Security
Apple-Geräte-Compliance für Schweizer und EU-Vorschriften
1. März 202610 Min. Lesezeit
Schweizer Organisationen, die Apple-Geräte verwalten, müssen das neue Datenschutzgesetz (nDSG), die EU-DSGVO bei europäischen Kunden und branchenspezifische Vorschriften navigieren. Hier erfahren Sie, was IT-Verantwortliche konfigurieren, dokumentieren und nachweisen müssen.
Kernaussagen
- Das Schweizer nDSG (seit Sept. 2023 in Kraft) verlangt technische und organisatorische Massnahmen für personenbezogene Daten auf Geräten
- Verschlüsselung (FileVault, iOS Data Protection) erfüllt die grundlegende technische Anforderung für ruhende Daten
- MDM-Compliance-Richtlinien liefern überprüfbare Nachweise der Sicherheitsdurchsetzung über Ihre Flotte
- BYOD bringt zusätzliche DSGVO/nDSG-Komplexität — User Enrollment trennt persönliche und Unternehmensdaten
- Dokumentieren Sie alles: Compliance bedeutet nachzuweisen, was Sie tun, nicht nur es zu tun
Die regulatorische Landschaft für die Schweizer IT
Schweizer Organisationen stehen vor einer mehrschichtigen Compliance-Umgebung. Das revidierte Datenschutzgesetz (nDSG), seit September 2023 in Kraft, verlangt angemessene technische und organisatorische Massnahmen zum Schutz personenbezogener Daten. Wenn Sie EU-Kunden bedienen oder EU-Mitarbeitende haben, kommen die Anforderungen der DSGVO hinzu. Branchenspezifische Vorschriften schichten sich darauf: FINMA-Richtlinien für Finanzdienstleistungen, kantonale Gesundheitsdatengesetze für das Gesundheitswesen und ISO 27001/27002 für Organisationen, die eine Zertifizierung anstreben. Ihre Apple-Geräteflotte ist ein Datenverarbeitungssystem unter all diesen Rahmenwerken.
Verschlüsselung: Die nicht verhandelbare Grundlage
Sowohl nDSG als auch DSGVO verlangen die Verschlüsselung personenbezogener Daten. Für Apple-Geräte bedeutet das: FileVault muss auf jedem Mac aktiviert sein — erzwingen Sie es via MDM und hinterlegen Sie Wiederherstellungsschlüssel zentral. iOS und iPadOS verschlüsseln Daten standardmässig bei gesetztem Passcode, aber erzwingen Sie eine Mindestkomplexität von 6+ Zeichen via MDM. Daten im Transit müssen ebenfalls verschlüsselt sein — konfigurieren Sie obligatorisches VPN oder Per-App-VPN. Ein verlorenes MacBook ohne FileVault, das Mitarbeiterdaten enthält, löst eine Datenschutzverletzungsmeldung unter nDSG und DSGVO aus.
Geräteverwaltung als Compliance-Nachweis
Compliance bedeutet nicht nur, Kontrollen zu implementieren — sondern nachzuweisen, dass Sie sie implementiert haben. Ihr MDM ist Ihre primäre Nachweisquelle. Konfigurieren Sie Compliance-Richtlinien, die verifizieren: FileVault ist aktiviert, Passcode-Anforderungen werden erfüllt, die Betriebssystemversion erfüllt Mindest-Sicherheitsstandards, Endpoint-Schutz ist installiert und aktiv, Geräte sind registriert und überwacht. Die meisten MDMs bieten Compliance-Dashboards mit flottenweitem Status. Exportieren Sie diese Berichte regelmässig als Compliance-Nachweis.
BYOD und Datentrennung
BYOD-Geräte schaffen die komplexesten Compliance-Herausforderungen. Apples User Enrollment löst die technische Herausforderung durch eine separate verwaltete Partition. Unternehmensdaten befinden sich in einem kryptografisch getrennten Volume, das die IT ferngesteuert löschen kann, ohne persönliche Daten zu berühren. Ihre BYOD-Richtlinie muss klar angeben, auf welche Daten die Organisation zugreifen kann, auf welche nicht, und wie Unternehmensdaten bei Beendigung des Arbeitsverhältnisses entfernt werden.
Branchenspezifische Anforderungen
Finanzdienstleistungsorganisationen unter FINMA-Aufsicht müssen betriebliche Resilienz nachweisen, einschliesslich Geräteverwaltung als Teil des IT-Risikomanagements. Gesundheitsorganisationen müssen kantonale Gesundheitsdatenschutzgesetze einhalten. Für jede Branche sollten Sie Ihre Apple-Geräteverwaltungspraktiken den spezifischen regulatorischen Anforderungen zuordnen. Ihr Compliance-Beratungspartner sollte eine Lückenanalyse liefern.
