Schatten-IT und DSGVO: Dezentral beschaffte Cloud-Services untergraben IT-Security in Unternehmen. Dadurch drohen empfindliche Bußgelder.
Unklare Datenhaltung: Ohne Wissen der IT gebuchte Cloud-Services können ernsthafte Probleme im Umgang mit der DSGVO verursachen.
(Bild: AXXCON)
Das Sicherheitsrisiko durch den Wildwuchs von Cloud-Services in den Unternehmen steigt dramatisch. Das zeigt eine aktuelle Studie der Unternehmensberatung AXXCON, für die rund 200 Geschäftsführer, CIOs, IT-Leiter und Sicherheitsbeauftragte aus Unternehmen mit mindestens 500 Mitarbeitern befragt wurden.
So geht über die Hälfte der befragten Führungskräfte davon aus, dass in ihrem Unternehmen neben den zentral eingekauften und administrierten Cloud-Services auch dezentral beschaffte Dienste eingesetzt werden - ohne das Wissen von IT-, Security- oder Einkaufsabteilung. Etwa 30 Prozent der IT-Verantwortlichen schätzen, dass es sich dabei um mehr als zehn verschiedene Anwendungen handelt. 45 Prozent der Befragten machen keine Angabe.
Unklare Datenhaltung: Ohne Wissen der IT gebuchte Cloud-Services können ernsthafte Probleme im Umgang mit der DSGVO verursachen.
(Bild: AXXCON)
„Die Schatten-Cloud, die sich auf diese Weise bildet, ist ein riesiges Problem für die IT-Sicherheit“, mahnt Torsten Beyer, Partner und IT-Experte bei AXXCON. Und noch dazu eines, das sich mit hoher Geschwindigkeit vergrößert. „Schnell sind Cloud-Lösungen mit der Kreditkarte im Netz gebucht und stehen dann auch umgehend zur Verfügung“, kennt Beyer die Verlockungen solcher Angebote für Datenübertragung, Datenbank- oder Speicherlösungen.
Das Problem jedoch: Da die IT-Abteilung nicht über den Einsatz informiert ist, kann sie auch nicht sicherstellen, dass die Governance-Regeln des Betriebes eingehalten werden, was zum Beispiel die Nutzungsbedingungen des Anbieters oder den Standort seiner Rechenzentren betrifft.
Bei über der Hälfte der Unternehmen keine klare Cloud-Regelung
Diese Sicherheitsbedrohung durch nicht genehmigte Cloud-Services wird auch von den befragten IT-Verantwortlichen gesehen - und zwar keinesfalls nur theoretisch: Relevante Sicherheitsvorfälle infolge dezentral beschaffter Cloud-Anwendungen werden aus 17 Prozent der befragten Unternehmen gemeldet, von ihnen wiederum gibt jedes fünfte mehr als 50 Sicherheitsvorfälle an. Abhilfe schaffen viele Unternehmen dennoch nicht. So ist zwar in 45 Prozent der Unternehmen die Nutzung von Cloud-Diensten in der Betriebsvereinbarung zwischen Unternehmensleitung und Arbeitnehmervertretung geregelt. 29 Prozent der Unternehmen haben jedoch gar keine Vereinbarung dazu. Bei 15 Prozent der Unternehmen bestehen Vereinbarungen zwischen anderen Parteien, elf Prozent machen hierzu keine Angabe.
