Direkt zum Hauptbereich

Die Europäische Datenschutzgrundverordnung (GDPR) im Kontext der Enterprise Mobility



Diese Episode ist  auch als Podcast verfügbar: Zu meinen Podcasts

Die europäische Datenschutzgrundverordnung (kurz EU-DSGVO oder GDPR) tritt seit Mai 2018 in Kraft und sorgt für Unruhe bei den Unternehmen. Nach vier Jahren der Vorbereitung wurde die Regulierung final am 14. April 2016 vom EU Parlament abgesegnet und tritt seit dem 25. Mai 2018 in Kraft.

Aus Sicht eines EU-Bürgers eine feine Sache:
Die Tatsache, dass personenbezogene Daten nachweislich geschützt und nach Aufforderung vom Unternehmen gelöscht werden müssen, gefällt. Unternehmen unterschätzen oft das Thema Datenschutz und gehen leichtfertig mit personenbezogenen Daten um. Manch einer mag die Richtlinien der EU für überzogen halten, andere wiederum halten die GDPR (Kurzform für General Data Protection Regulation) für immens wichtig.

Jedoch ist die Unwissenheit noch sehr hoch – nach einer Studie der ZEW (Zentrum für Europäische Wirtschaftsforschung) sind für 55,9 % der deutschen Unternehmen aus dem Bereich der wissensintensiven Dienstleistern wie Rechts-, Steuer- und Unternehmensberater, Architektur- und Ingenieurbüros, Werbung und Marktforschung die DSGVO/GDPR nicht bekannt oder haben sich mit dem Thema noch nicht befasst. Selbst in der IKT-Branche ist für 12,5 % der Unternehmen die DSGVO/GDPR unbekannt und weitere 40% haben sich mit den Herausforderungen und dem
Anpassungsbedarf der sich durch die neue EU-Datenschutzgrundverordnung ergibt nicht befasst.

Quelle: http://ftp.zew.de/pub/zew-docs/brepikt/201801BrepIKT.pdf

Welche Unternehmen sind denn nun betroffen?

Zunächst gilt die Tatsache, dass alle Unternehmen die in der EU ansässig sind, sowie Unternehmen, die Daten von EU Bürgern verarbeiten, von der Grundverordnung betroffen sind. Somit müssen dies auch Unternehmen aus der Schweiz und allen anderen NICHT-EU-Ländern berücksichtigen, sofern Sie im Besitz von personenbezogenen Daten von EU Bürgern sind. Die Grundverordnung zielt als solches auf den Schutz von personenbezogenen Daten ab, die sich mit einer natürlichen Person verknüpfen lassen. Dabei ist es unerheblich, ob es sich um Datensätze von Mitarbeitern, Partnern oder Kunden handeln, allesamt sind schützenswert.

Bei Nichteinhaltung der Datenschutzgrundverordnung können Strafen in Höhe von bis zu 4% der weltweiten Unternehmensumsätze oder 20 Millionen Euro ausgesprochen werden – je nachdem, welches Strafe höher ausfallen kann.

In diesem Zusammenhang werde ich oft von meinen Kunden gefragt, ob es denn lediglich reichen würde, einen Datenschutz-Plan vorzustellen. Dabei gilt: Seit Mai 2018 müssen alle Unternehmen die Regularien der EU-Datenschutzgrundverordnung bereits einhalten – ein Plan reicht da nicht aus. Ebenso betrifft es auch jede Branche, in der personenbezogene Daten gespeichert werden. Unternehmen sollten bereits vertraut mit dem allgemeinen Datenschutz sein und entsprechende Compliance-Regelungen verfolgen. Besonders erwähnenswert ist jedoch, dass auch jedes Unternehmen, dass an der Unterstützung dieser Firma beteiligt ist – z.B. Cloud- oder Software-Anbieter – sich an die Datenschutz-Grundverordnung halten muss, da sie an der Datenspeicherung beteiligt sind, auch wenn keine direkte Beziehung zum Kunden besteht.

Was bedeutet dies nun für Unternehmen, die mobile Endgeräte im Einsatz haben?

Mobile Endgeräte stehen bei der Verarbeitung von personenbezogenen Daten ganz oben auf der Liste. Es gibt wenige Unternehmen, dessen Mitarbeiter nicht mit einem Smartphone, Tablet und/oder Notebook ausgestattet werden. Der europäische Datenschutzbeauftragte (European Data Protection Supervisor) hat bereits im Jahre 2017 die „Guidelines on the protection of personal data in mobile Devices“ herausgegeben, dabei gelten folgende Kernaussagen:

  • Mobile Geräte stellen ein höheres Risiko für den Datenschutz dar, als Desktop Computer (Seite 9)

  • Auf mobilen Geräten gespeicherte Daten müssen jederzeit löschbar sein (Seite 9)

  • Geräte- und Applikationsmanagement sind wichtige Elemente (Seite 12/13)

  • Trennung von privaten und dienstlichen Informationen beachten (Seite 14)

  • Auch bei auf Endgeräten gespeicherten Dokumenten ist das Recht auf Löschung anzuwenden (Seite 21)

Ebenso wurde auch definiert, was ein Breach, also ein Datenschutzvergehen, ist:

  • u.a. der Verlust eines Endgeräts ohne Löschmöglichkeit sowie File-Sharing ohne Kontrolle, … (Seite 23/24)

Somit ist bereits der Verlust oder Diebstahl eines Smartphones oder eines einfachen USB Sticks ein Vergehen, dass den EU Behörden gemeldet werden muss, sofern keine Sicherheitsmechanismen die Daten schützen können.

Das gesamte Dokument kann hier heruntergeladen werden: Guidelines on the protection of personal data in mobile Devices

Die wichtigsten Punkte, die aus der Sicht der Enterprise Mobility beachtet werden sollten

Das Thema der Europäischen Datenschutzgrundverordnung ist sehr komplex und muss unternehmensspezifisch betrachtet werden. Um sicherstellen zu können, dass Ihr Unternehmen mit der Europäischen Datenschutzgrundverordnung konform ist, empfehle ich Ihnen die Konsultierung eines Unternehmensberaters und/oder Rechtsanwalts, der sich auf dieses Thema spezialisert hat. Ich möchte Ihnen hiermit lediglich aus meine langjährigen Erfahrung in der Enterprise Mobility einen Denkanstoss geben, was Sie beachten sollten bzw. welche Themen aus der Sicht berücksichtigt werden sollten:

  • Rechenschaftspflicht (Art. 5 (2)) – Ausschließlich das Unternehmen ist verantwortlich für den Schutz von personenbezogenen Daten und muss dies nachweisbar vollziehen. Eine Vereinbarung, die ein Endanwender bei der Übergabe eines mobilen Endgeräts unterzeichnen muss und in denen die gesamte Rechenschaftspflicht im Sinne des Datenschutzes auf den Endanwender übertragen wird, ist nicht mehr gültig! Das Unternehmen und dessen Führung muss somit Sorge tragen, Technologien einzusetzen, die dem Datenschutz entsprechen. Erfolgt dennoch ein beabsichtigter Datenmissbrauch des Endanwenders, ist dies weiterhin ein Vergehen des Endanwenders. Das Unternehmen muss jedoch nachweisen können, mit Ihrer eingesetzten Technologie einen ausreichenden Schutz bewerkstelligt zu haben, muss den Vorfall jedoch dennoch den Behörden melden.
    Mögliches Szenario: Verwendung von Apps auf dem Endgerät, die Zugriff auf die Kontaktdaten haben möchten, das Endgerät jedoch nicht zwischen „privaten“ und „geschäftlichen“ Kontakten unterscheiden kann.
  • Recht auf Löschung / Right to be forgotten (Art. 17 & 19) – Jeder EU Bürger hat ein Recht auf die Löschung seiner Daten, sofern diese für das Vertragsverhältnis nicht mehr benötigt werden. Ausnahmeregelungen gibt es hier nur sehr wenige. Somit muss ein Unternehmen in der Lage sein, Daten des EU Bürgers nachweislich(!) gelöscht zu haben. Die besondere Herausforderung liegt hier bei mobil verarbeiteten Dokumenten.
    Mögliches Szenario 1: Der Versicherungsmakler lädt vor dem Kundentermin alle Policen seines Kunden auf sein Notebook, die Daten liegen lokal. Das Notebook wird gestohlen oder dem Makler wird gekündigt – die Daten dürfen im Nachgang nicht mehr brauchbar für den Makler sein.
    Mögliches Szenario 2: Der Mitarbeiter speichert Unternehmensdaten auf einem vom Unternehmen nicht verwalteten Speicherplatz in der Cloud oder einem unverschlüsselten, nicht verwalteten USB-Speicher, SD-Karte, etc., die eine nachträglich beauftragte Löschung ermöglicht.
  • Dokumentationspflichten (Art. 30) – Unternehmen mit mehr als 250 Mitarbeitern müssen Aufzeichnungen über die Verarbeitung von personenbezogenen Daten vorhalten. Von besonderer Bedeutung sind hier auch Dokumentationen über notwendige Sicherheiten, Löschzyklen und Personen, die Zugang zu diesen Daten haben. Teil der Dokumentationspflichen sind auch Aufzeichnungen zu Datenschutzvorfällen und deren Auswirkungen.
    Mögliches Szenario: Die eingesetzte Verwaltungssoftware von mobilen Endgeräten muss in der Lage sein, nachweisliche Logdateien zu erstellen, die bei Vorfällen analysiert werden können. Zudem müssen Richtlinienverstöße proaktiv vom System gemeldet werden, in Form von Events und/oder Anzeigen im Admin-Dashboard.
  • Datenschutzfolgeabschätzung (Art. 35, 36, 83) – Eine DPIA (Datenschutzfolgeabschätzung) ist vorgesehen für den Einsatz neuer Technologien, welche in einem erhöhten Risiko für personenbezogene Daten resultieren. Neben der Risikoanalyse ist es auch notwendig zu belegen, wie diese Risiken adressiert werden sollen.
    Auswirkungen: Es empfiehlt sich, eine DPIA durch einen externen Berater erstellen zu lassen, da die internen Ressourcen evtl. nicht alle Aspekte überblicken können und entsprechende Schutzmaßnahmen alle möglichen Bereiche abdecken müssen. Zudem müssen bei hohen Risiken für personenbezogene Daten die Datenschutzaufsichtsbehörden involviert werden. Zusätzlich sind alle technischen- und organisatorischen Maßnahmen zu treffen und zu dokumentieren.
  • Meldepflichten (Art. 33, 34, 83) – Im Falle eines „Data Breach“ muss der Vorfall innerhalb von 72 Stunden den Datenschutzaufsichtsbehörden der EU gemeldet werden. Hier gilt: Meldung schützt vor Strafe nicht, eine korrekte Meldung wirkt sich jedoch auf die Höhe der Strafe aus. Zusätzlich müssen bereits Details über den Vorfall und die Folgen für die betroffenen Personen bei der Benachrichtigung übermittelt werden.
    Auswirkungen: Wird ein Endgerät gestohlen, verloren, infiziert oder manipuliert, kann dies bereits ein meldepflichtiger Verstoß sein, sofern das Endgerät nicht entsprechend gesichert ist. Insofern muss der Sicherheitsstatus auf mobilen Endgeräten zentral überwacht werden können. Dem Endanwender muss technisch unterbunden werden, schützenswerte Daten auf vom Unternehmen unverwaltete Ziele ablegen zu können. Der Administrator muss zudem in der Lage sein, zentral alle notwendigen Informationen über die eingesetzten Endgeräte verwalten zu können.

