Zu den Trends der diesjährigen Gamescom gehört das „Mobile Gaming“, doch die Begriffskombination „Datenschutz Apps“ wird auf der Computer-Messe sicherlich keine für Besucher spürbare Rolle spielen.

Jedes Jahr strömen Hunderttausende nach Köln, um sich die neusten Trends der Computer- und Videospiele-Welt anzuschauen. An diesem Wochenende wird sich alles um Virtual-Reality-Brillen, E-Sport ( zu deutsch „elektronischer Sport“) und um Mobility Gaming, insbesondere Pokémon-Go, drehen. Letzteres beschäftigt uns bereits seit Wochen und zeigt, welchen Einfluss und welche Bedeutung Applikation (kurz Apps) auf bzw. inzwischen für uns haben.

Jeder, der ein Smartphone besitzt, verwendet eine Vielzahl an Apps, dabei sind die Einsatzmöglichkeiten völlig unterschiedlich. Applikation werden unter anderem verwendet, um Nachrichten zu versenden, das Wetter zu erfragen, Spiele zu spielen, „lustige“ Fotos zu erstellen und zu versenden, Leute kennenzulernen, Musik zu hören, die gelaufenen Schritte zu zählen sowie die dadurch verbrannten Kalorien zu errechnen. Eine Frage, die sich allerdings kaum ein Nutzer stellt ist: „Was geschieht mit meinen Daten?“ Worauf hat die App Zugriff und wer erfährt möglicherweise, dass ich heute nur 5000 anstatt meiner gewohnten 15000 Schritte geschafft habe? Was machen die App-Anbieter mit meinen Daten? Alles in allem, spielt Datenschutz bei Apps überhaupt eine Rolle?

Ihr externer Datenschutzbeauftragter berät, welche Datenschutz-Gefahren und -Risiken Apps hervorrufen und welche Rolle „Datenschutz Apps“ dabei spielt. Zudem erfahren Sie mit welchen einfachen Maßnahmen Privatpersonen sowie „verantwortliche Stellen“, wie Unternehmen / Behörden und Vereine, ihre eigenen Daten und die Daten von anderen Personen schützen können.

Zugriffe der Apps auf Daten der Smartphones

Die Gefahren für den Datenschutz beginnen zumeist bereits bei der Installation. Möchte man eine App installieren, erhält man – je nach Gerätetyp – vor oder nach der Installation den Hinweis, dass die App auf Kontakte, auf die Kamera, auf die gespeicherten Fotos oder ähnliches zugreifen möchte. Haben Sie sich auch schon gefragt, wieso eine App, die Ihnen lediglich das Wetter für die nächsten Tage anzeigen soll, auf Ihre Kontakte oder auf Ihre Medien zugreifen möchte? Man könnte dieses Vorgehen schon fast in die Schublade „unternehmerische Vorratsdatenspeicherung“ stecken!

Diese Zugriffsrechte lassen sich allerdings ganz einfach einschränken. Abhängig vom Gerätetyp kann unter den Einstellungen -> Datenschutz der Zugriff auf die Funktionen / Informationen wie: Kamera, Kalender, Kontakte, Mikrofon, Standort, … eingeschränkt werden. Zu beachten ist allerdings, dass die Benutzerfreundlichkeit und der Komfort für den Nutzer dadurch abnehmen könnten.

Unsichere Apps

Neben den Zugriffsrechten sollte bereits vor der Installation geprüft werden, ob es sich um eine „sichere App“ handelt, wobei vor allem Apps mit unbekannter Herkunft eine große Gefahr darstellen. Nicht selten handelt es sich bei diesen Apps um sogenannte Trojaner-Apps. Für den Nutzer als vermeintliches Spiel oder irgendeine andere „total geniale“ Anwendung getarnt, kann die App nach der Installation eine Vielzahl an Informationen ausspähen. Sie kann nicht nur die Kamera oder das Mikrofon anzapfen, sondern Eingaben mitschneiden, wodurch das Ausspähen von sensiblen Daten, wie Passwörtern oder Kreditkarteninformationen, zum Klacks wird.

Um sich gegen „gefährliche Apps“ zu schützen empfiehlt es sich ein Anti-Viren-Programm auf dem Smartphones zu installieren. Vernünftige Anti-Viren-Programme sind aus heutiger Sicht selbst für Apple-Produkte durchaus empfehlenswert. Zudem sollten lediglich Apps aus offiziellen App-Stores installiert werden, da diese vorher auf ihre Sicherheit überprüft werden. Hierdurch lässt sich zwar kein hundertprozentiger Schutz erzielen, aber dafür werden die Datenschutz-Risiken zumindest minimiert. Das Lesen von Rezessionen ist sicherlich ebenfalls nicht nachteilig. Des Weiteren sollte darauf geachtet werden, dass die originale Version eine App installiert wird, da Kriminelle immer wieder den Hype um eine App ausnutzen und eigene, oftmals mit einem Trojaner infizierte Apps, anbieten, wie zuletzt bei der App „Pokémon Go“.

