| name | mobile-private |
| description | Sichert und wertet Mobile Devices (Smartphones, Tablets) forensisch aus – MDM, Passwortzugriff, BYOD-Grenzen, DSGVO im Internal Investigations Praxis: prüft konkret die einschlägigen Tatbestandsmerkmale, Fristen, Belege und Rechtsprechung. Liefert priorisierten Output mit Norm-Pinpoints, Risikoampel und nächstem Arbeitsschritt. |
Mobile-Device-Forensik in Internal Investigations
Arbeitsbereich
Sichert und wertet Mobile Devices (Smartphones, Tablets) forensisch aus – MDM, Passwortzugriff, BYOD-Grenzen, DSGVO. Die Prüfung konzentriert sich auf diese Prüfungslinie und trennt Rolle, Frist, Zuständigkeit, Beweislast und gewünschten Output.
Arbeitsweg
- Rolle, Ziel und gewünschtes Arbeitsprodukt klären: Wer handelt, welche Entscheidung steht an, welche Frist läuft und welcher Output wird gebraucht?
- Fristen und Eilrisiken zuerst markieren: die im Fachgebiet einschlägigen Verfahrens-, materiellen und Anmeldefristen vorab markieren und nicht aus Modellwissen finalisieren (insbesondere Widerspruch 1 Monat, Klage 1 Monat, Verjährung §§ 195, 199 BGB / spezialgesetzlich).
- Tragende Normen verifizieren: DSGVO Art. 5, 6, 7, 9, 12-22, 25, 28, 30, 32, 33-34, 35, 51-58, 77-83, BDSG §§ 22-25, 26, 30; StPO §§ 53, 97, 102, 110, 136, 137, 152, 153a, BGB §§ 280, 626, BRAO § 43a, GwG, AntiDopG, HinSchG; StPO; HinSchG — Fundstellen über gesetze-im-internet.de, dejure.org, openJur, BVerfG-/BGH-/EuGH-Datenbank live prüfen; keine Modellwissen-Zitate.
- Zuständige Stelle bestimmen und Adressaten richtig wählen: Mandant, Gegner, zuständige Behörde oder Gericht, Sachverständige, ggf. EU-/internationale Stelle (siehe Skill-Detail).
- Dokumente und Beweismittel sammeln und auf Lücken prüfen: Verwaltungsakte, Vertragsurkunden, Schriftsätze, Bescheide, Protokolle, Sachverständigengutachten und externe Beweismittel des Fachgebiets — fehlende Belege durch Akteneinsicht oder Rückfrage beim Mandanten beschaffen, Live-Check für tagesaktuelle Normänderungen und Verwaltungspraxis.
Rechtlicher Rahmen
Smartphones und Tablets sind in Internal Investigations zentrale Beweisquellen: Textnachrichten, WhatsApp, Signal, Fotos, GPS-Daten und Browserverläufe. Die forensische Sicherung ist jedoch rechtlich komplex: Unternehmensgeräte sind leichter zugänglich als private Geräte (BYOD). § 26 BDSG und Art. 5 Abs. 1 lit. c DSGVO (Datenminimierung) setzen klare Grenzen (gesetze-im-internet.de). Das Auslesen privater Geräte ohne Einwilligung oder gesonderte Rechtsgrundlage ist regelmäßig unzulässig und kann § 202a StGB (Ausspähen von Daten, gesetze-im-internet.de) erfüllen.
Ziel dieses Skills
Dieser Skill stellt sicher, dass Mobile-Device-Daten rechtssicher gesichert werden, die richtigen technischen Methoden eingesetzt werden und DSGVO- sowie Strafrecht-Grenzen beachtet werden.
Arbeitsprogramm
1. Gerätetypen und Zugangsmethoden
- iOS (iPhone/iPad): Gerätesperre; Backup über iTunes/iCloud; forensisch: GrayKey, Cellebrite UFED.
- Android: variiert stark nach Hersteller; ABD (Android Debug Bridge), forensisch: Cellebrite, Oxygen Forensics, Magnet Axiom.
- Unternehmensgeräte mit MDM (Mobile Device Management, z. B. Intune, MobileIron): Remote-Backup und Fernlöschung möglich.
- BYOD (Bring Your Own Device): Container-Apps trennen Unternehmensdaten von privaten; forensisch nur Container zugänglich.
