Das EuGH-Urteil zu Safe Har­bor — Bedeu­tung für Unter­neh­men

Das am 06.10.2015 gefäll­te bahn­bre­chen­de Urteil des Euro­päi­schen Gerichts­ho­fes (EuGH) zu Safe Har­bor ändert für den Ver­brau­cher und Pri­vat­an­wen­der zunächst wenig bis nichts, da er weder dar­auf reagie­ren kann noch sich danach ver­hal­ten muss. Sie oder er kann fröh­lich wei­ter Face­book nut­zen, mit Whats­App sein Adress­buch fröh­lich auf ame­ri­ka­ni­sche Ser­ver laden und Micro­soft in Win­dows 10 Unmen­gen von Daten über­lie­fern. Dies ist zwar aus­ge­spro­chen dumm, aber ver­bo­ten ist es nicht. Der Ver­brau­cher kann war­ten, bis der Gesetz­ge­ber die not­wen­di­gen Regeln geschaf­fen hat.

Für Unter­neh­men, Orga­ni­sa­tio­nen und erst recht Behör­den ist die Situa­ti­on aller­dings eine kom­plett ande­re.

Der 06.10.2015 hat vie­les ver­än­dert, gera­de für Unter­neh­men und gera­de im Bereich der Mobi­li­ty. Auf die Kon­se­quen­zen für die Mobi­li­ty geht die­ser Bei­trag ein. Patrick Beuth von der ZEIT hat in sei­nem sehr lesens­wer­ten Bei­trag Der EuGH hat ein Mons­ter erschaf­fen die Rah­men­be­din­gun­gen der Kon­se­quen­zen für Unter­neh­men gut beleuch­tet, auch wenn die Bezeich­nung „Mons­ter” für die­ses segens­rei­che Urteil völ­lig unan­ge­mes­sen ist und in den Kom­men­ta­ren auch breit zurück­ge­wie­sen wird.

Was aber bedeu­tet das EuGH-Urteil nun für Unter­neh­men vor dem Hin­ter­grund des von Ihnen ein­zu­hal­ten­den Daten­schut­zes?

Das ist ganz ein­fach: Sie müsen es ab sofort ein­hal­ten, alles Gejam­mer, dass dies nicht mög­lich sei, ist weder rich­tig noch rele­vant. Auch die schon immer fal­schen Aus­we­ge über Stan­dard­ver­trags­klau­seln und Bin­ding Cor­po­ra­te Rules füh­ren nicht ans Ziel, da sie dem Urteil wider­spre­chen. Dies erkennt Beuth völ­lig rich­tig und dies habe ich in den letz­ten Tagen diver­sen Gesprächs­part­nern detail­liert erläu­tert. Für den All­tag in der Unter­neh­mens-Mobi­li­ty hat das Urteil dar­über hin­aus ganz kon­kre­te Aus­wir­kun­gen. Im Ein­zel­nen:

