tom's networking guide
 
Anzeige

EU-DSGVO

Enterprise Mobility Management im Rahmen der EU-Datenschutz-Grundverordnung

EMM als wichtiges Hilfsmittel zur Erfüllung der DSGVO

Keine Frage: Der Zugriff auf moderne Cloud-Dienste, wie zum Beispiel Salesforce und Office 365, läuft heutzutage im Wesentlichen über mobile Endgeräte. Angesichts dieser mobilen Dominanz ist klar, dass es bei der EU DSGVO-Compliance nicht zuletzt um Mobile IT geht. Verfahren aus dem Bereich Enterprise Mobility Management sind wegweisend beim Schutz von Persönlichkeitsrechten und sie helfen dabei nachzuweisen, dass die verantwortlichen Stellen in Unternehmen und Organisationen entsprechende Schutzmechanismen implementiert haben.

Als erstes Beispiel seien die umfangreichen Dokumentationspflichten genannt, die die DSGVO Unternehmen und Auftragsverarbeitern auferlegt (siehe die Rechenschaftspflicht in Artikel 5 Absatz 2). Des Weiteren führt Artikel 82 DSGVO https://dsgvo-gesetz.de/art-82-dsgvo/ gegenüber den bisher gültigen Bestimmungen in nationalen Datenschutzgesetzen eine Beweislastumkehr bei Auftragsverarbeitung und Cloud-Dienstleistungen ein. Diese bedeutet, dass die Verantwortlichen in Unternehmen und Organisationen Maßnahmen zur Dokumentation der Einhaltung der DSGVO jederzeit vorweisen können müssen, selbst dann, wenn keine Schadensfälle bekannt wurden oder Klagen von betroffenen Personen eingereicht wurden.

Beide Pflichten sind bei Nichterfüllung mit hohen Strafgeldern von bis zu 20 Millionen Euro beziehungsweise bis zu 4 Prozent des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bewehrt (Artikel 83 Absatz 5, Buchstabe a https://dsgvo-gesetz.de/art-83-dsgvo/).

Die in Artikel 5 Absatz 2 aufgeführten Pflichten zur Dokumentation, die unter anderem Kriterien der Transparenz, Zweckbindung, Datensparsamkeit, Datenrichtigkeit, korrekten Speicherung und Integrität und Vertraulichkeit unterliegen, können mit sinnvollem Aufwand letztlich nur mit einem EMM-System erfüllt werden [2]. Denn nur mit solchen Systemen lassen sich zeitlich effizient und kostengünstig Unternehmensdaten und private Daten auf einem mobilen Endgerät trennen. Das ist einerseits eine wichtige Maßnahme, um der erwähnten Rechenschaftspflicht in Artikel 2, Absatz 2 (https://dsgvo-gesetz.de/art-2-dsgvo/) nachzukommen, andererseits aber notwendig, um die Bestimmungen der Sicherheit der Verarbeitung personenbezogener Daten zu erfüllen, die in Artikel 32 (https://dsgvo-gesetz.de/art-32-dsgvo/) benannt sind (u.a. Pseudonymisierung und Verschlüsselung der Daten) beziehungsweise um eine Datenschutz-Folgenabschätzung korrekt umsetzen zu können, wie sie in Artikel 35 (https://dsgvo-gesetz.de/art-35-dsgvo/) gefordert wird.

Datenschutz durch Technikgestaltung und entsprechende Voreinstellungen

Auch die Forderung, dass der für die Verarbeitung Verantwortliche schon bei der Vorbereitung eines anstehenden Verarbeitungsprozesses angemessene organisatorische und technische Lösungen zu implementieren hat, um die Konformität mit der DSGVO sicherzustellen und nachzuweisen (Artikel 25, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen https://dsgvo-gesetz.de/art-25-dsgvo/) lassen sich mit einer EMM-Lösung gut im technischen Detail umsetzen:

