Direkt zum Hauptbereich

Die Europäische Datenschutzgrundverordnung (GDPR) im Kontext der Enterprise Mobility



Diese Episode ist  auch als Podcast verfügbar: Zu meinen Podcasts

Die europäische Datenschutzgrundverordnung (kurz EU-DSGVO oder GDPR) tritt seit Mai 2018 in Kraft und sorgt für Unruhe bei den Unternehmen. Nach vier Jahren der Vorbereitung wurde die Regulierung final am 14. April 2016 vom EU Parlament abgesegnet und tritt seit dem 25. Mai 2018 in Kraft.

Aus Sicht eines EU-Bürgers eine feine Sache:
Die Tatsache, dass personenbezogene Daten nachweislich geschützt und nach Aufforderung vom Unternehmen gelöscht werden müssen, gefällt. Unternehmen unterschätzen oft das Thema Datenschutz und gehen leichtfertig mit personenbezogenen Daten um. Manch einer mag die Richtlinien der EU für überzogen halten, andere wiederum halten die GDPR (Kurzform für General Data Protection Regulation) für immens wichtig.

Jedoch ist die Unwissenheit noch sehr hoch – nach einer Studie der ZEW (Zentrum für Europäische Wirtschaftsforschung) sind für 55,9 % der deutschen Unternehmen aus dem Bereich der wissensintensiven Dienstleistern wie Rechts-, Steuer- und Unternehmensberater, Architektur- und Ingenieurbüros, Werbung und Marktforschung die DSGVO/GDPR nicht bekannt oder haben sich mit dem Thema noch nicht befasst. Selbst in der IKT-Branche ist für 12,5 % der Unternehmen die DSGVO/GDPR unbekannt und weitere 40% haben sich mit den Herausforderungen und dem
Anpassungsbedarf der sich durch die neue EU-Datenschutzgrundverordnung ergibt nicht befasst.

Quelle: http://ftp.zew.de/pub/zew-docs/brepikt/201801BrepIKT.pdf

Welche Unternehmen sind denn nun betroffen?

Zunächst gilt die Tatsache, dass alle Unternehmen die in der EU ansässig sind, sowie Unternehmen, die Daten von EU Bürgern verarbeiten, von der Grundverordnung betroffen sind. Somit müssen dies auch Unternehmen aus der Schweiz und allen anderen NICHT-EU-Ländern berücksichtigen, sofern Sie im Besitz von personenbezogenen Daten von EU Bürgern sind. Die Grundverordnung zielt als solches auf den Schutz von personenbezogenen Daten ab, die sich mit einer natürlichen Person verknüpfen lassen. Dabei ist es unerheblich, ob es sich um Datensätze von Mitarbeitern, Partnern oder Kunden handeln, allesamt sind schützenswert.

Bei Nichteinhaltung der Datenschutzgrundverordnung können Strafen in Höhe von bis zu 4% der weltweiten Unternehmensumsätze oder 20 Millionen Euro ausgesprochen werden – je nachdem, welches Strafe höher ausfallen kann.

In diesem Zusammenhang werde ich oft von meinen Kunden gefragt, ob es denn lediglich reichen würde, einen Datenschutz-Plan vorzustellen. Dabei gilt: Seit Mai 2018 müssen alle Unternehmen die Regularien der EU-Datenschutzgrundverordnung bereits einhalten – ein Plan reicht da nicht aus. Ebenso betrifft es auch jede Branche, in der personenbezogene Daten gespeichert werden. Unternehmen sollten bereits vertraut mit dem allgemeinen Datenschutz sein und entsprechende Compliance-Regelungen verfolgen. Besonders erwähnenswert ist jedoch, dass auch jedes Unternehmen, dass an der Unterstützung dieser Firma beteiligt ist – z.B. Cloud- oder Software-Anbieter – sich an die Datenschutz-Grundverordnung halten muss, da sie an der Datenspeicherung beteiligt sind, auch wenn keine direkte Beziehung zum Kunden besteht.

Was bedeutet dies nun für Unternehmen, die mobile Endgeräte im Einsatz haben?

