sehen, gelegentlich den Standort, während eine Dienst-App im Vordergrund läuft, und er kann den verwalteten Bereich aus der Ferne löschen. Persönliche Apps, persönliche Nachrichten und Fotos bleiben nach Apple- und Google-Design unsichtbar.
Die meisten Menschen, die fragen “Kann mein Chef mein Handy orten?”, machen sich Sorgen um Fall A. Die Realität: Privat genutzte Handys ohne jede Firmen-App fallen in Fall A, und dort sieht der Arbeitgeber gar nichts.
Wie du in 90 Sekunden prüfst, in welchem Fall du bist
iPhone: Einstellungen, Allgemein, VPN & Geräteverwaltung. Ist die Liste leer, bist du in Fall A. Siehst du dort einen Profilnamen, den du nicht selbst installiert hast, bist du in Fall B oder das Profil wurde ohne dein Wissen installiert.
Android: Einstellungen, Sicherheit (oder Datenschutz, je nach Hersteller), Geräte-Admin-Apps. Eine Unternehmensapp mit Administratorrechten zeigt MDM-Enrollment an. Außerdem: Siehst du im App Drawer einen zweiten Tab mit Koffersymbol, ist das Android Work Profile aktiv.
Fall A: Privates Handy ohne MDM
Ein privates Handy ohne Firmen-Konfigurationsprofil ist für den Arbeitgeber eine Blackbox. Vier Ausnahmen gibt es trotzdem.
Firmennetzwerk (WLAN oder VPN). Loggst du dich ins Büro-WLAN ein, kann der Netzwerk-Administrator die DNS-Anfragen deines Geräts protokollieren. Er sieht, welche Domains du aufrufst, nicht den Inhalt verschlüsselter HTTPS-Verbindungen, aber die Zieladressen. Das gilt für jedes Gerät im Netzwerk, nicht nur für Smartphones.
Unternehmenseigene Dienste. Nutzt du Outlook, Teams, Slack oder ein anderes Firmen-Tool auf deinem privaten Handy, protokolliert der Dienst Logins, Aktivitätszeiten und Geräteinformationen. Die Firma sieht das in ihrer Admin-Konsole, weil ihr der Dienst gehört.
Freiwillig installierte Tracking-Apps. Manche Arbeitgeber verlangen die Installation von Zeiterfassungs- oder Standort-Apps wie Clockodo, TimeTac oder ähnliche Tools. Installierst du sie, siehst du in den App-Berechtigungen, welche Daten sie erheben. “Immer”-Berechtigung für den Standort bedeutet Ortung rund um die Uhr.
Betriebliches Gerät, das sich als privates tarnt. Falls dein Gerät tatsächlich ein Unternehmensgerät ist, das du für private Zwecke nutzt, gelten andere Regeln. Vollständig verwaltete Android-Geräte ohne Work Profile geben dem Arbeitgeber vollen Einblick. Das ist aber nur bei Geräten möglich, die die IT von Anfang an eingerichtet hat.
Fall B: BYOD in MDM eingeschrieben
BYOD (Bring Your Own Device) verwirrt, weil die Einschreibung intrusiv klingt, die technische Realität aber begrenzter ist, als viele befürchten.
Apples BYOD-Architektur heißt User Enrollment. Die IT schreibt das Handy ein, iOS legt eine separate Managed Apple ID und ein kryptografisch getrenntes Volume für verwaltete Daten an. Dienst-Apps, Dienst-E-Mail und Dokumente liegen auf dem verwalteten Volume. Persönliche Apps, iMessages und Fotos liegen auf dem persönlichen Volume. Die beiden können sich nicht gegenseitig lesen.
Was das Unternehmen nach iOS User Enrollment sehen kann: Gerätemodell, Betriebssystemversion, Seriennummer, Liste der verwalteten Apps, wann eine Dienst-App geöffnet wurde, ob der Sperrcode-Policy entsprochen wird, und die Möglichkeit, nur das verwaltete Volume zu löschen. Was es nicht sieht: persönliche Nachrichten, Fotos, Browserverlauf, persönliche Apps, private Apple-ID-Aktivität.
Androids Entsprechung heißt Work Profile. Das Work Profile legt einen separaten Nutzerbereich auf dem Gerät an. Apps dort haben ein Koffersymbol. Auch der IT-Administrator kann über MDM nicht auf den privaten Bereich zugreifen.
