37
bezeichnete es als absolutes No‐Go, diese für geschäftliche Zwecke
einzusetzen. Mehr noch, die IT‐Abteilung müsse im Rahmen ihrer
Governance‐Zuständigkeit den Mitarbeitern eine derartige Nutzung durch
klare Richtlinien und Policies zwingend untersagen.
<P5>Sogleich stimmte der Sicherheitsexperte Helmut Jäger ein und verwies
auf das potenziell hohe Risiko einer Schatten‐IT, wenn sich Mitarbeiter
aufgrund fehlender Unternehmensvorgaben selbsttätig derartiger Cloud‐
Services bedienen. Vielmehr müsse die IT‐Abteilung die Anforderungen der
Mitarbeiter aus den Fachabteilungen ernst nehmen und für entsprechend
sichere Services sorgen, die den Geschäftsanforderungen Genüge tun.
Auch die anwesende Juristin Renate Graf äußerte sich, indem sie auf die
Datenschutzgesetzgebung verwies. Das Unternehmen bleibe auch dann für
die Einhaltung der Sorgfaltspflichten verantwortlich, wenn es seine Daten an
einen externen Dienstleister auslagere. Daher sei es wichtig, im Vorfeld die
technischen Spezifikationen und auch den genauen Ort der
Datenspeicherung zu kennen, nur so könne das Unternehmen am Ende
seine gesetzlichen Pflichten wie etwa gesetzlich vorgeschriebene
Aufbewahrungspflichten einhalten. An Max gerichtet, stellte sie die Frage,
ob es denn auch angedacht sei, E‐Mails zu archivieren. In diesem Fall sei ein
Onlinespeicher nicht das Mittel der Wahl. Sie schloss mit dem Hinweis, dass
das Unternehmen der Eigentümer der Daten bleiben müsse, dazu seien
vertragliche Maßnahmen unumgänglich. Im Übrigen könne sie die Hinweise
von Helmut Jäger nur bestätigen. Der Einsatz angemessener Hilfsmittel zum
Erzielen der Governance‐Ziele sei auch aus rechtlicher Sicht zentral. Ohne
ein effizientes Enterprise Mobility Managementsystem im Unternehmen
stehe die interne IT rasch mit dem Rücken zur Wand, und die Nutzer würden
unter Umgehung der internen IT auf eigene Faust Apps installieren wollen,
was meist zu unkontrollierten Datenspeicherungen bei Dritten führe. Mit
rechtlichen Policies allein lasse sich die Schatten‐IT erfahrungsgemäß nicht
verhindern.
Helmut Jäger richtete eine Frage an die anwesenden Führungskräfte: Wenn
man gerade schon dabei sei, über Businessrisiken zu sprechen: Er würde
doch gerne wissen, ob im Unternehmen denn bereits heute der
unterschiedlichen Sensibilität der Daten Rechnung getragen würde und eine
Datenklassifizierung von öffentlich bis hochvertraulich erfolge. Sicherlich
würden doch die Daten der Entwicklungsabteilung oder die kaufmännischen
Daten einen besonderen Schutz beanspruchen.