Mobile Endgeräte stehen bei der Verarbeitung von personenbezogenen Daten ganz oben auf der Liste. Es gibt wenige Unternehmen, dessen Mitarbeiter nicht mit einem Smartphone, Tablet und/oder Notebook ausgestattet werden. Der europäische Datenschutzbeauftragte (European Data Protection Supervisor) hat bereits im Jahre 2017 die „Guidelines on the protection of personal data in mobile Devices“ herausgegeben, dabei gelten folgende Kernaussagen:

  • Mobile Geräte stellen ein höheres Risiko für den Datenschutz dar, als Desktop Computer (Seite 9)

  • Auf mobilen Geräten gespeicherte Daten müssen jederzeit löschbar sein (Seite 9)

  • Geräte- und Applikationsmanagement sind wichtige Elemente (Seite 12/13)

  • Trennung von privaten und dienstlichen Informationen beachten (Seite 14)

  • Auch bei auf Endgeräten gespeicherten Dokumenten ist das Recht auf Löschung anzuwenden (Seite 21)

Ebenso wurde auch definiert, was ein Breach, also ein Datenschutzvergehen, ist:

  • u.a. der Verlust eines Endgeräts ohne Löschmöglichkeit sowie File-Sharing ohne Kontrolle, … (Seite 23/24)

Somit ist bereits der Verlust oder Diebstahl eines Smartphones oder eines einfachen USB Sticks ein Vergehen, dass den EU Behörden gemeldet werden muss, sofern keine Sicherheitsmechanismen die Daten schützen können.

Das gesamte Dokument kann hier heruntergeladen werden: Guidelines on the protection of personal data in mobile Devices

Die wichtigsten Punkte, die aus der Sicht der Enterprise Mobility beachtet werden sollten

Das Thema der Europäischen Datenschutzgrundverordnung ist sehr komplex und muss unternehmensspezifisch betrachtet werden. Um sicherstellen zu können, dass Ihr Unternehmen mit der Europäischen Datenschutzgrundverordnung konform ist, empfehle ich Ihnen die Konsultierung eines Unternehmensberaters und/oder Rechtsanwalts, der sich auf dieses Thema spezialisert hat. Ich möchte Ihnen hiermit lediglich aus meine langjährigen Erfahrung in der Enterprise Mobility einen Denkanstoss geben, was Sie beachten sollten bzw. welche Themen aus der Sicht berücksichtigt werden sollten:

