DSGVO-konform: Container für Smartphone und Laptops – Sicheres Arbeiten auf mobilen Endgeräten

Die mobilen Endgeräte der Mitarbeiter sind von der EU-Datenschutz­grundverordnung ebenfalls betroffen. Es spielt keine Rolle, ob sich diese im Unternehmenseigentum befinden oder Mitarbeiter ihre eigenen Geräte für die Arbeit verwenden. Sobald es um die Bearbeitung oder Übertragung von personenbezogenen Daten geht greift auch hier die DSGVO und Unternehmen stehen in der Pflicht.

Der Countdown läuft – Unternehmen haben noch bis zum 25. Mai 2018 Zeit die komplexen Vorschriften der EU-Datenschutzgrundverordnung (DSGVO) umzusetzen. Danach müssen sie jederzeit nachweisen können, dass sie alle Anforderungen erfüllen, denn ansonsten drohen hohe Bußgelder bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes.

In erster Linie befasst sich die DSGVO mit dem Umgang und Schutz personenbezogener Daten. Dazu gehören Daten von Kunden, Lieferanten, Geschäftspartnern und auch Mitarbeitern, die in Datenbanken, Dokumenten und E-Mails zu finden sind. Laut DSGVO handelt es sich um »alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen«. Auf welchen Geräten sich die Daten befinden, spielt dabei keine Rolle. Auch bei mobilen Endgeräten muss die Richtlinie eingehalten werden, denn auch hier werden personenbezogene Daten verwendet.

Mit einer Container-Lösung auf der sicheren Seite. Besonders kritisch ist es, wenn Mitarbeiter ihre privaten Endgeräte für die Arbeit nutzen oder auf geschäftlichen Smartphones private Anwendungen installiert haben, die auf Geschäftsdaten zugreifen können. Um die Anforderungen der DSGVO erfüllen zu können, ist eine Container-Lösung, die eine saubere Trennung zwischen dem privaten und geschäftlichen Bereich schafft, ratsam. Dabei liegen die geschäftlichen Daten und Anwendungen in einem verschlüsselten Container, somit wird auch die Kommunikation zwischen dem Endgerät und der Unternehmens-IT lückenlos verschlüsselt

Mit der DSGVO steigen auch die Anforderungen an organisatorische und technische Maßnahmen, die Unternehmen ergreifen müssen um konform zu sein. Laut Bundesdatenschutzgesetz können Bußgelder nur dann eingefordert werden, wenn es zum Verlust von sensiblen Daten aufgrund mangelhafter Sicherheitsmaßnahmen kommt. Im Zuge der DSGVO können Unternehmen jedoch bereits mit Bußgeldern belegt werden, wenn sie keine umfangreichen IT-Sicherheitsmaßnahmen haben oder wenn diese nicht ausreichend dokumentiert sind.

Personenbezogene Daten. Unternehmen müssen genau wissen, wo innerhalb ihrer Organisation personenbezogene Daten liegen und wer alles darauf Zugriff hat. Das ist notwendig, um die in der DSGVO geforderten Schutzmaßnahmen umzusetzen. Bei mobilen Endgeräten ist dies nicht so einfach. Aber auch hier müssen die Sicherheitsmaßnahmen auf dem Stand der Technik sein. Auch eine strikte Trennung von geschäftlichen und privaten Daten und Anwendungen wird vom Gesetzestext vorgeschrieben. Wenn die relevanten Daten in einem verschlüsselten Container liegen und auch auf dem Übertragungsweg verschlüsselt sind, sind die Vorgaben der DSGVO erfüllt, denn unbefugte Personen können nicht auf sie zugreifen. Privat genutzte Applikationen, wie WhatsApp können nicht unerlaubterweise auf Unternehmensdaten, die im Container gespeichert sind, zugreifen. Zusätzlich dazu kann der IT-Administrator unterbinden, dass personenbezogene Daten oder vertrauliche Informationen aus dem Container in den privaten Bereich verschoben werden können.

Eine Container-Lösung schafft eine saubere Trennung zwischen dem privaten und geschäftlichen Bereich.

Eine Container-Lösung schafft eine saubere Trennung zwischen dem privaten und geschäftlichen Bereich.

Für die Kontrollen, ob Unternehmen nach dem 25. Mai 2018 DSGVO-konform sind, sind die jeweiligen Landesdatenschutzbehörden zuständig. Bei diesen Audits müssen die Organisationen, die von ihnen umgesetzten Maßnahmen, nachweisen können. Aus diesem Grund herrscht eine Dokumentationspflicht, denn auch bei einem Schadensfall ist der Nachweis der Vorkehrungen zu erbringen.

Verschlüsselung. Wenn bei einem Vorfall personenbezogene Daten abfließen, müssen Unternehmen dies innerhalb von 72 Stunden an die zuständigen Aufsichtsbehörden melden. Zusätzlich dazu müssen auch die Betroffenen über den Abfluss der Daten informiert werden. Bei mobilen Endgeräten ist ein Verlust sehr leicht möglich, und damit auch der Abfluss personenbezogener Daten: Nicht selten gehen Smartphones oder Tablets verloren oder werden gestohlen. Befinden sich auf diesen Geräten unzureichend geschützte personenbezogene Daten, sind diese womöglich sehr leicht einsehbar. Wenn die Daten allerdings in einem verschlüsselten Container gespeichert sind, können die zuständigen IT-Abteilungen die Unternehmensdaten von den verlorengegangenen oder gestohlenen Geräten aus der Ferne löschen. In einem solchen Fall müssen die Unternehmen auch nicht der Meldepflicht nachkommen, da durch die Verschlüsselung die Daten nicht in falsche Hände gelangen können.

Das Recht auf Vergessenwerden. Das Recht auf Vergessenwerden ist als neuer Aspekt in der Datenschutzgrundverordnung verankert. Wenn Betroffene ihre Einwilligung zur Speicherung dieser Daten widerrufen oder Mitarbeiter das Unternehmen verlassen haben, müssen diese Daten gelöscht werden. Auch hier ist eine zuverlässige Löschung nur möglich, wenn der Speicherort der Daten eindeutig bekannt ist. Schwierigkeiten kann es in einem solchen Fall besonders dann geben, wenn Mitarbeiter personenbezogene Daten auf ihren privaten Smartphones an einem unbekannten Ort gespeichert haben.

Bereits bei der Entwicklung neuer Software sieht die Datenschutzgrundverordnung vor, dass die Sicherheit berücksichtigt wird. In dem Regelwerk findet man dies unter dem Namen »Privacy by Design« und »Privacy by Default«.

Das Ende der Frist zur Umsetzung der DSGVO rückt unaufhaltsam näher. Viele Unternehmen, die sich bisher wenig mit dem Schutz von personenbezogenen Daten auf mobilen Endgeräten befasst haben, müssen nun langsam nachziehen. Mit einer Container-Lösung können sie aber innerhalb kurzer Zeit ihr Unternehmen DSGVO-konform machen und so die zentralen Vorgaben erfüllen. Noch ist genügend Zeit, das in Angriff zu nehmen.


Günter Junk ist CEO
des IT-Sicherheitsspezialisten
Virtual Solution AG
in München
www.virtual-solution.com

 

 

Illustration: © Rawpixel.com /shutterstock.com

 

Datenmanagement 2018 – Mobilität, Regulierung und maschinelles Lernen erhöhen Anforderungen

EU-DSGVO: Mitarbeiter-Smartphones werden zur Gefahrenquelle

BYOD: personenbezogene Daten auf mobilen Endgeräten sichern – Daten in den Container

Die sieben häufigsten Fehler bei der digitalen Kommunikation

Gemeinsam für mehr Cybersicherheit – Sichere Digitalisierung als Wirtschaftsmotor Europas

EU macht Ernst beim Datenschutz: Für Unternehmens-Apps tickt die Uhr