Jetzt testen

Android COBO: Mobile Geräte DSGVO-konform einrichten

Um Android-Geräte DSGVO-konform in Unternehmen einzusetzen, gibt es verschiedene Möglichkeiten. Die sicherste ist Android COBO – Company Owned, Business Only.
Damit wird sichergestellt, dass der Zweck des Geräts ausschließlich auf die Arbeit bezogen ist.Im folgenden Artikel erfahren Sie, welche Android-Geräte sich für den Einsatz im Arbeitsalltag eignen, wie Sie diese richtig einrichten und welche Möglichkeiten der Verwaltung per MDM Sie haben.

Welche Vorteile bietet Android COBO?

Das Besondere bei Android-COBO-Geräten ist, dass der Admin beziehungsweise der Geschäftsführer volle Kontrolle über die Einstellungen des Geräts hat. Dadurch können Sicherheitseinstellungen vorgenommen werden, die weit über das hinausgehen, was Nutzer*innen selbst auf den Geräten einstellen könnten. Dies stellt sicher, dass alle Sicherheitsrichtlinien so übernommen werden, wie vom Unternehmen vorgegeben, was Verstößen gegen den Datenschutz vorbeugt.
Wenn Unternehmen Android-Enterprise-Geräte im COBO-Modell einsetzen wollen, müssen sie sich im Vorfeld jedoch genau Gedanken darüber machen, was ihre Mitarbeitenden auf den Geräten tun sollen und was zu unterlassen ist.
Besonders bei Samsung sind die Möglichkeiten zur Verwaltung und Absicherung der mobilen Geräte sehr umfangreich, da Samsung eine eigene Schnittstelle (Samsung API) für bestimmte Funktionen bereitstellt. Dadurch können diese Geräte besonders sorgfältig eingerichtet werden. Beispielsweise können auf Samsung-Geräten die Einstellungen ausgeblendet werden, was bei anderen Geräten nicht möglich ist.
Die Anwendung von MDM-Richtlinien für Android-COBO-Geräte garantiert Sicherheit, DSGVO-Konformität und Schutz vor Missbrauch der Geräte. Außerdem kehrt das Gerät nach seiner Nutzungsdauer oder dem Ausscheiden des Mitarbeitenden wieder in den Besitz des Unternehmens zurück und kann vollständig zurückgesetzt werden. Dadurch wird nicht nur sichergestellt, dass alle Daten des Unternehmens vom Gerät gelöscht wurden, sondern das Gerät kann auch weitere Male zum Einsatz kommen.

Wichtige Android COBO Funktionen:

  • Beschränkung des Google Play Stores: Nur genehmigte Apps werden installiert
  • Vorkonfiguration von E-Mail-Accounts via Exchange Config
  • Remote-Support-Funktion: Geräte können aus der Ferne gesteuert werden
  • Kiosk-Modus-Funktion: Nur einzelne Apps sind sichtbar
  • Lost Mode: Sperren des Geräts bei Verlust
    Whitelists und Blocklisten für Apps
  • Alarm bei SIM-Tausch und Root-Versuch
  • Passwortrichtlinien

Volle Kontrolle bei COBO: Spioniert ein MDM die Mitarbeitenden aus?

Die Einrichtung und Nutzung von Android-COBO-Geräten ist datenschutzrechtlich völlig unbedenklich, da ein MDM keine persönlichen Daten einsehen kann. Im Zuge der DSGVO muss immer ein berechtigter Grund für die Erhebung, Speicherung und Verarbeitung von Daten vorliegen. Wenn mobile Geräte zur Arbeit verwendet werden, können zu Verwaltungszwecken Angaben wie zum Beispiel die IMEI oder die SIM-Kartennummer gespeichert werden, die Rückschlüsse auf den Nutzer zulassen. Zudem haben nur ausgewählte, besonders geschulte Mitarbeitende wie der IT-Admin oder die Geschäftsführung Zugriff auf diese Daten. Im Rahmen der unternehmenseigenen Compliance-Regeln sollten diese DSGVO-konform mit diesen Daten umgehen. Grundsätzlich hat ein MDM jedoch keinen Zugriff auf Inhalte oder Einstellungen innerhalb einer App. Das bedeutet zum Beispiel, dass keine Fotos eingesehen oder Chat-Nachrichten gelesen werden können. Weiterhin speichert das MDM keine Passwörter, weder für den MDM-Zugang selbst noch für die Geräte. Trotz aller Verwaltbarkeit ist Android weiterhin darauf bedacht, dass der User des Geräts eine gewisse Privatsphäre hat.

Welche Android Geräte eignen sich für COBO?

Grundsätzlich können alle Android-Enterprise-Geräte als COBO-Geräte eingerichtet werden. Am einfachsten ist dies, wenn Smartphones oder Tablets bereits als Android-Enterprise-Geräte bestellt wurden. Damit ist von Anfang an klar, dass diese Geräte zu einem Unternehmen gehören. Grundsätzlich ist dies jedoch kein Muss, da Android-Geräte, sobald sie als COBO-Geräte im MDM angemeldet sind, automatisch zu Android-Enterprise-Geräten werden. Um Android-Smartphones und Tablets vollumfänglich verwalten zu können, wird jedoch immer ein Android-Enterprise-Konto benötigt, welches für das Unternehmen angelegt wird. Nur wenn dieses Konto mit dem MDM verknüpft wird, können Sie letztlich auch Apps auf den Geräten installieren und deinstallieren. In diesem Video zeigen wir Ihnen, wie Sie dies durchführen können: Video Android Business.

Hinweis: Google stellt erfahrungsgemäß relativ häufig die Anordnung beim Anlegen dieses Accounts um. Der grundlegende Prozess ist jedoch immer derselbe, weshalb Sie dem Video dennoch folgen können, um den Android-Enterprise-Account für Ihre COBO-Geräte einzurichten.

Grundsätzlich sollten Sie bei der Auswahl passender Geräte darauf achten, dass diese zu den Anforderungen Ihres Unternehmens passen. Bei besonders rauen Arbeitsumgebungen benötigen Sie zum Beispiel ein Rugged Device. Wenn Sie hohe Anforderungen an die Sicherheit haben, kann ein Samsung-Gerät, das zusätzlich durch Samsung Knox gesichert wird, die richtige Wahl sein.
Ein weiterer Tipp ist es, die Android Enterprise Recommended Liste als Referenz zur Geräteauswahl heranzuziehen. Hier werden konkrete Gerätemodelle aufgelistet, die den Vorgaben von Google und Android in Bezug auf Sicherheit und Hardware in besonderem Maße entsprechen. Diese offizielle Liste finden Sie hier: Android Enterprise Recommended.

Wie richtet man ein Android Enterprise Gerät mit COBO ein? 

Die Einrichtung erfolgt bei jedem MDM etwas anders, ist im Prinzip jedoch immer ähnlich.
Das Gerät kann entweder mithilfe eines QR-Codes oder durch einen Code eingerichtet werden, der anstelle einer Gmail-Adresse eingetragen wird. Durch den QR-Code oder den E-Mail-Code erkennt das Gerät automatisch, dass es zu einem Unternehmen gehört und nicht privat genutzt wird. Die fertige Einrichtung erfolgt dann im Grunde in zwei Schritten:
Erstens die Einrichtung auf dem Gerät, inklusive der Einrichtung der Android-Enterprise-Umgebung. Zweitens die Anmeldung des Geräts im MDM.

In MobiVisor MDM:
1. Tippen Sie siebenmal auf den „Willkommen“-Bildschirm des Geräts, bis ein Kamerafenster zum Scannen des im MDM generierten QR-Codes erscheint.

2. Nach dem Scannen dieses Codes folgen Sie den Anweisungen, bis Sie gebeten werden auszuwählen, ob das Gerät nur für die Arbeit oder auch privat genutzt werden soll. Wählen Sie hier „Nur für die Arbeit“ aus.

3. Erteilen Sie MobiVisor MDM die Berechtigung, die Systemeinstellungen zu ändern, und richten Sie anschließend die Android-Enterprise-Umgebung auf dem Gerät ein.

4. Melden Sie den Benutzer in der Umgebung an. Auch dies erfolgt wieder per QR-Code-Scan.

Die vollständige Anleitung haben wir für Sie auch noch einmal als PDF oder als Video zusammengestellt.

Richtlinien im MDM für Android COBO: Datenschutz und Sicherheit einhalten

Um die DSGVO-Konformität von Android-Geräten zu gewährleisten, müssen diese in ein MDM eingebunden werden. Jedes MDM bietet verschiedene Funktionen, die sicherstellen sollen, dass mobile Geräte sowohl Datenschutzanforderungen erfüllen als auch vor Cyberangriffen geschützt sind.

Diese wichtigen Funktionen sollte ein MDM beinhalten, die auch auf Android-COBO-Geräten eingesetzt werden können: 

1. Selektives Löschen (Selective Wipe)
Beim Austritt eines Mitarbeiters oder bei Geräteverlust können nur Unternehmensdaten gelöscht werden, nicht die privaten Daten.

2. Datenverschlüsselung auf Geräten
MDM kann erzwingen, dass die Geräteverschlüsselung aktiviert ist, damit Daten bei Diebstahl nicht ausgelesen werden können. Dies wird meist bereits von den Geräteherstellern standardmäßig vorgegeben.

3. Kontrolle über das Teilen von Daten
Dies beinhaltet zum Beispiel die Kontrolle über Screenshots in Apps sowie das Verbieten von privaten E-Mail-Accounts auf den mobilen Geräten.

4. Richtlinienverwaltung (Policy Enforcement)
Unternehmen definieren zentrale Sicherheitsrichtlinien für alle Geräte, zum Beispiel Passwortrichtlinien, vordefinierte WLAN-Verbindungen oder den Kiosk-Modus.

5. Audit-Logs und Protokollierung
MDM protokolliert administrative Aktionen und Zugriffe. Das unterstützt Revisionssicherheit und Compliance-Nachweise.

