- Datenschutz PRAXIS - https://www.datenschutz-praxis.de - DatenschutzPraxis

DSGVO: Schatten-IT erschwert Compliance

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Betriebe, betroffenen Personen umfassend Auskunft über gespeicherte personenbezogene Daten zu erteilen. Bei Kundendaten muss es wegen der Datenportabilität möglich sein, diese zu einem anderen Anbieter umziehen zu lassen. Viele Firmen legen sich dabei aber selbst Steine in den Weg. Und zwar in Form ihrer Schatten-IT.

Die Unternehmensberatung AXXCON hat für eine aktuelle Studie rund 200 Geschäftsführer, CIOs, IT-Leiter und Sicherheitsbeauftragte aus Unternehmen mit mindestens 500 Mitarbeitern befragt.

Die Hälfte der Befragten geht davon aus, dass ihre Mitarbeiter neben den zentral eingekauften und administrierten Cloud-Services [1] ebenfalls dezentral beschaffte Dienste einsetzen. Und das ohne das Wissen der IT- oder Einkaufsabteilung.

Schatten-IT schwächt Unternehmen

Für die Beschäftigten in Unternehmen sind Cloud-Angebote im Netz verlockend. Bei vielen Diensten ist es möglich, sie einfach per Kreditkarte zu buchen und binnen Minuten darauf zuzugreifen.

Das geht deutlich schneller, als sich erst an die Einkaufsabteilung zu wenden oder ein Genehmigungsverfahren zu durchlaufen.

Durch den Einsatz solcher Angebote bildet sich eine „Schatten-IT [2]“. Sie erschwert es den für die Sicherheit verantwortlichen Managern oder macht es ihnen unmöglich, dafür zu sorgen, die rechtlichen Anforderungen an das Unternehmen einzuhalten.

Von den befragten IT-Managern geht sogar jeder Dritte davon aus, dass ihre Firma mehr als zehn solcher nicht autorisierter Cloud-Dienste einsetzt.

Es droht Gefahr von mehreren Seiten

Für die Unternehmen ist der Einsatz solcher Lösungen gleich in mehrfacher Hinsicht gefährlich:

Datenverluste und Sicherheitsvorfälle

Ebenfalls ein wichtiger Punkt: Sie können Datenverluste beim nicht offiziell beauftragten Dienstleister nicht ausschließen oder keine Maßnahmen dagegen ergreifen.

Sicherheitsvorfälle infolge dezentral beschaffter Cloud-Anwendungen meldeten im Rahmen der Studie 17 Prozent der befragten Unternehmen.

In fast 30 Prozent der in der Befragung berücksichtigten Firmen fehlt eine Betriebsvereinbarung [5] zum Einsatz von Cloud-Diensten.

Deswegen ist IT-Verantwortlichen und Datenschutzbeauftragten [6] zu raten, diesen Aspekt im Betrieb zu prüfen und etwas dagegen zu tun, dass sich eine Schatten-IT bildet.

Stephan Lamprecht