Betrieblich genutzte Smartphones und Datenschutz – so geht’s
- Welche Datensicherheitsrisiken bergen Smartphones für Unternehmen?
- Welche Datenschutzrisiken drohen bei privat genutzten Diensthandys?
- Welche Datenschutzrisiken drohen bei betrieblich genutzten Privathandys?
- Wie können Datenschutzrisiken bei Diensthandys reduziert werden?
- 8 Tipps für mehr Datensicherheit bei mobilen Geräten
- Checkliste: So schützen Sie Ihre Daten bei mobilen Geräten
- Wie nutzen Sie E-Mails sicher mit dem Smartphone?
- Wie schützen Sie Ihre Daten bei WhatsApp-Nutzung?
- Worauf ist bei der mobilen Internetnutzung zu achten?
- Diebstahl des Diensthandys: Wie verhindere ich einen Datenklau?
Welche Datensicherheitsrisiken bergen Smartphones für Unternehmen?
Gewiss schätzen auch Sie als Unternehmer die Annehmlichkeiten und Flexibilität, die Smartphones oder auch andere mobile Geräte wie Tablets in unseren beruflichen Alltag integrieren. Sie ermöglichen uns, an nahezu jedem Ort zu arbeiten, zu kommunizieren und Informationen auszutauschen. Jedoch sollten wir uns der potenziellen Risiken bewusst sein, die mit ihrer Verwendung einhergehen.
Denn bei der Nutzung von Smartphones und Tablets bestehen diverse Sicherheitsrisiken, die vor allem für Unternehmen schwere Konsequenzen nach sich ziehen können. Dazu zählen unter anderem:
- Verlust oder Diebstahl des Geräts.
- Bedrohung durch Malware und Viren, die sensible Daten gefährden können.
- Datenschutzverletzungen aufgrund unsicherer oder unverschlüsselter Kommunikation.
- Gefahr, dass persönliche oder geschäftliche Informationen in die falschen Hände geraten, insbesondere bei der Übertragung über unsichere Netzwerke.
Die rasante Entwicklung der Technologie und Cyberkriminalität führt zur kontinuierlichen Entstehung neuer Bedrohungen. Daher ist es von großer Bedeutung, sich dieser Risiken bewusst zu sein und angemessene Maßnahmen zu ergreifen, um sowohl alle mobilen Geräte als auch die darauf gespeicherten Informationen im Unternehmen zu schützen.
Welche Datenschutzrisiken drohen bei privat genutzten Diensthandys?
Stellen Sie sich vor: Ein Mitarbeiter nutzt sein Firmenhandy auch für private Zwecke. Er speichert private Kontakte im Standardadressbuch, fertigt Fotos und Videos an, nutzt Messenger-Dienste wie WhatsApp, ist in sozialen Medien wie Instagram aktiv und verwendet den Standardkalender sowie die Standardaufgaben-App. Darüber hinaus installiert der Mitarbeiter verschiedene Anwendungen, darunter eine Tagebuch-App, eine App zur Verfolgung von Gesundheits- und Fitnessdaten sowie verschiedene Dating-Apps. Mit folgenden Datenschutzrisiken haben Arbeitnehmer und Unternehmen in solchen Fällen zu kämpfen:
Risiken bei privat genutzten Diensthandys für das Unternehmen
Die Verwendung von geschäftlichen Geräten für private Zwecke bringt für Unternehmen zahlreiche Probleme mit sich. Erstens werden private und potenziell sensible Daten wie persönliche Fotos, Videos und Kommunikationsverläufe auf geschäftlichen Geräten verarbeitet. Wenn Synchronisationen, beispielsweise von Kontakten und Terminen, oder Datensicherungen durchgeführt werden, geschieht dies zusätzlich auf anderen Geräten oder mit anderen Diensten. Im Falle eines Ausscheidens eines Mitarbeiters aus dem Unternehmen können noch lange Zeit später private Nachrichten oder Anrufe auf der Mobilfunknummer des Firmenhandys landen.
Des Weiteren führt diese Nutzungsmethode oft zu Verstößen gegen datenschutzrechtliche Bestimmungen. Die erforderliche Sicherheit kann in der Regel kaum mehr gewährleistet werden, insbesondere wenn Mitarbeiter Apps frei installieren können. Obwohl die App-Store-Anbieter die Apps auf Schadsoftware überprüfen, haben die Apps in der Regel, mit Zustimmung des Mitarbeiters, Zugriff auf Standortdaten, Bilder sowie private und geschäftliche Kontakte. Im schlimmsten Fall können über diese Zugriffsrechte geschäftliche Daten an Dritte weitergegeben werden.
Leider bleiben solche Datenübermittlungen oft unbemerkt und werden erst erkannt, wenn es bereits zu spät ist. Ein häufiges Problem ist die Freigabe des Adressbuchs für soziale Netzwerke oder Messenger-Apps. Dies kann dazu führen, dass gegen mehrere Datenschutzbestimmungen verstoßen wird.
Risiken bei privat genutzten Diensthandys für Arbeitnehmer
Wenn ein Mitarbeiter das Unternehmen verlässt oder dazu gezwungen wird, insbesondere in kurzfristigen Situationen, besteht oft das Risiko eines Datenverlusts. Während Fotos und Videos in der Regel schnell gesichert werden können, gestaltet sich dies bei Terminen, Aufgaben und Kontakten schwieriger, wenn sie in denselben Apps wie geschäftliche Informationen verwaltet werden.
Ein weiteres Risiko liegt im Verlust privater Nachrichten. Wenn das Unternehmen das Mobiltelefon des Mitarbeiters einzieht, sind nicht nur die entsprechenden Nachrichten darauf gespeichert, sondern die Kommunikation erfolgte in der Regel über die geschäftliche Mobilfunknummer. Alle privaten Kontakte und Gruppenchats werden dann über diese Nummer abgewickelt, und die Person ist plötzlich nicht mehr unter dieser Nummer erreichbar.
Sofern der Zugriff auf das Gerät und möglicherweise einzelne Apps nicht angemessen gesichert ist, könnten befugte Mitarbeiter oder Dienstleister des Unternehmens nach der Rückgabe potenziell auf die Daten zugreifen, darunter Chat-Nachrichten, E-Mails, Fotos und Videos, Social-Media-Konten, Benutzerkonten und Informationen in Apps wie Dating-Plattformen, Tagebüchern sowie Gesundheits- und Fitnessdaten.
Welche Datenschutzrisiken drohen bei betrieblich genutzten Privathandys?
Stellen Sie sich nun vor: Ein Mitarbeiter verwendet sein Smartphone, das eigentlich für die Privatnutzung gedacht ist, auch für dienstliche Zwecke, als wäre es ein Firmenhandy. Dabei trägt er dienstliche Termine in seinen persönlichen Kalender ein, sendet und empfängt geschäftliche E-Mails und erstellt gelegentlich Fotos zur Dokumentation. Darüber hinaus nutzt er das Smartphone sowohl bei der Arbeit unterwegs als auch in seinem häuslichen Arbeitszimmer für Telefonate. Gelegentlich kommuniziert er, auf Kundenwunsch hin, über WhatsApp mit Interessenten und Kunden. Folgende Risiken gehen datenschutzrechtlich damit einher:
Risiken bei betrieblich genutzten Privathandys für Unternehmen
Für das Unternehmen ergeben sich aus der betrieblichen Nutzung des privaten Handys zahlreiche Probleme. In der Regel kann das Unternehmen weder die Sicherheitsanforderungen der Datenschutzgesetze gewährleisten, noch die Rechte der betroffenen Personen erfüllen oder eine rechtmäßige Datenübermittlung in Drittländer sicherstellen. In den meisten Fällen fehlen auch die erforderliche Rechtsgrundlage und die Möglichkeit zur Datenlöschung nach Erreichen des Zwecks. Wenn ein Unternehmen als Auftragsverarbeiter agiert, kann der Einsatz privater Mobilgeräte auch gegen die Vereinbarung zur Auftragsverarbeitung verstoßen, insbesondere wenn auf dem privaten Gerät Auftragsdaten verarbeitet werden. Die Verwendung vertraulicher Daten auf dem privaten Gerät, für die möglicherweise eine Verschwiegenheitsvereinbarung (NDA) besteht, kann ebenfalls erhebliche Konsequenzen nach sich ziehen.
Zudem können im Laufe der Zeit umfangreiche Mengen sensibler Daten auf dem privaten Gerät oder in den privaten Nutzerkonten angesammelt werden. Sollte es zu einem Sicherheitsvorfall bei einem der genutzten Anbieter kommen oder sollten die Zugangsdaten eines Mitarbeiters in die Hände Dritter gelangen, könnten diese eventuell auf die Daten zugreifen
Risiken bei betrieblich genutzten Privathandys für Arbeitnehmer
Obwohl der Einsatz eines privaten Geräts für dienstliche Zwecke gut gemeint sein mag, führt dies in der Regel zu Verstößen gegen die Unternehmensrichtlinien. In den meisten Fällen verpflichten Unternehmen ihre Mitarbeiter zur Wahrung der Vertraulichkeit. Diese Verpflichtung umfasst normalerweise die Verarbeitung personenbezogener Daten, die nur auf vorgesehenen Geräten und in genehmigten Anwendungen durchgeführt werden darf. Da private Geräte, Anwendungen (Apps) und Dienste wie Google-Kalender oder iCloud in der Regel weder vorgesehen noch genehmigt sind, stellt die Nutzung einen Verstoß gegen die Vorgaben des Arbeitgebers dar.
Darüber hinaus besteht die Möglichkeit, dass der Mitarbeiter als Verantwortlicher im Sinne der Datenschutzgesetze gilt und somit die gesetzlichen Anforderungen erfüllen muss. Denn die Bestimmungen der EU-Datenschutz-Grundverordnung sind zu beachten, sobald personenbezogene Daten nicht ausschließlich für persönliche und familiäre Zwecke verarbeitet werden. Teilweise kann auch eine Verletzung von Lizenz- und Nutzungsbedingungen vorliegen, da Anbieter von Apps und Diensten in der Regel die gewerbliche Nutzung in privaten oder kostenlosen Tarifen ausschließen.
Wie können Datenschutzrisiken bei Diensthandys reduziert werden?
Zu Beginn sollte zunächst festgestellt werden, ob und in welchem Ausmaß Mobiltelefone verwendet werden und wie viele Personen davon betroffen sind. Ebenso ist es von Bedeutung zu klären, wem das Gerät gehört und zu welchen Zwecken es genutzt wird. Darüber hinaus stehen folgende Lösungen zur Auswahl bereit:
Lösungsansatz 1: klare Trennung
Eine klare Trennung der Daten erfolgt, wenn zwei separate Geräte genutzt werden: ein geschäftliches Gerät für geschäftliche Angelegenheiten und ein privates Gerät für die Privatnutzung. Im Allgemeinen ermöglicht diese Methode eine klare und unkomplizierte Regelung der Sicherheit und Datensicherung. Jedoch wird sie in der Praxis oft ungern gewählt, da die Mitarbeiter zwei Geräte mit sich führen müssen, was in der Regel auch zu höheren Kosten führt.
Lösungsansatz 2: Technische Trennung mit Mobile-Device-Management
Eine Alternative zur Verwendung von zwei Geräten besteht in der technischen Trennung der Daten mithilfe eines Mobile Device Management (MDM). Dabei werden auf dem Mobiltelefon zwei separate Benutzerprofile eingerichtet: eines für geschäftliche Anwendungen und Daten sowie eines für private Nutzung. Der Administrator kann festlegen, welche Berechtigungen jedes Benutzerprofil hat und ob Apps frei oder nur bestimmte Anwendungen heruntergeladen werden dürfen. Zudem können Sicherheitsfunktionen aktiviert werden, wie automatische Updates oder die Möglichkeit zur Fernlöschung von Daten. Im täglichen Gebrauch wird diese Trennung in der Regel kaum wahrgenommen, da kein manuelles Umschalten zwischen den Profilen erforderlich ist.
Dennoch ist zu beachten, dass der Einsatz eines MDM nicht automatisch sämtliche Datenschutzverstöße verhindert. Wenn beispielsweise ein Mitarbeiter über einen privaten Messenger mit einem Kunden kommuniziert und die Daten in den “privaten Bereich” gelangen, verliert das Unternehmen weiterhin die Kontrolle über diese Daten und kann eventuell Betroffenenrechte wie das Recht auf Löschung nicht mehr vollständig erfüllen. Das MDM verhindert in erster Linie, dass geschäftliche Kontaktdaten aus dem Adressbuch an den privaten Messenger-Anbieter übertragen werden.
Lösungsansatz 3: Container-Apps
Eine weitere Möglichkeit zur technischen Trennung bieten sogenannte Container-Apps. Ihr Grundkonzept besteht darin, dass sensible Daten ausschließlich über die spezifische App verfügbar sind. Statt E-Mails, Kontakte und Termine in den Standard-Apps zu verarbeiten, werden diese in separaten Apps gespeichert. Um den Zugriff zu verhindern, wenn ein Mitarbeiter das Unternehmen verlässt oder sein Gerät verloren geht, sind die Apps mit einer zentralen Benutzerverwaltung verbunden. Wenn der Administrator auf dem Server den Benutzer sperrt, bleibt die App auf dem Mobiltelefon zwar erhalten, der Zugriff auf die Daten ist jedoch blockiert.
Diese Methode kann sinnvoll sein, wenn auf dem Mobiltelefon nur wenige geschäftliche Aufgaben erledigt werden und entsprechende Apps zur Verfügung stehen. Bei der Auswahl der Apps ist darauf zu achten, dass sie keine Daten mit privaten Anwendungen teilen, eine zentrale Benutzerverwaltung ermöglichen und der App-Zugriff auf dem Smartphone sicher geschützt ist. Wenn eine App beispielsweise die Übertragung des Tagesplans mit sensiblen Daten in den Standardkalender des Smartphones erlaubt und der App-Zugriff ohne Passwort oder PIN möglich ist, weist die Container-App “zu viele Sicherheitslücken” auf.
Lösungsansatz 4: Organisatorische Trennung
Die organisatorische Trennung erfordert in der Regel eine hohe Disziplin und eignet sich häufig nur dann, wenn eine der Parteien nur wenige oder gar keine Daten auf dem Mobiltelefon verarbeitet. Ein offensichtliches Beispiel wäre, wenn ein geschäftliches Mobiltelefon lediglich zur internen Erreichbarkeit ausgegeben wird oder um die Festnetz-Notrufnummer auf das Mobiltelefon weiterzuleiten.
8 Tipps für mehr Datensicherheit bei mobilen Geräten
Die folgenden 8 Tipps steigern die Datensicherheit bei mobilen Geräten und sollten daher nicht nur von Ihnen selbst, sondern von allen Mitarbeiters Ihres Unternehmens berücksichtigt werden.
- Verwenden Sie sichere Passwörter: Achten Sie darauf, dass Ihre Geräte durch robuste Passwörter oder sichere Authentifizierungsmethoden wie Fingerabdruck- oder Gesichtserkennung geschützt sind. Verwenden Sie für verschiedene Anwendungen und Dienste unterschiedliche Passwörter.
- Aktivieren Sie die Geräteverschlüsselung: Schalten Sie die Verschlüsselungsfunktion auf Ihren Smartphones und Tablets ein.
- Halten Sie Ihre Geräte aktuell: Stellen Sie sicher, dass das Betriebssystem und die Anwendungen auf Ihren Geräten stets auf dem neuesten Stand sind. Updates enthalten oft wichtige Sicherheitspatches, die bekannte Schwachstellen beheben.
