<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=798965790221670&amp;ev=PageView&amp;noscript=1">
108x92_business_blog_logo_speechbubble.png

DSGVO: Mobile Devices auf dem Prüfstand

Autor Marcel Henrich am 20.6.2017

In Mobiles Arbeiten, BYOD, IT Sicherheit, MDM

DSGVO Mobile Devices

Ab dem 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSGVO) europaweit anzuwenden und mit ihr kommen auch weitreichende Auswirkungen auf Unternehmen und Organisationen zu. Die Verordnung ist ein wichtiger und notwendiger Schritt in der zunehmend digitalisierten Welt und soll für einen besseren Schutz der Daten von Bürgern sorgen. Für Unternehmen, die personenbezogene Daten erfassen oder verarbeiten, bedeutet die DSGVO vor allem mehr Verantwortung und bei Missachtung hohe Strafen. In der heutigen digitalisierten Zeit gilt das im Grunde für so gut wie jedes Unternehmen in jeder Branche.

Unternehmen sind schlecht vorbereitet

Dennoch haben sich viele Unternehmen noch kaum mit der Thematik beschäftigt oder wissen oft gar nicht, was genau auf sie zukommt. 81 Prozent der Unternehmen in Deutschland zweifeln daran, dass sie die Bestimmungen der Datenschutz-Grundverordnung fristgerecht einführen können. Zudem betrachten 58 Prozent der Entscheider die Umsetzung nicht als Priorität in ihren Aktivitäten – trotz der drohenden hohen Bußgelder. Zu diesen Ergebnissen kommt eine Studie von VansonBourne im Auftrag der Varonis Systems. Für die Untersuchung wurden 500 IT-Entscheidungsträger aus den USA, UK, Frankreich und Deutschland befragt. Die Ergebnisse dürften auch für Österreich Gültigkeit besitzen.

Großer Bedeutung kommt auch dem Schutz der immer größeren Anzahl an mobilen Geräten im Unternehmen zu. Laut einer IDC-Umfrage erlitten 26 Prozent der Unternehmen im vergangenen Jahr einen Schaden von mehr als 100.000 Euro durch Sicherheitsvorfälle mit mobilen Technologien. Hinzu kommen finanziell schwer zu beziffernde Schäden in Hinblick auf Reputation und Vertrauen, die Kunden oft für lange Zeit im Gedächtnis bleiben.

Proaktives Handeln ist notwendig

Die Bereitstellung oder Unterstützung von Smartphones, Tablets & Co. im Business genügt nicht, mobile Devices und Lösungen müssen auch abgesichert werden. Die neue Datenschutz-Grundverordnung erfordert durch das Prinzip "Data Protection by Design and by Default" ein deutlich proaktiveres Handeln als bisher. Dieses Handeln muss bereits bei der Entstehung von personenbezogenen Daten ansetzen und erfordert auch im Bereich der Mobile Security geeignete Prozesse und Technologien.

Kostenloses Whitepaper - Was Sie als Chef über IT Sicherheit wissen sollten - jetzt herunterladen

In diesem Zusammenhang kommt besonders zum Tragen, dass der mobile Zugriff auf personenbezogene Informationen, etwa über CRM-Apps für Fachbereichsmitarbeiter, ein wesentlicher Produktivitätsfaktor geworden ist. So können im Schnitt 30 Prozent der Mitarbeiter eines Unternehmens über ein Smart Device auf Kundendaten zugreifen. Demgegenüber kennt gerade einmal die Hälfte aller Anwender die Inhalte der Datenschutz-Grundverordnung, beispielsweise im Hinblick auf die Konsequenzen einer Weitergabe personenbezogener Daten. Falls Unternehmen hier nicht handeln, sind Probleme bei der Einhaltung der DSGVO vorprogrammiert.

Diese Änderungen in der neuen Datenschutz-Grundverordnung sind bei der Nutzung von mobile Devices in Unternehmen zu beachten:

  • Werkseinstellungen überprüfen: Smartphones und Tablets sowie deren Betriebssysteme sollten so designt werden, dass sie mit datenschutzfreundlichen Voreinstellungen ab Werk ausgeliefert werden. Da alle Hersteller diesbezüglich unterschiedliche Policies haben, empfiehlt es sich dringend, alle Einstellungen vor der Inbetriebnahme durch die Mitarbeiter von einem Administrator oder externen Dienstleister überprüfen zu lassen.
  • Apps überprüfen: Viele Apps sind absolute Datensammler. Das ist für die strengen Vorgaben der DSGVO (Stichwort: Recht auf Vergessen werden) alles andere als ideal. Installierte bzw. für den berufsalltag benötigte Apps sollten auf Datenminimierung getrimmt werden oder dementsprechend ausgesucht werden. Es wird nicht immer möglich sein, Apps zu verwenden die kaum bis keine Daten sammeln. Wichtig ist es daher zu wissen, welche Daten in welchem Umfang gespeichert werden, und dann laut den Richtlinien der DSGVO zu handeln. Wenn Daten gelöscht werden müssen, gilt dies auch für jedes mobile Endgerät und jedes mobile Speichermedium.
  • Meldung von Datenschutzverletzungen: Wenn ein Smartphone mit ungeschützten Daten verloren geht oder gestohlen wird, gilt es nicht den Kopf in den Sand zu stecken, sondern sofort zu handeln und jede potentielle Datenschutzverletzung sofort zu melden. Hierbei ist besonders darauf zu achten, Datenschutzverletzungen möglichst frühzeitig zu erkennen und Richtlinien im Unternehmen einzuführen um diese nach Möglichkeit erst gar nicht entstehen zu lassen. Eine besondere Awareness der Mitarbeiter zu schaffen, ist in diesem Punkt sehr wichtig.
  • App-Zertifikate: Zertifizierungen für Apps müssen der DSGVO entsprechen. Viele in den unterschiedlichen App Stores verfügbaren Apps haben solche Zertifikate zumeist noch nicht. Diese Apps dürfen auf Geräten, die beruflich genutzt werden, nicht verwendet werden. Auch dann nicht, wenn das Endgerät im Besitz des Mitarbeiters ist. (Stichwort BYOD). Apps müssen darüber hinaus Datenschutzerklärungen enthalten. Viele Apps verzichten bisher auf jegliche Datenschutzinformation für die Nutzer. Die EU hat ein umfangreiches Richtlinienpaket veröffentlicht, in dem App-Entwickler auf alle notwendigen Erfordernisse hingewiesen werden, um alle Paragraphen der DSGVO erfüllen zu können.
  • Sicherung nach Letztstand der Technik: Die Datensicherheitsmaßnahmen müssen aktuell sein, Unternehmen müssen mobile Endgeräte und die Daten darauf bestmöglich schützen. Auf diese Maßnahme wird im Artikel 32 der DSGVO explizit hingewiesen. Dazu ist es unbedingt notwendig, dass die IT-Abteilung die Herrschaft über unternehmenseigene Geräte vollständig und bei BYOD-Geräten zumindest über besonders geschützte Container behält.
  • Stresstests für Hardware und Software: Die Belastbarkeit der mobilen Geräte sowie ihrer Betriebssysteme und Apps muss überprüft werden. Hier geht es darum, Geräte einerseits möglichst umfangreich vor einem Zugriff von außen zu schützen und gleichzeitig im Falle eines Verlusts oder Diebstahls Datenzugriff durch Dritte zu unterbinden und etwaige relevante Daten unbrauchbar zu machen.

Fazit DSGVO Mobile Devices

Die DSGVO erfordert bis Mai 2018 eine umfassende Vorbereitung und Anpassung in der mobilen IT. Unternehmen müssen beginnen, ihre mobile Datensicherheit zu überprüfen. Nicht nur um den Compliance-Anforderungen gerecht zu werden, sondern auch um den wachsenden mobilen Bedrohungen zu begegnen. Mit T-Mobile als erfahrenem und international tätigem Kommunikationspartner stehen für Unternehmen entsprechende Lösungen und Services im Bereich der mobilen IT-Security bereit, um diese Anforderungen gewissenhaft und lückenlos zu erfüllen. Damit können nicht nur etwaige drakonische Strafen verhindert, sondern auch ein drohender Imageverlust vermieden werden.

 

Leitfaden Mobiles Arbeiten