6. Zugriffskontrolle auf Unternehmensressourcen
Nur konforme Geräte dürfen auf Unternehmenssysteme zugreifen, etwa auf E-Mail, VPN oder Cloud-Dienste.

7. Geräte-Compliance-Monitoring
Das MDM überprüft automatisch, ob Geräte den Sicherheitsrichtlinien entsprechen. Bei Verstößen, zum Beispiel wenn das Betriebssystem nicht den Vorgaben entspricht oder wenn die SIM-Karte entfernt wird, wird eine Mitteilung an den Admin gesendet.

8. Fernlöschung bei Sicherheitsvorfällen
Wenn ein Gerät verloren geht oder kompromittiert wird, können Daten sofort gelöscht werden.

9. Minimierung der Datenerhebung
Moderne MDM-Systeme können so konfiguriert werden, dass nur notwendige Gerätedaten erhoben werden.

Cybersecurity (IT-Sicherheit)
Hier steht der Schutz der IT-Infrastruktur vor Angriffen im Fokus.

1. Geräteschutz
MDM deaktiviert Funktionen wie die Verbindung zu unsicheren WLANs, USB-Debugging oder die Installation von Apps aus nicht vertrauenswürdigen Quellen.

2. App-Management
Unternehmen können Apps genehmigen oder blockieren, diese zentral verteilen und automatische App-Updates einrichten.

3. Netzwerksicherheit
Ein MDM kann automatisch VPN aktivieren, sichere WLAN-Profile konfigurieren und unsichere Netzwerke blockieren.

4. Patch-Management
Sicherheitsupdates für Betriebssysteme und Apps können erzwungen werden. Der Nutzer kann diese nicht ablehnen oder verschieben.

5. Lost Mode / Gerätesperre
Bei Verlust kann ein Gerät gesperrt werden, indem es in den Lost Mode versetzt wird. Dadurch können Unbefugte nicht mehr auf die Daten des Geräts zugreifen. Im Lost Mode kann das Gerät zudem lokalisiert werden und so gegebenenfalls wiedergefunden werden.

Die Android Richtlinien richtig auf COBO Geräten anwenden:

Der wichtigste Teil der Einrichtung und Verbindung mobiler Geräte mit einem MDM ist die richtige Anwendung der erstellten Richtlinien. MobiVisor MDM bietet dafür bereits vorgefertigte, BSI-konforme Richtlinienvorlagen an, die Sie direkt verwenden können. Diese decken bereits die Standardvorgaben der DSGVO ab. Um eine Richtlinie auf einem mobilen Gerät anzuwenden, können Sie eine Gruppe erstellen, diese dem Gerät zuweisen und die Richtlinie ebenfalls in dieser Gruppe speichern. Der Nutzer des Endgeräts muss anschließend nichts mehr auf dem Gerät tun. Dies können Sie entweder bereits vor der Einrichtung des Geräts mit dem MDM vornehmen oder danach.

Fazit:

Für Unternehmen, die mobile Geräte ausschließlich für die Arbeit nutzen möchten, stellt Android COBO die ideale Lösung dar. Hier besteht die größte Kontrolle über die mobilen Geräte, und das Unternehmen kann vollumfänglich sicherstellen, dass alle Compliance-Richtlinien eingehalten werden. Dazu können wichtige MDM-Funktionen genutzt werden, zum Beispiel die Google-Play-Store-Konfiguration oder das Remote-Wipe-Feature. Oftmals sind die Möglichkeiten der Einbindung von Android-Enterprise-Geräten vielen Unternehmen noch nicht bekannt, obwohl diese viel Zeit und Aufwand sparen können. Mit MobiVisor MDM steht Ihnen zudem ein verlässlicher Partner zur Seite, der Sie Schritt für Schritt bei der Einrichtung Ihrer mobilen Geräte unterstützt.

Entdecken Sie unseren Blog

Android COBO: Mobile Geräte DSGVO-konform einrichten

Android COBO: Mobile Geräte DSGVO-konform einrichten

Android Enterprise Geräte im Unternehmen einsetzen

Android Enterprise Geräte im Unternehmen einsetzen

Apple Keynote 2025: Was gibt es Neues für Unternehmen mit MDM?

Apple Keynote 2025: Was gibt es Neues für Unternehmen mit MDM?

Kontaktieren Sie uns jetzt:

✔ Kostenlose Bedarfsanalyse
✔ Erstellung eines individuellen Step-by-Step Prozesses für Sie zum Mitnehmen
✔ Kostenlose Demo zur Sicherung Ihrer Geräte


    Mit Absenden dieses Formulars stimmen Sie zu, dass Ihre persönlichen Daten gemäß unserer Datenschutzerklärung zu den angegebenen Zwecken, in dem dort beschriebenen Umfang und für die dort definierte Dauer verarbeitet und gespeichert werden.

    Alternativ senden Sie uns bitte eine Email an [email protected].

    powered by IOTIQ
    Copyright: © 2025 IOTIQ

    Partner werden

    Arbeitshandy

    Hilfe für Kunden

    Impressum

    Datenschutz

    Log in to your account