Mobile Endgeräte wie Smartphones oder Tablets ermöglichen mit ihren zugehörigen Anwendungen ein ortsunabhängiges Arbeiten. Viele Unternehmer sind sich jedoch selten der erheblichen Risiken für den Datenschutz bewusst, die der Einsatz mobiler Endgeräte in der Praxis mit sich bringt.
Update DSGVO
Die Datenschutzgrundverordnung (DSGVO) ersetzt den § 42a BDSG mit Art. 33 DSGVO. Die Anforderungen an eine Meldung steigen gegenüber dem BDSG deutlich. So müssen zukünftig alle Schutzverletzungen von personenbezogenen Daten gemeldet werden – und nicht bloß die Schutzverletzungen von z.B. besonderen personenbezogener Daten. Auch wurde nach Art. 33 Abs. 1 DSGVO eine Frist von 72 Stunden eingeführt, binnen derer eine Meldung gegenüber der Aufsichtsbehörde zu machen ist. Klare organisatorische Vorgaben sind insoweit wichtiger als jemals zuvor um den gesetzlichen Anforderungen zu genügen.
Datenschutzprobleme resultieren sehr oft aus der Nutzung von Dienstprogrammen (Apps), die automatisiert und vom Nutzer unentdeckt auf die Datenbanken des Geräts zugreifen. Darüber hinaus besteht die Gefahr, dass sensible Daten ungewollt das Unternehmen verlassen, wenn mobile Endgeräte abhanden kommen. Damit sind auch Haftungsrisiken der Unternehmensleitung verbunden. Um diese zu vermeidenl, ist es unerlässlich, Regelungen im technischen und organisatorischen Bereich zu treffen.
Der konkrete Regelungsbedarf orientiert sich daran, um welche Art von mobilen Endgeräten es sich handelt, die das Unternehmen dem Mitarbeiter überlässt. Bei den sogenannten “nicht intelligenten mobilen Endgeräten”, zu denen externe Datenträger und Speichermedien zählen, sind die Sicherheitsrisiken für gewöhnlich mittels technischer Vorkehrungen gut kontrollierbar. Durch die Sperrung von USB-Ports oder den Einsatz von Virenschutzprogrammen lassen sich die Risiken wesentlich minimieren.
Ein sicherer und datenschutzkonformer Umgang mit sogenannten “intelligenten Mobilgeräten” wie Notebooks, Tablets und Smartphones erfordert dagegen vor der Ausgabe und Inbetriebnahme der Geräte die Festlegung einer Nutzungsrichtlinie. Wegen der unterschiedlichen Nutzungsmöglichkeiten ist eine Rahmenregelung nicht sinnvoll. Mobile Endgeräte lassen sich in die Untergruppen der “Notebooks und Laptops” sowie “Tablets und Smartphones” einteilen. Es empfiehlt sich, für jede Untergruppe jeweils eine eigene Richtlinie zu erstellen.
Klare Regeln für die dienstliche Nutzung von mobilen Geräten
Allein durch technische Maßnahmen ein ausreichendes Sicherheitsniveau herstellen zu wollen, würde zu kurz greifen. Außerdem würde das Bemühen, jedes mögliche Risiko durch entsprechende technische Schranken zu beheben, die Mitarbeiter unangemessen in ihrer praxisgerechten Nutzung der mobilen Geräte einschränken. Sinnvoller ist es, die Mitarbeiter über den sicheren Umgang mit mobilen Geräten aufzuklären und verbindliche Regeln für die Bereiche aufzustellen, die durch rein technische Mittel nicht praktikabel abzusichern sind. Die Aufgabe des betrieblichen Datenschutzbeauftragten ist es, die Unternehmensleitung dabei zu unterstützen, ein solches Regelwerk zu entwickeln, das dem Risiko angemessen und zugleich für die Mitarbeiter nachvollziehbar und praktikabel ist.
Eine solche Richtlinie zum sicheren Umgang mit mobilen Geräten sollte insbesondere folgende Aspekte berücksichtigen:
Zentrale Verwaltung
Es ist empfehlenswert, die unternehmenseigene IT-Abteilung als die verantwortliche Stelle für die Verwaltung vorzusehen und sie mit der Unterstützung der technischen Umsetzung zu betrauen, wie der Durchführung der Vorkonfiguration der Geräte, der Aktivierung der Sicherheitsfunktionen, der Installation von geprüften Apps und der Ausgabe der Geräte.
Dokumentation
Um nicht Gefahr zu laufen, die Übersicht über die ausgegebenen Geräte zu verlieren, ist die Ausgabe an den Mitarbeiter in einer Inventarliste zu dokumentieren und vom Mitarbeiter per Unterschrift zu bestätigen. Ferner sollten in dem Formular weitere Informationen über das ausgegebene Gerät (Gerätehersteller und -typ), die zugeordnete Rufnummer und die Spezifikationen des Geräts (Version des Betriebssystems, Patch-Level, verwendete und zugelassene Apps) festgehalten werden.
Zentrale Rücknahme und datenschutzkonforme Vernichtung
Dadurch soll sichergestellt werden, dass sich bei einer etwaigen Weitergabe der Geräte nach deren Rückgabe keine personenbezogenen Daten mehr auf dem Gerät befinden und eine Wiederherstellung ausgeschlossen ist.
Maßnahmen bei Verlust
Um einen unbefugten Zugriff durch Dritte zu vermeiden, sind technische und organisatorische Maßnahmen für den Fall eines Verlustes zu treffen. Auf der technischen Seite besteht die Möglichkeit, eine zentrale Sperrung (Remote-Lock-Funktion) oder eine zentrale Löschung (Remote-Wipe-Funktion) einzurichten. Empfehlenswert ist es, zusätzlich eine ständige Verschlüsselung beim Abspeichern sämtlicher Daten vorzusehen. Auf der organisatorischen Seite ist die Einrichtung einer Hotline sinnvoll, an die ein Verlust des Gerätes gemeldet werden kann. Auf jeden Fall ist der Mitarbeiter angehalten, den betrieblichen Datenschutzbeauftragten über den Verlust in Kenntnis zu setzen, damit dieser die Art und Weise einer Datenschutzverletzung beurteilen kann und ggfs. erforderliche Maßnahmen nach § 42 a BDSG einleiten kann, falls die Daten für Unberechtigte zugänglich wurden.
Wir beraten Sie gerne bei der Ausgestaltung der erforderlichen Maßnahmen, um einen sicheren Umgang mit mobilen Endgeräten zu gewährleisten. Die Herausforderungen, die sich bei einer beruflichen Nutzung privater Geräte ergeben (Stichwort: Bring Your Own Device) sind in einem gesonderten Blog-Eintrag dargestellt: Bring Your Own Device: So begegnen Sie den Herausforderungen