Entsprechend der datenschutzrechtlichen Normierungen haben verantwortliche Stellen im Sinne des Art. 4 Nr. 7 DS-GVO (Datenschutz-Grundverordnung) dafür Sorge zu tragen, dass sowohl die internen Abläufe und Prozesse als auch die dabei eingesetzte Hard- und Software den datenschutzrechtlichen Anforderungen genügen. Die konforme Umsetzung stellt zahlreiche Unternehmen und Behörden regelmäßig vor erhebliche Hürden. Hinzu treten weitere datenschutzrechtliche Herausforderungen, wenn innerhalb der verantwortlichen Stelle einzelne Fachbereiche oder Beschäftigte im Rahmen ihrer täglichen Arbeit nicht-freigegebene Endgeräte oder Anwendungen nutzen.
WAS IST UNTER SCHATTEN-IT ZU VERSTEHEN?
Unter dem Begriff der Schatten-IT sind sämtliche informationstechnische Systeme, Prozesse, Anwendungen und Endgeräte zu verstehen, welche durch einzelne Fachbereiche oder Beschäftigte einer verantwortlichen Stelle ohne Freigabe oder gar Kenntnisnahme der IT-Abteilung beziehungsweise der Leitungsebene angeschafft und eingesetzt werden. Erfasst werden hierbei sowohl individuelle Datenverarbeitungen mit Tabellenkalkulationen, Nutzung einfacher Applikationen wie Messenger-Dienste oder Cloud-Dienste sowie Eigenbeschaffung mobiler Endgeräte, insbesondere Speichermedien.
Zwar kann Schatten-IT grundsätzlich auch dazu dienen Arbeitsabläufe zu effektivieren, jedoch schwächt unzureichend überprüfte Hard- und Software unter Umständen das gesamte Sicherheitsniveau der verantwortlichen Stelle. Cyberkriminellen wird mittels Schatten-IT unter Umständen Tür und Tor zum ansonsten gut geschützten Unternehmensnetzwerk geöffnet.
VON USB-STICKS UND MESSENGER-DIENSTEN
Schatten-IT kann in Unternehmen und Behörden viele Gesichter haben: Die Nutzung von nicht-freigegebenen portablen Speichermedien, insbesondere von USB-Sticks und externen Festplatten, ist dazu geeignet die Sicherheit der Verarbeitung erheblich zu gefährden. Zum einen kann eine Gefährdung der Vertraulichkeit bei einem Verlust des in der Regel unverschlüsselten Speichermediums eintreten. Zum anderen kann hierdurch versehentlich Schadsoftware von netzwerkfremden Endgeräten in das Netzwerk des Unternehmens eingebracht werden.
Die Inanspruchnahme externer Dienstleister kann je nach Anwendungsbereich ebenfalls enorme Auswirkungen auf die datenschutzrechtliche Konformität der verantwortlichen Stelle haben. Insbesondere im Bereich kostenloser Softwarelösungen, beispielsweise in Form von Cloud-Services oder Messenger-Diensten im weitesten Sinne ist eine einfache Zustimmung zu den Nutzungsbedingungen meist ausreichend. Darin enthalten sind oftmals Regelungen hinsichtlich der weitreichenden Verarbeitung von Metadaten, die eine Finanzierung des ansonst kostenfreien Produkts sicherstellen soll. Damit einher gehen datenschutzrechtliche Problematiken im Zusammenhang mit der Rechtmäßigkeit und Transparenz der Datenverarbeitung, der Vertraulichkeit personenbezogener Daten aufgrund unzureichender Verschlüsselung oder der Übermittlung personenbezogener Daten an Drittländer.
STRATEGIEN ZUM UMGANG MIT SCHATTEN-IT
Besonders aufgrund der drohenden Gefährdung der Sicherheitsziele nach Art. 32 DSGVO sowie den möglichen datenschutzrechtlichen Sanktionen, aber auch im Interesse der verantwortlichen Stelle selbst, bedarf es eines strategischen Umgangs mit der Thematik. Dabei können definierte Prozesse hinsichtlich der Anschaffung informationstechnischer Systeme, Anwendungen und Endgeräte oder bezüglich der Erweiterung bestehender Prozesse bzw. Verarbeitungstätigkeiten eine wesentliche Rolle einnehmen. Wie jedoch im Zusammenhang mit vielen Themen des Datenschutzes und der IT-Sicherheit, gelingt dies nicht ohne angemessene Einbeziehung und Berücksichtigung der Belange der Beschäftigten.
Eine umfassende Darstellung der datenschutzrechtlichen Anforderungen, der Strategien zum Umgang mit Schatten-IT und Handlungsempfehlungen für die Praxis, können Sie unserem Beitrag „Datenschutzrechtliche Herausforderungen in Zusammenhang mit Schatten-IT“ entnehmen, welcher in der Ausgabe Nr. 01/2022 des DATENSCHUTZ-BERATER erschienen ist. Den Beitrag können Sie in der digitalen Fassung hier abrufen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.