„Insgesamt zeigen die Studienergebnisse, dass viele Führungskräfte ihr Unternehmen sehenden Auges einem großen IT-Risiko aussetzen“, warnt Beyer. Und das obwohl sich die negativen Auswirkungen ab dem 25. Mai 2018 deutlich erhöhen. Ab diesem Tag gilt europaweit die neue Datenschutz-Grundverordnung (DSGVO), die die Anforderungen an den Umgang mit personenbezogenen Daten, etwa von Kunden und Mitarbeitern, verschärft. Konkret bedeutet das unter anderem: Jeder Kunde oder Mitarbeiter kann nachfragen, welche seiner Daten erfasst sind und wo diese gespeichert werden. Beyer: „Befinden sich Kunden- oder Personaldaten in einer unüberschaubaren Fülle von Cloud-Services, kann das schwierig bis unmöglich werden. Hinzu kommt, dass die Daten an Orten gespeichert sein können, an denen sie nicht sein dürften.“
Bei Verletzung der DSGVO drohen Bußgelder in Millionenhöhe
Bleibt das Unternehmen dem Kunden jedoch eine Antwort schuldig oder gibt nur lückenhaft Auskunft, drohen Geldstrafen, die mit dem Inkrafttreten der neuen Verordnung empfindlich anziehen werden. Bestimmte Verstöße können dann mit einem Bußgeld in Höhe von vier Prozent des weltweiten Umsatzes eines Unternehmens bzw. 20 Millionen Euro geahndet werden - je nachdem welche Summe höher ist. Neben den Bußgeldern der Aufsichtsbehörden drohen Abmahnungen von Verbraucherschutz- und Wettbewerbsverbänden und wettbewerbsrechtliche Abmahnungen von Konkurrenten. Davon auszugehen ist auch, dass so genannte Abmahnanwälte ein gutes Geschäft wittern.
„Die Technik entwickelt sich schneller als die Unternehmen nachkommen. Oftmals hat im Unternehmen auch niemand explizit die Verantwortung dafür, neue Sicherheitsrisiken aufzuspüren und gegenzusteuern“, weiß Beyer, der ausdrücklich nur vor den nicht genehmigten Cloud-Services warnt. Schließlich können regulär eingesetzte Cloud-Services einem Unternehmen sehr gute Dienste leisten und die eigenen IT-Experten sinnvoll entlasten. Die in den befragten Betrieben offiziell am häufigsten genutzten Services sind laut der Studie die von Microsoft Office 365 (gesamte Suite: 31 Prozent) und SAP (29 Prozent). Mit einigem Abstand folgen Microsoft Office 365 (nur Mail: 15 Prozent) sowie SalesForce und Amazons Cloud Computing-Plattform AWS (jeweils 13 Prozent).
Kompendium „Compliance im Cloud Computing“
Das Thema Cloud-Compliance hat viele Facetten und mehrere Dimensionen – allen gemeinsam ist deren verpflichtende Einhaltung. Rechtliche und vertragliche Anforderungen, Regelwerke, Richtlinien & Standards sowie die Prüfung der Cloud-Compliance sind Themen dieser Ausgabe. (PDF | ET 16.05.2018)
Dieser Beitrag erschien ursprünglich bei unserer Schwester-Publikation Elektronik Praxis (verantwortlicher Redakteur: Michael Eckstein).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/c5/45/c54568adfee2a4c6ed992a94abebdb5e/0126992413v1.jpeg "Die souveräne Cloud ermöglicht es, sensible Daten rechtskonform und unter größerer Kontrolle des Kunden zu speichern und zu verarbeiten. (Bild: © Catsby_Art – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/13/3f/133f5ccfbd6ce74a4f52ca35ea85669f/0127552212v1.jpeg "Alle Gewinner der IT-Awards 2025 unserer Insider-Portale: ausgezeichnet mit Platin, Gold und Silber in jeweils sechs Kategorien – gewählt von unseren Leserinnen und Lesern. (Bild: Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/43/e4/43e42f37cc71f12e6ae46717e700644e/0126701619v1.jpeg "Wer sind die Gewinner unserer großen Leserwahl? CloudComputing-Insider verleiht heute die IT-Awards 2025 in sechs Kategorien. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/a7/08/a70864697c140742ad03eda65f774709/0129076511v2.jpeg "Nicht eindeutig definierbar: Der Begriff Neocloud beschreibt eine aufstrebende Cloud-Kategorie – wahlweise für KI-Workloads oder Cloud-Angebote mit speziellen Souveränitätsmerkmalen. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/7e/fa7e7df2fdbd8016ba198ac35232af27/0128893976v1.jpeg "Das neue ISC2-Zertifikat umfasst vier On-Demand-Kurse mit insgesamt rund elf Stunden Lernzeit. (Bild: ISC2)")
