Neuer EU-Datenschutz: Anforderungen an BYOD steigen deutlich

Im Frühjahr 2015 will die Europäische Union eine neue Datenschutz-Grundverordnung beschließen. Diese habe auch Auswirkungen auf Unternehmen, die Bring-Your-Own-Device (BYOD) zulassen, schreibt der Anbieter für Sicherheitslösungen Absolute Software. Bei Verstößen gegen die Verordnung drohen Firmen Strafen von bis zu 1 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes.

Aus diesem Grund sollten Unternehmen sowie IT-Abteilungen den Umgang mit BYOD rechtzeitig regeln. Der aktuelle Entwurf der Datenschutz-Grundverordnung (PDF) nimmt Firmen gleich mehrfach in die Verantwortung.

Artikel 30 der Verordnung beschreibt unter anderem deutlicher als bislang, dass Unternehmen angemessene Maßnahmen zum Schutz der Daten treffen müssen. Im Ernstfall sei es schwierig nachzuweisen, dass sämtliche in der Verordnung aufgeführten Kriterien erfüllt wurden, so Absolute Software. IT-Administratoren sollten daher die Risiken von Daten auf mobiler privater Hardware analysieren und geeignete Lösungen zu deren Schutz einsetzen.

Darüber hinaus nimmt Artikel 30 die Unternehmen in Sachen Datenschutz verstärkt in die Pflicht. Demnach können sie die Last der Verantwortung nicht einfach auf die Mitarbeiter übertragen. Aus diesem Grund sollten IT-Abteilungen durchsetzen, dass lediglich sichere private mobile Geräte vom Arbeitgeber für BYOD zugelassen werden. Dafür müsste ein ausreichender Schutz der Daten vor Diebstahl, Verlust oder Hack vorhanden sein.

Hohe Kosten und Imageschaden

Auch bei der Fristen zur Benachrichtigung von Datenschutzverletzungen verschärft die EU die Vorschriften. Nach Artikel 31 müssen Unternehmen ohne unangemessene Verzögerung nach Möglichkeit binnen 24 Stunden nach Verletzung des Schutzes personenbezogener Daten die Aufsichtsbehörden benachrichtigen. Der Druck auf betroffene Unternehmen im Ernstfall steige, so Absolute Software.

Neben der Aufsichtsbehörde müssen Unternehmen auch die Betroffenen über Datenschutzprobleme informieren. Die EU formuliert dies in Artikel 32 der Grundverordnung. Allerdings entfällt diese Pflicht, sollten Firmen nachweisen können, dass Daten im Ernstfall für Unbefugte nicht lesbar sind.

Sollte beispielsweise ein Tablet oder Smartphone mit kompletter Kundenliste verloren gehen, würde eine notwendige Benachrichtigung hohe Kosten und Imageschäden verursachen, erklärt Absolute Software. Daher sollten IT-Abteilungen für ausreichenden Schutz auf den mobilen Geräten sorgen.

“Die Tendenz ist schon jetzt klar: Die Vorschriften werden sich radikal verschärfen”, erläutert Margreet Fortuné, Systems Engineer Team Leader EMEA bei Absolute Software. “Private mobile Hardware im Unternehmenseinsatz erhöht die Gefahr eines Datenverlustes oder einer Veruntreuung. Bring Your Own Device verlangt nach einer sicheren Verwaltung aller Endgeräte. Choose Your Own Device, also die Bereitstellung von zugelassener Hardware für die Mitarbeiter, erhöht nicht nur die Sicherheit. Ein solcher Ansatz belegt die Anstrengungen der IT-Administration, was Unternehmen eventuell vor Gericht zu ihren Gunsten anbringen können.”

Unternehmen schlecht vorbereitet

Dass die neue Datenschutz-Grundverordnung sowie die geplante Richtlinie zur Netz- und Informationssicherheit (NIS) Firmen vor Probleme stellt, hat eine Studie des Sicherheitsunternehmens FireEye gezeigt. Demnach ist jedes dritte Unternehmen nicht auf die Neuregelung vorbereitet (Stand: Januar 2015).

Nur 39 Prozent der Befragten gaben damals an, dass sie alle Maßnahmen der NIS-Richtlinie umgesetzt haben. Noch weniger seien für die Datenschutz-Grundverordnung gerüstet. Vor allem die drohenden Geldstrafen bei Datenlecks machen Unternehmen sorgen. 57 Prozent befürchten Reputationsschäden durch Datenschutzvergehen.