Mobile Device Management, kurz MDM, bezeichnet eine technische und organisatorische Maßnahme zur zentralen Verwaltung, Sicherung und Kontrolle von mobilen Endgeräten, die innerhalb einer Organisation für dienstliche Zwecke eingesetzt werden. In sozialwirtschaftlichen Einrichtungen gewinnen Smartphones, Tablets und Laptops zunehmend an Bedeutung – sei es für mobile Dokumentation, den Austausch mit Behörden oder die flexible Arbeit im Homeoffice. Gleichzeitig stellt die Nutzung solcher Geräte ein erhebliches datenschutzrechtliches Risiko dar, insbesondere dann, wenn sie außerhalb gesicherter Netzwerke verwendet oder durch Mitarbeitende privat mitgenutzt werden. Der Einsatz von MDM-Systemen ermöglicht es Verantwortlichen, mobile Endgeräte so zu konfigurieren, dass sie den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entsprechen. Dazu gehört unter anderem die Möglichkeit, Geräte aus der Ferne zu sperren oder zu löschen, bestimmte Anwendungen zu verbieten, automatische Sicherheitsupdates zu erzwingen oder Datenverschlüsselung und Zugangsschutz zentral durchzusetzen.

Die Notwendigkeit eines professionellen MDM ergibt sich unmittelbar aus den Grundsätzen der Integrität, Vertraulichkeit und Rechenschaftspflicht nach Art. 5 DSGVO. In der Praxis bedeutet dies, dass eine Einrichtung jederzeit in der Lage sein muss, nachzuweisen, welche Daten auf welchen Geräten verarbeitet wurden, wie der Zugriff geschützt wurde und welche Maßnahmen im Fall eines Geräteverlusts getroffen wurden. Ohne ein MDM-System ist dieser Nachweis in der Regel nicht möglich. Besonders kritisch ist der Einsatz privater Endgeräte im Rahmen sogenannter Bring-your-own-Device-Konzepte (BYOD). Hier müssen Einrichtungen genau festlegen, ob und unter welchen Voraussetzungen eine dienstliche Nutzung zulässig ist. Im Falle einer Zulassung ist ein containerbasiertes MDM unerlässlich, das dienstliche Daten strikt von privaten Inhalten trennt und organisatorisch durch Nutzungsvereinbarungen, Schulungen und regelmäßige Kontrollen abgesichert wird.

Gerade bei der erstmaligen Einführung eines MDM-Systems oder bei der Nutzung privater Endgeräte durch Mitarbeitende ist regelmäßig eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO durchzuführen. Diese ist immer dann erforderlich, wenn eine Form der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Da mobile Endgeräte im Alltag einer sozialwirtschaftlichen Einrichtung häufig Zugang zu besonders schützenswerten Daten gewähren – etwa Gesundheitsdaten, Sozialverläufe oder familiäre Problemlagen – muss die Verarbeitung umfassend bewertet und dokumentiert werden. Die DSFA identifiziert dabei Risiken, bewertet deren Eintrittswahrscheinlichkeit und schlägt konkrete Schutzmaßnahmen vor. Die IJOS Datenschutzmanagement-Software (DSM) stellt hierfür ein strukturiertes DSFA-Modul bereit, mit dem sich der gesamte Prüfprozess rechtssicher abbilden lässt. So werden Risiken transparent gemacht und technische wie organisatorische Schutzmaßnahmen nachvollziehbar belegt.

Immer wieder zeigen sich in der Beratungspraxis gravierende Lücken in der Geräteverwaltung, auch bei öffentlichen Trägern, die ihrer Vorbildfunktion in Sachen Datenschutz damit nicht gerecht werden. Geräte werden ungeschützt weitergegeben, Passwörter nicht geändert oder dienstliche Informationen über ungesicherte Messenger-Apps versendet. Ein professionelles MDM ist daher nicht nur eine Frage der technischen Ausstattung, sondern Ausdruck eines datenschutzbewussten Organisationsverständnisses. Es schafft die Voraussetzung dafür, dass personenbezogene Daten auch außerhalb der geschützten Büroinfrastruktur sicher verarbeitet werden können. Die IJOS Datenschutzmanagement-Software (DSM) bietet ergänzend die Möglichkeit, MDM-Strategien in das Gesamt-Datenschutzkonzept der Einrichtung einzubetten. So lassen sich technische Maßnahmen dokumentieren, Verantwortlichkeiten festlegen und Kontrollen strukturiert nachhalten. Durch die Kombination mit der Whistleblower-Plattform der IJOS GmbH können zudem sicherheitsrelevante Vorfälle oder Verstöße im Umgang mit mobilen Geräten frühzeitig erkannt und datenschutzkonform bearbeitet werden.

Einrichtungen der Sozialwirtschaft, die auf mobile Geräte setzen, sollten sich bewusst sein, dass jede Schwachstelle im Gerätemanagement zu einem erheblichen Risiko für die Rechte der Betroffenen führen kann. Ein konsequent eingesetztes MDM schützt nicht nur sensible Daten, sondern auch die Organisation selbst vor Haftung, Vertrauensverlust und aufsichtsbehördlichen Maßnahmen. Wer mobile Arbeitsformen sicher und rechtskonform gestalten will, kommt an einem durchdachten Mobile Device Management und an einer gut dokumentierten Datenschutz-Folgenabschätzung nicht vorbei.