EMM ein nützliches Werkzeug zur Einhaltung der DSGVO

Ähnliche Dokumente

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Die Europäische Datenschutz- Grundverordnung. Schulung am

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

Datenschutz ist für Casa d'óbidos Turismo Rural, Lda, vor CASA D'ÓBIDOS wichtig.

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Der Countdown läuft! EU-Datenschutz- Grundverordnung jetzt umsetzen!

D_09d Musterschulungsunterlage zum Datenschutz

-Archivierung und die EU-Datenschutzgrundverordnung (EU-DSGVO)

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

Projektplan. Projektverantwortlicher: Projektbeginn: Projektende: Aufgabe Verantwortliche/r Beginn Ende Erledigt. 1. Management sensibilisieren

WIR VERFÜGEN ÜBER EIN LANGJÄHRIGES KNOW-HOW

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen

DATENSCHUTZ DIE WORKSHOP-REIHE

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

EU-Datenschutz-Grundverordnung (DSGVO)

in Recht, Technik, Prozessgestaltung und Kommunikation

Aareon-Fokus auf Datenschutzund Datensicherheit am Beispiel EU-DSGVO

DATENSCHUTZ in der Praxis

Sicherheit an erster Stelle bei kritischen Online-Marken-Assets. cscdigitalbrand.services/de

KUNDEN, LIEFERANTEN, GESCHÄFTSPARTNER

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

Datenschutzrechtliche Neuerungen für AMS Partnerinstitutionen. DI Robert Hörmann 7. Mai 2018

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Datenschutzerklärung Bewerbungsmanagement

Neue Kommunikation und Datenschutz (erster Input)

Datenschutz- Grundverordnung 2016/679 DS-GVO

Startschuss DSGVO: Was muss ich wissen?

DSGVO FACTSHEET STAND: MAI 2018

Business Breakfast Graz Auswirkungen der Datenschutz-Grundverordnung auf das HR-Management

Datenschutzkonzept. Vorwort. Das Datenschutzkonzept wurde an folgendem Datum veröffentlicht: Es wurde auf folgende Arten veröffentlicht:

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Fünf Schritte zur Einhaltung der EU-Datenschutz- Grundverordnung (DSGVO)

DSGVO-DATENSCHUTZERKLÄRUNG FÜR BEWERBER (GB)

Operative Umsetzung des Datenschutzes nach EU-DSGVO. Rheinischer Unternehmertag

Datenschutzerklärung Forschung

Compliance mit der DSGVO Stand der Technik - Wie gehen wir mit Artikel 32 der DSGVO um?

EU Datenschutz-Grundverordnung

DATENSCHUTZBESTIMMUNGEN zur App zum Philips Avent 4- in- 1 Dampfgarer und Mixer

Sind Sie bereit für die neue Datenschutz-Grundverordnung der EU?

Datenschutzgrundverordnung

Datenschutzerklärung zur Verwaltung von StudentInnen

DSGVO-Webinar. Mit Johannes Schrader, Stefan Wolfarth, Reidar Janssen & Jan Meyer.

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Europäische Datenschutz-Grundverordnung

Die neue Grundverordnung des europäischen Datenschutzes

DSGVO Compliance. Frama Leitfaden zum sicheren Umgang mit der EU-DSGVO

Datenschutz. Vortrag

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Datenschutz SAMMLUNG SPEICHERUNG VERWENDUNG VON DATEN? Was sind personenbezogene Daten? Bessere Vorschriften für kleine Unternehmen.

Die Datenschutzgrundverordnung verändert alles

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

EU-Datenschutz-Grundverordnung

Datenschutzerklärung Phicomm Smart Scale S7. Inhalt. (1) Einleitung

UNTERSTÜTZUNG BEI DER BEWÄLTIGUNG DER DATA GOVERNANCE FÜR DIE DSGVO MIT RSA SECURITY

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

Datenschutz Notwendigkeit und Herausforderungen. Ein Überblick. FH-Prof. Dr. Franziska Cecon Professur für Public Management

Newsletter Datenschutz

Die DSGVO beim Datenschutz wird es nun ernst

Datenschutzbeauftragter im Unternehmen: Erfüllen Sie Ihre rechtlichen Pflichten mit unserer Hilfe

Hope is not a Strategy

Checkliste zur Datenschutzgrundverordnung

Das neue Datenschutzrecht. 19. September 2018

Datenschutzreform 2018

DSGVO ante portas: Bin ich bereit für die neuen Regeln des Datenschutzes?

KomFIT 2018 DS-GVO Konformität durch Zwei-Faktor-Authentifizierung

Das Wichtigste zur neuen Datenschutz-Grundverordnung

NEU AB 25. MAI 2018 DIE DATENSCHUTZ- GRUNDVERORDNUNG (DSGVO) AUSWIRKUNGEN AUF DIE ENTSORGUNG VON RÖNTGENFILMEN IN ARZTPRAXEN UND KRANKENHÄUSERN

DSGVO und DSG-Revision Datenschutz im Wandel. GVD-Anlass vom 28. Juni 2018 Zacharias Zwahlen, Rechtsanwalt

Herausforderungen und Konsequenzen der EU-DSGVO für IT-Infrastrukturen

DATENSCHUTZERKLÄRUNG FÜR BEWERBER

Kurzpapier Nr. 19 Unterrichtung und Verpflichtung von Beschäftigten auf Beachtung der datenschutzrechtlichen Anforderungen nach der DS-GVO

EU-Datenschutz-Grundverordnung (DSGVO) und die damit verbundenem Privatsphäre im Internet Kreativität und Technik Andrea Hornik und Fabian Richter

DATENSCHUTZ. Verantwortlicher für die Verarbeitung personenbezogener Daten: Martinus van der Heijden. Anschrift: Martinus van der Heijden

ios EMM Mehr Kontrolle und Sicherheit im Unternehmen Inhalt

Die Datenschutzgrundverodnung (DSGVO)

EU-Datenschutz-GVO - Was kommt da auf uns zu?

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

Datenschutz im Service von Dirk Zimmermann

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Die Datenschutz-Grundverordnung Der Countdown läuft!

Anforderungen des Datenschutzes an die (Technik-)Gestaltung

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

ZUVERLÄSSIGE LÖSUNG FÜR DEN SCHUTZ SENSIBLER DATEN SCHUTZ DER DATEN NETWORK SECURITY I ENDPOINT SECURITY I DATA SECURITY

Verpflichtung zur Wahrung der Vertraulichkeit und zur Beachtung des Datenschutzes

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Wen interessiert der Datenschutz? Datenschutz in der Praxis für EPU und KMU

Prüfkatalog Rechenschaftspflicht. nach Art. 5 Abs. 2 DS-GVO bei (Groß-)Konzernen und Datengetriebenen Unternehmen. (Version 1.0)

Datenschutzmanagement. DS-GVO mit ISIS12. im Zeichen der

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Datenschutz und die EU-Datenschutzgrundverordnung

Transkript:

EMM ein nützliches Werkzeug zur Einhaltung der DSGVO Angemessene, auf dem gesunden Menschenverstand basierende Sicherheitsstandards erlangen in vielen Regionen der Welt Gesetzeskraft. In Europa gilt ab 25. Mai 2018 die im April 2016 verabschiedete Datenschutz-Grundverordnung in vollem Umfang. Mit der Datenschutz-Grundverordnung wird für die Europäische Union (EU) ein umfassendes und harmonisiertes Rechtssystem für Datenschutz und Datensicherheit eingeführt. Bei Nichteinhaltung der Datenschutz-Grundverordnung drohen erhebliche Geldstrafen und ein Imageschaden die Höchststrafen liegen bei über 20 Mio. Euro bzw. 4 % des weltweiten Ertrags des Unternehmens. info@mobileiron.com www.mobileiron.com Tel.: +1 877 819 3451 Fax :+1.650.919.8006 Die Datenschutz-Grundverordnung gilt für die für die Verarbeitung Verantwortlichen und Auftragsverarbeiter in der EU sowie außerhalb der EU, wenn diese personenbezogene Daten von Personen aus der EU verarbeiten. Ein für die Verarbeitung Verantwortlicher ist das Unternehmen, das über den Zweck und

