Das EuGH-Urteil zu Safe Har­bor — Bedeu­tung für Unter­neh­men

Das am 06.10.2015 gefäll­te bahn­bre­chen­de Urteil des Euro­päi­schen Gerichts­ho­fes (EuGH) zu Safe Har­bor ändert für den Ver­brau­cher und Pri­vat­an­wen­der zunächst wenig bis nichts, da er weder dar­auf reagie­ren kann noch sich danach ver­hal­ten muss. Sie oder er kann fröh­lich wei­ter Face­book nut­zen, mit Whats­App sein Adress­buch fröh­lich auf ame­ri­ka­ni­sche Ser­ver laden und Micro­soft in Win­dows 10 Unmen­gen von Daten über­lie­fern. Dies ist zwar aus­ge­spro­chen dumm, aber ver­bo­ten ist es nicht. Der Ver­brau­cher kann war­ten, bis der Gesetz­ge­ber die not­wen­di­gen Regeln geschaf­fen hat.

Für Unter­neh­men, Orga­ni­sa­tio­nen und erst recht Behör­den ist die Situa­ti­on aller­dings eine kom­plett ande­re.

Der 06.10.2015 hat vie­les ver­än­dert, gera­de für Unter­neh­men und gera­de im Bereich der Mobi­li­ty. Auf die Kon­se­quen­zen für die Mobi­li­ty geht die­ser Bei­trag ein. Patrick Beuth von der ZEIT hat in sei­nem sehr lesens­wer­ten Bei­trag Der EuGH hat ein Mons­ter erschaf­fen die Rah­men­be­din­gun­gen der Kon­se­quen­zen für Unter­neh­men gut beleuch­tet, auch wenn die Bezeich­nung „Mons­ter” für die­ses segens­rei­che Urteil völ­lig unan­ge­mes­sen ist und in den Kom­men­ta­ren auch breit zurück­ge­wie­sen wird.

Was aber bedeu­tet das EuGH-Urteil nun für Unter­neh­men vor dem Hin­ter­grund des von Ihnen ein­zu­hal­ten­den Daten­schut­zes?

Das ist ganz ein­fach: Sie müsen es ab sofort ein­hal­ten, alles Gejam­mer, dass dies nicht mög­lich sei, ist weder rich­tig noch rele­vant. Auch die schon immer fal­schen Aus­we­ge über Stan­dard­ver­trags­klau­seln und Bin­ding Cor­po­ra­te Rules füh­ren nicht ans Ziel, da sie dem Urteil wider­spre­chen. Dies erkennt Beuth völ­lig rich­tig und dies habe ich in den letz­ten Tagen diver­sen Gesprächs­part­nern detail­liert erläu­tert. Für den All­tag in der Unter­neh­mens-Mobi­li­ty hat das Urteil dar­über hin­aus ganz kon­kre­te Aus­wir­kun­gen. Im Ein­zel­nen:

  • Bring Your Own Device (BYOD) war schon immer tot und nicht für den Unter­neh­mens­ein­satz geeig­net. Dies konn­te man bis­her schon gut begrün­den und über Umwe­ge her­lei­ten. Das Urteil macht es nun leich­ter. Ein Unter­neh­men, das die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten aus sei­nen Bestän­den (z.B. Adress­bü­cher) auf mobi­len End­ge­rä­ten, die dem Mit­ar­bei­ter gehö­ren, zulässt, muss mit an Sicher­heit gren­zen­der Wahr­schein­lich­keit davon aus­ge­hen, dass die­se Daten auch in Kon­takt mit Pro­gram­men aus dem Pri­vat­be­reich gelan­gen wie z.B. der Spy­wa­re Whats­App, der Daten­schutz­ver­stoß ist nahe­zu sicher.
  • Die viel­fach geprie­se­nen Con­tai­nerlö­sun­gen, die vor­ge­ben die Fir­men­da­ten auf den Con­tai­ner zu iso­lie­ren und den Rest des Gerä­tes dem Mit­ar­bei­ter zur frei­en Ver­fü­gung las­sen, sind nun­mehr erst recht ein Irr­weg. Kein IT-Ver­ant­wort­li­cher soll­te sich damit her­aus­re­den, dass er doch nie­mals gedacht hät­te, dass der Schutz nicht exis­tiert, denn er kann wis­sen, dass der Schutz nicht exis­tiert. Nein, er muss es sogar wis­sen. Die leich­ter erkenn­ba­re Lücke im Con­tai­ner­kon­zept besteht dar­in, dass in jeden Con­tai­ner „Löcher” gebohrt wer­den, um Kom­fort­merk­ma­le zu ermög­li­chen. Bei­spiels­wei­se ist es ohne die­se Löcher nicht mög­lich, die Namen von Anru­fern aus dem Adress­buch des Con­tai­ners anzu­zei­gen — das Modul Tele­fon gibt es stets nur ein­mal auf dem Smart­pho­ne und die­ses muss daher im offe­nen (pri­va­ten) Bereich des Gerä­tes ange­ord­net wer­den. Von da ist es nur ein ein­fa­cher Schritt, den jeder Nut­zer ver­steht, die­se Daten bequem in sei­nem per­sön­li­chen Adress­buch zu spei­chern. Wenn er nun noch Whats­App in sei­nem pri­va­ten Bereich instal­liert hat, ist es ledig­lich eine Sache von Mil­li­se­kun­den, dass der Daten­schutz­ver­stoß durch den Upload die­ses Adress­da­ten­sat­zes auf die Whats­App-Spy­wa­re-Ser­ver erfolgt ist.
  • Die Zulas­sung pri­va­ter nicht gema­nag­ter Gerä­te (Manage­ment ist fak­tisch Ent­eig­nung und damit rechts­wid­rig) in Unter­neh­mens­netz­wer­ken führt regel­mä­ßig zu einem wei­te­ren gra­vie­ren­den Daten­schutz­pro­blem. Aus dut­zen­den selbst geführ­ten Gesprä­chen weiss ich, dass in vie­len Unter­neh­men, die die Mobi­li­ty nicht ver­nünf­tig mana­gen, wesent­li­che Tei­le der Unter­neh­mens­kom­mu­ni­ka­ti­on auf Whats­App ver­la­gert wer­den. Mir ist mitt­ler­wei­le unzäh­li­ge Male das kom­plet­te Fir­men­adress­buch in Whats­App gezeigt wor­den. Oft wer­de ich gefragt, war­um man mich nicht auf Whats­App fin­det. Na, war­um wohl? Der EuGH hilft mit sei­nem Urteil allen, die bei die­sem Pro­blem bis­her fest weg­ge­se­hen haben. Die Ein­schlä­ge kom­men dich­ter, die Haf­tung rückt näher! Und allen Füh­rungs­kräf­ten mit einer D&O‑Versicherung sei gesagt: die hilft Ihnen nicht. Denn wie sagen es Ver­si­che­rungs­ver­tre­ter so schön? Dumm­heit ist nicht ver­si­cher­bar. Und gro­be Fahr­läs­sig­keit und Vor­satz sind nichts ande­res als Dumm­heit.

All die­se Pro­ble­me muss man nicht haben! Wir haben mitt­ler­wei­le unzäh­li­ge Ein­füh­run­gen von PUO­CE-Kon­zep­ten beglei­tet. Pri­va­te Use of Com­pa­ny Equip­ment (PUOCE) ist die ver­nünf­ti­ge und rechts­kon­for­me Alter­na­ti­ve zu BYOD. Doch die Pro­ble­ma­tik BYOD vs. PUOCE ist nicht das ein­zi­ge Feld, was in der Mobi­li­ty durch das EuGH-Urteil betrof­fen ist.

Ein wei­te­rer weit ver­brei­te­ter und von (frag­wür­di­gen) Anwäl­ten gern ins Spiel gebrach­ter Ansatz ist das Ver­mei­den tech­nisch ver­nünf­ti­ger Lösun­gen durch den Ersatz die­ser mit Dienst- oder Betriebs­ver­ein­ba­run­gen, die bestimm­te Din­ge ver­bie­ten, um den Arbeit­ge­ber zu ent­haf­ten. Die­se kön­nen und dür­fen ab nun als Bei­hil­fe zur Umge­hung des EuGH-Urteils gewer­tet wer­den, da sie der Lebens­wirk­lich­keit in den Unter­neh­men fast nie ent­spre­chen. War­um bau­en Auto­mo­bil­her­stel­ler Dreh­zahl­be­grne­zer in Ihre Autos ein? Rich­tig, weil es ansons­ten Benut­zer geben wür­de, die die Moto­ren regel­mä­ßig zer­stö­ren. Nicht anders ist es in der Mobi­li­ty. Wenn ich Whats­App per Dienst­an­wei­sung ver­bie­te, muss ich davon aus­ge­hen, dass es eine aus­rei­chend gro­ße Zahl von Anwen­dern geben wird, die das Ver­bot nicht beach­ten. Es hilft mir dann nichts auf den Anwen­der zu zei­gen als Unter­neh­men und zu behaup­ten, ich hät­te alles getan, damit mei­ne schutz­wür­di­gen peros­nen­be­zo­ge­nen Daten nicht abhan­den kom­men. Genau dies ist nicht erfolgt — das Unter­neh­men hat die Pflicht sei­ne Daten nicht nur durch Ver­ein­ba­run­gen son­dern expli­zit auch tech­nisch zu schüt­zen.

