17.07.2017 DSGVO beachten und Verstöße gegen das Fernmeldegeheimnis vermeiden

MDM, auch eine rechtliche Herausforderung

Von: Sandra Hofer

Sicherheitsspezialist Virtual Solution macht auf rechtliche Anforderungen beim Einsatz einer Suite für Mobile-Device-Management (MDM) aufmerksam. Vor allem in Hinblick auf die Datenschutz-Grundverordnung (DSGVO) der EU, die m 25. Mai 2018 in Kraft tritt, können die juristischen Folgen für Unternehmen drastisch ausfallen.

Das Management mobiler Geräte im Unternehmen wird oft als primär technische Aufgabe missverstanden.

„Mobile Device Management wird von vielen Unternehmen heute als primär technische Aufgabe missverstanden“, erklärt Günter Junk, CEO der Virtual Solution AG in München. „Tatsächlich müssen dabei auch zahlreiche juristische Anforderungen beachtet werden. Wichtig ist aber auch, dass Unternehmen gegenüber den Beschäftigten transparent agieren und die jeweiligen Verfahren und Regelungen klar kommunizieren und sich genau überlegen, welche technische Maßnahmen tatsächlich nötig sind.“

Konsistenz und Zuverlässigkeit gefragt

Denn mit Hilfe von MDM-Software können Unternehmen die Aktivierung, Verwaltung und Absicherung ihrer mobilen Systeme – auch wenn es sich um private Geräte handelt – konsistent und zuverlässig durchführen. Zu beachten ist laut Junk:

MDM eröffnet weitreichende Möglichkeiten des Zugriffs und der Einsichtnahme, in die Beschäftigte explizit einwilligen müssen; andernfalls können sich die Verantwortlichen sogar strafbar machen;

Die Privatsphäre der Beschäftigten ist im Rahmen des Rechtes auf informationelle Selbstbestimmung auch beim MDM unbedingt einzuhalten;

Der Zugriff eines Unternehmens etwa auf private E-Mails oder die Überwachung des privaten Surfverhaltens stellt in der Regel einen Verstoß gegen das Fernmeldegeheimnis dar und ist daher nicht zulässig;

In Unternehmen, in denen ein Betriebsrat existiert, ist dieser bei Implementierung eines MDM einzubeziehen;

Grundsätzlich sind Unternehmen auch dann für die Einhaltung der jeweiligen Bestimmungen verantwortlich, wenn sie das MDM an Dritte – zum Beispiel an einen Managed-Mobility-Service-Provider – oder in die Cloud auslagern.

Unternehmen müssen aufgrund der teilweise recht engen rechtlichen Rahmenbedingungen sehr sorgfältig auswählen, welche Daten sie mit einem MDM erfassen. So dürfen z.B. Gerätekennungen, Telefonnummern, Informationen über Betriebssystem und installierte Apps, aber auch geschäftliche E-Mails erfasst werden, nicht jedoch private Kontakte oder E-Mails und auch nicht die Nutzungshäufigkeit bestimmter Apps oder die Browser-Historie. Die „Persönlichen Identitäts-Informationen“ (im EU-Jargon „Personally Identifiable Information“, kurz PII) sind nach DSGVO weit gefasst und beziehen sich beispielsweise auch auf E-Mail-, IP- oder MAC-Adresse.

Technisch hohe Anforderungen

Technisch lassen sich die hohen Anforderungen am besten erfüllen, wenn im Unternehmen auf allen mobilen Geräten eine strikte Trennung geschäftlicher und privater Daten vorgenommen wird. Ein MDM-System ist dann eventuell gar nicht mehr nötig, jedenfalls nicht aus Sicherheitsgründen, falls die Container-Lösung von SecurePIM der Virtual Solution AG zum Einsatz kommt, die sich leicht in bestehende IT-Infrastrukturen integrieren lässt.

Die Applikation des 1996 gegründeten und rund 80 Mitarbeiter starken Sicherheits-spezialisten mit Sitz in München und Berlin (in Verbindung mit dem zugehörigen Framework Sera) sorgt bei iOS- und Android-Geräten für eine sichere mobile Kommunikation in Behörden und Unternehmen bis zu einer Geheimhaltungsstufe „Verschlusssache – Nur für den Dienstgebrauch“, kurz „VS – NfD“. Alle Produkte des Unternehmens tragen das Gütesiegel "IT-Security made in Germany" des Teletrust-IT-Bundesverbandes IT-Sicherheit e.V.

Bildquelle: Virtual Solution AG