Mobile Apps auf Datenschutz prüfen
Der kleine feine Datentipp
Lesezeit: ca. 6 Minuten
Mobile Apps auf Smartphones, Tablets & Co. sind in Unternehmen Alltag. Haben Sie den Umgang damit geregelt? Wenn Mitarbeitende beliebige Apps herunterladen und installieren können, wird es heikel für Datenschutz, Informationssicherheit und Compliance. Was hilft, ist ein Mobile Device Management mit klaren Regeln. Wir geben Tipps.
Immer im Einsatz: Mobile Apps
Alle mobilen Geräte nutzen Applications (Applikationen, Anwendungen). Allein bei Microsoft 365 kommen eine Menge davon zusammen, die sowohl mobil als auch stationär im Einsatz sein können.
Mit all diesen Apps werden personenbezogene Daten verarbeitet. Damit mobile Anwendungen sicher sind und keine Datenschutzregeln brechen, braucht es technische Lösungen, mit denen sich die mobilen Endgeräte zentral verwalten lassen. Mit einem Mobile Device Management (MDM) können Sie alle technischen und organisatorischen Maßnahmen bündeln, um mobile Endgeräte wie Smartphones und Tablets zu konfigurieren und abzusichern. Zum MDM gibt es einen Server und einen Client auf den mobilen Anwendungen.
Das
MDMS (Mobile Device Management System) sollte verhindern, dass auf
mobilen Geräten
beliebige Software installiert werden kann. Ist also ein funktionierendes MDMS vorhanden, haben Anwender grundsätzlich
keine Chance, eigene Apps
ohne Erlaubnis (und womöglich ohne Rücksicht auf Sicherheits- und Datenschutzstandards) zu installieren und zu nutzen.
Datenschutz sichern im MDM
Ist ein MDM im Einsatz, sollten
Datenschutzbeauftragte
in regelmäßigem
Kontakt zur IT stehen und in Erfahrung bringen,
nach welchen Regeln mobile Anwendungen konfiguriert, gewartet und auf Sicherheit geprüft werden. Verletzungen der Sicherheit führen meist auch zu
Datenschutzverletzungen. Datenschutzbeauftragte sollten bei Prüfkriterien und Einstellungen des MDM beteiligt sein, um die
Anforderungen des Datenschutzes sicherzustellen.
Nutzung außerhalb des Regelwerks ist leider möglich
Bei Apple gibt es kein klassisches MDM; hier heißt das
Apple Business Manager. Unternehmen können ihn grundsätzlich kostenfrei nutzen. Allerdings: Standardmäßig können Anwender damit eigene Apps aus dem Appstore laden und installieren. Die sind zwar von Apple geprüft, aber das ist natürlich keine Garantie, dass alle Anwendungen den Anforderungen an
Compliance, Informationssicherheit und Datenschutz Ihres Unternehmens genügen.
Anwender tragen einen Teil der Verantwortung
Damit kann die Organisation nur dann
rechtlich und IT-technisch sichere Apps zur Verfügung stellen, wenn es ein
geschlossenes Mobile Device Management
gibt – oder entsprechende organisatorische Maßnahmen getroffen sind, die eine Verletzung von Regelungen zur
Compliance, zur Informationssicherheit und zum Datenschutz
unwahrscheinlicher machen. Einen Teil der
Verantwortung
müssen in diesem Fall die
beschäftigten Personen tragen. Dann
entscheiden sie selbst, ob eine App den rechtlichen und sicherheitstechnischen Anforderungen des Unternehmens entspricht.
Schulungen sind notwendig
Sollen die Beschäftigten selbst entscheiden, müssen sie zum einen wissen: Nicht alles, was geladen werden kann, entspricht der Compliance und ist technisch sicher. Und sie müssen
Kriterien kennen, nach denen sie entscheiden. Die Erfahrung lehrt, dass beides mit entsprechenden Sensibilisierungen und Schulungen funktionieren kann.
Risiken unkontrollierter App-Nutzung
Risiko Nr. 1: Compliance-Verstöße
Mögliche
Compliance-Verstöße sind vielfältig. Das beginnt im Einkauf, setzt sich in der Produktion fort, betrifft auch Geheimnis-Verrat und endet häufig vor Gericht. Dass auch mit der nicht kontrollierten Nutzung von Apps Compliance-Verstöße begangen werden können, ist weniger geläufig. Wann immer
berechtigte Regeln missachtet werden, kann ein
Compliance-Verstoß vorliegen. Beispielsweise, wenn ein Kollege aus dem Vertrieb Details zu seinem neuen Großauftrag mit den WhatsApp-Freunden teilt, obwohl dafür
Vertraulichkeit vereinbart wurde.
Risiko Nr. 2: Informationssicherheits-Verstöße
Wenn
Apps Namen erheben und weiterleiten, kann dies zu
erheblichen Verletzungen der Informationssicherheit führen. Wenn beispielsweise die Assistenz eines Vorstandsvorsitzenden eines börsennotierten Konzerns die Buchungs-App eines Online-Reisebüros nutzt und dort die Namen der Reisenden nicht angemessen geschützt sind, kann bekannt werden, dass besagte Führungskraft immer wieder in einem Hotel in der Nähe eines asiatischen Mitbewerbers übernachtet. Ist möglicherweise eine
Geschäftsübernahme geplant?
