Dienstag, 10. Januar 2017

Datenschutz auch bei Pokémon Go!

Die mobile App Pokémon Go hat für viele Menschen einen regelrechten Suchtfaktor. Und das keineswegs nur für Jugendliche – auch viele Erwachsene sind dem Spiel geradezu verfallen. Dabei darf der Datenschutz freilich ebenso wenig aus dem Blick geraten wie der Schutz von Unternehmensgeheimnissen. Noch im Dezember kommt übrigens ein von den Fans sehnsüchtig erwartetes Mega-Update. Allzu schnell kann es besonderen Leichtsinn auslösen.


Pokéstops, Arenen und Monster


In seiner Freizeit kann natürlich jeder tun, was er will – beispielsweise so viele Spiele-Monster erfolgreich jagen, dass er den nächsten Level von Pokémon erreicht. Aber was ist, wenn gerade auf dem Grundstück des eigenen Arbeitgebers wunderschöne Pokéstops zu finden sind? Wenn man also gerade dort die besten Monster einfangen kann?
Die Spielkundigen verstehen sofort, was mit diesen Dingen gemeint ist. Sie ziehen sich in eine Arena zurück, um ein paar Monster zu besiegen. Ihre Kollegen wiederum wundern sich, wie ganz normale Menschen der Faszination von Dingen erliegen, die für die anderen um sie herum gar nicht sichtbar sind.

Pokémon Go, Datenschutz, yourIT
Pokémon Go, Datenschutz, yourIT

Arbeitszeit ist keine Spielzeit! 


Klar ist, dass Spielen während der Arbeitszeit schon deshalb Fragen aufwirft, weil dann gerade nicht gearbeitet wird. Das ist zwar kein Thema des Datenschutzes, sondern des Arbeitsrechts. Freilich: Mehr Schaden als eine Zigarettenpause, die zu Unrecht nicht als Arbeitspause registriert wird, richtet das kurze Einfangen eines virtuellen Monsters während der Arbeitszeit auch nicht an, oder?

Bilder von Monstern und anderen Dingen 


Das kommt darauf an. Vielfach ist es üblich, eben eingefangene Monster zu fotografieren und das Foto an Freunde zu schicken. Blöd nur, wenn da noch andere Dinge auf dem Bild sind, etwa Konstruktionen, die nicht fotografiert werden dürfen. Wer weiß, wo ein solches Foto landet, und wer weiß, ob jeden Empfänger des Fotos wirklich nur die Monster interessieren.

Harmlose und andere Apps


Vielfach untersagen Unternehmen aus gutem Grund, Apps für private Zwecke auf dienstlichen Smartphones oder Tablets zu installieren. Ein solches Verbot gilt dann auch für die Pokémon-App. Das Argument, sie sei harmlos und könne keinen Schaden anrichten, kann daran nichts ändern. Erstens kommt es auf diesen Gesichtspunkt nicht an. Zweitens stellt sich die Frage, ob er zutrifft. Schon ein kurzer Blick in die Nutzungsbedingungen der App zeigt, dass sich der App-Anbieter das Recht einräumen lässt, unter bestimmten Bedingungen Daten an Dritte weiterzugeben. Was daraus im Einzelfall entstehen könnte, vermag niemand sicher abzuschätzen.

Selbstverständliche Spielregeln 


Ein völliges No-Go ist es vor diesem Hintergrund, berufliche Mail-Adressen bei dem Spiel zu benutzen. Wer spielen will, sollte das bitte nur auf seinem privaten Gerät tun und dabei nur eine private Mail-Adresse verwenden. Und die rechte Zeit für das Spiel ist die Freizeit, nicht die Arbeitszeit. Wer diese Punkte beachtet, kann sein Spiel genießen und sich beim Monster-Kampf bestens erholen.

