Ganz lang­sam wächst auch in vie­len deut­schen Fir­men die Erkennt­nis, dass der 25. Mai 2018 für die eige­ne Fir­ma zum Pro­blem wer­den könn­te.

War­um? Am 25. Mai 2018 tritt die EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) end­gül­tig in Kraft und das kommt — wie man­ches ande­re — völ­lig über­ra­schend und jetzt muss man sich dar­auf vor­be­rei­ten. Völ­lig über­ra­schend? Ganz sicher nicht. Nach­dem Deutsch­land stark feder­füh­rend bis ins Jahr 2013 auf euro­päi­scher Ebe­ne gegen wirk­sa­men Daten­schutz sub­til gekämpft hat, nahm das Euro­pa­par­la­ment den Vor­läu­fer der EU-DSGVO im März 2014 an, aus dem — nach vie­len Abmil­de­run­gen durch Euro­pa­rat und EU-Jus­tiz­mi­nis­ter — die jetzt vor­lie­gen­de EU-DSGVO wur­de. Inso­fern hat­te jede Fir­ma in Euro­pa 4 Jah­re Zeit sich auf die EU-DSGVO vor­zu­be­rei­ten, sehr vie­le haben es aller­dings nicht getan.

Ziel unse­rer Bei­trä­ge ist es nicht dem Leser die EU-DSGVO zu ver­mit­teln, dies haben schon vie­le ande­re mehr oder weni­ger erfolg­reich ver­sucht. Eine gute Quel­le ist hier­bei die Köl­ner Wirt­schafts­prü­fungs­ge­sell­schaft WPNO, die vie­le gro­ße und mit­tel­stän­di­sche deut­sche Unter­neh­men zum The­ma berät und uns in ver­schie­de­nen Pro­jek­ten mit ihrem hand­lungs­ori­en­tier­ten Lösungs­an­satz stär­ker über­zeu­gen konn­te als vie­le der gro­ßen Namen.

Die EU-DSGVO greift an vie­len Stel­len in einem Unter­neh­men grund­le­gend und tief ein, Basis hier­für sind die Arti­kel 5 EU-DSGVO (Daten­schutz­recht­li­che Grund­prin­zi­pi­en) und Arti­kel 6 EU-DSGVO (Recht­mä­ßig­keits­prin­zi­pi­en). Bre­chen wir die­se Anfor­de­run­gen nun ein­mal ganz schlicht auf die Mobi­li­ty her­un­ter, was bedeu­tet das? Ver­ein­facht aus­ge­drückt heisst dies, dass Sie per­so­nen­be­zo­ge­ne Daten (und das ist lei­der oft­mals schon nur eine Tele­fon­num­mer!) auf den dem Unter­neh­men gehö­ren­den mobi­len End­ge­rä­ten gemäß EU-DSGVO ver­ar­bei­ten müs­sen und die Spei­che­rung der­sel­ben eben­falls den Anfor­de­run­gen der EU-DSGVO ent­spre­chen muss. Kön­nen Sie dies zum jet­zi­gen Zeit­punkt sicher­stel­len bzw. haben Sie das sicher­ge­stellt? Schon die­se Fra­ge kann in vie­len Unter­neh­men schlicht nicht beant­wor­tet wer­den, da das erfor­der­li­che Know­how nicht vor­han­den ist.

Ein­fa­che Dau­men­re­gel: Wenn Sie ein Ver­fah­rens­ver­zeich­nis gemäß § 4 g Abs. 2 S. 1 BDSG erstellt haben, kann auf die­ses – vor­be­halt­lich einer Voll­stän­dig­keits­prü­fung – zurück­ge­grif­fen wer­den. Ein „Was ist das?” ist kei­ne sel­te­ne Ant­wort, die wir hören, wenn wir die­sen Hin­weis geben. Reden wir nicht um den heis­sen Brei her­um. Sie haben kein Ver­fah­rens­ver­zeich­nis? Daten­schutz wur­de bei Ihnen bis­her extern ver­ge­ben? Sie haben sich wenig oder gar nicht geküm­mert? Dann haben Sie ver­mut­lich jetzt ein Pro­blem.

Denn in die­ser Situa­ti­on könn­te es ja sein, dass Sie in der Ver­gan­gen­heit immer nett zu Ihren Mit­ar­bei­tern waren und des­halb auch die pri­va­te Nut­zung der Smart­pho­nes und Tablets der Fir­ma erlaubt haben. Das fällt Ihnen jetzt auf die Füße, denn mit einem sol­chen Nut­zungs­sze­na­rio wis­sen Sie schlicht nicht, was auf den Gerä­ten pas­siert. Oft hören wir in sol­chen Situa­tio­nen, dass man vor­ge­sorgt habe indem man die Mit­ar­bei­ter schrift­lich ver­pflich­tet habe, bestimm­te Din­ge auf den mobi­len End­ge­rä­ten nicht zu tun. Lei­der wird man damit kei­nen Daten­schutz­be­auf­trag­ten über­zeu­gen kön­nen, wenn trotz­dem Daten­ver­lus­te und Daten­schutz­ver­stö­ße ein­tre­ten. „Na und?” sag­ten bis­her vie­le Unter­neh­men dazu, macht doch nichts, ist schon nicht so schlimm.

