Diensthandy geklaut - Fotos drauf

Hallo liebe Foris, ich wende mich an euch, weil mir etwas passiert ist was mir unglaubliche Sorgen bereitet. Ich freue mich sehr auf Feedback von Euch und bedanke mich tausendfach bei euch:

Mein Diensthandy wurde gestohlen. Auf dem Handy waren Fotos von minderjährigen Kindern, die ich im Rahmen von Freizeitaktionen gemacht habe ich arbeite im päd. Bereich. Allerdings ohne schriftliche Einverständniserklärung der Eltern.
Nun ist das Handy weg, es gab eine PIN zum entsperren des Handys. Aber man weiß ja nie ob jemand den Code kennt/gesehen hat wenn mal jemand hinter mir/neben mir stand.

Habe Angst, dass rein rechtlich was auf mich zu kommt.
Die Bilder habe ich mit verpixelten Gesichern auf Insta hochgeladen zur Pflege des Marketing Kanals. Nach dem Vorfall habe ich die Bilder auf INsta gelöscht nun alle.

Werkseinstellung, Ortung des Handys, Löschung der Pics auf der Google Cloud ist alles nicht erfolgt, ich hab es der Person, die für das Diensthandy verantwortlich ist, hierzu gefragt und ihn darum gebeten, aber er hat nichts gemacht.Ich selbst wusste auch nicht wie das geht.

Kennt sich jemand damit aus und weiß, was mir blüht? Ich mach mir grad in die Hose!!!

Der Diebstahl des Handys entlastet dich in dem Sinne, dass keine direkte Schuld bei dir liegt. Trotzdem hast du eine gewisse Verantwortung im Umgang mit den Daten, besonders im pädagogischen Bereich. Das größere Problem ist, dass die Fotos ohne Einwilligung der Eltern gemacht und auf Instagram hochgeladen wurden. Auch wenn sie verpixelt oder gelöscht wurden, könnte es rechtliche Konsequenzen geben, falls Eltern oder Behörden darauf aufmerksam werden.

Wichtig ist jetzt, dass du offen mit deinem Arbeitgeber kooperierst und zeigst, dass du aus der Situation lernst. Solange dir kein Vorsatz oder grobe Fahrlässigkeit nachgewiesen werden kann, dürften ernsthafte rechtliche Folgen unwahrscheinlich sein. Es könnten aber Beschwerden, interne Konsequenzen oder Forderungen auftreten, falls die Daten missbraucht werden. Handeln und transparent bleiben ist jetzt der Schlüssel, um die Situation zu entschärfen!

Falls der Arbeitgeber oder die IT-Abteilung nicht reagiert, versuche selbst, das Gerät über Google (Android) oder Apple (iPhone) zu sperren oder die Daten zu löschen. Wenn das nicht mehr möglich ist, dokumentiere deinen Versuch, um nachzuweisen, dass du alles getan hast, um weiteren Schaden zu vermeiden.

Du musst jetzt handeln! Je schneller du aktiv wirst, desto eher kannst du die Situation unter Kontrolle bringen und zeigen, dass du Verantwortung übernimmst.

Hast du den Diebstahl des Gerätes bei der Polizei angezeigt? Wenn ja, hast du dabei angegeben, was für Daten auf dem Handy waren? Hast du deinem Arbeitgeber auch nachweisbar schriftlich Meldung gemacht, oder nur mündlich?

Puh, ein NoGo. Sind hier Anwälte?

Ich bin Lehrer und komme daher aus demselben Bereich.

Bei uns ist es so, dass zu Beginn, also wenn das Kind auf die Schule kommt, abgefragt wird, auf welchem Medium Fotos veröffentlicht werden dürfen. Die Kategorien sind hierbei Soziale Medien, Homepage und Jahresbreicht. Bei Nichteinwilligung muss das Gesicht unkenntlich gemacht werden, darf dann aber hochgeladen werden.
Grundsätzlich darf ich also Fotos von den Minderjährigen machen, aber selbstverständlich müssen die geschützt sein. Du hast richtigerweise dafür dein Dienstgerät und nicht dein Privatgerät verwendet. Ich habe kein Diensthandy, nutze dafür aber seit Android 15 das vertrauliche Profil, damit die Bilder doppelt geschützt sind.

Im Schulrecht haben wir gelernt, dass kein Datenschutzvorfall eintritt, sofern diese Daten gut geschützt sind, nach bestem Wissen und Gewissen. Bedeutet natürlich, dass dein Smartphone durch ein gutes(!!) Passwort geschützt und damit auch verschlüsselt ist. Ist ja glücklicherweise mittlerweile Standard.

