Transcription
EMM – ein nützlichesWerkzeug zur Einhaltungder DSGVOAngemessene, auf dem gesunden Menschenverstand basierendeSicherheitsstandards erlangen in vielen Regionen der WeltGesetzeskraft. In Europa gilt ab 25. Mai 2018 die im April 2016verabschiedete „Datenschutz-Grundverordnung“ in vollem Umfang.Mit der Datenschutz-Grundverordnung wird für die EuropäischeUnion (EU) ein umfassendes und harmonisiertes Rechtssystem fürDatenschutz und Datensicherheit eingeführt. Bei Nichteinhaltungder Datenschutz-Grundverordnung drohen erhebliche Geldstrafenund ein Imageschaden – die Höchststrafen liegen bei über 20 Mio.Euro bzw. 4 % des weltweiten Ertrags des Unternehmens.Die Datenschutz-Grundverordnung gilt für die für die VerarbeitungVerantwortlichen und Auftragsverarbeiter in der EU sowieaußerhalb der EU, wenn diese personenbezogene Daten vonPersonen aus der EU verarbeiten. Ein „für die VerarbeitungVerantwortlicher“ ist das Unternehmen, das über den Zweck [email protected].: 1 877 819 3451Fax : 1.650.919.8006
„EMM-Plattform in Zukunft unverzichtbar für dieEinhaltung der Datenschutz-Grundverordnung“IDC (Februar 2017)*die Mittel der Verarbeitung personenbezogenerDaten entscheidet. „Auftragsverarbeiter“ ist jedesUnternehmen, das die Verarbeitung im Namenund entsprechend den Weisungen des für dieVerarbeitung Verantwortlichen übernimmt. Beidiesem Dokument gehen wir davon aus, dassder für die Verarbeitung Verantwortliche und derAuftragsverarbeiter identisch sind, das heißt, dasses sich um ein Unternehmen mit Mitarbeiternoder Kunden in der EU handelt.Ein umfassendes und gut strukturiertes EnterpriseMobility Management-Programm (EMM)wird ein wichtiger Bestandteil der Initiative zurEinhaltung der DS-GVO jedes Unternehmenssein. In diesem Dokument finden UnternehmenRahmenbedingungen, mit denen sie ihreRichtlinien für mobilen Datenschutz und mobileSicherheit sowie die Durchsetzungskonzeptebewerten können. Dieses Dokument stellt keineRechtsberatung dar. Jedes Unternehmen musssicherstellen, dass die Einführung einer EMMPlattform sich in seine internen juristischen undCompliance-Rahmenbedingungen einfügt.Die Grundsätze fürdie Verarbeitungpersonenbezogener Datennach der DatenschutzGrundverordnung DS-GVObasieren auf Standards undstimmen mit den entstehendenDatenschutzbestimmungenin anderen Regionen überein.Grundsätze der DatenschutzGrundverordnungJeder Arbeitgeber besitzt bestimmtepersonenbezogene Daten. Ausgangspunkt für dieDatenschutz-Grundverordnung ist die einfacheÜberlegung, dass nur die unbedingt erforderlichenpersonenbezogenen Daten gespeichert werdensollen und angemessene Vorsichtsmaßnahmenzur Risikominderung für Einzelpersonen ergriffenwerden müssen.Zwar ist Europa in der Welt im Bereich des Daten schutzes führend, die Grundsätze zur Verarbeitungpersonenbezogener Daten entsprechend derDatenschutz-Grundverordnung basieren jedochauf Standards und stimmen mit den entstehendenDatenschutz-Rahmenbedingungen in anderenRegionen überein. Diese Grundsätze sind: Gesetzeskonforme, angemessene und transparenteVerarbeitung: Unternehmen müssen triftige Gründe fürdie Verarbeitung personenbezogener Daten haben unddiese Informationen Einzelpersonen zur Verfügung stellen. Es muss einen klaren und expliziten Grund für dieVerarbeitung