  • Bring Your Own Device (BYOD) war schon immer tot und nicht für den Unter­neh­mens­ein­satz geeig­net. Dies konn­te man bis­her schon gut begrün­den und über Umwe­ge her­lei­ten. Das Urteil macht es nun leich­ter. Ein Unter­neh­men, das die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus sei­nen Bestän­den (z.B. Adress­bü­cher) auf mobi­len End­ge­rä­ten, die dem Mit­ar­bei­ter gehö­ren, zulässt, muss mit an Sicher­heit gren­zen­der Wahr­schein­lich­keit davon aus­ge­hen, dass die­se Daten auch in Kon­takt mit Pro­gram­men aus dem Pri­vat­be­reich gelan­gen wie z.B. der Spy­wa­re Whats­App, der Daten­schutz­ver­stoß ist nahe­zu sicher.
  • Die viel­fach geprie­se­nen Con­tai­nerlö­sun­gen, die vor­ge­ben die Fir­men­da­ten auf den Con­tai­ner zu iso­lie­ren und den Rest des Gerä­tes dem Mit­ar­bei­ter zur frei­en Ver­fü­gung las­sen, sind nun­mehr erst recht ein Irr­weg. Kein IT-Ver­ant­wort­li­cher soll­te sich damit her­aus­re­den, dass er doch nie­mals gedacht hät­te, dass der Schutz nicht exis­tiert, denn er kann wis­sen, dass der Schutz nicht exis­tiert. Nein, er muss es sogar wis­sen. Die leich­ter erkenn­ba­re Lücke im Con­tai­ner­kon­zept besteht dar­in, dass in jeden Con­tai­ner „Löcher” gebohrt wer­den, um Kom­fort­merk­ma­le zu ermög­li­chen. Bei­spiels­wei­se ist es ohne die­se Löcher nicht mög­lich, die Namen von Anru­fern aus dem Adress­buch des Con­tai­ners anzu­zei­gen — das Modul Tele­fon gibt es stets nur ein­mal auf dem Smart­pho­ne und die­ses muss daher im offe­nen (pri­va­ten) Bereich des Gerä­tes ange­ord­net wer­den. Von da ist es nur ein ein­fa­cher Schritt, den jeder Nut­zer ver­steht, die­se Daten bequem in sei­nem per­sön­li­chen Adress­buch zu spei­chern. Wenn er nun noch Whats­App in sei­nem pri­va­ten Bereich instal­liert hat, ist es ledig­lich eine Sache von Mil­li­se­kun­den, dass der Daten­schutz­ver­stoß durch den Upload die­ses Adress­da­ten­sat­zes auf die Whats­App-Spy­wa­re-Ser­ver erfolgt ist.
  • Die Zulas­sung pri­va­ter nicht gema­nag­ter Gerä­te (Manage­ment ist fak­tisch Ent­eig­nung und damit rechts­wid­rig) in Unter­neh­mens­netz­wer­ken führt regel­mä­ßig zu einem wei­te­ren gra­vie­ren­den Daten­schutz­pro­blem. Aus dut­zen­den selbst geführ­ten Gesprä­chen weiss ich, dass in vie­len Unter­neh­men, die die Mobi­li­ty nicht ver­nünf­tig mana­gen, wesent­li­che Tei­le der Unter­neh­mens­kom­mu­ni­ka­ti­on auf Whats­App ver­la­gert wer­den. Mir ist mitt­ler­wei­le unzäh­li­ge Male das kom­plet­te Fir­men­adress­buch in Whats­App gezeigt wor­den. Oft wer­de ich gefragt, war­um man mich nicht auf Whats­App fin­det. Na, war­um wohl? Der EuGH hilft mit sei­nem Urteil allen, die bei die­sem Pro­blem bis­her fest weg­ge­se­hen haben. Die Ein­schlä­ge kom­men dich­ter, die Haf­tung rückt näher! Und allen Füh­rungs­kräf­ten mit einer D&O-Versicherung sei gesagt: die hilft Ihnen nicht. Denn wie sagen es Ver­si­che­rungs­ver­tre­ter so schön? Dumm­heit ist nicht ver­si­cher­bar. Und gro­be Fahr­läs­sig­keit und Vor­satz sind nichts ande­res als Dumm­heit.

All die­se Pro­ble­me muss man nicht haben! Wir haben mitt­ler­wei­le unzäh­li­ge Ein­füh­run­gen von PUO­CE-Kon­zep­ten beglei­tet. Pri­va­te Use of Com­pa­ny Equip­ment (PUOCE) ist die ver­nünf­ti­ge und rechts­kon­for­me Alter­na­ti­ve zu BYOD. Doch die Pro­ble­ma­tik BYOD vs. PUOCE ist nicht das ein­zi­ge Feld, was in der Mobi­li­ty durch das EuGH-Urteil betrof­fen ist.

Ein wei­te­rer weit ver­brei­te­ter und von (frag­wür­di­gen) Anwäl­ten gern ins Spiel gebrach­ter Ansatz ist das Ver­mei­den tech­nisch ver­nünf­ti­ger Lösun­gen durch den Ersatz die­ser mit Dienst- oder Betriebs­ver­ein­ba­run­gen, die bestimm­te Din­ge ver­bie­ten, um den Arbeit­ge­ber zu ent­haf­ten. Die­se kön­nen und dür­fen ab nun als Bei­hil­fe zur Umge­hung des EuGH-Urteils gewer­tet wer­den, da sie der Lebens­wirk­lich­keit in den Unter­neh­men fast nie ent­spre­chen. War­um bau­en Auto­mo­bil­her­stel­ler Dreh­zahl­be­grne­zer in Ihre Autos ein? Rich­tig, weil es ansons­ten Benut­zer geben wür­de, die die Moto­ren regel­mä­ßig zer­stö­ren. Nicht anders ist es in der Mobi­li­ty. Wenn ich Whats­App per Dienst­an­wei­sung ver­bie­te, muss ich davon aus­ge­hen, dass es eine aus­rei­chend gro­ße Zahl von Anwen­dern geben wird, die das Ver­bot nicht beach­ten. Es hilft mir dann nichts auf den Anwen­der zu zei­gen als Unter­neh­men und zu behaup­ten, ich hät­te alles getan, damit mei­ne schutz­wür­di­gen peros­nen­be­zo­ge­nen Daten nicht abhan­den kom­men. Genau dies ist nicht erfolgt — das Unter­neh­men hat die Pflicht sei­ne Daten nicht nur durch Ver­ein­ba­run­gen son­dern expli­zit auch tech­nisch zu schüt­zen.

Min­des­tens genau­so gra­vie­rend ist seit dem 06.10.2015 die Aus­wahl des rich­ti­gen Part­ners für Hos­ting-Lösun­gen, da MDM oft gehos­tet von Unter­neh­men betrie­ben wird, neu­deutsch in der Cloud. Und da der Betrieb eines eige­nen RZ mit eige­nen Ser­vern rasch das 4–5-fache kos­tet im Ver­gleich zur Ama­zon-Cloud, lau­fen sehr vie­le „deut­sche” Ange­bo­te mitt­ler­wei­le in der Ama­zon-Cloud. Uns stört dies, da wir ehr­lich unse­re Dienst­leis­tun­gen aus Deutsch­land her­aus erbrin­gen und die­sen Betrug am Anwen­der nicht mit­ma­chen.

Natür­lich kön­nen Sie jetzt erst ein­mal den­ken: Es ist doch egal, wenn die Ser­ver bei Ama­zon lau­fen, Haupt­sa­che ich habe einen deut­schen Betrei­ber! Genau dies ist falsch. Ame­ri­ka­ni­sche Behör­den durch­su­chen aktiv und ziel­ge­rich­tet die Ama­zon-Cloud nach inter­es­san­ten Infra­struk­tu­ren — MDM-Ser­ver gehö­ren stets dazu. Wenn Sie dann noch wis­sen, dass sehr vie­le MDM-Sys­te­me ihre Infor­ma­tio­nen unver­schlüs­selt in der Daten­bank spei­chern, wird die Erkennt­nis Ihres Pro­blems noch leich­ter. Las­sen Sie sich ein­mal die Ver­schlüs­se­lung von Inhal­ten auf Ihrem MDM-Ser­ver von Ihrem Anbie­ter zei­gen. Sie wer­den stau­nen, was Sie sehen!

Inso­fern gilt nach dem EuGH-Urteil, dass nun­mehr Pflicht ist, was bis­her ver­nünf­tig war: Hos­ting gehört nach Deutsch­land /​Euro­pa bei einem deut­schen /​euro­päi­schen Anbie­ter OHNE JEGLICHEN US-Bezug. Mich amü­sie­ren, nein ärgern, immer wie­der „deut­sche” Anbie­ter, die noch vor 3 Jah­ren stolz mit Ihrem Dat­a­cen­ter in den USA gewor­ben haben und heu­te die­se Infor­ma­ti­on gezielt unter­schla­gen. Genau­so gibt es Anbie­ter, die ihre Lösun­gen in den USA (inclu­si­ve offen­ge­leg­ter Ver­schlüs­se­lung und ggf. Back­door nach US-Recht) gekauft haben und das Gan­ze dann heu­te als deut­sches Pro­dukt ver­kau­fen! Infor­mie­ren Sie sich gezielt, ob Ihr Ver­trags­part­ner wirk­lich kei­ne Bezie­hun­gen in die USA unter­hielt, unter­hält und /​oder unter­hal­ten wird. Eine Nie­der­las­sung dort macht die Fir­ma aus US-Sicht welt­weit ame­ri­ka­nisch und unter­wirft sie unein­ge­schränkt ame­ri­ka­ni­scher Kon­trol­le und ame­ri­ka­ni­schem Zugriff.

Zuletzt, aber nicht am Unwich­tigs­ten, sei auf fol­gen­des Pro­blem hin­ge­wie­sen. MDM-Sys­te­me hal­ten sehr vie­le per­so­nen­be­zo­ge­ne Daten und noch mehr Meta­da­ten per­so­nen­be­zo­ge­ner Kom­mu­ni­ka­ti­on, sie sind der Traum­roh­stoff für Behör­den und Spio­ne. Des­halb gilt — ganz beson­ders vor dem Hin­ter­grund des EuGH-Urteils: Las­sen Sie nie­mals eine ame­ri­ka­ni­sche Fir­ma oder ame­ri­ka­ni­sche Mit­ar­bei­ter auf ihr MDM-Sys­tem zugrei­fen. Nie­mals!

