Das EuGH-Urteil zu Safe Har­bor — Bedeu­tung für Unter­neh­men

Das am 06.10.2015 gefäll­te bahn­bre­chen­de Urteil des Euro­päi­schen Gerichts­ho­fes (EuGH) zu Safe Har­bor ändert für den Ver­brau­cher und Pri­vat­an­wen­der zunächst wenig bis nichts, da er weder dar­auf reagie­ren kann noch sich danach ver­hal­ten muss. Sie oder er kann fröh­lich wei­ter Face­book nut­zen, mit Whats­App sein Adress­buch fröh­lich auf ame­ri­ka­ni­sche Ser­ver laden und Micro­soft in Win­dows 10 Unmen­gen von Daten über­lie­fern. Dies ist zwar aus­ge­spro­chen dumm, aber ver­bo­ten ist es nicht. Der Ver­brau­cher kann war­ten, bis der Gesetz­ge­ber die not­wen­di­gen Regeln geschaf­fen hat.

Für Unter­neh­men, Orga­ni­sa­tio­nen und erst recht Behör­den ist die Situa­ti­on aller­dings eine kom­plett ande­re.

Der 06.10.2015 hat vie­les ver­än­dert, gera­de für Unter­neh­men und gera­de im Bereich der Mobi­li­ty. Auf die Kon­se­quen­zen für die Mobi­li­ty geht die­ser Bei­trag ein. Patrick Beuth von der ZEIT hat in sei­nem sehr lesens­wer­ten Bei­trag Der EuGH hat ein Mons­ter erschaf­fen die Rah­men­be­din­gun­gen der Kon­se­quen­zen für Unter­neh­men gut beleuch­tet, auch wenn die Bezeich­nung „Mons­ter” für die­ses segens­rei­che Urteil völ­lig unan­ge­mes­sen ist und in den Kom­men­ta­ren auch breit zurück­ge­wie­sen wird.

Was aber bedeu­tet das EuGH-Urteil nun für Unter­neh­men vor dem Hin­ter­grund des von Ihnen ein­zu­hal­ten­den Daten­schut­zes?

Das ist ganz ein­fach: Sie müsen es ab sofort ein­hal­ten, alles Gejam­mer, dass dies nicht mög­lich sei, ist weder rich­tig noch rele­vant. Auch die schon immer fal­schen Aus­we­ge über Stan­dard­ver­trags­klau­seln und Bin­ding Cor­po­ra­te Rules füh­ren nicht ans Ziel, da sie dem Urteil wider­spre­chen. Dies erkennt Beuth völ­lig rich­tig und dies habe ich in den letz­ten Tagen diver­sen Gesprächs­part­nern detail­liert erläu­tert. Für den All­tag in der Unter­neh­mens-Mobi­li­ty hat das Urteil dar­über hin­aus ganz kon­kre­te Aus­wir­kun­gen. Im Ein­zel­nen:

