Im Gespräch mit Markus Adolph, Managing Partner und Gründer der EBF GmbH Köln

Markus Adolph ist Experte für Enterprise Mobility Management. Er erklärt, warum EMM-Systeme im Umfeld der EU-Datenschutz-Grundverordnung so wichtig sind.

Markus Adolph: Auf jeden Fall – wobei man sich aber auch bewusst sein muss, dass die EU-DSGVO nicht voraussetzt, dass ein Unternehmen eine EMM-Lösung im Einsatz hat. Man kann die Einhaltung auch organisatorisch abbilden, beispielsweise indem man auf Corporate Owned Devices – also Smartphones und Tablets im Firmenbesitz – keine personenbezogenen Daten zulässt. Das Problem dabei ist, dass ein Unternehmen die Einhaltung dieser Vorgabe nicht kontrollieren kann, und genau das schreibt die EU-DSGVO ja vor. Wir raten deshalb auf jeden Fall, eine EMM-Lösung einzusetzen. Vor allem durch die wachsende Zahl der mobilen Mitarbeiter oder Remote-Arbeiter ist ein EMM-System zentral für die Einhaltung der EU-DSGVO.

Adolph: Günstige MDM-Systeme haben in der Regel nur einen geringen Funktionsumfang und stellen nur Möglichkeiten zum Verwalten und Asset-Management von Endgeräten bereit. Um die Anforderungen der EU-DSGVO umzusetzen, benötigt man
jedoch weitergehende Funktionen zum Schutz von personenbezogenen Daten und der Datensicherheit.

com! professional: Ist die Vielfalt der Geräteklassen, die es in vielen Unternehmen gibt, ein Problem?

Adolph: Auf jeden Fall, Corporate Owned Devices, die auch privat genutzt werden dürfen, sind anders zu betrachten als Geräte im Firmenbesitz, die nur beruflich verwendet werden dürfen. Und dann gibt es ja noch viele private Endgeräte, die von den Mitarbeitern auch beruflich genutzt werden können – Stichwort Bring Your Own Device (BYOD).

com! professional: Was raten Sie bei BYOD?

Adolph: Wir raten eigentlich immer zu Container-Lösungen, die berufliche Daten wie E-Mails und Kontaktdaten von privaten Daten trennen. Ein API-Set sorgt zudem dafür, dass privat genutzte Applikationen nicht auf die Daten in diesem Container zugreifen können. Man kann ja einem Mitarbeiter nicht verbieten, WhatsApp auf seinem privaten Smartphone zu installieren.

Adolph: Sie ist relativ gering, denn eine Container-Lösung führt auch immer zu einer Usability-Einschränkung für den Anwender.

Die meisten Applikationen im Container sind anders zu bedienen als in den Standard-Applikationen. Kontakte vom persönlichen Adressbuch sind wiederum im Container nicht zugänglich, um nur einige Beispiele zu nennen. Doch letztlich haben Unternehmen im BYOD-Umfeld keine andere Wahl, als Container-Lösungen einzusetzen.

Adolph: Dann muss ein Unternehmen sicherstellen, dass keine firmenbezogenen Daten auf das Endgerät kommen. Und das ist gar nicht so einfach, denn ein Unternehmen muss ja auch kon­trollieren, dass der Datenabfluss in Fremdsysteme verhindert wird oder dass personenbezogene Daten auf Endgeräten auch zuverlässig gelöscht werden können. Wir raten deshalb in der Regel von BYOD-Konstellationen ab. „Corporate Owned Private Enabled“-Geräte sind ebenso vielfach im Einsatz. Da die Geräte sich in Firmen­eigentum befinden, stehen viel mehr Möglich­keiten zum Schutz von Daten zur Verfügung und eine Privatnutzung ist ­damit ebenfalls möglich. Reine Firmengeräte sind natürlich einfacher in der Abschottung, aber oft nicht gewollt. Da spielt das umfangreiche EMM dann seine Stärken aus.

com! professional: Rechnen Sie eigentlich bei Verstößen mit hohen Bußgeldern?

Adolph: Natürlich wissen wir noch nicht, wie hoch die Strafen letztlich sein werden – oder ob die Gerichte erst einmal Ermahnungen mit geringeren Bußgeldern verhängen. Nach der Meinung unserer Fachanwälte kann man aber davon ausgehen, dass in Deutschland sehr schnell sehr hohe Strafen verhängt werden, um einen abschreckenden Effekt zu bewirken. Und viele gehen davon aus, dass dabei keine Rücksicht auf den Fortbestand des Unternehmens genommen wird.

com! professional: Dazu kommt noch der Image-Schaden, schließlich werden die Urteile öffentlich gemacht …

Adolph: Aber wir dürfen auch nicht außer Acht lassen, dass wir ohnehin schon relativ restriktive Datenschutzgesetze haben. Wenn ein Unternehmen diese umsetzt, ist der Schritt zur EU-DSGVO nicht so groß. Wir verarbeiten als IT-Dienstleister beispielsweise auftragsbezogene Daten für unsere Kunden, und etliche dieser Kunden haben bei uns die Einhaltung des Datenschutzes auch schon überprüft.