Administratoren von IT-Infrastrukturen müssen vorbereitet sein.
BYOD
Die Abkürzung BYOD steht für „Bring Your Own Device“. Sie bezeichnet die Integration von privaten mobilen Endgeräten wie Laptops, Tablets oder Smartphones in die Netzwerke von Unternehmen, Schulen, Universitäten und anderen Institutionen.
Administratoren von IT-Infrastrukturen müssen vorbereitet sein.
Die Europäische Union arbeitet an einer neuen Datenschutz-Grundverordnung. Der bisherige Entwurf betrifft u. a. Unternehmen, die BYOD zulassen. Dabei fallen die Strafen bei Verstößen außerordentlich aus: Bis zu 100 Millionen EUR oder zwei Prozent des weltweiten Jahresumsatzes. Das zwingt Administratoren von IT-Infrastrukturen, sich schon heute gut vorzubereiten.
Pflichten der Unternehmen
Die Datenschutz-Grundverordnung der EU befindet sich zwar noch im Entwurfsstadium. Falls der Entwurf in diesem Umfang verabschiedet werden sollte, würden Unternehmen weitreichende Pflichten auferlegt werden:
- Verschärfte Schutzpflicht
Unternehmen werden durch den Artikel 30 dazu verpflichtet, erheblich ausführlicher als es bisher der Fall war, geeignete Datenschutzmaßnahmen zu treffen. Daher sollten IT-Administratoren unbedingt und gewissenhaft die Risiken der Datenhaltung und -verarbeitung auf mobilen privaten Geräten analysieren und passende Lösungen zu deren Schutz einsetzen. - Unternehmensverantwortung für Datenschutz
Der gleiche Artikel 30 macht es Unternehmen noch schwerer, die Last der Verantwortung auf die Mitarbeiter abzuwälzen. Deswegen sollten IT-Administratoren die Nutzung ausschließlich sicherer privater mobiler Geräte zulassen, deren Daten auch bei Diebstahl, Verlust oder Einbruch ausreichend geschützt sind. - Verkürzte Benachrichtigungsfristen
Artikel 31 besagt, dass Unternehmen ohne Verzögerung in der Regel innerhalb von 24 Stunden nach einem Verstoß des Schutzes personenbezogener Daten die Aufsichtsbehörde unterrichten müssen. Dadurch wird der Druck auf betroffene Unternehmen im Ernstfall erheblich erhöht. Geht zum Beispiel kurz vor dem Wochenende ein Gerät mit Kundendaten verloren, darf dieser Vorfall nicht erst am Montag gemeldet werden. - Benachrichtigungspflicht gegenüber Betroffenen
Laut Artikel 32 müssen Unternehmen neben der Aufsichtsbehörde auch die Betroffenen benachrichtigen. Nur wenn Unternehmen nachweisen können, dass im Ernstfall die Daten für Unbefugte unlesbar waren – z. B. durch Verschlüsselung –, können diese sich von dieser Pflicht befreien.
An dieser Stelle muss man sich die hohen Kosten und den Imageschäden vor Augen führen, die eine notwendige Benachrichtigung aller Kunden verursachen kann, wenn beispielsweise ein Notebook mit einer Kundenliste verloren geht.
Fazit
Die Vorschriften werden sich durch die neue Datenschutz-Grundverordnung der Europäischen Union radikal verschärfen.
Die Nutzung privater mobiler Geräte im Unternehmen erhöht die Gefahr von Datenverlust und Veruntreuung enorm. Daher ist eine sichere Verwaltung dieser Geräte eminent wichtig.
Die Bereitstellung zugelassener Geräte für die Mitarbeiter erhöht nicht nur die Sicherheit. Dieser Ansatz unterstreicht die Anstrengungen der IT-Administration, was Unternehmen eventuell vor Gericht zu ihren Gunsten anbringen können.
Unsere Aufgabe ist, Schwachstellen zu erkennen und zu analysieren. Zusammen mit Ihrer IT entwickeln wir geeignete Lösungen zur Bewältigung der immer schwieriger und komplizierter werdenden IT-Infrastrukturen. Dazu zählen u. a. Technik, Prozessoptimierung, Schulungen und gesetzliche Rahmenbedingungen.
Nehmen Sie Kontakt mit uns auf, wenn Sie mehr darüber erfahren wollen oder unsere Unterstützung benötigen.