Apps als Datensammler?

Metzingen, 18.01.2018

 

Welche personenbezogenen Daten kann eine App sammeln & verarbeiten?
Alle Informationen, die Rückschlüsse auf eine natürliche Person zulassen, fallen unter das Bundesdatenschutzgesetz.

Das sind zum Beispiel:

  • IP-Adresse
  • Kontaktdaten
  • Nachrichten
  • Kalendereinträge
  • Medien (Fotos, Videos, Audiodateien)
  • Anruflisten
  • Geräte- und Kartenkennung (IMEI, UDID, IMSI, MAC-Adresse, etc.)
  • Mobilfunknummer (MSISDN)
  • Gerätename
  • Standortdaten
  • Biometrische Daten (z.B. Fingerabdruck)
  • Nutzungsdaten (Dauer, Häufigkeiten)
  • Registrierungsdaten & Kontoverbindungsdaten
  • Werbetracking IDs

Grundsätzlich ist das Erheben, Verarbeiten und Nutzen personenbezogener Daten verboten.
ABER - wenn diese nach vorhergehender vertraglicher Einwilligung für die Funktionalität der App notwendig, sammelt die App mindestens dann diese Daten. Diese Daten werden dann Inhaltsdaten genant, wie beispielsweise die Standortdaten bei der Nutzung einer Navigations-App oder der Zugriff auf Bilder für WhatsApp etc. Darüber hinaus kann eine App jegliche Daten sammeln, für die es eine ausdrückliche gesetzliche Regelung gibt oder für die der Nutzer sein Einverständnis (z.B. durch Zustimmung zur Datenschutzvereinbarung) gegeben hat. Meistens erfolgt diese Zustimmung indem wir eine Berechtigung beim Start der App geben - z.B, Zugriff auf Standort / Kamera etc.

Welche Apps sammeln Daten?

Das Yale Privacy Lab und Exodus Privacy haben bisher mehr als 44 Tracker identifiziert. Davon werden die meisten für personenbezogene Werbung genutzt - ohne, dass es die meisten Nutzer wissen.

Die meisten Tracker bieten SDKs (Software Development Kits) zum Einbinden in die App für iOS & Android. Bisher gibt es die Resultate nur für Android - Apple gibt die dafür leider benötigten Berechtigungen nich frei.

Von einigen Apps wie Facebook oder WhatsApp istes schon bekannt, aber es tauchen auch noch einige andere auf. Diese sind zum Beispiel:

  • DropBox
  • Fitness Apps wie Runtastic & Fitbit
  • GoToMeeting
  • Immobilienscout24
  • KAYAK
  • LinkedIN
  • Twitter, Instagram, Snapchat
  • Deezer, Spotify
  • booking.com
  • Sparkasse - Ihre mobile Filiale

Hier kann man die jeweils die genutzten Tracker/Berechtigungen je App abrufen: https://reports.exodus-privacy.eu.org/reports/apps/

Natürlich brauchen die Apps auch gewisse Berechtigungen - denn wie will ich navigieren ohne, dass die App meinen Standort abfragt? Die Frage ist nur welche Tracker/ Berechtigungen will ich zulassen und welche nicht!

Was passiert 2018?

Da die EU das Datenschutzrecht 2018 verschärft. Die App Anbieter müssen sich demnach an diese Prinzipien halten:

• Direkterhebung: Das Erheben von Daten ist nur unter Mitwirkung des Betroffenen erlaubt.
• Datensparsamkeit: Daten sollen nicht für unbegrenzte Zeit aufbewahrt werden, sondern nur solange es nötig ist. Wichtig: Dazu zählt auch, dass nur für den Zweck notwendige Daten erhoben werden dürfen.
• Datenvermeidbarkeit: Es sollen so wenige Daten wie möglich verarbeitet werden.
• Zweckbindung: Jede Datenverarbeitung muss einen bestimmten, vorher festgelegten Zweck verfolgen und darf nur zu diesem durchgeführt werden. Ausnahmen treten in Kraft, wenn der Betroffene vorab seine freiwillige Einwilligung erteilt hat.
• Transparenz: Der Betroffene soll darüber in Kenntnis gesetzt werden, welche Daten zu welchem Zweck bei welcher Stelle für wie lange und aus welchem Grund gesammelt werden.
• Erforderlichkeit: Die Datenverarbeitung muss erforderlich sein. Es darf kein anderes Mittel zur Verfügung stehen, das zur Erreichung des Zwecks genauso gut geeignet wäre.

Im Prinzip heißt das, dass wir Usern den Nutzungsbedingungen zustimmen müssen - leider liest kaum einer alles haargenau durch.

Wie kann ich meine & Firmen-Daten schützen?

Da das Lesen der Datenschutzerklärung meist sehr vielan Zeit beansprucht, weil darin jegliche Maßnahmen im Umgang mit den personenbezogenen Daten des Betroffenen definiert sein muss. Gibt es ein paar Wege sich das zu sparen.

  1. Achte auf Qualitätssiegel & Zertifizierungen wie dem „Trusted App“ Siegel. Diese können die Einhaltung des BDSG belegen. Leider haben viele Apps diese Siegel nicht - da die Zertifizierung meist sehr zeit- & kostenintensiv ist.
  2. Alternativ kann mit Hilfe von EMMs (Enterprise Mobility Management) oder App Risk Management Tools in Unternehmen das Sicherheitsniveau einer App definiert werden.
  3. Auf Seiten wie Exodus nachschauen ob die App dort auftaucht und was sie alles im Hintergrund macht.

Grundsätzlich sollte man sich genau überlegen, welche und wie viele Apps er auf dem eigenen Smartphone installiert. Bestenfalls sollten nur die Anwendungen eingerichtet werden, über die ausreichend Informationen zur Verfügung stehen, um Datenkraken zu vermeiden. Jeder Firma / Anwender muss für sich selbst definieren was iwie wichtig ist. Gleichzeitig darf man nicht vergessen, dass das Datenschutzrecht dieses Jahr massiv verschärft wird und wie man sich dafür wappnet.

Bei Fragen dürfen Sie sich jederzeit gerne an uns wenden.

Weitere Infos zur EU-Datenschutzgrundverordnung kostenlos in unserem Webcast: BASICS der EU-DSGVO

Sie haben Fragen rund um das Thema App Risk Management oder Enterprise Mobiltity Management - wir beraten Sie gerne.


Press contact:
Linda Weidenbacher
SystAG Systemhaus GmbH
Phone: 07123/920214

Social Icons

Tabs Widget

We are your partner for

  • Apps
  • Mobile Infrastructures
  • Security
  • Consulting

You know the target - we pave the way!