  • Bring Your Own Device (BYOD) war schon immer tot und nicht für den Unter­neh­mens­ein­satz geeig­net. Dies konn­te man bis­her schon gut begrün­den und über Umwe­ge her­lei­ten. Das Urteil macht es nun leich­ter. Ein Unter­neh­men, das die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus sei­nen Bestän­den (z.B. Adress­bü­cher) auf mobi­len End­ge­rä­ten, die dem Mit­ar­bei­ter gehö­ren, zulässt, muss mit an Sicher­heit gren­zen­der Wahr­schein­lich­keit davon aus­ge­hen, dass die­se Daten auch in Kon­takt mit Pro­gram­men aus dem Pri­vat­be­reich gelan­gen wie z.B. der Spy­wa­re Whats­App, der Daten­schutz­ver­stoß ist nahe­zu sicher.
  • Die viel­fach geprie­se­nen Con­tai­ner­lö­sun­gen, die vor­ge­ben die Fir­men­da­ten auf den Con­tai­ner zu iso­lie­ren und den Rest des Gerä­tes dem Mit­ar­bei­ter zur frei­en Ver­fü­gung las­sen, sind nun­mehr erst recht ein Irr­weg. Kein IT-Ver­ant­wort­li­cher soll­te sich damit her­aus­re­den, dass er doch nie­mals gedacht hät­te, dass der Schutz nicht exis­tiert, denn er kann wis­sen, dass der Schutz nicht exis­tiert. Nein, er muss es sogar wis­sen. Die leich­ter erkenn­ba­re Lücke im Con­tai­ner­kon­zept besteht dar­in, dass in jeden Con­tai­ner „Löcher” gebohrt wer­den, um Kom­fort­merk­ma­le zu ermög­li­chen. Bei­spiels­wei­se ist es ohne die­se Löcher nicht mög­lich, die Namen von Anru­fern aus dem Adress­buch des Con­tai­ners anzu­zei­gen — das Modul Tele­fon gibt es stets nur ein­mal auf dem Smart­pho­ne und die­ses muss daher im offe­nen (pri­va­ten) Bereich des Gerä­tes ange­ord­net wer­den. Von da ist es nur ein ein­fa­cher Schritt, den jeder Nut­zer ver­steht, die­se Daten bequem in sei­nem per­sön­li­chen Adress­buch zu spei­chern. Wenn er nun noch Whats­App in sei­nem pri­va­ten Bereich instal­liert hat, ist es ledig­lich eine Sache von Mil­li­se­kun­den, dass der Daten­schutz­ver­stoß durch den Upload die­ses Adress­da­ten­sat­zes auf die Whats­App-Spy­wa­re-Ser­ver erfolgt ist.
  • Die Zulas­sung pri­va­ter nicht gema­nag­ter Gerä­te (Manage­ment ist fak­tisch Ent­eig­nung und damit rechts­wid­rig) in Unter­neh­mens­netz­wer­ken führt regel­mä­ßig zu einem wei­te­ren gra­vie­ren­den Daten­schutz­pro­blem. Aus dut­zen­den selbst geführ­ten Gesprä­chen weiss ich, dass in vie­len Unter­neh­men, die die Mobi­li­ty nicht ver­nünf­tig mana­gen, wesent­li­che Tei­le der Unter­neh­mens­kom­mu­ni­ka­ti­on auf Whats­App ver­la­gert wer­den. Mir ist mitt­ler­wei­le unzäh­li­ge Male das kom­plet­te Fir­men­adress­buch in Whats­App gezeigt wor­den. Oft wer­de ich gefragt, war­um man mich nicht auf Whats­App fin­det. Na, war­um wohl? Der EuGH hilft mit sei­nem Urteil allen, die bei die­sem Pro­blem bis­her fest weg­ge­se­hen haben. Die Ein­schlä­ge kom­men dich­ter, die Haf­tung rückt näher! Und allen Füh­rungs­kräf­ten mit einer D&O‑Versicherung sei gesagt: die hilft Ihnen nicht. Denn wie sagen es Ver­si­che­rungs­ver­tre­ter so schön? Dumm­heit ist nicht ver­si­cher­bar. Und gro­be Fahr­läs­sig­keit und Vor­satz sind nichts ande­res als Dumm­heit.

All die­se Pro­ble­me muss man nicht haben! Wir haben mitt­ler­wei­le unzäh­li­ge Ein­füh­run­gen von PUO­CE-Kon­zep­ten beglei­tet. Pri­va­te Use of Com­pa­ny Equip­ment (PUOCE) ist die ver­nünf­ti­ge und rechts­kon­for­me Alter­na­ti­ve zu BYOD. Doch die Pro­ble­ma­tik BYOD vs. PUOCE ist nicht das ein­zi­ge Feld, was in der Mobi­li­ty durch das EuGH-Urteil betrof­fen ist.

Ein wei­te­rer weit ver­brei­te­ter und von (frag­wür­di­gen) Anwäl­ten gern ins Spiel gebrach­ter Ansatz ist das Ver­mei­den tech­nisch ver­nünf­ti­ger Lösun­gen durch den Ersatz die­ser mit Dienst- oder Betriebs­ver­ein­ba­run­gen, die bestimm­te Din­ge ver­bie­ten, um den Arbeit­ge­ber zu ent­haf­ten. Die­se kön­nen und dür­fen ab nun als Bei­hil­fe zur Umge­hung des EuGH-Urteils gewer­tet wer­den, da sie der Lebens­wirk­lich­keit in den Unter­neh­men fast nie ent­spre­chen. War­um bau­en Auto­mo­bil­her­stel­ler Dreh­zahl­be­gr­ne­zer in Ihre Autos ein? Rich­tig, weil es ansons­ten Benut­zer geben wür­de, die die Moto­ren regel­mä­ßig zer­stö­ren. Nicht anders ist es in der Mobi­li­ty. Wenn ich Whats­App per Dienst­an­wei­sung ver­bie­te, muss ich davon aus­ge­hen, dass es eine aus­rei­chend gro­ße Zahl von Anwen­dern geben wird, die das Ver­bot nicht beach­ten. Es hilft mir dann nichts auf den Anwen­der zu zei­gen als Unter­neh­men und zu behaup­ten, ich hät­te alles getan, damit mei­ne schutz­wür­di­gen peros­nen­be­zo­ge­nen Daten nicht abhan­den kom­men. Genau dies ist nicht erfolgt — das Unter­neh­men hat die Pflicht sei­ne Daten nicht nur durch Ver­ein­ba­run­gen son­dern expli­zit auch tech­nisch zu schüt­zen.

Min­des­tens genau­so gra­vie­rend ist seit dem 06.10.2015 die Aus­wahl des rich­ti­gen Part­ners für Hos­ting-Lösun­gen, da MDM oft gehos­tet von Unter­neh­men betrie­ben wird, neu­deutsch in der Cloud. Und da der Betrieb eines eige­nen RZ mit eige­nen Ser­vern rasch das 4–5‑fache kos­tet im Ver­gleich zur Ama­zon-Cloud, lau­fen sehr vie­le „deut­sche” Ange­bo­te mitt­ler­wei­le in der Ama­zon-Cloud. Uns stört dies, da wir ehr­lich unse­re Dienst­leis­tun­gen aus Deutsch­land her­aus erbrin­gen und die­sen Betrug am Anwen­der nicht mit­ma­chen.

Natür­lich kön­nen Sie jetzt erst ein­mal den­ken: Es ist doch egal, wenn die Ser­ver bei Ama­zon lau­fen, Haupt­sa­che ich habe einen deut­schen Betrei­ber! Genau dies ist falsch. Ame­ri­ka­ni­sche Behör­den durch­su­chen aktiv und ziel­ge­rich­tet die Ama­zon-Cloud nach inter­es­san­ten Infra­struk­tu­ren — MDM-Ser­ver gehö­ren stets dazu. Wenn Sie dann noch wis­sen, dass sehr vie­le MDM-Sys­te­me ihre Infor­ma­tio­nen unver­schlüs­selt in der Daten­bank spei­chern, wird die Erkennt­nis Ihres Pro­blems noch leich­ter. Las­sen Sie sich ein­mal die Ver­schlüs­se­lung von Inhal­ten auf Ihrem MDM-Ser­ver von Ihrem Anbie­ter zei­gen. Sie wer­den stau­nen, was Sie sehen!

Inso­fern gilt nach dem EuGH-Urteil, dass nun­mehr Pflicht ist, was bis­her ver­nünf­tig war: Hos­ting gehört nach Deutsch­land /​Euro­pa bei einem deut­schen /​euro­päi­schen Anbie­ter OHNE JEGLICHEN US-Bezug. Mich amü­sie­ren, nein ärgern, immer wie­der „deut­sche” Anbie­ter, die noch vor 3 Jah­ren stolz mit Ihrem Dat­a­cen­ter in den USA gewor­ben haben und heu­te die­se Infor­ma­ti­on gezielt unter­schla­gen. Genau­so gibt es Anbie­ter, die ihre Lösun­gen in den USA (inclu­si­ve offen­ge­leg­ter Ver­schlüs­se­lung und ggf. Back­door nach US-Recht) gekauft haben und das Gan­ze dann heu­te als deut­sches Pro­dukt ver­kau­fen! Infor­mie­ren Sie sich gezielt, ob Ihr Ver­trags­part­ner wirk­lich kei­ne Bezie­hun­gen in die USA unter­hielt, unter­hält und /​oder unter­hal­ten wird. Eine Nie­der­las­sung dort macht die Fir­ma aus US-Sicht welt­weit ame­ri­ka­nisch und unter­wirft sie unein­ge­schränkt ame­ri­ka­ni­scher Kon­trol­le und ame­ri­ka­ni­schem Zugriff.

Zuletzt, aber nicht am Unwich­tigs­ten, sei auf fol­gen­des Pro­blem hin­ge­wie­sen. MDM-Sys­te­me hal­ten sehr vie­le per­so­nen­be­zo­ge­ne Daten und noch mehr Meta­da­ten per­so­nen­be­zo­ge­ner Kom­mu­ni­ka­ti­on, sie sind der Traum­roh­stoff für Behör­den und Spio­ne. Des­halb gilt — ganz beson­ders vor dem Hin­ter­grund des EuGH-Urteils: Las­sen Sie nie­mals eine ame­ri­ka­ni­sche Fir­ma oder ame­ri­ka­ni­sche Mit­ar­bei­ter auf ihr MDM-Sys­tem zugrei­fen. Nie­mals!