Eine weitere Rechtssprechung, die zwar nicht direkt in Verbindung mit der GDPR steht, jedoch in diesem Kontext sehr gut passt:

  • Geheimnisschutz von sensiblen Unternehmensdaten / Geschäftsgeheimnisse – bislang kam ein Unternehmen die deutsche geheimnisträgerfreundliche Rechtsprechung entgegen. Ab dem 05.Juli 2018 gilt die EU Richtlinie (2016/943), dass die bisherige Rechtsprechung verschärft. Sie dient hauptsächlich, um den rechtswidrigen Erwerb sowie die rechtswidrige Nutzung und Offenlegung von Geschäftsgeheimnissen zu schützen und diese Regelung europaweit zu harmonisieren. Das von der EU definierte „Geschäftsgeheimnis“ umfasst drei Elemente:1. Die Information muss vertraulich sein
    2. Sie sollte aufgrund Ihrer Vertraulichkeit von kommerziellen Wert sein
    3. Der Inhaber des Geheimnisses muss angemessene Maßnahmen zur Geheimhaltung der Information unternehmen. Diese Anforderung ist im Gegensatz zur deutschen Rechtssprechung neu!Auswirkungen: Dies hat zur Folge, dass ein Unternehmen verpflichtet ist, technische Vorkehrungen im Sinne von Überwachung und Bewertung zu treffen, um Geschäftsgeheimnisse auch vor der EU Rechtssprechung in den Genuss des Know-How Schutzes zu kommen, andernfalls dürfen diese Informationen von Dritten „legal verwendet“ werden. Quelle und weitere Informationen hierzu: DeutscherArbeitgeberVerband.de

Was sollte man also tun? 

Ich empfehle 7 Schritte zur DSGVO konformen Mobility: 

