Go to landing page.
Willkommen bei PrivacyXperts
Registrierung per Kundennummer

Top-Thema

Unbekanntes Risiko Schatten-IT: Bringen Sie Licht ins Dunkel

Als Datenschutzprofi wissen Sie: Für den Schutz aller Daten im Unternehmen ist es unerlässlich, dass Risiken erkannt und angemessene Maßnahmen ergriffen werden, um diese zu minimieren. Doch manche Gefahren sind nicht offenkundig und gleichen dennoch einer Zeitbombe. So ist das beispielsweise beim Thema Schatten-IT der Fall. Bringen Sie hier Licht ins Dunkel.

Andreas Würtz

11.09.2025 · 5 Min Lesezeit

Das ist das Problem

Schatten-IT und Schatten-Software hat nichts mit viel Sonne zu tun. Gemeint sind insbesondere IT-Systeme oder Software, die unerkannt „im Schatten liegen“, weil sie von Abteilungen oder Mitarbeitern ohne Wissen und Genehmigung der IT-Abteilung beschafft und eingesetzt werden.

Ohne lange grübeln zu müssen, erkennen Sie ganz schnell, dass das früher oder später schiefgehen kann. Schließlich ist zu bedenken: 

  • Schatten-IT und Schatten-Software bringen häufig auch eine unklare Sicherheitssituation mit sich. Manchmal wird einfach beschafft, ohne zu wissen, wie es um die Sicherheit der Systeme oder Software bestellt ist.

    Denn nur weil etwas funktioniert und seinen primären Zweck erfüllt, heißt das nicht, dass damit verarbeitete Daten auch sicher sind. 
  • Gerade im Zusammenhang mit personenbezogenen Daten muss bei deren Verarbeitung auf die Sicherheit geachtet werden. Nach Art. 32 Datenschutz-Grundverordnung (DSGVO) müssen risikoangemessene Schutzmaßnahmen ergriffen werden.

    Und die treffen Ihr Unternehmen als Verantwortlicher und nicht etwa einen Hersteller eines Systems oder einer Software. 
  • Schatten-IT und Schatten-Software fliegen oft unter dem Radar der IT-Abteilung. Konkret heißt das: Die Profis bekommen überhaupt nicht mit, dass es bestimmte Systeme oder Software gibt, die in eine Update-Strategie einzubeziehen sind.

    Die Folge: Entsprechende Hard- und Software wird nicht mit den nötigen Updates versorgt. Über die möglicherweise aufkommenden Sicherheitslücken haben Hacker und Cyberkriminelle leichtes Spiel. 
  • Unbekannte Systeme und Software sind gerade im Zusammenhang mit personenbezogenen Daten ein großes Problem: So können nötige Datenschutzvereinbarungen fehlen, etwa im Rahmen einer Auftragsverarbeitung nach Art. 28 DSGVO.

    Unter Umständen verwendet der Hersteller personenbezogene Daten für eigene Zwecke, ohne dass es hierfür eine Rechtsgrundlage gibt. Auch kann es Probleme mit den Betroffenenrechten geben, etwa im Hinblick auf die nötige Transparenz sowie die Umsetzung der Rechte auf Auskunft oder Löschung.

    Und solche Datenschutzverstöße können bekanntlich viel Ärger nach sich ziehen und schlimmstenfalls auch ein schmerzhaftes Bußgeld, für das die Portokasse nicht ausreicht. 
  • Schatten-IT und Schatten-Software können Ihr Unternehmen finanziell ruinieren, etwa nach einem erfolgreichen Angriff von Cyberkriminellen.

    Denn selbst eine entsprechende Versicherung wird unter Umständen nicht zahlen, weil Ihr Unternehmen grob fahrlässig einen Schaden herbeigeführt hat.

    Schließlich hat es nicht dafür gesorgt, dass mögliche Risiken durch Schatten-IT und Schatten-Software ausgeschlossen werden. 


Heben Sie die Hand 

Als Datenschutzbeauftragter haben Sie nicht den Auftrag, die (Datenschutz-)Welt zu retten. Allerdings ist es Teil Ihres Beratungs- und Kontrollauftrags, dass Sie auf realistische Gefahren mit Datenschutzrelevanz hinweisen, und zwar für Ihr Unternehmen.

Solche Risiken treten gerade im Zusammenhang mit unbekannter und unkontrolliert eingesetzter Hard- und Software auf. Dabei ist klar: Kommt es zu einer Datenpanne, ist es unerheblich, wer schlussendlich daran schuld ist. Ihr Unternehmen ist dafür verantwortlich. Auch das (Fehl-)Verhalten von Mitarbeitern wird ihm meist zugerechnet. 

Sie wollen Schatten-IT und Schatten-Software aufspüren? Kein Problem. Sie brauchen hier nicht das Rad neu zu erfinden. Setzen Sie auf die folgende Schritt-für-Schritt-Anleitung: 

Schritt 1: Sammeln Sie Einfälle und Ideen

Starten Sie zunächst damit, dass Sie sich Gedanken zu Ihrem Unternehmen, zur Geschäftstätigkeit und vor allem zu Bereichen machen, in denen Schatten-IT oder Schatten-Software zum Einsatz kommen könnten. Das kann z. B. in der Entwicklung sein.

Schatten-Software finden Sie vielleicht im Bereich Vertrieb oder beim Marketing. Denken Sie hier auch an Ihre Beratungen, bei denen man sich mit den zur Verfügung stehenden Mitteln unzufrieden gezeigt hat. Auch unter Datenschutzaspekten Durchgefallenes wird vielleicht dennoch eingesetzt. 

