Was ist die DSGVO?
Die DSGVO („Datenschutz-Grundverordnung) ist eine Verordnung der EU, die die Verarbeitung persönlicher Daten durch Unternehmen regelt.
Sie regelt dabei einerseits den Umgang mit persönlichen Daten der Angestellten in einem Unternehmen. Und andererseits den Umgang mit den personenbezogenen Daten der Verbraucher*innen. Die Umsetzung in den jeweiligen EU-Mitgliedstaaten wird durch nationale Gesetze geregelt.
Laut der Datenschutzgrundverordnung unterliegt die Verarbeitung personenbezogener Daten verschiedenen Auflagen, wie z. B. der Meldepflicht oder der Rechenschaftspflicht.
DSGVO-Bußgelder
Nebenbei stärkt die DSGVO die Rechte von Verbraucher*innen. Verstößt ein Unternehmen gegen eine Richtlinie der DSGVO, so kann gegen das Unternehmen eine Strafe von bis zu 20 Millionen Euro oder vier Prozent des Vorjahresumsatzes verhängt werden.
DSGVO-Verstöße können für Unternehmen richtig schmerzhaft werden
Personen, die aufgrund eines Verstoßes gegen eine DSGVO-Richtlinie einen Schaden erleiden, haben Schadensersatzansprüche. Der Schutz der DSGVO gilt jedoch nicht grenzenlos, sondern unterliegt verschiedenen Beschränkungen.
Automatisierte Datenverarbeitung
Der Anwendungsbereich der DSGVO erstreckt sich auf „ganz oder teilweise automatisierte Verarbeitung sowie [auf] die nicht automatisierte Verarbeitung personenbezogener Daten“. Dies umfasst alle Verwertungen persönlicher Daten durch ein EDV-System, wie zum Beispiel Mailing-Programme (wie etwa Sendgrid, Mailchimp, Cleverreach oder Rapidmail) oder Customer-Relation-Management-Systeme („CRM“, zum Beispiel SAP, Salesforce, Hubspot, Zendesk oder Creatio).
EU-DSGVO: Geltungsbereich
Bei der DSGVO handelt es sich nicht um Empfehlungen, sondern um verbindliche und europaweit gültige Richtlinien. Die Einhaltung ist demnach unbedingt sicherzustellen. Die allgemeinen Grundsätze sind zu befolgen.
Dabei ist stets darauf zu achten, dass die Verarbeitung nach fairen und gewissenhaften Kriterien erfolgt. Aber auch Transparenz ist in diesem Fall sehr wichtig. Eine anlasslose Vorratsdatenspeicherung ist grundsätzlich zu unterlassen.
Alle Grundsätze sind gleichwertig. Eine besonders große Rolle ist jedoch der Transparenz beizumessen. Bei jeder Datenerhebung ist die jeweilige Person über die Dimension sowie den Grund der Datenverarbeitung zu unterrichten; die Verarbeitung ist zustimmungspflichtig.
Dokumentation notwendig
Im Rahmen der Rechenschaftspflicht nach Artikel 5 muss das Unternehmen jederzeit in der Lage sein, die Einhaltung der DSGVO-Richtlinien zu belegen. Eine fehlende oder mangelhafte Dokumentation kann empfindliche Strafen nach sich ziehen.
Die Rechenschaftspflicht ist an die Gewährleistung der Datensicherheit, der Entwicklung von Vorgehensweisen zur Einhaltung von DSGVO-Richtlinien sowie an Verarbeitungsverzeichnisse gekoppelt.
Kommt es zu Schadensersatzansprüchen, hat eine fehlerhafte Dokumentation der Datenverarbeitung gravierende Auswirkungen auf ein Unternehmen.
Der Schutz der DSGVO bezieht sich nicht direkt auf die Daten, sondern auf die Grundrechte der betreffenden Person. Daher ist ausschließlich der Schutz von natürlichen Personen möglich. Juristische Personen wie Unternehmen sind davon ausgenommen.
Bedeutung der DSGVO bei „Bring your own Device“ (BYOD)
Beim BYOD-Prinzip bringen Mitarbeiter*innen ihre eigenen Mobilgeräte mit an den Arbeitsplatz. Durch diese Vorgehensweisen erhofft man sich mehr Komfort und Kosteneinsparungen. Sinnvolle Klauseln in Arbeitsverträgen sollen Klarheit und Ordnung schaffen.
Allerdings bringt das BYOD-Konzept (auch „Consumerization“ genannt) eine Reihe eklatanter Sicherheitsprobleme mit sich: Nicht nur Hacks, sondern auch Viren oder der Diebstahl von Daten bergen Gefahren. Letztendlich ist es nur eine Frage der Zeit, bis „bring your own Device“ scheitert.
