Als Anbieter für Unified Endpoint Management (UEM) könnten wir Ihnen erzählen, dass Sie mit unseren Lösungen allein schon perfekt für die Anforderungen der DSGVO gerüstet sind. Aber das wäre nur die halbe Wahrheit.
Der ersten Aufregung folgen saftige Sanktionen
Im vergangenen Jahr ist die Datenschutzgrundverordnung (DSGVO) wie ein Schreckgespenst durch die Medien gegeistert, denn am 25. Mai war das Regelwerk in Kraft getreten. Wenngleich sich die Aufregung etwas gelegt zu haben scheint, sind die Sanktionen der DSGVO mittlerweile teils schmerzliche Realität: So forderten deutsche Datenschutzbehörden Ende 2018 vom Versandunternehmen Kolibri Image einen Betrag von 5000 Euro, die französische Datenschutzbehörde CNIL belegte Google Anfang 2019 mit einer Strafe von 50 Millionen Euro.
Empfindliche Bußen können also jeden treffen. Unternehmen aller Größen sind somit gut beraten, beständig über ihren Umgang mit persönlichen Daten nachzudenken. Und das gilt gerade dann, wenn Prozesse zunehmend digitalisiert werden und Mitarbeiter mobile Geräte im Rahmen von BYOD-Initiativen gleichermaßen geschäftlich wie privat nutzen. Umsichtig genutzt, fungiert ein Mobile Device Management (MDM) hierbei zweifelsohne als unverzichtbares Werkzeug – kann unter Umständen aber selbst zum Problem werden.
Geschäftliche Daten gehören in Container
Bereits mit Artikel 5 macht die DSGVO klar: Daten dürfen ausschließlich für eindeutig vorgesehene Zwecke erhoben und nur in möglichst geringem Umfang bearbeitet werden. Damit sollten persönliche Informationen von Mitarbeitern und Kunden auch nicht unkontrolliert auf mobile Endgeräte abfließen oder von dort laufenden Anwendungen abgegriffen werden. Besonders bedenklich sind in diesem Zusammenhang Messenger, die auf Kontaktdaten des Handys zugreifen und diese womöglich noch mit Servern in unsicheren Drittstaaten synchronisieren.
Um dem vorzubeugen, müssen Unternehmen ihren Mitarbeitern nun aber nicht komplett den Zugriff auf sensible Unternehmensdaten verwehren. Sinnvoller ist es, geschäftliche Informationen auf Smartphones und Tablets strikt von privaten Anwendungen zu trennen. Hierfür bieten sich hochgradig verschlüsselte Sicherheits-Container an, wie sie beispielsweise per AppTec Secure PIM bereitgestellt werden. Damit können Anwender weiterhin auf E-Mails, Kalender oder Dokumente zugreifen – privat genutzte Apps wie WhatsApp oder Facebook werden derweil ebenso wirkungsvoll ausgesperrt wie unberechtigte Nutzer. Mehr noch: Sollte ein mobiles Gerät gestohlen werden oder auf andere Weise verloren gehen, können Administratoren alle Container-Daten ferngesteuert zurücksetzen.
Darauf sollten Sie beim EMM achten
So gut das auch klingt: Ein funktionierendes Enterprise Mobility Management allein entbindet Sie als Unternehmen freilich nicht von allen in der DSVGO verbrieften Pflichten, Prozesse zu dokumentieren und datenschutzkonform zu gestalten. Betrachten wir hierfür einmal exemplarisch das Thema Arbeitnehmerdatenschutz. In Deutschland konkretisiert §26 Bundesdatenschutzgesetz (BDSG) folgenden Grundsatz: Sollen ihre Daten über den die gesetzlich vorgesehenen Fälle hinaus verarbeitet werden, müssen Beschäftigte zustimmen.
Diese Vorgabe können Sie paradoxerweise bereits mit jenem EMM-Produkt brechen, mit dem Sie eigentlich die DSGVO durchsetzen möchten. So ist es denkbar, dass eine Management-Lösung GPS-Positionsdaten erfasst, um Geräte bei Verlust zu orten. Und genau diese Informationen bilden ein persönliches Bewegungsprofil des jeweiligen Endnutzers ab. Entsprechende Funktionen sollten dem entsprechend mit dem Betriebsrat abgestimmt und nur dann aktiviert werden, wenn die Betroffenen eingeweiht sind. Wie Sie sich auch entscheiden – das Unified Endpoint Management von AppTec passt sich Ihren Prämissen an: Die Konsole präsentiert GPS-Informationen in betriebsratkonformer Weise (Vier-Augen-Prinzip). Ferner lässt sich die Lösung so konfigurieren, dass Nutzer die GPS-Ortung eigenhändig abschalten können.
Nicht vernachlässigen sollten Sie überdies einen möglichen Datentransfer in Drittstaaten, falls Ihre EMM-Lösung als Cloud realisiert ist. AppTec beantwortet diese Fragestellung freilich souverän: Unsere Server stehen aktuell im angemieteten Rechenzentrum der PlusServer GmbH in Deutschland und unterliegen dem entsprechend den DSGVO-Datenschutzvorgaben. Zudem können Sie die in der Schweiz entwickelte Software auch On-Premise betreiben. Für welches Modell Sie sich auch entscheiden: Die Unternehmensdaten werden nie auf unseren Servern abgelegt, sondern bleiben ausschließlich im Besitz des Kunden, also Ihnen.
AppTec Blog / Autor: Sahin Tugcular
Thema: DSGVO, AppTec Container, SecurePIM