Freitag, 9. Dezember 2016

Websites ohne Datenschutzerklärung holt das Abmahn-Monster

Das OLG Hamburg hat bereits am 27.06.2013 entschieden, dass fehlende Datenschutzerklärungen auf Websites abgemahnt werden können. Betroffen sind nicht nur die Webshop-Betreiber sondern wirklich ALLE Website-Betreiber. Dass immer noch viele Websites keine Datenschutzerklärung beinhalten zeigt leider, dass diese wichtige Information noch nicht bis zu deren Betreibern durchgedrungen ist.


Wer kann heute noch von sich behaupten, dass er den vollen Überblick hat über das geltende Internetrecht? Eine Hand voll Urteile sticht aus der immer komplexer werdenden Informationsdichte hervor, die nicht nur wenige sondern viele oder sogar jeden betreffen. Dazu gehört sicherlich das Urteil des OLG Hamburg vom 27.06.2013 Az. 3 U 26/12, nach dem fehlende Datenschutzerklärungen abmahnfähig sind.

Website ohne Datenschutzerklärung? Das Abmahn-Monster lauert schon!
Website ohne Datenschutzerklärung? Das Abmahn-Monster lauert schon!

Eine Datenschutzerklärung ist Pflicht


Während die Impressums-Pflicht nach § 5 TMG heute fasst Jedermann ein Begriff ist, wissen deutlich weniger Menschen, dass nahezu alle Webseiten zusätzlich eine rechtskonforme Datenschutzerklärung im Sinne von § 13 TMG enthalten müssen.

Hierzu ein Auszug aus dem TMG:


§ 13 Pflichten des Diensteanbieters

(1) Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein."

Intertessant: Datenschutzverstöße waren bislang nicht abmahnbar


Für die bisherige Nichtbeachtung der Datenschutzerklärungs-Pflicht gibt es einen Grund: Verstöße gegen § 13 TMG wegen fehlender Datenschutzerklärungen wurden bis zu diesem Urteil nicht als abmahnbare Wettbewerbsverletzungen eingeordnet. Verantwortlich dafür war, dass die Rechtsprechung bis 2013 einen Wettbewerbsbezug von § 13 TMG ablehnte. Es konnte also nicht nach UWG abgemahnt werden. Dadurch verkam die Pflicht zur Einbindung einer Datenschutzerklärung zum berühmten "zahnlosen Papiertiger".

Achtung: Fehlende, fehlerhafte und unvollständige Datenschutzerklärungen sind jetzt abmahnfähig


Das OLG Hamburg (Urteil vom 27.06.2013, Az. 3 U 26/12) urteilte, dass § 13 Abs. 1 TMG sehr wohl eine Marktverhaltensregel darstellt. Dies hat zur Folge, dass fehlende oder fehlerhafte Datenschutzerklärungen nun einen abmahnfähigen Wettbewerbsverstoß darstellen..

Hier der maßgebliche Teil der Urteilsbegründung zu § 13 TMG:


