Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Herstelleranforderungen zur Sicherheit von Smartphones definiert und in einem 10-seitigen Dokument veröffentlicht.
In dem vom BSI veröffentlichten Anforderungskatalog sind Sicherheitskriterien definiert, welche ein Smartphone im Auslieferungszustand und darüber hinaus erfüllen sollte. Dieses Papier bildet sicher zunächst eine Diskussionsgrundlage. Das Ergebnis könnte dann in konkreten Richtlinien für die Erteilung eines IT-Sicherheitskennzeichens einfließen. Die Etablierung eines derartigen Sicherheitskennzeichens ist derzeit von der Bundesregierung geplant.
Der Auftrag an die Hersteller ist klar definiert. Die Geräte müssen so sicher wie möglich gemacht werden, sowohl im Auslieferungszustand als auch im weiteren Betrieb. So sieht es das BSI als erforderlich an, dass sicherheitsrelevante Updates für einen Zeitraum von 5 Jahren ab Erscheinen des Geräts sichergestellt sind. Weiterhin müsse die Einbindung von Cloud-Angeboten DSGVO-konform stattfinden und dürfe nicht standardmäßig aktiviert sein. Telemetriedaten dürfen nur in einer für den Anwender nachvollziehbaren Art und Weise sowie nach dessen Einwilligung verarbeitet werden.
Die in dem Papier veröffentlichen Anforderungen haben natürlich keinen Gesetzescharakter, könnten jedoch in das von der Bundesregierung geplante IT-Sicherheitsgesetz 2.0 einfließen.
Für Datenschutzbeauftragte bringt dieser Anforderungskatalog des BSI jedoch sicher die eine oder andere Hilfestellung mit sich. Gerade wenn im Zusammenhang mit dem Neukauf von Smartphones der datenschutzrechtliche Aspekt, insbesondere im Hinblick auf die Anforderungen des Art. 25 und Art. 32 der Datenschutzgrundverordnung (DSGVO) bewertet werden soll, kann dieses Papier die eine oder andere Hilfestellung liefern. Sicher wird eine datenschutzrechtliche Prüfung der derzeit am Markt angebotenen Geräte eine mehr oder weniger ernüchternde Erkenntnis bringen, nicht alle gewünschten Informationen wird man vermutlich im Vorfeld von den Herstellern bekommen können. Zumindest geht mit dem veröffentlichten Dokument aber der Weg in die richtige Richtung.