Wird so etwas bekannt, obwohl bei solchen
Verhandlungen natürlich Vertraulichkeit gilt, kann der Deal platzen und hohe finanzielle Einbußen nach sich ziehen.
Risiko Nr. 3: Datenschutzverstöße
Natürlich können bei
ungeregelter Nutzung von Apps auch
massive Verstöße gegen Datenschutzregeln vorkommen. Werden beispielsweise
Daten getrackt oder geloggt und damit die Vertraulichkeit verletzt, hängen die möglichen Folgen am Schutzbedarf der Daten.
Gesundheitsdaten
etwa haben einen
hohen Schutzbedarf. Entsprechend drohen
hohe Geldbußen.
Nutzung von Apps regeln lohnt sich
Ein MDM einzuführen oder angemessene organisatorische Maßnahmen festzulegen, zahlt sich in der Regel schnell aus. Beides sollten Sie gut planen. Übrigens: Das
Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im September 2022 den
Mindeststandard für Mobile Device Management auf die Version 2.0 aktualisiert.
"Die Organisation kann nur dann rechtlich und IT-technisch sichere Apps zur Verfügung stellen, wenn es ein geschlossenes MDM gibt – oder entsprechende organisatorische Maßnahmen getroffen sind."
Mobile Device Management und Datenschutz
Mögliche Schutzverletzung
Um eine
Verletzung des Datenschutzes handelt es sich immer dann, wenn personenbezogene Daten
unbefugt
oder auch
unabsichtlich kopiert, vernichtet oder verändert werden, wenn personenbezogene Daten unbefugt
offengelegt
werden oder wenn unbefugt
darauf zugegriffen wird. All diese Vorfälle lösen
grundsätzlich eine Meldepflicht an die Aufsichtsbehörde für den Datenschutz aus. Das gilt zumindest, wenn
mögliche Risiken für die Grundrechte und Grundfreiheiten der betroffenen Personen nicht ausgeschlossen sind.
Rechenschaftspflicht
Hat Ihr Unternehmen durch geeignete
technische und organisatorische Maßnahmen dafür gesorgt, dass entsprechende
Schutzverletzungen bei App-Nutzung verhindert werden, sind Sie in Sachen Datenschutz auf der sicheren Seite. Haben Sie das versäumt oder können es nicht nachweisen und die
Datenschutz-Aufsichtsbehörde erfährt davon, kann diese Maßnahmen bis hin zu einem Bußgeldverfahren einleiten.
MDM einführen und aktuell halten
Verantwortliche in Organisationen sollten also im eigenen Interesse definieren, was in Sachen Compliance, Informationssicherheit und Datenschutz gilt. Richten Sie zeitnah ein MDMS ein, das
Regelverletzungen definiert und, soweit technisch möglich,
verhindert. Denken Sie daran, die betroffenen Mitarbeitenden angemessen zu sensibilisieren.
"Nicht alles, was geladen werden kann, entspricht der Compliance und ist technisch sicher."
6 Schritte zum datenschutzgerechten
Mobile Device Management
1. Mobile Device Management einführen
Stellen Sie sicher, dass ein
Mobile Device Management eingeführt ist – oder die Entscheidung dagegen
gut begründet ist.
2. Verantwortlichkeit kommunizieren
Falls sich das MDM umgehen lässt (beispielsweise im App-Store), stellen Sie sicher, dass die Beschäftigten ihre Verantwortung kennen und akzeptieren.
3. Sensibilisieren
Sensibilisieren Sie die Beschäftigten für die Gefährdungen beim Umgang mit mobilen Apps. Entwickeln Sie geeignete Maßnahmen wie Schulungen oder Schulungsvideos, führen Sie sie durch und vergessen Sie nicht, sie angemessen zu dokumentieren.
4. Whitelist einrichten
Richten Sie, wenn möglich, eine Whitelist für erlaubte Apps ein und regeln Sie, nach welchen Kriterien weitere Apps aufgenommen werden.
5. Weiterleitung verhindern
Soweit es technisch möglich ist, unterbinden Sie die Weiterleitung von vertraulichen oder personenbezogenen Daten auf private Geräte sowie den Zugriff auf solche Daten durch Apps.
6. Folgen klären
Wenn die Verhinderung der Weiterleitung nicht möglich ist, weisen Sie beschäftigte Personen in aller Deutlichkeit auf die Gefährdungen hin, setzen Sie Konsequenzen bei Verstößen fest und stellen Sie sicher, dass diese umgesetzt werden.
Und die Kernfrage:
Ist sichergestellt, dass Apps vor dem Einsatz verlässlich auf Compliance, Informationssicherheit und Datenschutz geprüft werden?
Bei Datenschutz-Fragen Team Datenschutz fragen.
Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!
BSI-Standards gekonnt umsetzen
mit Team Datenschutz
Passgenaue Analyse. Klare Maßnahmen. Praxisnahe Lösungen.