Ab dem 25. Mai 2018 ist es schlimm! Denn dann tre­ten sehr emp­find­li­che Geld­bu­ßen in Kraft — von 2 bis zu 4 % des welt­wei­ten Jah­res­um­sat­zes eines Unter­neh­mens. Um es greif­bar zu machen: Für ein mit­tel­stän­di­sches Unter­neh­men mit 50 Mil­lio­nen Jah­res­um­satz sind dies Bußen im Bereich von 1–2 Mil­lio­nen Euro. Dies kann für man­che Unter­neh­men exis­tenz­ge­fähr­dend sein. Vor­stän­de, Geschäfts­füh­rer und mit Voll­mach­ten ver­se­he­ne Mit­ar­bei­ter soll­ten sich auch dar­über im Kla­ren sein, dass die D&O-Versicherung (Mana­ger-Haft­pflicht­ver­si­che­rung) bei gro­ber Fahr­läs­sig­keit, Vor­satz und Dumm­heit nie haf­tet und sich inso­fern dar­auf vor­be­rei­ten, dass Aktio­nä­re und Gesell­schaf­ter sie ggf. per­sön­lich in die Haf­tung neh­men wer­den. Inso­fern ist neben Daten­schutz- und IT-Bera­tung auch Rechts­be­ra­tung in Bezug auf die EU-DSGVO in vie­len Fäl­len gebo­ten, um die Awa­reness zu schär­fen und sich pro­fes­sio­nell vor­zu­be­rei­ten.

Zurück zur Mobi­li­ty. Die Lis­te der nicht akzep­ta­blen Nut­zun­gen aus Daten­schutz­sicht auf mobi­len End­ge­rä­ten ist lang, sehr lang! Das ist nicht nur Whats­App, Face­book und Lin­kedin (wor­auf wir in einem sepa­ra­ten Bei­trag ein­ge­hen wer­den), das ist viel mehr. Basis für das pro­fes­sio­nel­le Manage­ment mobi­ler End­ge­rä­te ist übli­cher­wei­se eine Mobi­li­ty-Richt­li­nie, die gut mit der IT-Sicher­heits­richt­li­nie inte­griert und idea­ler­wei­se im IT-Grund­schutz-Kon­zept nach ISO ²⁷⁰⁰¹⁄₂₇₀₀₂ ver­an­kert sein soll­te. Das haben Sie teil­wei­se oder alles nicht? Dann wird es lang­sam Zeit, es sind ja nur noch 3 Mona­te bis zur EU-DSGVO. Unab­hän­gig davon, was und wie schnell sie es haben (wer­den) ist Ihnen mitt­ler­wei­le hof­fent­lich klar gewor­den, dass Sie unein­ge­schränkt für alle Hand­lun­gen auf den mobi­len End­ge­rä­ten des Unter­neh­mens ver­ant­wort­lich sind. Die­ser Ver­ant­wor­tung kön­nen Sie nur gerecht wer­den, wenn Sie die­se Gerä­te pro­fes­sio­nell ver­wal­ten und hier­durch Miss­brauch aus­schlie­ßen, der Haf­tungs­ri­si­ken für Sie aus­lö­sen kann.

Nut­zung mobi­ler End­ge­rä­te ist kein Mit­ar­bei­ter-Incen­ti­ve und kei­ne Wohl­fühl­ver­an­stal­tung, wenn Sie Haf­tungs­ri­si­ken aus­schlie­ßen wol­len. An die­ser Stel­le kom­men vie­le auf die wun­der­ba­re Idee, doch die Fir­men­da­ten auf den mobi­len End­ge­rä­ten in einen Con­tai­ner zu tun, damit die Mit­ar­bei­ter dann alles Pri­va­te wei­ter tun kön­nen. Den Schwach­sinn (und die Pro­ble­ma­tik) die­ser Con­tai­ner-Kon­zep­te haben wir hier im Blog schon hin­rei­chend beleuch­tet. Wir wer­den es erneut aus Anlass der EU-DSGVO in einem neu­en Bei­trag tun. An die­ser Stel­le vor­ab nur soviel: ein sol­ches Kon­zept geht seri­ös nur mit Sam­sung KNOX, wenn die Gerä­te gema­nagt wer­den -> MDM. Dar­über hin­aus müs­sen Sie even­tu­el­le Pri­vat­nut­zung mit einem PUO­CE-Kon­zept (Pri­va­te Use of Com­pa­ny Equip­ment) struk­tu­rie­ren, wozu Sie vie­le Bei­trä­ge hier im Blog fin­den. Soll­te Ihnen das jetzt klar sein, fra­gen Sie uns gern, wie Sie es am schnells­ten umset­zen kön­nen mit der füh­ren­den deut­schen MDM-Lösung, garan­tiert frei von US-Soft­ware. Wir hel­fen Ihnen auch bei allen ande­ren Punk­ten, die Sie jetzt auf der Tages­ord­nung haben (müs­sen) gern. Außer bei Rechts­be­ra­tung, weil wir dies in Deutsch­land nicht dür­fen. Da gehen Sie bes­ser zu WPNO (sie­he oben).

PS: Goo­geln Sie ein­fach ein­mal ob Sie einen ande­ren deut­schen MDM-Her­stel­ler fin­den. Good luck!

PPS: Wenn Sie SAP-Anwen­der sind goo­geln Sie auch mal, wie EU-DSGVO und SAP am 25.05.2018 har­mo­nie­ren wer­den. Sie wer­den nicht viel fin­den, wir schrei­ben bald dar­über.