9 Tipps für mobile Apps ohne Datenpannen
Der kleine feine Datentipp
Lesezeit: ca. 5 Minuten
Mobile Geräte im Einsatz
So gut wie
jeder und jede Beschäftigte nutzt Smartphones, Tablets und ähnliche
mobile Geräte. Und viele nutzen ihre Devices regelmäßig oder zumindest gelegentlich
auch geschäftlich. So weit, so normal. Allerdings: Ist das Handy oder Tablet mit der
betrieblichen IT verknüpft, kann es auf dort liegende
Daten und Informationen mobil zugreifen oder Daten an die Apps übertragen. Und das rund um die Uhr.
Erhöhte Risiken durch mobiles Arbeiten
So können etwa Mails, Kontakte, Termine und Aufgaben von Outlook auf das mobile Gerät weitergeleitet werden. Microsoft stellt hierfür die Lizenzen zur Verfügung, so dass das lizenzrechtlich erlaubt ist. Aber haben Sie im Blick, welche Risiken damit verbunden sind? Klar: Einerseits sollen Beschäftigte überall arbeiten können, auch mobil und im Homeoffice. Möglichst viele Geräte sollen also auch mobil genutzt werden können. Hat Ihr Betrieb dafür ein Mobile Device Management (MDM), lassen sich Regeln voreinstellen und damit viele Risiken minimieren. Sind jedoch Geräte im Einsatz, deren Zugriff auf Appstores nicht zentral unterbunden wird, reicht das MDM nicht aus. Dann können Daten in mobilen Anwendungen „Füßchen“ bekommen und mobiler werden, als Informationssicherheit und Datenschutz erlauben.
Es geht nicht ohne Regeln
Daher müssen Vorschriften aufgestellt und durchgesetzt werden, die den Umgang mit mobilen Apps technisch und organisatorisch so regeln, dass die Risiken durch Datenabfluss und Datenschutzverletzungen minimiert werden. Die besten Regelungen sind technischer Art, da sie von Anwendern nicht umgangen werden können. Wo das nicht geht, sollten Sie organisatorische Maßnahmen und Folgen bei Nichtbeachten bestimmen. Dazu gehört beispielsweise, unter welchen Umständen welche App installiert werden darf. Oder wie mit Metadaten umzugehen ist, die bei Apps regelmäßig entstehen. Sind die Anwender nicht geschult oder unvorsichtig, können damit nämlich Interna und Personendaten nahezu ungeschützt weitergegeben werden.
Nervige Abfragen wegklicken
Sind mobile Apps im Einsatz, benötigen sie bestimmte Berechtigungen, die normalerweise per Klick freigegeben werden. Kennen sich die Anwender nicht aus, willigen sie aus Bequemlichkeit ein oder verstehen sie nicht, was sie durch ihren Klick auslösen, kommt es schnell zu Datenpannen. Geben Apps Infos an unbefugte Dritte weiter, möglicherweise noch in ein DSGVO-Drittland wie die USA, zählt das gleich als doppelter Datenschutzverstoß. Dabei kann es sich um Daten wie Standort, Fotos, Kontakte, Termine, private Daten oder Metadaten handeln. Manche Apps können sogar auf dem Gerät gespeicherte Daten verändern oder löschen.
Weiterverarbeitung mit KI
Andere Programme verarbeiten Daten mit Hilfe künstlicher Intelligenz, beispielsweise der Microsoft-Dienst Viva. Der wertet beispielsweise Mails aus und gibt Empfehlungen, etwa, wie mit einem bestimmten Kunden weiter verfahren werden soll. Dafür fehlt es in der Regel an der Rechtsgrundlage. Dass die Daten in den USA verarbeitet werden, macht die Sache nicht besser – und bedeutet regelmäßig einen Datenschutzverstoß.
Wenn Wetterapps Profile erlauben
Mit gängigen Wetterapps werden mit jedem Zugriff Standort und Art der Abfrage übermittelt, unter Umständen an mehr als tausend Server weltweit. So entstehen Profile, die schnell recht genaue Vorhersagen erlauben. Wer beispielsweise jeden Morgen zu einer bestimmten Uhrzeit nach der Temperatur schaut, geht mit gewisser Wahrscheinlichkeit joggen oder mit dem Hund spazieren. Kommen die Anfragen von unterschiedlichen Standorten und weisen einen gewissen Rhythmus auf, lässt sich auf Dienstreisen oder private Lebensgewohnheiten schließen. Auf privaten Geräten ist das Sache des Anwenders. Geschieht das jedoch auf einem Dienstgerät, muss sich der Arbeitgeber eines Tages womöglich mit dem Vorwurf auseinandersetzen, mit dem Geschäftshandy seien ohne Einwilligung des Mitarbeiters dessen sensible Daten abgeflossen.
