9 Tipps für mobile Apps ohne Datenpannen

Eberhard Häcker • 20. Januar 2023

Der kleine feine Datentipp

Lesezeit: ca. 5 Minuten

Mitarbeiter mit Tablet, Smartphone und Kaffeetasse

Mobile Geräte im Einsatz


So gut wie jeder und jede Beschäftigte nutzt Smartphones, Tablets und ähnliche mobile Geräte. Und viele nutzen ihre Devices regelmäßig oder zumindest gelegentlich auch geschäftlich. So weit, so normal. Allerdings: Ist das Handy oder Tablet mit der betrieblichen IT verknüpft, kann es auf dort liegende Daten und Informationen mobil zugreifen oder Daten an die Apps übertragen. Und das rund um die Uhr.




Erhöhte Risiken durch mobiles Arbeiten


So können etwa Mails, Kontakte, Termine und Aufgaben von Outlook auf das mobile Gerät weitergeleitet werden. Microsoft stellt hierfür die Lizenzen zur Verfügung, so dass das lizenzrechtlich erlaubt ist. Aber haben Sie im Blick, welche Risiken damit verbunden sind? Klar: Einerseits sollen Beschäftigte überall arbeiten können, auch mobil und im Homeoffice. Möglichst viele Geräte sollen also auch mobil genutzt werden können. Hat Ihr Betrieb dafür ein Mobile Device Management (MDM), lassen sich Regeln voreinstellen und damit viele Risiken minimieren. Sind jedoch Geräte im Einsatz, deren Zugriff auf Appstores nicht zentral unterbunden wird, reicht das MDM nicht aus. Dann können Daten in mobilen Anwendungen „Füßchen“ bekommen und mobiler werden, als Informationssicherheit und Datenschutz erlauben.




Es geht nicht ohne Regeln


Daher müssen Vorschriften aufgestellt und durchgesetzt werden, die den Umgang mit mobilen Apps technisch und organisatorisch so regeln, dass die Risiken durch Datenabfluss und Datenschutzverletzungen minimiert werden. Die besten Regelungen sind technischer Art, da sie von Anwendern nicht umgangen werden können. Wo das nicht geht, sollten Sie organisatorische Maßnahmen und Folgen bei Nichtbeachten bestimmen. Dazu gehört beispielsweise, unter welchen Umständen welche App installiert werden darf. Oder wie mit Metadaten umzugehen ist, die bei Apps regelmäßig entstehen. Sind die Anwender nicht geschult oder unvorsichtig, können damit nämlich Interna und Personendaten nahezu ungeschützt weitergegeben werden.




Nervige Abfragen wegklicken


Sind mobile Apps im Einsatz, benötigen sie bestimmte Berechtigungen, die normalerweise per Klick freigegeben werden. Kennen sich die Anwender nicht aus, willigen sie aus Bequemlichkeit ein oder verstehen sie nicht, was sie durch ihren Klick auslösen, kommt es schnell zu Datenpannen. Geben Apps Infos an unbefugte Dritte weiter, möglicherweise noch in ein DSGVO-Drittland wie die USA, zählt das gleich als doppelter  Datenschutzverstoß. Dabei kann es sich um Daten wie Standort, Fotos, Kontakte, Termine, private Daten oder Metadaten handeln. Manche Apps können sogar auf dem Gerät gespeicherte Daten verändern oder löschen.




Weiterverarbeitung mit KI


Andere Programme verarbeiten Daten mit Hilfe künstlicher Intelligenz, beispielsweise der Microsoft-Dienst Viva. Der wertet beispielsweise Mails aus und gibt Empfehlungen, etwa, wie mit einem bestimmten Kunden weiter verfahren werden soll. Dafür fehlt es in der Regel an der Rechtsgrundlage. Dass die Daten in den USA verarbeitet werden, macht die Sache nicht besser – und bedeutet regelmäßig einen Datenschutzverstoß.




Wenn Wetterapps Profile erlauben


Mit gängigen Wetterapps werden mit jedem Zugriff Standort und Art der Abfrage übermittelt, unter Umständen an mehr als tausend Server weltweit. So entstehen Profile, die schnell recht genaue Vorhersagen erlauben. Wer beispielsweise jeden Morgen zu einer bestimmten Uhrzeit nach der Temperatur schaut, geht mit gewisser Wahrscheinlichkeit joggen oder mit dem Hund spazieren. Kommen die Anfragen von unterschiedlichen Standorten und weisen einen gewissen Rhythmus auf, lässt sich auf Dienstreisen oder private Lebensgewohnheiten schließen. Auf privaten Geräten ist das Sache des Anwenders. Geschieht das jedoch auf einem Dienstgerät, muss sich der Arbeitgeber eines Tages womöglich mit dem Vorwurf auseinandersetzen, mit dem Geschäftshandy seien ohne Einwilligung des Mitarbeiters dessen sensible Daten abgeflossen.




Ohne Regeln geht es nicht


Hier sind klare Regelungen unerlässlich. Sobald es sie gibt, müssen Sie sie im Betrieb bekannt machen, sensibilisieren und gegebenenfalls Kontrollen durchführen, ob die Regeln eingehalten werden.




