Die DSGVO (Datenschutzgrundverordnung) wurde 2018 ins Leben gerufen, um die Verarbeitung persönlicher Daten von europäischen Firmen zu disponieren. Unser Artikel erläutert ihre Bedeutung für Mobile Device Management (MDM).
Was ist die DSGVO?
Die DSGVO ist eine Verordnung der EU, die die Verarbeitung persönlicher Daten durch Unternehmen regelt.
Sie regelt dabei einerseits den Umgang mit persönlichen Daten der Angestellten in einem Unternehmen. Uns andererseits den Umgang mit den personenbezogenen Daten der Verbraucher*innen. Die Umsetzung in den jeweiligen EU-Mitgliedstaaten wird durch nationale Gesetze geregelt.
Laut der Datenschutzgrundverordnung unterliegt die Verarbeitung personenbezogener Daten verschiedenen Auflagen, wie z. B. der Meldepflicht oder die Rechenschaftspflicht.
DSGVO-Bußgelder
Nebenbei stärkt die DSGVO die Rechte von Verbrauchern. Verstößt ein Unternehmen gegen eine Richtlinie der DSGVO, so kann gegen das Unternehmen eine Strafe von bis zu 20 Millionen Euro verhängt werden.
Personen, die aufgrund eines Verstoßes gegen eine DSGVO-Richtlinie einen Schaden erleiden, haben Schadensersatzansprüche. Der Schutz der DSGVO gilt jedoch nicht grenzenlos, sondern unterliegt verschiedenen Beschränkungen.
Automatisierte Datenverarbeitung
Der Anwendungsbereich der DSGVO erstreckt sich auf „ganz oder teilweise automatisierte Verarbeitung sowie [auf] die nicht automatisierte Verarbeitung personenbezogener Daten“. Dies umfasst alle Verwertungen persönlicher Daten durch ein EDV-System, wie z. B. Mailing-Programme oder Customer-Relation-Management-Systeme.
EU-DSGVO: Geltungsbereich
Bei der DSGVO handelt es sich nicht um Empfehlungen, sondern um verbindliche und europaweit gültige Richtlinien. Die Einhaltung ist demnach unbedingt sicherzustellen. Die allgemeinen Grundsätze sind zu befolgen.
Dabei ist stets darauf zu achten, dass die Verarbeitung nach fairen und gewissenhaften Kriterien erfolgt. Aber auch Transparenz ist in diesem Fall sehr wichtig. Eine anlasslose Vorratsdatenspeicherung ist grundsätzlich zu unterlassen.
Alle Grundsätze sind gleichwertig. Eine besonders große Rolle ist jedoch der Transparenz beizumessen. Bei jeder Datenerhebung ist die jeweilige Person über die Dimension sowie den Grund der Datenverarbeitung zu unterrichten; die Verarbeitung ist zustimmungspflichtig.
Dokumentation notwendig
Im Rahmen der Rechenschaftspflicht nach Artikel 5 muss das Unternehmen jederzeit in der Lage sein, die Einhaltung der DSGVO-Richtlinien zu belegen. Eine fehlende oder mangelhafte Dokumentation kann empfindliche Strafen nach sich ziehen.
Die Rechenschaftspflicht ist an die Gewährleistung der Datensicherheit, der Entwicklung von Vorgehensweisen zur Einhaltung von DSGVO-Richtlinien sowie an Verarbeitungsverzeichnisse gekoppelt.
Kommt es zu Schadensersatzansprüchen, hat eine fehlerhafte Dokumentation der Datenverarbeitung gravierende Auswirkungen auf ein Unternehmen.
Der Schutz der DSGVO bezieht sich nicht direkt auf die Daten, sondern auf die Grundrechte der betreffenden Person. Daher ist ausschließlich der Schutz von natürlichen Personen möglich. Juristische Personen wie Unternehmen sind davon ausgenommen.
Bedeutung der DSGVO bei „Bring your own Device“ (BYOD)
Beim BYOD-Prinzip bringen Mitarbeiter Ihre eigenen Mobilgeräte mit an den Arbeitsplatz. Durch diese Vorgehensweisen erhofft man sich mehr Komfort und Kosteneinsparungen. Sinnvolle Klauseln in Arbeitsverträgen sollen Klarheit und Ordnung schaffen.
Allerdings bringt das BYOD-Konzept (auch „Consumerization“ genannt) eine Reihe eklatanter Sicherheitsprobleme mit sich: Nicht nur Hacks, sondern auch Viren oder der Diebstahl von Daten bergen Gefahren. Letztendlich ist es nur eine Frage der Zeit, bis „Bring your own Device“ scheitert.
BYOD und der Schutz personenbezogener Daten
Bring your own Device hat scheinbar eine Menge Vorzüge: So werden Anschaffungs- und Unterhaltskosten eingespart sowie administrative Prozesse, wie z. B. die Terminverwaltung optimiert. Die Angestellten sind mit ihren eigenen Mobilgeräten ja bereits vertraut.
Aber: Eine klare Trennung der privaten und beruflichen Daten auf den Endgeräten gibt es ohne weiteres Zutun nicht.
„Dark BYOD“
Ist das Betriebssystem aktuell? Das letzte Sicherheitsupdate installiert? Welche Geräte sind überhaupt mit Unternehmensdaten bestückt?
Who knows. Zuverlässige Kontrollen der Geräte sind durch den Arbeitgeber fast nicht umsetzbar. Mangelhafte Passwörter, ausgelassene Updates, Jailbreaks, Rooting, unsichere Apps aus den Tiefen des Internets, neugierige Apps, die ungefragt Daten in die USA oder nach China übertragen – überall lauern Datenschutz-Risiken.
Wenn nicht einmal bekannt ist, welche Geräte überhaupt alle Zugang haben, spricht man von „Dark BYOD“. Weniger Kontrolle und Compliance geht nicht.
DSGVO und Mobilgeräte: Nutzer sensibilisieren
Überwachung, Identitätsdiebstahl, Ransomware oder nicht-autorisierte Datenverarbeitung: mögliche Risiken gibt es genug.
Durch einen konsequenten Sensibilisierungsprozess der Belegschaft lässt sich zumindest das Bewusstsein für die Problematik steigern. Aufklärung sowie Risikoanalyse sind daher enorm wichtig.
Der nächste DSGVO-Schritt: Mobilgeräte mit MDM verwalten
Grundsätzlich gilt: Die unbefugte Verarbeitung personenbezogener Daten ist zu vermeiden.
Da Unternehmen kaum kontrollieren können, ob und wie diese Verarbeitung auf BYOD-Geräten stattfindet, sollte das ganze BYOD-Ausstattungsmodell kritisch hinterfragt werden.
Auf der sicheren Seite sind Unternehmen mit dedizierten Firmengeräten. Wenn diese Geräte mit einer MDM-Software ausgestattet sind, ist sogar eine (zusätzliche) private Nutzung möglich: Denn das MDM verhindert den unbefugten Zugriff privater Apps auf die Firmendaten.
Lesen Sie hierzu auch:
Containerisierung
Zur Trennung von privaten und geschäftlichen Dateien ist die Anwendung von speziellen Containern zu befürworten. Dadurch ist eine Mischnutzung im privaten Bereich sowie im Job möglich.
Ein MDM hilft nicht nur beim Datenschutz, sondern auch bei der Geräte- und Softwareverwaltung.
Zu den typischen MDM-Funktionen gehört zum Beispiel:
- Steuerung von Betriebssystem-Updates
- Fernlöschung der Daten aus dem Arbeitsbereich bei Geräteverlust
- kontaktlose Bereitstellung („Zero Touch“)
- Policy Enforcement, zum Beispiel erzwungene Passcode-Verwendung
- Anbindung an Exchange-Server
- Nutzungsanalyse (Datenverbrauch etc.)
Warum Mobiles Device Management wichtig für den Datenschutz ist
Über ein MDM-System lassen sich firmeneigene Sicherheitsrichtlinien erstellen. Vorgaben für den Zugang zum WLAN-Netz oder für die Passwortlänge lassen sich auf diese Weise festlegen. Eine Verschlüsselung schützt dabei vor Cyber-Attacken. Kommt es zu einem Verlust von Daten, lässt sich über MDM dennoch darauf zugreifen.
Herausforderungen durch die DSGVO bei Benutzung mobiler Endgeräte: Fazit
Heutzutage lässt sich der berufliche Alltag auch mobil sicher gestalten. Auch mobile Daten unterliegen dem besonderen Schutz der DSGVO, welcher durch den Arbeitgeber umzusetzen ist.
Eine MDM-Software richtet einen verschlüsselten Workspace auf den Geräten ein, auf dem die Firmendaten laut Sicherheits-Policy gut geschützt sind. Mit einem MDM geschützte Geräte können auch privat genutzt werden: Private und berufliche Daten bleiben DSGVO-konform auf den Geräten getrennt.