:quality(80)/p7i.vogel.de/wcms/6b/d3/6bd32a13eda7f318ca266225d31e14e0/0128724306v1.jpeg "Das Hasso-Plattner-Institut öffnet vom 19. bis 23. Januar 2026 seine Lehrveranstaltungen für alle, die sich für Informatik begeistern und den Studienalltag kennenlernen möchten. (Bild: Hasso-Plattner-Institut)")
:quality(80)/p7i.vogel.de/wcms/70/9b/709be687f62b0cd147a6812f83d6c65e/0129606780v1.jpeg "Srini Tallapragada, President und Chief Engineering & Customer Success Officer bei Salesforce: Mit dem Einsatz von Agenten erreiche man jetzt selbst Kunden, „die wir bislang nie erreicht hätten“. (Bild: Matzer - Salesforce)")
:quality(80)/p7i.vogel.de/wcms/0d/54/0d5442860c493748b1fa1c5ae888f139/0129642721v1.jpeg "Mit der SAP Engagement Cloud treibt SAP seine Enterprise Engagement Strategie voran. (Bild: SAP)")
:quality(80)/p7i.vogel.de/wcms/09/4b/094b3953dd0f0197771e88a2b3cd5dd7/0129558725v1.jpeg "Simplepeppol führt Nutzer in drei Schritten durch den Versandprozess: Rechnung hochladen, Zusammenfassung prüfen und Zahlung abschließen. (Bild: Compacer)")
:quality(80)/p7i.vogel.de/wcms/0d/a5/0da5fc1b31a8d82936997937bbac4a22/0129709267v1.jpeg "Der Einsatz KI-basierter Tools birgt erhebliche kartellrechtliche Risiken, die IT-Entscheider in Unternehmen unbedingt kennen sollten. (Bild: © phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b62738516a2d7206d185d8aac1efae/0128624921v1.jpeg "Nicht nur in Sachen Datenmanagement wird digitale Souveränität immer wichtiger. Auch bei den Herstellern von Soft- und Hardware achten Unternehmen zunehmend auf Souveränität oder greifen zu Open Source. (Bild: © Nazuro - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ec/93/ec93a0fc1662e9cac4c12fa92bf8ee1b/0129558709v1.jpeg "Zombie-Projekte werden scheinbar nie abgeschlossen, immer wieder angestoßen und verbrauchen Ressourcen, ohne Ergebnisse oder messbaren Nutzen zu liefern. (Bild: © Zuhaib – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4a/f8/4af8ea4871bb30c4c99a7cc4803571a1/0129713554v1.jpeg "Der Human-in-the-loop-Ansatz bindet Menschen gezielt in automatisierte KI/ML-Prozesse ein, um Daten zu annotieren, Entscheidungen zu überwachen und zu korrigieren. (Bild: © TyliJura - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/37/14/37140d299f8b19a13ffcb9c4d529cc8f/0129663534v1.jpeg "Das aktuelle Nextcloud-Release „Hub 26 Winter“ zeigt eine neue Core-Architektur: Die ADA-Engine reorganisiert Datenbank und Dateizugriff. (Bild: © A_Bruno - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/f4/41f4003f82b33cea9a08a2d861916819/0129819558v1.jpeg "Wirtschaftlicher Nutzen von KI entsteht nicht durch einzelne Experimente, sondern durch die konsequente Integration der Technologie in Kernprozesse. (Bild: © Puwasit Inyavileart - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/21/3e/213e048297e4b97a3975bb29a8d8c10b/0129529640v1.jpeg "Steuerersparnis im Homeoffice: Berufstätige können bestimmte Kosten über die Steuererklärung absetzen. (Bild: © supamotion - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7c/ec/7cec2bcd6f2ad5c0a87b9a5138ff5a3d/0129666790v2.jpeg "Auch in diesem Jahr wird es auf dem CloudFest volle Hallen geben. (Bild: by Rene Lamb Fotodesign)")
