Bedrohung Schatten-IT

Was ändert sich durch die DSGVO?

Fach- und IT-Abteilungen sprechen nicht immer dieselbe Sprache: Wenn den Anwendern der Support zu langsam arbeitet oder externe Services einfach praktischer sind, kann das ungeahnte Kreativität freisetzen, die die IT-Verantwortlichen mitunter in die Verzweiflung treibt. Denn der Betrieb einer Schatten-IT parallel zur „offiziellen“ IT-Infrastruktur gefährdet Effizienz und Sicherheit. Im Zusammenhang mit der europäischen Datenschutz-Grundverordnung (EU-DSGVO, englisch: GDPR) kann es zudem richtig teuer werden.

  • Schreckgespenst DSGVO

    53 Prozent der im Rahmen einer Studie im Auftrag von Commvault befragten IT-Abteilungen kennen nicht alle Speicherorte von relevanten, personenbezogenen Daten oder können nicht auf sie zugreifen.

  • Jörg Kranepuhl, ist Syndikusrechtsanwalt, Senior Legal Counsel bei Commvault

    Jörg Kranepuhl, ist Syndikusrechtsanwalt, Senior Legal Counsel bei Commvault und Datenschutzbeauftragter. Zudem ist er als Mitglied im Deutschen Anwaltverein in der dortigen Arbeitsgruppe IT-Recht tätig.

Speziell die starke Verbreitung mobiler Geräte befeuert die Nutzung nicht erwünschter Zweitsysteme. Mitarbeiter nutzen häufig ihre eigenen Smartphones auch für Firmenzwecke oder Online-Filesharing-Systeme à la Dropbox. Die IT-Verantwortlichen wissen davon meist nichts – oder erst dann, wenn es Probleme gibt.

Bei der Nutzung externer Speicherorte verlassen Daten unweigerlich die firmeninternen, abgesicherten IT-Strukturen. Laut einer Umfrage im Auftrag von Commvault kennen 53 Prozent der IT-Abteilungen nicht alle Speicherorte von relevanten, personenbezogenen Daten im Unternehmen oder können nicht darauf zugreifen. Dies ist angesichts der EU-DSGVO verheerend. Denn ab dem 25. Mai 2018 stärkt die Verordnung Verbraucher hinsichtlich ihrer Auskunftsrechte und des Rechts auf Löschung von personenbezogenen Daten. Zwei Drittel der Deutschen wollen ihre Rechte nach Inkrafttreten der DSGVO in Anspruch nehmen. Bei einer Zuwiderhandlung müssen Unternehmen mit empfindlichen Strafen rechnen. Im Ex-tremfall drohen Zahlungen von bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes.

Privates Auskunftsrecht als Goldgrube für Anwälte?

Neben den genannten Rechten von Privatpersonen könnte die DSGVO auch als neues Geschäftsfeld für  Abmahnanwälte dienen. Die Regeln für den Umgang mit personenbezogenen Angaben ändern sich zwar nicht grundsätzlich, das Unterlassungsklagegesetz und das Gesetz gegen den unlauteren Wettbewerb tun weiterhin ihren Dienst. Nationale Datenschutz- und Regulierungsbehörden können aber dank der DSGVO viel wirkungsvoller sanktionieren.

Die Abmahngefahr durch Dritte besteht am ehesten bei offenkundigem Fehlverhalten. Beispielsweise sollten die Kontaktdaten eines Datenschutzbeauftragten und der Hinweis auf ein Beschwerderecht bei einer Aufsichtsbehörde im Datenschutzhinweis angegeben werden. Zudem müssen bereits die technischen Voreinstellungen verbraucher- und datenschutzfreundlich sein. Bei der Datenerhebung muss eine eindeutige Einwilligung erkennbar sein: So ist etwa das Opt-out-Verfahren unzulässig; Stillschweigen oder ein vorab angekreuztes Kästchen bedeuten noch keine Einwilligung. Zweck, Dauer und Verarbeitung personenbezogener Informationen müssen transparent sein. Auch sollten Firmen bei Verbraucheranfragen relevante Daten schnell und auf Knopfdruck liefern können.

Wissen, wo welche Daten zu welchem Zweck liegen

Damit aus den stetig wachsenden Mengen an personenbezogenen Daten kein Informationssumpf wird, ist ein gutes Datenmanagement entscheidend. Nicht immer sind etwa Kundendaten nur in CRM- oder ERP-Systemen gespeichert, sondern liegen auch in Excel-Listen oder E-Mails. Von einer einzigen E-Mail kann durch Backup- und Recovery-Prozesse eine zweistellige Anzahl an Kopien entstehen: gespeichert auf dem Desktop-PC, dem Mobiltelefon, in der Cloud, im Rechenzentrum und an vielen weiteren Orten. So können Daten in unbekannten oder unzugänglichen, nicht integrierten Systemen gespeichert werden, was zwei Nachteile hat: Erstens sind sie für das Unternehmen nutzlos, da sie sich nicht auswerten lassen. Zweitens besteht die Gefahr, das Recht auf Auskunft, Korrektur und Löschung nicht umsetzen zu können.

Um herauszufinden, ob eine Schatten-IT exisitiert, in deren heterogenen Strukturen relevante Daten verborgen sind, sollten zunächst die Mitarbeiter befragt werden, welche Anwendungen und Speicherorte sie verwenden. 

Ein schnell ausgesprochenes Verbot der inoffiziellen IT-Infrastruktur ist jedoch wenig zielführend; vielmehr sollten Führungskräfte im Gespräch herausfinden, welche Schwachstellen der „offiziellen“ Systeme und Anwendungen ausschlaggebend waren, und Lösungen anbieten. Mit den richtigen Daten-Management-Plattformen lassen sich dann unstrukturierte, personenbezogene Daten sowohl „on-premise“ als auch in der Cloud eindeutig kennzeichnen und aufspüren.

Unabhängig von Restriktionen und Geldstrafen sollten Unternehmen im Sinne ihrer Reputation und dem Vertrauen ihrer Kunden die Einhaltung des Datenschutzrechts zur Chefsache erklären, um mit Inkrafttreten der DSGVO auf der sicheren Seite zu sein.

Bildquelle: Commvault

 

©2018Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok