Das EuGH-Urteil zu Safe Har­bor — Bedeu­tung für Unter­neh­men

Das am 06.10.2015 gefäll­te bahn­bre­chen­de Urteil des Euro­päi­schen Gerichts­ho­fes (EuGH) zu Safe Har­bor ändert für den Ver­brau­cher und Pri­vat­an­wen­der zunächst wenig bis nichts, da er weder dar­auf reagie­ren kann noch sich danach ver­hal­ten muss. Sie oder er kann fröh­lich wei­ter Face­book nut­zen, mit Whats­App sein Adress­buch fröh­lich auf ame­ri­ka­ni­sche Ser­ver laden und Micro­soft in Win­dows 10 Unmen­gen von Daten über­lie­fern. Dies ist zwar aus­ge­spro­chen dumm, aber ver­bo­ten ist es nicht. Der Ver­brau­cher kann war­ten, bis der Gesetz­ge­ber die not­wen­di­gen Regeln geschaf­fen hat.

Für Unter­neh­men, Orga­ni­sa­tio­nen und erst recht Behör­den ist die Situa­ti­on aller­dings eine kom­plett ande­re.

Der 06.10.2015 hat vie­les ver­än­dert, gera­de für Unter­neh­men und gera­de im Bereich der Mobi­li­ty. Auf die Kon­se­quen­zen für die Mobi­li­ty geht die­ser Bei­trag ein. Patrick Beuth von der ZEIT hat in sei­nem sehr lesens­wer­ten Bei­trag Der EuGH hat ein Mons­ter erschaf­fen die Rah­men­be­din­gun­gen der Kon­se­quen­zen für Unter­neh­men gut beleuch­tet, auch wenn die Bezeich­nung „Mons­ter” für die­ses segens­rei­che Urteil völ­lig unan­ge­mes­sen ist und in den Kom­men­ta­ren auch breit zurück­ge­wie­sen wird.

Was aber bedeu­tet das EuGH-Urteil nun für Unter­neh­men vor dem Hin­ter­grund des von Ihnen ein­zu­hal­ten­den Daten­schut­zes?

Das ist ganz ein­fach: Sie müsen es ab sofort ein­hal­ten, alles Gejam­mer, dass dies nicht mög­lich sei, ist weder rich­tig noch rele­vant. Auch die schon immer fal­schen Aus­we­ge über Stan­dard­ver­trags­klau­seln und Bin­ding Cor­po­ra­te Rules füh­ren nicht ans Ziel, da sie dem Urteil wider­spre­chen. Dies erkennt Beuth völ­lig rich­tig und dies habe ich in den letz­ten Tagen diver­sen Gesprächs­part­nern detail­liert erläu­tert. Für den All­tag in der Unter­neh­mens-Mobi­li­ty hat das Urteil dar­über hin­aus ganz kon­kre­te Aus­wir­kun­gen. Im Ein­zel­nen:

  • Bring Your Own Device (BYOD) war schon immer tot und nicht für den Unter­neh­mens­ein­satz geeig­net. Dies konn­te man bis­her schon gut begrün­den und über Umwe­ge her­lei­ten. Das Urteil macht es nun leich­ter. Ein Unter­neh­men, das die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus sei­nen Bestän­den (z.B. Adress­bü­cher) auf mobi­len End­ge­rä­ten, die dem Mit­ar­bei­ter gehö­ren, zulässt, muss mit an Sicher­heit gren­zen­der Wahr­schein­lich­keit davon aus­ge­hen, dass die­se Daten auch in Kon­takt mit Pro­gram­men aus dem Pri­vat­be­reich gelan­gen wie z.B. der Spy­wa­re Whats­App, der Daten­schutz­ver­stoß ist nahe­zu sicher.
  • Die viel­fach geprie­se­nen Con­tai­nerlö­sun­gen, die vor­ge­ben die Fir­men­da­ten auf den Con­tai­ner zu iso­lie­ren und den Rest des Gerä­tes dem Mit­ar­bei­ter zur frei­en Ver­fü­gung las­sen, sind nun­mehr erst recht ein Irr­weg. Kein IT-Ver­ant­wort­li­cher soll­te sich damit her­aus­re­den, dass er doch nie­mals gedacht hät­te, dass der Schutz nicht exis­tiert, denn er kann wis­sen, dass der Schutz nicht exis­tiert. Nein, er muss es sogar wis­sen. Die leich­ter erkenn­ba­re Lücke im Con­tai­ner­kon­zept besteht dar­in, dass in jeden Con­tai­ner „Löcher” gebohrt wer­den, um Kom­fort­merk­ma­le zu ermög­li­chen. Bei­spiels­wei­se ist es ohne die­se Löcher nicht mög­lich, die Namen von Anru­fern aus dem Adress­buch des Con­tai­ners anzu­zei­gen — das Modul Tele­fon gibt es stets nur ein­mal auf dem Smart­pho­ne und die­ses muss daher im offe­nen (pri­va­ten) Bereich des Gerä­tes ange­ord­net wer­den. Von da ist es nur ein ein­fa­cher Schritt, den jeder Nut­zer ver­steht, die­se Daten bequem in sei­nem per­sön­li­chen Adress­buch zu spei­chern. Wenn er nun noch Whats­App in sei­nem pri­va­ten Bereich instal­liert hat, ist es ledig­lich eine Sache von Mil­li­se­kun­den, dass der Daten­schutz­ver­stoß durch den Upload die­ses Adress­da­ten­sat­zes auf die Whats­App-Spy­wa­re-Ser­ver erfolgt ist.
  • Die Zulas­sung pri­va­ter nicht gema­nag­ter Gerä­te (Manage­ment ist fak­tisch Ent­eig­nung und damit rechts­wid­rig) in Unter­neh­mens­netz­wer­ken führt regel­mä­ßig zu einem wei­te­ren gra­vie­ren­den Daten­schutz­pro­blem. Aus dut­zen­den selbst geführ­ten Gesprä­chen weiss ich, dass in vie­len Unter­neh­men, die die Mobi­li­ty nicht ver­nünf­tig mana­gen, wesent­li­che Tei­le der Unter­neh­mens­kom­mu­ni­ka­ti­on auf Whats­App ver­la­gert wer­den. Mir ist mitt­ler­wei­le unzäh­li­ge Male das kom­plet­te Fir­men­adress­buch in Whats­App gezeigt wor­den. Oft wer­de ich gefragt, war­um man mich nicht auf Whats­App fin­det. Na, war­um wohl? Der EuGH hilft mit sei­nem Urteil allen, die bei die­sem Pro­blem bis­her fest weg­ge­se­hen haben. Die Ein­schlä­ge kom­men dich­ter, die Haf­tung rückt näher! Und allen Füh­rungs­kräf­ten mit einer D&O-Versicherung sei gesagt: die hilft Ihnen nicht. Denn wie sagen es Ver­si­che­rungs­ver­tre­ter so schön? Dumm­heit ist nicht ver­si­cher­bar. Und gro­be Fahr­läs­sig­keit und Vor­satz sind nichts ande­res als Dumm­heit.

All die­se Pro­ble­me muss man nicht haben! Wir haben mitt­ler­wei­le unzäh­li­ge Ein­füh­run­gen von PUO­CE-Kon­zep­ten beglei­tet. Pri­va­te Use of Com­pa­ny Equip­ment (PUOCE) ist die ver­nünf­ti­ge und rechts­kon­for­me Alter­na­ti­ve zu BYOD. Doch die Pro­ble­ma­tik BYOD vs. PUOCE ist nicht das ein­zi­ge Feld, was in der Mobi­li­ty durch das EuGH-Urteil betrof­fen ist.

Ein wei­te­rer weit ver­brei­te­ter und von (frag­wür­di­gen) Anwäl­ten gern ins Spiel gebrach­ter Ansatz ist das Ver­mei­den tech­nisch ver­nünf­ti­ger Lösun­gen durch den Ersatz die­ser mit Dienst- oder Betriebs­ver­ein­ba­run­gen, die bestimm­te Din­ge ver­bie­ten, um den Arbeit­ge­ber zu ent­haf­ten. Die­se kön­nen und dür­fen ab nun als Bei­hil­fe zur Umge­hung des EuGH-Urteils gewer­tet wer­den, da sie der Lebens­wirk­lich­keit in den Unter­neh­men fast nie ent­spre­chen. War­um bau­en Auto­mo­bil­her­stel­ler Dreh­zahl­be­grne­zer in Ihre Autos ein? Rich­tig, weil es ansons­ten Benut­zer geben wür­de, die die Moto­ren regel­mä­ßig zer­stö­ren. Nicht anders ist es in der Mobi­li­ty. Wenn ich Whats­App per Dienst­an­wei­sung ver­bie­te, muss ich davon aus­ge­hen, dass es eine aus­rei­chend gro­ße Zahl von Anwen­dern geben wird, die das Ver­bot nicht beach­ten. Es hilft mir dann nichts auf den Anwen­der zu zei­gen als Unter­neh­men und zu behaup­ten, ich hät­te alles getan, damit mei­ne schutz­wür­di­gen peros­nen­be­zo­ge­nen Daten nicht abhan­den kom­men. Genau dies ist nicht erfolgt — das Unter­neh­men hat die Pflicht sei­ne Daten nicht nur durch Ver­ein­ba­run­gen son­dern expli­zit auch tech­nisch zu schüt­zen.