2. Rechtsgrundlage für Unternehmensgeräte
- Eigentum des Unternehmens: IT-Richtlinie / AGB des Arbeitgebers regeln zulässige Nutzung.
- § 26 BDSG: Verarbeitung zur Aufdeckung von Straftaten muss verhältnismäßig sein.
- MDM-Backup-Zugriff: in der Regel vom Betriebsrat mitbestimmt (§ 87 Abs. 1 Nr. 6 BetrVG); ohne Zustimmung droht Verwertungsverbot.
- Betriebsvereinbarung über Mobile-Device-Nutzung als Erlaubnisgrundlage.
3. Rechtsgrundlage für private Geräte (BYOD)
- Ohne Einwilligung des Mitarbeiters: Zugriff auf private Daten ist regelmäßig unzulässig.
- Einwilligung: freiwillig, informiert, widerruflich; im Verhältnis Arbeitgeber/Arbeitnehmer nur bedingt freiwillig.
- Alternative: Mitarbeiter wird aufgefordert, selbst relevante Daten zu exportieren und zu übergeben; Vollständigkeit kann nicht überprüft werden.
- § 202a StGB: unbefugter Zugriff auf fremde Daten ist strafbar.
4. Technische Extraktionsmethoden
- Logical Extraction: Zugriff auf Betriebssystemebene (Apps, Kontakte, Nachrichten); einfachste Methode.
- File System Extraction: direkter Dateisystemzugriff (mehr Daten als logical, weniger als physical).
- Physical Extraction: bit-genaue Kopie des internen Speichers; höchste Datenmenge, aber schwieriger bei modernen Geräten.
- Chip-Off / JTAG: destruktive Methode für beschädigte oder passwortgesperrte Geräte; forensisches Labor erforderlich.
5. Passwortzugriff
- Passwort-Brute-Force: rechtlich zulässig, wenn Eigentümer Gerät nicht entsperrt; aber: Gerät löscht sich nach 10 Fehlversuchen.
- MDM-Entsperrung: Admin kann PIN-Reset durchführen (nur bei MDM-verwalteten Geräten).
- Mitarbeiter wird aufgefordert, Gerät zu entsperren: arbeitsrechtliche Pflicht, wenn Gerät dem Arbeitgeber gehört.
- Verweigerung der Entsperrung bei privaten Geräten: kann nicht erzwungen werden; Beweisverwertung durch Schlussfolgerungen aus Verweigerung ist umstritten.
6. Cloud-Backup und Datensynchronisation
- iCloud/Google Drive: Backups meist nicht E2E-verschlüsselt für Apple/Google selbst; Zugriff über Strafverfolgungsbehörden möglich (§ 100j StPO).
- Unternehmensadministratoren haben bei unternehmenseigenen Cloud-Konten direkten Zugriff.
- DSGVO Art. 49: Herausgabe an US-Strafverfolgungsbehörden bedarf Rechtsgrundlage.
7. Dokumentation
- Gerätebeschreibung: Hersteller, Modell, Seriennummer, IMEI, iOS/Android-Version.
- Hash-Werte vor und nach Extraktion.
- Chain-of-Custody-Protokoll.
- Welche Daten wurden extrahiert, welche nicht (z. B. private Apps ausgeschlossen)?
Red-Team-Fragen
- Wurde zwischen Unternehmensgerät und BYOD-Gerät rechtssicher unterschieden?
- Haben IT-Administratoren MDM-Backups ohne vorherige Betriebsrats-Zustimmung abgerufen?
- Wurden private Daten auf Unternehmensgeräten gefiltert, bevor der Forensiker ausgewertet hat?
- Ist der Passwortzugriff dokumentiert und auf zulässige Methoden beschränkt?
- Gibt es Hinweise auf Daten in Cloud-Backups, die nicht im Gerät-Image vorhanden sind?
- Sind Hash-Werte dokumentiert und stimmen sie mit den Originaldaten überein?
Normenregister
Ausgabeformate
- Geräteklassifizierungs-Matrix (Unternehmensgerät/BYOD × Zugangsmethode × Rechtsgrundlage)
- MDM-Extraktionsprotokoll
- Einwilligungsformular für BYOD-Forensik
- Chain-of-Custody-Protokoll für Mobile Devices
- DSGVO-Filterkonzept für private Daten auf Unternehmensgeräten
Rechtsprechungszitate nur mit Gericht, Datum, Aktenzeichen und frei prüfbarer Quelle.
