App-Nutzung

Personenbezogene Daten werden in Apps verarbeitet

Egal ob privat oder beruflich, auf dem Handy, dem Notebook oder dem Tablet: Apps erfreuen sich bereits seit einigen Jahren steigender Beliebtheit. User nutzen diese als Alltagshelfer, für Rabattcodes oder auch für Sicherheitsanwendungen.

Auch in Unternehmen und anderen Organisationen ist die Verwendung von Apps der entsprechenden Systeme bereits Alltag (E-Mail-Programme, Office-Anwendungen, Datenverarbeitung, aber auch ERP-Systeme als mobile Version in Form einer App).

Viele Nutzer wissen nicht welche Daten verarbeitet werden

So praktisch die Nutzung von Apps auch ist, die „Helfer“ verarbeiten meist auch eine große Menge an Daten. Für den Datenschutz ist es dabei vor allem wichtig zu beachten, welche personenbezogenen Daten hierbei verarbeitet werden und auf welche Art und Weise.

Vor allem wenn Apps im Bereich von Organisationen wie Unternehmen, Schulen, Vereinen, Kindergärten, Kanzleien oder Praxen genutzt werden, muss auf den Datenschutz geachtet werden. Werden also Daten von Betroffenen durch eine App verarbeitet, sollte immer der (externe) Datenschutzbeauftragte zur Beurteilung der Verarbeitung hinzugezogen und alle Vorgaben des Datenschutzes eingehalten werden.

BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – WAS SIND PERSONENBEZOGENE DATEN NACH DS-GVO?

Welche Daten werden in Apps verarbeitet?

Apps können auf verschiedene Weise an personenbezogene Daten gelangen. Entweder der User gibt diese bei der Anmeldung oder Einrichtung der App an, oder Sie werden durch eine bestimmte Aktion (Kauf, Herunterladen, Nutzung usw.) verarbeitet. Die Möglichkeiten Daten – teilweise unerlaubt und ohne Wissen der Betroffenen – abzurufen können beispielsweise sein:

  • IP-Adressen-Nutzung
  • Suchanfragen nach bestimmten Produkten oder Stichworten
  • Abruf von Account Informationen
  • Tracking oder Datenanalyse durch Drittanbieter
  • Tests, Spiele, Umfragen und Gewinnspiele
  • Zugriff auf Standortdaten über die Endgeräte
  • Daten über Schnittstellen wie Bluetooth austauschen und abrufen
  • SMS, E-Mails oder andere Benachrichtigungen versenden oder mitlesen
  • Videochats, Telefonate oder andere Kommunikationen mitverfolgen oder tätigen
  • Missbrauch von Webcams oder anderen Tools
  • Termine des Nutzers abrufen oder bearbeiten

Diese Liste könnte sicher noch umfangreich ergänzt werden.

Dabei können Apps auch unbemerkt auf andere Bereiche des genutzten Gerätes oder in deren Browserverlauf zurückgreifen. Besonders heikel ist dies natürlich auch bei Daten anderer Betroffener, die zum Beispiel in Adressbüchern oder Messenger-Diensten verwendet werden.

Auch bei der Verwendung von unsicheren Apps auf den gleichen Endgeräten wie Firmenanwendungen, kann es zum Abgreifen von Daten kommen. Die Oberflächen sollten daher immer getrennt verwendet werden und alle verwendeten Apps auf die Zugriffsrechte hin geprüft werden.

Unbemerkte Datenverarbeitung als Datenschutzproblem

Durch die Ausspähung der Daten und mögliche unrechtmäßige oder unbemerkte Verarbeitung gerade von personenbezogenen Daten kann leicht ein Problem im Datenschutz entstehen. Dabei geht es vor allem bei Organisationen um die personenbezogenen Daten von unterschiedlichen Betroffenen (z.B. Mitarbeitende, Kunden, Interessenten, Lieferanten).

Für die datenschutzkonforme Verarbeitung von personenbezogenen Daten ist dabei der Verantwortliche zuständig. Das bedeutet auch bei der Verarbeitung von Daten durch eine App, müssen alle Vorgaben im Datenschutz erfüllt werden. Diese müssen dann unter anderem im Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgeführt und dokumentiert werden. Ebenso muss die Verarbeitung in den Informationspflichten für Betroffene berücksichtigt werden.

