Schatten-IT und die EU-DSGVO
Software as a Service ist ein gerne gebrauchtes Tool von Kunden, um Software einfach über das Internet zu beziehen. In Hinblick auf die europäische Datenschutzgrundverordnung (EU-DSGVO) ist Software as a Service allerdings oftmals eine Katastrophe und ein extremer Risikofaktor.
Die Implementierung geht meist einfach und so gut wie immer ohne IT-Unterstützung. Daher führen Fachabteilungen SaaS-Software oftmals auch autark ein, ohne diese der Kontrolle der IT-Abteilung zu unterstellen. Software Asset Management (SAM), also die Kontrolle der Ausgaben und die korrekte Lizenzierung von Software, hilft hier nicht weiter, die Cloud erfordert komplett andere Mechanismen, um etwa festzustellen, welcher Mitarbeiter eine Subskription tatsächlich nutzt und welcher nicht. Es fehlt einfach an den Standards, denn die Bereitstellung der Anwendungen liegt in vielen Unternehmen immer noch überwiegend bei den Fachabteilungen. Zudem sind Datenschutzfragen oft nicht ausreichend beantwortet.
- Wo werden die Daten physisch gespeichert?
- Werden personenbezogene Daten in der Cloud gespeichert?
- Wenn ja, aus welchem Grund?
- Wer hat welche Zugriffsrechte?
Es muss eine zentralisierte Abteilung verantwortlich sein für folgende Aufgaben:
- Prozessstandards für Cloud-Anwendungen etablieren und Schatten-IT vermeiden
- Daten und Prozesse in die bestehende Infrastruktur integrieren
- Den Vorgang ausscheidender Mitarbeiter verlässlich automatisieren
- Rollenbasierte Zugriffe auf Applikationen sicherstellen
- Latente Gefahr der Überlizenzierung adressieren