Datenschutz und drohende Datenpannen


Wann immer personenbezogene Daten unbefugt oder auch unabsichtlich kopiert, vernichtet oder verändert werden, wenn personenbezogene Daten unbefugt offengelegt werden oder unbefugt darauf zugegriffen wird, handelt es sich um eine Verletzung des Schutzes personenbezogener Daten, die nach DSGVO grundsätzlich eine Meldepflicht an die Aufsichtsbehörde für den Datenschutz auslöst. Das gilt zumindest dann, wenn sich nicht ausschließen lässt, dass die Grundrechte und Grundfreiheiten derer in Gefahr geraten, um deren persönliche Daten es geht.




Und was ist mit der Rechenschaftspflicht?


Das betrifft natürlich auch die Rechenschaftspflicht des Verantwortlichen. Haben Sie als Verantwortliche durch geeignete technische und organisatorische Maßnahmen Datenschutzverletzungen vorgebeugt, sind Sie auf der sicheren Seite. Haben Sie das versäumt oder können es nicht nachweisen und die Datenschutz-Aufsichtsbehörde erfährt davon, kann sie ein Bußgeldverfahren einleiten.

Verantwortliche sollten also klare Regelungen für den Umgang mit Software auf Mobilgeräten schaffen und für deren Durchsetzung sorgen, auch, indem sie die betroffenen Nutzer angemessen sensibilisieren.




9 Tipps, um Datenpannen durch Apps auf mobilen Geräten zu vermeiden


  1. Prüfen Sie, wie Apps auf Mobilgeräten bisher gehandhabt werden.

  2. Prüfen Sie, ob es dafür bereits geeignete Regelungen gibt.

  3. Gibt es Regelungen, stellen Sie sicher, dass sie vollständig und aktuell sind.

  4. Schaffen Sie Regeln, wie das Verhalten der Apps überprüft werden kann, beispielsweise indem Sie sich die Datenschutzbestimmungen genau ansehen oder Tests zum Verhalten der Apps durchführen.

  5. Entwickeln Sie geeignete Maßnahmen zur Sensibilisierung zu Gefährdungen beim Umgang mit mobilen Apps, beispielsweise Mitarbeiterschulungen, führen Sie sie durch und dokumentieren Sie die Teilnahme angemessen

  6. Prüfen Sie, ob Sie eine Whitelist für erlaubte Apps einrichten können, und regeln Sie gegebenenfalls, wie die Zulassung weiterer Apps abzulaufen hat.

  7. Soweit dies technisch möglich ist, stellen Sie sicher, dass die Weiterleitung geschützter und personenbezogener Daten auf private Geräte sowie der Zugriff durch Apps auf solche Daten unterbunden wird.

  8. Wenn die Verhinderung der Weiterleitung nicht möglich ist, weisen Sie die Beschäftigten in aller Deutlichkeit auf die Gefährdungen hin. Legen Sie Konsequenzen bei Verstößen fest und setzen Sie sich um.

  9. Wenn ein Mobile Device Management zum Einsatz kommt, stellen Sie sicher, dass es möglichst nicht umgangen werden kann.



Und die Kernfrage: Kann sichergestellt werden, dass personenbezogene und andere schützenswerte Daten auf mobilen Geräten nicht unbefugt nach außen gelangen?


Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Mitarbeiter vor Bildschirmen

Neuer Termin für das Seminar „KI-Manager“

von Team Datenschutz 31. Januar 2026
Neuer Termin im März: Webinar „KI-Manager – nicht nur für Führungskräfte“. KI-Projekte sicher steuern, DSGVO, AI Act & ISO 42001 praxisnah erklärt.

24. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 23. Dezember 2025
Dieses emotionale Adventstürchen erzählt, wie ein einzelner Weihnachtsgruß eine Kette aus Herzensfreude auslöst – von der Straße über das Büro bis an die Supermarktkasse.

23. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 22. Dezember 2025
Dieses Adventstürchen zeigt, dass Datenschutz nicht nur aus Verboten besteht, sondern auch aus sinnvollen Empfehlungen.

22. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 21. Dezember 2025
Das 22. Adventstürchen erklärt praxisnah, worauf es bei der Informationspflicht zur Videoüberwachung ankommt – und warum Muster nur der Anfang sind.

21. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 20. Dezember 2025
Warum mobile Datenträger besondere Vorsicht erfordern und wie schnell aus Bequemlichkeit ein Datenschutzproblem entsteht.

20. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 19. Dezember 2025
Warum Datenschutz kein Showprogramm für Begehungen ist, sondern gelebter Alltag sein muss – für Sicherheit, Vertraulichkeit und Gesundheit.

19. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 18. Dezember 2025
Wie ein Mitarbeiter einen Sicherheitsvorfall verhindert und damit zum Weihnachtshelden wird.

18. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 17. Dezember 2025
Diese Adventsgeschichte zeigt, wie in einem Krankenhaus durch einfache Maßnahmen Patientendaten geschützt werden konnten und warum Datenschutzbeauftragte manchmal auch Werkzeug brauchen.

17. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 16. Dezember 2025
Dieses DATSIPrUse-Türchen erklärt, warum zu viele Berechtigungen ein Risiko sind, warum Gruppenrichtlinien wichtig sind und wie gemeinsame Ordnung digitale Sicherheit schafft.
Mehr anzeigen