Smartphones und darauf installierte Apps sind wahre Goldgruben für Datensammler. Sowohl betriebliche Smartphones als auch private Endgeräte, die für berufliche Zwecke (mit-)genutzt werden (Stichwort: Bring Your Own Device) sollten deshalb einigen wesentlichen Maßnahmen unterzogen werden.
Smartphones als Datensammler
Smartphones, also internetfähige Mobiltelefone mit zahlreichen Zusatzfunktionen wie Kamera, GPS und Zugang zu Apps, sind aus unserem heutigen Alltag nicht mehr wegzudenken. Sie dienen längst nicht mehr nur der Kommunikation, sondern auch als Navigationshilfe, digitale Geldbörse oder Unterhaltungsmittel.
Mit jeder Nutzung wird dabei eine Vielzahl an personenbezogenen Daten erfasst, ausgewertet und zu individuellen Nutzerprofilen verarbeitet. Häufig geschieht dies unbemerkt und zum Zweck personalisierter Werbung. Daher stellt sich die Frage: Wo hört Komfort auf und wo beginnt datenschutzrechtlich bedenkliches Profiling?
Was ist Profiling (auf Smartphones)?
Nach Art. 4 Nr. 4 DSGVO (Datenschutz-Grundverordnung) ist Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte zu bewerten, insbesondere zur Analyse oder Vorhersage von Verhalten, Interessen, Arbeitsleistung, wirtschaftlicher Lage, Gesundheit oder Standort einer Person.
Besonders Smartphones liefern durch Kommunikationsverhalten, Surfaktivitäten oder Standortdaten eine Vielzahl solcher Informationen. Werden diese Daten miteinander kombiniert, lassen sich daraus detaillierte Nutzerprofile ableiten. Solche Profile werden von Unternehmen vielfach genutzt, etwa um personalisierte Werbung gezielt auszuspielen, Konsumverhalten vorherzusagen oder sogar die Kreditwürdigkeit zu bewerten.
Ein typisches Beispiel ist eine Gesundheits-App, die Schlaf- und Bewegungsdaten sowie die Herzfrequenz erfasst und diese mit dem Standortverlauf verknüpft. Auf dieser Grundlage erhält der Nutzer dann individualisierte Werbung für Diät-Workshops, Nahrungsergänzungsmittel oder Versicherungsprodukte.
Datenschutzrechtliche Einordnung
Profiling ist datenschutzrechtlich zwar nicht verboten, unterliegt jedoch klaren gesetzlichen Vorgaben. Nach DSGVO kommen insbesondere folgende Rechtsgrundlagen in Betracht:
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Häufig die bevorzugte Grundlage bei Profiling, allerdings nur wirksam, wenn sie freiwillig, informiert und jederzeit widerruflich ist.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Nur zulässig, wenn Profiling für die Vertragserfüllung erforderlich ist, was im App-Kontext wohl selten der Fall sein dürfte.
In der Praxis zeigen sich jedoch immer wieder Fälle, in denen bereits einwilligungspflichtige Vorgänge direkt nach der Installation der App erfolgen, ohne dass die Nutzer hierin eingewilligt haben. In einigen Fällen wird ganz auf einen Einwilligungsbanner verzichtet und stattdessen lediglich auf die Geräteeinstellungen verwiesen. Solche Praktiken sind rechtlich bedenklich und können einen Verstoß gegen die DSGVO darstellen.
Tipp: Lesen Sie unsere Tipps für die Umsetzung einer informierten Einwilligung sowie die ultimative Anleitung für eine Einwilligungserklärung.
Darauf sollten Nutzer von Smartphones achten
Freiwillige Angaben und bewusster Umgang mit Apps
Viele Informationen über einen Nutzer werden direkt bei diesem erfragt, häufig ohne, dass es zunächst nach viel aussieht. Doch App-Anbieter können oft alle verfügbaren Daten kombinieren, um detaillierte Profile zu erstellen: Die Kombination daraus, was Sie freiwillig als Ihre Hobbies angeben, mit welchen Personen Sie online kommunizieren, welche Suchanfragen Sie stellen, wie Ihre Telefonie- und Surfgewohnheiten sind, was Sie online einkaufen sowie zahlreichen anderen Daten ergibt schon ein detailliertes Profil, von dem Sie vielleicht nicht unbedingt möchten, dass es existiert.
Darum hinterfragen Sie die Notwendigkeit von Angaben, etwa bei Anmeldevorgängen. Häufig sind viele Felder optional. Zudem sollten Sie sich bewusst machen, dass nicht jede App Zugriff auf sämtliche Daten braucht. Über die Einstellungen Ihres Smartphones können Sie die Zugriffsrechte gezielt und bedarfsgerecht einschränken.
Datenschutzbestimmungen von Apps
Nehmen Sie genauer unter die Lupe, welche Daten eine Anwendung an wen weitergibt und was damit gemacht wird. In der Vergangenheit ist zwar bekannt geworden, dass manche Anbieter auch heimlich bestimmte Daten sammeln, ohne darüber in irgendeiner Form zu informieren, aber in der Regel sollten Sie aus den Datenschutzhinweisen wertvolle Informationen ableiten können.
Hinweis: Die Datenschutzbehörden geben mit ihren eigenen Prüfverfahren gute Hinweise, auf welche Punkte Sie dabei besonders achten sollten.
Sicherheitseinstellungen am Gerät
Während Nutzer beim klassischen Surfen im Netz die Webbrowser-Einstellungen häufig so optimiert haben, dass möglichst wenig Daten verarbeitet und auf ein Minimum an Zwecken beschränkt werden, verliert man bei der Nutzung von Smartphones schnell den Überblick darüber, welche Daten gesammelt werden.
Je nachdem, welches Gerät Sie verwenden, gibt es unterschiedliche Grundeinstellungen am Smartphone, mit denen Sie Ihre Daten schützen können. Anleitungen für Ihren speziellen Gerätetyp finden sich im Internet.
Grundsätzlich sollten die App-Einstellungen überprüft werden. Beispielsweise sollten Cookies regelmäßig gelöscht werden. Innerhalb von Anwendungen sollten Einstellungen vorgenommen werden, die verhindern, dass diese eine Internet- oder GPS-Verbindung aufbauen, wenn dies nicht notwendig ist. Ortungsdienste wie GPS sollten nur dann überhaupt eingeschaltet sein, wenn sie tatsächlich genutzt werden. Das Gleiche gilt für die WLAN-Funktion, denn auch mittels WLAN können Nutzer getrackt werden.
Zusätzliche Apps
Darüber hinaus kann es sinnvoll sein, zusätzliche Schutzmaßnahmen auf dem Smartphone zu installieren. Dazu zählen Antiviren-Apps, die Schadsoftware erkennen, sowie VPN-Dienste, die eine verschlüsselte Verbindung ins Internet herstellen. Achten Sie auch hierbei darauf, nur vertrauenswürdige Anbieter zu wählen, die keine unnötigen Daten erfassen.
Fazit
Werden Smartphones ausschließlich privat genutzt, liegt es im Ermessen der Anwendenden, wie viele Daten sie preisgeben wollen. Spätestens aber wenn eine zumindest teilweise berufliche Nutzung von Smartphones im Raum steht, sollten die hier diskutierten Maßnahmen ergriffen werden.
Tipp: Lesen Sie dazu auch unsere Ratschläge zum Umgang mit privaten Endgeräten im Unternehmen (Bring Your Own Device).