Apps als „Datenkraken“

App-Nutzer sollten darauf achten, dass sie nicht nur die Zugriffsrechte begrenzen, sondern Apps nicht dauerhaft mit Informationen füttern.
Das beste Beispiel hierfür sind Fitness-Uhren oder auch Gesundheits-Uhren genannt. Diese Fitness-Uhren können unter anderem die Herzfrequenz, körperliche Betätigungen, Schlaf- und Ruhezeiten aufnehmen, wobei sich die Uhren automatisch mit der dazugehörigen App verbinden. Nutzer dieser Uhren können auf ihrem Smartphone sehen, wie viele Schritte sie an einem Tag gelaufen sind, wie viele Kalorien sie verbrannt haben oder wie viele Stunden sie unruhig geschlafen haben.  Man sollte sich allerdings die Frage stellen, wer diese Informationen noch sehen kann? Wem werden ggf. Rechte an den „eigenen Daten“ respektive personenbezogenen Daten eingeräumt und möchte man dies als Nutzer? Welche Folgen kann das haben?

Ein weiteres Risiko sind Apps, insbesondere Spiele, bei denen man sich mit anderen Nutzerkonten, wie seinem Facebook-Account, anmelden kann, da dadurch eine Vielzahl an Daten mit dem Nutzerprofil verknüpft werden kann. Zudem haben Hacker ein einfaches Spiel, da sie sich über die App auch Zugriff auf das Profil und in der Kette damit ggf. auch auf weitere Apps verschaffen können. Daraus folgt: Nutzen Sie unbedingt sichere und unterschiedliche Passwörter für unterschiedliche Programme, Apps, Anwendungen, Webseiten und sonstige Dienste.

Besondere Gefahren für „verantwortliche Stellen“ bei „Datenschutz Apps“

Uneingeschränkte Zugriffe und unsichere Applikationen können für „verantwortliche Stellen“ zu viel höheren Risiken und Gefahren führen als bei Privatpersonen, da sie gewöhnlich über mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen. Es handelt sich daher um einen evtl. geringeren Umfang, dafür aber um tausende, hunderttausende oder gar einige Millionen an betroffenen Personen und Informationen.

Sind auf dem dienstlichen Smartphone Apps installiert, die auf Kontakte zugreifen können, so führt es bereits zu ersten Schwierigkeiten, da es sich schnell um eine Datenübermittlung handelt. Als „verantwortliche Stelle“ sollte mit Hilfe des Datenschutzbeauftragten geprüft werden, wo der Sitz des (potenziellen) Anbieters ist.

Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten (extern / intern) – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Neben den Gefahren durch uneingeschränkte App-Zugriffe stellen Viren, Trojaner und andere Schadprogramme eine große Gefahr für „verantwortliche Stellen“ dar. Stellt man einen derartigen Angriff fest, sollte der Datenschutzbeauftragte umgehend eingeschaltet werden, da geprüft werden muss, welche Daten verloren gegangen sind. Datenpannen, die personenbezogene Kreditkartendaten oder besondere Angaben personenbezogener Daten betreffen, müssen Betroffenen und der Aufsichtsbehörde von der „verantwortliche Stellen“, gemäß § 42 a Bundesdatenschutzgesetz, gemeldet werden. Dies führt neben hohen Bußgeldern zu einem erheblichen Imageverlust.

Um solche Risiken und Gefahren zu minimieren, sollten „verantwortliche Stellen“ Maßnahmen ergreifen und klare Regelungen treffen. Die „sicherste“ Maßnahme wäre die Privatnutzung von dienstlichen Endgeräten zu verbieten. Möchte oder kann eine „verantwortliche Stelle“ die Privatnutzung nicht verbieten, so ist der Einsatz eines Mobile-Device-Management-Systems (MDM) ausdrücklich anzuraten, da die Risiken durch geeignete Maßnahmen, bei denen Sie Ihr Datenschutzbeauftragter fachkundig unterstützt, wie Container-Lösungen oder die Verwendung von White- und Blacklists zumindest reduziert werden können.

Das Thema Datenschutz sollte allerdings nicht nur bei „verantwortlichen Stellen“, die durch die Nutzung von Apps betroffen sind, sondern auch bei App-Entwicklern ganz oben auf der Agenda stehen. Geeignete Datenschutz-Nutzungsbedingungen und definierte Zugriffsberechtigungen, die auf die entwickelte App angepasst sind, wären sowohl aus datenschutzrechtlichen Aspekten als auch aus Imagegründen anzuraten und ein guter erster Ansatz.

Ähnliche Beiträge