Letztlich wird das aber in jedem Bundesland leicht anders gehandhabt. Aus meiner Sicht (Vorsicht, ich bin nur ein datenschutzsensibler Lehrer) hast du nichts falsch gemacht und musst dir selbst nichts vorwerfen (außer du hast ein richtig mieses Passwort auf deinem Dienstgerät). Daher kannst und sollst du mit maximaler Transparenz weiter vorgehen.

Noch ein kleiner Anhang:
Ich habe meinem Kollegium eine kleine schulinterne Fortbildung angeboten, wie sie ihr Dienstgerät für genau solche Fälle schützen können. Die Surface-Tablets, die wir verwenden, sind standardmäßig nämlich in keinster Weise geschützt. Keine Laufwerksverschlüsselung aktiv usw. Rückmeldung aus dem Kollegium: kein Interesse! Nachvollziehbar, wenn man bedenkt, dass eigentlich der Schulträger dafür verantwortlich ist, dass die Dinger gescheit eingerichtet sind. Nicht nachvollziehbar, wenn man bedenkt, dass das Ding eben doch geklaut werden kann.
Warum schreibe ich das? Vermutlich bist du mit deinem Fall deutlich besser aufgestellt als eine große Mehrheit an Leuten aus dem Bildungsbereich.

Alles Gute dir!!!

Wenn ich mir die DSGVO anschaue und welche Auflagen ich als Fotograf bezüglich Peoplefotografie habe, dann muss ich schon sagen, es wird mit zweierlei Maaß gemessen, im Zweifel muss ich (wenn es nicht ein alter Wissensstand ist) nachweisen, wo das Foto veröffentlicht wurde, wo die Daten gelagert werden. Die Pflege eines Instaprofils - Himmel, da gibt man doch bestimmt sämtliche (einfache) Rechte an dem Bildmaterial ab. Das ist dann gleichbedeutend mit einer weltweiten Nutzung. Und wenn man ganz großes Pech hat, dann gilt plötzlich nicht mehr deutsches Recht sondern vielleicht das der USA, wenn die betreffende Person die entsprechende Nationalität hat?

Für META habe ich hier die Nutzungsbedigungen kopiert:

• Wir beanspruchen nicht das Eigentum an deinen Inhalten, sondern du gewährst uns eine Lizenz, sie zu nutzen.
  Es ändert sich nichts in Bezug auf deine Rechte an deinen Inhalten. Wir beanspruchen nicht das Eigentum an deinen Inhalten, die du auf dem bzw. über den Dienst postest. Du kannst deine Inhalte also nach Belieben mit anderen teilen, wo immer du das möchtest. Für die Bereitstellung des Dienstes benötigen wir jedoch bestimmte gesetzliche Berechtigungen (eine so genannte „Lizenz“) von dir. Wenn du Inhalte, die durch geistige Eigentumsrechte geschützt sind (wie Fotos oder Videos), auf oder in Verbindung mit unserem Dienst teilst, postest oder hochlädst, räumst du uns hiermit eine nicht-exklusive, übertragbare, unterlizenzierbare und weltweite Lizenz ein, deine Inhalte (gemäß deinen Privatsphäre- und App-Einstellungen) zu hosten, zu verwenden, zu verbreiten, zu modifizieren, auszuführen, zu kopieren, öffentlich vorzuführen oder anzuzeigen, zu übersetzen und abgeleitete Werke davon zu erstellen, damit wir den Instagram-Dienst zur Verfügung stellen können. Diese Lizenz endet, wenn deine Inhalte aus unseren Systemen gelöscht werden. Du kannst Inhalte einzeln oder alle gleichzeitig (durch Löschung deines Kontos) löschen. Um mehr darüber zu erfahren, wie wir Informationen verwenden und wie du deine Inhalte kontrollieren oder löschen kannst, lies bitte die Datenschutzrichtlinie und besuche den Instagram-Hilfebereich.

Hallo, ich danke für euer Feedback. Ich arbeite dort nicht mehr.
Ich habe Strafanzeige gg. unbekannt gestellt bei der Kripo als ich dort noch arbeitete.
Die Post zur Anhörung als Zeugin nun jetzt erhalten (arbeite dort halt jetzt nicht mehr) welches ich heute ausfülle. DArin steht dass Fotos auf dem Handys sind, und ich sorge habe dass Ungefugte hierzu Zugriff haben. Ich habe nicht reingeschrieben, dass diese ohne Einverständnis aufgenommen worden.

Meiner damaligen Leitung habe ich per Email den Diebstahl gemeldet. Und auch per Mail nach Werkseinstellung, Löschen der Fotos auf dem google account, sowie nach Ortung gefragt. Da konnte man mir nicht helfen und es wurde nix getan. Auch erfolgte keine Info an die Datenschutzbeauftragte.
Eigentlich müsste eine gewisse Person aus dem Unternehmen die Anzeige erstatten nicht ich. Aber dafür hat sich niemand interessiert.

