Auswirkungen der EU-DSGVO MDM wird zur rechtlichen Herausforderung

Der Datensicherheitsspezialist Stephan Böttger macht auf rechtliche Anforderungen beim Mobile Device Management (MDM) aufmerksam und warnt: Vor allem in Hinblick auf die Datenschutz-Grundverordnung (EU-DSGVO) könnten die juristischen Folgen für Organisationen drastisch ausfallen.

Wie in den Medien mehrfach berichtet wurde, verstößt u. a. die Nutzung des Messenger-Dienstes WhatsApp auf Dienstgeräten gegen die EU-DSGVO.Konkret liegt das Problem darin, dass Whatsapp, wie das Unternehmen in seinen Datenschutzbestimmungen schreibt, Daten international nutzt:

„WhatsApp Inc. teilt Informationen weltweit, sowohl intern mit den Facebook-Unternehmen als auch extern mit Unternehmen, Dienstleistern und Partnern und außerdem mit jenen, mit denen du weltweit kommunizierst. Deine Informationen können […] beispielsweise in die USA oder andere Drittländer übertragen oder übermittelt bzw. dort gespeichert und verarbeitet werden.“

Personenbezogene Daten aus den am eigenen Smartphone gespeicherten Adressbüchern werden also an WhatsApp und verbundene Unternehmen übertragen. Dafür benötigt man aber nach der EU-DSGVO die Zustimmung jedes einzelnen Kontakts. Da dies in der Praxis nicht umsetzbar ist, sollte die Nutzung von WhatsApp nicht mehr gestattet werden, wenn personenbezogene Daten am Handy gespeichert werden.

Das ist natürlich leichter gesagt als getan:

Kann man verhindern, dass WhatsApp, SnapChat, Facebook Messanger oder ähnliche Apps auf einem betrieblich genutzten Mobiltelefon installiert und verwendet werden?

Durch MDM-Software können Unternehmen die Aktivierung, Verwaltung und Absicherung ihrer mobilen Geräte – auch wenn es sich um private Geräte handelt – konsistent und zuverlässig durchführen. Vor dem Hintergrund der Datenschutz-Grundverordnung (EU-DSGVO), die ab dem 25. Mai 2018 anzuwenden ist, müssen Organisationen die rechtlichen Anforderungen beachten, die in der Praxis gern übersehen werden:

  • Durch MDM erhalten Organisationen weitreichende Möglichkeiten des Zugriffs und der Einsichtnahme, in die Mitarbeiter explizit einwilligen müssten. Andernfalls könnten sich die Verantwortlichen sogar strafbar machen.
  • Die Privatsphäre der Mitarbeiter ist im Rahmen des Rechtes auf informationelle Selbstbestimmung auch durch MDM-Lösungen unbedingt einzuhalten.
  • Der Zugriff einer Organisation auf z. B. private E-Mails oder die Überwachung des privaten Surfverhaltens stelle in der Regel (Außer die private Nutzung von Organisationsinfrastruktur ist generell untersagt) einen Verstoß gegen das Fernmeldegeheimnis dar und sei daher nicht zulässig.
  • In Unternehmen, in denen ein Betriebsrat existiert, ist dieser vor einer Implementierung eines MDM einzubeziehen.
  • Grundsätzlich sind Organisationen auch dann für die Einhaltung der jeweiligen Bestimmung verantwortlich, wenn sie das MDM an Dritte, z.B. an einen MMS-Provider (Managed Mobility Service), oder in die Cloud auslagern.

Organisationen müssen auf Grund der teilweise recht engen rechtlichen Rahmenbedingungen sehr sorgfältig auswählen, welche Daten sie mit einem MDM erfassen. So dürften beispielsweise Gerätekennungen, Telefonnummern, Informationen über Betriebssystem und installierte Apps, aber auch geschäftliche E-Mails erfasst werden, nicht jedoch private Kontakte oder E-Mails, aber auch nicht die Nutzungshäufigkeit von bestimmten Apps oder die Browserhistorie. Die „Persönlichen Identitäts-Informationen“ (Personally Identifiable Information; PII) seien nach DSGVO weit gefasst und würden sich beispielsweise auch auf E-Mail-, IP- oder MAC-Adresse beziehen.

Technisch lassen sich die hohen Anforderungen der EU-DSGVO am besten erfüllen, wenn Organisationen auf allen mobilen Geräten eine strikte Trennung geschäftlicher und privater Daten vornehmen.

Mobile Device Management wird von vielen Organisationen primär technische Aufgabe missverstanden. Tatsächlich müssen dabei aber auch zahlreiche juristische Anforderungen beachtet werden. Darüber hinaus ist es wichtig, dass Organisationen gegenüber den eigenen Mitarbeitern transparent agieren und die jeweiligen Verfahren und Regelungen klar kommunizieren und sich genau überlegen, welche technischen Maßnahmen tatsächlich nötig sind.

Sprechen Sie uns an.
 
Wir helfen Ihnen gerne zu allen Fragen des Datenschutzes weiter.

Nehmen Sie mit uns Kontakt auf