Das Firmenhandy ist weg, oh Schreck! ToDo’s bei Verlust
Der Verlust mobiler Endgeräte wie z.B. Smartphone, Laptop, Tablet, etc. ist ein weit verbreitetes Problem gerade auch in Unternehmen.
Meist ist Diebstahl oder versehentliches Liegenlassen an öffentlichen Orten der Grund. Oftmals ist die betroffene Person unsicher, wie sie im Falle des Verlusts eines mobilen Endgeräts vorgehen soll.
Wichtig ist zu verstehen, dass das Verschweigen oder die verzögerte Meldung eines solchen Verlusts gegenüber dem Unternehmen unangenehme Konsequenzen nach sich ziehen kann. Daher sollte der Verlust umgehend dem Unternehmen gemeldet werden, um potenziellen Risiken vorzubeugen. Aus Sicht des betrieblichen Datenschutzes sind Verlust und Diebstahl mobiler Geräte besonders kritisch: Es gilt umgehend zu reagieren und entsprechende, im Unternehmen implementierte Schutzmaßnahmen einzuleiten – wie z.B. das Löschen der Daten aus der Ferne.
Verlust der Kontrolle als Kernproblem
Der physische Verlust eines hochwertigen Laptops, Tablets oder Handys stellt für das Unternehmen nicht nur einen finanziellen Schaden dar. Er birgt auch die Gefahr des Kontrollverlusts über das betreffende Endgerät. Und somit über die darauf gespeicherten Daten, die möglicherweise nicht ausreichend verschlüsselt sind. Darüber hinaus sind diese Daten nicht mehr zugänglich, es sei denn sie wurden zusätzlich an anderer Stelle, beispielsweise in einer Cloud-Lösung, gesichert.
Der Verlust kann einen meldepflichtigen Datenschutzvorfall darstellen.
Meldung eines Datenschutzvorfalls
Der Kontrollverlust über personenbezogene Daten bedeutet in der Regel einen meldepflichtigen Datenschutzvorfall und muss der zuständigen Datenschutzaufsichtsbehörde gemeldet werden.
Wenn es sich um einen meldepflichtigen Vorfall handelt, sollte dieser innerhalb von 72 Stunden nach Feststellung des Verlusts dem entsprechenden Aufsichtsorgan gemeldet werden. Ebenfalls sind möglicherweise betroffene Personen zeitnah zu informieren.
Abgrenzung der Meldung
Es gibt jedoch Ausnahmen: Die Meldepflicht entfällt, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten von natürlichen Personen führt. Jeder Fall muss einzeln betrachtet werden. Auch deshalb ist es ratsam, den Verlust des Endgerätes sofort dem Unternehmen zu melden. Der/die Datenschutzbeauftragte des Unternehmens kann dann prüfen, ob es sich um einen meldepflichtigen Datenschutzvorfall handelt und entsprechende Schritte in die Wege leiten.
Maßnahmen zur Sicherung der Geräte
Im Falle eines Verlustes oder Diebstahls eines mobilen Geräts ist die angewandte Verschlüsselung und der Zugang zu den darauf gespeicherten Daten von höchster Relevanz. Bei einem Laptop ist ein effektiver Schutzmechanismus die Verschlüsselung der Festplatte. Sofern diese nach aktuellem Stand der Technik verschlüsselt ist, verhindert dies in der Regel den Zugriff Unbefugter auf die Daten. Das bietet nicht nur Sicherheit, sondern auch rechtliche Vorteile für das Unternehmen.
Daten auf Smartphones oder Tablets können durch den Einsatz einer Mobile Device Management (MDM)-Lösung verschlüsselt werden. Dadurch kann beispielsweise der Zugriff auf das Gerät nur durch die Eingabe eines PIN-Codes erfolgen. Diese Art der Verschlüsselung kann als Voraussetzung für den Zugriff eines Mitarbeiters von seinem privaten Gerät auf Firmendaten festgelegt werden. Eine gute Verschlüsselung kann die Notwendigkeit der Meldung des Datenschutzvorfalls an die Aufsichtsbehörde verhindern. Die DSGVO (s. Art.33) legt fest, dass die Meldung unterbleiben kann, wenn keine Gefährdung der Rechte und Freiheiten natürlicher Person zu erwarten ist, was bei einer soliden Verschlüsselung der Fall sein sollte.
Links/Verweise:
https://www.procado.de/datenschutz/datenschutzberatung/datenschutzvorfaelle/
https://www.procado.de/it-loesungen/mobile-device-management/