> Apps Datenschutz

Datenschutz Apps – Trends der Gamescom mal aus Datenschutzsicht

Datenschutz AppsZu den Trends der diesjährigen Gamescom gehört das „Mobile Gaming“, doch die Begriffskombination „Datenschutz Apps“ wird auf der Computer-Messe sicherlich keine für Besucher spürbare Rolle spielen.

Jedes Jahr strömen Hunderttausende nach Köln, um sich die neusten Trends der Computer- und Videospiele-Welt anzuschauen. An diesem Wochenende wird sich alles um Virtual-Reality-Brillen, E-Sport ( zu deutsch „elektronischer Sport“) und um Mobility Gaming, insbesondere Pokémon-Go, drehen. Letzteres beschäftigt uns bereits seit Wochen und zeigt, welchen Einfluss und welche Bedeutung Applikation (kurz Apps) auf bzw. inzwischen für uns haben.

Jeder, der ein Smartphone besitzt, verwendet eine Vielzahl an Apps, dabei sind die Einsatzmöglichkeiten völlig unterschiedlich. Applikation werden unter anderem verwendet, um Nachrichten zu versenden, das Wetter zu erfragen, Spiele zu spielen, „lustige“ Fotos zu erstellen und zu versenden, Leute kennenzulernen, Musik zu hören, die gelaufenen Schritte zu zählen sowie die dadurch verbrannten Kalorien zu errechnen. Eine Frage, die sich allerdings kaum ein Nutzer stellt ist: „Was geschieht mit meinen Daten?“ Worauf hat die App Zugriff und wer erfährt möglicherweise, dass ich heute nur 5000 anstatt meiner gewohnten 15000 Schritte geschafft habe? Was machen die App-Anbieter mit meinen Daten? Alles in allem, spielt Datenschutz bei Apps überhaupt eine Rolle?

Ihr externer Datenschutzbeauftragter berät, welche Datenschutz-Gefahren und -Risiken Apps hervorrufen und welche Rolle „Datenschutz Apps“ dabei spielt. Zudem erfahren Sie mit welchen einfachen Maßnahmen Privatpersonen sowie „verantwortliche Stellen“, wie Unternehmen / Behörden und Vereine, ihre eigenen Daten und die Daten von anderen Personen schützen können.

Zugriffe der Apps auf Daten der Smartphones

Bildschirmfoto 2016-08-18 um 11.48.56

Die Gefahren für den Datenschutz beginnen zumeist bereits bei der Installation. Möchte man eine App installieren, erhält man – je nach Gerätetyp – vor oder nach der Installation den Hinweis, dass die App auf Kontakte, auf die Kamera, auf die gespeicherten Fotos oder ähnliches zugreifen möchte. Haben Sie sich auch schon gefragt, wieso eine App, die Ihnen lediglich das Wetter für die nächsten Tage anzeigen soll, auf Ihre Kontakte oder auf Ihre Medien zugreifen möchte? Man könnte dieses Vorgehen schon fast in die Schublade „unternehmerische Vorratsdatenspeicherung“ stecken!

Bildschirmfoto 2016-08-18 um 12.13.13Diese Zugriffsrechte lassen sich allerdings ganz einfach einschränken. Abhängig vom Gerätetyp kann unter den Einstellungen -> Datenschutz der Zugriff auf die Funktionen / Informationen wie: Kamera, Kalender, Kontakte, Mikrofon, Standort, … eingeschränkt werden. Zu beachten ist allerdings, dass die Benutzerfreundlichkeit und der Komfort für den Nutzer dadurch abnehmen könnten.

Unsichere Apps

Neben den Zugriffsrechten sollte bereits vor der Installation geprüft werden, ob es sich um eine „sichere App“ handelt, wobei vor allem Apps mit unbekannter Herkunft eine große Gefahr darstellen. Nicht selten handelt es sich bei diesen Apps um sogenannte Trojaner-Apps. Für den Nutzer als vermeintliches Spiel oder irgendeine andere „total geniale“ Anwendung getarnt, kann die App nach der Installation eine Vielzahl an Informationen ausspähen. Sie kann nicht nur die Kamera oder das Mikrofon anzapfen, sondern Eingaben mitschneiden, wodurch das Ausspähen von sensiblen Daten, wie Passwörtern oder Kreditkarteninformationen, zum Klacks wird.

pokemon-1574647_640Um sich gegen „gefährliche Apps“ zu schützen empfiehlt es sich ein Anti-Viren-Programm auf dem Smartphones zu installieren. Vernünftige Anti-Viren-Programme sind aus heutiger Sicht selbst für Apple-Produkte durchaus empfehlenswert. Zudem sollten lediglich Apps aus offiziellen App-Stores installiert werden, da diese vorher auf ihre Sicherheit überprüft werden. Hierdurch lässt sich zwar kein hundertprozentiger Schutz erzielen, aber dafür werden die Datenschutz-Risiken zumindest minimiert. Das Lesen von Rezessionen ist sicherlich ebenfalls nicht nachteilig. Des Weiteren sollte darauf geachtet werden, dass die originale Version eine App installiert wird, da Kriminelle immer wieder den Hype um eine App ausnutzen und eigene, oftmals mit einem Trojaner infizierte Apps, anbieten, wie zuletzt bei der App „Pokémon Go“.

Apps als „Datenkraken“

App-Nutzer sollten darauf achten, dass sie nicht nur die Zugriffsrechte begrenzen, sondern Apps nicht dauerhaft mit Informationen füttern.

boot-1015415_640

Das beste Beispiel hierfür sind Fitness-Uhren oder auch Gesundheits-Uhren genannt. Diese Fitness-Uhren können unter anderem die Herzfrequenz, körperliche Betätigungen, Schlaf- und Ruhezeiten aufnehmen, wobei sich die Uhren automatisch mit der dazugehörigen App verbinden. Nutzer dieser Uhren können auf ihrem Smartphone sehen, wie viele Schritte sie an einem Tag gelaufen sind, wie viele Kalorien sie verbrannt haben oder wie viele Stunden sie unruhig geschlafen haben.  Man sollte sich allerdings die Frage stellen, wer diese Informationen noch sehen kann? Wem werden ggf. Rechte an den „eigenen Daten“ respektive personenbezogenen Daten eingeräumt und möchte man dies als Nutzer? Welche Folgen kann das haben?

Ein weiteres Risiko sind Apps, insbesondere Spiele, bei denen man sich mit anderen Nutzerkonten, wie seinem Facebook-Account, anmelden kann, da dadurch eine Vielzahl an Daten mit dem Nutzerprofil verknüpft werden kann. Zudem haben Hacker ein einfaches Spiel, da sie sich über die App auch Zugriff auf das Profil und in der Kette damit ggf. auch auf weitere Apps verschaffen können. Daraus folgt: Nutzen Sie unbedingt sichere und unterschiedliche Passwörter für unterschiedliche Programme, Apps, Anwendungen, Webseiten und sonstige Dienste. Im Hause Ihres Arbeitgebers kann Sie z. B. Ihre IT-Abteilung oder Ihr externer Datenschutzbeauftragter bei einer sinnvollen Passwortzusammensetzung unterstützen.

Besondere Gefahren für „verantwortliche Stellen“ bei „Datenschutz Apps“

Uneingeschränkte Zugriffe und unsichere Applikationen können für „verantwortliche Stellen“ zu viel höheren Risiken und Gefahren führen als bei Privatpersonen, da sie gewöhnlich über mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen. Es handelt sich daher um einen evtl. geringeren Umfang, dafür aber um tausende, hunderttausende oder gar einige Millionen an betroffenen Personen und Informationen.

Sind auf dem dienstlichen Smartphone Apps installiert, die auf Kontakte zugreifen können, so führt es bereits zu ersten Schwierigkeiten, da es sich schnell um eine Datenübermittlung handelt. Als „verantwortliche Stelle“ sollte mit Hilfe des Datenschutzbeauftragten geprüft werden, wo der Sitz des (potenziellen) Anbieters ist.

Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten (extern / intern) – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Neben den Gefahren durch uneingeschränkte App-Zugriffe stellen Viren, Trojaner und andere Schadprogramme eine große Gefahr für „verantwortliche Stellen“ dar. Stellt man einen derartigen Angriff fest, sollte der Datenschutzbeauftragte umgehend eingeschaltet werden, da geprüft werden muss, welche Daten verloren gegangen sind. Datenpannen, die personenbezogene Kreditkartendaten oder besondere Angaben personenbezogener Daten betreffen, müssen Betroffenen und der Aufsichtsbehörde von der „verantwortliche Stellen“, gemäß § 42 a Bundesdatenschutzgesetz, gemeldet werden. Dies führt neben hohen Bußgeldern zu einem erheblichen Imageverlust.

Um solche Risiken und Gefahren zu minimieren, sollten „verantwortliche Stellen“ Maßnahmen ergreifen und klare Regelungen treffen. Die „sicherste“ Maßnahme wäre die Privatnutzung von dienstlichen Endgeräten zu verbieten. Möchte oder kann eine „verantwortliche Stelle“ die Privatnutzung nicht verbieten, so ist der Einsatz eines Mobile-Device-Management-Systems (MDM) ausdrücklich anzuraten, da die Risiken durch geeignete Maßnahmen, bei denen Sie Ihr Datenschutzbeauftragter fachkundig unterstützt, wie Container-Lösungen oder die Verwendung von White- und Blacklists zumindest reduziert werden können.

Das Thema Datenschutz sollte allerdings nicht nur bei „verantwortlichen Stellen“, die durch die Nutzung von Apps betroffen sind, sondern auch bei App-Entwicklern ganz oben auf der Agenda stehen. Geeignete Datenschutz-Nutzungsbedingungen und definierte Zugriffsberechtigungen, die auf die entwickelte App angepasst sind, wären sowohl aus datenschutzrechtlichen Aspekten als auch aus Imagegründen anzuraten und ein guter erster Ansatz. An fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten, sollte keinesfalls gespart werden. In Abhängigkeit zur Art der App und der Daten könnte dies schlimme finanzielle Folgen nach sich ziehen.

Haben Sie weitere Fragen zu „Datenschutz Apps“ bzw. zu konkreten Apps oder benötigen Sie Hilfe bei der Umsetzung von klaren Richtlinien / Betriebsvereinbarungen? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Pokémon Go vs. Sicherheit – Gratis-Apps gefährden Ihren Datenschutz (Bezahlung durch personenbezogene Daten) und Menschen im Straßenverkehr

PokéballDas Software-Unternehmen „Niantic“ verwandelte unsere Straßen, durch die Veröffentlichung der kostenlosen Applikation (App) „Pokémon Go“, über Nacht in große Spielflächen.  „Pokémon Go“ hat zu einem regelrechten Hype geführt, da das Spiel, anderes als in den 90-er Jahren, die Monsterjagd im „Real Life“ (echte Welt) ermöglicht und zudem sowohl für Android als auch Apples iOS-Geräte kostenlos erscheint. Das Spiel lässt die Herzen vieler Gamer auf der ganzen Welt höherschlagen, wobei der Blick durch die rosarote Brille zahlreiche Risiken, insbesondere aus Datenschutzsicht, nicht erkennen lässt. Selten wurde der Eingriff in die Privatsphäre in solch einer Form ignoriert und bejubelt, wie dies derzeit durch die zahlreichen Pokémon-Fans erfolgt. Ihr externer Datenschutzbeauftragter / Datenschutzberater informiert über die Risiken und Gefahren, die von vermeintlich „kostenlosen“ Apps ausgehen.

Wie funktioniert „Pokémon Go“?

Um „Pokémon Go“ spielen zu können, sind nur wenige Schritte erforderlich. Hat man die Applikation im App-Store (iTunes / Google Play Store)  heruntergeladen, so muss man sPikachu mit Hundich lediglich mit seinem Google-Konto anmelden und schon kann der Nutzer auf Monsterjagd gehen. Alternativ besteht die Möglichkeit, dass sich der Nutzer ein Trainer-Club-Konto anlegt, indem er sich auf der Pokémon-Webseite mit seiner E-Mail-Adresse anmeldet. Die Verschmelzung zwischen der realen und der virtuellen Welt gelingt, indem der Nutzer der App den Zugriff auf seinen Standort und die Kamera gewährt. Mittels „Pokémon-Go“ können nicht nur Pokémon gesucht und gefangen werden, sondern Kämpfe zwischen Pokémon-Jägern ausgetragen, Pokémon-Eier ausgebrütet und Items an sogenannten Pokéstops gesammelt werden.

Neben moralischen Fragen, ob beispielsweise das Gelände des Konzentrationslagers Auschwitz-Birkenau als „Spielwiese“ angemessen ist, ereigneten sich auch einige Verkehrsunfälle. Mitten in das Spielgeschehen vertieft, kletterten bereits Gamer über fremde Gartenzäune, was zur Vermutung von Überfällen führte, bei deren vermeintlicher Abwehr sogar Baseballschläger zum Einsatz kamen. Somit könnte die Applikation zu erheblichen (Datenschutz-)Risiken führen.

Gefahren für den Datenschutz bei Pokemon Go?

Die Frage, ob „Pokémon Go“ Risiken für den Datenschutz darstellt, sollte bejaht werden, da die Nutzer dem Hersteller der Software zahlreiche Zugriffsrechte einräumen. Verlangte das Software-Unternehmen „Niantic“ bei der Anmeldung der iPhone-Nutzer zunächst den vollen Zugriff auf die Google-Konten (einschließlich z. B: Google Drive, E-Mail-Account „Gmail“), so räumten sie nach steigender Kritik einen Fehler ein und begrenzten den Zugriff auf die Google-Accounts.

Schenkt man der Aussage des Herstellers, dass es sich um ein Versehen gehandelt hat und die Zugriffsrechte eingeschränkt wurden, Vertrauen, so verbleiben nichtsdestotrotz weitere Risiken. Die Hersteller versuchen sich neben der, für die Funktion der App, notwendigen Zugriffsrechte auf den Standort und die Kamera, weiteren Zugriff auf Medien, Fotos, Dateien und Kontakte zu verschaffen.

Mit jeder Nutzung der App werden die Informationen, die mit dem Google-Konto oder der E-Mail-Adresse verknüpft werden, nach und nach verdichtet, wodurch ganze Benutzerprofile erstellt werden könnten. Der Gamer gibt somit durch die Nutzung von „Pokémon Go“ mit jedem Schritt ein Stück von seiner Privatsphäre auf und trägt aktiv zum „gläsernen Menschen“ bei.

Eine weitere Problematik ist, dass die gesammelten personenbezogenen Daten nicht in Deutschland bzw. in der europäischen Union oder des europäischen Wirtschaftsraums verarbeitet werden, sondern eine Übermittlung an die Server in den USA erfolgt. Laut Gesetzgeber handelt es sich um ein Drittland, dass kein angemessenes Datenschutzniveau besitzt, wobei das Safe-Harbor-Abkommen, auf das sich „Niantic“ in der Datenschutzverpflichtung bei der alternativen Anmeldung mit dem Pokémon-Club-Konto bezieht, ungültig ist.  An dieser Stelle der kleine ergänzende und entscheidende Hinweis für alle, die etwas tiefer in der Materie sind: Das Safe-Harbor-Abkommen wurde bereits im Oktober durch den Europäischen Gerichtshof (EuGH) gekippt.  Gestützt auf dieses Abkommen darf keine Übermittlung mehr stattfinden. Derartige Entwicklungen gelten auch für App-Entwickler / Spiele-Entwickler und dürfen nicht außer Acht gelassen werden.

Zudem wird in der „Pokémon Go“-Datenschutzrichtlinie erläutert, dass sich „Niantic“ das Recht einräumt, personenbezogene Daten ggf. an die „The Pokémon Company“ und die „The Pokémon Company International“ sowie an die Regierung und an die Strafverfolgungsbehörden zu übermitteln.

Können Privatpersonen noch selbst über die Weitergabe ihrer Daten entscheiden, liegt in Unternehmen, Vereinen, Behörden etc., die (Haupt-)Verantwortung für den gesetzeskonformen Umgang mit personenbezogenen Daten bei der “verantwortlichen Stelle“. Stellt eine „verantwortliche Stelle“ dienstliche Mobiltelefone zur privaten Nutzung zur Verfügung oder erlaubt im Rahmen von Bring Your Own Device, kurz BYOD, das Arbeiten mit privaten Smartphones, so könnte diese ebenfalls mit „Pokémon Go“ oder anderen (kostenlosen) Apps konfrontiert werden.

Welche Risiken ergeben sich für „verantwortliche Stellen“?

Erhebt, verarbeitet oder nutzt eine „verantwortliche Stelle“ personenbezogene Daten, so sollte sie sich an das Datenschutzrecht halten. Laut § 4 Abs. 1 BDSG ist eine Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur dann zulässig, wenn eine Rechtsgrundlage oder eine informierte Einwilligung der Betroffenen dies erlauben.

Erlaubt der Arbeitgeber seinen Mitarbeitern die private Nutzung von dienstlichen Mobiltelefonen, so neigen Mitarbeiter häufiger zur Installation von Apps, wie „Pokémon-Go“ oder „WhatsApp“, die sie privat nutzen möchten. Bei einer erlaubten Verwendung von privaten Endgräten zu dienstlichen Zwecken kann ebenfalls nicht ausgeschlossen werden, dass sich „risikobehaftete“ Applikationen auf den Mobiltelefonen befinden. Die Vermischung zwischen Daten und Programmen, die sowohl dienstlicher als auch privater Natur sind, kann zu vielen Problemen und Risiken für „verantwortliche Stellen“ führen.

Befinden sich auf den Endgeräten dienstliche Informationen, wie Kontaktdaten von Kunden und Ansprechpartnern der „verantwortlichen Stelle“, und ein Mitarbeiter erlaubt einer App, wie „Pokémon Go“ den Zugriff auf die Kontaktdaten, so dürfte bereits von einer Datenübermittlung ausgegangen werden. Diese Übermittlung benötigt, wie bereits erläutert, eine Rechtsgrundlage oder eine (freiwillige) informierte Einwilligung, die die Übermittlung erlauben. Zudem müsste im Fall von „Pokémon Go“ sowie im Rahmen von „WhatsApp“ ein angemessenes Datenschutzniveau hergestellt werden, da in beiden Fällen eine Übermittlung an Server in den USA (Drittland) erfolgt. Möchten Sie mehr über die Risiken von „WhatsApp“ erfahren, dann lesen Sie doch unsere Beiträge „Eine Revolution: WhatsApp-Verschlüsselung – mehr Datenschutz bzw. Datensicherheit?“ oder „WhatsApp in Unternehmen – Kommunikationskanal, Marketing-Instrument oder eine Datenschutz-Katastrophe?“.

Wie können sich Privatpersonen und „verantwortliche Stelle“ schützen?

Privatpersonen und „verantwortlichen Stellen“ sollte klar sein, dass insbesondere kostenlose Apps in den meisten Fällen „Datenkraken“ sind, die zwar kein Geld kosten, allerdings bezahlen Nutzer häufig mit ihrer Privatsphäre und ihren persönlichen Daten (sogenannte personenbezogene Daten). Aus diesem Pokémon Go DatenschutzGrund sollte bewusster mit der Installation von Applikationen und mit der Vergabe von Zugriffsrechten umgegangen werden.

Im Fall von „Pokémon Go“ hat der Nutzer die Möglichkeit bereits im Anmeldeverfahren den Zugriff auf Kontakte, Medien und Dateien zu verweigern. Nutzen Sie diese Möglichkeit also!Datenschutz bei Pokemon Go

Zudem können Pokémon-Fans sowohl mit einem Android-Gerät als auch mit einem iPhone Pokémon Go Datenschutzdie Zugriffsrechte derPokemon Go Datenschutz Applikation unter den Datenschutz-Einstellungen einsehen und einschränken. In vielen Fällen verlieren die Apps durch die Einschränkung der Zugriffsrechte allerdings an Komfort und Benutzerfreundlichkeit, wie im Fall von „WhatsApp“. Wird der Zugriff auf die Kontakte verweigert, so können die Rufnummern nicht synchronisiert werden und der „WhatsApp“-Nutzer muss diese gesondert eintragen.

„Verantwortlichen Stellen“ ist dringendst anzuraten, eine Privatnutzung von dienstlichen Mobiltelefonen zu untersagen. Möchte oder kann die „verantwortliche Stelle“ dies nicht, so sollten die Mitarbeiter zum richtigen Umgang mit personenbezogenen Daten geschult und zudem sollten klare Vereinbarungen, mittels Richtlinie oder Betriebsvereinbarung, geschlossen werden. Des Weiteren ist der Einsatz eines Mobile-Device-Management-Systems (MDM), um dienstliche Mobiltelefone besser verwalten zu können und Datenschutz-Risiken –auch bei privater Nutzung- zu minimieren, zu empfehlen.

Wie es mit „Pokémon Go“ weitergeht, bleibt abzuwarten, wobei die Hysterie zur Gamescom im August 2016 nochmals zunehmen könnte.  Viele Pokémon-Fans spekulieren bereits, ob zur Gamescom eine große Bombe in Form von „legendären Pokémon“, die man in „freier Wildbahn“ nicht findet, platzen soll. Sollten sich diese Gerüchte bestätigen, dann würde dies den Kampf der „Pokémon-Trainer“ auf ein neues Level katapultieren und das Thema Datenschutz weiter zurückdrängen.

Möchten Sie mehr zu diesem Thema erfahren? Setzen Sie bereits private Mobiltelefone ein oder erlauben Sie eine dienstliche Nutzung der privaten Endgeräte? Planen Sie sich im Datenschutz dauerhaft besser zu positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten? Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.