SaaS & DSGVO – eine explosive Mischung

Software-as-a-Service ist so etwas wie eine schöne neue Welt, die bei genauerem Hinschauen, doch nicht ganz so einfach und schön ist – vor allem nicht in Hinblick auf die EU Datenschutz Grundverordnung. [...]

Wie man den App-Wildwuchs der Fach-Abteilungen unter Kontrolle behält (c) Pixabay
Wie man den App-Wildwuchs der Fach-Abteilungen unter Kontrolle behält (c) Pixabay

Für Anwender ist es zweifellos eine neue Erfahrung, Anwendungen aus dem Browser heraus oder mit Native Apps auf ihren Arbeitsplätzen und -geräten zu nutzen. Aus Anwendersicht bietet die Cloud Software ohne IT-Ballast. Die Implementierung dieser Software geht einfach und schnell ohne IT-Unterstützung. Daher führen Fachabteilungen SaaS-Software nicht selten autark ein, ohne Kontrolle der IT-Abteilung.

Das bedeutet aus IT-Sicht, dass die Schatten-IT-Quote signifikant zunehmen kann. Und das ist auch gleichzeitig die Kehrseite der Medaille. Gartner-Analysten fassen die Entwicklung so zusammen: „Bis 2019 werden die Kosten für Subskriptionen, bedingt durch die Cloud und die digitale Wirtschaft, die Ausgaben für klassische Lizenzen und die Wartung übersteigen.“ Das Software Asset Management, also die Kontrolle der Ausgaben und die korrekte Lizenzierung von Software, sieht sich konfrontiert mit der Aufgabenstellung, dies auch für die Cloud zu gewährleisten.

Neue Werkzeuge

Das bedeutet, dass für diese Aufgaben neue Werkzeuge eingesetzt werden müssen. Denn die Tools, die heute für ein effektives Vermessen herangezogen werden, werden zunehmend stumpf. Gartner sagt dazu: „Bis 2019 werden die heute genutzten Tools zur technischen Vermessung für SAM zu 90 % nutzlos sein.“ Die Cloud erfordert andere Mechanismen, um etwa festzustellen, welcher Mitarbeiter eine Subskription tatsächlich nutzt und welcher nicht. Auch muss die IT Prozesse bereitstellen, die sicherstellen, dass ihre User Anwendungen sauber nutzen können bzw. die genauso sicherstellen, dass beim Verlassen des Unternehmens, diese Anwendungen nicht mehr für den entsprechenden User bereitstehen.

All diese Problemstellungen betreffen nicht nur das Software Asset Management, sondern in weiterer Folge auch das Service Management. Die Analysten von Gartner sind zu diesem Schluss gekommen: „Bereits 2017 war die Nutzung von SaaS in 75 % aller Unternehmen dominiert von fehlender Kontrolle und Steuerung.“ Es fehlt an Standards, denn die Bereitstellung der Anwendungen liegt in vielen Unternehmen immer noch überwiegend bei den Fachabteilungen. Datenschutzfragen sind nicht ausreichend beantwortet. In der Konsequenz sehen sich Unternehmen zunehmend konfrontiert mit:

  • Fragestellungen des Kostenmanagements
  • Notwendigkeit der Prozessabbildung
  • Aufgabe der technischen Bereitstellung und Rücknahme von Services
  • Sicherstellung der Einhaltung der Datenschutzrichtlinien

Kritischer Datenschutz

Die Umsetzung der DSGVO muss am 25. Mai 2018 abgeschlossen sein. Immer noch sind viele Unternehmen noch nicht so weit. Sie müssen sich auf die folgenden Fragen konzentrieren und vor allem auch dokumentieren:

  • Welche Software aus der Cloud ist im Unternehmen im Einsatz?
  • Wo werden die Daten physisch gespeichert?
  • Welche Prozesse und Verfahren verwenden diese Cloud-Anwendungen?
  • Werden personenbezogene Daten in der Cloud gespeichert?
  • Wenn ja, aus welchem Grund?
  • Wer hat welche Zugriffsrechte?

Die wenigsten Unternehmen werden das ohne externen Partner, der einen Blick von außen auf die Situation wirft, zufriedenstellend bewältigen. Hier ist es unumgänglich mit dem obligatorischen Datenschutzbeauftragten zusammen zu arbeiten.

Dazu kommt: In Hinblick auf die Cloud erhält die Speicherung von personenbezogenen Daten eine ganz neue Bedeutung. Unternehmen, die die Zugänge zu diesen Daten nicht unter Kontrolle haben, gehen hohe Risiken ein. Alle betroffenen Prozesse müssen identifiziert und dann in Hinblick auf die DSGVO qualifiziert werden. Das betrifft nicht nur die Speicherung, sondern auch das Löschen oder Ändern von Daten. Datenzugriffe müssen kontrolliert werden, die Nachvollziehbarkeit von Manipulationen muss gewährleistet sein. Denn auch das unberechtigte Ändern oder Löschen von personenbezogenen Daten kann einen Verstoß gegen die Verordnung darstellen. Es gilt, einerseits Dokumentations-, Archiv- und Aufbewahrungspflichten sowie -fristen zu beachten, andererseits die Art der Daten: wirtschaftliche Daten, Fiskaldaten und personenbezogene Daten.

Die Cloud birgt eine enorme Vielfalt an Anwendungen, reine Cloud-Anwendungen genauso wie hybride Lösungen. Die Komplexität nimmt zu und bringt unterschiedliche Herausforderungen mit sich.

Herausforderungen für die Endanwender

Mancher Arbeitnehmer ist mit diesen Themen überfordert. Vor allem weniger IT-affine Mitarbeiter haben Schwierigkeiten, die zunehmende Anzahl an Internetadressen und Login-Daten sicher zu verwalten und im Arbeitsalltag schnell nutzen zu können. Damit erhöht sich der Druck auf die IT, einen einfachen Einstieg für möglichst alle Anwendungen anzubieten und sich um die Informationssicherheit und den Datenschutz zu kümmern. Auch die Kosten muss die IT im Auge behalten und natürlich auch dafür sorgen, dass keine Lizenzverletzungen passieren, indem personenbezogene Zugänge von ganzen Abteilungen verwendet werden.

  • Endanwender haben (zu) viele Passwörter
  • Jede Applikation bedeutet eine neue URL
  • Applikation und Daten sind verstreut

Herausforderungen für die IT

Aus IT-Sicht ist es von enormer Bedeutung, Prozesse bereitzustellen, die so attraktiv sind, dass die Fachabteilungen einen Mehrwert erhalten, wenn sie diese Anwendungen in die Obhut der IT geben. Hier gilt es, entsprechende Standards zu etablieren. Dabei muss natürlich die bestehende IT-Landschaft berücksichtigt werden. Die IT muss dafür Sorge tragen, dass eine zentrale Steuerung auf Applikationen und Ressourcen vorhanden ist. Das ist z. B. beim On- und Offboarding von Mitarbeitern sehr wichtig. Im Idealfall ist dies ein automatisierter Prozess. Auch die Gefahr der Überlizenzierung muss die IT vermeiden, indem sie Prozesse schafft, mit denen Lizenzen bedarfsgerecht vergeben werden können.

  • Prozessstandards für Cloud-Anwendungen etablieren und Schatten-IT vermeiden
  • Daten und Prozesse in die bestehende Infrastruktur integrieren
  • Den Vorgang ausscheidender Mitarbeiter verlässlich automatisieren
  • Rollenbasierte Zugriffe auf Applikationen sicherstellen
  • Latente Gefahr der Überlizenzierung adressieren

Herausforderungen für das Unternehmen

*) Der Autor Torsten Boch ist Senior Product Manager bei Matrix42. (c) Matrix42

Dementsprechend muss bei der Einführung einer Software – auch bei Software aus der Cloud – überlegt werden, wo was in welcher Ausprägung gespeichert wird und wie Daten gelöscht werden können. Modernes Cloud Software Asset Management unterstützt dabei, diese Fragen zu beantworten und zu helfen, dass DSGVO-konform gearbeitet wird.

  • Governance & Compliance sicherstellen
  • EU DSGVO Konformität gewährleisten
  • Risiko- und Kostenmanagement etablieren

Mehr Artikel

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

News

KI ist das neue Lernfach für uns alle

Die Mystifizierung künstlicher Intelligenz treibt mitunter seltsame Blüten. Dabei ist sie weder der Motor einer schönen neuen Welt, noch eine apokalyptische Gefahr. Sie ist schlicht und einfach eine neue, wenn auch höchst anspruchsvolle Technologie, mit der wir alle lernen müssen, sinnvoll umzugehen. Und dafür sind wir selbst verantwortlich. […]

Case-Study

Erfolgreiche Migration auf SAP S/4HANA

Energieschub für die IT-Infrastruktur von Burgenland Energie: Der Energieversorger hat zusammen mit Tietoevry Austria die erste Phase des Umstieges auf SAP S/4HANA abgeschlossen. Das burgenländische Green-Tech-Unternehmen profitiert nun von optimierten Finanz-, Logistik- und HR-Prozessen und schafft damit die Basis für die zukünftige Entflechtung von Energiebereitstellung und Netzbetrieb. […]

FH-Hon.Prof. Ing. Dipl.-Ing. (FH) Dipl.-Ing. Dr. techn. Michael Georg Grasser, MBA MPA CMC, Leiter FA IT-Infrastruktur der Steiermärkischen Krankenanstaltengesellschaft m.b.H. (KAGes). (c) © FH CAMPUS 02
Interview

Krankenanstalten im Jahr 2030

Um sich schon heute auf die Herausforderungen in fünf Jahren vorbereiten zu können, hat die Steiermärkische Krankenanstaltengesellschaft (KAGes) die Strategie 2030 formuliert. transform! sprach mit Michael Georg Grasser, Leiter der Fachabteilung IT-Infrastruktur. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*