Ihr maßgeschneidertes Datenschutz-Konzept für die Schatten-IT
Über Schatten-IT wird schon lange gesprochen, viele Unternehmen versuchen, sie zu verhindern. Viel besser ist es, auch dafür ein Datenschutz-Konzept zu entwickeln. So bekommen Sie die Schatten-IT in den Griff.
Nutzen Fachbereiche oder einzelne Anwender Cloud-Dienste, ohne die IT darüber zu informieren, spricht man gern von einer Schatten-IT in der Cloud.
Mehr als unerlaubte Cloud-Speicher
Zuerst denken viele Unternehmen bei Schatten-IT an privaten Cloud-Storage, den Mitarbeiter unerlaubt für die Speicherung betrieblicher Daten nutzen. Tatsächlich ist dies ein Teil der Schatten-IT. Doch sie reicht noch viel, viel weiter.
Die heimliche IT in der Cloud umfasst nicht nur das Speichern von Daten, sondern sie kann jede Art von Cloud-Dienst betreffen.
Ein Beispiel: Auch soziale Netzwerke sind Cloud-Dienste. Nutzen Mitarbeiter dort Anwendungen betrieblich, ohne dass sie freigegeben sind, ist dies ebenfalls Teil der Schatten-IT.
Da Facebook zum Beispiel zunehmend Business-Tools anbietet, wird auch diese Neben-IT zunehmen.
Schatten-IT ist kinderleicht und wird weiter wachsen
Nutzer und Fachbereiche machen immer stärker von Cloud-Diensten Gebrauch – und sie benötigen im ersten Schritt dazu keine Unterstützung der IT: Cloud-Dienste sind schnell und flexibel verfügbar, obendrein sind viele Services im Cloud Computing noch kostenlos.
Fachbereiche und einzelne Nutzer im Unternehmen greifen deshalb schnell zu einer Anwendung aus der Cloud, wenn es für den Arbeitsalltag oder eine aktuelle Aufgabe nützlich erscheint.
Folgen für den Datenschutz
Die Folgen für den Datenschutz können bekanntlich massiv sein. Denn Fachbereiche und erst recht einzelne Anwender sind kaum in der Lage, eine Sicherheits- und Datenschutzprüfung vorzunehmen, die Teil jeder offiziellen Freigabe sein sollte.
Bisher ist es sehr kompliziert, den Datenschutz und die Datensicherheit für einen Cloud-Dienst zu bewerten. Mit der Datenschutz-Grundverordnung (DSGVO) wird die Zertifizierung mehr Gewicht bekommen und bei der Prüfung eines Cloud-Dienstleisters (Auftragsverarbeiter) stärker unterstützen.
Nun können Sie als Datenschutzbeauftragte oder Datenschutzbeauftragter aber nicht darauf warten. Denn die Zahl der Cloud-Anwendungen, die ohne Einbindung der IT genutzt werden, steigt und steigt.
Das liegt auch daran, dass es immer einfacher wird, eigene Cloud-Anwendungen zu erstellen: Für viele Cloud-Dienste gibt es inzwischen sogenannten App-Baukästen.
Datenschutz-Konzept: Anwenderbefragung …
Um zu verhindern, dass Mitarbeiter personenbezogene Daten in unsichere Cloud-Dienste laden, die höchstens den Sicherheits-Ansprüchen von Privatnutzern entsprechen, berücksichtigen Sie als Datenschutzbeauftragter die Schatten-IT in der Cloud im Datenschutz-Konzept.
Das bedeutet nicht, dass Sie einfach nach Cloud-Diensten fragen, die nicht zu den offiziellen Cloud-Services gehören. Denn diese wird Ihnen niemand so einfach nennen.
Sehen Sie stattdessen eine regelmäßige Bedarfsanalyse im Datenschutz-Konzept vor. Fragen Sie also schlicht die Anwender. Das zeigt, ob bestimmte Cloud-Anwendungen fehlen. Denn die Mitarbeiter registrieren sich ja nicht ohne Not für einen Cloud-Dienst.
… und Self-Service für mehr Datenschutz
Sensibilisieren Sie neben der Anwender-Befragung die Mitarbeiter und die Geschäftsleitung für die Risiken, die aus dem Einsatz ungeprüfter Cloud-Services erwachsen.
Zudem ist es sinnvoll, alle für einen bestimmten Nutzer verfügbaren offiziellen Anwendungen bekannter zu machen und im Idealfall über ein Self-Service-Portal bereitzustellen.
Benötigt ein Mitarbeiter dann eine Anwendung,
- kann er nach freigegebenen Cloud-Apps suchen,
- einen zusätzlichen Wunsch über das interne Portal melden und
- nach erfolgter Prüfung durch die IT die neuen Cloud-Dienste sehen, die er verwenden darf.
Das macht die Cloud-Nutzung wesentlich flexibler, aber auch kontrollierter.