Doch dies ist nur mög­lich, wenn Sie ein deut­sches bzw. euro­päi­sches Sys­tem ein­set­zen, das wirk­lich bewei­sen kann, kei­nen US-Bezug zu haben. Ande­ren­falls sind Ihre Daten auch sehr schnell in die USA ver­lo­ren. Hin­ter­grund ist, dass sich Ihr MDM-Ver­käu­fer meis­tens nicht genü­gend mit den Sys­te­men aus­kennt. Vor die­sem Hin­ter­grund muss bei MDM-Sys­te­men sehr häu­fig der 2nd- oder 3rd-Level-Sup­port ein­ge­schal­tet wer­den, der bei US-Pro­duk­ten regel­mä­ßig in den USA sitzt. Eben­so regel­mä­ßig müs­sen bei Pro­ble­men Log­files und Daten­bank­in­hal­te ana­ly­siert wer­den, dafür wer­den Siche­run­gen der Daten­ban­ken dem Sup­port zu Ver­fü­gung gestellt. Spä­tes­tens jetzt wird Ihnen Ihr Pro­blem sicher klar. Sehr vie­le Inhal­te eines MDM-Sys­tems sind daten­schutz­re­le­vant, kön­nen vor Über­mitt­lung nicht anony­mi­siert wer­den und dür­fen daher nicht an US-Fir­men über­mit­telt wer­den.

Wenn Sie ein US-Sys­tem betrei­ben, ist es jetzt Zeit die Reiss­lei­ne zu zie­hen. Fra­gen Sie uns nach Alter­na­ti­ven und Lösun­gen, wir sind gern für Sie da.


Ande­re inter­es­san­te Bei­trä­ge:
datomo Mobi­le Device Manage­ment – MDM-Allein­stel­lungs­merk­mal: Unli­mi­tiert vie­le Enter­pri­se Apps­to­res anbie­ten
Mit datomo Mobi­le Device Manage­ment kann ein fir­men­ei­ge­ner Apps­to­re zur Ver­fü­gung gestellt wer­den. Sämt­li­che in datomo MDM ange­leg­te Anwen­dun­gen kön­nen für die­sen Apps­to­re vom Unter­neh­men frei­ge­schal­tet wer­den. Die ent­spre­chen­den Apps wer­den vor­her defi­niert und fest­ge­legt, es bie­tet sich immer au…
Mobi­le Device Manage­ment (MDM) und Cus­tom ROM für Android — Was geht wie?
Android in Unter­neh­men ist nicht mehr auf­zu­hal­ten. Android hat mitt­ler­wei­le 75% Markt­an­teil erreicht — wir berich­te­ten im Bei­trag Android, Black­Berry 10, iOS, Win­dows Pho­ne 8 — Was ist in, was ist out? — und dies bedeu­tet, dass immer mehr Unter­neh­men sich ernst­haft mit Android beschäf­ti­gen, was wi…
datomo MDM — Major Release 3.25 mit opti­mier­ter iOS Kon­fi­gu­ra­ti­on und neu­en Funk­tio­nen für den Android Base Agent 3.20
Das Major Release datomo MDM 3.25 sowie die Ver­si­on 3.25.1 bie­ten wie immer eini­ge nen­nens­wer­te Neue­run­gen, die­se betref­fen vor allem den Aus­bau der neu­en GUI und wei­te­re Opti­mie­run­gen für die mobi­len Platt­for­men: Beson­ders her­vor­zu­he­ben ist der wei­te­re Aus­bau der neu­en GUI. Es ist jetzt mög­lich,…
MDM Essen­ti­als — War­um Mobi­le Device Manage­ment mehr als der Black­Ber­ry Enter­pri­se Ser­ver (BES) kann
Ich wer­de immer wie­der gefragt, ob man eine MDM-Lösung über­haupt braucht, wenn man einen Black­Ber­ry Enter­pri­se Ser­ver ein­setzt. Die­se Fra­ge kann man nicht ein­fach mit „Ja” oder „Nein” beant­wor­ten, die kor­rek­te Ant­wort ist: „Es kommt dar­auf an …”. Wor­auf? Es kommt dar­auf an, wel­chen Level von S…
MDM Essen­ti­als – Bring Your Own Device (BYOD) und Mobi­le Device Manage­ment (MDM) schafft tech­ni­sche Pro­ble­me und kei­ne Lösun­gen
Nach mei­nem Arti­kel über die recht­li­chen Pro­ble­me von Bring Your Own Device-Stra­te­gien gehe ich heu­te nun auf die tech­ni­schen Pro­ble­me von BYOD ein, die nach mei­ner Über­zeu­gung viel gra­vie­ren­der als die recht­li­chen Pro­ble­me sind. Ich hät­te es mir für die­sen Bei­trag leicht machen kön­nen und ein­fach d…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.