1. Alle mobilen Endgeräte unter das Management eines MDM/EMM/UEMs stellen. 

2. Aktuelle Einsatzszenarien und Konfigurationen umsetzen, beispielsweise mit Android Enterprise 

3. Firmenapplikationen als verwaltete Applikationen ausrollen, mit Managed Google PlayStore und OEMConfig

4. Datentrennung zwischen privat und geschäftlich erzwingen sowie DLP (Data-Loss-Prevention) Funktionen aktivieren 

5. Zugang von unauthorisierten Endgeräte an Firmendienste blockieren 

6. Verständliche Kommunikation von Datenschutzvorgaben an die Endbenutzer / Mitarbeiter 

7. Automatisierte Erstellung von Protokolldateien, um im Ernstfall Nachweise erbringen zu können. 


Fazit

Man kann von der Datenschutzgrundverordnung begeistert sein, oder auch nicht – Fakt ist, sie gilt ab Mai 2018 und trifft alle Unternehmen, die Daten von EU Bürgern verarbeiten. Wer aktuelle Technologien im Einsatz hat oder diese gerade implementiert, kann der Verordnung beruhigt entgegen sehen. Jedoch sollte das Thema keinesfalls unterschätzt werden. Workshops und externe Unterstützung können Unternehmen dabei helfen, sich optimal darauf vorzubereiten. Ich empfehle immer die Sicht aus der anderen Perspektive – als Bürger möchte man seine Daten an Unternehmen anvertrauen können und sicher sein, dass diese mit größter Sorgfalt geschützt werden und nicht absichtlich oder unabsichtlich an Dritte weitergegeben werden.

Wie ist Ihre Meinung hierzu? Hinterlassen Sie mir hierzu gerne einen Kommentar auf YouTube, Facebook, Twitter oder direkt hier unter meinem Artikel. Ich freue mich auf Ihr Feedback!

Links



Kommentare

Beliebte Posts aus diesem Blog

Arbeiten im Homeoffice - Meine Tipps

Seit nun mehr als 7 Jahren arbeite ich nun von Zuhause aus. Für viele ist das Thema Homeoffice neu, da Sie durch die Corona Pandemie die gewohnte Arbeitsstätte nicht mehr betreten durften und Ihre Tätigkeit von Zuhause aus erbringen mussten. 
Das Thema Homeoffice klingt trivialer als es ist. Heutzutage ist es keine Kunst mehr, sein Firmennotebook nach Hause zu bringen, sich per VPN einzuwählen und tätig zu werden. Doch neben der eigentlichen Tätigkeit kann es zu einigen Stolpersteinen kommen. 
Hierfür möchte ich gerne aus meiner langjährigen Erfahrung ein paar Tipps mitgeben: 

Dedizierten Arbeitsplatz einrichten
Das typische Klischee vom Homeoffice ist, dass man aus dem Bett heraus oder auf der Couch mit dem Laptop auf dem Bauch arbeitet. Selbst wenn man das mal praktiziert haben sollte, stellt man sehr schnell fest, dass dies zum einen sehr unbequem, aber auch alles andere als Produktiv ist.

Daher empfehle ich ganz klar einen dedizierten Schreibtisch, wenn möglich einen dedizierten Rau…

Video: Modern Workplace mit Microsoft und Samsung

Haben Sie sich schon einmal gefragt, ob eine Mobile Only Strategie funktionieren kann? Was bedeutet eigentlich "Mobile Only"? 
Mobile Only beschreibt den Zustand, für alle digitalen Tätigkeiten nur ein mobiles Device zu nutzen. Keinen festen Arbeitsplatz PC, kein Notebook, kein Tablet. Alles nur über ein Smartphone. 
Wie soll das funktionieren? Seit nun mehr 10 Jahren beschäftige ich mich mit der Mobilisierung der Geschäftsprozesse meiner Kunden. Seit Jahren nutzen meine Kunden zumindest für die Telefonie als auch die Bearbeitung von E-Mails und Kalendereinträgen ein Smartphone. Ein ganzes Notebook mögen nur die wenigsten ersetzen. 
Doch, warum eigentlich nicht? Ein Samsung Smartphone der neuesten Generation beinhaltet alles, was man für einen digitalen Lifestyle als auch für digitales Arbeiten benötigt. 
Dies gelingt zum einen mit der Samsung DeX Funktion: Hiermit verwandelt man das Android Betriebssystem, dass für die Eingabe per Toucheingabe konzipiert ist, zu einem Betriebss…

Smartphones für Kids - aber wie?

Das eigene Kind mit einem Smartphone ausstatten - für manche ein NoGo, für andere ein logischer Schritt. Meiner Meinung nach sollte man die Verwendung neuer Techniken den eigenen Kindern nicht verwehren - auf der anderen Seite sollte man die Kids auch nicht ohne weiteres in die "große weite digitale Welt" lassen. 
Um unsere Kinder mit dem Umgang eines Smartphones vertraut zu machen, dies aber ohne Kopfschmerzen bewerkstelligen zu können, hat Google Family Link im Angebot. Das hilft den Kindern dabei, sich beim Lernen, Spielen und Surfen in der Onlinewelt zurechtzufinden. 
Mit Google Family Link kann man folgende Dinge tun:  eine Google ID für das eigene Kind erstellen, auch wenn dieses unter 13 Jahre alt ist Apps verwalten: Über Benachrichtigungen können Apps genehmigt oder blockiert werden, sofern das eigene Kind etwas aus dem Google Play Store herunterladen möchte. Außerdem lassen sich In-App-Käufe verwalten und bestimmte Apps auf dem Gerät ausblenden – alles über das ei…