Ganz langsam wächst auch in vielen deutschen Firmen die Erkenntnis, dass der 25. Mai 2018 für die eigene Firma zum Problem werden könnte.
Warum? Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (EU-DSGVO) endgültig in Kraft und das kommt — wie manches andere — völlig überraschend und jetzt muss man sich darauf vorbereiten. Völlig überraschend? Ganz sicher nicht. Nachdem Deutschland stark federführend bis ins Jahr 2013 auf europäischer Ebene gegen wirksamen Datenschutz subtil gekämpft hat, nahm das Europaparlament den Vorläufer der EU-DSGVO im März 2014 an, aus dem — nach vielen Abmilderungen durch Europarat und EU-Justizminister — die jetzt vorliegende EU-DSGVO wurde. Insofern hatte jede Firma in Europa 4 Jahre Zeit sich auf die EU-DSGVO vorzubereiten, sehr viele haben es allerdings nicht getan.
Ziel unserer Beiträge ist es nicht dem Leser die EU-DSGVO zu vermitteln, dies haben schon viele andere mehr oder weniger erfolgreich versucht. Eine gute Quelle ist hierbei die Kölner Wirtschaftsprüfungsgesellschaft WPNO, die viele große und mittelständische deutsche Unternehmen zum Thema berät und uns in verschiedenen Projekten mit ihrem handlungsorientierten Lösungsansatz stärker überzeugen konnte als viele der großen Namen.
Die EU-DSGVO greift an vielen Stellen in einem Unternehmen grundlegend und tief ein, Basis hierfür sind die Artikel 5 EU-DSGVO (Datenschutzrechtliche Grundprinzipien) und Artikel 6 EU-DSGVO (Rechtmäßigkeitsprinzipien). Brechen wir diese Anforderungen nun einmal ganz schlicht auf die Mobility herunter, was bedeutet das? Vereinfacht ausgedrückt heisst dies, dass Sie personenbezogene Daten (und das ist leider oftmals schon nur eine Telefonnummer!) auf den dem Unternehmen gehörenden mobilen Endgeräten gemäß EU-DSGVO verarbeiten müssen und die Speicherung derselben ebenfalls den Anforderungen der EU-DSGVO entsprechen muss. Können Sie dies zum jetzigen Zeitpunkt sicherstellen bzw. haben Sie das sichergestellt? Schon diese Frage kann in vielen Unternehmen schlicht nicht beantwortet werden, da das erforderliche Knowhow nicht vorhanden ist.
Einfache Daumenregel: Wenn Sie ein Verfahrensverzeichnis gemäß § 4 g Abs. 2 S. 1 BDSG erstellt haben, kann auf dieses – vorbehaltlich einer Vollständigkeitsprüfung – zurückgegriffen werden. Ein „Was ist das?” ist keine seltene Antwort, die wir hören, wenn wir diesen Hinweis geben. Reden wir nicht um den heissen Brei herum. Sie haben kein Verfahrensverzeichnis? Datenschutz wurde bei Ihnen bisher extern vergeben? Sie haben sich wenig oder gar nicht gekümmert? Dann haben Sie vermutlich jetzt ein Problem.
Denn in dieser Situation könnte es ja sein, dass Sie in der Vergangenheit immer nett zu Ihren Mitarbeitern waren und deshalb auch die private Nutzung der Smartphones und Tablets der Firma erlaubt haben. Das fällt Ihnen jetzt auf die Füße, denn mit einem solchen Nutzungsszenario wissen Sie schlicht nicht, was auf den Geräten passiert. Oft hören wir in solchen Situationen, dass man vorgesorgt habe indem man die Mitarbeiter schriftlich verpflichtet habe, bestimmte Dinge auf den mobilen Endgeräten nicht zu tun. Leider wird man damit keinen Datenschutzbeauftragten überzeugen können, wenn trotzdem Datenverluste und Datenschutzverstöße eintreten. „Na und?” sagten bisher viele Unternehmen dazu, macht doch nichts, ist schon nicht so schlimm.
Ab dem 25. Mai 2018 ist es schlimm! Denn dann treten sehr empfindliche Geldbußen in Kraft — von 2 bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens. Um es greifbar zu machen: Für ein mittelständisches Unternehmen mit 50 Millionen Jahresumsatz sind dies Bußen im Bereich von 1–2 Millionen Euro. Dies kann für manche Unternehmen existenzgefährdend sein. Vorstände, Geschäftsführer und mit Vollmachten versehene Mitarbeiter sollten sich auch darüber im Klaren sein, dass die D&O‑Versicherung (Manager-Haftpflichtversicherung) bei grober Fahrlässigkeit, Vorsatz und Dummheit nie haftet und sich insofern darauf vorbereiten, dass Aktionäre und Gesellschafter sie ggf. persönlich in die Haftung nehmen werden. Insofern ist neben Datenschutz- und IT-Beratung auch Rechtsberatung in Bezug auf die EU-DSGVO in vielen Fällen geboten, um die Awareness zu schärfen und sich professionell vorzubereiten.