@ sekret: ich habe alle Fotos verpixelt hochgeladen, also die Gesichter.
Das Passwort war das was die Vorbesitzern hatte und auch kannte. Sie ist noch im Unternehmen und hatte auch Zugang zum Handy. Ich will jetzt nix böses denken und hoffe dass sie damit nix zu tun hat…

Mich belastet das ganze so sehr, vor allem fühl ich mich vom alten Arbeitgeber so in Stich gelassen dass sie nicht sofort Schutzmaßnahmen getroffen haben. Dumm natürlich auch von mir, ohne Einverständnis die Fotos zu machen. Ich habe da mich auf die Aussage einer Kollegin verlassen, ich hatte keine Berufserfahrung in dem pädag. Bereich und musste mich einarbeiten und hab sie als Berufserfahrene gefragt. Sie hat 5 Jahre Berufserfahrung und in ihrer alten Einrichtung wurde das auch so gehandhabt, also einfach die Fotos verpixeln.Sie meinte es reicht wenn ich diese einfach verpixle. Ich dumme hab dann darauf gehört.
Die Fotos sind nach diesem VOrfall von mir alle gelöscht wurden.

Interessant… jetzt hat sie wohl keinen Zugang mehr zum Handy, da es ja gestohlen wurde. Da wird ihr der PIN auch nix mehr helfen.

Fotos erstellen und Fotos veröffentlichen sind zwei verschiedene Dinge. Im Bereich von Schulen, Kitas oder in Seniorenheimen werden immer öfter Handy oder Tablet eingesetzt und von der Fotografie regen Gebrauch gemacht. Sei es, um in Kitas zu dokumentieren, wie lecker das Essen den Kindern schmeckt oder für die Wunddoku in Seniorenheimen (die dort Pflicht ist).
In allen Fällen handelt es sich aber um besonders schützenswerte Daten, was bedeutet, dass das mobile Gerät grundsätzlich verschlüsselt sein sollte und der Zugang mit einem sicheren Passwort bzw. PIN gesichert ist. Ein ungesperrtes Geräte sollte in relativer kurzer Zeit wieder in den gesperrten Modus gehen, usw.
Bei iOS und Android neuerer Generation (war’s ab Android 9?) sind die Geräte per Voreinstellung verschlüsselt. Aber meines Wissens nach nur die internen, vorhandenen Speicher. Setzt man eine extra Speicherkarte ein, ist die erst einmal nicht verschlüsselt, wenn man es nicht explizit wünscht.
Bei Dienstgeräten sehe ich sehr oft das (ziemlich große) Problem, dass die Geräte von mehreren Benutzern benutzt werden und alle das Passwort kennen. Und weil das ja möglichst einfach sein soll, nutzt man einfach zu erratende Passwörter oder welche, die mehrfach (oder schlicht: woüberall) woanders genutzt werden.

„Eigentlich“ sollten Dienstgeräte über die IT-Fuzzis des Unternehmens aus der Ferne gelöscht werden können. Dazu braucht’s entsprechende Software, die sich so einige Unternehmen sparen.

Wenn man Glück hat, dann wird das Handy nur irgendwie zurückgesetzt, alle Daten sind weg und das Gerät wird irgendwo weiter verkauft. Oder es ist nicht rücksetzbar und landet im Müll. Oder jemand schreibt einen Artikel im Kuketz-Forum, weil er dringend Hilfe braucht, weil er das Passwort an seinem Handy vergessen hat und dringend darauf zugreifen will

Die Strafanzeige war schon einmal ein guter Schritt. Die Meldung an Vorgesetzt ebenfalls. Wenn das Unternehmen ein MDM hat, kann das Gerät aus der Ferne gelöscht werden, sobald es irgendwo ein Netz hat).

Ob und in wie weit die Fotos von Kindern Dir zum Verhängnis werden können, kann ich nicht sagen. Ich rate Dir, dich nicht selber zu belasten. Ich sehe hier ein vielschichtiges, komplexes Problem. Was dann vielleicht auch keines ist. Gut gesicherte Geräte gelten z.B. meist nicht als DSGVO-Verstoss. Und das Anfertigen der Fotos kann unter „betriebliche Übung“ fallen, also erlaubt sein. Du handelst dann im Auftrag der Unternehmens und hast dafür das Haftungsprivileg der Arbeitnehmer. Also wenn Du z.B. davon ausgehen kannst, dass z.B. eine Einwilligung für die Fotos schon vom Unternehmen vorliegen müsste, weil’s „immer so war“.