BYOD und der Schutz personenbezogener Daten
Bring your own Device hat scheinbar eine Menge Vorzüge: So werden Anschaffungs- und Unterhaltskosten eingespart sowie administrative Prozesse, wie z. B. die Terminverwaltung optimiert. Die Angestellten sind mit ihren eigenen Mobilgeräten ja bereits vertraut.
Aber: Eine klare Trennung der privaten und beruflichen Daten auf den Endgeräten gibt es ohne weiteres Zutun nicht.
„Dark BYOD“
Ist das Betriebssystem aktuell? Das letzte Sicherheitsupdate installiert? Welche Geräte sind überhaupt mit Unternehmensdaten bestückt?
Who knows. Zuverlässige Kontrollen der Geräte sind durch den Arbeitgeber fast nicht umsetzbar. Mangelhafte Passwörter, ausgelassene Updates, Jailbreaks, Rooting, unsichere Apps aus den Tiefen des Internets, neugierige Apps, die ungefragt Daten in die USA oder nach China übertragen – überall lauern Datenschutz-Risiken.
Wenn nicht einmal bekannt ist, welche Geräte überhaupt alle Zugang haben, spricht man von „Dark BYOD“. Weniger Kontrolle und Compliance geht nicht.
DSGVO und Mobilgeräte: Nutzer*innen sensibilisieren
Überwachung, Identitätsdiebstahl, Ransomware oder nicht-autorisierte Datenverarbeitung: mögliche Risiken gibt es genug.
Durch einen konsequenten Sensibilisierungsprozess der Belegschaft lässt sich zumindest das Bewusstsein für die Problematik steigern. Aufklärung sowie Risikoanalyse sind daher enorm wichtig.
Hört man nicht gerne, aber oft sind die Angestellten selbst ein nicht zu unterschätzendes Sicherheitsrisiko
Der nächste DSGVO-Schritt: Mobilgeräte mit MDM verwalten
Grundsätzlich gilt: Die unbefugte Verarbeitung personenbezogener Daten ist zu vermeiden.
Da Unternehmen kaum kontrollieren können, ob und wie diese Verarbeitung auf BYOD-Geräten stattfindet, sollte das ganze BYOD-Ausstattungsmodell kritisch hinterfragt werden.
Auf der sicheren Seite sind Unternehmen mit dedizierten Firmengeräten. Wenn diese Geräte mit einer MDM-Software ausgestattet sind, ist sogar eine (zusätzliche) private Nutzung möglich: Denn das MDM verhindert den unbefugten Zugriff privater Apps auf die Firmendaten.
Lies hierzu auch:
Containerisierung
Zur Trennung von privaten und geschäftlichen Dateien ist die Anwendung von speziellen Containern zu befürworten. Dadurch ist eine Mischnutzung im privaten Bereich sowie im Job möglich.
Ein MDM hilft nicht nur beim Datenschutz, sondern auch bei der Geräte- und Softwareverwaltung.
Zu den typischen MDM-Funktionen gehört zum Beispiel:
- Steuerung von Betriebssystem-Updates
- Fernlöschung der Daten aus dem Arbeitsbereich bei Geräteverlust
- kontaktlose Bereitstellung („Zero Touch“)
- Policy Enforcement, zum Beispiel erzwungene Passcode-Verwendung
- Anbindung an Exchange-Server
- Nutzungsanalyse (Datenverbrauch etc.)
Warum Mobiles Device Management wichtig für den Datenschutz ist
Über ein MDM-System lassen sich firmeneigene Sicherheitsrichtlinien erstellen. Vorgaben für den Zugang zum WLAN-Netz oder für die Passwortlänge lassen sich auf diese Weise festlegen. Eine Verschlüsselung schützt dabei vor Cyber-Attacken. Kommt es zu einem Verlust von Daten, lässt sich über MDM dennoch darauf zugreifen.
Eine MDM-Software hilft dabei, grundlegende Sicherheitsfunktionen auf Smartphones einzurichten. Vollständigen Schutz gegen Viren, Malware und Hacker bietet sie allerdings nicht. Hierfür gibt es spezielle Software zur Abwehr mobiler Bedrohungen („Mobile Threat Defense“), die wir euch gerne anbieten. Klicke hier für weitere Infos.
Herausforderungen durch die DSGVO bei Benutzung mobiler Endgeräte: Fazit
Heutzutage lässt sich der berufliche Alltag auch mobil sicher gestalten. Auch mobile Daten unterliegen dem besonderen Schutz der DSGVO, welcher durch den Arbeitgeber umzusetzen ist.
Eine MDM-Software richtet einen verschlüsselten Workspace auf den Geräten ein, auf dem die Firmendaten laut Sicherheits-Policy gut geschützt sind. Mit einem MDM geschützte Geräte können auch privat genutzt werden: Private und berufliche Daten bleiben DSGVO-konform auf den Geräten getrennt.