Was das in der Praxis bedeutet: Der Arbeitgeber sieht eine Liste wie “verwaltete Apps: Outlook, Teams, Salesforce”, aber nicht “persönliche Apps: Signal, Spotify, Instagram”. Er sieht, wann du Outlook geöffnet hast, nicht, wann du eine Nachricht auf Signal verschickt hast.
| Was der Arbeitgeber sieht | Fall A (kein MDM) | Fall B (BYOD enrolled) |
|---|---|---|
| Persönliche Apps | Nein | Nein |
| Verwaltete Dienst-Apps | Nein | Ja |
| Persönliche Nachrichten (SMS, iMessage, WhatsApp) | Nein | Nein |
| Standort rund um die Uhr | Nein | Nein (nur Dienst-App im Vordergrund, wenn konfiguriert) |
| Gerätemodell und Betriebssystem | Nein | Ja |
| Browserverlauf | Nein | Nein |
| Remote Wipe gesamtes Gerät | Nein | Nein (nur verwalteter Bereich) |
Was §26 BDSG und die DSGVO tatsächlich sagen
Der zentrale Paragraf im deutschen Arbeitnehmer-Datenschutz ist §26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Er erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, wenn sie für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Das Schlüsselwort ist “erforderlich”: Der Arbeitgeber braucht einen legitimen Zweck, und die Maßnahme muss verhältnismäßig sein.
Für Ortungsdaten bedeutet das:
- Außendienst während der Arbeitszeit: Eine anlassbezogene Standorterfassung ist in der Regel zulässig, wenn sie für die Auftragsabwicklung notwendig ist und im Arbeitsvertrag oder einer Betriebsvereinbarung geregelt ist.
- Dauerhaftes Tracking nach Feierabend auf dem Privathandy: Ohne konkrete Verdachtsmomente und ohne eindeutige Rechtsgrundlage unzulässig. Verhältnismäßigkeit und Zweckbindung sind verletzt.
- Einwilligung als Grundlage: Eine Einwilligung im Arbeitsverhältnis gilt nach DSGVO-Erwägungsgrund 43 nur dann als freiwillig, wenn kein Ungleichgewicht besteht. Bei Arbeitsverhältnissen nimmt das Bundesarbeitsgericht (BAG) kritisch hin, ob echte Freiwilligkeit vorliegt.
Für die Ortung von Diensthandys (also geräten, die dem Unternehmen gehören) gelten abgeschwächte Regeln. Dort ist MDM-Vollzugriff der Standard. Aber auch dort darf kein permanentes Standort-Tracking nach Dienstschluss ohne Rechtsgrundlage stattfinden.
Die Rolle des Betriebsrats
§87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. MDM-Systeme fallen grundsätzlich darunter, weil sie in der Lage sind, Aktivitäten zu protokollieren.
Was das bedeutet: In Betrieben mit Betriebsrat darf der Arbeitgeber kein MDM ohne Betriebsvereinbarung einführen. Fehlt diese, ist das System formell rechtswidrig eingeführt worden. Die Betriebsvereinbarung regelt üblicherweise, welche Daten erhoben werden, wie lange sie gespeichert werden und wer Zugriff hat.
In Betrieben ohne Betriebsrat entfällt dieses formale Recht. Datenschutz nach DSGVO und §26 BDSG gilt aber unabhängig davon weiterhin. Und der Landesbeauftragte für Datenschutz (in Bayern der BayLfD, in NRW die LDI NRW, in Berlin die BlnBDI usw.) bleibt Aufsichtsbehörde.
Anzeichen, dass dein Handy überwacht wird
Nicht jedes “Anzeichen” aus Online-Listicles ist ein echtes Warnsignal. Die realen Indikatoren sind schmaler.
Ein Geräteverwaltungs-Profil, das du nicht installiert hast. Das ist das einzige zuverlässige Zeichen für MDM. iPhone: Einstellungen, Allgemein, VPN & Geräteverwaltung. Android: Einstellungen, Sicherheit, Geräte-Admin-Apps. Siehst du dort einen unbekannten Profilnamen, ist etwas nicht in Ordnung.
Dienst-Apps mit “Immer”-Standortberechtigung. Überprüfe für jede Firmen-App die Standortberechtigung unter Einstellungen, Datenschutz & Sicherheit, Ortungsdienste. “Immer” bedeutet Ortung auch im Hintergrund und außerhalb der Arbeitszeit. “Während der Nutzung” ist die akzeptable Alternative.
Dienst-Apps, die du nicht installiert hast, tauchen im App Drawer auf. Bei eingeschriebenem MDM kann die IT verwaltete Apps automatisch pushen, ohne dass du jedes Mal zustimmen musst.
Ungewöhnlich schnelle Akku-Entladung kombiniert mit erhöhter Hintergrundaktivität. Kein verlässliches Signal allein, aber zusammen mit dem ersten Punkt ein Hinweis.
Wichtig: Mikrofon-Abhören als Standardüberwachung gibt es nicht. Werbung, die sich auf ein Gespräch zu beziehen scheint, kommt aus Such- und Browsingdaten, nicht aus dem Mikrofon. Das ist kein reales Überwachungssignal.
Mehr dazu, wie du ein Handy systematisch auf Ortungs-Software prüfst, erklärt der Artikel wie erkenne ich, ob mein Handy geortet wird.
Was tun, wenn du ein unbekanntes Profil findest
Ein Profil gefunden, das du nicht kennst? Die Schritte:
- Screenshot mit dem vollständigen Profilnamen und sichtbarem Datum und Uhrzeit machen.
- Profil entfernen: iPhone: Einstellungen, Allgemein, VPN & Geräteverwaltung, Profil antippen, Verwaltung entfernen. Android: Einstellungen, Sicherheit, Geräte-Admin-Apps, deaktivieren, dann das Arbeitskonto unter Konten entfernen.
- Konsequenz einplanen: Das Entfernen des Profils löscht in der Regel alle verwalteten Apps und den Zugriff auf Dienst-E-Mail. Du verlierst den Firmenzugang auf diesem Gerät, bis du dich neu einschreibst. Das ist der Kompromiss, den das System zwingt: entweder neu einschreiben und die Sichtbarkeit akzeptieren, oder auf Firmenzugang vom Privatgerät verzichten.
- Betriebsrat oder Datenschutzbeauftragten kontaktieren, wenn du glaubst, das Profil wurde ohne dein Wissen installiert oder überschreitet das, was im Arbeitsvertrag vereinbart wurde.
- Landesdatenschutzbeauftragten einschalten, wenn der Betriebsrat nicht ausreicht. Die zuständige Behörde richtet sich nach dem Bundesland, in dem das Unternehmen seinen Sitz hat.
Wenn du das Gefühl hast, dass die Ortung von einer anderen Person kommt und nicht vom Arbeitgeber, erklärt der Artikel Partner-Tracking entdeckt: Was jetzt tun den Unterschied und die nächsten Schritte. Wie du außerdem die Standortfreigabe auf dem iPhone komplett abschaltest, zeigt Standort am iPhone ausschalten.
Diensthandy, privates Handy, BYOD: drei verschiedene Situationen
Die Verwirrung rund um Arbeitgeber-Ortung entsteht häufig, weil drei verschiedene Konstellationen durcheinandergemischt werden.
Diensthandy (Gerät gehört dem Arbeitgeber): Der Arbeitgeber darf das Gerät vollständig verwalten. Er kann MDM ohne Einschränkungen durch Apple User Enrollment einsetzen, weil es sein Gerät ist. Trotzdem gilt: Ortung nach Dienstschluss ohne Rechtsgrundlage und ohne Betriebsvereinbarung bleibt problematisch. Auch ein Diensthandy darf nicht zum dauerhaften Bewegungsprofil des Arbeitnehmers werden.
Privates Handy ohne BYOD: Fall A. Der Arbeitgeber sieht technisch nichts, solange du ihm keinen Zugang verschaffst.
Privates Handy mit BYOD-Enrollment: Fall B. Der verwaltete Bereich ist sichtbar. Der persönliche Bereich bleibt kryptografisch getrennt. Ob die Einschreibung rechtlich wirksam ist, hängt von Betriebsvereinbarung, §26 BDSG und dem Grad der Freiwilligkeit ab.
Der technische Schutz bleibt der stärkste Schutz: Ein privates Handy, das nie in das MDM des Arbeitgebers eingeschrieben wurde, das sich nicht ins Firmennetzwerk einloggt und das nicht für unternehmenseigene Dienste genutzt wird, ist für den Arbeitgeber unter keiner aktuell geltenden Rechtslage zugänglich.
Häufige Fragen
Was Leser oft fragen
6 Fragen · Aktualisiert Juni 2026