9 Tipps für mobile Apps ohne Datenpannen

Eberhard Häcker • 20. Januar 2023

Der kleine feine Datentipp

Lesezeit: ca. 5 Minuten

Mitarbeiter mit Tablet, Smartphone und Kaffeetasse

Mobile Geräte im Einsatz


So gut wie jeder und jede Beschäftigte nutzt Smartphones, Tablets und ähnliche mobile Geräte. Und viele nutzen ihre Devices regelmäßig oder zumindest gelegentlich auch geschäftlich. So weit, so normal. Allerdings: Ist das Handy oder Tablet mit der betrieblichen IT verknüpft, kann es auf dort liegende Daten und Informationen mobil zugreifen oder Daten an die Apps übertragen. Und das rund um die Uhr.




Erhöhte Risiken durch mobiles Arbeiten


So können etwa Mails, Kontakte, Termine und Aufgaben von Outlook auf das mobile Gerät weitergeleitet werden. Microsoft stellt hierfür die Lizenzen zur Verfügung, so dass das lizenzrechtlich erlaubt ist. Aber haben Sie im Blick, welche Risiken damit verbunden sind? Klar: Einerseits sollen Beschäftigte überall arbeiten können, auch mobil und im Homeoffice. Möglichst viele Geräte sollen also auch mobil genutzt werden können. Hat Ihr Betrieb dafür ein Mobile Device Management (MDM), lassen sich Regeln voreinstellen und damit viele Risiken minimieren. Sind jedoch Geräte im Einsatz, deren Zugriff auf Appstores nicht zentral unterbunden wird, reicht das MDM nicht aus. Dann können Daten in mobilen Anwendungen „Füßchen“ bekommen und mobiler werden, als Informationssicherheit und Datenschutz erlauben.




Es geht nicht ohne Regeln


Daher müssen Vorschriften aufgestellt und durchgesetzt werden, die den Umgang mit mobilen Apps technisch und organisatorisch so regeln, dass die Risiken durch Datenabfluss und Datenschutzverletzungen minimiert werden. Die besten Regelungen sind technischer Art, da sie von Anwendern nicht umgangen werden können. Wo das nicht geht, sollten Sie organisatorische Maßnahmen und Folgen bei Nichtbeachten bestimmen. Dazu gehört beispielsweise, unter welchen Umständen welche App installiert werden darf. Oder wie mit Metadaten umzugehen ist, die bei Apps regelmäßig entstehen. Sind die Anwender nicht geschult oder unvorsichtig, können damit nämlich Interna und Personendaten nahezu ungeschützt weitergegeben werden.




Nervige Abfragen wegklicken


Sind mobile Apps im Einsatz, benötigen sie bestimmte Berechtigungen, die normalerweise per Klick freigegeben werden. Kennen sich die Anwender nicht aus, willigen sie aus Bequemlichkeit ein oder verstehen sie nicht, was sie durch ihren Klick auslösen, kommt es schnell zu Datenpannen. Geben Apps Infos an unbefugte Dritte weiter, möglicherweise noch in ein DSGVO-Drittland wie die USA, zählt das gleich als doppelter  Datenschutzverstoß. Dabei kann es sich um Daten wie Standort, Fotos, Kontakte, Termine, private Daten oder Metadaten handeln. Manche Apps können sogar auf dem Gerät gespeicherte Daten verändern oder löschen.




Weiterverarbeitung mit KI


Andere Programme verarbeiten Daten mit Hilfe künstlicher Intelligenz, beispielsweise der Microsoft-Dienst Viva. Der wertet beispielsweise Mails aus und gibt Empfehlungen, etwa, wie mit einem bestimmten Kunden weiter verfahren werden soll. Dafür fehlt es in der Regel an der Rechtsgrundlage. Dass die Daten in den USA verarbeitet werden, macht die Sache nicht besser – und bedeutet regelmäßig einen Datenschutzverstoß.