Min­des­tens genau­so gra­vie­rend ist seit dem 06.10.2015 die Aus­wahl des rich­ti­gen Part­ners für Hos­ting-Lösun­gen, da MDM oft gehos­tet von Unter­neh­men betrie­ben wird, neu­deutsch in der Cloud. Und da der Betrieb eines eige­nen RZ mit eige­nen Ser­vern rasch das 4–5‑fache kos­tet im Ver­gleich zur Ama­zon-Cloud, lau­fen sehr vie­le „deut­sche” Ange­bo­te mitt­ler­wei­le in der Ama­zon-Cloud. Uns stört dies, da wir ehr­lich unse­re Dienst­leis­tun­gen aus Deutsch­land her­aus erbrin­gen und die­sen Betrug am Anwen­der nicht mit­ma­chen.

Natür­lich kön­nen Sie jetzt erst ein­mal den­ken: Es ist doch egal, wenn die Ser­ver bei Ama­zon lau­fen, Haupt­sa­che ich habe einen deut­schen Betrei­ber! Genau dies ist falsch. Ame­ri­ka­ni­sche Behör­den durch­su­chen aktiv und ziel­ge­rich­tet die Ama­zon-Cloud nach inter­es­san­ten Infra­struk­tu­ren — MDM-Ser­ver gehö­ren stets dazu. Wenn Sie dann noch wis­sen, dass sehr vie­le MDM-Sys­te­me ihre Infor­ma­tio­nen unver­schlüs­selt in der Daten­bank spei­chern, wird die Erkennt­nis Ihres Pro­blems noch leich­ter. Las­sen Sie sich ein­mal die Ver­schlüs­se­lung von Inhal­ten auf Ihrem MDM-Ser­ver von Ihrem Anbie­ter zei­gen. Sie wer­den stau­nen, was Sie sehen!

Inso­fern gilt nach dem EuGH-Urteil, dass nun­mehr Pflicht ist, was bis­her ver­nünf­tig war: Hos­ting gehört nach Deutsch­land /​Euro­pa bei einem deut­schen /​euro­päi­schen Anbie­ter OHNE JEGLICHEN US-Bezug. Mich amü­sie­ren, nein ärgern, immer wie­der „deut­sche” Anbie­ter, die noch vor 3 Jah­ren stolz mit Ihrem Dat­a­cen­ter in den USA gewor­ben haben und heu­te die­se Infor­ma­ti­on gezielt unter­schla­gen. Genau­so gibt es Anbie­ter, die ihre Lösun­gen in den USA (inclu­si­ve offen­ge­leg­ter Ver­schlüs­se­lung und ggf. Back­door nach US-Recht) gekauft haben und das Gan­ze dann heu­te als deut­sches Pro­dukt ver­kau­fen! Infor­mie­ren Sie sich gezielt, ob Ihr Ver­trags­part­ner wirk­lich kei­ne Bezie­hun­gen in die USA unter­hielt, unter­hält und /​oder unter­hal­ten wird. Eine Nie­der­las­sung dort macht die Fir­ma aus US-Sicht welt­weit ame­ri­ka­nisch und unter­wirft sie unein­ge­schränkt ame­ri­ka­ni­scher Kon­trol­le und ame­ri­ka­ni­schem Zugriff.

Zuletzt, aber nicht am Unwich­tigs­ten, sei auf fol­gen­des Pro­blem hin­ge­wie­sen. MDM-Sys­te­me hal­ten sehr vie­le per­so­nen­be­zo­ge­ne Daten und noch mehr Meta­da­ten per­so­nen­be­zo­ge­ner Kom­mu­ni­ka­ti­on, sie sind der Traum­roh­stoff für Behör­den und Spio­ne. Des­halb gilt — ganz beson­ders vor dem Hin­ter­grund des EuGH-Urteils: Las­sen Sie nie­mals eine ame­ri­ka­ni­sche Fir­ma oder ame­ri­ka­ni­sche Mit­ar­bei­ter auf ihr MDM-Sys­tem zugrei­fen. Nie­mals!

