9 Tipps für mobile Apps ohne Datenpannen

Eberhard Häcker • 20. Januar 2023

Der kleine feine Datentipp

Lesezeit: ca. 5 Minuten

Mitarbeiter mit Tablet, Smartphone und Kaffeetasse

Mobile Geräte im Einsatz


So gut wie jeder und jede Beschäftigte nutzt Smartphones, Tablets und ähnliche mobile Geräte. Und viele nutzen ihre Devices regelmäßig oder zumindest gelegentlich auch geschäftlich. So weit, so normal. Allerdings: Ist das Handy oder Tablet mit der betrieblichen IT verknüpft, kann es auf dort liegende Daten und Informationen mobil zugreifen oder Daten an die Apps übertragen. Und das rund um die Uhr.




Erhöhte Risiken durch mobiles Arbeiten


So können etwa Mails, Kontakte, Termine und Aufgaben von Outlook auf das mobile Gerät weitergeleitet werden. Microsoft stellt hierfür die Lizenzen zur Verfügung, so dass das lizenzrechtlich erlaubt ist. Aber haben Sie im Blick, welche Risiken damit verbunden sind? Klar: Einerseits sollen Beschäftigte überall arbeiten können, auch mobil und im Homeoffice. Möglichst viele Geräte sollen also auch mobil genutzt werden können. Hat Ihr Betrieb dafür ein Mobile Device Management (MDM), lassen sich Regeln voreinstellen und damit viele Risiken minimieren. Sind jedoch Geräte im Einsatz, deren Zugriff auf Appstores nicht zentral unterbunden wird, reicht das MDM nicht aus. Dann können Daten in mobilen Anwendungen „Füßchen“ bekommen und mobiler werden, als Informationssicherheit und Datenschutz erlauben.




Es geht nicht ohne Regeln


Daher müssen Vorschriften aufgestellt und durchgesetzt werden, die den Umgang mit mobilen Apps technisch und organisatorisch so regeln, dass die Risiken durch Datenabfluss und Datenschutzverletzungen minimiert werden. Die besten Regelungen sind technischer Art, da sie von Anwendern nicht umgangen werden können. Wo das nicht geht, sollten Sie organisatorische Maßnahmen und Folgen bei Nichtbeachten bestimmen. Dazu gehört beispielsweise, unter welchen Umständen welche App installiert werden darf. Oder wie mit Metadaten umzugehen ist, die bei Apps regelmäßig entstehen. Sind die Anwender nicht geschult oder unvorsichtig, können damit nämlich Interna und Personendaten nahezu ungeschützt weitergegeben werden.




Nervige Abfragen wegklicken


Sind mobile Apps im Einsatz, benötigen sie bestimmte Berechtigungen, die normalerweise per Klick freigegeben werden. Kennen sich die Anwender nicht aus, willigen sie aus Bequemlichkeit ein oder verstehen sie nicht, was sie durch ihren Klick auslösen, kommt es schnell zu Datenpannen. Geben Apps Infos an unbefugte Dritte weiter, möglicherweise noch in ein DSGVO-Drittland wie die USA, zählt das gleich als doppelter  Datenschutzverstoß. Dabei kann es sich um Daten wie Standort, Fotos, Kontakte, Termine, private Daten oder Metadaten handeln. Manche Apps können sogar auf dem Gerät gespeicherte Daten verändern oder löschen.




Weiterverarbeitung mit KI


Andere Programme verarbeiten Daten mit Hilfe künstlicher Intelligenz, beispielsweise der Microsoft-Dienst Viva. Der wertet beispielsweise Mails aus und gibt Empfehlungen, etwa, wie mit einem bestimmten Kunden weiter verfahren werden soll. Dafür fehlt es in der Regel an der Rechtsgrundlage. Dass die Daten in den USA verarbeitet werden, macht die Sache nicht besser – und bedeutet regelmäßig einen Datenschutzverstoß.




