„Das Internet vergisst nichts“

Vor einem Monat wurde im Bund ein Verbot der umstrittenen chinesischen Social-Media-Plattform TikTok für Diensthandys öffentlich Bediensteter erlassen. Kurze Zeit später einigten sich auch die Städte im Zentralraum Kärnten – Villach, Klagenfurt und St. Veit – darauf, die Nutzung von TikTok auf Diensthandys zu untersagen.

Dieser Schritt reicht nicht aus

Stellvertretend für die Plattform Informatik Austria, äußert sich nun Peter Schartner, der sich an der Universität Klagenfurt mit Cybersicherheit und Datenschutz beschäftigt, zu dem Verbot.
„Dieser Schritt ist nachvollziehbar, aber unabhängig vom konkret genutzten Service bzw. der konkret genutzten mobilen App“, erklärt Schartner. Statt über einzelne Apps und deren Verbot nachzudenken (das man mit Sicherheit umgehen wird), sollte die EU versuchen, alle Betreiber zur Einhaltung der Datenschutzgrundverordnung (DSGVO)  zu motivieren, so der Assoziierte Professor.

Apps sammeln meist viele Daten

Denn Apps würden häufig eine Menge persönlicher Daten sammeln. Möglich sei das, indem sie vor der Installation die zugehörigen Berechtigungen anfordern, um auf bestimmte Funktionen und Daten des Telefons zuzugreifen: „Eine App, die Kommunikation ermöglicht, benötigt beispielsweise Zugriff auf das Internet, SMS oder die Kontakte. Eine Navigationsapp wiederum benötigt Standortinformationen.“

Das Problem: „Apps können möglicherweise mehr Berechtigungen anfordern, als sie tatsächlich benötigen“, sagt Schartner. „Auf diese Weise können sie Daten erfassen, die mit dem eigentlichen Zweck der App gar nichts mehr zu tun haben.“ Daten, die dann in unterschiedlichster Weise genutzt und missbraucht werden können: „In den falschen Händen können sie für schädliche Zwecke verwendet werden, wie für Identitätsdiebstahl oder Betrug.“

Geheimnisse können in falsche Hände geraten

Hinzu komme, dass für personenbezogene Daten in manchen Regionen der Welt ein höherer Schutz gelte (z.B. die DSGVO der EU), als in anderen. Geschäftsgeheimnisse können in falsche Hände geraten.

Während Nutzer:innen auf privaten Handys selbst darüber bestimmen können, welche Daten sie teilen, ist dies auf dem Firmenhandy nicht möglich. „Verschärft wird die Problematik, sobald es nicht mehr nur um meine Daten geht (über die ich bestimmen kann), sondern um (inner-)betriebliche Daten“, bestätigt Schartner.

„Mit letzteren können dann natürlich – je nach Berechtigungen und Ausgestaltung der App – auch Geschäftsgeheimnisse abfließen.“ Das könne direkt in Form von Kommunikationsinhalten passieren, aber auch indirekt über Bewegungsprofile, aus denen beispielsweise Routen und häufig besuchte Orte ableitbar sind.

Verbote kontrollieren

Schartners Fazit: „Die Entscheidung, ob die Nutzung privater Apps bzw. die private Nutzung gewisser Services auf einem Diensthandy zulässig ist, muss wohlüberlegt sein. Unabhängig von Erlaubnis oder Verbot sollte dies dann jedoch auch kontrolliert werden“, rät Schartner zu Konsequenz.

„Beispielweise durch sogenannte Mobile Device-Management-Systeme, die verpflichtende Nutzung firmeninterner App-Stores oder Security-Suites, welche die Installation von Apps oder den Zugriff auf Webseiten einschränken oder verhindern können.“ Private Apps auf Diensthandys zu verbieten, aber dennoch zu dulden sei jedenfalls eine schlechte Wahl.

„Ein gewisses Schutzniveau kann die Trennung von beruflicher und privater Nutzung
bieten, die je nach Betriebssystem und/oder Endgerät unterschiedlich ausgeprägt sein
kann“, ergänzt Schartner. „Ziel ist jedenfalls, dass sich berufliche und private Daten
nicht vermischen und die Apps nicht auf die Daten des jeweils anderen Bereichs
zugreifen können.“

Wichtigster Schritt: Sensibilisierung

„Neben all den technischen Möglichkeiten ist die Sensibilisierung der Arbeitskräfte bzgl. der Risiken und Schulung bzgl. der möglichen Gegenmaßnahmen und des korrekten Verhaltens unerlässlich“, ist Schartner überzeugt.

Denn die erste Barriere gegenüber Angreifern seien sehr oft die eigenen Mitarbeiter. „Mit einem betriebsweiten Problembewusstsein kann so die eine oder andere Gefahr erkannt und gebannt werden, bevor sie im Unternehmen schädliche Wirkung entfaltet. De facto sollten Awareness und Schulung daher sogar der erste Punkt in der Liste der „Gegenmaßnahmen“ sein!“

„Das Internet vergisst nichts“

Doch egal, ob Diensthandy oder Privathandy: Beim Umgang mit persönlichen Daten
im Internet ist generell Vorsicht geboten. „Das Internet vergisst nichts“, warnt Schartner. „

Wie verhalte ich mich richtig?

Wichtig ist jedenfalls, dass man sich darüber informiert, wozu der Service-Anbieter (App-Anbieter) die Daten benötigt und verwendet. Hierbei kann die Datenschutzinformation hilfreich sein. In ihr sollte im Idealfall jedenfalls enthalten sein, zu welchem Zweck und auf welcher Grundlage bestimmte Daten (und im Sinne der Datenminimalisierung nichts darüber hinaus) verarbeitet werden. Des Weiteren sollte nach Lesen der Datenschutzinformation auch klar sein, an wen die Daten unter welchen Umständen weitergegeben werden, welche Rechte man als betroffene Person geltend machen kann und wie man diese Rechte geltend machen kann.

Findet man derartige Informationen nicht, oder sind diese nicht plausibel bzgl. der Funktionalität der entsprechenden App oder des Service, dann sollte man im Einzelfall entscheiden, ob und in welchem Umfang die App bzw. der Service genutzt wird.