Moin in die Runde

Hat hier schon wer Erfahrungen? Ist die Nutzung eines Smartphones überhaupt DSGVO Konform?

Bis jetzt durften unsrere Mitarbeitet ihre Smartphones auch privat benutzten. Nun in Zeiten der DSGVO sieht das ganze ja rein rechtlich schon anders aus. Welche Möglichkeiten gibt es nun in Zeiten der DSGVO private von geschäftlichen Daten zu trennen?
Klar, das einfachste wäre jeder Mitarbeitet muss sich ein privates Smartphone kaufen aber selbst mein Chef hat kein Bock zwei Geräte mich sich rumzuschleppen.
Die Primären Handys bei uns sind Iphones und Samsung S7.

Was ich bis her recherchiert habe:

1. Android/ Samsung Knox.

Hier kann via Knox ein privater Ordner erstellt werden und dir dortigen Apps und Inhalte werden sauber von den restlichen Daten getrennt. Um dann allerdings darauf zuzugreifen muss man ständig den Container entsperren usw. Auch ist es dann nicht mehr so einfach möglich via USB auf Daten in den Knox-conteinern zuzugreifen. Die Nutzung der Geräte wird dadurch deutlich komplizierter.

2. Iphone.

Hier ist mir keine Lösung bekannt die es erlaubt private und geschäftliche Daten zu trennen. Ich befürchte alle Iphone User müssen sich wohl private Handys zulegen.

Sehe ich das soweit richtig? Was gibt es noch für Lösungen? MDM ist bei uns im Einsatz.

Re Iphone:

Was fällt denn an kritischen Daten an? Mail, Kalender und Kontakte. Und das ist von privaten Daten getrennt. Mit iOS 11.3 sind die "gemanged" phones dazu in der Lage, einen Zugriff z.B. auf private Daten zu unterbinden. Oder habe ich was übersehen?

Der Gedanke dahinter: Macht einer z.B. WhatsApp auf sein Smartphone drauf, sind alle Kontakte im Ausland.
Bei iPhone kannst du das managen, z.B. mit Exchange. Da kannst du es verbieten, dass andere Apps auf deine Kontakte zugreifen dürfen.
In der Praxis wollen aber Geschäftspartner, die man mitunter auch privat kennt, mit WhatsApp und co. kommunizieren und haben auch keine zwei Phones.

Ja stimmt, d.h. aus Unternehmenssicht aber eigentlich grün, wenn man solche Apps verbieten würde, nur dann für den MA nicht mehr brauchbar.

Der Gedanke dahinter: Macht einer z.B. WhatsApp auf sein Smartphone drauf, sind alle Kontakte im Ausland.
Bei iPhone kannst du das managen, z.B. mit Exchange. Da kannst du es verbieten, dass andere Apps auf deine Kontakte zugreifen dürfen.
In der Praxis wollen aber Geschäftspartner, die man mitunter auch privat kennt, mit WhatsApp und co. kommunizieren und haben auch keine zwei Phones.

Ein genrelles Verbot ist ja nicht zielführend. Unter Knox soll dann wohl Wahtsapp im Container weiter funktionieren, allerdings ohne das es an das geschäftliche Adressbuch rankomme. Es nutzt dann nur noch die Adressen im Knox Container.

Ich habe es leider noch nicht komplett testen können da ich für den Test mein Handy auf Werkseinstellungen zurücksetzten würde worauf ich momentan keinen Bock hatte.

wir setzen securepim ein und verzichten auf ein MDM


Lizenzen kannst du hier bekommen https://www.tim-vad.com/unternehmen/hersteller/details.aspx?id=virtualsol oder direkt beim Hersteller https://www.virtual-solution.com/securepim/


Verwaltungsserver kannst auch lokal installiern

wir setzen securepim ein und verzichten auf ein MDM


Lizenzen kannst du hier bekommen https://www.tim-vad.com/unternehmen/hersteller/details.aspx?id=virtualsol oder direkt beim Hersteller https://www.virtual-solution.com/securepim/


Verwaltungsserver kannst auch lokal installiern

Das klingt auf jeden Fall spannend. Leider ist dort keine Möglichkeit von Messaging gegeben oder habe ich was übersehen?

Denn selbst wenn man dann alle Daten des Unternehmens im Container hat müsste man für das Messaging ja wieder Adressen im normalen Adressbuch vorhalten. Gut, nimmt man dann Threema wird zumindest nur nach Einwilligung der Partner die Nummern getauscht.

Du meinst einen internen Messaging Dienst?

Du meinst einen internen Messaging Dienst?

Ja. Wir arbeiten halt wirklich recht viel mit Messagern. Dann ist es ja schön das der berufliche Kontakt im Container ist, brauche ich die Nummer aber z.b. für Threema, würde ich diese Daten ja wieder aus dem Container raus tragen.

dann wirst du um das nicht rum kommen

https://work.threema.ch/de

Ich verstehe den Ansatz der Trennung der Daten nicht. Ein aktuelles iPhone ist komplett verschlüsselt und kann ohne Code/Finger/Gesicht nicht entsperrt werden. Damit sind die Vorgaben der DSGVO erfüllt. Der rest geht über den Arbeitsvertrag bzw. Verschwiegenheitserklärung des/der Mitarbeiter.

Whatsapp geht weder im noch außerhalb eines Containers legal in Deutschland im professionellen Umfeld. Die App ist so etwas von Anti DSGVO konform die muss man einfach mal deinstallieren auf einem Firmenhandy! Wenn der Chef meint er müsse -> 2. Handy oder keine Firmendaten auf dem Gerät. Ist er mit beidem nicht einverstanden -> Wisch unterschreiben lassen das er informiert wurde ;)

Ich verstehe den Ansatz der Trennung der Daten nicht. Ein aktuelles iPhone ist komplett verschlüsselt und kann ohne Code/Finger/Gesicht nicht entsperrt werden. Damit sind die Vorgaben der DSGVO erfüllt. Der rest geht über den Arbeitsvertrag bzw. Verschwiegenheitserklärung des/der Mitarbeiter.

Whatsapp geht weder im noch außerhalb eines Containers legal in Deutschland im professionellen Umfeld. Die App ist so etwas von Anti DSGVO konform die muss man einfach mal deinstallieren auf einem Firmenhandy! Wenn der Chef meint er müsse -> 2. Handy oder keine Firmendaten auf dem Gerät. Ist er mit beidem nicht einverstanden -> Wisch unterschreiben lassen das er informiert wurde ;)

Die Trennung der Daten macht natürlich schon Sinn wenn die private Nutzung erlaubt ist. Dann ist es im Grunde egal was der MA auf dem Gerät macht. Ja Whatsapp kann dann dort, rein privat, auch weiter genutzt werden.
Dann ist es egal, wenn man sich zum Beispiel mal eine App lädt die den User nicht informiert was für Daten abgezogen werden. Auf jeden Fall ist man auf der sicheren Seite.

Wo in der DSGVO wird denn der Umgang mit Smartphones geregelt? ;)
So weit ich weiß muss der Schutz der Daten auf dem "Stand der Technik" sein und der Umgang mit Smartphones wird nicht explizit geregelt.
Von einer Container Lösung bzw. Abschottung der Daten ist imo nicht die Rede außer im Netz bei Anbietern die genau so etwas vertreiben.
Der generelle Schutz eines iPhones ist auf dem Stand der Technik, d.h. kein Unberechtigter kann Zugriff auf diese verschlüsselten Daten nehmen. Der Rest, also die betriebliche Absicherung gegenüber des MA, wird imo per Arbeitsvertrag bzw. über eine DSGVO konforme Verschwiegenheitserklärung geregelt.
Du musst nur noch dokumentieren warum der Chef die Frimenmails auf dem Handy hat z.b. um auch im Urlaub die Firma führen zu können und das dort keine Verarbeitung stattfindet.
Ein iPhone ist meiner Meinung nach voll DSGVO konform - so lange kein Whatsapp drauf ist und die Cloud nicht genutzt wird. Wobei die Cloud keine Kopien von fremden Mail Inhalten anlegt - sollte also selbst mit Cloud und externen/eigenem Mail Server kein Problem sein.

Abschotten mußt du sobald eine App irgendwelche Kontakte in die Cloud laden will.
Das sind mittlerweile viele Apps. Das kann auch eine Taschenlampen app sein...

Da hilft nur eine Whiteliste und ein MDM. Die App übers MDM ausrollen und jede neue App genau kontrollieren. Bestehende App Versionen immer prüfen bevors ans updaten geht.

Abschotten mußt du sobald eine App irgendwelche Kontakte in die Cloud laden will.
Das sind mittlerweile viele Apps. Das kann auch eine Taschenlampen app sein...

Da hilft nur eine Whiteliste und ein MDM. Die App übers MDM ausrollen und jede neue App genau kontrollieren. Bestehende App Versionen immer prüfen bevors ans updaten geht.

Oder den umgekehrten Weg. Lass die App machen was sie will und packe die sensiblen Daten in gesicherte Container.

Ich habe das Gefühl das MiamiNice nicht richtig gelesen hat. Denn ich schrieb ja explizit das unsere Mitarbeiter gerne privat auf dem Dienstsmartphone Whatsapp (oder andere Apps) nutzen dürfen. Und dann macht so eine Lösung auf jeden Fall Sinn. Egal ob das Handy nun verschlüsselt ist oder nicht.

zulegen.

Sehe ich das soweit richtig? Was gibt es noch für Lösungen? MDM ist bei uns im Einsatz.

Was soll das für ein MDM sein? Richtige MDM Systeme, wie zB MobileIron ermöglich sehr wohl eine Trennung zwischen privat und geschäfts daten. Darüber lässt sich zB festlegen dass Daten (dokumenete, kontakte etc) nicht zwischen geschäfts-Apps und privat-Apps geteilt werden dürfen.
diese Lösung ist dann auch gdpr compliant.