Datentrennung auf iOS-Geräten: DSGVO-konform und sicher
Gerade bei sehr hochwertigen Geräten, wie iPhones oder iPads, ist der Wunsch der Mitarbeitenden diese auch privat zu nutzen, oftmals sehr groß. Unternehmen können ihren Mitarbeitenden diesen Wunsch ganz einfach DSGVO-konform mit der Datentrennung auf iPads und iPhones erfüllen.
Wie setze ich Apple-Geräte im Unternehmen ein
In Unternehmen werden Apple-Geräte über den Apple Business Manager als sogenannte DEP-Geräte registriert. Das bedeutet, dass die Geräte dem Unternehmen gehören und alle Apps über den Apple Business Manager verwaltet werden. Wie genau dies funktioniert, erklären wir auf unserem YouTube-Kanal. Über den Apple Business Manager können iPhones, iPads und MacBooks des Unternehmens zentral verwaltet und den Benutzer*innen zugewiesen werden. Es dient dabei jedoch nicht als vollwertiges MDM, da hierüber keine Einschränkungen oder Berechtigungen für die Nutzung der Geräte implementiert werden können.
Deswegen wird im Apple Business Manager ein MDM (Mobile Device Management System) verknüpft. Hier können alle Apple-Geräte des Unternehmens mit Sicherheitsrichtlinien versehen werden. Apple-Geräte, die vollständig durch das Unternehmen verwaltet werden können, werden als “verwaltete Geräte” (Managed Devices) bezeichnet. Ergänzend dazu gibt es BYOD-Geräte, die den Mitarbeitenden gehören, aber zur Arbeit genutzt werden.
So funktioniert die Trennung von privaten und geschäftlichen Daten
Um Apple-Geräte sowohl privat als auch geschäftlich zu nutzen, sieht Apple zwei Modelle vor: Einmal das Apple-DEP-Gerät, welches dem Unternehmen gehört und das BYOD-Gerät, welches dem Mitarbeitenden gehört.
Einrichtung eines privaten Bereichs auf dem DEP-Gerät
Bei Apple-DEP-Geräten wurden iPhone, iPad oder MacBook über den Apple Business Manager registriert und das MDM-Profil auf dem Gerät installiert. Eine einfache Entfernung dieses Profils durch den Nutzer ist nicht möglich. Auch behält das Unternehmen die volle Kontrolle über die Einstellungen der Geräte. Der Mitarbeitende kann auf dem Gerät seine private Apple-ID hinterlegen und erhält so die Möglichkeit, Apps für seine private Nutzung zu installieren. Dieses System teilt die Apps auf einem Apple-Gerät in “verwaltete” (managed) und “unverwaltete” (unmanaged) Apps. Der Nutzer verwendet die verwalteten, während über das MDM die verwalteten Apps installiert und gemanagt werden.
Vollständige Freiheit genießen Nutzer*innen jedoch nicht: Bei Apple-DEP-Geräten behält das Unternehmen die Möglichkeit, Apps auf eine Blocklist zu setzen. Diese können dann auch nicht vom Nutzer installiert und genutzt werden. Eine “Unmanaged App” kann zudem in eine “Managed App“ umgewandelt werden, indem sie erneut durch das MDM auf das Gerät gesendet wird. Jedoch kann “Unmanaged Data” nicht in “Managed Data” umgewandelt werden. Dennoch ist diese Art der Nutzung für Unternehmen zu empfehlen, welche die Einfachheit der iOS-Bedienoberflächen schätzen und diese weiter nutzen wollen.
Einrichtung eines geschäftlichen Bereichs auf dem BYOD-Gerät
Bei BYOD-Geräten ist der Prozess im Grunde umgekehrt. Das Apple-Gerät wird mit einer privaten Apple-ID eingerichtet. Im Anschluss wird die MDM Client-App von MobiVisor installiert und der Benutzer kann sich im MDM registrieren. Das Apple-Gerät erscheint dann in der Geräteliste des MDMs, wodurch der Admin stets den Überblick behält.
Unternehmen sollten bei der Umsetzung einer BYOD-Policy stets darauf achten, dass die Nutzer*innen sich auch wirklich registrieren, um das Risiko von Schatten-IT auszuschließen. Während der Installation der MDM-App wird das MDM-Profil auf dem Apple-Gerät installiert. Dieses kann vom Benutzer jederzeit entfernt werden. Bei der App Installation gilt ebenfalls wieder die Trennung in “Unmanaged” und “Managed” Apps. Dabei kann der IT-Admin Apps auf dem Gerät installieren und einstellen, ob diese installiert bleiben sollen, wenn das MDM-Profil gelöscht wird.
DSGVO-konforme Datentrennung auf iOS-Geräten mit MDM
Neben der sachgemäßen Einrichtung der iPhones und iPads für das Unternehmen gibt es auch einige Sicherheitsrichtlinien, die angewendet werden können, um eine vollständige Trennung von privaten und geschäftlichen Daten vollständig gewährleisten zu können. So sollten IT-Admins per Richtlinie den Datentransfer von “managed” zu “unmanaged” unterbinden, um zu verhindern, dass die Daten vermischt werden. Wichtig ist dies insbesondere in Branchen, in denen eine erhöhte Sicherheit gewährleistet werden muss, wie zum Beispiel im Gesundheitswesen.
Die DSGVO fordert außerdem eine klare Zweckbindung und Datenminimierung. Das heißt, dass Unternehmen nur auf berufliche Daten zugreifen dürfen – nicht auf private Fotos, Chats oder Apps. Mit MDM und Managed Apps wird genau das technisch sichergestellt: klare Trennung, klare Verantwortung. Unternehmen müssen zudem nachweisen können, dass Daten sicher verarbeitet werden können. Die Kontrolle über Managed Apps und Richtlinien zur Datenverarbeitung zeigt, dass technisch-organisatorische Maßnahmen getroffen werden.
Auch der psychologische Aspekt ist nicht zu unterschätzen, denn wenn Mitarbeitende ihre iPads und iPhones auch privat nutzen dürfen, erhöht das die Mitarbeiterzufriedenheit. Die vollständige Trennung aller Daten gewährleistet zudem ein Gefühl der Sicherheit und des Vertrauens in das Unternehmen.
Mithilfe eines MDMs können Unternehmen eine saubere Datentrennung auf iOS-Geräten gewährleisten. Dabei ist die Trennung von managed/unmanaged Apps ein zentraler technischer Baustein, um DSGVO-Vorgaben auf iOS-Geräten einzuhalten, Datenlecks zu vermeiden und um eine klare Kontrolle über geschäftliche Daten auf mobilen Geräten zu gewährleisten.