der personenbezogenen Daten geben.Die Daten dürfen nur für den Zweck verarbeitet werden,für den sie erfasst wurden. Zustimmung: Die natürliche Person, deren personen bezogene Daten verarbeitet werden, muss der Verarbeitungallgemein zustimmen. Datensparsamkeit: Die verarbeiteten Daten solltenauf den Umfang begrenzt sein, der für einen bestimmtenZweck unbedingt benötigt wird. Zugang darf nur denPersonen gewährt werden, die sie für den betreffendenZweck benötigen. Genauigkeit: Die Daten sollten korrekt sein, Fehler solltensich leicht beseitigen lassen. Natürliche Personen solltendas Recht haben, eine Korrektur dieser Daten zu verlangen.* "Marktanalyse-Pespektive: Unternehmensmobilität in Westeuropa 2017", von IDC Europa, Februar 2017.2
Speicherbegrenzung: Die Daten sollten nur so langeaufbewahrt werden, wie sie für den angegebenen Zweckbenötigt werden. IT-Sicherheit: Die Daten müssen so verarbeitet werden,dass eine angemessene Datensicherheit gewährleistetist, beispielsweise ein Schutz vor Verarbeitung durchUnbefugte und versehentlichen Verlust. Rechenschaftspflicht: Das Unternehmen muss dieEinhaltung der Compliance und die Berücksichtigungder oben erwähnten Grundsätze nachweisen können.Ein Unternehmen muss nachweisen können,dass es angemessene Sicherheitsmaßnahmenimplementiert hat und die Complianceentsprechend überwacht wird.Datenschutz lässt sich nichtim Nachhinein einführen.Privacy by Design und Privacy byDefault – Artikel 25 der DSGVODatenschutz lässt sich nicht im Nachhinein einführen.Artikel 25 der Datenschutz-Grundverordnungdefiniert das „Konzept des Datenschutzes nachDesign und nach Standard“, auch bekannt als„Privacy by Design and by Default“.Datenschutz nach Design: Das Unternehmenmuss den Datenschutz während des gesamtenArbeitszyklus sicherstellen, von der Erstverarbeitungund dem Systemkonzept bis zum Endeder Nutzungsdauer und der Datenlöschung.Datenschutz nach Standard: Das Unternehmenmuss standardmäßig sicherstellen, dass nur diebenötigten personenbezogenen Daten erfasst undverarbeitet werden. Der Benutzer soll die Abfragezusätzlicher Informationen nicht erst verweigernmüssen. Das Unternehmen darf keine weiterenInformationen sammeln, nur weil es sie späterbenötigen könnte.Stand der Technik – Artikel 32der Datenschutz-GrundverordnungArtikel 32 der Datenschutz-Grundverordnungunterstreicht die Bedeutung der Verwendungder aktuellen, jeweils besten Technologien zurUnterstützung der Information Governance:„Unter Berücksichtigung des Standes der Technik müssen der für die Verarbeitung Verantwortliche undder Datenauftragsverarbeiter geeignete technische undorganisatorische Maßnahmen implementieren, um einedem Risiko angemessene Sicherheit zu gewährleisten.“Obgleich die Datenschutz-Grundverordnung keinespezifischen technischen Implementierungenvorschreibt, erwähnt Artikel 32 Verschlüsselung,Datenintegrität, Verfügbarkeit und Tests als Beispielefür Maßnahmen, mit denen das UnternehmenLösungen nach dem neuesten Stand der Technikprüfen sollte.3