  • Rechenschaftspflicht (Art. 5 (2)) – Ausschließlich das Unternehmen ist verantwortlich für den Schutz von personenbezogenen Daten und muss dies nachweisbar vollziehen. Eine Vereinbarung, die ein Endanwender bei der Übergabe eines mobilen Endgeräts unterzeichnen muss und in denen die gesamte Rechenschaftspflicht im Sinne des Datenschutzes auf den Endanwender übertragen wird, ist nicht mehr gültig! Das Unternehmen und dessen Führung muss somit Sorge tragen, Technologien einzusetzen, die dem Datenschutz entsprechen. Erfolgt dennoch ein beabsichtigter Datenmissbrauch des Endanwenders, ist dies weiterhin ein Vergehen des Endanwenders. Das Unternehmen muss jedoch nachweisen können, mit Ihrer eingesetzten Technologie einen ausreichenden Schutz bewerkstelligt zu haben, muss den Vorfall jedoch dennoch den Behörden melden.
    Mögliches Szenario: Verwendung von Apps auf dem Endgerät, die Zugriff auf die Kontaktdaten haben möchten, das Endgerät jedoch nicht zwischen „privaten“ und „geschäftlichen“ Kontakten unterscheiden kann.
  • Recht auf Löschung / Right to be forgotten (Art. 17 & 19) – Jeder EU Bürger hat ein Recht auf die Löschung seiner Daten, sofern diese für das Vertragsverhältnis nicht mehr benötigt werden. Ausnahmeregelungen gibt es hier nur sehr wenige. Somit muss ein Unternehmen in der Lage sein, Daten des EU Bürgers nachweislich(!) gelöscht zu haben. Die besondere Herausforderung liegt hier bei mobil verarbeiteten Dokumenten.
    Mögliches Szenario 1: Der Versicherungsmakler lädt vor dem Kundentermin alle Policen seines Kunden auf sein Notebook, die Daten liegen lokal. Das Notebook wird gestohlen oder dem Makler wird gekündigt – die Daten dürfen im Nachgang nicht mehr brauchbar für den Makler sein.
    Mögliches Szenario 2: Der Mitarbeiter speichert Unternehmensdaten auf einem vom Unternehmen nicht verwalteten Speicherplatz in der Cloud oder einem unverschlüsselten, nicht verwalteten USB-Speicher, SD-Karte, etc., die eine nachträglich beauftragte Löschung ermöglicht.
  • Dokumentationspflichten (Art. 30) – Unternehmen mit mehr als 250 Mitarbeitern müssen Aufzeichnungen über die Verarbeitung von personenbezogenen Daten vorhalten. Von besonderer Bedeutung sind hier auch Dokumentationen über notwendige Sicherheiten, Löschzyklen und Personen, die Zugang zu diesen Daten haben. Teil der Dokumentationspflichen sind auch Aufzeichnungen zu Datenschutzvorfällen und deren Auswirkungen.
    Mögliches Szenario: Die eingesetzte Verwaltungssoftware von mobilen Endgeräten muss in der Lage sein, nachweisliche Logdateien zu erstellen, die bei Vorfällen analysiert werden können. Zudem müssen Richtlinienverstöße proaktiv vom System gemeldet werden, in Form von Events und/oder Anzeigen im Admin-Dashboard.
  • Datenschutzfolgeabschätzung (Art. 35, 36, 83) – Eine DPIA (Datenschutzfolgeabschätzung) ist vorgesehen für den Einsatz neuer Technologien, welche in einem erhöhten Risiko für personenbezogene Daten resultieren. Neben der Risikoanalyse ist es auch notwendig zu belegen, wie diese Risiken adressiert werden sollen.
    Auswirkungen: Es empfiehlt sich, eine DPIA durch einen externen Berater erstellen zu lassen, da die internen Ressourcen evtl. nicht alle Aspekte überblicken können und entsprechende Schutzmaßnahmen alle möglichen Bereiche abdecken müssen. Zudem müssen bei hohen Risiken für personenbezogene Daten die Datenschutzaufsichtsbehörden involviert werden. Zusätzlich sind alle technischen- und organisatorischen Maßnahmen zu treffen und zu dokumentieren.
  • Meldepflichten (Art. 33, 34, 83) – Im Falle eines „Data Breach“ muss der Vorfall innerhalb von 72 Stunden den Datenschutzaufsichtsbehörden der EU gemeldet werden. Hier gilt: Meldung schützt vor Strafe nicht, eine korrekte Meldung wirkt sich jedoch auf die Höhe der Strafe aus. Zusätzlich müssen bereits Details über den Vorfall und die Folgen für die betroffenen Personen bei der Benachrichtigung übermittelt werden.
    Auswirkungen: Wird ein Endgerät gestohlen, verloren, infiziert oder manipuliert, kann dies bereits ein meldepflichtiger Verstoß sein, sofern das Endgerät nicht entsprechend gesichert ist. Insofern muss der Sicherheitsstatus auf mobilen Endgeräten zentral überwacht werden können. Dem Endanwender muss technisch unterbunden werden, schützenswerte Daten auf vom Unternehmen unverwaltete Ziele ablegen zu können. Der Administrator muss zudem in der Lage sein, zentral alle notwendigen Informationen über die eingesetzten Endgeräte verwalten zu können.

Eine weitere Rechtssprechung, die zwar nicht direkt in Verbindung mit der GDPR steht, jedoch in diesem Kontext sehr gut passt:

  • Geheimnisschutz von sensiblen Unternehmensdaten / Geschäftsgeheimnisse – bislang kam ein Unternehmen die deutsche geheimnisträgerfreundliche Rechtsprechung entgegen. Ab dem 05.Juli 2018 gilt die EU Richtlinie (2016/943), dass die bisherige Rechtsprechung verschärft. Sie dient hauptsächlich, um den rechtswidrigen Erwerb sowie die rechtswidrige Nutzung und Offenlegung von Geschäftsgeheimnissen zu schützen und diese Regelung europaweit zu harmonisieren. Das von der EU definierte „Geschäftsgeheimnis“ umfasst drei Elemente:1. Die Information muss vertraulich sein
    2. Sie sollte aufgrund Ihrer Vertraulichkeit von kommerziellen Wert sein
    3. Der Inhaber des Geheimnisses muss angemessene Maßnahmen zur Geheimhaltung der Information unternehmen. Diese Anforderung ist im Gegensatz zur deutschen Rechtssprechung neu!Auswirkungen: Dies hat zur Folge, dass ein Unternehmen verpflichtet ist, technische Vorkehrungen im Sinne von Überwachung und Bewertung zu treffen, um Geschäftsgeheimnisse auch vor der EU Rechtssprechung in den Genuss des Know-How Schutzes zu kommen, andernfalls dürfen diese Informationen von Dritten „legal verwendet“ werden. Quelle und weitere Informationen hierzu: DeutscherArbeitgeberVerband.de

Was sollte man also tun? 

Ich empfehle 7 Schritte zur DSGVO konformen Mobility: 

1. Alle mobilen Endgeräte unter das Management eines MDM/EMM/UEMs stellen. 

2. Aktuelle Einsatzszenarien und Konfigurationen umsetzen, beispielsweise mit Android Enterprise 

3. Firmenapplikationen als verwaltete Applikationen ausrollen, mit Managed Google PlayStore und OEMConfig

4. Datentrennung zwischen privat und geschäftlich erzwingen sowie DLP (Data-Loss-Prevention) Funktionen aktivieren 

5. Zugang von unauthorisierten Endgeräte an Firmendienste blockieren 

6. Verständliche Kommunikation von Datenschutzvorgaben an die Endbenutzer / Mitarbeiter 

7. Automatisierte Erstellung von Protokolldateien, um im Ernstfall Nachweise erbringen zu können. 


Fazit

Man kann von der Datenschutzgrundverordnung begeistert sein, oder auch nicht – Fakt ist, sie gilt ab Mai 2018 und trifft alle Unternehmen, die Daten von EU Bürgern verarbeiten. Wer aktuelle Technologien im Einsatz hat oder diese gerade implementiert, kann der Verordnung beruhigt entgegen sehen. Jedoch sollte das Thema keinesfalls unterschätzt werden. Workshops und externe Unterstützung können Unternehmen dabei helfen, sich optimal darauf vorzubereiten. Ich empfehle immer die Sicht aus der anderen Perspektive – als Bürger möchte man seine Daten an Unternehmen anvertrauen können und sicher sein, dass diese mit größter Sorgfalt geschützt werden und nicht absichtlich oder unabsichtlich an Dritte weitergegeben werden.

Wie ist Ihre Meinung hierzu? Hinterlassen Sie mir hierzu gerne einen Kommentar auf YouTube, Facebook, Twitter oder direkt hier unter meinem Artikel. Ich freue mich auf Ihr Feedback!

Links



Labels:

Kommentare

Kommentar veröffentlichen

Beliebte Posts aus diesem Blog

Samsung Mobile Business Summit LIVESTREAM

Mit einem sehr erfolgreichen Online-Event starten wir in das Jahr 2022!  Am 26. Januar haben wir zum Samsung Mobile Business Summit eingeladen und haben mit hochkarätigen Gästen über den digitalen Arbeitsplatz im Jahre 2022 gesprochen. Darunter waren Sascha Pallenberg, Dominik Höfling von der Microsoft, Martin Cygan von Google, etc.  An einem kompakten Nachmittag konnten wir knapp 400 registrierte Teilnehmer und ca. 120 Zuschauer auf LinkedIn Live begrüßen. Nach einer Woche konnte der Livestream bereits über 1500 Views verbuchen.  Die Aufzeichnung des Livestreams kann hier betrachtet werden. Zur leichteren Orientierung sind die Vorträge wie folgt zu finden:  0:00:00 - Auftakt mit Tuncay Sandikci von Samsung Electronics   0:17:26 - Sascha Pallenberg 潘賞世 von aware_ THE PLATFORM   1:19:08 - Christos Hoursidis & Markus Meier von Vodafone   1:49:06 - 📱 Martin Cygan vom Android Enterprise Team von Google   2:33:11 - Dominik Hoefling von Microsoft Deutschland  3:04:25
Kommentar veröffentlichen
Mehr anzeigen

Der PC in der Hosentasche - Modern Workplace mit Samsung DeX

Brauchen wir heutzutage eigentlich noch einen PC? Kann man denn nicht alles mit einem Smartphone erledigen?  Unsere Smartphones sind heutzutage mehr als nur reine Telefone mit Chat Funktion und Internetzugang. Egal ob man im privaten oder im geschäftlichen Kontext Smartphones nutzen mag, sind die Rechenkapazitäten von aktuellen Smartphones nicht ausgereizt - jedoch ist das den meisten Nutzern nicht einmal bewusst.  Ich gehe mal einen Schritt weiter und behaupte: Ein Smartphone kann als vollwertiger PC Ersatz dienen!  Doch wie soll das gehen? Wie soll eine sogenannte Mobile Only Strategie , so ganz ohne PC, funktionieren?  Dies möchte ich hier auf meinen Blog, meinem YouTube Kanal sowie in meinen Podcasts gerne behandeln. Ich nutze stand heute fast ausschließlich mein Smartphone als Haupt-Device. Und das funktioniert. Wie? Das möchte ich gerne in den nächsten Wochen und Monaten gerne gemeinsam mit Ihnen beleuchten. Dieser Artikel dient als Einstieg und soll helfen, einen Übe
Kommentar veröffentlichen
Mehr anzeigen