EMM-Plattform in Zukunft unverzichtbar für die Einhaltung der Datenschutz-Grundverordnung IDC (Februar 2017)* die Mittel der Verarbeitung personenbezogener Daten entscheidet. Auftragsverarbeiter ist jedes Unternehmen, das die Verarbeitung im Namen und entsprechend den Weisungen des für die Verarbeitung Verantwortlichen übernimmt. Bei diesem Dokument gehen wir davon aus, dass der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter identisch sind, das heißt, dass es sich um ein Unternehmen mit Mitarbeitern oder Kunden in der EU handelt. Ein umfassendes und gut strukturiertes Enterprise Mobility Management-Programm (EMM) wird ein wichtiger Bestandteil der Initiative zur Einhaltung der DS-GVO jedes Unternehmens sein. In diesem Dokument finden Unternehmen Rahmenbedingungen, mit denen sie ihre Richtlinien für mobilen Datenschutz und mobile Sicherheit sowie die Durchsetzungskonzepte bewerten können. Dieses Dokument stellt keine Rechtsberatung dar. Jedes Unternehmen muss sicherstellen, dass die Einführung einer EMM- Plattform sich in seine internen juristischen und Compliance-Rahmenbedingungen einfügt. Die Grundsätze für die Verarbeitung personenbezogener Daten nach der Datenschutz- Grundverordnung DS-GVO basieren auf Standards und stimmen mit den entstehenden Datenschutzbestimmungen in anderen Regionen überein. Grundsätze der Datenschutz- Grundverordnung Jeder Arbeitgeber besitzt bestimmte personenbezogene Daten. Ausgangspunkt für die Datenschutz-Grundverordnung ist die einfache Überlegung, dass nur die unbedingt erforderlichen personenbezogenen Daten gespeichert werden sollen und angemessene Vorsichtsmaßnahmen zur Risikominderung für Einzelpersonen ergriffen werden müssen. Zwar ist Europa in der Welt im Bereich des Datenschutzes führend, die Grundsätze zur Verarbeitung personenbezogener Daten entsprechend der Datenschutz-Grundverordnung basieren jedoch auf Standards und stimmen mit den entstehenden Datenschutz-Rahmenbedingungen in anderen Regionen überein. Diese Grundsätze sind: Gesetzeskonforme, angemessene und transparente Verarbeitung: Unternehmen müssen triftige Gründe für die Verarbeitung personenbezogener Daten haben und diese Informationen Einzelpersonen zur Verfügung stellen. Es muss einen klaren und expliziten Grund für die Verarbeitung der personenbezogenen Daten geben. Die Daten dürfen nur für den Zweck verarbeitet werden, für den sie erfasst wurden. Zustimmung: Die natürliche Person, deren personenbezogene Daten verarbeitet werden, muss der Verarbeitung allgemein zustimmen. Datensparsamkeit: Die verarbeiteten Daten sollten auf den Umfang begrenzt sein, der für einen bestimmten Zweck unbedingt benötigt wird. Zugang darf nur den Personen gewährt werden, die sie für den betreffenden Zweck benötigen. Genauigkeit: Die Daten sollten korrekt sein, Fehler sollten sich leicht beseitigen lassen. Natürliche Personen sollten das Recht haben, eine Korrektur dieser Daten zu verlangen. * "Marktanalyse-Pespektive: Unternehmensmobilität in Westeuropa 2017", von IDC Europa, Februar 2017. 2

Speicherbegrenzung: Die Daten sollten nur so lange aufbewahrt werden, wie sie für den angegebenen Zweck benötigt werden. IT-Sicherheit: Die Daten müssen so verarbeitet werden, dass eine angemessene Datensicherheit gewährleistet ist, beispielsweise ein Schutz vor Verarbeitung durch Unbefugte und versehentlichen Verlust. Rechenschaftspflicht: Das Unternehmen muss die Einhaltung der Compliance und die Berücksichtigung der oben erwähnten Grundsätze nachweisen können. Ein Unternehmen muss nachweisen können, dass es angemessene Sicherheitsmaßnahmen implementiert hat und die Compliance entsprechend überwacht wird. Datenschutz lässt sich nicht im Nachhinein einführen. Privacy by Design und Privacy by Default Artikel 25 der DSGVO Datenschutz lässt sich nicht im Nachhinein einführen. Artikel 25 der Datenschutz-Grundverordnung definiert das Konzept des Datenschutzes nach Design und nach Standard, auch bekannt als Privacy by Design and by Default. Datenschutz nach Design: Das Unternehmen muss den Datenschutz während des gesamten Arbeitszyklus sicherstellen, von der Erstverarbeitung und dem Systemkonzept bis zum Ende der Nutzungsdauer und der Datenlöschung. Datenschutz nach Standard: Das Unternehmen muss standardmäßig sicherstellen, dass nur die benötigten personenbezogenen Daten erfasst und verarbeitet werden. Der Benutzer soll die Abfrage zusätzlicher Informationen nicht erst verweigern müssen. Das Unternehmen darf keine weiteren Informationen sammeln, nur weil es sie später benötigen könnte. Stand der Technik Artikel 32 der Datenschutz-Grundverordnung Artikel 32 der Datenschutz-Grundverordnung unterstreicht die Bedeutung der Verwendung der aktuellen, jeweils besten Technologien zur Unterstützung der Information Governance: Unter Berücksichtigung des Standes der Technik müssen der für die Verarbeitung Verantwortliche und der Datenauftragsverarbeiter geeignete technische und organisatorische Maßnahmen implementieren, um eine dem Risiko angemessene Sicherheit zu gewährleisten. Obgleich die Datenschutz-Grundverordnung keine spezifischen technischen Implementierungen vorschreibt, erwähnt Artikel 32 Verschlüsselung, Datenintegrität, Verfügbarkeit und Tests als Beispiele für Maßnahmen, mit denen das Unternehmen Lösungen nach dem neuesten Stand der Technik prüfen sollte. 3

