Suchen Sie etwas Bestimmtes?

Enterprise Mobility Management als notwendige Bedingung zur Erfüllung der EU Datenschutz-Grundverordnung

In einigen Monaten (Mai 2018) tritt die EU-Datenschutz-Grundverordnung (DSGVO) in den Ländern der Europäischen Union in Kraft. Durch die DSGVO entsteht so etwas wie ein einheitlicher digitaler Binnenmarkt in der Europäischen Union. Für die Unternehmen bringt das erhebliche organisatorische und finanzielle Vorteile; und in Artikel 3 wird der räumliche Anwendungsbereich der EU DSGVO im Fall von Auftragsverarbeitung personenbezogener Daten auch auf Dienstleister aus dem Nicht-EU-Ausland ausgedehnt. Dienstleister aus den USA oder Asien unterliegen damit nach dem so genannten Marktortprinzip den Regelungen der EU DSGVO.

 

Enterprise Mobility Management (EMM-)Systeme leisten einen wichtigen Beitrag dazu, dass die IT der Unternehmen konform zur DSGVO ist. Der Beitrag wird umso größer, als Mobile und Cloud zunehmend die IT dominieren. Der Zugriff auf moderne Cloud-Dienste, wie zum Beispiel Salesforce und Microsoft Office 365, läuft heutzutage im Wesentlichen über mobile Endgeräte. Im Folgenden will ich deshalb die wichtige Rolle von Anbietern aus dem Enterprise Mobility Management (EMM-)Sektor bei der Erfüllung der DSGVO im Detail erläutern.

 

Enterprise Mobility Management hilft bei der Einhaltung der EU DSGVO

Die DSGVO der EU trat Ende Mai 2018 in Kraft.

Grundsätzlich kann ein für die Verarbeitung Verantwortlicher nicht davon ausgehen, dass die Sicherheit personenbezogener Daten angemessen gewährleistet ist, wenn er nicht nachweisen kann, dass entsprechende EMM-Steuerungsmechanismen und Prozeduren zur Trennung von Unternehmensdaten und privaten Daten auf dem Gerät implementiert sind und Unternehmensdaten vor externen Bedrohungen sowie unbefugter Verwendung oder Offenlegung geschützt sind. Mit anderen Worten: ein EMM-System ist sicherlich keine hinreichende, aber eine notwendige Bedingung, damit die Grundsätze, die Buchstabe und Geist der EU DSGVO prägen, eingehalten werden.

 

Die gerade getroffene Feststellung soll sagen, dass mit der Etablierung eines EMM-Systems nicht automatisch die Vorgaben der DSGVO erfüllt sind (hierzu muss noch mehr getan werden), dass es aber ohne ein EMM-System fast unmöglich ist, die DSGVO überhaupt erfüllen zu können.

 

MobileIron hat im Übrigen ein Spezialisten-Team aufgebaut, das Unternehmen dabei unterstützt, die unten aufgeführten Prinzipien bei der Verarbeitung der personenbezogenen Daten technisch und organisatorisch umzusetzen:

  • Zweckbindung: Es muss einen klaren und expliziten Grund für die Verarbeitung der personenbezogenen Daten geben.
  • Datensparsamkeit: Die verarbeiteten Daten sollten auf das für den betreffenden Zweck benötigte Minimum begrenzt werden. Zugang darf nur den Personen gewährt werden, die ihn für den betreffenden Zweck benötigen.
  • Datenrichtigkeit: Die Daten sollten korrekt sein; Fehler sollten sich leicht beseitigen lassen.
  • Speicherungsfristen: Die Daten sollten nur so lange gespeichert werden, wie es für den betreffenden Zweck erforderlich ist.
  • IT-Sicherheit: Die Daten sollten so verarbeitet werden, dass eine entsprechende Sicherheit der personenbezogenen Daten gewährleistet ist, sie beispielsweise gegen Verarbeitung durch Unbefugte und gegen versehentlichen Verlust durch angemessene technische und organisatorische Maßnahmen geschützt sind.
  • Verantwortlichkeit/Dokumentation: Der für die Verarbeitung Verantwortliche sollte die Konformität mit den oben erwähnten Grundsätzen nachweisen können.

 

Datenschutz durch Technikgestaltung und entsprechende Voreinstellungen

EMM hilft bei der Umsetzung der Datenschutz-Richtlinien.

Auch die Forderung, dass der für die Verarbeitung Verantwortliche schon bei der Vorbereitung eines anstehenden Verarbeitungsprozesses angemessene organisatorische und technische Lösungen zu implementieren hat, um die Konformität mit der DSGVO sicherzustellen und nachzuweisen, lassen sich mit einer EMM-Lösung gut im technischen Detail umsetzen:

  • Klare Grenze zwischen privaten und geschäftlichen Daten auf dem Gerät
  • Erstellung von Audit-Protokollen, die Datengefährdungen und entsprechende Gegenmaßnahmen aufzeigen
  • Spezielle Schutzmechanismen für Endgeräte
  • Erzwingung von Compliance durch entsprechende Richtlinien und Einstellungen bzw. Gegenmaßnahmen, wenn ein Gerät oder eine darauf genutzte Anwendung “aus dem Ruder” gelaufen ist.

 

EMM und DSGVO-Compliance bei mobilen Cloud-Diensten

Zum Schluss noch einige Hinweise zur DSGVO-Compliance im Bereich mobile Cloud-Dienste: im Zeitalter des “allgegenwärtigen mobilen Computings” müssen Unternehmen Zugriffe auf die Unternehmensdaten in der Cloud zuverlässig überwachen können: wer greift wann mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zu?

Ein ausgereiftes EMM-System wie beispielsweise die EMM-Plattform von MobileIron fasst entsprechende Mechanismen in einer speziellen Applikation zusammen (MobileIron Access).

 

Die Entwickler dieser Applikation wussten: Benutzerkennung und Passwort reichen in der mobilen Cloud-Welt sicherheitstechnisch nicht mehr aus. Vielmehr muss zusätzlich der Status des Endgeräts und der verwendeten Apps abgeprüft werden, sprich die gesamte Gestik des Mobilgeräts muss überwacht werden.

 

Unternehmen sind damit auch im Bereich der mobilen Cloud-Dienstleistungen datenschutzrechtlich auf der sicheren Seite. Und sie verfügen bei der Beauftragung von Cloud-Service-Anbietern aus dem Nicht-EU-Bereich über eine solide technische Plattform, auf der diese Dienstleister aufsetzen können, um die Vorgaben der DSGVO einzuhalten.

Cloud
Verfasst am 7. Februar 2018 um 9:53 Uhr