- Nutzen Sie nur Anwendungen aus vertrauenswürdigen Quellen: Installieren Sie Anwendungen (Apps) ausschließlich aus den offiziellen App Stores der Hersteller (wie den Google Play Store oder den Apple Store).
- Verwenden Sie sichere und verschlüsselte Kommunikation: Bei beruflicher Kommunikation sollten Sie stets verschlüsselte Dienste verwenden und das Weitergeben sensibler Daten über unsichere Kanäle vermeiden.
- Vorsicht bei öffentlichen WLANs: Öffentliche WLANs sind oft ungesichert und können von Cyberkriminellen ausgenutzt werden, um Daten abzufangen. Wenn Sie in öffentlichen Netzwerken arbeiten müssen, nutzen Sie eine Verbindung über ein Virtual Private Network (VPN).
- Verlust oder Diebstahl melden: Sollte Ihr Gerät verloren gehen oder gestohlen werden, melden Sie dies umgehend, damit entsprechende Maßnahmen ergriffen werden können.
- Schutz vor Schadsoftware und Spionage: Geben Sie Ihre Geräte nicht an Unbefugte weiter und verbinden Sie sie nicht mit Geräten, die nicht unter Ihrer Kontrolle oder der unseres Unternehmens stehen. Lassen Sie Reparaturen nur von autorisierten Werkstätten durchführen.
Checkliste: So schützen Sie Ihre Daten bei mobilen Geräten
Alle Checkpunkte abgehakt? |
---|
Ist Ihr Passwort für das mobile Gerät stark und einzigartig? |
Haben Sie die Fingerabdruck- oder Gesichtserkennung aktiviert und richtig eingerichtet? |
Ist Ihr Betriebssystem auf dem neuesten Stand? |
Werden regelmäßige Aktualisierungen für all Ihre Apps und Anwendungen durchgeführt? |
Ist die Verschlüsselungsfunktion auf Ihrem Gerät aktiviert? |
Haben Sie geeignete Maßnahmen und Kontakte für den Fall eines Verlusts oder Diebstahls Ihres Geräts etabliert? |
Achten Sie darauf, sensible Daten nicht über unsichere Kanäle weiterzugeben? |
Nutzen Sie für geschäftliche Kommunikation verschlüsselte Übertragungswege? |
Prüfen Sie sorgfältig die Herkunft von Apps, bevor Sie sie installieren? |
Verbinden Sie sich nur mit sicheren Netzwerken oder verwenden Sie ein VPN in öffentlichen Netzwerken? |
Stellen Sie sicher, dass Ihre Geräte ausschließlich mit betrieblichen Geräten verbunden sind und nicht in fremde Hände geraten? |
Wie nutzen Sie E-Mails sicher mit dem Smartphone?
Um verantwortungsvoll mit E-Mails auf dem betrieblich genutzten Smartphone umzugehen, sind folgende Punkte in jedem Fall zu berücksichtigen:
- Phishing-E-Mails erkennen: Seien Sie wachsam gegenüber Phishing-E-Mails, die versuchen, persönliche oder geschäftliche Daten abzugreifen oder Sie auf verdächtige Links zu locken. Überprüfen Sie immer die Absenderadresse und achten Sie auf Hinweise auf Betrug wie schlechte Grammatik oder Rechtschreibfehler.
- Anhänge und Links: Öffnen Sie keine Anhänge oder Links von unbekannten oder verdächtigen Absendern, da diese möglicherweise Malware oder Viren enthalten können.
- Verschlüsselte E-Mails: Stellen Sie sicher, dass Ihre E-Mails verschlüsselt sind, um die Sicherheit der darin enthaltenen Informationen zu gewährleisten. Sie können beispielsweise Anhänge verschlüsseln.
Wie schützen Sie Ihre Daten bei WhatsApp-Nutzung?
Gerade der Messenger-Dienst WhatsApp steht immer wieder in der Kritik, wenn es um den Schutz von personenbezogenen Daten geht. Der Grund: Bei WhatsApp beispielsweise werden alle möglichen Daten, die sich auf dem Handy befinden, synchronisiert. Das betrifft unter anderem die gespeicherten Namen sowie dazugehörige Telefonnummern und E-Mail-Adressen. Und all das geschieht, ohne dass der Betroffene, der da auf dem Smartphone gespeichert ist, überhaupt etwas davon mitbekommt.
Nutzt der Mitarbeiter das Diensthandy also mit WhatsApp, stellt er dem Anbieter automatisch zahlreiche Daten seiner Kontakte zur Verfügung. Und genau in diesen Punkten könnte der Arbeitgeber haftbar gemacht werden, wenn er nicht dafür Sorge trägt, dass solche Dienste von den jeweiligen Betriebshandys verschwinden.
Es gibt Möglichkeiten, trotz DSGVO und einiger datenschutzrechtlicher Risiken, WhatsApp so auf dem Diensthandy zu nutzen, dass es in Bezug auf die Datensicherheit dennoch in Ordnung wäre. Doch dafür muss man einiges tun.
- Datenschutz-Einstellungen: Schützen Sie Ihre Privatsphäre, indem Sie Ihre WhatsApp-Einstellungen entsprechend anpassen. Deaktivieren Sie beispielsweise die Anzeige Ihres “Zuletzt online”-Status und begrenzen Sie, wer Ihr Profilbild und Ihren Status sehen kann.
- Verschlüsselte Back-ups: WhatsApp bietet eine Ende-zu-Ende-Verschlüsselung für Back-ups. Stellen Sie sicher, dass diese Funktion aktiviert ist.
- Phishing und Betrug: Seien Sie vorsichtig bei Nachrichten von unbekannten Nummern oder verdächtigen Links, selbst wenn sie von bekannten Kontakten zu stammen scheinen. Manchmal versucht man, persönliche Informationen zu stehlen.
Worauf ist bei der mobilen Internetnutzung zu achten?
Wer mit seinem Diensthandy das Internet nutzt, sollte stets die folgenden zwei Punkte im Sinne der Datensicherheit beachten:
- Sichere Websites: Achten Sie darauf, dass die von Ihnen besuchten Websites sicher sind. Suchen Sie nach “https://” in der URL und dem Schlosssymbol in der Browser-Adressleiste oder deaktivieren Sie die Option in Ihrem Browser, unsichere Seiten (“http://”) zu öffnen.
- Downloads: Vermeiden Sie das Herunterladen von Apps oder Dateien aus unbekannten Quellen, da diese potenziell Malware enthalten könnten.
Durch das Befolgen dieser Richtlinien minimieren Sie die mit der Nutzung des Internets auf Ihrem Smartphone verbundenen Risiken und tragen dazu bei, die Sicherheit Ihres Unternehmensdaten zu gewährleisten.
Diebstahl des Diensthandys: Wie verhindere ich einen Datenklau?
Es kann immer vorkommen, dass auch ein Diensthandy gestohlen wird. Gerade auf Geschäftsreise in ferne Länder oder in überfüllten Metropolen kommt es immer wieder vermehrt zu Diebstählen. Verhindert werden kann das natürlich nicht. Doch für genau solche Szenarien sollten das betriebliche Smartphone und alle Daten, die sich darauf befinden, bestmöglich abgesichert sein.
Bereits die PIN, die man eingeben muss, verhindert einen möglichen Datenklau (sofern es keine leicht zu knackende Zahlenfolge ist wie „1-2-3-4-5“. Zusätzlich sollte ein Sperrbildschirm eingerichtet sein, den es per Zahlencode oder Fingerabdruck freizugeben gilt. Mit jedem neu entwickelten Handy gibt es hier unzählige Möglichkeiten, auch ein Diensthandy entsprechend vor Datenklau zu schützen. Wichtige und geheime Daten sollten zudem regelmäßig gesichert werden.
Ist das Handy der Firma geklaut worden, sollte dringend beim Arbeitgeber angerufen und für eine Sperrung beim jeweiligen Anbieter gesorgt werden.