Eines der höchsten DSGVO-Bußgelder, das bis dato in Deutschland verhängt wurde, kassierte im November 2019 die Deutsche Wohnen SE. Das Immobilienunternehmen speicherte persönliche Daten von Kunden ohne eine rechtliche Grundlage. Bei Datenschutzverstößen dieser Art können für Unternehmen bis zu 20 Millionen Euro bzw. bis zu vier Prozent des weltweit erzielten Jahresumsatzes des letzten Geschäftsjahres an Bußgeldern anfallen (Artikel 83 Absatz 5 DSGVO). Vom Reputationsverlust ganz zu schweigen. Aber auch Behörden sind von der DSGVO betroffen. Allein die Vorbildfunktion zwingt die öffentliche Verwaltung zur Umsetzung. Um Verstöße und Strafen zu vermeiden, müssen Unternehmen und Behörden die Fakten zur DSGVO kennen. In diesem Blogbeitrag klären wir die wichtigsten Fragen zur DSGVO, besonders im Hinblick auf mobiles Arbeiten und die Nutzung privater Geräte für dienstliche und geschäftliche Zwecke (Bring-Your-Own-Device – BYOD).

Was ist die DSGVO?

Die DSGVO ist eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden.

Personenbezogene Daten werden vermehrt auf Smartphones und Tablets abgerufen, gespeichert oder bearbeitet und müssen daher auch dort entsprechend der DSGVO geschützt werden. Das ist besonders relevant, wenn Sie beispielsweise Ihr privates Handy dienstlich nutzen und die DSGVO einhalten müssen.

 

Was verlangt die DSGVO von Unternehmen und Behörden?

Neben Dokumentations- und Informations-Pflichten und dem Grundsatz der Datensparsamkeit muss die IT in Übereinstimmung mit der DSGVO betrieben werden. Aber was heißt das konkret?

 

~

Schutzmechanismen müssen nachgewiesen werden

Unternehmen und Behörden müssen nachweisen, dass Sie entsprechende Schutzmechanismen eingeführt haben, um personenbezogene Daten von Kunden, Geschäftspartnern, Bürgern und Mitarbeitern auf mobilen Endgeräten zu schützen. Diese Schutzmechanismen müssen zudem laut der DSGVO umfangreich dokumentiert werden. Diese Dokumentation muss jederzeit nachgewiesen werden, auch wenn keine Schadensfälle vorliegen.

~

Maßnahmen für sinnvollen Schutz der Daten

Artikel 5 Absatz 1 Buchstabe f der DSGVO fordert u.a. die Integrität und Vertraulichkeit der Daten. Dies kann nur durch eine saubere Trennung von geschäftlichen/dienstlichen und privaten Daten und Anwendungen auf dem mobilen Gerät erfolgen. Nur so können geschäftliche/dienstliche Daten zuverlässig vor externen Bedrohungen sowie unbefugter Verwendung oder Offenlegung geschützt werden.

In Artikel 32 wird zudem gefordert, dass Vorkehrungen für die Sicherheit der Daten an sich getroffen werden müssen, z.B. mittels Verschlüsselung. Befinden sich die betrieblichen oder dienstliche Daten und Anwendungen in einem verschlüsselten Container und wird auch die Kommunikation vom mobilen Endgerät in die IT lückenlos verschlüsselt, sind die Vorgaben der DSGVO erfüllt.

Das erleichtert auch die Datenschutz-Folgeabschätzungen, die in Artikel 35 gefordert werden. Wenn die Daten auf dem Gerät nicht strikt getrennt werden, wird die Prüfung dazu führen, dass die Folgen für den Schutz der Personendaten unkalkulierbar werden und damit der DSGVO nicht Folge geleistet ist.

~

Datenschutz durch die richtige Technik

Nach Artikel 25 muss der Datenschutz durch die richtige Technik und durch datenschutzfreundliche Voreinstellungen gewährleistet werden. Dazu sind angemessene technische und organisatorische Maßnahmen (TOMs) zu ergreifen.

Die folgenden Grundsätze der DSGVO gelten, wenn Sie ihr privates Smartphone/Tablet dienstlich nutzen möchten:

  • Datensicherheit, Datenintegrität
  • Verschlüsselung von Daten
  • Schutz der Privatsphäre
  • Eine Lösung, die auf dem „Stand der Technik“ ist
  • Trennung von privat und geschäftlich

Mit SecurePIM erfüllen Sie diese Grundsätze der DSGVO standardmäßig. Die Lösung ist einfach zu installieren und passt sich an Ihre Infrastruktur an. Sie benötigen dazu noch nicht einmal ein Mobile-Device-Management (MDM).

Mit einer Container-Lösung wie SecurePIM können Sie BYOD DSGVO-konform einführen

SecurePIM bietet z.B. folgende technische Maßnahmen:

  • SecurePIM ermöglicht die klare Trennung zwischen privaten und geschäftlichen Daten auf dem Gerät.
  • Im SecurePIM Management Portal wird vorgegeben, welche Geräte auf welche Daten zugreifen dürfen und welche Sicherheitsvorgaben dabei zu beachten sind.
  • Der IT-Administrator kann zudem durch sinnvolle Sicherheitsregelungen Compliance erzwingen (z.B. Verbot des Kopierens von Daten außerhalb des Containers) und Gegenmaßnahmen ergreifen, wenn die Anwendung nicht mehr den Vorgaben entspricht.
  • Die Daten sind auch vor unerlaubtem Zugriff geschützt, da sich der Container z.B. automatisch bei einem Jailbreak-Angriff schließt oder vom Administrator gesperrt und gelöscht werden kann, wenn das Endgerät verloren geht.

Lesen Sie mehr zur Container-Technologie in unserem kostenlosen Whitepaper „Container-Technologie: die zukunftssichere Lösung für IT-Sicherheit bei Smartphones und Tablets“. 

 

Dieser Blogartikel wurde ursprünglich am 11. November 2020 veröffentlicht und zuletzt am 18. Februar 2022 aktualisiert.

SecurePIM – die Container App für sicheres mobiles Arbeiten

Die Container App SecurePIM für iOS und Android vereint alle wichtigen Business-Funktionen für das mobile Arbeiten in einer einzigen Anwendung. Fragen Sie jetzt Ihre unverbindliche Testversion an.

SecurePIM für iOS und Android

Geld-zurück-Versprechen

Beim Erlass eines DSGVO-Bußgeldes bekommen sie ihr Geld zurück!

Dank SecurePIM können Sie auf mobilen Endgeräten sicher arbeiten und dabei die Vorgaben der Datenschutzgrundverordnung erfüllen – ganz einfach!

Wir versichern Ihnen, dass die Verschlüsselung des SecurePIM-Containers so wirksam ist, dass hierdurch ein „angemessenes Schutzniveau“ i.S.d. Art. 32 Datenschutzgrundverordnung (DSGVO) für personenbezogene Daten gewährleistet wird, so dass eine deutsche Aufsichtsbehörde wegen des Einsatzes von SecurePIM kein Bußgeld nach Art. 58 Abs. 2 i) i.V.m. Art. 83 DSGVO verhängen wird. Sollte aufgrund der Nutzung von SecurePIM doch ein Bußgeld verhängt werden, so werden wir Ihnen die Kosten des jährlichen Lizenzvolumens zurückerstatten. *)

*) Diese Rückerstattung erfolgt unter der Voraussetzung, dass

 

  • die jeweils aktuellste Version von SecurePIM genutzt wird
  • hinreichende Sicherheitsregelungen beim Mieter umgesetzt sind
  • das Bußgeld von einer deutschen Aufsichtsbehörde die die Einhaltung der Datenschutzgrundverordnung (DSGVO) überwacht (vgl. Art. 51 ff. DSGVO) verhängt worden ist.
  • das Bußgeld ursächlich auf die Konzeption und Umsetzung der Verschlüsselung von SecurePIM, für die Materna Virtual Solutions als Hersteller verantwortlich ist, zurückzuführen ist und z.B. nicht deshalb verhängt worden ist, weil die Verschlüsselung aufgrund von (fehlenden) organisatorischen Regelungen des Mieters leicht umgangen werden kann (wie z.B. deshalb, weil die Weitergabe der PIN nicht untersagt worden ist).

Falls Sie über aktuelle Blogartikel informiert werden möchten, stehen Ihnen verschiedene Möglichkeiten zur Auswahl, um dem Blog zu folgen:

Newsletter

Alle neuen Beiträge automatisch in Ihr Postfach:

Social Media

Folgen Sie uns auf Xing, LinkedIn und Twitter und informieren Sie sich über neue Blog-Artikel und Produkt-News:

Xing LinkedIn X

Unsere nächsten Webinare

Auch interessant:

Whitepaper: Mobiles Arbeiten im Rahmen der DSGVO
Die dienstliche Nutzung von privaten Endgeräten ist auch im Rahmen der DSGVO möglich, wenn Sie ein paar Dinge beachten.

Blogbeitrag: So nutzen Sie WhatsApp DSGVO-konform
Was müssen Sie beachten, um WhatsApp DSGVO-konform auch im dienstlichen Umfeld zu nutzen.