„Bei dieser Norm handelt es sich nach Auffassung des Senats um eine im Sinne des § 4 Nr. 11 UWG das Marktverhalten regelnde Norm (a.A. KG GRUR-RR 2012, 19). Diese Vorschrift setzt u.a. Art. 10 der Datenschutzrichtlinie 95/46/EG um, die nicht nur datenbezogene Grundrechte gewährleisten (Erwägungsgrund 1), sondern auch den grenzüberschreitenden Verkehr personenbezogener Daten auf ein einheitliches Schutzniveau heben soll (Erwägungsgründe 6 und 7), weil ein unterschiedliches Schutzniveau ein Hemmnis für die Ausübung von Wirtschaftstätigkeiten auf Gemeinschaftsebene darstellen und den Wettbewerb verfälschen könne (Erwägungsgrund 7 Satz 2). Die Regelungen der Richtlinie dienen deshalb auch der Beseitigung solcher Hemmnisse, um einen grenzüberschreitenden Fluss personenbezogener Daten kohärent in allen Mitgliedsstaaten und in Übereinstimmung mit dem Ziel des Binnenmarktes zu regeln (Erwägungsgrund 8). Entgegen der Auffassung des Kammergerichts (a.a.O.) handelt es sich deshalb bei dem Verstoß gegen § 13 TMG nicht nur um die Missachtung einer allein überindividuelle Belange des freien Wettbewerbs regelnden Vorschrift. Denn § 13 TMG soll ausweislich der genannten Erwägungsgründe der Datenschutzrichtlinie jedenfalls auch die wettbewerbliche Entfaltung des Mitbewerbers schützen, indem gleiche Wettbewerbsbedingungen geschaffen werden. Die Vorschrift dient mithin auch dem Schutz der Interessen der Mitbewerber und ist damit eine Regelung i.S. des § 4 Nr. 11 UWG, die dazu bestimmt ist, das Marktverhalten im Interesse der Marktteilnehmer zu regeln (vgl. Köhler in: Köhler/Bornkamm, UWG, 29. Aufl., Rn 11.35c zu § 4 UWG). Angesichts der vorgenannten, der Datenschutzrichtlinie zugrundeliegenden Erwägungen ist darüber hinaus anzunehmen, dass die Aufklärungspflichten auch dem Schutz der Verbraucherinteressen bei der Marktteilnahme, also beim Abschluss von Austauschverträgen über Waren und Dienstleistungen, dienen, indem sie den Verbraucher über die Datenverwendung aufklären und dadurch seine Entscheidungs- und Verhaltensfreiheit beeinflussen (vgl. auch Köhler, a.a.O., Rn. 11.35d).“

Urteil 2015 bestätigt: Das Landgericht Köln teilt die Auffassung des OLG Hamburg


Das Landgericht Köln sieht im Fehlen einer Datenschutzerklärung ebenfalls einen abmahnfähigen Wettbewerbsverstoß (LG Köln, Beschluss vom 26.11.2015, Az. 33 O 230/15).

Das gilt nicht nur für Webshops. ALLE Webseiten-Betreiber sind betroffen!


Wer jetzt glaubt, er wäre nicht betroffen, da er keinen Webshop betreibt, liegt leider daneben. Wer eine Webseite betreibt auf der personenbezogene Daten verarbeitet werden, der muss dort über eine sofort auffindbare richtige und vollständige Datenschutzerklärung verfügen. Eine fehlende, falsche oder unvollständige Datenschutzerklärung kann somit ab sofort und wird vermutlich früher oder später abgemahnt werden.

Neu seit 2016: Abmahnungen auch durch Verbraucherschutz- und Wettbewerbsverbände


Im Februar 2016 ist das Gesetz zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft getreten. Dadurch muss jetzt nicht mehr der Betroffene selbst aktiv werden, sondern jetzt können also auch Verbraucherschutz- und Wettbewerbsverbände Verstöße im Datenschutz abmahnen - auch fehlende, falsche oder unvollständige Datenschutzerklärungen. Wenn sich das erstmal herumgesprochen hat, ist mit einer regelrechten Abmahnwelle zu rechnen.

Soweit muss es nicht kommen: Handlungsempfehlungen von yourIT


Abmahnungen sind ärgerlich - vor allem, wenn man diese hätte vermeiden können. Was ist zu tun? Wenn Sie Betreiber einer Website oder Internetpräsenz sind, sollten Sie sich schnellstmöglich vergewissern, ob Ihr Webauftritt über eine rechtskonforme, vollständige und fehlerfreie Datenschutzerklärung verfügt. Diese sollte den tatsächlichen Umgang mit personenbezogenen Daten beschreiben. Außerdem muss die Datenschutzerklärung über

Wenn Sie keine Datenschutzerklärung auffinden können, besteht dringender Handlungsbedarf. Dann besteht jederzeit das Risiko, dass Mitbewerber und Verbände Sie auf Unterlassung und Erstattung von Abmahnkosten in Anspruch nehmen.

Wenn Sie eine Datenschutzerklärung auf Ihrer Internetpräsenz finden, sollten Sie prüfen, ob diese vollständig und rechtskonform ist. Um eine auf ihr Angebot passende Datenschutzerklärungen zu erstellen, können Sie auch einen Generator verwenden, z.B. den kostenlosen Generator des Kollegen Thomas Schwenke.

Finger weg von kostenlosen Datenschutzerklärungs-Generatoren


Im Internet finden sich zahlreiche kostenlose Muster-Datenschutzerklärungen und auch sogenannte Generatoren für Datenschutzerklärungen. Die Aufsichtsbehörden stehen „Instant-Datenschutzerklärungen“ aus dem Editor eher skeptisch gegenüber. Zumindest Unternehmer sollten das Gespräch mit einem Datenschutz-Berater dem kostenlosen Muster vorziehen.

Marketing mit Datenschutz nicht vergessen


Ja, Datenschutz kann auch für Marketing und Werbung genutzt werden. So lange Ihr Mitbewerb in Sachen Datenschutz noch schläft, sollten Sie Ihr Engagement in Sachen Datenschutz als Marketinginstrument einsetzen. Wie das funktioniert und auf was Sie achten sollten, erklären Ihnen gerne die Datenschutz-Berater der yourIT in einem ersten kostenlosen Gespräch.

Sie möchten wissen, wie wir das bei anderen Kunden bereits gewinnbringend umgesetzt haben? Dann fordern Sie unser Whitepaper an. Schreiben Sie uns dazu eine E-Mail mit dem Betreff Datenschutzerklärung an info@yourIT.de.

Donnerstag, 8. Dezember 2016

Nachgedacht: Weshalb für yourIT-Kunden "Privacy by Design" ein alter Hut ist

Als erfahrener Datenschutz-Berater halte ich derzeit Vorträge bei der IHK, vor internen Datenschutzbeauftragten, etc. zum Thema EU-Datenschutzgrundverordnung (EU-DSGVO). Eine der dabei am heißesten diskutierten Neuerungen ist das Thema "Privacy by Design".


Im Prinzip soll ein IP-Geräte-Hersteller durch die Einhaltung der 7 Grundprinzipien
1. proaktiv statt reaktiv
2. "Privacy by Design"
3. Einbettung ins Design
4. Volle Funktionalität und Datensicherheit
5. Betrachtung des gesamten Lebenszyklus
6. Sichtbarkeit und Transparenz
7. Anwenderorientierte Gestaltung
Datenschutz & Informationssicherheit seiner Produkte fördern.


Aber was ist daran neu? Einer unserer Kunden hat dieses Thema bereits 2010 aufgreifen müssen, als einer seiner größten Kunden die eingestetzen Produkte durch eine Schwachstellenanalyse als extrem risikoreich weil schwachstellenbelastet identifiziert hat.

Das selbe Ergebnis erzielen derzeit Tests im Bereich Industrie 4.0 oder Internet of Things (IoT). Auch hier wird in Schwachstellenscans auf bereits ausgelieferte produkte festgestellt, dass diese so voller Schwachstellen sind, dass diese hätten so nie in den Verkauf gelangen. Die IP-Geräte werden vom Hersteller weiterhin als Kühlschrank, Drucker oder Waage betrachtet und nicht als das was Sie eigentlich sind: Potentielle Einfallstore für Hackerangriffe.

Welche Auswirkung diese Risiko-Ignoranz hat durften wir erst neulich am 27.11.2016 beim großen Hacker-Angriff auf die Telekom erlebt. Dort wurden mal schnell 900.000 IP-Geräte - in diesem Fall Speedport-Router - lahmgelegt, die eine bestimmte Schwachstelle aufwiesen. Privacy by Design ist bisher nicht annähernd der Standard.

Klar: Wenn wir bei einem Kunden draußen z.B. im Rahmen eines IT-Security-Audits eine Schwachstellenanalyse durchführen, dann klammern wir Drucker und

Unser Kunde hat damals äußerst professionell gehandelt und zielstrebig nach einer Schwachstellen-Testumgebung gesucht. Dabei ist er auf das auf IT-Sicherheits-Lösungen spezialisierte und mittlerweile ISO-27001-zertifiziertes IT-Systemhaus yourIT GmbH  gestoßen. Wir haben bei unserem Kunden diese Schwachstellen-Testumgebung aufgebaut mit der unser Kunde . Seither verlässt kein IP-Gerät mehr ungeprüft und ungepatcht das Werk. Die Käufer erhalten auf Wunsch einen Auszug aus dem Scan-Protokoll.

Weshalb ich das hier schreibe: Falls es da draußen den einen oder anderen IP-Geräte-Hersteller gibt, der für günstiges Geld eine Schwachstellen-Testumgebung für seine künftigen Privacy-by-Design-Produkte haben sollte: Wir haben die "Privacy-by-Design-Schwachstellen-Testumgebung" bei unserem Kunden seit fast 5 Jahren erfolgreich im Einsatz. Wir würden uns zutrauen, so etwas kurzfristig auch in Ihrem Unternehmen aufzubauen. Fragen Sie uns einfach an. Wir freuen uns, wenn wir Ihnen beim Erreichen der Vorgaben der EU-DSGVO mit unserer Lösung weiter helfen können.

Insofern: Gute Besserung - mit "Privacy by Design"!

Jeder Dritte sucht während der Arbeitszeit einen neuen Job - Ist das erlaubt?

Während der Arbeitszeit privat surfen - das hat wohl jeder von uns schon einmal gemacht: Dies gilt vielen – insbesondere den Arbeitnehmern – als eine Art Kavaliersdelikt.
Doch Vorsicht, Sie vergeuden damit Arbeitszeit, die ihr Chef bezahlt. Dem würde es sicher nicht gefallen, wenn er wüsste, was seine Leute online so treiben: Laut einer aktuellen Umfrage des Onlinejobportals Monster unter 2000 Angestellten, verbringen 16 Prozent mehr als fünf Arbeitsstunden pro Woche mit der Suche nach einer neuen Arbeitsstelle im Netz.
Dabei lässt sich der Aufwand und die Gefahr dabei erwischt zu werden ganz einfach vermeiden:
Bewerben Sie sich jetzt einfach bei yourIT. Dann hat die riskante Suche ein für alle Mal ein Ende!
Stellenanzeige yourIT Systemadministrator / Consultant Datenschutz & Informationssicherheit
Stellenanzeige yourIT Systemadministrator / Consultant Datenschutz & Informationssicherheit

Samstag, 12. November 2016

15 simple Datenschutz-Regeln, die jeder Arbeitnehmer an seinem Büro-Arbeitsplatz beachten sollte

Personenbezogene und/oder vertrauliche Daten werden heutzutage überall im Unternehmen verarbeitet. Ein Mindestmaß an Sicherheit ist deshalb an allen Stellen gefordert. Hier 15 einfache Datenschutz & Informationssicherheits-Grundregeln, die Sie als Mitarbeiter mindestens beachten sollten:


15 simple Datenschutz-Regeln für 90% Sicherheit an Ihrem Arbeitsplatz
15 simple Datenschutz-Regeln für 90% Sicherheit an Ihrem Arbeitsplatz

  1. Auch beim kurzfristigen Verlassen Ihres Büros den PC sperren (Sperren geht auf Windows Rechnern am schnellsten mit der Tastenkombination “Windows” + “L” für “Lock” oder mit Ctrl-Alt-Entf danach Enter.);
  2. Wenn möglich Ihr Büro verschließen und die Schlüssel zum Büro, Schreibtisch usw. sicher verwahren. Ihre Schlüssel nicht mit Aufschriften oder Anhängern kennzeichnen, aus denen hervorgeht, zu welchem Schloss sie passen (Nutzen Sie stattdessen farbliche Markierungen, die Ihnen helfen, mehrere Schlüssel schnell richtig zuzuordnen, die im Verlustfall für Dritte jedoch keinen Informationswert besitzen.);
  3. Stellen Sie sicher, dass sich Besucherinnen und Besucher nur in Ihrem oder im Beisein anderer Mitarbeiters im Büro aufhalten; achten Sie darauf, dass Besucher/innen keine personenbezogenen und/oder vertraulichen Daten zur Kenntnis nehmen können;
  4. Keine Papier-Fehlkopien oder Fehldrucke mit personenbezogenem und/oder vertraulichem Inhalt in den Papierkorb entsorgen; Stattdessen Unterlagen mit personenbezogenen Daten, die nicht mehr benötigt werden, vom übrigen Papierabfall getrennt in Ihrem Büro sammeln und alsbald vernichten (Schredder bzw. Aktenvernichtung – dabei sind die Aufbewahrungsfristen zu beachten);
  5. Ihr Passwort sorgfältig auswählen, geheim halten und nicht aufschreiben;
  6. Darauf achten, dass der Bildschirm so ausgerichtet ist, dass kein Unbefugter/Besucher die Daten auf dem Bildschirm lesen kann (Fenster oder Tür).
  7. Nur die personenbezogenen und/oder vertraulichen Daten verarbeiten, die Sie für Ihr Aufgabengebiet benötigen und möglichst keine personenbezogenen Daten auf der Festplatte Ihres PCs speichern (dafür sind die Netzlaufwerke bzw. falls vorhanden das Dokumentenmanagementsystem vorgesehen;
  8. Regelmäßig prüfen, welche Daten Sie nicht mehr benötigen und diese dann löschen – dabei sind die Aufbewahrungsfristen zu beachten;
  9. Personenbezogene und/oder vertrauliche Daten nur dann auf Datenträger (CD-ROM/DVD, USB-Sticks etc.) oder Cloud-Laufwerke kopieren, wenn dies unumgänglich ist und Verschlüsselung einsetzen; Datenträger und Papier-Unterlagen mit vertraulichem oder personenbezogenem Inhalt bei Abwesenheit unter Verschluss halten (Schrank, Schreibtisch);
  10. “alte” oder defekte Datenträger (Festplatten, USB-Sticks usw.) nicht einfach wegwerfen, sondern sie beim Administrator zur zentralen Vernichtung abgeben;
  11. Denken Sie auch darüber nach, ob Sie Festplatten (z.B. im Wartungsfall) aus der Hand geben dürfen;
  12. Keine Privatnutzung von E-Mail, Internet, Telefon, etc. Private Software oder private Datenträger haben im Büro-Netzwerk nichts zu suchen; das Gleiche gilt für unbekannte zusätzliche Rechner (mobile oder stationäre);
  13. Auf mobilen PC, Festplatten verschlüsseln;
  14. Personenbezogene und/oder vertrauliche Daten niemals unverschlüsselt per E-Mail versenden.
  15. Zum Schutz vor Viren und Erpressungstrojanern immer erst denken und dann klicken; eine kostenlose Mitarbeiter-Checkliste "So schütze ich unsere IT vor Viren und Trojanern finden Sie hier zum Download.



Unglaublich, aber allein durch die Einhaltung dieser 15 simplen Datenschutz &Informationssicherheits-Regeln erhöhen Sie die Sicherheit Ihres Arbeitsplatzes auf 90%.

Freitag, 11. November 2016

Datenschutz ist doch kein zahnloser Papiertiger - WhatsApp stoppt Datenweitergabe an Facebook

Ende August 2016 hatte WhatsApp angekündigt, künftig Nutzerdaten an die Konzernmutter Facebook weiter zu geben. Wir berichteten auf diesem Blog.




Die massive Kritik von Seiten der Datenschützer an diesem Vorhaben zeigt nun Wirkung: Daten von europäischen WhatsApp-Nutzern werden nicht an Facebook weitergegeben - vorerst zumindest.

Der vorläufige Stopp solle den Datenschützern die Möglichkeit geben, ihre Sorgen vorzubringen. Danach will Facebook diese abwägen, erklärte das weltgrößte Online-Netzwerk am Mittwoch.

Für langjährige Kämpfer für den Datenschutz ist schon dieses Einlenken von Facebook ein kleiner Erfolg. Immerhin ist es noch nicht lange her, da hätte Facebook sich keinen Deut um die Sorgen der Datenschützer geschert. Der deutsche Datenschutz ist wohl dovh mehr als ein zahnloser Papiertiger. Und auch die EU-Datenschutzgrundverordnung EU-DSGVO wird den rücksichtslosen Datenkraken ihre Krallen spüren lassen.

Dafür werden wir schon sorgen.

Einladung zum Vortrag bei der IHK Reutlingen


Vortrag zur EU-Datenschutzgrundverordnung #DSGVO am Dienstag 15.11.2016 ab 13:30 Uhr


Gemeinsam mit der IT-Rechtsanwältin Dr. Anke Thiedemann referiert Thomas Ströbele, Geschäftsführer der yourIT und Berater für Datenschutz und Informationssicherheit zu den Neuerungen der EU-DSGVO und zur praktischen Umsetzung in mittelständischen Unternehmen.

Dienstag 15.11.2016 ab 13:30 Uhr bei der IHK in Reutlingen



Das sollten Sie nicht verpassen!

Dienstag, 4. Oktober 2016

Licht in die Schatten-IT: Warum Absprachen mit der IT wichtig sind

Wenn Sie selbst die Software auswählen und installieren, die Sie brauchen, ist das keine Unterstützung für die IT-Administration, sondern eine Gefahr für vertrauliche Daten.


Wenn die richtige Software fehlt


Dank der IT wird vieles einfacher, so heißt es jedenfalls. Doch nicht immer passt die verfügbare Software oder Hardware zu den aktuellen Aufgaben. Mitunter scheint sich die vorhandene IT überhaupt nicht für die täglichen Aufgaben im Büro zu eignen. Vielleicht ist es Ihnen auch schon so gegangen, dass Sie am liebsten eine andere IT-Lösung gehabt hätten.

yourIT - Wir bringen Licht in Ihre Schatten-IT
yourIT - Wir bringen Licht in Ihre Schatten-IT


Einige Anwender melden ihre IT-Probleme bei den IT-Administratoren, andere sprechen ihre Vorgesetzte oder ihren Vorgesetzten an. So mancher Nutzer wird selbst aktiv, sucht sich einfach im Internet die passende Lösung und setzt sie im Unternehmen ein.

Was wie eine gute Idee und Unterstützung für die IT-Abteilung aussieht, ist sehr riskant. Kaum etwas fürchten IT-Administratoren mehr als den eigenmächtigen Anwender. Die IT, die Nutzer selbst installieren, wird auch Schatten-IT genannt – aus gutem Grund.

Im Schatten lauern Gefahren


Die Schatten-IT ist die IT, die die Administratoren nicht so einfach oder gar nicht sehen können. Anders gesagt, es ist die IT, von der die IT-Abteilung nichts weiß und um die sie sich deshalb nicht kümmern kann. Wenn Sie jetzt denken „Macht ja nichts, ich kümmere mich selbst um die Lösungen, die ich zusätzlich brauche oder besser gebrauchen kann“, übersehen Sie, dass die IT-Sicherheit nicht jede Form von IT im Unternehmen schützt.

Damit zum Beispiel eine Software automatisch aktualisiert wird, muss sie zum einen entsprechend eingestellt werden. Sie muss in der Patch-Verwaltung vorgesehen sein, und das Herunterladen der Patches oder Fehlerbehebungen muss an der Firewall des Unternehmens erlaubt werden, um nur einige Schritte zu nennen, die Administratoren machen. Nicht zuletzt müssen sie die Patches auf Schadsoftware prüfen.

Installiert der Anwender seine Tools selbst, kann es passieren, dass die Antiviren-Software des Unternehmens sie nicht überprüft – mit massiven Folgen für Datensicherheit und Datenschutz.

Die Schatten-IT beginnt bereits bei einzelnen Apps


Die Schatten-IT beginnt nicht erst dann, wenn ein Mitarbeiter Online- oder Cloud-Dienste im Internet nutzt, die nicht betrieblich frei-gegeben sind. Es geht auch nicht nur um die Office-Lösung, die man auf dem betrieblich genutzten Notebook nachinstalliert, weil man diese oder jene Anwendung bevorzugt.

Bereits eine einzelne, kleine Smartphone-App ist Schatten-IT, wenn sie auf einem betrieblich genutzten Smartphone installiert wird, selbst wenn das mobile Endgerät dem Nutzer gehört, er es aber für das Unternehmen einsetzt.

Ist die eigenmächtig installierte App verseucht oder spioniert sie Daten aus, können schnell Firmendaten oder personenbezogenen Daten in falsche Hände gelangen. Betriebliche IT-Sicherheitslösungen werden das oftmals nicht verhindern können. Denn sie kontrollieren nicht ohne weiteres Apps, die der Nutzer in Eigenregie installiert.

Sprechen Sie sich mit der IT ab!


Denken Sie deshalb daran: Brauchen Sie andere IT-Lösungen oder kennen Sie Lösungen, die besser für Ihre Aufgaben geeignet erscheinen, dann sprechen Sie mit der Person, die Ihnen Ihre IT-Ausstattung übergeben hat, mit der IT-Administration oder mit Ihrer Führungskraft.

Alleingänge sind gefährlich (und können sogar arbeitsrechtliche Konsequenzen haben). Im Schatten können Gefahren lauern, die man übersieht. Das gilt auch für die Schatten-IT.

Welche Risiken bringt die Schatten-IT mit sich?


Frage: Die IT-Sicherheitslösungen Ihres Unternehmens schützen die gesamte IT. Stimmt das?


  • a. Ja, natürlich, sonst hätte die IT-Abteilung etwas falsch gemacht.
  • b. Nein. Es kann sein, dass die IT, die die Nutzer ohne Beteiligung der IT-Abteilung einsetzen, ungeschützt bleibt. 

Lösung: Die Antwort b. ist richtig. Die sogenannte Schatten-IT ist der IT-Abteilung nicht bekannt. Deshalb kann sie sie im IT-Sicherheitskonzept auch nicht berücksichtigen. Von einem automatischen Schutz kann man nicht ausgehen.

Frage: Nutze ich eine Cloud-Lösung aus dem Internet, besteht keine Gefahr für die interne IT. Deshalb sind keine Freigaben für Cloud-Lösungen nötig. Stim-men Sie zu?


  • a. Für die IT-Sicherheit stimmt das. Denn Gefahren in einer Cloud sind ja nicht im betrieblichen Netzwerk vorhanden.
  • b. Nein. Denn jede IT-Nutzung kann zum Risiko werden, wenn die IT-Sicherheit nicht stimmt, auch bei Cloud-Lösungen.

Lösung: Die Antwort b. ist erneut richtig, denn Cloud-Lösungen sind als Teil der IT zu sehen. Gefahren aus der Cloud bedrohen die Daten des Unternehmens und können auch das interne Netzwerk betreffen. Ganz gleich, um welche IT es geht, ob Smartphone, App, Cloud oder etwas anderes, ohne Freigabe darf IT nicht eingesetzt werden.

Eigenmächtig installierte oder genutzte IT gehört zur Schatten-IT, die das Datensicherheitskonzept des Unternehmens nicht ohne Weiteres berücksichtigt. Deshalb bedroht Schatten-IT den Datenschutz und die Informationssicherheit im Unternehmen.