Kontakt

Smartphones und die DSGVO

Markus Güntner
26.06.18 09:04

Die Nutzung von Smartphones und Tablets ist heute für viele Menschen ganz selbstverständlich, sowohl im Privatleben wie auch im Arbeitsalltag. Doch nur selten machen Anwender sich bewusst, dass die kleinen Helferlein jede Menge sensibler Daten enthalten. Nicht nur über den Besitzer des Geräts, sondern auch über Freunde, Familie, Mitarbeiter und Geschäftspartner: Kontaktdaten, Fotos, Mails und geschäftliche Unterlagen, wie beispielsweise Bewerbungen – im Sinne der Datenschutz-Grundverordnung (DSGVO) sind dies alles personenbezogene Daten, die einem besonderen Schutz unterliegen.

Unternehmen, die ihre Mitarbeiter mit Smartphones und Tablets ausstatten, müssen daher dafür Sorge tragen, dass die Daten auch auf solchen Geräten DSGVO-konform gesichert sind. Die erste Frage, die sich IT-Verantwortliche dabei stellen müssen, ist die Frage nach der Betriebssystem-Plattform, von denen es nur noch zwei relevante gibt: iOS von Apple oder Android von Google. Im Falle von Apple ist damit bereits die Hardware festgelegt, die Android-Plattform dagegen läuft sowohl auf der Hardware des Suchmaschinenspezialisten, als auch auf den Modellen zahlreicher anderer Geräteproduzenten.

Die Frage nach dem Betriebssystem ist allerdings mehr als eine rein technische, denn Apple und Google verfolgen komplett unterschiedliche Strategien – und die haben auch Konsequenzen für den Datenschutz.

Apple ist um Privacy bemüht...

Apple hat seine Datenschutz-Richtlinie am 22. Mai 2018 aktualisiert – drei Tage, bevor die Übergangsfrist zur Umsetzung der Datenschutz-Grundverordnung (DSGVO) abgelaufen war. Der Kernpunkt der Änderungen lautet: Alle Kunden können künftig bei Apple die über sie gespeicherten Daten abrufen – und zwar alle Kunden weltweit.

Während also andere Unternehmen, wie zum Beispiel Facebook, einen Teil der in Europa gespeicherten Daten vor den Datenschützern „in Sicherheit“ brachten" – sprich: die Speicherung von Kunden, die nicht der EU angehören, in die USA und andere Regionen der Welt verlagerten – verschafft Apple dem strengen europäischen Datenschutz weltweite Gültigkeit.

Dies zeigt, dass der Hersteller von iPhone, iPad & Co. ein völlig anderes Konzept bezüglich Privacy und Kundenrechte verfolgt als Amazon, Google, Facebook und andere Anbieter. Der Unterschied liegt im Geschäftsmodell: Apple verdient sein Geld mit dem Verkauf von Hardware, Software und Services – nicht jedoch mit Werbung. Daten, die Apple aus dem iCloud-Account und dessen Nutzung gewinnt, werden zwar genutzt, aber nur, um die eigenen Produkte und Services zu verbessern. Innerhalb einer Anwendung, zum Beispiel Apple Music, werden zum Beispiel Musik-Vorlieben erhoben, um dem Kunden neue Künstler vorzuschlagen. In anderen Bereichen gilt: Entweder, die Daten bleiben auf dem Gerät des Nutzers, oder es werden keine persönlichen Daten direkt verarbeitet, sondern die Daten kumuliert und entpersonalisiert – Apple nennt diese Funktion „Differential Privacy“ – , so dass sie nicht mehr auf einen individuellen Nutzer zurückgeführt werden können.

...Google & Co. um möglichst viele Daten

Facebook und Google dagegen leben ausschließlich oder hauptsächlich von Marketinggeldern. Die Höhe der Einnahmen hängt weniger von der Zahl der ausgespielten Banner, Videos oder Landingpages ab, sondern in immer höherem Maße davon, dass der angesprochene User eine Reaktion zeigt, zum Beispiel ein Werbebanner anklickt, um mehr Infos zu erhalten („AdClick“). Das funktioniert umso besser, je genauer die Marketingbotschaften die Interessen und Bedürfnisse des Users treffen. Aus diesem Grund legen Google & Co. Userprofile an, die sich über viele verschiedene Plattformen und Anwendungen ziehen, um den einzelnen Kunden möglichst genau zu „kennen“.

Bei Google sind dies nicht nur die Google-ID, mit der man sich auf dem Android-Handy anmeldet, sondern auch die Käufe aus dem Google-Playstore, aufgerufene Seiten aus dem Chrome-Browser, Suchanfragen über google.de, welche Videos auf dem zu Google gehörenden Portal Youtube gesehen und welche Routen auf Google-Maps geplant wurden – und diese Liste ließe sich beliebig verlängern. Besonders kritisch: Es werden sogar Inhalte aus Gmail und bei GoogleDocs gespeicherte Dokumente ausgewertet – seit einem Jahr allerdings nicht mehr zu Werbezwecken, so Google.

Ähnlich verhält es sich bei Facebook: Über Zukäufe hat das größte Social Network der Welt seine Angebote immer weiter vergrößert, ohne dass dem Nutzer dies immer bewusst ist. So gehören zum Zuckerberg-Imperium auch die Plattformen WhatsApp und Instagram, aber beispielsweise auch der VR-Anbieter Oculus VR. Die Datenskandale um Facebook aus den vergangenen zwei Jahren haben belegt, dass persönliche Informationen nicht nur intern genutzt werden, sondern auch an externe Firmen geflossen sind.

Zugriff auf die eigenen Daten

Zur Umsetzung der DSGVO gehört bei Apple die Website privacy.apple.com. Hier kann sich jeder Kunde mit seiner Apple-ID / iCloud-ID anmelden und bekommt dann die Möglichkeit, Kopien seiner gespeicherten Daten anzufordern, seine Daten zu korrigieren, den Account vorübergehend zu deaktivieren oder diesen endgültig zu löschen. Ist ein Account deaktiviert, dann werden auch die damit in Zusammenhang stehenden Daten nicht weiter genutzt, verspricht Apple. Das endgültige Löschen dauert bis zu sieben Tage, da Apple sicherstellen will, dass der tatsächliche Account-Inhaber den Löschauftrag erteilt hat.

Über die Datenkorrektur kommt man unter anderem zu den Datenschutzeinstellungen, wo jeder Kunde festlegen kann, ob Apple Daten aus der iCloud-Analyse nutzen darf oder nicht. Die Kopien der gespeicherten Daten kann man komplett oder nur für bestimmte der insgesamt 15 Kategorien anfordern.

Weitere Maßnahmen zum Datenschutz

Mit iOS 11.3 und MacOS 10.13.4 bereits umgesetzt ist die verbesserte Kundeninformation. Ein neues Datenschutzsymbol und detaillierte Datenschutzinformationen werden seither immer dann angezeigt, wenn Apple um Zugang zu persönlichen Informationen bittet. Dies ist nötig, um Funktionen zu aktivieren, Apple-Services zu sichern oder iOS-Funktionen für den Nutzer zu individualisieren.

Seit 2017, mit der Einführung von iOS 11, hat Apple die tiefe Integration von Facebook und Twitter in das Betriebssystem entfernt. Zuvor konnten Nutzer in den Einstellungen ihre Zugangsdaten hinterlegen und dann aus vielen Applikationen heraus posten oder zum Beispiel Bilder teilen. Im Rahmen der zunehmenden Privacy-Bemühungen hat Apple nicht nur diese Möglichkeiten gestrichen, sondern seit dem 22. Mai 2018 eine ähnliche Funktion in MacOS 10.13.

Auf der weltweiten Entwicklerkonferenz 2018 gab Apple nun bekannt, dass in den kommenden Betriebssystem-Versionen iOS 12 und MacOS 10.14 sogar die entsprechenden Buttons auf Websites zunächst deaktiviert werden, um eine ungewollte Datenübermittlung zu unterbinden. Wer auf die Schaltflächen klickt, erhält künftig eine Warnung und muss der Datenübertragung explizit zustimmen. Auch das Tracking über Kommentarfelder wird künftig verhindert. Zudem will Apple die Erteilung von Zugriffsrechten für Apps, beispielsweise auf die Kontakte im Adressbuch, detaillierter regeln.

Zudem waren Werbetreibende beim Besuch ihrer Websites bislang über die Abfrage von Client-Daten ebenfalls in der Lage, Nutzer trotz zahlreicher Schutzoptionen zu tracken. Die Kombination aus Betriebssystem, Display-Auflösung, installierten Zeichensätzen und Plug-ins ergab häufig genug einen gerätespezifischen Fingerabdruck, der es ermöglichte, über verschiedene Websites hinweg individuelle Profile zu erstellen. Dem schiebt Apple mit den kommenden Betriebssystem-Versionen ebenfalls einen Riegel vor: Solche Abfragen werden künftig nur noch mit einem reduzierten Datensatz beantwortet, der das Tracking abseits der vom Nutzer beeinflussbaren Kanäle ins Leere laufen lässt.

Update-Politik

In der Regel werden iPhones vier bis fünf Jahre lang mit Betriebssystem- und Anwendungs-Updates versorgt. Für das im Herbst 2018 erscheinende iOS 12.0 gilt das iPhone 5S als Mindestanforderung. Dieses Modell wurde im September 2013 gelauncht, damals noch mit iOS 7.0. Alle unterstützten Modelle erhalten Major-Updates stets zur gleichen Zeit. Somit werden Apple-Smartphones langfristig durch Sicherheits-Updates geschützt. Die aktuellste Version iOS 11 vom Herbst 2017 ist auf etwa zwei Dritteln aller im Markt befindlichen Geräte installiert, die Vorgängerversion iOS 10 auf weiteren 28 Prozent. Nur 7 Prozent der iOS-Geräte laufen mit noch älteren Versionen.

Die Android-Plattform ist dagegen stark fragmentiert. Die Weiterentwicklung von Android liegt bei Google, das regelmäßig Patches und Weiterentwicklungen veröffentlicht. Diese müssen jedoch von den Geräteherstellern auf die jeweilige Hardware angepasst und zudem noch von den Mobilfunk-Providern freigegeben werden. Dieser aufwendige Prozess führt dazu, dass die Updates oft nur für die neuesten Geräte bereitgestellt werden und dies oft nur nach langer Verzögerung. So haben die letzten drei Major-Releases von Android jeweils einen Marktanteil von rund einem Viertel, das letzte Viertel teilen sich die viert- und fünftletzte Version.

Aus Security-Sicht bedeutet dies, dass rund zwei Drittel der iOS-Gadgets sicher sind, während drei Viertel aller Android-Geräte mit einer unterschiedlichen Anzahl von Sicherheitslücken betrieben wird. Die meisten allein aus dem Grund, weil deren Hersteller keine Patches mehr anbieten.

Sicherheit der Apps

Ähnlich wie beim Betriebssystem unterscheiden sich auch die App-szenarien fundamental. Da Apple ein geschlossenes Ökosystem betreibt, bei dem Hardware, Software und Dienste aus einer Hand kommen, gibt es hier zunächst nur eine einzige Quelle für Anwendungen: den Apple-eigenen App-Store. Software-Entwickler, die Anwendungen für iOS anbieten wollen, müssen sich den Regeln von Apple beugen, die beispielsweise den Zugriff auf Kontaktdaten und deren Weiterverkauf ohne Erlaubnis oder das Schürfen von Krypto-Währungen untersagen. Eingereichte Apps werden genauso wie folgende Updates auf Sicherheitsverstöße und die Einhaltung des vorgegebenen Regelwerks geprüft, bevor sie freigeschaltet werden. Fallen nachträglich Probleme auf, werden Apps sehr schnell zurückgezogen und damit die weitere Verbreitung gestoppt.

Für Android dagegen gibt es mehr als zwei Dutzend unterschiedliche Stores. Sie verfolgen jeweils unterschiedliche Strategien bei der Überprüfung von Apps, Entwicklern und Updates sowie der Entfernung von risikobehafteten Apps. Immer wieder gelangen dadurch mit Malware verseuchte Anwendungen auf zahllose Android-Geräte – oder die einfach die Anforderungen der DSGVO missachten. Bei einem Test Anfang des Jahres 2018 war noch mehr als die Hälfte der Anwendungen nicht auf die strengeren Datenschutz-Vorschriften vorbereitet. Im Zweifelsfall ist der Nutzer, der solche Apps einsetzt, für den Datenschutzverstoß verantwortlich.

Spezielle iOS-Funktionen für den Unternehmenseinsatz

Problematisch unter dem Gesichtspunkt des Datenschutzes ist das Konzept „Bring Your own Device“. Hier hat die Unternehmens-IT kaum Möglichkeiten, die private und berufliche Nutzung von Daten zu reglementieren und somit die Einhaltung der DSGVO durchzusetzen.

Es sollte daher ein Anliegen des Unternehmens sein, den Mitarbeitern die benötigten Smartphones und Tablets zur Verfügung zu stellen, beispielsweise über Mietangebote oder als verwaltete Geräte (Device as a Service). Entscheidend ist, dass die System-Administratoren über MDM (Mobile Device Management) die Verwendung von Apps und den Zugriff auf Daten gemäß der festgelegten Policy durchsetzen können. Hierfür gibt es verschiedene Lösungen, beispielsweise Intune oder MobileIron.

Apple hat dazu verschiedene Technologien kombiniert. Grundlage ist die Teilnahme eines Unternehmens am Programm zur Geräte-Registrierung (DEP, Device Enrollment Program) kombiniert mit dem Volumen-Lizenz-Programm (VPP, Volume Purchase Program). Dies eröffnet die einfache und vollautomatische Implementierung und Verwaltung der Geräte mittels MDM. Seit iOS 11.3 werden auf MDM-verwalteten Geräten berufliche und private Daten, beispielsweise in den Kontakten und im Kalender, getrennt geführt.

Das Open-In Management des Betriebssystems sorgt dafür, dass die mit der privaten ID installierten Apps, zum Beispiel WhatsApp, keinen Zugriff auf MDM-verwaltete Apps haben, beispielsweise die Kontakte des Exchange-Kontos. Sämtliche Unternehmensdaten sind zudem konsequent Ende-zu-Ende-verschlüsselt und können daher nicht einfach aus dem Speicher ausgelesen werden.

Umgekehrt können private und geschäftliche Konten nebeneinander bestehen und dementsprechend im Kalender, in der Mail-App oder im Adressbuch nebeneinander dargestellt werden. Und dies ohne zusätzliche Verwaltungs- oder Container-App. Die Unternehmens-IT muss lediglich darauf achten, dass ActiveSync nicht öffentlich zur Verfügung steht. Sonst könnte der Nutzer darüber ein Konto im privaten Bereich anlegen und darüber Unternehmensdaten synchronisieren. Dies gilt allerdings sowohl für iOS- wie für Android-Geräte.

Alternativen auf Android

Mit Android Enterprise stellt auch die Google-Plattform Funktionen zur getrennten Datenhaltung bereit. Hier gibt es zwei unterschiedliche Modi. Im Device Owner Mode verhält sich das Android-Smartphone ähnlich dem verwalteten Modus bei iOS. Dieser Modus ist nur auf ausgewählter Hardware verfügbar.

Die zweite Anwendungsmöglichkeit ist die Gerätepartitionierung, durch die Unternehmens- und private Daten sowie die Gerätekonfigurationen komplett getrennt werden. Dafür wird allerdings ein Company-Google Account vorausgesetzt.

Solange private Anwendungen wie WhatsApp nur in der privaten Partition laufen (die kommerzielle Nutzung ist ohnehin in den WhatsApp-AGB ausgeschlossen), wird in beiden Modi zuverlässig verhindert, dass Unternehmensdaten abgegriffen werden.

Als lizenzpflichtige Anwendung hat Samsung den Samsung Knox Workspace entwickelt. Dieser ist wie der Device Owner Mode von Android Enterprise nur auf bestimmten Geräten lauffähig, deren Hardware den Knox Workspace unterstützt. Die Funktionalität ähnelt der von iOS, so dass diese Alternative auf Android eine höhere Sicherheit bietet.

Fazit

Die Datenschutz-Grundverordnung hat zahlreiche Facetten, und der Einsatz mobiler Geräte außerhalb des Unternehmens ist dabei nicht zu vernachlässigen. Um sich nicht in eine technische oder organisatorische Sackgasse zu manövrieren, sollte der Einsatz von Smartphone & Co. mit einer gut durchdachten Security-Strategie verbunden sein, die neben Angriffs- und Malware-Szenarien auch die DSGVO umfassend berücksichtigt.

Ein wichtiger Teil dieser Strategie ist die Entscheidung für ein Betriebssystem und den dahinter stehenden Anbieter. Auf Seiten von Apple und iOS sind bereits zahlreiche Sicherheitsfunktionen im Konzept des Betriebssystems verankert, welche die Umsetzung des Sicherheitskonzepts vereinfachen und dabei ein hohes Sicherheitsniveau garantieren. Auch der Hersteller selbst verdient aufgrund des spezifischen Geschäftsmodells hohes Vertrauen.

Bei Android gilt es, die richtige Anwendung zum gewünschten Sicherheitsniveau und die dazu passende Hardware zu finden, die alle benötigten Anwendungen und Services unterstützt. Unter Umständen reicht das Angebot des Betriebssystem-Herstellers nicht aus, sondern muss über eine zusätzliche, gerätespezifische Plattform erweitert werden.

Checkliste iOS Geraete

New call-to-action

Das könnte Sie auch interessieren

Diese Stories auf Apple

Updates for innovators: Abonnieren Sie unseren Blog.