Zurück zur Mobility. Die Liste der nicht akzeptablen Nutzungen aus Datenschutzsicht auf mobilen Endgeräten ist lang, sehr lang! Das ist nicht nur WhatsApp, Facebook und Linkedin (worauf wir in einem separaten Beitrag eingehen werden), das ist viel mehr. Basis für das professionelle Management mobiler Endgeräte ist üblicherweise eine Mobility-Richtlinie, die gut mit der IT-Sicherheitsrichtlinie integriert und idealerweise im IT-Grundschutz-Konzept nach ISO 27001⁄27002 verankert sein sollte. Das haben Sie teilweise oder alles nicht? Dann wird es langsam Zeit, es sind ja nur noch 3 Monate bis zur EU-DSGVO. Unabhängig davon, was und wie schnell sie es haben (werden) ist Ihnen mittlerweile hoffentlich klar geworden, dass Sie uneingeschränkt für alle Handlungen auf den mobilen Endgeräten des Unternehmens verantwortlich sind. Dieser Verantwortung können Sie nur gerecht werden, wenn Sie diese Geräte professionell verwalten und hierdurch Missbrauch ausschließen, der Haftungsrisiken für Sie auslösen kann.
Nutzung mobiler Endgeräte ist kein Mitarbeiter-Incentive und keine Wohlfühlveranstaltung, wenn Sie Haftungsrisiken ausschließen wollen. An dieser Stelle kommen viele auf die wunderbare Idee, doch die Firmendaten auf den mobilen Endgeräten in einen Container zu tun, damit die Mitarbeiter dann alles Private weiter tun können. Den Schwachsinn (und die Problematik) dieser Container-Konzepte haben wir hier im Blog schon hinreichend beleuchtet. Wir werden es erneut aus Anlass der EU-DSGVO in einem neuen Beitrag tun. An dieser Stelle vorab nur soviel: ein solches Konzept geht seriös nur mit Samsung KNOX, wenn die Geräte gemanagt werden -> MDM. Darüber hinaus müssen Sie eventuelle Privatnutzung mit einem PUOCE-Konzept (Private Use of Company Equipment) strukturieren, wozu Sie viele Beiträge hier im Blog finden. Sollte Ihnen das jetzt klar sein, fragen Sie uns gern, wie Sie es am schnellsten umsetzen können mit der führenden deutschen MDM-Lösung, garantiert frei von US-Software. Wir helfen Ihnen auch bei allen anderen Punkten, die Sie jetzt auf der Tagesordnung haben (müssen) gern. Außer bei Rechtsberatung, weil wir dies in Deutschland nicht dürfen. Da gehen Sie besser zu WPNO (siehe oben).
PS: Googeln Sie einfach einmal ob Sie einen anderen deutschen MDM-Hersteller finden. Good luck!
PPS: Wenn Sie SAP-Anwender sind googeln Sie auch mal, wie EU-DSGVO und SAP am 25.05.2018 harmonieren werden. Sie werden nicht viel finden, wir schreiben bald darüber.
Andere interessante Beiträge:
Die Diskussion um Bring Your Own Device (BYOD) hat seit der CeBIT 2013 ein neues Kompetenzniveau erreicht. Während man bis zur CeBIT 2013 die meisten Beiträge wenigstens noch als kompetenzarm bezeichnen konnte, hat sich die Situation seitdem merklich verschoben. Internationale Wirtschaftsprüfungsges…
Wir werden immer wieder nach dem Sinn und Zweck eines User-Self-Service-Portals bei der Anwendung eines MDM-Systems gefragt. Um zu verstehen, was ein User-Self-Service-Portal genau ist, zeigen wir zunächst eine mögliche Konfiguration aus datomo Mobile Device Management: Wofür ist nun das User-Self-…
Heute haben wir die Version 3.11 von datomo Mobile Device Management (MDM) veröffentlicht. Diverse neue Features verbessern die Benutzbarkeit und ermöglichen granularere Konfigurationen für den Administrator von datomo MDM. Diese Features bilden zum Teil auch die Grundlage für den zum Sommer erfolge…
Regelmäßige Leser(innen) wissen, dass viele Beiträge hier im Pretioso Blog aus meinem Alltag entstehen und dieser Beitrag ist wieder ein solcher. Heute war ich bei einem der großen deutschen Mittelständler mit hohem Milliardenumsatz und habe dort ein initiales Mobility-Consulting durchgeführt. Neben…
Wir veröffentlichen hier im Pretisoso-Blog die Vortragspräsentationen, die unser Geschäftsführer Klaus Düll, Experte für MDM und Mobile Security auch in diesem Jahr auf der CeBIT 2016 – auf dem Vortragsforum des Hannover Standes — hielt. Täglich gab es zwei Vorträge mit wechselnden Schwerpunkten ü…
Schreibe einen Kommentar