Compliance-Checkliste für Apple-Flotten
- FileVault aktiviert und erzwungen auf allen Macs mit zentraler Schlüsselhinterlegung
- Mindest-Passcode-Komplexität auf allen iOS/iPadOS-Geräten erzwungen
- Alle Geräte in MDM registriert mit aktiven Compliance-Richtlinien
- Automatisiertes Compliance-Reporting konfiguriert und monatlich exportiert
- Remote-Wipe-Fähigkeit bestätigt und für alle Gerätetypen getestet
- BYOD-Richtlinie dokumentiert mit beschriebener Datentrennungsarchitektur
- Datenverarbeitungsverzeichnis enthält Geräteverwaltung als Verarbeitungstätigkeit
- Lieferantenverträge (MDM-Anbieter, Managed Service) enthalten Datenverarbeitungsvereinbarungen
- Incident-Response-Plan deckt Szenarien verlorener/gestohlener Geräte mit Meldefristen ab
- Jährliche Sicherheitsbewertung umfasst Apple-Geräteverwaltungs-Review
Häufig gestellte Fragen
Muss unser MDM-Anbieter in der Schweiz ansässig sein für nDSG-Compliance?
Nein, aber Ihr MDM-Anbieter ist ein Auftragsverarbeiter unter dem nDSG. Sie benötigen einen Auftragsverarbeitungsvertrag (AVV), der Datenstandort, Sicherheitsmassnahmen und Unterauftragnehmer-Offenlegung spezifiziert. Bei Datenspeicherung ausserhalb der Schweiz stellen Sie sicher, dass das Zielland angemessenen Datenschutz bietet.
Was passiert, wenn ein verwaltetes Gerät verloren geht oder gestohlen wird?
Sie müssen bewerten, ob personenbezogene Daten gefährdet waren. War FileVault aktiviert und das Gerät gesperrt, ist das Risiko minimal. War das Gerät unverschlüsselt oder entsperrt, haben Sie möglicherweise eine meldepflichtige Datenschutzverletzung. Löschen Sie das Gerät sofort ferngesteuert via MDM und dokumentieren Sie den Vorfall.
Brauchen wir die Einwilligung der Mitarbeitenden zur Verwaltung ihrer Arbeitsgeräte?
Für firmeneigene Geräte wird die Verwaltung typischerweise durch berechtigtes Interesse oder den Arbeitsvertrag gerechtfertigt — eine ausdrückliche Einwilligung ist nicht erforderlich. Bei BYOD ist die Situation differenzierter: Sie benötigen eine klare Dokumentation dessen, was das MDM einsehen und tun kann.
Fazit
Apple-Geräte-Compliance ist ein fortlaufender Prozess, keine einmalige Einrichtung. Aktivieren Sie Verschlüsselung, erzwingen Sie Sicherheitsrichtlinien über MDM, dokumentieren Sie alles und überprüfen Sie regelmässig. Die Kosten der Compliance sind vorhersehbar und handhabbar. Die Kosten der Nicht-Compliance — Bussen, Verletzungsmeldungen, Reputationsschäden — sind es nicht.
Brauchen Sie eine Compliance-Lückenanalyse für Ihre Apple-Flotte? Buchen Sie ein Assessment.
Brauchen Sie eine Compliance-Lückenanalyse für Ihre Apple-Flotte? Buchen Sie ein Assessment. →Weiterführende Informationen
Verwandte Insights
Security
Apple-Gerätesicherheit: 10 Best Practices jenseits von MDM
MDM ist unverzichtbar, aber es ist nur das Fundament. Echte Apple-Gerätesicherheit erfordert einen mehrschichtigen Ansatz, der Identität, Endpoint-Schutz, Netzwerkkontrollen und Incident Response umfasst. Hier sind 10 Praktiken, die sichere Apple-Flotten von verwundbaren unterscheiden.
14. Feb. 202611 min read
FleetManagement
BYOD vs Firmengeräte: Welche Strategie passt zu Ihrer Apple-Flotte?
Sollen Mitarbeitende ihre eigenen iPhones und MacBooks nutzen, oder sollten Sie Firmengeräte bereitstellen? Diese Entscheidung beeinflusst Ihre Sicherheitsarchitektur, Ihr IT-Budget und die Mitarbeitererfahrung auf Jahre hinaus. Hier ist ein praxisorientierter Leitfaden für Apple-zentrische Organisationen.
10. Feb. 20269 min read
Security
Apple Endpoint-Schutz: Was Ihr MDM nicht abdeckt
Ihr MDM erzwingt Konfiguration. Es erkennt keine Malware, blockiert kein Phishing und reagiert nicht auf aktive Angriffe. Hier ist die Endpoint-Schutz-Schicht, die Ihre Apple-Flotte braucht, und wie Sie das richtige Tool wählen.
6. März 20269 min read