EMM-Rahmenbedingungen fürdie Datenschutz-GrundverordnungEMM-Lösungen, beispielsweise die Lösungvon MobileIron, sind eine wichtige Komponenteeines Sicherheitsprogramms zur Einhaltungder Datenschutz-Grundverordnung. EinemUnternehmen, das EMM nicht effektiv einsetzt,wird es gegenüber den Behörden schwer fallenzu begründen, weshalb es keine Maßnahmennach dem neusten Stand der Technik einsetzte,um die Gefahr von Datenverlust zu reduzieren.Einem Unternehmen, das EMMnicht effektiv einsetzt, wirdes gegenüber den Behördenschwer fallen zu begründen,weshalb es keine Maßnahmennach dem neusten Standder Technik einsetzt.Eine EMM-Plattform zur Einhaltung derDatenschutz-Grundverordnung muss folgendeFunktionen von MobileIron einschließen:Diensten aufbauen wollen. Zugriffsversuche Unbefugter1. Mit der Plattform von MobileIron kann das Unternehmen eineSicherheits- und Inspektionsgateways umleiten.Datenverschlüsselung auf dem Gerät durch Überwachungder Verschlüsselungseinstellungen für das Gerät erzwingenund eine sekundäre Verschlüsselung für UnternehmensApps und Unternehmensdaten anbieten.2. Mit der Plattform von MobileIron kann das Unternehmeneine klare Grenze zwischen privaten und Unternehmens daten auf dem Gerät definieren. Das Unternehmen mussdazu keinen Zugriff auf den Content der privaten Apps bzw.der privaten E-Mail-Konten haben. Jedes Unternehmenmuss außerdem prüfen, ob der Zugriff auf andere Artenpersonenbezogener Daten, beispielsweise ein App-Verzeichnis oder den Gerätestandort, aus betrieblichenoder Sicherheitsgründen notwendig ist. Wenn dies derFall ist, sollte diese Notwendigkeit klar definiert undkommuniziert werden. Die entsprechenden Datenschutzund Zustimmungsmaßnahmen müssen dann proaktivimplementiert werden.3. Mit der Plattform von MobileIron kann dasUnternehmen einen vertrauenswürdigen Zugriff aufUnternehmensdienste erzwingen. Mit MobileIronAccess wird für das Unternehmen transparent, welcheMobilgeräte und Apps eine Verbindung mit Backend-können dann gesperrt werden. MobileIron Sentry schütztden Daten-Traffic und kann diesen ggf. auch über zusätzliche4. Mit der Plattform von MobileIron kann das Unternehmenanhand der Audit-Protokolle erkennen, welcheAktionen zu einer Datensicherheitslücke führten undwelche Gegenmaßnahmen gegebenenfalls ergriffenwurden. In bestimmen Situationen beträgt die gesetzlichvorgeschriebene Meldefrist entsprechend der DatenschutzGrundverordnung nur 72 Stunden, das heißt, es mussschnell reagiert werden.5. Die Plattform von MobileIron ermöglicht es demUnternehmen, Kontrollen zur Vermeidung vonDatenverlusten (DLP) zu erzwingen. Mit diesen Kontrollenkann das Unternehmen vertrauliche Daten auf einemverloren gegangenen Gerät löschen aus der Ferne undsicherstellen, dass Unternehmens-Apps auf einem Gerätkeine Daten mit nicht autorisierten Apps teilen. DieseKontrollen können außerdem Angriffe auf die Integritätdes mobilen Betriebssystems durch Jailbreaking oderRooting erkennen. Wenn die Compliance nicht mehrgewährleistet ist, kann das Unternehmen mit der Plattformvon MobileIron entsprechende Gegenmaßnahmeneinleiten, beispielsweise eine Benachrichtigung senden,das Gerät in Quarantäne stellen oder Daten löschen.4
