> MobileDevice

Datenschutz Apps – Trends der Gamescom mal aus Datenschutzsicht

Datenschutz AppsZu den Trends der diesjährigen Gamescom gehört das „Mobile Gaming“, doch die Begriffskombination „Datenschutz Apps“ wird auf der Computer-Messe sicherlich keine für Besucher spürbare Rolle spielen.

Jedes Jahr strömen Hunderttausende nach Köln, um sich die neusten Trends der Computer- und Videospiele-Welt anzuschauen. An diesem Wochenende wird sich alles um Virtual-Reality-Brillen, E-Sport ( zu deutsch „elektronischer Sport“) und um Mobility Gaming, insbesondere Pokémon-Go, drehen. Letzteres beschäftigt uns bereits seit Wochen und zeigt, welchen Einfluss und welche Bedeutung Applikation (kurz Apps) auf bzw. inzwischen für uns haben.

Jeder, der ein Smartphone besitzt, verwendet eine Vielzahl an Apps, dabei sind die Einsatzmöglichkeiten völlig unterschiedlich. Applikation werden unter anderem verwendet, um Nachrichten zu versenden, das Wetter zu erfragen, Spiele zu spielen, „lustige“ Fotos zu erstellen und zu versenden, Leute kennenzulernen, Musik zu hören, die gelaufenen Schritte zu zählen sowie die dadurch verbrannten Kalorien zu errechnen. Eine Frage, die sich allerdings kaum ein Nutzer stellt ist: „Was geschieht mit meinen Daten?“ Worauf hat die App Zugriff und wer erfährt möglicherweise, dass ich heute nur 5000 anstatt meiner gewohnten 15000 Schritte geschafft habe? Was machen die App-Anbieter mit meinen Daten? Alles in allem, spielt Datenschutz bei Apps überhaupt eine Rolle?

Ihr externer Datenschutzbeauftragter berät, welche Datenschutz-Gefahren und -Risiken Apps hervorrufen und welche Rolle „Datenschutz Apps“ dabei spielt. Zudem erfahren Sie mit welchen einfachen Maßnahmen Privatpersonen sowie „verantwortliche Stellen“, wie Unternehmen / Behörden und Vereine, ihre eigenen Daten und die Daten von anderen Personen schützen können.

Zugriffe der Apps auf Daten der Smartphones

Bildschirmfoto 2016-08-18 um 11.48.56

Die Gefahren für den Datenschutz beginnen zumeist bereits bei der Installation. Möchte man eine App installieren, erhält man – je nach Gerätetyp – vor oder nach der Installation den Hinweis, dass die App auf Kontakte, auf die Kamera, auf die gespeicherten Fotos oder ähnliches zugreifen möchte. Haben Sie sich auch schon gefragt, wieso eine App, die Ihnen lediglich das Wetter für die nächsten Tage anzeigen soll, auf Ihre Kontakte oder auf Ihre Medien zugreifen möchte? Man könnte dieses Vorgehen schon fast in die Schublade „unternehmerische Vorratsdatenspeicherung“ stecken!

Bildschirmfoto 2016-08-18 um 12.13.13Diese Zugriffsrechte lassen sich allerdings ganz einfach einschränken. Abhängig vom Gerätetyp kann unter den Einstellungen -> Datenschutz der Zugriff auf die Funktionen / Informationen wie: Kamera, Kalender, Kontakte, Mikrofon, Standort, … eingeschränkt werden. Zu beachten ist allerdings, dass die Benutzerfreundlichkeit und der Komfort für den Nutzer dadurch abnehmen könnten.

Unsichere Apps

Neben den Zugriffsrechten sollte bereits vor der Installation geprüft werden, ob es sich um eine „sichere App“ handelt, wobei vor allem Apps mit unbekannter Herkunft eine große Gefahr darstellen. Nicht selten handelt es sich bei diesen Apps um sogenannte Trojaner-Apps. Für den Nutzer als vermeintliches Spiel oder irgendeine andere „total geniale“ Anwendung getarnt, kann die App nach der Installation eine Vielzahl an Informationen ausspähen. Sie kann nicht nur die Kamera oder das Mikrofon anzapfen, sondern Eingaben mitschneiden, wodurch das Ausspähen von sensiblen Daten, wie Passwörtern oder Kreditkarteninformationen, zum Klacks wird.

