SOTI Datenschutz DSGVO
Viele Unternehmen sind damit beschäftigt, die Vorschriften der EU Datenschutz Grundverordnung umzusetzen. Oft übersehen sie, dass davon auch die mobilen Endgeräte betroffen sind.Im Kern befasst sich die DSGVO mit dem Schutz personenbezogener Daten von Kunden, Lieferanten, Geschäftspartnern und den Mitarbeitern, die in Datenbanken, Dokumenten und E-Mails enthalten sind. In der Terminologie der DSGVO sind dies „alle Informationen, die sich auf eine identifizierbare natürliche Person beziehen“. Dabei spielt es keine Rolle, ob sich die Daten im Rechenzentrum des Unternehmens, auf firmeneigenen oder den privaten mobilen Endgeräten der Mitarbeiter befinden. Laut Bundesdatenschutzgesetz ist der Arbeitgeber für die Einhaltung des Datenschutzes verantwortlich.
Lokalisierung der Daten
Im Rahmen einer Bestandsaufnahme müssen sich Unternehmen einen Überblick über die vorhandenen personenbezogenen Daten und die Zugriffe auf diese Daten verschaffen. Dies ist eine der Voraussetzungen dafür, um die notwendigen Schutzmaßnahmen umzusetzen und die Auskunftsrechte von Betroffenen erfüllen zu können. Bei Daten, die auf mobilen Endgeräten gespeichert oder verarbeitet werden, ist dazu ein effizientes Mobile Device Management erforderlich.
Sicherheitsmaßnahmen mit Mobile Device Management
Unternehmen müssen den Stand der Technik entsprechend geeignete Sicherheitsmaßnahmen implementieren. Diese gelten auch für mobile Endgeräte. Ziel dabei ist es, jederzeit dank Mobile Device Management ein hohes Sicherheitsniveau zu gewährleisten. Dazu ist es erforderlich, dass die Daten sowohl auf den Devices als auch während der Übertragung durchgängig verschlüsselt sind. Wichtig ist des Weiteren eine strikte Trennung von betrieblichen und privaten Daten auf den mobilen Endgeräten. Für Unternehmensdaten und -Anwendungen sollte auf dem Endgerät ein abgeschotteter Bereich (Container) eingerichtet werden. Private Apps haben keinen Zugriff auf die Daten in diesem Sicherheitscontainer.
Recht auf Vergessen werden mit Mobile Device Management
Dies ist ein neuer Aspekt, den es im Bundesdatenschutzgesetz bislang nicht gab. Unternehmen müssen personenbezogene Daten löschen, wenn der Betroffene seine Einwilligung zur Speicherung widerruft oder der Zweck zur Speicherung nicht mehr vorliegt, etwa dann, wenn Mitarbeiter das Unternehmen verlassen. Diese Löschpflicht kann nur dann zuverlässig umgesetzt werden, wenn der Speicherort der Daten bekannt ist und man diese als Unternehmen löschen kann. Dies wird schwierig, wenn der Mitarbeiter personenbezogene Daten auf seinem privaten Smartphone an einem unbekannten Ort und nicht in einem Container speichert. Die Transparenz über diese Daten ist daher auch auf allen genutzten mobilen Daten unerlässlich. Sicherheitscontainer auf mobilen Endgeräten zählen zu den zentralen Bausteinen, um die komplexen Vorgaben der DSGVO umzusetzen. Durch eine strikte Trennung von geschäftlichen und privaten Daten und Apps können Unternehmen personenrelevante Informationen schneller lokalisieren. Gleichzeitig lassen sich die dienstlichen Daten durch eine Verschlüsselung zuverlässig vor Cyberangriffen und unbefugter Verwendung schützen. Befinden sich die personenbezogenen Daten in einem Sicherheitscontainer und die Kommunikation von einem mobilen Endgerät mit der Firmenzentrale erfolgt ebenfalls lückenlos verschlüsselt, können Unternehmen zentrale Vorgaben der DSGVO erfüllen.
Ausführliche Dokumentation mit Mobile Device Management
Alle Verfahren zum Schutz der personenbezogenen Daten müssen sorgfältig dokumentiert vorliegen. Eine wichtige Rolle spielt die Dokumentation erstens als Nachweis bei Audits durch die zuständigen Landesdatenschutzbehörde und zweitens, wenn Schadensfälle eintreten.