Sie sind hier: Home » Markt » Hinweise & Tipps

Einsatz einer MDM-Lösung: Rechtliche Sicht


MDM ist für Unternehmen eine rechtliche Herausforderung
Besonders vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) der EU, die am 25. Mai 2018 in Kraft tritt, müssen Unternehmen rechtliche Anforderungen beachten, die sie in der Praxis gern übersehen



Sicherheitsspezialistin Virtual Solution macht auf rechtliche Anforderungen beim Einsatz einer Mobile-Device-Management (MDM)-Lösung aufmerksam. Vor allem in Hinblick auf die Datenschutz-Grundverordnung der EU, die im nächsten Jahr in Kraft tritt, können die juristischen Folgen für Unternehmen drastisch ausfallen.

Durch Mobile-Device-Management (MDM)-Software können Unternehmen die Aktivierung, Verwaltung und Absicherung ihrer mobilen Systeme – auch wenn es sich um private Geräte handelt – konsistent und zuverlässig durchführen. Besonders vor dem Hintergrund der Datenschutz-Grundverordnung (DSGVO) der EU, die am 25. Mai 2018 in Kraft tritt, müssen Unternehmen rechtliche Anforderungen beachten, die sie in der Praxis gern übersehen:

• >> Durch MDM erhalten Unternehmen weitreichende Möglichkeiten des Zugriffs und der Einsichtnahme, in die Beschäftigte explizit einwilligen müssen; andernfalls können sich die Verantwortlichen sogar strafbar machen;

• >> Die Privatsphäre der Beschäftigten ist im Rahmen des Rechtes auf informationelle Selbstbestimmung auch durch MDM-Lösungen unbedingt einzuhalten;

• >> Der Zugriff eines Unternehmens etwa auf private E-Mails oder die Überwachung des privaten Surfverhaltens stellt in der Regel einen Verstoß gegen das Fernmeldegeheimnis dar und ist daher nicht zulässig;

• >> In Unternehmen, in denen ein Betriebsrat existiert, ist dieser bei Implementierung eines MDM einzubeziehen;

• >> Grundsätzlich sind Unternehmen auch dann für die Einhaltung der jeweiligen Bestimmung verantwortlich, wenn sie das MDM an Dritte – zum Beispiel an einen MMS (Managed Mobility Service)-Provider – oder in die Cloud auslagern.

Unternehmen müssen aufgrund der teilweise recht engen rechtlichen Rahmenbedingungen sehr sorgfältig auswählen, welche Daten sie mit einem MDM erfassen. So dürfen beispielsweise Gerätekennungen, Telefonnummern, Informationen über Betriebssystem und installierte Apps, aber auch geschäftliche E-Mails erfasst werden, nicht jedoch private Kontakte oder E-Mails, aber auch nicht die Nutzungshäufigkeit von bestimmten Apps oder die Browser-Historie. Die "Persönlichen Identitäts-Informationen" (Personally Identifiable Information – PII) sind nach DSGVO weit gefasst und beziehen sich beispielsweise auch auf E-Mail-, IP- oder MAC-Adresse.

Technisch lassen sich die hohen Anforderungen am besten erfüllten, wenn Unternehmen auf allen mobilen Geräten eine strikte Trennung geschäftlicher und privater Daten vornehmen. Ein MDM-System ist dann eventuell gar nicht mehr nötig, jedenfalls nicht aus Sicherheitsgründen. Die Container-Lösung von SecurePIM bietet dafür eine flexible, dynamische und sichere Lösung, die sich leicht in bestehende Infrastrukturen integrieren lässt.

"Mobile Device Management wird von vielen Unternehmen heute als primär technische Aufgabe missverstanden", erklärt Günter Junk, CEO der Virtual Solution AG in München. "Tatsächlich müssen dabei auch zahlreiche juristische Anforderungen beachtet werden. Wichtig ist aber auch, dass Unternehmen gegenüber den Beschäftigten transparent agieren und die jeweiligen Verfahren und Regelungen klar kommunizieren und sich genau überlegen, welche technischen Maßnahmen tatsächlich nötig sind." (Virtual Solution: ra)

eingetragen: 22.07.17
Home & Newsletterlauf: 05.09.17

Virtual Solution: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Markt / Hinweise & Tipps

  • Compliance, die gelebt wird

    Trotz strikterer Cybersecurity- und Compliance-Vorgaben behandeln viele KMU die Dokumentation ihrer IT-Infrastruktur noch stiefmütterlich. Dabei birgt fehlende oder unvollständige Dokumentation das Risiko von ineffizientem Troubleshooting und teuren Fehlentscheidungen. Ohne verlässliche Informationen zu Netzstrukturen, Systemabhängigkeiten oder Rechten wird jeder Incident zur Blackbox.

  • Echtzeitüberweisungen gemäß IPR

    Zahlungsdienstleister stehen unter Druck: Bis Oktober dieses Jahres müssen sie die Verification of Payee (VOP) umgesetzt haben und die Versendung von Echtzeitüberweisungen (Instant Payments) möglich machen. NTT Data erklärt die größten Hürden - und wie sie bis zur Deadline überwunden werden können.

  • PCI-DSS und Sichtbarkeit

    Als anerkanntes Security Framework ist der Payment-Card-Industry-Data-Security-Standard (kurz: PCI-DSS) für Anbieter von Kreditkartentransaktionen ein absolutes Compliance-Muss. Tiho Saric, Senior Sales Director bei Gigamon, verrät, wie die Einhaltung des Sicherheitsstandards dank Netzwerksichtbarkeit zum Kinderspiel wird.

  • Resilienz kritischer Infrastrukturen stärken

    Mit dem neuen KRITIS-Dachgesetz steht die deutsche Wirtschaft vor einer sicherheitspolitischen Zäsur. Ziel des juristischen Rahmenwerks ist es, die Resilienz kritischer Infrastrukturen zu stärken - und das über alle Sektoren hinweg: von Energie, Wasser und Telekommunikation über Gesundheit und Ernährung bis hin zum Transportwesen. Neben Konzernen geraten nun zunehmend auch mittelständische Betreiber in den Fokus.

  • E-Mails mit geschäftskritischen Inhalten

    Unternehmen, die ein falsches Bild von der grundsätzlichen Aufbewahrung von E-Mails mit geschäftskritischen Inhalten haben, laufen Gefahr, gesetzliche Vorgaben der GoBD oder DSGVO zu missachten. Folglich müssen sie dann mit juristischen und finanziellen Konsequenzen rechnen. Umso erstaunlicher ist es, dass zahlreiche Unternehmen ihrem Schutz noch immer nur wenig Bedeutung beimessen.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen