Schatten-IT und die EU-Datenschutz-Grundverordnung

Vor einigen Wochen habe ich die Forschungsergebnisse des kips bei der ISACA EUROCACS 2017 vorgestellt. Aus dem Publikum kam nach dem Vortrag die Frage, welche Rolle die Schatten-IT vor dem Hintergrund der ab 2018 geltenden EU Datenschutzverordnung (DSGVO) spielt.

Bekanntermaßen regelt die DSGVO den Umgang mit personenbezogenen Daten in Unternehmen. Bei den Neuerungen stehen insbesondere die neuen Pflichten bzw. die höheren Strafen bei Pflichtverletzung im Vordergrund. Beispielsweise wird von Experten gesehen, dass nun ein effektives Datenschutz-Managementsystem notwendig wird, das unter anderem entsprechende Risikoanalysen abdeckt. Außerdem gibt es Ansprüche hinsichtlich der Folgenabschätzung von neuen Systemen. Darüber hinaus müssen die Unternehmen in der Lage sein, die Rechte der betroffenen Personen (zumeist Kunden) bspw. auf Vergessen oder die Portabilität ihrer Daten, umzusetzen. Schließlich ist aber auch der Umgang mit den Daten der eigenen Mitarbeiter zu beachten; dazu gehört zum Beispiel der sparsame Umgang mit den Daten sowie deren Zweckbindung.

Diese sicher unvollständige Aufzählung der Anforderungen zeigt, dass es hier zahlreiche Anknüpfungspunkte zwischen dem Datenschutz und der Schatten IT gibt. Hieraus ergeben sich bei der Schatten-IT drei verschiedene Problemkreise, die nachfolgend kurz beschrieben werden:

  • Mangel an Transparenz
  • Schatten-IT fehlt es definitionsgemäß an Transparenz: das heißt auch, dass die oben genannten Risikoanalysen in der Regel unvollständig sind. Zudem können diese unbekannten Systeme den Kunden nicht offengelegt werden.
  • Mangel an Planung
  • Schatten-IT entwickelt sich oft über die Zeit und startet dabei aus einem experimentellen Charakter. Diese fehlende Planung führt aber immer wieder zu datenschutzrechtlichen Problemen, da gerade nicht auf den sparsamen und reglementierten Umgang mit Daten geachtet wird. Zudem erfolgt selten eine vollständige Risikoanalyse vor Einführung einer Schatten-IT Lösung.
  • Technische Mängel
  • Die Entwickler von Schatten-IT aus den Fachbereichen haben in der Regel geringeres technisches Know-How, was insbesondere auch für die sichere Entwicklung und den sicheren Betrieb von Systemen gilt. Dementsprechend kann es bei solchen Systemen leichter fallen, personenbezogene Daten zu entwenden. Auch kann es schwieriger sein, die geforderte Portabilität umzusetzen.

Diese kurzen Beispiele zeigen deutlich, dass Schatten-IT den veränderten datenschutzrechtlichen Anforderungen in vielfältiger Weise nicht gerecht wird. Daraus lässt sich für die Unternehmen ein unmittelbarer Handlungsbedarf ableiten: zur Einhaltung der neuen gesetzlichen Normen sollten sie daher personenbezogene Daten in der Schatten-IT identifizieren und auf datenschutzrechtliche Probleme untersuchen. Ein erster Ansatzpunkt für die Identifikation solcher Systeme ist die Durchführung eines Self-Assessments der Fachbereiche, bei denen alle Schatten-IT Anwendungen registriert und nach ihrem Risiko klassifiziert werden.

Auf Basis der Ergebnisse sind die gefundenen Systeme gegebenenfalls anzupassen oder zu ersetzen.

Autor: Prof. Dr. Christopher Rentrop

BITCO³ GmbH
Max-Stromeyer-Straße 116
78467 Konstanz

Lernen Sie uns kennen

Unser Angebot

Rechtliches