9 Tipps für mobile Apps ohne Datenpannen

Mobile Geräte im Einsatz

So gut wie jeder und jede Beschäftigte nutzt Smartphones, Tablets und ähnliche mobile Geräte. Und viele nutzen ihre Devices regelmäßig oder zumindest gelegentlich auch geschäftlich. So weit, so normal. Allerdings: Ist das Handy oder Tablet mit der betrieblichen IT verknüpft, kann es auf dort liegende Daten und Informationen mobil zugreifen oder Daten an die Apps übertragen. Und das rund um die Uhr.

Erhöhte Risiken durch mobiles Arbeiten

So können etwa Mails, Kontakte, Termine und Aufgaben von Outlook auf das mobile Gerät weitergeleitet werden. Microsoft stellt hierfür die Lizenzen zur Verfügung, so dass das lizenzrechtlich erlaubt ist. Aber haben Sie im Blick, welche Risiken damit verbunden sind? Klar: Einerseits sollen Beschäftigte überall arbeiten können, auch mobil und im Homeoffice. Möglichst viele Geräte sollen also auch mobil genutzt werden können. Hat Ihr Betrieb dafür ein Mobile Device Management (MDM), lassen sich Regeln voreinstellen und damit viele Risiken minimieren. Sind jedoch Geräte im Einsatz, deren Zugriff auf Appstores nicht zentral unterbunden wird, reicht das MDM nicht aus. Dann können Daten in mobilen Anwendungen „Füßchen“ bekommen und mobiler werden, als Informationssicherheit und Datenschutz erlauben.

Es geht nicht ohne Regeln

Daher müssen Vorschriften aufgestellt und durchgesetzt werden, die den Umgang mit mobilen Apps technisch und organisatorisch so regeln, dass die Risiken durch Datenabfluss und Datenschutzverletzungen minimiert werden. Die besten Regelungen sind technischer Art, da sie von Anwendern nicht umgangen werden können. Wo das nicht geht, sollten Sie organisatorische Maßnahmen und Folgen bei Nichtbeachten bestimmen. Dazu gehört beispielsweise, unter welchen Umständen welche App installiert werden darf. Oder wie mit Metadaten umzugehen ist, die bei Apps regelmäßig entstehen. Sind die Anwender nicht geschult oder unvorsichtig, können damit nämlich Interna und Personendaten nahezu ungeschützt weitergegeben werden.

Nervige Abfragen wegklicken

Sind mobile Apps im Einsatz, benötigen sie bestimmte Berechtigungen, die normalerweise per Klick freigegeben werden. Kennen sich die Anwender nicht aus, willigen sie aus Bequemlichkeit ein oder verstehen sie nicht, was sie durch ihren Klick auslösen, kommt es schnell zu Datenpannen. Geben Apps Infos an unbefugte Dritte weiter, möglicherweise noch in ein DSGVO-Drittland wie die USA, zählt das gleich als doppelter  Datenschutzverstoß. Dabei kann es sich um Daten wie Standort, Fotos, Kontakte, Termine, private Daten oder Metadaten handeln. Manche Apps können sogar auf dem Gerät gespeicherte Daten verändern oder löschen.

Weiterverarbeitung mit KI

Andere Programme verarbeiten Daten mit Hilfe künstlicher Intelligenz, beispielsweise der Microsoft-Dienst Viva. Der wertet beispielsweise Mails aus und gibt Empfehlungen, etwa, wie mit einem bestimmten Kunden weiter verfahren werden soll. Dafür fehlt es in der Regel an der Rechtsgrundlage. Dass die Daten in den USA verarbeitet werden, macht die Sache nicht besser – und bedeutet regelmäßig einen Datenschutzverstoß.

Wenn Wetterapps Profile erlauben

Mit gängigen Wetterapps werden mit jedem Zugriff Standort und Art der Abfrage übermittelt, unter Umständen an mehr als tausend Server weltweit. So entstehen Profile, die schnell recht genaue Vorhersagen erlauben. Wer beispielsweise jeden Morgen zu einer bestimmten Uhrzeit nach der Temperatur schaut, geht mit gewisser Wahrscheinlichkeit joggen oder mit dem Hund spazieren. Kommen die Anfragen von unterschiedlichen Standorten und weisen einen gewissen Rhythmus auf, lässt sich auf Dienstreisen oder private Lebensgewohnheiten schließen. Auf privaten Geräten ist das Sache des Anwenders. Geschieht das jedoch auf einem Dienstgerät, muss sich der Arbeitgeber eines Tages womöglich mit dem Vorwurf auseinandersetzen, mit dem Geschäftshandy seien ohne Einwilligung des Mitarbeiters dessen sensible Daten abgeflossen.

Ohne Regeln geht es nicht

Hier sind klare Regelungen unerlässlich. Sobald es sie gibt, müssen Sie sie im Betrieb bekannt machen, sensibilisieren und gegebenenfalls Kontrollen durchführen, ob die Regeln eingehalten werden.

Datenschutz und drohende Datenpannen

Wann immer personenbezogene Daten unbefugt oder auch unabsichtlich kopiert, vernichtet oder verändert werden, wenn personenbezogene Daten unbefugt offengelegt werden oder unbefugt darauf zugegriffen wird, handelt es sich um eine Verletzung des Schutzes personenbezogener Daten, die nach DSGVO grundsätzlich eine Meldepflicht an die Aufsichtsbehörde für den Datenschutz auslöst. Das gilt zumindest dann, wenn sich nicht ausschließen lässt, dass die Grundrechte und Grundfreiheiten derer in Gefahr geraten, um deren persönliche Daten es geht.

Und was ist mit der Rechenschaftspflicht?

Das betrifft natürlich auch die Rechenschaftspflicht des Verantwortlichen. Haben Sie als Verantwortliche durch geeignete technische und organisatorische Maßnahmen Datenschutzverletzungen vorgebeugt, sind Sie auf der sicheren Seite. Haben Sie das versäumt oder können es nicht nachweisen und die Datenschutz-Aufsichtsbehörde erfährt davon, kann sie ein Bußgeldverfahren einleiten.

Verantwortliche sollten also klare Regelungen für den Umgang mit Software auf Mobilgeräten schaffen und für deren Durchsetzung sorgen, auch, indem sie die betroffenen Nutzer angemessen sensibilisieren.

9 Tipps, um Datenpannen durch Apps auf mobilen Geräten zu vermeiden

1. Prüfen Sie, wie Apps auf Mobilgeräten bisher gehandhabt werden.
   
   
2. Prüfen Sie, ob es dafür bereits geeignete Regelungen gibt.
   
   
3. Gibt es Regelungen, stellen Sie sicher, dass sie vollständig und aktuell sind.
   
   
4. Schaffen Sie Regeln, wie das Verhalten der Apps überprüft werden kann, beispielsweise indem Sie sich die Datenschutzbestimmungen genau ansehen oder Tests zum Verhalten der Apps durchführen.
   
   
5. Entwickeln Sie geeignete Maßnahmen zur Sensibilisierung zu Gefährdungen beim Umgang mit mobilen Apps, beispielsweise Mitarbeiterschulungen, führen Sie sie durch und dokumentieren Sie die Teilnahme angemessen
   
   
6. Prüfen Sie, ob Sie eine Whitelist für erlaubte Apps einrichten können, und regeln Sie gegebenenfalls, wie die Zulassung weiterer Apps abzulaufen hat.
   
   
7. Soweit dies technisch möglich ist, stellen Sie sicher, dass die Weiterleitung geschützter und personenbezogener Daten auf private Geräte sowie der Zugriff durch Apps auf solche Daten unterbunden wird.
   
   
8. Wenn die Verhinderung der Weiterleitung nicht möglich ist, weisen Sie die Beschäftigten in aller Deutlichkeit auf die Gefährdungen hin. Legen Sie Konsequenzen bei Verstößen fest und setzen Sie sich um.
   
   
9. Wenn ein Mobile Device Management zum Einsatz kommt, stellen Sie sicher, dass es möglichst nicht umgangen werden kann.
   

Und die Kernfrage: Kann sichergestellt werden, dass personenbezogene und andere schützenswerte Daten auf mobilen Geräten nicht unbefugt nach außen gelangen?