Ich habe beruflich u.a. mit Menschen zu tun, die solche „Pool-Geräte“ nutzen und bekomme jedes mal Instant-Pickel, wenn die mir verraten, dass man sowieso immer das „Standardpasswort“ nimmt (Einrichtungsname, Straße oder sowas).

Vielen lieben Dank euch, dass mir euer Ohr leiht und gute Ratschläge gibt. Mich belastet das total, und ich hoffe das bestensfalls das Handy einfach weitervertickt wurde von einem Jugendlichen.

Der liebe IT Fuzzi meinte er wäre hierfür nicht verantwortlich, verwies mich an den REnter, der die Diensthandys verwaltet und da Renter - warscheinlich 0 Ahnung hat hiervon. Er hat auch letztendlich nix gemacht was Werkseintsellung, Ortung etc angeht. Auf meine Bitte dass der IT Mensch mir die Accountdaten gibt für die Löschung aufm Google Account meinte er da gäbe es keine Daten, das hätte der vorherige Stelleninhaber gemacht und er selbst hätte die DAten nicht. Ja mei, was soll ich denn noch tun damit der Schaden gröstmöglich minimiert werden kann?

auch die Info an die Datenschutzbeauftragen ist nicht durch die Leitung erfolgt. Ich hatte das Gefühl dass das dem Unternehmen egal ist. Oder ggf. war das gut für mich dass die INfo nicht durchging? Ich hab keine Ahnung.

Nein, immer der Ort an dem die „Straftat“ begangen wurde ist entscheidend.

Bin kein Jurist, weiß aber das es ein Gesetzt Namens „Rom2“ gibt - ob das auch für Straftaten gilt?

Und dann noch der Fall Scheidung Becker, aufgrund Ihres amerikanischen Passes konnte die Scheidung in den USA verhandelt werden (wurde damals live übertragen)

Ich fühle mit dir. Mir wurde vor einigen Jahren ebenfalls das Diensthandy gestohlen und kann etwas berichten wie es damit weitergeht.
Zum Datenschutz selbst wurde einiges gesagt. Ich halte es für äußerst unwahrscheinlich, dass ein Taschendieb ein Handy aktueller Generation entsperren kann und an die Daten kommt. Das schaffen nur Behörden mit Spezialsoftware. Wenn sich bisher keiner aufgeregt hat, dass verpixelte Bilder auf Insta waren, wird kaum mehr passieren.

Die Anzeige bei der Polizei musste ich damals selbst erstellen. Das Handy war in meiner Obhut und daher war ich der Geschädigte. Daher alles richtig.
Was der Polizei hilft ist die IMEI. Das ist eine Nummer die ein Handy eindeutig identifiziert und mitgeschickt wird, sobald im Mobilfunk einhebucht wird. Damit lässt es sich orten, selbst wenm es zurückgesetzt wurde oder die SIM getauscht. Auf diese Weise habe ich meins damals zurück bekommen. Die IMEI steht meist auf der Schachtel, wenn Du die noch hast.
Ansonsten, mei materieller Schaden. Mit den Bildern wird kaum was passieren. Der Täter setzt das Handy zurück und vertickt es im Ausland. Die Mühe es zu entsperren machen die sich nicht.

Hallo,

ich würde als erstes den Diebstahl bei der Polizei anzeigen.

Wenn es Dienstgeräte sind würde ich sofort den AG anschreiben und den Diebstahl melden und bitten alles zu unternehmen damit die Daten nicht in dritte Hände fallen. Wenn der AG das nicht macht ist er am Zuge.

Gibt es bei euch eine Regelung zur privaten Nutzung der Geräte? Bei den meisten ist das nicht der Fall sollte man aber immer prüfen.

Bei Dienstgeräten muss der AG aber auch eine Datenschutzfolgeabschätzung haben. Hier kommt es auch noch darauf an welches Handy bzw. welches OS das Handy hat, wenn z.b MS365 Teams läuft braucht man die DSFA.

Wenn die Bilder über eine Cloud z.b. Googlefoto vorhanden sind könntest du versuchen dich mit deinem Google Konto anzumelden und die Bilder oder das Handy zu löschen.

Viel Erfolg

Hallo ihr Lieben, danke für eurer Feedback. Ich denke ich hab bis auf den Fehler die FOtos ohne Einverständnis soweit alles getan um mich irgendwie zu entlasten. Jetzt heisst es positiv denken und abwarten.

Ja. Nochmal: so blöde das auch war mit den Fotos: belaste Dich nicht selber. Und mache Dir keine weiteren Gedanken. So wie es sich anhört, fehlen in Deinem Unternehmen entsprechende Anordnungen und Prozesse. Was dann nicht Deine Schuld ist (ausser, Dir gehört das Unternehmen ;-)).