Doch dies ist nur mög­lich, wenn Sie ein deut­sches bzw. euro­päi­sches Sys­tem ein­set­zen, das wirk­lich bewei­sen kann, kei­nen US-Bezug zu haben. Ande­ren­falls sind Ihre Daten auch sehr schnell in die USA ver­lo­ren. Hin­ter­grund ist, dass sich Ihr MDM-Ver­käu­fer meis­tens nicht genü­gend mit den Sys­te­men aus­kennt. Vor die­sem Hin­ter­grund muss bei MDM-Sys­te­men sehr häu­fig der 2nd- oder 3rd-Level-Sup­port ein­ge­schal­tet wer­den, der bei US-Pro­duk­ten regel­mä­ßig in den USA sitzt. Eben­so regel­mä­ßig müs­sen bei Pro­ble­men Log­files und Daten­bank­in­hal­te ana­ly­siert wer­den, dafür wer­den Siche­run­gen der Daten­ban­ken dem Sup­port zu Ver­fü­gung gestellt. Spä­tes­tens jetzt wird Ihnen Ihr Pro­blem sicher klar. Sehr vie­le Inhal­te eines MDM-Sys­tems sind daten­schutz­re­le­vant, kön­nen vor Über­mitt­lung nicht anony­mi­siert wer­den und dür­fen daher nicht an US-Fir­men über­mit­telt wer­den.

Wenn Sie ein US-Sys­tem betrei­ben, ist es jetzt Zeit die Reiss­lei­ne zu zie­hen. Fra­gen Sie uns nach Alter­na­ti­ven und Lösun­gen, wir sind gern für Sie da.


Ande­re inter­es­san­te Bei­trä­ge:
Mobi­li­ty preis­wert: Bil­li­ges Tablet, WLAN oder Pre­paid-SIM und Mobi­le Device Manage­ment (MDM)
Wir sto­ßen immer wie­der auf Miss­ver­ständ­nis­se bei der Umset­zung von mobi­len Sze­na­ri­en. Eines der häu­figs­ten Miss­ver­ständ­nis­se ist, dass sich 24-Monats­ver­trä­ge oder Rah­men­ver­trä­ge mit Mobil­funk­be­trei­bern rech­nen. Das tun sol­che Ver­trä­ge durch­aus — für den Mobil­funk­be­trei­ber! Für den Anwen­der ist dies…
datomo Mobi­le Device Manage­ment 3.10.4 — Neue Fea­tures bei der iOS-Unter­stüt­zung
2013 ist noch kei­ne zwei Mona­te alt und wir ver­öf­fent­li­chen schon das vier­te Update für datomo Mobi­le Device Manage­ment! Im Schnitt lie­fern wir alle zwei Wochen ein neu­es Update, wel­ches den Vor­sprung von datomo MDM kon­ti­nu­ier­lich aus­baut und fort­lau­fend neue Fea­tures in die Lösung inte­griert, vie­le…
datomo Mobi­le Device Manage­ment – MDM-Allein­stel­lungs­merk­mal: Frei ska­lier­ba­re Man­dan­ten­fä­hig­keit
datomo Mobi­le Device Manage­ment kenn­zeich­net sich durch zahl­rei­che Allein­stel­lungs­merk­ma­le und hebt sich mit ver­schie­de­nen Fea­tures deut­lich von den Markt­be­glei­tern ab. Die frei ska­lier­ba­re Man­dan­ten­fä­hig­keit der Lösung sucht ihres­glei­chen. Schon ab 100 Anwen­dern kann es erfor­der­lich sein, dass ein …
datomo Mobi­le Device Manage­ment (MDM) — Anders, mehr und bes­ser! — Neu­es White­pa­per erschie­nen
Wir reden hier bei Pre­tio­so von früh bis spät über Mobi­li­ty und dabei ganz beson­ders oft über Mobi­le Device Manage­ment, weil die­ses The­ma zur Zeit die meis­ten Anwen­der bewegt. So wird mir dann auch immer wie­der ein­mal gesagt, dass sich die gan­zen Sys­te­me doch im Kern nicht unter­schei­den. Das ist ric…
Bring Your Own Device (BYOD) — Auch das Insti­tut für IT-Recht sieht vie­le Pro­ble­me bei Daten­schutz und tech­ni­scher Umset­zung
Bring Your Own Device (BYOD) ist in aller Mun­de, des­halb schrei­be ich auch in die­sem Blog immer wie­der dar­über, denn es gibt auf allen Sei­ten — Anbie­ter, Fir­men und Mit­ar­bei­ter vie­le Fra­gen und häu­fig gro­ße Unklar­heit zu die­sem The­ma. Heu­te bin ich auf einen Arti­kel des Insti­tuts für IT-Recht aus…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.