62
auch in vielen Unternehmensprozessen, angefangen bei der Unterstützung
der Kommunikation und Kollaboration bis hin zu kompletten Abläufen und
Prozessen (z.B. CRM).
Mitarbeitende eines Unternehmens erwarten von der Unternehmens‐IT die
Bereitstellung derselben Funktionen und Arbeitsweisen, wie sie sie auch im
privaten Bereich nutzen. Die interne IT‐Abteilung gerät dadurch zunehmend
unter Druck, unterschiedliche Cloud‐Services in immer kürzerer Zeit den
Unternehmensbereichen bereitstellen zu müssen. Erfolgt die gewünschte
Bereitstellung nicht oder nur unzureichend, so umgehen einzelne
Mitarbeiter oder auch ganze Fachabteilungen die interne IT, beschaffen sich
diese Cloud‐Services direkt und nutzen sie in der täglichen Arbeit.
Ausgehend von dem Trend bzw. Wunsch, IT schnell und einfach nutzen zu
können, entsteht eine „Schatten‐IT“ ohne Berücksichtigung vorhandener
Sicherheits‐ und Compliance‐Vorgaben und ohne eine feste Einbindung in
Unternehmensprozesse.
Diese Herausforderungen vor Augen, stellen sich einige Unternehmen die
Frage, ob es nicht sinnvoller sei, eine Private Cloud (im eigenen
Rechenzentrum) zu betreiben, bevor sie den Schritt wagen und auf
bestehende Public Cloud‐Services zurückgreifen.
<P1><P2><P3><P4>IT‐Governance kann nur erfolgreich sein,
wenn der Nutzer sich durch die interne IT gut bedient fühlt.
Solche operativen Fragen haben damit durchaus umfassende
Bedeutung, sogar – was überraschen mag – für die rechtliche
Beurteilung. Die Unterscheidung zwischen Public Cloud und
Private Cloud ist für die Aufgabenstellung IT‐Governance
freilich nicht von Bedeutung. So oder so muss das
Unternehmen in der Lage sein, den Nutzer rasch, aber
kontrolliert mit einer ihn befriedigenden Lösung zu bedienen.
Anderenfalls lässt sich eine Schatten‐IT kaum vermeiden.
Aus z.B. gesetzlichen oder datenschutzrechtlichen Gründen sind sogenannte
„
Public Clouds“ mit ihren klaren Skalierungsvorteilen manchmal nicht den
jeweilig spezifischen Bedürfnissen eines Unternehmens angepasst.
<P1><P2><P3><P4>Aus rechtlicher Sicht geht es vornehmlich
um Kontrollfragen. Wer hat faktisch Zugriff auf Daten, wer
kann deshalb die Daten verwerten (wenn auch nur in
anonymisierter Form) und wer hat die effektive Kontrolle
darüber, wie Daten zu löschen sind?