Mobile Apps auf Datenschutz prüfen

Mobile Apps auf Smartphones, Tablets & Co. sind in Unternehmen Alltag. Haben Sie den Umgang damit geregelt? Wenn Mitarbeitende beliebige Apps herunterladen und installieren können, wird es heikel für Datenschutz, Informationssicherheit und Compliance. Was hilft, ist ein Mobile Device Management mit klaren Regeln. Wir geben Tipps.

Immer im Einsatz: Mobile Apps

Alle mobilen Geräte nutzen Applications (Applikationen, Anwendungen). Allein bei Microsoft 365 kommen eine Menge davon zusammen, die sowohl mobil als auch stationär im Einsatz sein können.

Mit all diesen Apps werden personenbezogene Daten verarbeitet. Damit mobile Anwendungen sicher sind und keine Datenschutzregeln brechen, braucht es technische Lösungen, mit denen sich die mobilen Endgeräte zentral verwalten lassen. Mit einem Mobile Device Management (MDM) können Sie alle technischen und organisatorischen Maßnahmen bündeln, um mobile Endgeräte wie Smartphones und Tablets zu konfigurieren und abzusichern. Zum MDM gibt es einen Server und einen Client auf den mobilen Anwendungen.

Das MDMS (Mobile Device Management System) sollte verhindern, dass auf mobilen Geräten beliebige Software installiert werden kann. Ist also ein funktionierendes MDMS vorhanden, haben Anwender grundsätzlich keine Chance, eigene Apps ohne Erlaubnis (und womöglich ohne Rücksicht auf Sicherheits- und Datenschutzstandards) zu installieren und zu nutzen.

Datenschutz sichern im MDM

Ist ein MDM im Einsatz, sollten Datenschutzbeauftragte in regelmäßigem Kontakt zur IT stehen und in Erfahrung bringen, nach welchen Regeln mobile Anwendungen konfiguriert, gewartet und auf Sicherheit geprüft werden. Verletzungen der Sicherheit führen meist auch zu Datenschutzverletzungen. Datenschutzbeauftragte sollten bei Prüfkriterien und Einstellungen des MDM beteiligt sein, um die Anforderungen des Datenschutzes sicherzustellen.

Nutzung außerhalb des Regelwerks ist leider möglich

Bei Apple gibt es kein klassisches MDM; hier heißt das Apple Business Manager. Unternehmen können ihn grundsätzlich kostenfrei nutzen. Allerdings: Standardmäßig können Anwender damit eigene Apps aus dem Appstore laden und installieren. Die sind zwar von Apple geprüft, aber das ist natürlich keine Garantie, dass alle Anwendungen den Anforderungen an Compliance, Informationssicherheit und Datenschutz Ihres Unternehmens genügen.

Anwender tragen einen Teil der Verantwortung

Damit kann die Organisation nur dann rechtlich und IT-technisch sichere Apps zur Verfügung stellen, wenn es ein geschlossenes Mobile Device Management gibt – oder entsprechende organisatorische Maßnahmen getroffen sind, die eine Verletzung von Regelungen zur Compliance, zur Informationssicherheit und zum Datenschutz unwahrscheinlicher machen. Einen Teil der Verantwortung müssen in diesem Fall die beschäftigten Personen tragen. Dann entscheiden sie selbst, ob eine App den rechtlichen und sicherheitstechnischen Anforderungen des Unternehmens entspricht.

Schulungen sind notwendig

Sollen die Beschäftigten selbst entscheiden, müssen sie zum einen wissen: Nicht alles, was geladen werden kann, entspricht der Compliance und ist technisch sicher. Und sie müssen Kriterien kennen, nach denen sie entscheiden. Die Erfahrung lehrt, dass beides mit entsprechenden Sensibilisierungen und Schulungen funktionieren kann.

Risiken unkontrollierter App-Nutzung

Risiko Nr. 1: Compliance-Verstöße

Mögliche Compliance-Verstöße sind vielfältig. Das beginnt im Einkauf, setzt sich in der Produktion fort, betrifft auch Geheimnis-Verrat und endet häufig vor Gericht. Dass auch mit der nicht kontrollierten Nutzung von Apps Compliance-Verstöße begangen werden können, ist weniger geläufig. Wann immer berechtigte Regeln missachtet werden, kann ein Compliance-Verstoß vorliegen. Beispielsweise, wenn ein Kollege aus dem Vertrieb Details zu seinem neuen Großauftrag mit den WhatsApp-Freunden teilt, obwohl dafür Vertraulichkeit vereinbart wurde.

Risiko Nr. 2: Informationssicherheits-Verstöße

Wenn Apps Namen erheben und weiterleiten, kann dies zu erheblichen Verletzungen der Informationssicherheit führen. Wenn beispielsweise die Assistenz eines Vorstandsvorsitzenden eines börsennotierten Konzerns die Buchungs-App eines Online-Reisebüros nutzt und dort die Namen der Reisenden nicht angemessen geschützt sind, kann bekannt werden, dass besagte Führungskraft immer wieder in einem Hotel in der Nähe eines asiatischen Mitbewerbers übernachtet. Ist möglicherweise eine Geschäftsübernahme geplant? Wird so etwas bekannt, obwohl bei solchen Verhandlungen natürlich Vertraulichkeit gilt, kann der Deal platzen und hohe finanzielle Einbußen nach sich ziehen.

Risiko Nr. 3: Datenschutzverstöße

Natürlich können bei ungeregelter Nutzung von Apps auch massive Verstöße gegen Datenschutzregeln vorkommen. Werden beispielsweise Daten getrackt oder geloggt und damit die Vertraulichkeit verletzt, hängen die möglichen Folgen am Schutzbedarf der Daten. Gesundheitsdaten etwa haben einen hohen Schutzbedarf. Entsprechend drohen hohe Geldbußen.

Nutzung von Apps regeln lohnt sich

Ein MDM einzuführen oder angemessene organisatorische Maßnahmen festzulegen, zahlt sich in der Regel schnell aus. Beides sollten Sie gut planen. Übrigens: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im September 2022 den Mindeststandard für Mobile Device Management auf die Version 2.0 aktualisiert.

"Die Organisation kann nur dann rechtlich und IT-technisch sichere Apps zur Verfügung stellen, wenn es ein geschlossenes MDM gibt – oder entsprechende organisatorische Maßnahmen getroffen sind."

Mobile Device Management und Datenschutz

Mögliche Schutzverletzung

Um eine Verletzung des Datenschutzes handelt es sich immer dann, wenn personenbezogene Daten unbefugt oder auch unabsichtlich kopiert, vernichtet oder verändert werden, wenn personenbezogene Daten unbefugt offengelegt werden oder wenn unbefugt darauf zugegriffen wird. All diese Vorfälle lösen grundsätzlich eine Meldepflicht an die Aufsichtsbehörde für den Datenschutz aus. Das gilt zumindest, wenn mögliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen nicht ausgeschlossen sind.

Rechenschaftspflicht

Hat Ihr Unternehmen durch geeignete technische und organisatorische Maßnahmen dafür gesorgt, dass entsprechende Schutzverletzungen bei App-Nutzung verhindert werden, sind Sie in Sachen Datenschutz auf der sicheren Seite. Haben Sie das versäumt oder können es nicht nachweisen und die Datenschutz-Aufsichtsbehörde erfährt davon, kann diese Maßnahmen bis hin zu einem Bußgeldverfahren einleiten.

MDM einführen und aktuell halten

Verantwortliche in Organisationen sollten also im eigenen Interesse definieren, was in Sachen Compliance, Informationssicherheit und Datenschutz gilt. Richten Sie zeitnah ein MDMS ein, das Regelverletzungen definiert und, soweit technisch möglich, verhindert. Denken Sie daran, die betroffenen Mitarbeitenden angemessen zu sensibilisieren.

"Nicht alles, was geladen werden kann, entspricht der Compliance und ist technisch sicher."

6 Schritte zum datenschutzgerechten
Mobile Device Management

1. Mobile Device Management einführen

Stellen Sie sicher, dass ein Mobile Device Management eingeführt ist – oder die Entscheidung dagegen gut begründet ist.

2. Verant­wortlich­keit kommuni­zieren

 Falls sich das MDM umgehen lässt (beispielsweise im App-Store), stellen Sie sicher, dass die Beschäftigten ihre Verantwortung kennen und akzeptieren.

Sensibilisieren Sie die Beschäftigten für die Gefährdungen beim Umgang mit mobilen Apps. Entwickeln Sie geeignete Maßnahmen wie Schulungen oder Schulungsvideos, führen Sie sie durch und vergessen Sie nicht, sie angemessen zu dokumentieren.

Richten Sie, wenn möglich, eine Whitelist für erlaubte Apps ein und regeln Sie, nach welchen Kriterien weitere Apps aufgenommen werden.

Soweit es technisch möglich ist, unterbinden Sie die Weiterleitung von vertraulichen oder personenbezogenen Daten auf private Geräte sowie den Zugriff auf solche Daten durch Apps.

Wenn die Verhinderung der Weiterleitung nicht möglich ist, weisen Sie beschäftigte Personen in aller Deutlichkeit auf die Gefährdungen hin, setzen Sie Konsequenzen bei Verstößen fest und stellen Sie sicher, dass diese umgesetzt werden.

Und die Kernfrage:

Ist sichergestellt, dass Apps vor dem Einsatz verlässlich auf Compliance, Informationssicherheit und Datenschutz geprüft werden?