BLOG-TIPP: DATENSCHUTZ IM BÜRO – TIPPS UND ERSTE SCHRITTE FÜR UNTERNEHMEN IN NRW

Technische und organisatorische Maßnahmen bei der App-Nutzung

Eine besondere Rolle spielen die technischen und organisatorischen Maßnahmen (TOM) im Umgang mit Apps.  Vor allem hier ist der Verlust der Daten zu verhindern. Dies kann durch verschiedene technische Sicherheitsstandards, Einstellungen in den Datenschutzeinstellungen und die Beurteilung der Apps durch einen Fachmann verhindert werden.

Apps auf Endgeräten als Sicherheitslücke

Vor allem, wenn auf beruflich genutzten Endgeräten Apps installiert werden, kann ein Verlust von Daten drohen. Daher sollte darauf geachtet werden, dass nur durch das Unternehmen verifizierte Apps auf geschäftlicher Ebene genutzt und heruntergeladen werden können.

Private und geschäftliche Nutzung sollten daher immer getrennt erfolgen, zum Beispiel durch unterschiedliche Server oder am besten unterschiedliche Geräte. Schwieriger wird es bei der Nutzung von mobilen Endgeräten wie Tablets oder Mobiltelefonen. Hier vermischt sich nicht selten die private und die geschäftliche Nutzung. Daher ist es hier besonders wichtig, entsprechende Sicherheitseinstellungen zu wählen und die Apps vor dem Download genau auf die Datenverarbeitung hin zu prüfen.

Dabei spielen auch geschützte Verbindungen eine große Rolle. Kritisch wird die Nutzung bei mobilen Apps, die unter Umständen einen Fernzugriff ermöglichen. Auch soziale Medien und deren Apps stellen ein Risiko für den Datenschutz dar.

Anbieter prüfen – Updates durchführen

Um sicher zu gehen, dass die Daten DS-GVO-konform verarbeitet werden, sollte immer auch eine Anbieterkontrolle durchgeführt werden. Wo werden die Daten verarbeitet? Durch wen werden die Daten verarbeitet? Wohin werden die Daten weitergegeben? usw.

Ein weiterer wichtiger Baustein sind regelmäßige Updates der Apps. Durch diese werden Sicherheitslücken geschlossen, die durch Hackerangriffe zu großen Problemen führen können.

BLOG-TIPP: MOBILE ENDGERÄTE UND DER DATENSCHUTZ IN ZEITEN ERHÖHTER CYBERANGRIFFE

Sensibilisieren Sie Ihre Mitarbeiter für die Nutzung von Apps, damit diese wissen, welche Gefahren von der Nutzung ausgehen können und was zu beachten ist.

Einstellungen prüfen und anpassen

Wichtig bei der Nutzung von Apps auf Endgeräten, die auch geschäftlich genutzt werden, ist, dass die Einstellungen und Zugriffsrechte der Apps geprüft und ggf. angepasst werden. Apps, die solche Einstellungen nicht zulassen, sollten kritisch bewertet und möglichst nicht verwendet werden.

Vor der Nutzung von Apps sollte auch recherchiert werden, welche Sicherheit für die Daten durch den Betreiber gegeben ist, wo die Daten verarbeitet werden (Standort des Betreibers) und ob der Datenschutz der DS-GVO entspricht.

Apps als Lücke im Datenschutz erkennen

Damit der Datenschutz in einer Organisation ausreichend umgesetzt werden kann, müssen also auch genutzte Apps einer Prüfung und Einschätzung unterzogen werden. Dabei sind eine umfangreiche Erfassung und Beurteilung notwendig aber auch ein Leitfaden, der den Usern dabei hilft, mit den Apps im Alltag umzugehen.

Bei den immer komplexer werdenden Angeboten von Anbietern und „Helfern im Alltag“ sollte dies durch einen Fachmann erfolgen. Der (externe) Datenschutzbeauftragte sollte, sofern er nicht schon aus den Vorgaben der Datenschutzgrundverordnung (DS-GVO) her verpflichtend berufen werden muss, immer bei solch komplexen Themenfeldern eingebunden werden um eine entsprechende Einschätzung vorzunehmen.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten in KölnDüsseldorfSiegen, Bonn, Siegburg und ganz NRWLesen Sie mehr zu unserem individuellen Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Apps als Risiko für den Datenschutz (Teil 1)
Markiert in:             
Anfrage