Doch dies ist nur mög­lich, wenn Sie ein deut­sches bzw. euro­päi­sches Sys­tem ein­set­zen, das wirk­lich bewei­sen kann, kei­nen US-Bezug zu haben. Ande­ren­falls sind Ihre Daten auch sehr schnell in die USA ver­lo­ren. Hin­ter­grund ist, dass sich Ihr MDM-Ver­käu­fer meis­tens nicht genü­gend mit den Sys­te­men aus­kennt. Vor die­sem Hin­ter­grund muss bei MDM-Sys­te­men sehr häu­fig der 2nd- oder 3rd-Level-Sup­port ein­ge­schal­tet wer­den, der bei US-Pro­duk­ten regel­mä­ßig in den USA sitzt. Eben­so regel­mä­ßig müs­sen bei Pro­ble­men Log­files und Daten­bank­in­hal­te ana­ly­siert wer­den, dafür wer­den Siche­run­gen der Daten­ban­ken dem Sup­port zu Ver­fü­gung gestellt. Spä­tes­tens jetzt wird Ihnen Ihr Pro­blem sicher klar. Sehr vie­le Inhal­te eines MDM-Sys­tems sind daten­schutz­re­le­vant, kön­nen vor Über­mitt­lung nicht anony­mi­siert wer­den und dür­fen daher nicht an US-Fir­men über­mit­telt wer­den.

Wenn Sie ein US-Sys­tem betrei­ben, ist es jetzt Zeit die Reiss­lei­ne zu zie­hen. Fra­gen Sie uns nach Alter­na­ti­ven und Lösun­gen, wir sind gern für Sie da.


Ande­re inter­es­san­te Bei­trä­ge:
MDM Essen­ti­als — Bring Your Own Device (BYOD) und Mobi­le Device Manage­ment schafft recht­li­che Pro­ble­me und kei­ne Lösun­gen
Nach mei­nem Arti­kel BYOD Bring Your Own Device – Eine der dümms­ten Ide­en aller Zei­ten von Gart­ner, For­res­ter und Vor­stän­den auf der Grund­la­ge von Scot A. Tur­bans Arti­kel haben mich vie­le Anfra­gen zu den recht­li­chen und tech­ni­schen Pro­ble­men von BYOD-Stra­te­gi­en erreicht. Inso­fern erläu­te­re ich die au…
Mobi­le Device Manage­ment (MDM) aus den USA — Unsi­cher­heit mit schlech­ter Qua­li­tät?
Beim The­ma Mobi­le Device Manage­ment (MDM) wird mehr als bei jedem ande­ren The­ma in der IT gelo­gen — und in der IT wird schon seit Jah­ren viel gelo­gen! Da wird schon ein­mal ein Fea­ture von der Road­map auf die Fea­ture­lis­te einer Lösung geschum­melt, das ist nor­mal. MDM schafft hier neue Rekor­de — da we…
datomo Mobi­le Device Manage­ment (MDM) — Anders, mehr und bes­ser durch eine gro­ße Zahl von Allein­stel­lun­gen
War­um Sie sich für datomo Mobi­le Device Manage­ment ent­schei­den soll­ten? Ganz ein­fach, weil datomo MDM siche­rer ist und mehr bie­tet – lesen Sie die Über­sicht über Allein­stel­lungs­merk­ma­le von datomo Mobi­le Device Manage­ment. Steht ein Unter­neh­men vor der Ent­schei­dung, ein MDM Sys­tem ein­zu­füh­ren, sind…
Das sind die bes­ten MDM-Lösun­gen — Umfra­ge von IP-Insi­der
IP-Insi­der, ein inter­es­san­tes Por­tal rund um The­men der Busi­ness-IT von Vogel Busi­ness Media, hat eine Umfra­ge gestar­tet zum The­ma „Das sind die bes­ten MDM-Lösun­gen”. datomo Mobi­le Device Manage­ment wur­de in die­ser Umfra­ge nomi­niert. Aus der Sicht der Anwen­der von datomo Mobi­le Device Manage­ment ist…
datomo MDM — neu­es Major Release 3.24 mit vie­len neu­en Sicher­heits­funk­tio­nen für alle mobi­len Platt­for­men
Wir haben das neue Major Release datomo MDM 3.24 ver­öf­fent­licht. Und wie immer bringt es zahl­rei­che Neue­run­gen, die­se betref­fen vor allem tie­fer­ge­hen­de Sicher­heits­funk­tio­nen und wei­te­re Opti­mie­run­gen für alle mobi­len Platt­for­men: Sper­ren oder erlau­ben Sie zum Bei­spiel gezielt Anwen­dun­gen auf iOS …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.