Schritt 2: Checken Sie das Verzeichnis von Verarbeitungstätigkeiten

Prüfen Sie die enthaltenen Verarbeitungstätigkeiten. Diese sollten vollständig erfasst sein. Achten Sie auch auf die Aktualität der Angaben.

Finden Sie Angaben zu eingesetzten Systemen oder Software, sollten Sie auf Ihnen unbekannte Anbieter oder Produktnamen achten.

Überlegen Sie außerdem, welche Verarbeitungstätigkeiten fehlen könnten oder welche Verarbeitungen ggf. nicht erfasst sind. 

Schritt 3: Schauen Sie sich im Unternehmen um

Informieren Sie sich, was in Ihrem Unternehmen läuft. Wichtige Erkenntnisse kann es auch bringen, wenn Sie sich vor Ort umschauen oder mit Mitarbeitern sprechen.

Sehen Sie beispielsweise Gerätschaften, die eher privater Natur sind, sollten Sie klären, was es damit auf sich hat.

Denn: Auch private Geräte können gefährliche Schatten-IT sein. Nicht anders ist es mit privater Software oder privaten E-Mail- oder Cloud-Lösungen. Für die ist der Unternehmenseinsatz tabu. 

Schritt 4: Tauschen Sie sich mit den IT-Kollegen aus

Besprechen Sie sich mit den Kollegen aus der IT-Abteilung. Machen Sie deutlich, dass Schatten-IT und Schatten-Software auch unter Datenschutzaspekten ein großes Problem sein können. So z. B., wenn es um die Sicherheit der Verarbeitung geht.

Bitten Sie um die Einschätzung und Erfahrung der Kollegen zu diesem Thema. Hinterfragen Sie, was man unternimmt, um Schatten-IT und Schatten-Software nicht zum Problem werden zu lassen.

Klären Sie, inwieweit verhindert wird, dass Hard- und Software abseits der Prozesse eingesetzt werden. 

Schritt 5: Machen Sie ein gemeinsames Risiko-Brainstorming

Identifizieren Sie gemeinsam mit den IT-Kollegen einerseits die Bereiche, wo Schatten-IT und Schatten-Software ein Thema sein könnten. Überlegen Sie außerdem, welche praktischen Möglichkeiten es gibt, die Sache zu überprüfen. 

Schritt 6: Ermitteln Sie die Situation

Hier empfiehlt sich ein mehrstufiger Ansatz. So kann zunächst eine Prüfung der Dokumentation erfolgen. Schauen Sie mit den Kollegen der IT-Abteilung gemeinsam vorhandene Inventarlisten durch.

Finden Sie dort offensichtlich veraltete Technik oder veraltete Software, hat man vielleicht in der betreffenden Abteilung schon auf etwas Neueres gewechselt.

Eventuell wird Software auch zentral inventarisiert. Hier können die Kollegen meist schnell sagen, ob sie hier Unbekanntes oder Ungenehmigtes vorgefunden haben. 

Als nächste Stufe bietet es sich an, dass Sie mit den Kollegen vor Ort nach dem Rechten schauen. Statten Sie den Bereichen einen Besuch ab.

Führen Sie dort auch Interviews mit den Führungskräften und Mitarbeitern. Zeigen Sie die Risiken durch Schatten-IT und Schatten-Software auf und hinterfragen Sie, inwieweit man hierauf setzt. 

Schritt 7: Identifizieren Sie den Handlungsbedarf

Ist Schatten-IT oder Schatten-Software im Einsatz, ist schnelles Handeln geboten. Klären Sie mit den Kollegen der IT-Abteilung und den betroffenen Bereichen, wie man zügig einen ordnungsgemäßen und regelkonformen Zustand erreichen kann.

Unter Umständen sollte die betreffende Hard- und Software zunächst einmal außer Betrieb genommen werden, um Risiken zu minimieren. 

Schritt 8: Vereinbaren Sie die nötigen Maßnahmen

Achten Sie darauf, dass zügig gehandelt wird. Dabei ist klar: Über dieses Problem zu reden, reicht nicht aus. Es muss gelöst werden.

Das geht nur mit den passenden Maßnahmen. Damit es keine Missverständnisse darüber gibt, wer verantwortlich ist und was zu tun ist, sollten die Maßnahmen konkret festgehalten und verbindlich vereinbart werden. 

Schritt 9: Begleiten Sie die Umsetzung

Auch wenn es an das Umsetzen geht, kann Ihr Rat als Datenschutzbeauftragter gefragt sein. Wird das Thema „Schatten-IT und Schatten-Software“ bereinigt, müssen ggf. Daten umgezogen oder Datenträger entsorgt werden. Logisch, dass das sicher passieren muss. 

Schritt 10: Kontrollieren Sie die Einhaltung

Als Datenschutzbeauftragter sollen Sie auch die Einhaltung der Vorschriften zum Datenschutz kontrollieren. Integrieren Sie hier den Punkt „Kontrolle von Schatten-IT und Schatten- Software“.

Selbst wenn Sie nicht fündig werden, sollten Sie die Gelegenheit nutzen, um für die diesbezüglichen Gefahren zu sensibilisieren. 

Wie hat Ihnen dieser Artikel gefallen?

0
0
Andreas Würtz
103
0
125
Andreas Würtz ist Rechtsanwalt und widmet sich in erster Linie Fragen aus dem Datenschutz- und Arbeitsrecht. Er ist zertifizierter Datenschutzbeauftragter, Privacy Professional (CIPP/E, CIPM, FIP), ISO-27001-Lead-Auditor und Krisenkommunikationsmanager. Seit 2005 […]

Ausgaben

Ausgaben

Datenschutz aktuell professional

SEP II 2025

·

11.09.2025

Inhaltsverzeichnis

Inhaltsverzeichnis

Das ist das Problem Heben Sie die Hand 

Mehr interessante Beiträge