Wenn Wetterapps Profile erlauben


Mit gängigen Wetterapps werden mit jedem Zugriff Standort und Art der Abfrage übermittelt, unter Umständen an mehr als tausend Server weltweit. So entstehen Profile, die schnell recht genaue Vorhersagen erlauben. Wer beispielsweise jeden Morgen zu einer bestimmten Uhrzeit nach der Temperatur schaut, geht mit gewisser Wahrscheinlichkeit joggen oder mit dem Hund spazieren. Kommen die Anfragen von unterschiedlichen Standorten und weisen einen gewissen Rhythmus auf, lässt sich auf Dienstreisen oder private Lebensgewohnheiten schließen. Auf privaten Geräten ist das Sache des Anwenders. Geschieht das jedoch auf einem Dienstgerät, muss sich der Arbeitgeber eines Tages womöglich mit dem Vorwurf auseinandersetzen, mit dem Geschäftshandy seien ohne Einwilligung des Mitarbeiters dessen sensible Daten abgeflossen.




Ohne Regeln geht es nicht


Hier sind klare Regelungen unerlässlich. Sobald es sie gibt, müssen Sie sie im Betrieb bekannt machen, sensibilisieren und gegebenenfalls Kontrollen durchführen, ob die Regeln eingehalten werden.




Datenschutz und drohende Datenpannen


Wann immer personenbezogene Daten unbefugt oder auch unabsichtlich kopiert, vernichtet oder verändert werden, wenn personenbezogene Daten unbefugt offengelegt werden oder unbefugt darauf zugegriffen wird, handelt es sich um eine Verletzung des Schutzes personenbezogener Daten, die nach DSGVO grundsätzlich eine Meldepflicht an die Aufsichtsbehörde für den Datenschutz auslöst. Das gilt zumindest dann, wenn sich nicht ausschließen lässt, dass die Grundrechte und Grundfreiheiten derer in Gefahr geraten, um deren persönliche Daten es geht.




Und was ist mit der Rechenschaftspflicht?


Das betrifft natürlich auch die Rechenschaftspflicht des Verantwortlichen. Haben Sie als Verantwortliche durch geeignete technische und organisatorische Maßnahmen Datenschutzverletzungen vorgebeugt, sind Sie auf der sicheren Seite. Haben Sie das versäumt oder können es nicht nachweisen und die Datenschutz-Aufsichtsbehörde erfährt davon, kann sie ein Bußgeldverfahren einleiten.

Verantwortliche sollten also klare Regelungen für den Umgang mit Software auf Mobilgeräten schaffen und für deren Durchsetzung sorgen, auch, indem sie die betroffenen Nutzer angemessen sensibilisieren.




9 Tipps, um Datenpannen durch Apps auf mobilen Geräten zu vermeiden


  1. Prüfen Sie, wie Apps auf Mobilgeräten bisher gehandhabt werden.

  2. Prüfen Sie, ob es dafür bereits geeignete Regelungen gibt.

  3. Gibt es Regelungen, stellen Sie sicher, dass sie vollständig und aktuell sind.

  4. Schaffen Sie Regeln, wie das Verhalten der Apps überprüft werden kann, beispielsweise indem Sie sich die Datenschutzbestimmungen genau ansehen oder Tests zum Verhalten der Apps durchführen.

  5. Entwickeln Sie geeignete Maßnahmen zur Sensibilisierung zu Gefährdungen beim Umgang mit mobilen Apps, beispielsweise Mitarbeiterschulungen, führen Sie sie durch und dokumentieren Sie die Teilnahme angemessen

  6. Prüfen Sie, ob Sie eine Whitelist für erlaubte Apps einrichten können, und regeln Sie gegebenenfalls, wie die Zulassung weiterer Apps abzulaufen hat.

  7. Soweit dies technisch möglich ist, stellen Sie sicher, dass die Weiterleitung geschützter und personenbezogener Daten auf private Geräte sowie der Zugriff durch Apps auf solche Daten unterbunden wird.