Ohne Regeln geht es nicht
Hier sind klare Regelungen unerlässlich. Sobald es sie gibt, müssen Sie sie
im Betrieb bekannt machen,
sensibilisieren
und gegebenenfalls
Kontrollen
durchführen, ob die Regeln eingehalten werden.
Datenschutz und drohende Datenpannen
Wann immer personenbezogene Daten unbefugt oder auch unabsichtlich kopiert, vernichtet oder verändert werden, wenn personenbezogene Daten unbefugt offengelegt werden oder unbefugt darauf zugegriffen wird, handelt es sich um eine Verletzung des Schutzes personenbezogener Daten, die nach DSGVO grundsätzlich eine Meldepflicht an die Aufsichtsbehörde für den Datenschutz auslöst. Das gilt zumindest dann, wenn sich nicht ausschließen lässt, dass die Grundrechte und Grundfreiheiten derer in Gefahr geraten, um deren persönliche Daten es geht.
Und was ist mit der Rechenschaftspflicht?
Das betrifft natürlich auch die Rechenschaftspflicht des Verantwortlichen. Haben Sie als Verantwortliche durch geeignete technische und organisatorische Maßnahmen Datenschutzverletzungen vorgebeugt, sind Sie auf der sicheren Seite. Haben Sie das versäumt oder können es nicht nachweisen und die Datenschutz-Aufsichtsbehörde erfährt davon, kann sie ein Bußgeldverfahren einleiten.
Verantwortliche sollten also klare Regelungen für den Umgang mit Software auf Mobilgeräten schaffen und für deren Durchsetzung sorgen, auch, indem sie die betroffenen Nutzer angemessen sensibilisieren.
9 Tipps, um Datenpannen durch Apps auf mobilen Geräten zu vermeiden
- Prüfen Sie,
wie Apps auf Mobilgeräten bisher gehandhabt werden.
- Prüfen Sie, ob es dafür bereits
geeignete Regelungen gibt.
- Gibt es
Regelungen, stellen Sie sicher, dass sie
vollständig und aktuell
sind.
- Schaffen Sie
Regeln, wie das Verhalten der Apps überprüft werden kann, beispielsweise indem Sie sich die
Datenschutzbestimmungen
genau ansehen oder
Tests zum Verhalten der Apps durchführen.
- Entwickeln Sie geeignete Maßnahmen zur
Sensibilisierung
zu Gefährdungen beim Umgang mit mobilen Apps, beispielsweise
Mitarbeiterschulungen, führen Sie sie durch und dokumentieren Sie die Teilnahme angemessen
- Prüfen Sie, ob Sie eine
Whitelist für erlaubte Apps einrichten können, und regeln Sie gegebenenfalls, wie die
Zulassung weiterer Apps abzulaufen hat.
- Soweit dies technisch möglich ist, stellen Sie sicher, dass die
Weiterleitung
geschützter und personenbezogener Daten
auf private Geräte sowie der Zugriff durch Apps auf solche Daten
unterbunden
wird.
- Wenn die Verhinderung der Weiterleitung nicht möglich ist, weisen Sie die
Beschäftigten in aller Deutlichkeit auf die
Gefährdungen
hin. Legen Sie
Konsequenzen bei Verstößen fest und setzen Sie sich um.
- Wenn ein
Mobile Device Management zum Einsatz kommt, stellen Sie sicher, dass es möglichst
nicht umgangen werden kann.
Und die Kernfrage: Kann sichergestellt werden, dass personenbezogene und andere schützenswerte Daten auf mobilen Geräten nicht unbefugt nach außen gelangen?
Bei Datenschutz-Fragen Team Datenschutz fragen.
Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Adventskalender 2024
Täglich ein neues Türchen öffnen mit einem brandneuen Datenschutz-Abenteuer!
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz