2018-08-22 07:32:30

SaaS & DSGVO – eine explosive Mischung

Software-as-a-Service ist so etwas wie eine schöne neue Welt, die bei genauerem Hinschauen, doch nicht ganz so einfach und schön ist – vor allem nicht in Hinblick auf die EU Datenschutz Grundverordnung; von Torsten Boch & Alexander Bugl*)

Für Anwender ist es zweifellos eine neue Erfahrung, Anwendungen aus dem Browser heraus oder mit Native Apps auf ihren Arbeitsplätzen und -geräten zu nutzen. Aus Anwendersicht bietet die Cloud Software ohne IT-Ballast. Die Implementierung dieser Software geht einfach und schnell ohne IT-Unterstützung. Daher führen Fachabteilungen SaaS-Software nicht selten autark ein, ohne sie entsprechender fachgerechter Kontrolle zu unterstellen.

Das bedeutet aus IT-Sicht, dass die Schatten-IT-Quote signifikant zunehmen kann. Und das ist auch gleichzeitig die Kehrseite der Medaille. Gartner-Analysten fassen die Entwicklung so zusammen: „Bis 2019 werden die Kosten für Subskriptionen, bedingt durch die Cloud und die digitale Wirtschaft, die Ausgaben für klassische Lizenzen und die Wartung übersteigen.“ Das Software Asset Management, also die Kontrolle der Ausgaben und die korrekte Lizenzierung von Software, sieht sich konfrontiert mit der Aufgabenstellung, dies auch für die Cloud zu gewährleisten. 

Neue Werkzeuge

Das bedeutet, dass für diese Aufgaben neue Werkzeuge eingesetzt werden müssen. Denn die Tools, die heute für ein effektives Vermessen herangezogen werden, werden zunehmend stumpf. Gartner sagt dazu: „Bis 2019 werden die heute genutzten Tools zur technischen Vermessung für SAM zu 90 % nutzlos sein.“ Die Cloud erfordert andere Mechanismen, um etwa festzustellen, welcher Mitarbeiter eine Subskription tatsächlich nutzt und welcher nicht. Auch muss die IT Prozesse bereitstellen, die sicherstellen, dass ihre User Anwendungen sauber nutzen können bzw. die genauso sicherstellen, dass beim Verlassen des Unternehmens, diese Anwendungen nicht mehr für den entsprechenden User bereitstehen. 

All diese Problemstellungen betreffen nicht nur das Software Asset Management, sondern in weiterer Folge auch das Service Management. Die Analysten von Gartner sind zu diesem Schluss gekommen: „Bereits 2017 war die Nutzung von SaaS in 75 % aller Unternehmen dominiert von fehlender Kontrolle und Steuerung.“ Es fehlt an Standards, denn die Bereitstellung der Anwendungen liegt in vielen Unternehmen immer noch überwiegend bei den Fachabteilungen. Datenschutzfragen sind nicht ausreichend beantwortet. In der Konsequenz sehen sich Unternehmen zunehmend konfrontiert mit: 

  • Fragestellungen des Kostenmanagements
  • Notwendigkeit der Prozessabbildung
  • Aufgabe der technischen Bereitstellung und Rücknahme von Services
  • Sicherstellung der Einhaltung der Datenschutzrichtlinien

Kritischer Datenschutz

Die Umsetzung der DSGVO muss am 25. Mai 2018 abgeschlossen sein. Immer noch sind viele Unternehmen noch nicht so weit. Sie müssen sich auf die folgenden Fragen konzentrieren und vor allem auch dokumentieren:

  • Welche Software aus der Cloud ist im Unternehmen im Einsatz?
  • Wo werden die Daten physisch gespeichert?
  • Welche Prozesse und Verfahren verwenden diese Cloud-Anwendungen?
  • Werden personenbezogene Daten in der Cloud gespeichert?
  • Wenn ja, aus welchem Grund?
  • Wer hat welche Zugriffsrechte?

Die wenigsten Unternehmen werden das ohne externen Partner, der einen Blick von außen auf die Situation wirft, zufriedenstellend bewältigen. Hier ist es unumgänglich mit dem obligatorischen Datenschutzbeauftragten zusammen zu arbeiten.

Dazu kommt: In Hinblick auf die Cloud erhält die Speicherung von personenbezogenen Daten eine ganz neue Bedeutung. Unternehmen, die die Zugänge zu diesen Daten nicht unter Kontrolle haben, gehen hohe Risiken ein. Alle betroffenen Prozesse müssen identifiziert und dann in Hinblick auf die DSGVO qualifiziert werden. Das betrifft nicht nur die Speicherung, sondern auch das Löschen oder Ändern von Daten. Datenzugriffe müssen kontrolliert werden, die Nachvollziehbarkeit von Manipulationen muss gewährleistet sein. Denn auch das unberechtigte Ändern oder Löschen von personenbezogenen Daten kann einen Verstoß gegen die Verordnung darstellen. Es gilt, einerseits Dokumentations-, Archiv- und Aufbewahrungspflichten sowie -fristen zu beachten, andererseits die Art der Daten: wirtschaftliche Daten, Fiskaldaten und personenbezogene Daten. 

SaaS - neue Herausforderungen aus allen Richtungen

Die Cloud birgt eine enorme Vielfalt an Anwendungen, reine Cloud-Anwendungen genauso wie hybride Lösungen. Die Komplexität nimmt zu und bringt unterschiedliche Herausforderungen mit sich.

Herausforderungen für die Endanwender

Mancher Arbeitnehmer ist mit diesen Themen überfordert. Vor allem weniger IT-affine Mitarbeiter haben Schwierigkeiten, die zunehmende Anzahl an Internetadressen und Login-Daten sicher zu verwalten und im Arbeitsalltag schnell nutzen zu können. Damit erhöht sich der Druck auf die IT, einen einfachen Einstieg für möglichst alle Anwendungen anzubieten und sich um die Informationssicherheit und den Datenschutz zu kümmern. Auch die Kosten muss die IT im Auge behalten und natürlich auch dafür sorgen, dass keine Lizenzverletzungen passieren, indem personenbezogene Zugänge von ganzen Abteilungen verwendet werden.

  • Endanwender haben (zu) viele Passwörter 
  • Jede Applikation bedeutet eine neue URL
  • Applikation und Daten sind verstreut

Herausforderungen für die IT

Aus IT-Sicht ist es von enormer Bedeutung, Prozesse bereitzustellen, die so attraktiv sind, dass die Fachabteilungen einen Mehrwert erhalten, wenn sie diese Anwendungen in die Obhut der IT geben. Hier gilt es, entsprechende Standards zu etablieren. Dabei muss natürlich die bestehende IT-Landschaft berücksichtigt werden. Die IT muss dafür Sorge tragen, dass eine zentrale Steuerung auf Applikationen und Ressourcen vorhanden ist. Das ist z. B. beim On- und Offboarding von Mitarbeitern sehr wichtig. Im Idealfall ist dies ein automatisierter Prozess. Auch die Gefahr der Überlizenzierung muss die IT vermeiden, indem sie Prozesse schafft, mit denen Lizenzen bedarfsgerecht vergeben werden können. 

  • Prozessstandards für Cloud-Anwendungen etablieren und Schatten-IT vermeiden
  • Daten und Prozesse in die bestehende Infrastruktur integrieren
  • Den Vorgang ausscheidender Mitarbeiter verlässlich automatisieren
  • Rollenbasierte Zugriffe auf Applikationen sicherstellen
  • Latente Gefahr der Überlizenzierung adressieren

Herausforderungen für das Unternehmen

Dementsprechend muss bei der Einführung einer Software – auch bei Software aus der Cloud - überlegt werden, wo was in welcher Ausprägung gespeichert wird und wie Daten gelöscht werden können. Modernes Cloud Software Asset Management unterstützt dabei, diese Fragen zu beantworten und zu helfen, dass DSGVO-konform gearbeitet wird. 

  • Governance & Compliance sicherstellen
  • EU DSGVO Konformität gewährleisten
  • Risiko- und Kostenmanagement etablieren

*) Torsten Boch, Senior Product Manager bei Matrix42 und Alexander Bugl, Datenschutzbeauftragter EU DSGVO Bugl & Kollegen GmbH

mat

Druckversion