Fokus auf die Empfehlungen der CNIL für mobile Anwendungen

Warum sind mobile Anwendungen ein großes Sicherheitsrisiko?

Mobile Anwendungen sind aus unserem Alltag nicht mehr wegzudenken, sei es für private oder berufliche Zwecke. Sie enthalten eine Vielzahl sensibler Daten und interagieren mit unterschiedlichen Systemen, wodurch sie zu bevorzugten Zielen für Cyberangriffe werden.

Um diesen Risiken zu begegnen, hat die Commission Nationale de l’Informatique et des Libertés (CNIL) – die französische Datenschutzbehörde – eine Reihe von Empfehlungen veröffentlicht, die darauf abzielen, die Sicherheit mobiler Anwendungen zu verbessern und die persönlichen Daten der Nutzer zu schützen. Die CNIL ist eine unabhängige Verwaltungsbehörde, die für die Einhaltung der Datenschutzgesetze in Frankreich verantwortlich ist und eine zentrale Rolle bei der Gestaltung der Datenschutzvorschriften auf europäischer Ebene spielt. Als Mitglied des European Data Protection Board (EDPB) trägt sie zur Durchsetzung der Datenschutz-Grundverordnung (DSGVO) bei, die einen einheitlichen Rahmen für Datenschutzgesetze in der gesamten Europäischen Union schafft.

„Die mobile Umgebung birgt größere Risiken für den Datenschutz und die Datensicherheit als das Web.“ CNIL – Mobile Anwendungen: Die CNIL veröffentlicht ihre Empfehlungen zum besseren Schutz der Privatsphäre

Diese Empfehlungen haben ein klares Ziel: Herausgeber, Entwickler und andere Akteure dabei zu unterstützen, die Datenschutz-Grundverordnung (DSGVO) einzuhalten und gleichzeitig Best Practices zur Risikominimierung umzusetzen. Doch wie lassen sich diese Empfehlungen konkret umsetzen? Und wie unterstützt Pradeo Unternehmen dabei?

Verantwortlichkeiten der Beteiligten

Ein zentrales Anliegen der CNIL ist die klare Definition der Rollen aller Akteure im Umfeld mobiler Anwendungen. Herausgeber, Entwickler, SDK-Anbieter, App-Store-Betreiber und Betriebssystemanbieter müssen klären, ob sie als Datenverantwortliche, Auftragsverarbeiter oder gemeinsam Verantwortliche für bestimmte Datenverarbeitungsvorgänge agieren. Diese Unterscheidung ist entscheidend, da sie den jeweiligen Grad der Verantwortung und die daraus resultierenden Verpflichtungen bestimmt.

Beispielsweise hat ein Entwickler, der eine Anwendung im Auftrag eines Herausgebers erstellt, ohne selbst personenbezogene Daten zu erfassen, andere Verpflichtungen als ein App-Herausgeber, der ein SDK mit Werbe-Trackern für gezieltes Marketing einsetzt.

• App-Herausgeber müssen sicherstellen, dass ihre Anwendungen sicher sind, Daten auf rechtmäßige Weise erhoben werden und Drittanbieter-Bibliotheken keine unerwarteten Aktionen ausführen.
• SDK-Anbieter sollten ihre Praktiken dokumentieren und Herausgeber über die tatsächliche Nutzung der gesammelten Daten informieren.
• Betriebssystemanbieter müssen strenge Berechtigungsrichtlinien umsetzen, den Zugriff auf sensible Daten begrenzen und fortschrittliche Sicherheitsmechanismen integrieren.
• App-Stores sollten transparente Validierungskriterien festlegen und überprüfen, ob Apps die Datenschutzprinzipien einhalten.

Transparenz und DSGVO-konforme Einwilligung

Nutzer müssen klar und verständlich darüber informiert werden, wie ihre Daten verarbeitet werden. Datenschutzrichtlinien sind oft lang, technisch oder fehlen gänzlich. Die CNIL empfiehlt, leicht verständliche Sprache zu verwenden und die Informationen zum richtigen Zeitpunkt bereitzustellen.

Die einfache Zustimmung zu allgemeinen Geschäftsbedingungen reicht nicht aus: Die Einwilligung muss freiwillig, informiert und zweckgebunden erfolgen. Zudem muss es Nutzern leicht gemacht werden, ihre Einwilligung zu widerrufen.

Sanktionen und rechtliche Risiken 

Die CNIL hat bereits Unternehmen wegen Verstößen sanktioniert, darunter Fälle von: 

• Unbefugter Datenerhebung ohne ausdrückliche Zustimmung. 

• Verwendung nicht konformer Werbetracker. 

Ab Frühjahr 2025 plant die CNIL verstärkte Kontrollen, um sicherzustellen, dass die Akteure die Vorschriften einhalten. 

Wie können mobile Anwendungen sicher gestaltet werden? 

Der Privacy by Design-Ansatz, den die CNIL empfiehlt, bedeutet, dass Datenschutz nicht als nachträgliche Maßnahme, sondern als integraler Bestandteil der Entwicklung mobiler Anwendungen betrachtet werden sollte. 

Dazu gehören die Minimierung der Datenerfassung, verstärkte Sicherheitsmaßnahmen (z. B. Verschlüsselung sensibler Daten) und eine genaue Prüfung integrierter Drittanbieter-Komponenten, insbesondere SDKs. 

Einfache Anwendungssicherheit mit Pradeo 

Um Unternehmen in diesem Prozess zu unterstützen, bietet Pradeo eine Reihe von Sicherheitslösungen für mobile Anwendungen an, die sicherstellen, dass sie den Sicherheitsanforderungen der CNIL und den besten Datenschutzpraktiken entsprechen. 

• APP SECURITY TESTING: Unser automatisierter Sicherheitsaudit erkennt unerwünschte Verhaltensweisen wie Werbe-Tracker oder unsichere Datenmanipulationen sowie Sicherheitslücken und unterstützt Unternehmen bei deren Behebung. 

• SHIELDING: Unsere Shielding-Lösung schützt den Anwendungscode und das geistige Eigentum, indem sie das Einfügen von schädlichem Code blockiert und Anwendungen vor Reverse Engineering und unbefugter Vervielfältigung schützt. 

• RUNTIME APPLICATION SELF-PROTECTION (RASP): Unsere eingebettete Sicherheitsbibliothek ermöglicht es mobilen Anwendungen, sich aktiv gegen Bedrohungen zu verteidigen und bietet Echtzeitschutz vor Angriffen. 

Die Empfehlungen der CNIL unterstreichen die Bedeutung eines proaktiven Datenschutzansatzes in mobilen Anwendungen. Durch die Umsetzung dieser bewährten Verfahren und den Einsatz fortschrittlicher Sicherheitslösungen wie denen von Pradeo können Unternehmen nicht nur ihre DSGVO-Compliance sicherstellen, sondern auch das Vertrauen der Nutzer stärken, indem sie sicherere und datenschutzfreundlichere Anwendungen bereitstellen.