Skip to main content

26.07.2017 | IT-Recht | Schwerpunkt | Online-Artikel

Mit Smartphones & Co. rechtssicher arbeiten

verfasst von: Sven Eisenkrämer

5 Min. Lesedauer

Aktivieren Sie unsere intelligente Suche um passende Fachinhalte oder Patente zu finden.

search-config
loading …

Unternehmen, die Mitarbeiter mit mobilen Computern, Tablets oder Smartphones arbeiten lassen, können mit einem Mobile-Device-Management (MDM) die Systeme organisieren. Doch die europäische Datenschutzgrundverordnung kann dabei zur sehr teuren Falle werden.

In vielen Branchen ist es heute üblich, ja sogar notwendig, dass Mitarbeiter von ihren Unternehmen mit Smartphones oder Tablets oder Laptops fürs Arbeiten unterwegs ausgestattet werden. Je höher die Anzahl der verwendeten Geräte ist, desto aufwendiger wird die Organisation. Schließlich sollte auch dringend auf die IT-Sicherheit geachtet werden, und mobile Endgeräte sollten stets mit den neuesten Updates und Sicherheitspatches versehen werden.

Empfehlung der Redaktion

2016 | Buch

Mobile Device Management

Mobility Evaluation in Small and Medium-Sized Enterprises

Ing. Markus Pierer M.Sc. proves whether or not there is a generic valid system comparison approach for various individual specifications facilitating the selection process for organizations. He illustrates important basics of enterprise mobility management, realizes classification of mobile devices and accomplishes conceptual definitions. The author divides feature descriptions in categories, thus making various different systems comparable and consistent. This comparison aims at integrating mobile devices in the existing infrastructure of small and medium-sized enterprises.


Um nicht jedes Gerät einzeln in der IT sammeln und updaten zu müssen, bieten sich Mobile-Device-Management-Lösungen an, mit deren Software Unternehmen die Aktivierung, Verwaltung und Absicherung ihrer mobilen Systeme zuverlässig und effizient abwickeln können. Selbst bei privaten Geräten, die von Mitarbeitern zum Arbeiten im Unternehmen genutzt werden dürfen – Stichwort "BYOD" oder "Bring your own device" funktioniert das Mobile-Device-Managament mit solchen Lösungen meist zur Zufriedenheit aller.

Rechtliche Probleme mit der DSGVO drohen

Oder eher fast aller. Datenschützer und Juristen könnte MDM, je nach Ausprägung, nämlich gar nicht zusagen. Spätestens ab dem 25. Mai 2018 können Unternehmen sogar große rechtliche Probleme bekommen, wenn sie beim Praxis-Einsatz von MDM-Lösungen nicht auf die neuen Anforderungen des Datenschutzes im Rahmen der Datenschutzgrundverordnung der Europäischen Union achten. Wie der IT-Sicherheitsspezialist Virtual Solution zusammengestellt hat, beachten Unternehmen einige rechtliche Anforderungen noch selten:

  • Durch MDM erhalten Unternehmen weitreichende Möglichkeiten des Zugriffs und der Einsichtnahme, in die Beschäftigte explizit einwilligen müssen. Andernfalls können sich die Verantwortlichen strafbar machen.
  • Die Privatsphäre der Beschäftigten ist im Rahmen des Rechtes auf informationelle Selbstbestimmung auch durch MDM-Lösungen unbedingt einzuhalten.
  • Der Zugriff eines Unternehmens etwa auf private E-Mails oder die Überwachung des privaten Surfverhaltens stellt in der Regel einen Verstoß gegen das Fernmeldegeheimnis dar und ist daher nicht zulässig.
  • In Unternehmen, in denen ein Betriebsrat existiert, ist dieser bei Implementierung eines MDM einzubeziehen.
  • Grundsätzlich sind Unternehmen auch dann für die Einhaltung der jeweiligen Bestimmung verantwortlich, wenn sie das MDM an Dritte – zum Beispiel an einen Managed Mobility Service-(MMS)-Provider – oder in die Cloud auslagern.

Ist MDM in kleinen und mittleren Unternehmen realistisch?

Unter welchen Voraussetzungen welche Art der MDM-Lösung wie im Unternehmen eingeführt werden kann, darüber schreibt Springer-Autor Markus Pierer in seinem englischsprachigen Buch "Mobile Device Managament - Mobility Evaluation in Small and Medium-Sized Enterprises". Darin beginnt er mit Grundlagen zu MDM, stellt auch die Marktgröße sowie die Marktentwicklung vor und er geht auf die verschienenen Mobilgeräte ein, die zu Managen sind. Er bewertet in einem Kapitel auch die Machbarkeit von MDM gerade in kleinen und mittleren Unternehmen (KMU).

Durch den IT-Konsum und den schnell wachsenden Markt der Unternehmensmobilität ist die Nachfrage nach Systemen zur Steuerung, Überwachung, Pflege und Einhaltung von Datenschutzfragen sehr groß. Steigerung der Produktivität, Effizienz und das Wachstum von mobilen Anwendungen sind Treiber für die Mobilität von Unternehmen. Das mobile Abrufen von Daten, die Nutzung von Unternehmensanwendungen oder den Zugriff auf Informationen sind heute üblich." Markus Pierer in seinem Fazit zu Mobile Device Management (Seite 101 ff.). 

Diese Mobilisierung hat in der vorhandenen Informations- und Technologieinfrastruktur einen Mangel an Sicherheit hervorgebracht, schreibt Pierer. Aus diesem Grund wurden mobile Geräteverwaltungssysteme eingeführt. Doch aufgrund der vielen verschiedenen Merkmale von MDM-Systemen und des Problems, dass es keinen definierten Standard gibt, ist eine Bewertung für Unternehmen vor der Einführung einer solchen Lösung "komplex und teuer". "Die Einführung eines MDM-Systems ist recht schwierig und muss gut geplant werden. Das Definieren von Anwendungsfall-Szenarien und von Anforderungen sind die ersten Schritte während einer Einführung und müssen von jeder Organisation durchgeführt werden", empfiehlt der Autor.

Sorgfältige Prüfung, welche Daten gespeichert werden, ist notwendig 

Die Experten von Virtual Solution gibt den Tipp, dass Unternehmen auch aufgrund der teilweise recht engen rechtlichen Rahmenbedingungen sehr sorgfältig auswählen müssen, welche Daten sie mit einem MDM erfassen – schon bei den Planungen zur Einführung solcher Systeme. So dürfen beispielsweise Gerätekennungen, Telefonnummern, Informationen über Betriebssystem und installierte Apps, aber auch geschäftliche E-Mails erfasst werden, nicht jedoch private Kontakte oder E-Mails, auch nicht die Nutzungshäufigkeit von bestimmten Apps oder die Browser-Historie. Die "Persönlichen Identitäts-Informationen" (Personally Identifiable Information – PII) sind nach der DSGVO weit gefasst und beziehen sich beispielsweise auch auf E-Mail-, IP- oder MAC-Adresse.

Gerade die zunehmende Digitalisierung der Arbeitswelt beinhalten hohe Risiken für die Persönlichkeitsrechte der Beschäftigten." Harald Stelljes, stellvertretender Ladesdatenschutz-Beauftragter Bremen, in seinem Fachbeitrag zur Stärkung des Beschäftigtendatenschutzes durch die DSGVO im Springer-Magazin "Datenschutz und Datensicherheit" (12/2016).

Harald Stelljes, stellvertretender Beauftragter für Datenschutz und Informationsfreiheit des Landes Bremen, hat zum Thema einen Fachartikel geschrieben, der im Springer-Magazin "Datenschutz und Datensicherheit" (DuD, Ausgabe 12/2016) veröffentlicht wurde. Stelljes schreibt darin zum Beschäftigtendatenschutz: "Bisher standen der Einsatz von E-Mail, Internet, GPS- und Videoüberwachung, Zugangssysteme mit Chipkarten oder biometrischen Daten am Arbeitsplatz und deren Verknüpfung im Fokus von Eingaben bei den Aufsichtsbehörden. Zukünftig wird in zunehmendem Maße die Vernetzung dieser Systeme mit hersteller-übergreifenden industriellen Anlagen, Produkten und Betriebsmitteln wie Smartphones und der damit zusammenhängenden Verarbeitung von Beschäftigtendaten sowohl im Betrieb als auch von zu Hause aus besonders hohe Risiken für die Rechte und Freiheiten der Beschäftigten aufweisen." 

Beschäftigten-Profiling darf nicht stattfinden

In einer Datenschutz-Folgeabschätzung habe der Arbeitgeber technische und organisatorische Maßnahmen zu treffen, die die Bildung von Beschäftigten-Profilings ausschließt, führt Stelljes aus. Beispielsweise müssten Beschäftigtendaten zu unterschiedlichen Zwecken klar voneinander getrennt verarbeitet, frühzeitig gelöscht oder anonymisiert werden sowie restriktive dem Trennungsgebot entsprechende Zugriffsrechte eingerichtet werden. 

Technisch lassen sich die hohen Anforderungen zum Beispiel für Smartphones am besten erfüllen, heißt es von Anbietern entsprechender Lösungen, wenn Unternehmen "auf allen mobilen Geräten eine strikte Trennung geschäftlicher und privater Daten vornehmen", meinen beispielsweise die Berater von Virtual Solution. Dazu können auch auf dem Markt vorhandene Container-Lösungen implementiert werden, die ein herkömmliches MDM-System dann (zumindest aus Sicherheitsgründen) sogar unnötig machen könnten.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

Das könnte Sie auch interessieren

03.05.2017 | IT-Recht | Schwerpunkt | Online-Artikel

Datenschutz-Management muss digitaler werden

12.06.2017 | Strategieentwicklung | Schwerpunkt | Online-Artikel

Wie Arbeit in der Zukunft aussieht