vectorfusionart - stock.adobe.co
Die EU-DSGVO und mobile Endgeräte in Unternehmen
Viele Unternehmen sind damit beschäftigt, die Vorschriften der EU-Datenschutz-Grundverordnung umzusetzen. Oft übersehen sie, dass davon auch die mobilen Endgeräte betroffen sind.
Bis zum 25. Mai 2018 haben Unternehmen noch Zeit, die Vorgaben aus der EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) umzusetzen. Danach dürfen sie mit Kontrollen durch die zuständigen Landesdatenschutzbehörden rechnen. Sie müssen dann jederzeit nachweisen können, dass sie die Anforderungen der Verordnung erfüllen, ansonsten drohen empfindliche Geldbußen.
Im Kern befasst sich die EU-DSGVO mit dem Schutz personenbezogener Daten von Kunden, Lieferanten, Geschäftspartnern und den Mitarbeitern, die in Datenbanken, Dokumenten und E-Mails enthalten sind. In der Terminologie der EU-DSGVO sind dies „alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen“. Dabei spielt es keine Rolle, ob sich die Daten im Rechenzentrum des Unternehmens, auf firmeneigenen oder den privaten mobilen Endgeräten der Mitarbeiter befinden – laut Bundesdatenschutzgesetz ist der Arbeitgeber für die Einhaltung des Datenschutzes verantwortlich.
Was für Unternehmen zählt: Mit der EU-DSGVO entstehen deutlich höhere Anforderungen an den Datenschutz hinsichtlich der zu ergreifenden organisatorischen und technischen Maßnahmen für mobile Endgeräte.
Mobile Endgeräte und die Anforderungen der DSGVO
Lokalisierung der Daten: Im Rahmen einer Bestandsaufnahme müssen sich Unternehmen einen Überblick über die vorhandenen personenbezogenen Daten und die Zugriffe auf diese Daten verschaffen. Dies ist eine der Voraussetzungen dafür, um die notwendigen Schutzmaßnahmen umzusetzen und die Auskunftsrechte von Betroffenen erfüllen zu können. Bei Daten, die auf mobilen Endgeräten gespeichert oder verarbeitet werden, ist dazu ein effizientes Device- und/oder Data-Management erforderlich.
Sicherheitsmaßnahmen nach dem Stand der Technik: Unternehmen müssen dem Stand der Technik entsprechend geeignete Sicherheitsmaßnahmen implementieren. Diese gelten dann natürlich auch für mobile Endgeräte. Ziel dabei ist es, jederzeit ein hohes Sicherheitsniveau zu gewährleisten. Dazu ist es erforderlich, dass die Daten sowohl auf den Devices als auch während der Übertragung durchgängig verschlüsselt sind. Wichtig ist des Weiteren eine strikte Trennung von betrieblichen und privaten Daten auf den mobilen Endgeräten. Für Unternehmensdaten und -anwendungen sollte auf dem Endgerät ein abgeschotteter Bereich (Container) eingerichtet werden. Private Apps haben keinen Zugriff auf die Daten in diesem Sicherheits-Container.
Ausführliche Dokumentation der Vorkehrungen: Alle Verfahren zum Schutz der personenbezogenen Daten müssen sorgfältig dokumentiert vorliegen. Eine wichtige Rolle spielt die Dokumentation erstens als Nachweis bei Audits durch die zuständigen Landesdatenschutzbehörde und zweitens, wenn Schadensfälle eintreten.
Meldepflicht bei Datenschutzverletzungen: Mobile Endgeräte gehen immer wieder verloren oder werden gestohlen. Sind die darauf befindlichen Daten unzureichend geschützt und es fehlt eine nachvollziehbare Dokumentation über Daten und Geräte, kommen Unternehmen in erhebliche Schwierigkeiten, ihrer Meldepflicht nachzukommen. Diese sehen vor, dass Datenpannen, inklusive Zahl der betroffenen Personen und der personenbezogenen Datensätze, innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde angezeigt werden müssen, ansonsten werden beträchtliche Bußgelder fällig. Zudem müssen die Betroffenen über den Vorfall informiert werden.
„Alle Verfahren zum Schutz der personenbezogenen Daten müssen sorgfältig dokumentiert vorliegen.“
Günter Junk, Virtual Solution
Recht auf Vergessenwerden: Dies ist ein neuer Aspekt, den es im Bundesdatenschutzgesetz bislang nicht gab. Unternehmen müssen personenbezogene Daten löschen, wenn der Betroffene seine Einwilligung zur Speicherung widerruft oder der Zweck zur Speicherung nicht mehr vorliegt, etwa dann, wenn Mitarbeiter das Unternehmen verlassen. Diese Löschpflicht kann nur dann zuverlässig umgesetzt werden, wenn der Speicherort der Daten bekannt ist und man diese als Unternehmen löschen kann. Dies wird schwierig, wenn der Mitarbeiter personenbezogene Daten auf seinem privaten Smartphone an einem unbekannten Ort und nicht in einem Container speichert. Die Transparenz über diese Daten ist daher auch auf allen genutzten mobilen Daten unerlässlich.
Sicherheitscontainer auf mobilen Endgeräten zählen zu den zentralen Bausteinen, um die komplexen Vorgaben der EU-DSGVO umzusetzen. Durch eine strikte Trennung von geschäftlichen und privaten Daten und Apps können Unternehmen personenrelevante Informationen schneller lokalisieren. Gleichzeitig lassen sich die dienstlichen Daten durch eine Verschlüsselung zuverlässig vor Cyberangriffen und unbefugter Verwendung schützen. Befinden sich die personenbezogenen Daten in einem Sicherheitscontainer und die Kommunikation von einem mobilen Endgerät mit der Firmenzentrale erfolgt ebenfalls lückenlos verschlüsselt, können Unternehmen zentrale Vorgaben der EU-DSGVO erfüllen.
Über den Autor:
Günter Junk ist CEO des IT-Sicherheitsspezialisten Virtual Solution AG in München.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!