Enterprise Mobility Management

Ohne EMM ist Erfüllung der EU-DSGVO schwer möglich

Stratos Komotoglou ist Director EMEA Marketing bei MobileIron
Angesichts der wichtigen Rolle mobiler Endgeräte in den Unternehmen ist der Einsatz eines Enterprise-Mobility-Management-(EMM-)Systems zur Erfüllung der GDPR unabdingbar.

Mit der Datenschutz-Grundverordnung (EU DSGVO, GDPR) macht die Europäische Union einen großen Schritt in Richtung eines einheitlichen digitalen Binnenmarktes. Für die Unternehmen bringt ein einheitlicher Binnenmarkt erhebliche Kosten-Vorteile, weil sie sich europaweit auf einheitliche Regelungen einstellen können. Und durch den in Artikel 3 definierten "räumlichen Anwendungsbereich" der EU DSGVO wird der digitale Binnenmarkt rechtlich im Fall von Auftragsverarbeitung personenbezogener Daten auch auf Dienstleister aus dem Nicht-EU-Ausland ausgedehnt. Dienstleister aus den USA oder Asien unterliegen damit nach dem so genannten Marktortprinzip den Regelungen der EU DSGVO.

Vorsicht: Personenbezogene Daten befinden sich auch auf Smartphones und Tablets - und müssen entsprechend geschützt werden.
Vorsicht: Personenbezogene Daten befinden sich auch auf Smartphones und Tablets - und müssen entsprechend geschützt werden.
Foto: GaudiLab - shutterstock.com

Verschärfung bestehender Bestimmungen

Viele Bestimmungen der DSGVO finden sich auch schon in der derzeit noch geltenden EU-Richtlinie von 1995 und im Bundesdatenschutzgesetz. Aber es gibt auch deutliche Verschärfungen. Verschärft wurden beispielsweise die Bußgelder, die verhängt werden können, die Dokumentationspflichten allgemein sowie Beweis-Pflichten bei Auftragsverarbeitung und Cloud-Dienstleistungen

Die Datenschutz-Gesetzgebung bewegt sich heutzutage in einem Umfeld, in dem Smartphones und Tablets sowie mobile Apps, die in der Cloud positioniert sind, eine wesentliche Rolle spielen. Läuft doch der Zugriff auf moderne Cloud-Dienste, wie zum Beispiel Salesforce oder Office 365, heutzutage im Wesentlichen über mobile Endgeräte. Insofern spielen System-Management-Tools wie Enterprise-Mobility-Management-(EMM-)Systeme eine wichtige Rolle, wenn es darum geht, die Unternehmens-IT in Übereinstimmung mit der DSGVO zu betreiben.

Nachweispflicht für Schutzmechanismen

Verfahren aus dem Bereich Enterprise Mobility Management sind wegweisend beim Schutz von Persönlichkeitsrechten und sie helfen dabei nachzuweisen, dass die verantwortlichen Stellen entsprechende Schutzmechanismen aufgebaut haben. Denn die GDPR legt Unternehmen und Auftragsverarbeiter umfangreiche Dokumentationspflichten auf (so genannte Rechenschaftspflicht in Artikel 5 Absatz 2) und führt gegenüber den bisher gültigen Bestimmungen eine Beweislastumkehr bei Auftragsverarbeitung und Cloud-Dienstleistungen ein (Artikel 82). Die Paragrafen sind mit hohen Strafgeldern von bis zu 20 Millionen Euro beziehungsweise bis zu 4 Prozent des weltweit erzielten Jahresumsatzes bewehrt (Artikel 83 Absatz 5, Buchstabe a).

Die erwähnte Beweislastumkehr in Artikel 82 bedeutet, dass die verantwortlichen Unternehmen Maßnahmen zur Dokumentation der Einhaltung der DSGVO jederzeit vorweisen können müssen, auch wenn keine Schadensfälle aufgetreten sind oder Klagen von betroffenen Personen eingereicht wurden.

Rahmenbedingungen zur Einhaltung der GDPR

Die in Artikel 5 Absatz 2 aufgeführte unbedingte Rechenschaftspflicht, die Kriterien wie Transparenz, Zweckbindung, Datensparsamkeit, Datenrichtigkeit, zeitlich begrenzten Speicherung und Integrität und Vertraulichkeit (siehe Kasten) umfasst, kann mit sinnvollem Aufwand nur durch ein leistungsfähiges EMM-System erfüllt werden. In erster Linie ist dafür nämlich eine zuverlässige Unterscheidung von geschäftlichen und privaten Daten auf einem Endgerät notwendig, um beide Datenwelten zuverlässig vor externen Bedrohungen sowie unbefugter Verwendung oder Offenlegung zu schützen.

Moderne EMM-Systeme verfügen über entsprechende Steuerungsmechanismen und Prozeduren. Eine klare Trennung von geschäftlichen und privaten Daten und Apps hilft nicht nur bei der Erfüllung der erwähnten Rechenschaftspflicht in Artikel 5, Absatz 2, sondern auch dabei, die Bestimmungen der Sicherheit der Verarbeitung personenbezogener Daten zu erfüllen, die in Artikel 32 benannt sind (u.a. Pseudonymisierung und Verschlüsselung der Daten).

Außerdem unterstützen Containerisierung und ähnliche Trennungsmaßnahmen dabei, die so genannte Datenschutz-Folgenabschätzung, die in Artikel 35 verlangt wird, korrekt umzusetzen. Zu letzterem: bei nicht vorhandener Trennung von geschäftlichen und privaten Daten auf dem Endgerät wird eine Prüfung nach Art. 35 grundsätzlich dazu führen, dass die Folgen für den Schutz von Personendaten als unkalkulierbar eingeschätzt werden, die DSGVO also nicht erfüllt ist.