:quality(80)/p7i.vogel.de/wcms/da/47/da47da2368f309d3892c097244b5ffdd/0129699457v1.jpeg "Eine Multicloud-Umgebung basiert weniger auf technischen Einzelentscheidungen, sondern ist insgesamt als strategisches Betriebsmodell konzipiert. (Bild: © Tanvir - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/37/6b/376bc07290ed65f4911f5df951f326ea/0129821010v1.jpeg "Die Authentifizierung per Kennwort innerhalb Microsoft 365 bleibt erst einmal. (Bild: © everythingpossible - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/d2/18d2103d4738326ccba53fdb2b4fddab/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0d/f8/0df8ae42902423336d9c6b8e6323b3d7/0129665972v2.jpeg "Microsofts Agentic Workspace umfasst separate, abgeschlossene Windows-Sitzungen für KI-Agenten. Viele User empfindendie Entwicklung als unnötig und haben Sicherheitsbedenken. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/97/71/977140cc64b447d359459de61d399935/0126773400v1.jpeg "Externe Backup-Lösungen sind in der Cloud unerlässlich. (Bild: © nsit0108 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/a3/93a3680c0c2d6e3482cc2db87242a999/0128746850v1.jpeg "Dwinitys Blockchain-basierte Cloud zielt auf die vollständige Kontrolle über persönliche Daten ab. Fragmentierte, verschlüsselte Daten werden auf vielen unabhängigen Knoten gespeichert, ohne dass Dwinity oder externe Akteure Zugriff darauf haben. (Bild: © CreativeIMGIdeas - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/a8/41a80b82de1ca5fcade17371f7235e55/0128874597v1.jpeg "Mit dem R-Cloud Marketplace reagiert Hycu auf den Trend zu stark fragmentierten SaaS- und Cloud-Landschaften mit oft uneinheitlicher Datensicherung. (Bild: HYCU)")
:quality(80)/p7i.vogel.de/wcms/9a/29/9a29efcf7c1b664aafddddd07f7b0ef6/0127640958v1.jpeg "Mit ProjectSend behalten Unternehmen die volle Kontrolle über Daten, Zugriffe und Integrität. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/aa/d9/aad9aca6a6aeba32e784d3c0175f5e14/0129941803v1.jpeg "Das Google AI Center in Berlin soll eine Plattform sein, um KI-Forschende und -Entwickler zusammenzubringen. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/16/c8/16c8e198530f2a28206650f8fc3ab369/0129583392v1.jpeg "Unternehmen, die in souveräne KI-Infrastrukturen investieren, schaffen die Voraussetzungen für Kontrolle und Verlässlichkeit im KI-Einsatz. (Bild: © Borin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9f/05/9f055e986816adb29696516d2469266e/0129568315v1.jpeg "Die aktuelle Parallels-Studie zeigt ein tiefgreifendes Umdenken in der Cloud-Strategie deutscher Unternehmen, die zunehmend Flexibilität und strategische Weitsicht priorisieren, während sie traditionelle Anbieterabhängigkeiten hinterfragen. (Bild: frei lizenziert Gerd Altmann)")
:fill(fff,0)/p7i.vogel.de/companies/68/6c/686cc778b54e4/flexera-no-tagline-rgb-full-color.png "flexera-no-tagline-rgb-full-color (Flexera Software GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/65/a4/65a4b6173962d/cloudgrmany-logo.png "cloudgrmany-logo (cloudgermany.de GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f5d0545dbe/yorizon-logo-schwarz.png "yorizon-logo-schwarz (Yorizon)"){kind=logo}
:quality(80)/images.vogel.de/vogelonline/bdb/1394100/1394185/original.jpg "SaaS und die DSGVO können eine explosive Mischung ergeben. (Pixabay)")
:quality(80)/images.vogel.de/vogelonline/bdb/1343500/1343598/original.jpg "DSGVO: Vor der Umsetzung steht die Übersicht. (© SBphotos - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/08/a70864697c140742ad03eda65f774709/0129076511v2.jpeg "Nicht eindeutig definierbar: Der Begriff Neocloud beschreibt eine aufstrebende Cloud-Kategorie – wahlweise für KI-Workloads oder Cloud-Angebote mit speziellen Souveränitätsmerkmalen. (Bild: © ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/37/92/3792620791c80163821999b8e694d575/0124714411v2.jpeg "The Sovereign European Cloud API (SECA) ist eine Initiative der Unternehmen Aruba, Ionos und Dynamo, die in Zusammenhang mit EuroStack steht. Ziel ist ein offener Standard für das Management von Cloud-Infrastrukturen. (Bild: Zay Win Htai - stock.adobe.com / KI-generiert)")