Seite 37 - CLOUD Migration - Alles was Sie über die CLOUD wissen müssen

37 
bezeichnete es als absolutes No‐Go, diese für geschäftliche Zwecke 
einzusetzen. Mehr noch, die IT‐Abteilung müsse im Rahmen ihrer 
Governance‐Zuständigkeit den Mitarbeitern eine derartige Nutzung durch 
klare Richtlinien und Policies zwingend untersagen. 
<P5>Sogleich stimmte der Sicherheitsexperte Helmut Jäger ein und verwies 
auf das potenziell hohe Risiko einer Schatten‐IT, wenn sich Mitarbeiter 
aufgrund fehlender Unternehmensvorgaben selbsttätig derartiger Cloud‐
Services bedienen. Vielmehr müsse die IT‐Abteilung die Anforderungen der 
Mitarbeiter aus den Fachabteilungen ernst nehmen und für entsprechend 
sichere Services sorgen, die den Geschäftsanforderungen Genüge tun. 
Auch die anwesende Juristin Renate Graf äußerte sich, indem sie auf die 
Datenschutzgesetzgebung verwies. Das Unternehmen bleibe auch dann für 
die Einhaltung der Sorgfaltspflichten verantwortlich, wenn es seine Daten an 
einen externen Dienstleister auslagere. Daher sei es wichtig, im Vorfeld die 
technischen Spezifikationen und auch den genauen Ort der 
Datenspeicherung zu kennen, nur so könne das Unternehmen am Ende 
seine gesetzlichen Pflichten wie etwa gesetzlich vorgeschriebene 
Aufbewahrungspflichten einhalten. An Max gerichtet, stellte sie die Frage, 
ob es denn auch angedacht sei, E‐Mails zu archivieren. In diesem Fall sei ein 
Onlinespeicher nicht das Mittel der Wahl. Sie schloss mit dem Hinweis, dass 
das Unternehmen der Eigentümer der Daten bleiben müsse, dazu seien 
vertragliche Maßnahmen unumgänglich. Im Übrigen könne sie die Hinweise 
von Helmut Jäger nur bestätigen. Der Einsatz angemessener Hilfsmittel zum 
Erzielen der Governance‐Ziele sei auch aus rechtlicher Sicht zentral. Ohne 
ein effizientes Enterprise Mobility Managementsystem im Unternehmen 
stehe die interne IT rasch mit dem Rücken zur Wand, und die Nutzer würden 
unter Umgehung der internen IT auf eigene Faust Apps installieren wollen, 
was meist zu unkontrollierten Datenspeicherungen bei Dritten führe. Mit 
rechtlichen Policies allein lasse sich die Schatten‐IT erfahrungsgemäß nicht 
verhindern.  
Helmut Jäger richtete eine Frage an die anwesenden Führungskräfte: Wenn 
man gerade schon dabei sei, über Businessrisiken zu sprechen: Er würde 
doch gerne wissen, ob im Unternehmen denn bereits heute der 
unterschiedlichen Sensibilität der Daten Rechnung getragen würde und eine 
Datenklassifizierung von öffentlich bis hochvertraulich erfolge. Sicherlich 
würden doch die Daten der Entwicklungsabteilung oder die kaufmännischen 
Daten einen besonderen Schutz beanspruchen.