EMM-Rahmenbedingungen für die Datenschutz-Grundverordnung EMM-Lösungen, beispielsweise die Lösung von MobileIron, sind eine wichtige Komponente eines Sicherheitsprogramms zur Einhaltung der Datenschutz-Grundverordnung. Einem Unternehmen, das EMM nicht effektiv einsetzt, wird es gegenüber den Behörden schwer fallen zu begründen, weshalb es keine Maßnahmen nach dem neusten Stand der Technik einsetzte, um die Gefahr von Datenverlust zu reduzieren. Eine EMM-Plattform zur Einhaltung der Datenschutz-Grundverordnung muss folgende Funktionen von MobileIron einschließen: 1. Mit der Plattform von MobileIron kann das Unternehmen eine Datenverschlüsselung auf dem Gerät durch Überwachung der Verschlüsselungseinstellungen für das Gerät erzwingen und eine sekundäre Verschlüsselung für Unternehmens- Apps und Unternehmensdaten anbieten. 2. Mit der Plattform von MobileIron kann das Unternehmen eine klare Grenze zwischen privaten und Unternehmensdaten auf dem Gerät definieren. Das Unternehmen muss dazu keinen Zugriff auf den Content der privaten Apps bzw. der privaten E-Mail-Konten haben. Jedes Unternehmen muss außerdem prüfen, ob der Zugriff auf andere Arten personenbezogener Daten, beispielsweise ein App- Verzeichnis oder den Gerätestandort, aus betrieblichen oder Sicherheitsgründen notwendig ist. Wenn dies der Fall ist, sollte diese Notwendigkeit klar definiert und kommuniziert werden. Die entsprechenden Datenschutz- und Zustimmungsmaßnahmen müssen dann proaktiv implementiert werden. 3. Mit der Plattform von MobileIron kann das Unternehmen einen vertrauenswürdigen Zugriff auf Unternehmensdienste erzwingen. Mit MobileIron Access wird für das Unternehmen transparent, welche Mobilgeräte und Apps eine Verbindung mit Backend- Einem Unternehmen, das EMM nicht effektiv einsetzt, wird es gegenüber den Behörden schwer fallen zu begründen, weshalb es keine Maßnahmen nach dem neusten Stand der Technik einsetzt. Diensten aufbauen wollen. Zugriffsversuche Unbefugter können dann gesperrt werden. MobileIron Sentry schützt den Daten-Traffic und kann diesen ggf. auch über zusätzliche Sicherheits- und Inspektionsgateways umleiten. 4. Mit der Plattform von MobileIron kann das Unternehmen anhand der Audit-Protokolle erkennen, welche Aktionen zu einer Datensicherheitslücke führten und welche Gegenmaßnahmen gegebenenfalls ergriffen wurden. In bestimmen Situationen beträgt die gesetzlich vorgeschriebene Meldefrist entsprechend der Datenschutz- Grundverordnung nur 72 Stunden, das heißt, es muss schnell reagiert werden. 5. Die Plattform von MobileIron ermöglicht es dem Unternehmen, Kontrollen zur Vermeidung von Datenverlusten (DLP) zu erzwingen. Mit diesen Kontrollen kann das Unternehmen vertrauliche Daten auf einem verloren gegangenen Gerät löschen aus der Ferne und sicherstellen, dass Unternehmens-Apps auf einem Gerät keine Daten mit nicht autorisierten Apps teilen. Diese Kontrollen können außerdem Angriffe auf die Integrität des mobilen Betriebssystems durch Jailbreaking oder Rooting erkennen. Wenn die Compliance nicht mehr gewährleistet ist, kann das Unternehmen mit der Plattform von MobileIron entsprechende Gegenmaßnahmen einleiten, beispielsweise eine Benachrichtigung senden, das Gerät in Quarantäne stellen oder Daten löschen. 4

Mit nicht verwalteten Mobilgeräten lässt ich keine solide Abwehrstrategie aufbauen EMM für die Datenschutz- Grundverordnung Jedes Unternehmen, das die Datenschutz- Grundverordnung berücksichtigen muss, sollte seine EMM-Implementierung und Konfiguration überprüfen. Durch die Prüfung werden einmal Lücken identifiziert, wenn nicht alle Funktionen der EMM- Plattform genutzt werden und die Plattform nicht alle Anforderungen der Datenschutz-Grundverordnung erfüllt. Zweitens ist damit das Fundament für den Entwurf und die Implementierung eines Programms zur laufenden Überwachung der Compliance und zur Einleitung von Gegenmaßnahmen geschaffen. Dies ist der Ausgangspunkt, um eine EMM-Plattform als Teil eines mit der Datenschutz-Grundverordnung kompatiblen Sicherheitsprogramms bereitzustellen. 1. Sorgen Sie dafür, dass alle Mobilgeräte verwaltet werden, wenn diese Zugriff auf Unternehmensdaten haben. Mit nicht verwalteten Mobilgeräten lässt sich keine umfassende, tiefe Verteidigungsstrategie umsetzen und der Datenschutz bei verloren gegangenen oder gefährdeten Geräten nicht angemessen gewährleisten. 2. Verwenden Sie aktuelle Konfigurationsprofile. Erzwingen Sie Richtlinien für Passwörter, Verschlüsselung, Gerätesicherheit, Konnektivität und andere, für das Unternehmen relevante Aktivierungsfunktionen. 3. Verteilen Sie alle Unternehmens-Apps als verwaltete Apps über einen Unternehmens-App-Store, sodass diese Apps in dem vom Unternehmen kontrollierten Sicherheitsrahmen funktionieren. 4. Erzwingen Sie Richtlinien zur Vermeidung von Datenverlusten (DLP-Richtlinien) zum Schutz der App-Daten auf dem Gerät. 5. Erzwingen Sie für alle Unternehmensdienste einen vertrauenswürdigen Zugang. Sperren Sie den Zugriff für nicht autorisierte, nicht verwaltete oder nicht kompatible Geräte, Apps und Benutzer. Lassen Sie nicht zu, dass vertrauliche Daten auf einem Gerät gespeichert werden, das für das Unternehmen nicht transparent ist und nicht kontrolliert wird. 6. Definieren und kommunizieren Sie gegenüber den Mitarbeitern regelmäßig klar die Richtlinien für Datenschutz und Sicherheit. 7. Erfassen Sie in geeigneten Protokollen Bestand, Nutzung und Audits, damit Sie bei einer Sicherheitslücke schnell reagieren können. Fazit Ein Unternehmen kann nur dann eine angemessene Sicherheit von personenbezogenen Daten gewährleisten, wenn es nachweisen kann, dass es entsprechende EMM-Kontrollen und Prozeduren implementiert hat. Diese sollten sicherstellen, dass die vom Unternehmen benötigten personenbezogenen Daten vor externen Bedrohungen sowie Verwendung oder Offenlegung durch Unbefugte geschützt sind. Die Plattform von MobileIron bietet robuste Rahmenbedingungen für die Einhaltung der Compliance durch Grundsätze wie Datensparsamkeit, Datenintegrität, Geheimhaltung sowie Verantwortlichkeit entsprechend den DSGVO-Bestimmungen. Haftungsausschluss: Dieses Dokument dient nur der Information und dient weder der Rechtsberatung noch stellt es ein Rechtsgutachten dar. Dieses Dokument begründet für Sie keine Beziehung zwischen Rechtsbeistand und Client zwischen Ihnen und einem Rechtsbeistand. Wenden Sie sich bei Rechtsfragen an Ihren Anwalt. Die Informationen in diesem Dokument beziehen sich auf den aktuellen Stand der Entwicklung. MobileIron übernimmt weder eine Haftung noch eine Verantwortung für Schäden, die aus oder im Zusammenhang mit der Verwendung dieser Informationen entstehen. 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback