Enterprise Mobility Management als notwendige Bedingung zur Erfüllung der EU Datenschutz-Grundverordnung

In einigen Monaten (Mai 2018) tritt die EU-Datenschutz-Grundverordnung (DSGVO) in den Ländern der Europäischen Union in Kraft. Durch die DSGVO entsteht so etwas wie ein einheitlicher digitaler Binnenmarkt in der Europäischen Union. Für die Unternehmen bringt das erhebliche organisatorische und finanzielle Vorteile; und in Artikel 3 wird der räumliche Anwendungsbereich der EU DSGVO im Fall von Auftragsverarbeitung personenbezogener Daten auch auf Dienstleister aus dem Nicht-EU-Ausland ausgedehnt. Dienstleister aus den USA oder Asien unterliegen damit nach dem so genannten Marktortprinzip den Regelungen der EU DSGVO.
 
Enterprise Mobility Management (EMM-)Systeme leisten einen wichtigen Beitrag dazu, dass die IT der Unternehmen konform zur DSGVO ist. Der Beitrag wird umso größer, als Mobile und Cloud zunehmend die IT dominieren. Der Zugriff auf moderne Cloud-Dienste, wie zum Beispiel Salesforce und Microsoft Office 365, läuft heutzutage im Wesentlichen über mobile Endgeräte. Im Folgenden will ich deshalb die wichtige Rolle von Anbietern aus dem Enterprise Mobility Management (EMM-)Sektor bei der Erfüllung der DSGVO im Detail erläutern.
 

Enterprise Mobility Management hilft bei der Einhaltung der EU DSGVO

DSGVO

Die DSGVO der EU tritt Ende Mai 2018 in Kraft.

Grundsätzlich kann ein für die Verarbeitung Verantwortlicher nicht davon ausgehen, dass die Sicherheit personenbezogener Daten angemessen gewährleistet ist, wenn er nicht nachweisen kann, dass entsprechende EMM-Steuerungsmechanismen und Prozeduren zur Trennung von Unternehmensdaten und privaten Daten auf dem Gerät implementiert sind und Unternehmensdaten vor externen Bedrohungen sowie unbefugter Verwendung oder Offenlegung geschützt sind. Mit anderen Worten: ein EMM-System ist sicherlich keine hinreichende, aber eine notwendige Bedingung, damit die Grundsätze, die Buchstabe und Geist der EU DSGVO prägen, eingehalten werden.

 
Die gerade getroffene Feststellung soll sagen, dass mit der Etablierung eines EMM-Systems nicht automatisch die Vorgaben der DSGVO erfüllt sind (hierzu muss noch mehr getan werden), dass es aber ohne ein EMM-System fast unmöglich ist, die DSGVO überhaupt erfüllen zu können.
 
MobileIron hat im Übrigen ein Spezialisten-Team aufgebaut, das Unternehmen dabei unterstützt, die unten aufgeführten Prinzipien bei der Verarbeitung der personenbezogenen Daten technisch und organisatorisch umzusetzen:
  • Zweckbindung: Es muss einen klaren und expliziten Grund für die Verarbeitung der personenbezogenen Daten geben.
  • Datensparsamkeit: Die verarbeiteten Daten sollten auf das für den betreffenden Zweck benötigte Minimum begrenzt werden. Zugang darf nur den Personen gewährt werden, die ihn für den betreffenden Zweck benötigen.
  • Datenrichtigkeit: Die Daten sollten korrekt sein; Fehler sollten sich leicht beseitigen lassen.
  • Speicherungsfristen: Die Daten sollten nur so lange gespeichert werden, wie es für den betreffenden Zweck erforderlich ist.
  • IT-Sicherheit: Die Daten sollten so verarbeitet werden, dass eine entsprechende Sicherheit der personenbezogenen Daten gewährleistet ist, sie beispielsweise gegen Verarbeitung durch Unbefugte und gegen versehentlichen Verlust durch angemessene technische und organisatorische Maßnahmen geschützt sind.
  • Verantwortlichkeit/Dokumentation: Der für die Verarbeitung Verantwortliche sollte die Konformität mit den oben erwähnten Grundsätzen nachweisen können.
 

Datenschutz durch Technikgestaltung und entsprechende Voreinstellungen

Datenschsutz

EMM hilft bei der Umsetzung der Datenschutz-Richtlinien. 

Auch die Forderung, dass der für die Verarbeitung Verantwortliche schon bei der Vorbereitung eines anstehenden Verarbeitungsprozesses angemessene organisatorische und technische Lösungen zu implementieren hat, um die Konformität mit der DSGVO sicherzustellen und nachzuweisen, lassen sich mit einer EMM-Lösung gut im technischen Detail umsetzen:

  • Klare Grenze zwischen privaten und geschäftlichen Daten auf dem Gerät
  • Erstellung von Audit-Protokollen, die Datengefährdungen und entsprechende Gegenmaßnahmen aufzeigen
  • Spezielle Schutzmechanismen für Endgeräte
  • Erzwingung von Compliance durch entsprechende Richtlinien und Einstellungen bzw. Gegenmaßnahmen, wenn ein Gerät oder eine darauf genutzte Anwendung "aus dem Ruder" gelaufen ist.
 

EMM und DSGVO-Compliance bei mobilen Cloud-Diensten

Zum Schluss noch einige Hinweise zur DSGVO-Compliance im Bereich mobile Cloud-Dienste: im Zeitalter des "allgegenwärtigen mobilen Computings" müssen Unternehmen Zugriffe auf die Unternehmensdaten in der Cloud zuverlässig überwachen können: wer greift wann mit welchem Gerät und mit welcher App, die woher stammt, auf welche Daten zu?

Ein ausgereiftes EMM-System wie beispielsweise die EMM-Plattform von MobileIron fasst entsprechende Mechanismen in einer speziellen Applikation zusammen (MobileIron Access).
 
Die Entwickler dieser Applikation wussten: Benutzerkennung und Passwort reichen in der mobilen Cloud-Welt sicherheitstechnisch nicht mehr aus. Vielmehr muss zusätzlich der Status des Endgeräts und der verwendeten Apps abgeprüft werden, sprich die gesamte Gestik des Mobilgeräts muss überwacht werden.
 
Unternehmen sind damit auch im Bereich der mobilen Cloud-Dienstleistungen datenschutzrechtlich auf der sicheren Seite. Und sie verfügen bei der Beauftragung von Cloud-Service-Anbietern aus dem Nicht-EU-Bereich über eine solide technische Plattform, auf der diese Dienstleister aufsetzen können, um die Vorgaben der DSGVO einzuhalten.

Kommentar hinterlassen

You must have Javascript enabled to use this form.

Weitere Blogeinträge

Veranstaltungen

  • KVD Spotlight Mobile Lösungen 2018

    Sie sind auf der Suche nach einer mobilen Lösung für Ihren Kundenservice? Dann ist das KVD Spotlight Spezial am 15.05.2018 in Essen die optimale Veranstaltung für Sie! Verschaffen Sie sich an einem einzigen Tag einen Überblick über die wichtigsten Hersteller von mobilen Lösungen. Die halbstündigen Round-Table-Vorträge bieten Ihnen die ideale Möglichkeit zum direkten Vergleich der Lösungen.
    Essen, 15.05.2018 Veranstalter KVD
  • 23. SAP EAM Jahreskongress

    Der größte unabhängige SAP-EAM-Anwenderkongress im deutschsprachigen Raum greift die wichtigsten Fragestellungen rund um das SAP-gestützte Instandhaltungsmanagement auf. Diese Veranstaltung bietet Ihnen eine einzigartige Plattform, um mit Experten und Praktikern ins Gespräch zu kommen und sich Anregungen für Ihr Umfeld zu holen. Interaktive Workshops, hochkarätige Keynotes, parallele Fachforen,...
    Potsdam, 28.06. - 29.06.2018 Veranstalter T.A. Cook
  • 5. Treffen der mobileX User Group

    Am 17. und 18. Oktober 2018 findet im Courtyard by Marriott München City Ost das 5. Treffen der mobileX User Group statt, zu dem wir Sie gerne einladen möchten. Die User Group dient als Plattform zum Erfahrungsaustausch unter Anwendern sowie Projektleitern. Sie gibt Ihnen die Möglichkeit zur direkten Einflussnahme auf die Produktentwicklung. Die Teilnahme ist für Sie kostenlos.Hier finden sie...
    München, 17.10. - 18.10.2018 Veranstalter mobileX AG