Mit nicht verwalteten Mobilgeräten lässt ichkeine solide Abwehrstrategie aufbauenEMM für die DatenschutzGrundverordnungJedes Unternehmen, das die DatenschutzGrundverordnung berücksichtigen muss, sollteseine EMM-Implementierung und Konfigurationüberprüfen. Durch die Prüfung werden einmal Lückenidentifiziert, wenn nicht alle Funktionen der EMMPlattform genutzt werden und die Plattform nicht alleAnforderungen der Datenschutz-Grundverordnungerfüllt. Zweitens ist damit das Fundament für denEntwurf und die Implementierung eines Programmszur laufenden Überwachung der Compliance undzur Einleitung von Gegenmaßnahmen geschaffen.Dies ist der Ausgangspunkt, um eine EMM-Plattformals Teil eines mit der Datenschutz-Grundverordnungkompatiblen Sicherheitsprogramms bereitzustellen.1. Sorgen Sie dafür, dass alle Mobilgeräte verwaltet werden,wenn diese Zugriff auf Unternehmensdaten haben. Mit nichtverwalteten Mobilgeräten lässt sich keine umfassende,tiefe Verteidigungsstrategie umsetzen und der Datenschutzbei verloren gegangenen oder gefährdeten Geräten nichtangemessen gewährleisten.2. Verwenden Sie aktuelle Konfigurationsprofile. Erzwingen SieRichtlinien für Passwörter, Verschlüsselung, Gerätesicherheit,Konnektivität und andere, für das Unternehmen relevanteAktivierungsfunktionen.3. Verteilen Sie alle Unternehmens-Apps als verwaltete Apps5. Erzwingen Sie für alle Unternehmensdienste einenvertrauenswürdigen Zugang. Sperren Sie den Zugriff fürnicht autorisierte, nicht verwaltete oder nicht kompatibleGeräte, Apps und Benutzer. Lassen Sie nicht zu, dassvertrauliche Daten auf einem Gerät gespeichert werden,das für das Unternehmen nicht transparent ist und nichtkontrolliert wird.6. Definieren und kommunizieren Sie gegenüber denMitarbeitern regelmäßig klar die Richtlinien für Datenschutzund Sicherheit.7. Erfassen Sie in geeigneten Protokollen Bestand, Nutzungund Audits, damit Sie bei einer Sicherheitslücke schnellreagieren können.FazitEin Unternehmen kann nur dann eine angemes sene Sicherheit von personenbezogenen Datengewährleisten, wenn es nachweisen kann, dass esentsprechende EMM-Kontrollen und Prozedurenimplementiert hat. Diese sollten sicherstellen,dass die vom Unternehmen benötigten personen bezogenen Daten vor externen Bedrohungensowie Verwendung oder Offenlegung durchUnbefugte geschützt sind. Die Plattform vonMobileIron bietet robuste Rahmenbedingungenfür die Einhaltung der Compliance durchGrundsätze wie Datensparsamkeit, Datenintegrität,Geheimhaltung sowie Verantwortlichkeitentsprechend den DSGVO-Bestimmungen.über einen Unternehmens-App-Store, sodass diese Appsin dem vom Unternehmen kontrollierten Sicherheitsrahmenfunktionieren.4. Erzwingen Sie Richtlinien zur Vermeidung von Datenverlusten(DLP-Richtlinien) zum Schutz der App-Daten auf dem Gerät.Haftungsausschluss: Dieses Dokument dient nur der Information unddient weder der Rechtsberatung noch stellt es ein Rechtsgutachtendar. Dieses Dokument begründet für Sie keine Beziehung zwischenRechtsbeistand und Client zwischen Ihnen und einem Rechtsbeistand.Wenden Sie sich bei Rechtsfragen an Ihren Anwalt. Die Informationenin diesem Dokument beziehen sich auf den aktuellen Stand derEntwicklung. MobileIron übernimmt weder eine Haftung noch eineVerantwortung für Schäden, die aus oder im Zusammenhang mitder Verwendung dieser Informationen entstehen.5
Datenschutz und Datensicherheit eingeführt. Bei Nichteinhaltung der Datenschutz-Grundverordnung drohen erhebliche Geldstrafen und ein Imageschaden – die Höchststrafen liegen bei über 20 Mio. Euro bzw. 4 % des weltweiten Ertrags des Unternehmens. Die Datenschutz-G
