5 Funktionen wie Enterprise Mobility Management die DSGVO erfüllt

Das zentrale Anliegen der EU-DSGVO, die am 25. Mai 2018 in Kraft tritt: der Schutz personenbezogener Daten aller EU-Bürger. Betroffen sind deshalb alle IT-Prozesse, bei denen persönliche Daten von EU-Bürgern im Spiel sind.

Kurz ausgeholt: Viele Bestimmungen der DSGVO finden sich bereits in der derzeit noch geltenden EU-Richtlinie von 1995 und im Bundesdatenschutzgesetz.

Aber es gibt auch deutliche Verschärfungen. Verschärft wurden beispielsweise die Bußgelder, die verhängt werden können, die Dokumentationspflichten, die die DSGVO-Konformität zeigen, sowie auch die Beweispflichten bei Auftragsverarbeitung und Cloud-Dienstleistungen. Hier liegt die Beweislast jetzt beim Auftragsverarbeiter bzw. dessen Auftraggeber.

Die Grundprinzipien der EU-DSGVO

Die folgenden Prinzipien bei der Verarbeitung personenbezogener Daten bilden den zentralen Kern der EU-DSGVO. Die einzelnen Bestimmungen leiten sich daraus ab:

  • Zweckbindung: Für die Verarbeitung personenbezogener Daten muss es einen klaren und expliziten Grund geben.
  • Datensparsamkeit: Verarbeitete Daten sollen auf das für den betreffenden Zweck benötigte Minimum begrenzt werden.
  • Datenrichtigkeit: Daten sollen korrekt sein, Fehler sollten sich leicht beseitigen lassen.
  • Speicherungsfristen: Daten dürfen nur so lange gespeichert werden, wie es für den betreffenden Zweck unbedingt erforderlich ist. Kundendaten müssen beispielsweise nach Ablauf der steuerrechtlichen Aufbewahrungsfristen sofort gelöscht werden.
  • IT-Sicherheit: Daten sollten so verarbeitet werden, dass eine entsprechende Sicherheit der personenbezogenen Daten gewährleistet ist. Gegen Verarbeitung durch Unbefugte und gegen versehentlichen Verlust müssen sie durch angemessene technische und organisatorische Maßnahmen geschützt werden.
  • Verantwortlichkeit/Dokumentation: Für die Verarbeitung sollten Verantwortliche die Konformität mit den oben erwähnten Grundsätzen nachweisen können.

5 Funktionen wie EMM auch bei Cloud-Services für DSGVO-Konformität sorgt

Die DSGVO greift in eine Vielzahl von IT-Operationen ein. Vom fristgerechten Löschen von Kundendaten über die Pflicht zum formatgerechten Vorhalten von Kundendaten. Dies betrifft etwa die Daten-Mitnahme, wie etwa zu einem anderen Telefon-Anbieter.

Lange Rede, kurzer Sinn: Auch mobile Systeme fallen unter die DSGVO. Enterprise Mobility Management liefert hier Unterstützung zur Erfüllung der DSGV. Beispielsweise in puncto Dokumentationspflichten oder Verschlüsselung und Absicherung von Personendaten. Konkret:

  • Das EMM-System liefert ergänzend zu den mobilen Basis-Betriebssystemen zusätzliche Verschlüsselungsmöglichkeiten (die bei der Einhaltung der Zweckbindungs-Forderung helfen können)
  • Der IT-Administrator des verantwortlichen Verarbeiters kann eine klare Grenze zwischen privaten und geschäftlichen Daten auf dem Gerät definieren (Erfüllung der Dokumentationspflichten).
  • Die zentrale EMM-Plattform zeigt dem IT-Administrator, welche Endgeräte und Apps auf Unternehmensdienste zugreifen. Bei einer Datenschutzverletzung kann der IT-Administrator durch ein Audit-Protokoll exakt nachweisen, welche Aktionen zu der Datengefährdung führten. Ebenfalls kann er nachweisen welche Maßnahmen die Unternehmens-IT gegebenenfalls daraufhin ergriffen hat (Erfüllung der Dokumentationspflichten).
  • Der IT-Administrator kann Endgeräte vor Sicherheitsbedrohungen schützen (als allgemeine Vorkehrung zum Schutz von Personendaten).
  • Nur durch die in einem EMM-System enthaltenen Steuerungs- und Schutzmechanismen können personenbezogene Daten angemessen abgesichert werden. So lässt sich gegebenenfalls nachweisen, dass Unternehmensdaten und private Daten auf dem Gerät hinreichend getrennt waren und Unternehmensdaten vor externen Bedrohungen sowie unbefugter Verwendung oder Offenlegung geschützt waren.

Die EMM-Plattform von MobileIron deckt über diese Features hinaus in besonderer Weise auch neue Herausforderungen ab, die mobile Cloud-Anwendungen und Cloud-Services (Salesforce, Office 365, Dropbox etc.) stellen.

Durch die Zugriffsmöglichkeiten von überall und zu jeder Zeit ergeben sich neue Bedrohungen für Unternehmensdaten. Unternehmen benötigen deshalb ein umfassendes und leistungsfähiges Monitoring der Daten-Zugriffe in der Cloud: Wer greift wann mit welchem Gerät und mit welcher App (die woher stammt?) auf welche Daten zu?

Benutzerkennung und Passwort reichen in der mobilen Cloud-Welt sicherheitstechnisch nicht mehr aus. Vielmehr muss zusätzlich der Status des Endgeräts und der verwendeten Apps abgeprüft werden. MobileIron löst diese Herausforderung mit MobileIron Access.

Fazit: Enterprise Mobility Management ist notwendig

Klar, mit der Etablierung eines EMM-Systems sind nicht automatisch alle Vorgaben der DSGVO erfüllt. Aber: Ohne ein EMM-System dürfte es fast unmöglich sein, die DSGVO überhaupt erfüllen zu können.

Mehr erfahren Sie im MobileIron-Whitepaper.

Dieser Artikel basiert auf einem Beitrag von Stratos Komotoglou, Director Marketing EMEA, MobileIron Inc. Wir bedanken uns für die Kooperation.