  • Mit einer EMM-Plattform kann der IT-Administrator des verantwortlichen Verarbeiters eine klare Grenze zwischen privaten und geschäftlichen Daten auf dem Gerät definieren.
  • Die zentrale EMM-Plattform zeigt dem IT-Administrator, welche Endgeräte und Apps auf Unternehmensdienste zugreifen. Bei einer Datenschutzverletzung kann der IT-Administrator durch ein Audit-Protokoll exakt nachweisen, welche Aktionen zu der Datengefährdung führten und welche Maßnahmen die Unternehmens-IT gegebenenfalls daraufhin ergriffen hat (Erfüllung der Dokumentationspflichten gemäß der DSGVO).
  • Mit der EMM-Plattform kann der IT-Administrator Endgeräte vor Sicherheitsbedrohungen schützen; dies ist für die Integrität, Geheimhaltung und Verantwortlichkeit von Bedeutung.
  • Mit der EMM-Lösung kann der IT-Administrator Compliance erzwingen:
    • Er kann geeignete Sicherheitskonfigurationen und Richtlinien für Geräte und Anwendungen durch-/umsetzen.
    • Er kann die Sicherheits-Compliance der Endgeräte und der darauf genutzten Anwendungen überwachen und Angriffe auf die Integrität des Betriebssystems durch eine Betriebssystem-Manipulation (Jailbreak oder Root) der Geräte erkennen.
    • Er kann Gegenmaßnahmen ergreifen, wenn das Gerät oder die Anwendung nicht mehr die Compliance-Anforderungen erfüllt.

    Noch eine Erläuterung zum Thema "datenschutzfreundliche Voreinstellungen": Diese Formulierung verankert das Prinzip der Datensparsamkeit. Es besagt, dass nur die unbedingt notwendigen personenbezogenen Daten erfasst und verarbeitet werden dürfen. Der Benutzer soll die Abfrage zusätzlicher Informationen nicht erst verweigern müssen. Der für die Verarbeitung Verantwortliche darf keine Informationen "im Voraus" sammeln, nur weil er sie vielleicht später benötigen könnte.

    EMM und DSGVO-Compliance bei Cloud-Verarbeitung

    Zum Schluss noch einige Hinweise, inwieweit ausgereifte EMM-Systeme für Sicherheit und DSGVO-Compliance im Bereich Mobile Cloud-Dienste sorgen können. Unternehmen benötigen im Zeitalter des "ubiquitären mobilen Computings" ein umfassendes und leistungsfähiges Monitoring der Zugriffe auf die Unternehmensdaten in der Cloud: Wer greift wann mit welchem Gerät und oder mit welcher App, die woher stammt, auf welche Daten zu?

    Ein ausgereiftes EMM-System wie beispielsweise die EMM-Plattform von MobileIron fasst entsprechende Mechanismen in einer speziellen Applikation zusammen (MobileIron Access).

    Die Entwickler dieser Applikation wussten: Benutzerkennung und Passwort reichen in der mobilen Cloud-Welt sicherheitstechnisch nicht mehr aus, vielmehr muss zusätzlich der Status des Endgeräts und der verwendeten Apps abgeprüft werden, sprich die gesamte Gestik des Mobilgeräts muss überwacht werden.

    Unternehmen sind damit auch im Bereich der mobilen Cloud-Dienstleistungen datenschutzrechtlich auf der sicheren Seite. Und sie verfügen bei der Beauftragung von nicht deutschen Cloud-Service-Anbietern über eine solide technische Plattform, auf der diese Dienstleister aufsetzen können und damit dem "Letztverantwortlichen" (das ist immer das beauftragende Unternehmen selbst) helfen, die Vorgaben der DSGVO einzuhalten.

    [1] Zur Einordnung der EU DSGVO in den akademischen Diskussionsstand zum Datenschutz siehe beispielsweise: Prof. Dr. Kai v. Lewinski, Prof. Dr. Christoph Herrmann: Cloud vs. Cloud ? Datenschutz im Binnenmarkt, in: ZD Zeitschrift für Datenschutz, 10/2016, Seite 467 - 474

    [2] Weißbuch: EMM ? ein nützliches Werkzeug zur Einhaltung der DSGVO

Leserkommentar

Keine Kommentare

Kommentar hinzufügen

* - Pflichtfeld

*





*
*
Rubriken
Anzeige
Anzeige
Anzeige
Anzeige
Mehr zum Thema
Report TELI ? energiesparende Prozessor-Technik
Intels neue Server-Architektur amortisiert sich schon binnen Jahresfrist oder gar noch schneller. Und das nicht nur, weil sie mehr leistet: Moderne Prozessor-Technik spart Arbeit, Platz und Energie. [mehr]
Report TELI "Kaltes Licht schont Umwelt und Geldbeutel"
Glühlampen droht der gesetzliche Bann. Sogenannte Energiesparlampen sind allerdings nicht unproblematisch. Ob und wie es mit LED-Licht besser geht, klärte ein TELI-Expertengespräch, in dem Sharp über den aktuellen Stand der Technik informierte. [mehr]
Anzeige