Wenn Wetterapps Profile erlauben


Mit gängigen Wetterapps werden mit jedem Zugriff Standort und Art der Abfrage übermittelt, unter Umständen an mehr als tausend Server weltweit. So entstehen Profile, die schnell recht genaue Vorhersagen erlauben. Wer beispielsweise jeden Morgen zu einer bestimmten Uhrzeit nach der Temperatur schaut, geht mit gewisser Wahrscheinlichkeit joggen oder mit dem Hund spazieren. Kommen die Anfragen von unterschiedlichen Standorten und weisen einen gewissen Rhythmus auf, lässt sich auf Dienstreisen oder private Lebensgewohnheiten schließen. Auf privaten Geräten ist das Sache des Anwenders. Geschieht das jedoch auf einem Dienstgerät, muss sich der Arbeitgeber eines Tages womöglich mit dem Vorwurf auseinandersetzen, mit dem Geschäftshandy seien ohne Einwilligung des Mitarbeiters dessen sensible Daten abgeflossen.




Ohne Regeln geht es nicht


Hier sind klare Regelungen unerlässlich. Sobald es sie gibt, müssen Sie sie im Betrieb bekannt machen, sensibilisieren und gegebenenfalls Kontrollen durchführen, ob die Regeln eingehalten werden.




Datenschutz und drohende Datenpannen


Wann immer personenbezogene Daten unbefugt oder auch unabsichtlich kopiert, vernichtet oder verändert werden, wenn personenbezogene Daten unbefugt offengelegt werden oder unbefugt darauf zugegriffen wird, handelt es sich um eine Verletzung des Schutzes personenbezogener Daten, die nach DSGVO grundsätzlich eine Meldepflicht an die Aufsichtsbehörde für den Datenschutz auslöst. Das gilt zumindest dann, wenn sich nicht ausschließen lässt, dass die Grundrechte und Grundfreiheiten derer in Gefahr geraten, um deren persönliche Daten es geht.




Und was ist mit der Rechenschaftspflicht?


Das betrifft natürlich auch die Rechenschaftspflicht des Verantwortlichen. Haben Sie als Verantwortliche durch geeignete technische und organisatorische Maßnahmen Datenschutzverletzungen vorgebeugt, sind Sie auf der sicheren Seite. Haben Sie das versäumt oder können es nicht nachweisen und die Datenschutz-Aufsichtsbehörde erfährt davon, kann sie ein Bußgeldverfahren einleiten.

Verantwortliche sollten also klare Regelungen für den Umgang mit Software auf Mobilgeräten schaffen und für deren Durchsetzung sorgen, auch, indem sie die betroffenen Nutzer angemessen sensibilisieren.




9 Tipps, um Datenpannen durch Apps auf mobilen Geräten zu vermeiden


  1. Prüfen Sie, wie Apps auf Mobilgeräten bisher gehandhabt werden.

  2. Prüfen Sie, ob es dafür bereits geeignete Regelungen gibt.

  3. Gibt es Regelungen, stellen Sie sicher, dass sie vollständig und aktuell sind.

  4. Schaffen Sie Regeln, wie das Verhalten der Apps überprüft werden kann, beispielsweise indem Sie sich die Datenschutzbestimmungen genau ansehen oder Tests zum Verhalten der Apps durchführen.

  5. Entwickeln Sie geeignete Maßnahmen zur Sensibilisierung zu Gefährdungen beim Umgang mit mobilen Apps, beispielsweise Mitarbeiterschulungen, führen Sie sie durch und dokumentieren Sie die Teilnahme angemessen

  6. Prüfen Sie, ob Sie eine Whitelist für erlaubte Apps einrichten können, und regeln Sie gegebenenfalls, wie die Zulassung weiterer Apps abzulaufen hat.

  7. Soweit dies technisch möglich ist, stellen Sie sicher, dass die Weiterleitung geschützter und personenbezogener Daten auf private Geräte sowie der Zugriff durch Apps auf solche Daten unterbunden wird.

  8. Wenn die Verhinderung der Weiterleitung nicht möglich ist, weisen Sie die Beschäftigten in aller Deutlichkeit auf die Gefährdungen hin. Legen Sie Konsequenzen bei Verstößen fest und setzen Sie sich um.

  9. Wenn ein Mobile Device Management zum Einsatz kommt, stellen Sie sicher, dass es möglichst nicht umgangen werden kann.



Und die Kernfrage: Kann sichergestellt werden, dass personenbezogene und andere schützenswerte Daten auf mobilen Geräten nicht unbefugt nach außen gelangen?


Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen