Daten unter Verschluss auf mobilen Geräten

Auch wenn die EU-Datenschutz-Grundverordnung mittlerweile in Kraft getreten ist, beschäftigt sie die Unternehmen weiter. Zum einen sind längst noch nicht alle mit ihren Anpassungen fertig, zum anderen gibt es Bereiche, an die gar nicht gedacht wird, wenn es um Daten geht, die unter den Schutz der DSGVO fallen.

Am Thema DSGVO dranzubleiben empfiehlt sich schon deshalb, weil die Schonfrist für Unternehmen, die bislang allzu lasch mit personenbezogenen Daten umgegangen sind, nun endgültig vorbei ist – und die Höchststrafen bei Verstößen bei über 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes eines Unternehmens liegen.

Wie hoch die Bußgelder am Ende wirklich ausfallen, darüber kann man bislang nur spekulieren. Während viele Kontrollbehörden erklären, sich nicht aktiv auf die Jagd nach Unternehmen begeben zu wollen, die gegen die Bestimmungen verstoßen, gehen Experten wie Markus Adolph, Geschäftsführer des Mobility-Dienstleisters EBF in Köln, davon aus, dass zumindest in Deutschland sehr schnell sehr hohe Strafen verhängt werden dürften, um einen abschreckenden Effekt zu erzielen.

Viele Bestimmungen der EU-Datenschutz-Grundverordnung finden sich allerdings auch schon in der EU-Richtlinie von 1995 und im Bundesdatenschutzgesetz. Aber es gibt auch eine Reihe deutlicher Verschärfungen. Dies gilt vor allem für die bereits genannten Bußgelder, aber auch die Dokumentationspflichten allgemein sowie die Beweispflichten für die Auftragsverarbeitung und die Cloud-Dienstleistungen wurden deutlich enger gefasst.

Der Schutz von personenbezogenen Daten auf mobilen Endgeräten wie Tablets und Smartphones oder mobilen Apps, die aus der Cloud bezogen werden, spielt bei der Umsetzung der EU-DSGVO eine wichtige Rolle. Schließlich können laut einer Studie der Marktforscher von IDC 30 Prozent der Mitarbeiter in deutschen Unternehmen mobil auf Kundendaten zugreifen – und diese sind neben Mitarbeiter- oder Lieferanteninformationen nur ein Teilbereich personenbezogener Daten. Ein weiteres Ergebnis der Studie ist: 40 Prozent der befragten Unternehmen wollen wegen der EU-DSGVO neue Mobility-Projekte anstoßen, nur 29 Prozent stellen diese zurück. Und die Mehrheit der Unternehmen hat inzwischen erkannt: Sie müssen jetzt investieren, um die Compliance und Sicherheit mobiler Endgeräte, Apps und Daten zu gewährleisten.

Diese Investitionen sind auch dringend nötig, denn jedes dritte Smartphone mit Zugriff auf Firmendaten ist heute nicht über ein Enterprise-Mobility-Management-System abgesichert, so noch ein Befund der Studie. Die Marktforscher von IDC warnen: „IT-Entscheider müssen den Schutz personenbezogener Firmendaten insbesondere auf privaten Devices dringend in den Griff bekommen, sonst wird die DSGVO-Compliance nicht zu halten sein.“

Dabei gilt: Je smarter mobile Technologien werden, umso weniger geht es den ­Nutzern um das Gerät selbst, sondern darum, was damit möglich ist – im Zentrum stehen also die Anwendungen. Deshalb sind Mobile-Device-Management-Lösungen (MDM), mit denen in erster Linie die mobilen Geräte im Unternehmen verwaltet werden können, nicht mehr ausreichend. Denn MDM ist lediglich der erste Baustein einer umfassenden EMM-Strategie (Enterprise Mobility Management). Diese bietet neben der Verwaltung der Endgeräte auch Lösungen zu den Themen Mobile App, Mobile Content und Mobile Information Management.

Bei Ersterem wird geregelt, welche Apps im Unternehmen angeboten werden und welche Anwender welche Applika­tionen nutzen dürfen. Mobile Content Management hat das Ziel, Inhalte auf mobilen Endgeräten verfügbar zu machen. Diese sollten dabei gesichert beziehungsweise verschlüsselt übertragen und vorgehalten werden, auch die Synchronisation von Daten mit internen Servern ist hier verankert (Mobile­ Information Management).

Diese Verfahren aus dem Bereich Enterprise Mobility Management sind wegweisend beim Schutz von Persönlichkeitsrechten und sie helfen dabei, nachzuweisen, dass die verantwortlichen Stellen entsprechende Schutzmechanismen aufgebaut haben. Denn die EU-DSGVO erlegt Unternehmen und Auftragsverar­beitern umfangreiche Dokumentationspflichten auf und führt gegenüber den bisher gültigen Bestimmungen eine Beweislastumkehr bei Auftragsverarbeitung und Cloud-Dienstleistungen ein.

Diese Beweislastumkehr hat zur Folge, dass die verantwortlichen Unternehmen Maßnahmen zur Dokumentation der Einhaltung der EU-DSGVO jederzeit vorweisen können müssen – auch dann also, wenn keine Schadensfälle aufgetreten sind oder Klagen von betroffenen Personen eingereicht wurden. Dies ist letztlich nur mit dem Einsatz eines EMM-Systems möglich.

Enterprise-Mobility-Management-Lösungen helfen aber auch dabei, weitere Vorgaben der EU-DSGVO wie beispielsweise Transparenz, Zweckbindung, Datensparsamkeit, Datenrichtigkeit, die zeitlich begrenzte Speicherung sowie Integrität und Vertraulichkeit einzu­halten.

Die in einem EMM-System integrierten Steuerungsmechanismen sorgen dafür, dass eine klare Trennung von geschäftlichen und privaten Daten und Apps möglich ist. Häufig werden dabei Container-Lösungen eingesetzt, in denen die beruflichen und die privaten Daten in jeweils separaten Bereichen gespeichert und verarbeitet werden.

Dieser Container-Ansatz ist auch beim Thema Datenschutz für die Mitarbeiter hilfreich, weil diese ein Recht auf Privatsphäre haben – der Zugriff eines Unternehmens auf private E-Mails oder die Überwachung des privaten Surfverhaltens stellt in der Regel einen Verstoß gegen das Fernmeldegesetz dar, um nur ein Beispiel zu nennen. Allerdings schränken Container-Lösungen immer auch den Bedienkomfort ein, sie sind deshalb bei den Anwendern häufig nicht sonderlich beliebt, aber einfach notwendig.

Eine weitere Herausforderung ist für viele Unternehmen, den Zugriff ihrer Daten in der Cloud zu kontrollieren. Denn immer häufiger werden CRM-Programme oder andere IT-Dienstleistungen aus der Cloud bezogen und auch auf mobilen Endgeräten genutzt.

Dadurch ergeben sich neue Gefahrenquellen für die Unternehmensdaten, die durch diese Vielzahl an Zugriffsmöglichkeiten leicht in falsche Hände geraten können. Firmen sollten deshalb die Möglichkeit haben, die Zugriffe auf die Unternehmensdaten in der Cloud zu kontrollieren, und auf entsprechende Monitoring-Tools zurückgreifen – die auch mobile Endgeräte miteinbeziehen können. Und mit modernen Enterprise-Mobility-Management-Systemen ist es auch möglich, im Fall eines Diebstahls ein ­Tablet oder Smartphone zu sperren und die darauf vorhandenen Daten sicher zu löschen.

Markus Adolph ist Experte für Enterprise Mobility Management. Er erklärt, warum EMM-Systeme im Umfeld der EU-Datenschutz-Grundverordnung so wichtig sind.

Markus Adolph: Auf jeden Fall – wobei man sich aber auch bewusst sein muss, dass die EU-DSGVO nicht voraussetzt, dass ein Unternehmen eine EMM-Lösung im Einsatz hat. Man kann die Einhaltung auch organisatorisch abbilden, beispielsweise indem man auf Corporate Owned Devices – also Smartphones und Tablets im Firmenbesitz – keine personenbezogenen Daten zulässt. Das Problem dabei ist, dass ein Unternehmen die Einhaltung dieser Vorgabe nicht kontrollieren kann, und genau das schreibt die EU-DSGVO ja vor. Wir raten deshalb auf jeden Fall, eine EMM-Lösung einzusetzen. Vor allem durch die wachsende Zahl der mobilen Mitarbeiter oder Remote-Arbeiter ist ein EMM-System zentral für die Einhaltung der EU-DSGVO.

Adolph: Günstige MDM-Systeme haben in der Regel nur einen geringen Funktionsumfang und stellen nur Möglichkeiten zum Verwalten und Asset-Management von Endgeräten bereit. Um die Anforderungen der EU-DSGVO umzusetzen, benötigt man
jedoch weitergehende Funktionen zum Schutz von personenbezogenen Daten und der Datensicherheit.

com! professional: Ist die Vielfalt der Geräteklassen, die es in vielen Unternehmen gibt, ein Problem?

Adolph: Auf jeden Fall, Corporate Owned Devices, die auch privat genutzt werden dürfen, sind anders zu betrachten als Geräte im Firmenbesitz, die nur beruflich verwendet werden dürfen. Und dann gibt es ja noch viele private Endgeräte, die von den Mitarbeitern auch beruflich genutzt werden können – Stichwort Bring Your Own Device (BYOD).

com! professional: Was raten Sie bei BYOD?

Adolph: Wir raten eigentlich immer zu Container-Lösungen, die berufliche Daten wie E-Mails und Kontaktdaten von privaten Daten trennen. Ein API-Set sorgt zudem dafür, dass privat genutzte Applikationen nicht auf die Daten in diesem Container zugreifen können. Man kann ja einem Mitarbeiter nicht verbieten, WhatsApp auf seinem privaten Smartphone zu installieren.

Adolph: Sie ist relativ gering, denn eine Container-Lösung führt auch immer zu einer Usability-Einschränkung für den Anwender.

Die meisten Applikationen im Container sind anders zu bedienen als in den Standard-Applikationen. Kontakte vom persönlichen Adressbuch sind wiederum im Container nicht zugänglich, um nur einige Beispiele zu nennen. Doch letztlich haben Unternehmen im BYOD-Umfeld keine andere Wahl, als Container-Lösungen einzusetzen.

Adolph: Dann muss ein Unternehmen sicherstellen, dass keine firmenbezogenen Daten auf das Endgerät kommen. Und das ist gar nicht so einfach, denn ein Unternehmen muss ja auch kon­trollieren, dass der Datenabfluss in Fremdsysteme verhindert wird oder dass personenbezogene Daten auf Endgeräten auch zuverlässig gelöscht werden können. Wir raten deshalb in der Regel von BYOD-Konstellationen ab. „Corporate Owned Private Enabled“-Geräte sind ebenso vielfach im Einsatz. Da die Geräte sich in Firmen­eigentum befinden, stehen viel mehr Möglich­keiten zum Schutz von Daten zur Verfügung und eine Privatnutzung ist ­damit ebenfalls möglich. Reine Firmengeräte sind natürlich einfacher in der Abschottung, aber oft nicht gewollt. Da spielt das umfangreiche EMM dann seine Stärken aus.

com! professional: Rechnen Sie eigentlich bei Verstößen mit hohen Bußgeldern?

Adolph: Natürlich wissen wir noch nicht, wie hoch die Strafen letztlich sein werden – oder ob die Gerichte erst einmal Ermahnungen mit geringeren Bußgeldern verhängen. Nach der Meinung unserer Fachanwälte kann man aber davon ausgehen, dass in Deutschland sehr schnell sehr hohe Strafen verhängt werden, um einen abschreckenden Effekt zu bewirken. Und viele gehen davon aus, dass dabei keine Rücksicht auf den Fortbestand des Unternehmens genommen wird.

com! professional: Dazu kommt noch der Image-Schaden, schließlich werden die Urteile öffentlich gemacht …

Adolph: Aber wir dürfen auch nicht außer Acht lassen, dass wir ohnehin schon relativ restriktive Datenschutzgesetze haben. Wenn ein Unternehmen diese umsetzt, ist der Schritt zur EU-DSGVO nicht so groß. Wir verarbeiten als IT-Dienstleister beispielsweise auftragsbezogene Daten für unsere Kunden, und etliche dieser Kunden haben bei uns die Einhaltung des Datenschutzes auch schon überprüft.