FatGPS

Darf der Arbeitgeber mein privates Handy orten?

Zwei Fakten entscheiden alles: MDM-Profil installiert oder nicht. Ohne Profil sieht der Chef fast nichts. Mit BYOD-Enrollment die genaue Grenze nach §26 BDSG.

Darf der Arbeitgeber mein privates Handy orten?
Auf dieser Seite 9 Abschnitte

Ob der Arbeitgeber das private Handy orten darf, hängt von zwei technischen Fakten ab, nicht von der Uhrzeit und nicht von der Berufsbezeichnung. Alles andere ist Detailarbeit.

Kurzversion:

  • Kein MDM-Profil auf dem Handy: Der Arbeitgeber sieht fast nichts.
  • BYOD in MDM eingeschrieben: Der verwaltete Bereich ist sichtbar, persönliche Apps und Nachrichten bleiben unsichtbar.
  • Standortortung nach Feierabend auf privatem Handy: ohne klare Rechtsgrundlage und Betriebsvereinbarung unzulässig.

Zwei Fälle, die alles entscheiden

Bevor du in die rechtlichen Details gehst, lohnt ein Blick auf die technische Realität. Sie teilt fast alle Fragen zur Arbeitgeber-Ortung in genau zwei Fälle.

Fall A: Privates Handy ohne Arbeitgeber-Profil. Kein Dienst-E-Mail über ein Unternehmensportal eingerichtet. Keine Pflicht-App der IT installiert. Kein “Company Portal” auf dem Gerät. In diesem Fall ist der Arbeitgeber technisch blind. Er sieht keine Apps, keine Nachrichten, keinen Standort, keine Fotos, keinen Browserverlauf. Die einzigen Wege, etwas zu sehen: über das Firmennetzwerk, in das du dich einloggst (das WLAN im Büro kann Domainnamen protokollieren), und über unternehmenseigene Dienste, auf die du dich von deinem Handy einloggst (Slack, Teams, Outlook). Der Dienst selbst gehört der Firma, nicht das Handy.

Fall B: Privates Handy ist in das MDM des Arbeitgebers eingeschrieben. Das passiert meistens genau dann, wenn du Dienst-E-Mail einrichtest. Der Setup-Assistent bittet dich, ein “Konfigurationsprofil” zu installieren, damit die Firma die E-Mail-Verbindung absichern kann. Danach kann der Arbeitgeber Gerätemodell, Betriebssystemversion, installierte verwaltete Apps sehen, gelegentlich den Standort, während eine Dienst-App im Vordergrund läuft, und er kann den verwalteten Bereich aus der Ferne löschen. Persönliche Apps, persönliche Nachrichten und Fotos bleiben nach Apple- und Google-Design unsichtbar.

Die meisten Menschen, die fragen “Kann mein Chef mein Handy orten?”, machen sich Sorgen um Fall A. Die Realität: Privat genutzte Handys ohne jede Firmen-App fallen in Fall A, und dort sieht der Arbeitgeber gar nichts.

Wie du in 90 Sekunden prüfst, in welchem Fall du bist

iPhone: Einstellungen, Allgemein, VPN & Geräteverwaltung. Ist die Liste leer, bist du in Fall A. Siehst du dort einen Profilnamen, den du nicht selbst installiert hast, bist du in Fall B oder das Profil wurde ohne dein Wissen installiert.

Android: Einstellungen, Sicherheit (oder Datenschutz, je nach Hersteller), Geräte-Admin-Apps. Eine Unternehmensapp mit Administratorrechten zeigt MDM-Enrollment an. Außerdem: Siehst du im App Drawer einen zweiten Tab mit Koffersymbol, ist das Android Work Profile aktiv.

MDM-Profil gefunden, das du nicht kennst? Mach sofort einen Screenshot mit dem Profilnamen und dem sichtbaren Datum. Das ist dein Beweis, falls du später Fragen an die IT oder an den Betriebsrat hast.

Fall A: Privates Handy ohne MDM

Ein privates Handy ohne Firmen-Konfigurationsprofil ist für den Arbeitgeber eine Blackbox. Vier Ausnahmen gibt es trotzdem.

Firmennetzwerk (WLAN oder VPN). Loggst du dich ins Büro-WLAN ein, kann der Netzwerk-Administrator die DNS-Anfragen deines Geräts protokollieren. Er sieht, welche Domains du aufrufst, nicht den Inhalt verschlüsselter HTTPS-Verbindungen, aber die Zieladressen. Das gilt für jedes Gerät im Netzwerk, nicht nur für Smartphones.

Unternehmenseigene Dienste. Nutzt du Outlook, Teams, Slack oder ein anderes Firmen-Tool auf deinem privaten Handy, protokolliert der Dienst Logins, Aktivitätszeiten und Geräteinformationen. Die Firma sieht das in ihrer Admin-Konsole, weil ihr der Dienst gehört.

Freiwillig installierte Tracking-Apps. Manche Arbeitgeber verlangen die Installation von Zeiterfassungs- oder Standort-Apps wie Clockodo, TimeTac oder ähnliche Tools. Installierst du sie, siehst du in den App-Berechtigungen, welche Daten sie erheben. “Immer”-Berechtigung für den Standort bedeutet Ortung rund um die Uhr.

Betriebliches Gerät, das sich als privates tarnt. Falls dein Gerät tatsächlich ein Unternehmensgerät ist, das du für private Zwecke nutzt, gelten andere Regeln. Vollständig verwaltete Android-Geräte ohne Work Profile geben dem Arbeitgeber vollen Einblick. Das ist aber nur bei Geräten möglich, die die IT von Anfang an eingerichtet hat.

Fall B: BYOD in MDM eingeschrieben

BYOD (Bring Your Own Device) verwirrt, weil die Einschreibung intrusiv klingt, die technische Realität aber begrenzter ist, als viele befürchten.

Apples BYOD-Architektur heißt User Enrollment. Die IT schreibt das Handy ein, iOS legt eine separate Managed Apple ID und ein kryptografisch getrenntes Volume für verwaltete Daten an. Dienst-Apps, Dienst-E-Mail und Dokumente liegen auf dem verwalteten Volume. Persönliche Apps, iMessages und Fotos liegen auf dem persönlichen Volume. Die beiden können sich nicht gegenseitig lesen.

Was das Unternehmen nach iOS User Enrollment sehen kann: Gerätemodell, Betriebssystemversion, Seriennummer, Liste der verwalteten Apps, wann eine Dienst-App geöffnet wurde, ob der Sperrcode-Policy entsprochen wird, und die Möglichkeit, nur das verwaltete Volume zu löschen. Was es nicht sieht: persönliche Nachrichten, Fotos, Browserverlauf, persönliche Apps, private Apple-ID-Aktivität.

Androids Entsprechung heißt Work Profile. Das Work Profile legt einen separaten Nutzerbereich auf dem Gerät an. Apps dort haben ein Koffersymbol. Auch der IT-Administrator kann über MDM nicht auf den privaten Bereich zugreifen.

Was das in der Praxis bedeutet: Der Arbeitgeber sieht eine Liste wie “verwaltete Apps: Outlook, Teams, Salesforce”, aber nicht “persönliche Apps: Signal, Spotify, Instagram”. Er sieht, wann du Outlook geöffnet hast, nicht, wann du eine Nachricht auf Signal verschickt hast.

Was der Arbeitgeber siehtFall A (kein MDM)Fall B (BYOD enrolled)
Persönliche AppsNeinNein
Verwaltete Dienst-AppsNeinJa
Persönliche Nachrichten (SMS, iMessage, WhatsApp)NeinNein
Standort rund um die UhrNeinNein (nur Dienst-App im Vordergrund, wenn konfiguriert)
Gerätemodell und BetriebssystemNeinJa
BrowserverlaufNeinNein
Remote Wipe gesamtes GerätNeinNein (nur verwalteter Bereich)

Was §26 BDSG und die DSGVO tatsächlich sagen

Der zentrale Paragraf im deutschen Arbeitnehmer-Datenschutz ist §26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses). Er erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, wenn sie für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Das Schlüsselwort ist “erforderlich”: Der Arbeitgeber braucht einen legitimen Zweck, und die Maßnahme muss verhältnismäßig sein.

Für Ortungsdaten bedeutet das:

  • Außendienst während der Arbeitszeit: Eine anlassbezogene Standorterfassung ist in der Regel zulässig, wenn sie für die Auftragsabwicklung notwendig ist und im Arbeitsvertrag oder einer Betriebsvereinbarung geregelt ist.
  • Dauerhaftes Tracking nach Feierabend auf dem Privathandy: Ohne konkrete Verdachtsmomente und ohne eindeutige Rechtsgrundlage unzulässig. Verhältnismäßigkeit und Zweckbindung sind verletzt.
  • Einwilligung als Grundlage: Eine Einwilligung im Arbeitsverhältnis gilt nach DSGVO-Erwägungsgrund 43 nur dann als freiwillig, wenn kein Ungleichgewicht besteht. Bei Arbeitsverhältnissen nimmt das Bundesarbeitsgericht (BAG) kritisch hin, ob echte Freiwilligkeit vorliegt.

Für die Ortung von Diensthandys (also geräten, die dem Unternehmen gehören) gelten abgeschwächte Regeln. Dort ist MDM-Vollzugriff der Standard. Aber auch dort darf kein permanentes Standort-Tracking nach Dienstschluss ohne Rechtsgrundlage stattfinden.

Die Rolle des Betriebsrats

§87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. MDM-Systeme fallen grundsätzlich darunter, weil sie in der Lage sind, Aktivitäten zu protokollieren.

Was das bedeutet: In Betrieben mit Betriebsrat darf der Arbeitgeber kein MDM ohne Betriebsvereinbarung einführen. Fehlt diese, ist das System formell rechtswidrig eingeführt worden. Die Betriebsvereinbarung regelt üblicherweise, welche Daten erhoben werden, wie lange sie gespeichert werden und wer Zugriff hat.

In Betrieben ohne Betriebsrat entfällt dieses formale Recht. Datenschutz nach DSGVO und §26 BDSG gilt aber unabhängig davon weiterhin. Und der Landesbeauftragte für Datenschutz (in Bayern der BayLfD, in NRW die LDI NRW, in Berlin die BlnBDI usw.) bleibt Aufsichtsbehörde.

Anzeichen, dass dein Handy überwacht wird

Nicht jedes “Anzeichen” aus Online-Listicles ist ein echtes Warnsignal. Die realen Indikatoren sind schmaler.

Ein Geräteverwaltungs-Profil, das du nicht installiert hast. Das ist das einzige zuverlässige Zeichen für MDM. iPhone: Einstellungen, Allgemein, VPN & Geräteverwaltung. Android: Einstellungen, Sicherheit, Geräte-Admin-Apps. Siehst du dort einen unbekannten Profilnamen, ist etwas nicht in Ordnung.

Dienst-Apps mit “Immer”-Standortberechtigung. Überprüfe für jede Firmen-App die Standortberechtigung unter Einstellungen, Datenschutz & Sicherheit, Ortungsdienste. “Immer” bedeutet Ortung auch im Hintergrund und außerhalb der Arbeitszeit. “Während der Nutzung” ist die akzeptable Alternative.

Dienst-Apps, die du nicht installiert hast, tauchen im App Drawer auf. Bei eingeschriebenem MDM kann die IT verwaltete Apps automatisch pushen, ohne dass du jedes Mal zustimmen musst.

Ungewöhnlich schnelle Akku-Entladung kombiniert mit erhöhter Hintergrundaktivität. Kein verlässliches Signal allein, aber zusammen mit dem ersten Punkt ein Hinweis.

Wichtig: Mikrofon-Abhören als Standardüberwachung gibt es nicht. Werbung, die sich auf ein Gespräch zu beziehen scheint, kommt aus Such- und Browsingdaten, nicht aus dem Mikrofon. Das ist kein reales Überwachungssignal.

Mehr dazu, wie du ein Handy systematisch auf Ortungs-Software prüfst, erklärt der Artikel wie erkenne ich, ob mein Handy geortet wird.

Was tun, wenn du ein unbekanntes Profil findest

Ein Profil gefunden, das du nicht kennst? Die Schritte:

  1. Screenshot mit dem vollständigen Profilnamen und sichtbarem Datum und Uhrzeit machen.
  2. Profil entfernen: iPhone: Einstellungen, Allgemein, VPN & Geräteverwaltung, Profil antippen, Verwaltung entfernen. Android: Einstellungen, Sicherheit, Geräte-Admin-Apps, deaktivieren, dann das Arbeitskonto unter Konten entfernen.
  3. Konsequenz einplanen: Das Entfernen des Profils löscht in der Regel alle verwalteten Apps und den Zugriff auf Dienst-E-Mail. Du verlierst den Firmenzugang auf diesem Gerät, bis du dich neu einschreibst. Das ist der Kompromiss, den das System zwingt: entweder neu einschreiben und die Sichtbarkeit akzeptieren, oder auf Firmenzugang vom Privatgerät verzichten.
  4. Betriebsrat oder Datenschutzbeauftragten kontaktieren, wenn du glaubst, das Profil wurde ohne dein Wissen installiert oder überschreitet das, was im Arbeitsvertrag vereinbart wurde.
  5. Landesdatenschutzbeauftragten einschalten, wenn der Betriebsrat nicht ausreicht. Die zuständige Behörde richtet sich nach dem Bundesland, in dem das Unternehmen seinen Sitz hat.

Wenn du das Gefühl hast, dass die Ortung von einer anderen Person kommt und nicht vom Arbeitgeber, erklärt der Artikel Partner-Tracking entdeckt: Was jetzt tun den Unterschied und die nächsten Schritte. Wie du außerdem die Standortfreigabe auf dem iPhone komplett abschaltest, zeigt Standort am iPhone ausschalten.

Diensthandy, privates Handy, BYOD: drei verschiedene Situationen

Die Verwirrung rund um Arbeitgeber-Ortung entsteht häufig, weil drei verschiedene Konstellationen durcheinandergemischt werden.

Diensthandy (Gerät gehört dem Arbeitgeber): Der Arbeitgeber darf das Gerät vollständig verwalten. Er kann MDM ohne Einschränkungen durch Apple User Enrollment einsetzen, weil es sein Gerät ist. Trotzdem gilt: Ortung nach Dienstschluss ohne Rechtsgrundlage und ohne Betriebsvereinbarung bleibt problematisch. Auch ein Diensthandy darf nicht zum dauerhaften Bewegungsprofil des Arbeitnehmers werden.

Privates Handy ohne BYOD: Fall A. Der Arbeitgeber sieht technisch nichts, solange du ihm keinen Zugang verschaffst.

Privates Handy mit BYOD-Enrollment: Fall B. Der verwaltete Bereich ist sichtbar. Der persönliche Bereich bleibt kryptografisch getrennt. Ob die Einschreibung rechtlich wirksam ist, hängt von Betriebsvereinbarung, §26 BDSG und dem Grad der Freiwilligkeit ab.

Der technische Schutz bleibt der stärkste Schutz: Ein privates Handy, das nie in das MDM des Arbeitgebers eingeschrieben wurde, das sich nicht ins Firmennetzwerk einloggt und das nicht für unternehmenseigene Dienste genutzt wird, ist für den Arbeitgeber unter keiner aktuell geltenden Rechtslage zugänglich.

Häufige Fragen

Was Leser oft fragen

6 Fragen · Aktualisiert Juni 2026

Darf der Arbeitgeber sehen, welche Apps auf meinem privaten Handy installiert sind?
Nein, solange kein MDM-Konfigurationsprofil installiert ist. Hast du Dienst-E-Mail über ein Unternehmensportal eingerichtet oder eine Pflicht-App der IT installiert, kann das Profil die verwalteten Apps auflisten. Persönliche Apps bleiben auch dann unsichtbar: Apple User Enrollment und das Android Work Profile trennen Arbeits- und Privatbereich kryptografisch. Prüfen lässt sich das unter Einstellungen, Allgemein, VPN & Geräteverwaltung (iPhone) oder Einstellungen, Sicherheit, Geräte-Admin-Apps (Android). Steht dort nichts, sieht der Arbeitgeber gar nichts.
Kann der Chef meine privaten SMS oder WhatsApp-Nachrichten lesen?
Nein. SMS und WhatsApp über deine persönliche Rufnummer liegen beim Netzbetreiber und in der App, nicht auf einem Unternehmensserver. Auch ein aggressives MDM kommt dort nicht ran. Ausnahme: Nutzt du dienstliche Kommunikationskanäle (Microsoft Teams, Slack, Outlook) auf dem privaten Handy, sieht der Arbeitgeber diese Nachrichten in der Admin-Konsole des jeweiligen Dienstes. Nicht weil er dein Handy überwacht, sondern weil der Dienst selbst ihm gehört.
Darf der Arbeitgeber meinen Standort nach Feierabend tracken?
Nicht ohne Rechtsgrundlage. Dauerhafte Ortung nach Dienstschluss auf einem privaten Handy widerspricht §26 BDSG (Verhältnismäßigkeit) und der DSGVO. Selbst wenn du bei der BYOD-Einrichtung eine Einwilligung unterzeichnet hast, muss diese freiwillig gewesen sein. Das BAG betont: Eine Einwilligung im Arbeitsverhältnis ist nur freiwillig, wenn kein faktischer Druck bestand. Anlassbezogene Ortung, etwa bei Außendienst während der Arbeitszeit, kann zulässig sein, wenn der Betriebsrat zugestimmt hat.
Was passiert, wenn ich mein Handy in das BYOD-Programm des Arbeitgebers einschreibe?
Apple und Google trennen das Handy in zwei Bereiche. Im verwalteten Bereich liegen Dienst-E-Mail, Kalender und Unternehmens-Apps. Dieser Bereich ist für die IT sichtbar. Im privaten Bereich liegen deine Fotos, Nachrichten und persönlichen Apps. Dieser Bereich bleibt unsichtbar. Die IT kann den verwalteten Bereich aus der Ferne löschen (Remote Wipe), hat aber keinen Zugriff auf persönliche Inhalte. Ausnahme: Vollständig verwaltete Android-Geräte ohne Work Profile, aber das setzt voraus, dass das Gerät ein Firmengerät ist.
Braucht der Betriebsrat eine Zustimmung, bevor der Arbeitgeber MDM einführt?
Ja. §87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die dazu bestimmt sind, Verhalten oder Leistung der Arbeitnehmer zu überwachen. MDM-Systeme fallen grundsätzlich darunter. Ohne Betriebsvereinbarung ist ein solches System nicht rechtswirksam eingeführt. In Betrieben ohne Betriebsrat entfällt dieses formale Recht, der Datenschutz nach DSGVO und §26 BDSG gilt aber weiterhin.
Wie entferne ich ein MDM-Profil, das ich nicht erkenne?
iPhone: Einstellungen, Allgemein, VPN & Geräteverwaltung, Profil antippen, Verwaltung entfernen. Android: Einstellungen, Sicherheit, Geräte-Admin-Apps, deaktivieren, dann das Arbeitskonto unter Konten entfernen. Achtung: Das Entfernen löscht in der Regel alle verwalteten Apps und den Zugriff auf Dienst-E-Mail. Du verlierst damit die Verbindung zum Firmennetzwerk auf diesem Gerät, bis du dich neu einschreibst. Mach vorher einen Screenshot des Profilnamens mit sichtbarem Datum.