  8. Wenn die Verhinderung der Weiterleitung nicht möglich ist, weisen Sie die Beschäftigten in aller Deutlichkeit auf die Gefährdungen hin. Legen Sie Konsequenzen bei Verstößen fest und setzen Sie sich um.

  9. Wenn ein Mobile Device Management zum Einsatz kommt, stellen Sie sicher, dass es möglichst nicht umgangen werden kann.



Und die Kernfrage: Kann sichergestellt werden, dass personenbezogene und andere schützenswerte Daten auf mobilen Geräten nicht unbefugt nach außen gelangen?


Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Transkription in Videokonferenzen: Datenschutz richtig umsetzen

von Eberhard Häcker 9. April 2025
Transkription im Online-Meeting? Warum das ohne Einwilligung zum Datenschutzproblem wird – und welche Regeln Unternehmen jetzt brauchen.
Laptoptastatur mit leuchtenden Tasten

Webinar-Reihe: IT-Sicherheit & Datenschutz 2025

von Team Datenschutz 4. April 2025
Entdecken Sie unsere Webinar-Reihe 2025 zu IT-Sicherheit & Datenschutz: KI, NIS2 & ISMS verständlich erklärt. Jetzt anmelden & praxisnah profitieren!

10 Tipps für den sicheren Einsatz von Copilot V3.5 in Microsoft 365

von Eberhard Häcker 28. März 2025
Microsoft Copilot V3.5: 10 wichtige Risiken, die Sie kennen müssen, und 10 Tipps für den sicheren Einsatz! Erfahren Sie, wie Sie Copilot optimal nutzen, Datenschutzrisiken vermeiden und Compliance-Anforderungen erfüllen.

Copilot in Edge: Datenschutzrisiken & sichere Nutzung im Unternehmen

von Eberhard Häcker 3. März 2025
Microsoft Copilot in Edge bietet viele Vorteile – birgt aber auch Gefahren für den Datenschutz. Wir zeigen 10 wichtige Risiken beim Einsatz von Copilot in Edge und geben 10 Tipps für mehr Sicherheit.

Spannende Datenschutz-Schulungen mit DATSIPrUse

von Team Datenschutz 17. Februar 2025
Unsere unterhaltsamen Datenschutz-Schulungen bringen Datenschutz mit charmanten Geschichten direkt in Ihr Unternehmen. Der Außerirdische DATSIPrUse und Datenschützer Eberhard erklären Datenschutz spannend und verständlich. Ideal, um Ihr Team spielerisch und praxisnah zu sensibilisieren. Jetzt mehr erfahren!

Der Datenschutz-Adventskalender 2024

von Team Datenschutz 28. November 2024
Die Adventszeit steht vor der Tür! Um die Zeit bis Weihnachten auf unterhaltsame und lehrreiche Weise zu verkürzen, wartet auch in diesem Jahr wieder der Datenschutz-Adventskalender mit brandneuen Abenteuern von DATSIPrUse!

Gelungenes Event: Das war das Datenschutz-Update 2024

von Team Datenschutz 22. November 2024
Auch in diesem Jahr hat das Tagesseminar „Datenschutz-Update“ wieder zahlreiche Interessierte aus Datenschutz und Informationssicherheit zusammengebracht. Mit rund 40 Teilnehmenden fand das virtuelle Event regen Zuspruch und bot spannende Einblicke in die Herausforderungen und Chancen, die 2025 und darüber hinaus auf Unternehmen und Datenschutzbeauftragte zukommen.

Team Datenschutz auf der IDACON 2024

von Team Datenschutz 1. Oktober 2024
Auch in diesem Jahr ist Team Datenschutz wieder bei der 24. IDACON 2024 mit dabei. Vom 5. bis 7. November dreht sich auf dem hybriden Kongress für Datenschutz in München alles um aktuelle Entwicklungen und praxisnahe Lösungen im Datenschutz.
Interieur eines Autos

Sensoren, Aktoren und der Datenschutz

von Eberhard Häcker 23. August 2024
Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.
Mehr anzeigen