pokemon-1574647_640Um sich gegen „gefährliche Apps“ zu schützen empfiehlt es sich ein Anti-Viren-Programm auf dem Smartphones zu installieren. Vernünftige Anti-Viren-Programme sind aus heutiger Sicht selbst für Apple-Produkte durchaus empfehlenswert. Zudem sollten lediglich Apps aus offiziellen App-Stores installiert werden, da diese vorher auf ihre Sicherheit überprüft werden. Hierdurch lässt sich zwar kein hundertprozentiger Schutz erzielen, aber dafür werden die Datenschutz-Risiken zumindest minimiert. Das Lesen von Rezessionen ist sicherlich ebenfalls nicht nachteilig. Des Weiteren sollte darauf geachtet werden, dass die originale Version eine App installiert wird, da Kriminelle immer wieder den Hype um eine App ausnutzen und eigene, oftmals mit einem Trojaner infizierte Apps, anbieten, wie zuletzt bei der App „Pokémon Go“.

Apps als „Datenkraken“

App-Nutzer sollten darauf achten, dass sie nicht nur die Zugriffsrechte begrenzen, sondern Apps nicht dauerhaft mit Informationen füttern.

boot-1015415_640

Das beste Beispiel hierfür sind Fitness-Uhren oder auch Gesundheits-Uhren genannt. Diese Fitness-Uhren können unter anderem die Herzfrequenz, körperliche Betätigungen, Schlaf- und Ruhezeiten aufnehmen, wobei sich die Uhren automatisch mit der dazugehörigen App verbinden. Nutzer dieser Uhren können auf ihrem Smartphone sehen, wie viele Schritte sie an einem Tag gelaufen sind, wie viele Kalorien sie verbrannt haben oder wie viele Stunden sie unruhig geschlafen haben.  Man sollte sich allerdings die Frage stellen, wer diese Informationen noch sehen kann? Wem werden ggf. Rechte an den „eigenen Daten“ respektive personenbezogenen Daten eingeräumt und möchte man dies als Nutzer? Welche Folgen kann das haben?

Ein weiteres Risiko sind Apps, insbesondere Spiele, bei denen man sich mit anderen Nutzerkonten, wie seinem Facebook-Account, anmelden kann, da dadurch eine Vielzahl an Daten mit dem Nutzerprofil verknüpft werden kann. Zudem haben Hacker ein einfaches Spiel, da sie sich über die App auch Zugriff auf das Profil und in der Kette damit ggf. auch auf weitere Apps verschaffen können. Daraus folgt: Nutzen Sie unbedingt sichere und unterschiedliche Passwörter für unterschiedliche Programme, Apps, Anwendungen, Webseiten und sonstige Dienste. Im Hause Ihres Arbeitgebers kann Sie z. B. Ihre IT-Abteilung oder Ihr externer Datenschutzbeauftragter bei einer sinnvollen Passwortzusammensetzung unterstützen.

Besondere Gefahren für „verantwortliche Stellen“ bei „Datenschutz Apps“

Uneingeschränkte Zugriffe und unsichere Applikationen können für „verantwortliche Stellen“ zu viel höheren Risiken und Gefahren führen als bei Privatpersonen, da sie gewöhnlich über mehr sensible Daten, wie Betriebsgeheimnisse und personenbezogene Daten von Kunden, Mitarbeitern und sonstigen Betroffenen verfügen. Es handelt sich daher um einen evtl. geringeren Umfang, dafür aber um tausende, hunderttausende oder gar einige Millionen an betroffenen Personen und Informationen.

Sind auf dem dienstlichen Smartphone Apps installiert, die auf Kontakte zugreifen können, so führt es bereits zu ersten Schwierigkeiten, da es sich schnell um eine Datenübermittlung handelt. Als „verantwortliche Stelle“ sollte mit Hilfe des Datenschutzbeauftragten geprüft werden, wo der Sitz des (potenziellen) Anbieters ist.

Hat der Anbieter seinen Sitz innerhalb der EU/EWR, so können in dem meisten Fällen – nach einer Prüfung durch den Datenschutzbeauftragten (extern / intern) – Verträge zur Auftragsdatenverarbeitung abgeschlossen werden. Bei einer Übermittlung personenbezogener Daten an einen Anbieter außerhalb der EU- / EWR-Staaten ist die Vorgehensweise schwieriger sowie mit mehr Aufwand und mit vielen Risiken verbunden.

Neben den Gefahren durch uneingeschränkte App-Zugriffe stellen Viren, Trojaner und andere Schadprogramme eine große Gefahr für „verantwortliche Stellen“ dar. Stellt man einen derartigen Angriff fest, sollte der Datenschutzbeauftragte umgehend eingeschaltet werden, da geprüft werden muss, welche Daten verloren gegangen sind. Datenpannen, die personenbezogene Kreditkartendaten oder besondere Angaben personenbezogener Daten betreffen, müssen Betroffenen und der Aufsichtsbehörde von der „verantwortliche Stellen“, gemäß § 42 a Bundesdatenschutzgesetz, gemeldet werden. Dies führt neben hohen Bußgeldern zu einem erheblichen Imageverlust.

Um solche Risiken und Gefahren zu minimieren, sollten „verantwortliche Stellen“ Maßnahmen ergreifen und klare Regelungen treffen. Die „sicherste“ Maßnahme wäre die Privatnutzung von dienstlichen Endgeräten zu verbieten. Möchte oder kann eine „verantwortliche Stelle“ die Privatnutzung nicht verbieten, so ist der Einsatz eines Mobile-Device-Management-Systems (MDM) ausdrücklich anzuraten, da die Risiken durch geeignete Maßnahmen, bei denen Sie Ihr Datenschutzbeauftragter fachkundig unterstützt, wie Container-Lösungen oder die Verwendung von White- und Blacklists zumindest reduziert werden können.

Das Thema Datenschutz sollte allerdings nicht nur bei „verantwortlichen Stellen“, die durch die Nutzung von Apps betroffen sind, sondern auch bei App-Entwicklern ganz oben auf der Agenda stehen. Geeignete Datenschutz-Nutzungsbedingungen und definierte Zugriffsberechtigungen, die auf die entwickelte App angepasst sind, wären sowohl aus datenschutzrechtlichen Aspekten als auch aus Imagegründen anzuraten und ein guter erster Ansatz. An fachkundige Unterstützung, in der Form der Datenschutzberatung oder durch einen versierten Datenschutzbeauftragten, sollte keinesfalls gespart werden. In Abhängigkeit zur Art der App und der Daten könnte dies schlimme finanzielle Folgen nach sich ziehen.

Haben Sie weitere Fragen zu „Datenschutz Apps“ bzw. zu konkreten Apps oder benötigen Sie Hilfe bei der Umsetzung von klaren Richtlinien / Betriebsvereinbarungen? Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

BYOD, CYOD und COPE – Der Weg über das Mobile-Device-Management zum Datenschutz

Mobile Device Management für den DatenschutzZahlreiche Unternehmen sehen sich heutzutage mit dem Problem der ausufernden Verwendung privater Endgeräte innerhalb des Unternehmens konfrontiert. Es handelt sich dabei allerdings nicht um ein Problem, dem sich ausschließlich große Firmen oder Konzerne stellen müssen. Auch in Behörden und Körperschaften (sogenannte „öffentliche Stellen“) wird immer mehr „externe Technik“ zum Einsatz gebracht. Am ersten Twitter-Posting des Bundesministerium des Inneren (BMI): „Wir sind etwas spät hier. Wir mussten noch unsere Zuständigkeit prüfen“ aus 05/2016 lässt sich erkennen, dass behördliche Organe vielfach „ein wenig mehr Zeit“ benötigen, damit der Fortschritt Einzug erhält. Aber auch diese öffentlichen Stellen sehen sich vor und nach der Entscheidung über Neuerung mit ähnlichen Barrieren konfrontiert, wie die Privatwirtschaft.

Gerade bei Führungskräften oder beim Social Media Marketing (SMM) z. B. mittels:

  • Facebook
  • Flickr
  • Google Plus
  • LinkedIn
  • Pinterest
  • Tumblr
  • Twitter
  • Vimeo
  • YouTube
  • Xing

wird eine ständige Erreichbarkeit immer wichtiger. Dies wird nicht zuletzt durch aufkommende Hassrede über Einzelpersonen, aber auch behördliche Organisationen und Wirtschaftsunternehmen erkennbar. Mit Hashtags wie #NoHateSpeech oder #HateSpeech wird in ganzen Kampagnen zwar gegen die Hassrede gekämpft, dennoch ist auch hier eine schnelle Erreichbarkeit wichtig, um ggf. auftretende Gefahr frühzeitig von den Betroffenen abwenden zu können.

Mitarbeiter möchten meist ungerne mehrere Smartphones mit sich führen. Ein dienstliches Smartphone spart mit einer Alltnet-Flat nicht nur direkt private Kosten des Mitarbeiters, sondern dient regelmäßig auch noch der Mitarbeitermotivation. Denn das „brandneue Teil“ hätten sich viele vielleicht selbst nicht gekauft und lieber ihre „alte Möhre“ weiter genutzt.

Es ist somit mehr als nachvollziehbar Überlegungen anzustellen, wie IT-Geräte gesetzeskonform sowohl für die dienstliche als auch für die private Nutzung ausgegeben und genutzt werden können.

Durch diese zunehmende Verschmelzung der Grenzen zwischen beruflicher und privater IT-Nutzung ist zu klären, welche und ob sich Möglichkeiten bieten, um die Sicherheit für unternehmensinterne Daten (Betriebsgeheimnisse / personenbezogene Daten) zu gewährleisten. Gleichzeitig sollen auch die Interessen der Mitarbeiter gewahrt werden (Stichwörter: Beschäftigtendatenschutz, Mitarbeiterdatenschutz, Personaldatenschutz).

Im Weiteren soll dargestellt werden, was überhaupt hinter Abkürzungen wie BYOD, CYOD und COPE zu verstehen ist.

BYOD – Bring Your Own Device

 

monitor-66618_640Bei dem Konzept Bring Your Own Device, kurz BYOD, erlaubt der Arbeitgeber seinen Mitarbeitern das berufliche Arbeiten mit privaten Endgeräten. Der Einsatz ist, anderes als bei der Schatten-IT, mit der Geschäftsführung oder sonstigen Entscheidungsträgern (z. B. IT-Leitung oder IT-Abteilung) abgesprochen, wodurch die Datenschutz-Risiken im Vergleich zur Schatten-IT geringer sein können. Dennoch lauern bei BYOD Gefahren, die von den „verantwortlichen Stellen“ nicht ignoriert werden sollten.

Dürfen Arbeitnehmer ihre eigenen mobilen Endgeräte verwenden, auch bekannt unter „Consumerization“, zu deutsch „Konsumerisierung“, dann ist eine Trennung zwischen privaten und dienstlichen Daten kaum möglich. Durch die fehlende Unterscheidung haben „verantwortlichen Stellen“ zum einen das Problem, dass sie die technischen und organisatorischen Maßnahmen, gemäß § 9 Satz 1 Bundesdatenschutzgesetz (BDSG), gar nicht bzw. mit einem erheblichen Aufwand erfüllen können. Zudem darf der Arbeitgeber i. d. R. nicht auf die Endgeräte zugreifen, wodurch weder der Umgang mit personenbezogenen Daten noch die Einhaltung anderer rechtlicher oder unternehmensinterner Vorschriften geprüft werden darf.

BYOD kann nicht zu Verletzungen des Datenschutzrechts führen, sondern auch das Risiko vor Urheberrechtsverletzungen erhöhen. Verwendet ein Mitarbeiter eine nicht ordnungsgemäß lizensierte Software zur Erfüllung der dienstlichen bzw. arbeitsvertraglichen Aufgaben und kommt dies dem Unternehmen zu Gute, so könnten Ansprüche gegen das Unternehmen und damit die Geschäftsleitung gemäß § 99 Urhebergesetz bestehen. Diese und weitere Risiken erfordern deshalb klare Regelungen, um BYOD möglichst rechtkonform zu gestalten.

Ein weiteres Problem ist, dass die privaten Endgeräte nicht ausreichend geschützt sein könnten und das Risiko vor Datenpannen, durch Verlust eines unverschlüsselten Gerätes oder eines Hackerangriffs, steigt. Aus diesem Grund ist der Einsatz einer Mobile-Device-Management-Software dringendst anzuraten.

Vorteile Nachteile
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Höhere Mitarbeiterzufriedenheit
  • Kostenersparnis für den Arbeitgeber
  • Der Arbeitgeber darf nicht auf die Geräte zugreifen
  • Datenschutzrechtliche und andere rechtliche Risiken
  • Höheres Risiko vor Datenverlust
  • Hoher Aufwand und hohe Kosten für Mobile-Device-Management-System (MDM), Richtlinien, Regelungen etc.
  • Viele Geräte von unterschiedlichen Herstellern

CYOD – Choose Your Own Device

selection-443127_640Bei Choose Your Own Device, kurz CYOD, stellt der Arbeitgeber eine Auswahl an Geräten, zwischen denen der Arbeitnehmer wählen darf, zur Verfügung. Anders als bei Bring Your Own Device gehören die Geräte somit dem Arbeitgeber, wodurch dieser, wenn er eine Privatnutzung verbietet, auf die Endgeräte zugreifen darf. Eine dauerhafte Überwachung der mobilen Endgeräte, zum Beispiel mittels Spyware, ist allerdings trotz Verbot untersagt. Eine erlaubte Privatnutzung führt zur Vermischung von privaten und dienstlichen Daten, die einige Risiken, wie bereits im Rahmen von BYOD erläutert, mit sich bringt. Macht eine „verantwortliche Stelle“ von diesem Konzept Gebrauch oder strebt CYOD an, so ist das Aufstellen von klaren Regelungen und das Einführen eines MDM-Systems zu empfehlen.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung

COPE – Corporate-Owned, Personally Enabled

questions-1014060_640Bei dem dritten Konzept Corporate-Owned, Personally Enabled, kurz COPE, stellt ebenfalls die „verantwortliche Stelle“ eine Auswahl an Endgeräten zur Verfügung. Eine Privatnutzung der vorkonfigurierten Geräte ist grundsätzlich gestattet, wobei der Mitarbeiter die Einrichtung und die Wartung des Gerätes zum Teil eigenverantwortlich durchführt.

Vorteile Nachteile
  • Die Geräte gehören der „verantwortlichen Stelle“
  • Flexibles Arbeiten (auch von Zuhause) möglich
  • Mitarbeiter können sich ein Gerät aussuchen
  • Höhere Mitarbeiterzufriedenheit, da Privatnutzung erlaubt
  • Kostenersparnis der „verantwortlichen Stelle“ durch eigenverantwortliche Wartung durch den Mitarbeiter
  • Bei erlaubter Privatnutzung darf der Arbeitgeber nicht auf die Geräte zugreifen
  • „Verantwortliche Stelle“ trägt die Kosten für die Anschaffung
  • Erhöhtes Risiko vor Datenverlust bzw. –pannen, da kein Support und keine Wartung durch die IT-Abteilung erfolgt

Fazit

Eine heimliche Nutzung privater Geräte kann erhebliche Sicherheitsrisiken mit sich bringen und die Sicherheit des Unternehmensnetzwerks gefährden. Möchten Sie mehr über die Auswirkungen einer ungeregelten Nutzung privater Endgeräte erfahren, dann lesen Sie doch unseren Beitrag „Schatten-IT – Steht der Datenschutz im Schatten der Fachabteilungen?“.

Ist die Nutzung der Endgeräte gestattet, allerdings nicht ausreichend geregelt, führt dies ebenfalls zu Problemen und Risiken. Der Integrationsaufwand für eine Vielzahl von Gerätetypen, wie bei BYOD üblich, kann schnell unüberschaubar werden – vom laufenden Support und Updates ganz zu schweigen. Hier sind COPE oder auch CYOD im Zweifel die bessere Wahl, da sich von vornherein ein Durcheinander in der Endgeräte- und Betriebssystemlandschaft ausschließen oder zumindest einschränken lässt. Ein Problem, das alle drei Konzepte teilen, ist die zunehmend verschwimmende Grenze zwischen privater und geschäftlicher Verwendung der Endgeräte. Aus diesem Grund sollte das Unternehmen den Umfang der privaten Nutzung vorab genau festlegen, um späteren Problemen aus dem Weg zu gehen.

Bei der Konfiguration der Geräte sollten „verantwortliche Stellen“ die Installation einer MDM-Software in Betracht ziehen. Mit dem MDM-Programm sind zwar zusätzliche Kosten verbunden, allerdings können zahlreiche Risiken, die zu einem späteren Zeitpunkt zu wesentlich höheren Kosten führen können, minimiert werden. Die Software ermöglicht zum Beispiel den Einsatz von White- und Backlists, wodurch die Mitarbeiter keine Software, die verboten ist (Blacklist) oder die nicht explizit erlaubt ist (Whitelist), installieren können, oder die Fernlöschung bei Verlust des Gerätes. Bei einer erlaubten Privatnutzung sollte die IT-Abteilung bei der Konfiguration zudem auf eine Container-Lösung zurückgreifen, damit die Vermischung von privaten und dienstlichen Daten vermieden wird.

Sind auch Sie auf der Suche nach einem neuen Konzept für Ihr Unternehmen, um die Verwendung von mobilen Endgeräten zu verbessern oder möchten Sie sich im Datenschutz dauerhaft besser positionieren? Holen Sie sich Unterstützung durch einen versierten externen Datenschutzbeauftragten. Nehmen Sie bequem Kontakt zu uns auf oder fordern Sie direkt ein kostenloses Angebot zum Datenschutz an.

Nützliche weitere Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.