Min­des­tens genau­so gra­vie­rend ist seit dem 06.10.2015 die Aus­wahl des rich­ti­gen Part­ners für Hos­ting-Lösun­gen, da MDM oft gehos­tet von Unter­neh­men betrie­ben wird, neu­deutsch in der Cloud. Und da der Betrieb eines eige­nen RZ mit eige­nen Ser­vern rasch das 4–5-fache kos­tet im Ver­gleich zur Ama­zon-Cloud, lau­fen sehr vie­le „deut­sche” Ange­bo­te mitt­ler­wei­le in der Ama­zon-Cloud. Uns stört dies, da wir ehr­lich unse­re Dienst­leis­tun­gen aus Deutsch­land her­aus erbrin­gen und die­sen Betrug am Anwen­der nicht mit­ma­chen.

Natür­lich kön­nen Sie jetzt erst ein­mal den­ken: Es ist doch egal, wenn die Ser­ver bei Ama­zon lau­fen, Haupt­sa­che ich habe einen deut­schen Betrei­ber! Genau dies ist falsch. Ame­ri­ka­ni­sche Behör­den durch­su­chen aktiv und ziel­ge­rich­tet die Ama­zon-Cloud nach inter­es­san­ten Infra­struk­tu­ren — MDM-Ser­ver gehö­ren stets dazu. Wenn Sie dann noch wis­sen, dass sehr vie­le MDM-Sys­te­me ihre Infor­ma­tio­nen unver­schlüs­selt in der Daten­bank spei­chern, wird die Erkennt­nis Ihres Pro­blems noch leich­ter. Las­sen Sie sich ein­mal die Ver­schlüs­se­lung von Inhal­ten auf Ihrem MDM-Ser­ver von Ihrem Anbie­ter zei­gen. Sie wer­den stau­nen, was Sie sehen!

Inso­fern gilt nach dem EuGH-Urteil, dass nun­mehr Pflicht ist, was bis­her ver­nünf­tig war: Hos­ting gehört nach Deutsch­land /​Euro­pa bei einem deut­schen /​euro­päi­schen Anbie­ter OHNE JEGLICHEN US-Bezug. Mich amü­sie­ren, nein ärgern, immer wie­der „deut­sche” Anbie­ter, die noch vor 3 Jah­ren stolz mit Ihrem Dat­a­cen­ter in den USA gewor­ben haben und heu­te die­se Infor­ma­ti­on gezielt unter­schla­gen. Genau­so gibt es Anbie­ter, die ihre Lösun­gen in den USA (inclu­si­ve offen­ge­leg­ter Ver­schlüs­se­lung und ggf. Back­door nach US-Recht) gekauft haben und das Gan­ze dann heu­te als deut­sches Pro­dukt ver­kau­fen! Infor­mie­ren Sie sich gezielt, ob Ihr Ver­trags­part­ner wirk­lich kei­ne Bezie­hun­gen in die USA unter­hielt, unter­hält und /​oder unter­hal­ten wird. Eine Nie­der­las­sung dort macht die Fir­ma aus US-Sicht welt­weit ame­ri­ka­nisch und unter­wirft sie unein­ge­schränkt ame­ri­ka­ni­scher Kon­trol­le und ame­ri­ka­ni­schem Zugriff.

Zuletzt, aber nicht am Unwich­tigs­ten, sei auf fol­gen­des Pro­blem hin­ge­wie­sen. MDM-Sys­te­me hal­ten sehr vie­le per­so­nen­be­zo­ge­ne Daten und noch mehr Meta­da­ten per­so­nen­be­zo­ge­ner Kom­mu­ni­ka­ti­on, sie sind der Traum­roh­stoff für Behör­den und Spio­ne. Des­halb gilt — ganz beson­ders vor dem Hin­ter­grund des EuGH-Urteils: Las­sen Sie nie­mals eine ame­ri­ka­ni­sche Fir­ma oder ame­ri­ka­ni­sche Mit­ar­bei­ter auf ihr MDM-Sys­tem zugrei­fen. Nie­mals!

Doch dies ist nur mög­lich, wenn Sie ein deut­sches bzw. euro­päi­sches Sys­tem ein­set­zen, das wirk­lich bewei­sen kann, kei­nen US-Bezug zu haben. Ande­ren­falls sind Ihre Daten auch sehr schnell in die USA ver­lo­ren. Hin­ter­grund ist, dass sich Ihr MDM-Ver­käu­fer meis­tens nicht genü­gend mit den Sys­te­men aus­kennt. Vor die­sem Hin­ter­grund muss bei MDM-Sys­te­men sehr häu­fig der 2nd- oder 3rd-Level-Sup­port ein­ge­schal­tet wer­den, der bei US-Pro­duk­ten regel­mä­ßig in den USA sitzt. Eben­so regel­mä­ßig müs­sen bei Pro­ble­men Log­files und Daten­bank­in­hal­te ana­ly­siert wer­den, dafür wer­den Siche­run­gen der Daten­ban­ken dem Sup­port zu Ver­fü­gung gestellt. Spä­tes­tens jetzt wird Ihnen Ihr Pro­blem sicher klar. Sehr vie­le Inhal­te eines MDM-Sys­tems sind daten­schutz­re­le­vant, kön­nen vor Über­mitt­lung nicht anony­mi­siert wer­den und dür­fen daher nicht an US-Fir­men über­mit­telt wer­den.

Wenn Sie ein US-Sys­tem betrei­ben, ist es jetzt Zeit die Reiss­lei­ne zu zie­hen. Fra­gen Sie uns nach Alter­na­ti­ven und Lösun­gen, wir sind gern für Sie da.


Ande­re inter­es­san­te Bei­trä­ge:
MDM Essen­ti­als — Mobi­le Device Manage­ment und SMS — was hat das mit­ein­an­der zu tun?
Immer wie­der wer­de ich gefragt, wofür ein MDM-Sys­tem denn SMS braucht, oft mit dem Hin­weis, dass ein iPad und Gerä­te ohne GSM-Funk­tio­na­li­tät (Mobil­funk) doch auch gema­nagt wer­den kön­nen (müs­sen). Dies ist voll­kom­men rich­tig. Man kann natür­lich Gerä­te auch ohne SMS mana­gen und dies ist kei­nes­falls sc…
MDM Essen­ti­als — Apple Enter­pri­se App Store (VPP) — How­To Anmel­dung und ers­ter Ein­kauf als Dia­show
Vor weni­gen Tagen haben wir im Bei­trag Apple’s Enter­prise App Store (Volu­me Purcha­se Pro­gram — VPP) in Deutsch­land ver­füg­bar auf das deut­sche VPP-Pro­gramm hin­ge­wie­sen. Seit­dem sind wir täg­lich gefragt wor­den, wie der kon­kre­te Ablauf sich gestal­tet, was man wie machen muss. Wir haben des­halb ein­ma…
Mobi­le Device Manage­ment (MDM) — Good ver­klagt Air­Watch und MobileI­ron wegen Patent­ver­let­zun­gen
In Deutsch­land ist erstaun­li­cher­wei­se noch weit­ge­hend unbe­kannt, dass Good MobileI­ron und Air­Watch wegen zahl­rei­cher Patent­ver­let­zun­gen vor dem Distrikt­ge­richt von San Jose am 14. Novem­ber ver­klagt hat. Wen der Ort San Jose an etwas erin­nert — rich­tig! Apple hat dort vor kur­zem erst mit Pau­ken und T…
Gart­ner sieht Bring Your Own Device kri­tisch — Vor­trag von Phil­lip Red­man auf dem MWC 2013
Na sowas! Gart­ner, die sei­ner­zei­ti­gen Erfin­der und Prot­ago­nis­ten von Bring Your Own Device (BYOD) kom­men in der Rea­li­tät an! Phil­lip Red­man, der Haupt­ver­ant­wort­li­che bei Gart­ner für das The­ma Enter­pri­se Mobi­li­ty, wozu auch Mobi­le Device Manage­ment (MDM) und Bring Your Own Device zäh­len, war auf dem …
CeBIT 2014 Expert Panel Mobi­le Enter­pri­se — Täg­lich Vor­trä­ge von Pre­tio­so zu Mobi­lity Stra­te­gien, Mobi­le Secu­ri­ty, Mobi­le Device Manage­m…
Unse­re Vor­trä­ge auf der CeBIT 2013 waren viel besucht und sind auch heu­te noch auf dem Pre­tio­so-You­tube-Kanal ver­füg­bar sowie hier im Blog über den Bei­trag Unse­re Vor­träge zu Mobi­lity Stra­te­gie, Mobi­le Device Manage­ment und BYOD auf der CeBIT 2013 zum Down­load abzu­ru­fen. Der sehr gute Besuch u…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.