Zuletzt aktualisiert: Fr, 22. November 2019
Eine zentrale Frage beim Thema IT-Dokumentation ist: Welche gesetzlichen Anforderungen gibt es und was genau muss dokumentiert werden? Zunächst muss die Branche des jeweiligen Unternehmens betrachtet werden. So unterliegen beispielsweise Banken, Finanzdienstleister und Versicherungen den Mindestanforderungen an das Risikomanagement (MaRisk). Unternehmen, die im medizinischen Umfeld tätig sind, kennen eine ganze Reihe branchenspezifischer Verordnungen. Darüber hinaus gibt es allgemeine gesetzliche Anforderungen wie beispielsweise die Abgabenordnung und die Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS), aus denen sich auch Verpflichtungen für eine IT-Dokumentation ableiten lassen. Für bilanzierende Unternehmen wird außerdem aus den allgemeinen Bilanzierungserfordernissen heraus eine Bestandsdokumentation benötigt (so ist beispielsweise sowohl für Hard- als auch für Software ein Anlagenverzeichnis zu führen).
Zusammenfassend ergibt sich aus allen Gesetzen eine Verpflichtung, dass ein IT-Betriebs ordnungsgemäß und mit Fokus auf die Bereiche IT-Sicherheit, Verfügbarkeit und Datenschutz geführt wird. Zusätzlich definieren zahlreiche gesetzliche Anforderungen oder andere Verpflichtungen eine Notwendigkeit zu einer aktiv betriebenen Notfallvorsorge. Beispielsweise sind die Geschäftsleitungen größerer Kapitalgesellschaften durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) zu einem angemessenen Risikomanagement verpflichtet. Dieses wiederum erfordert auch, dass das Unternehmen ausreichend gegen Krisen und Notfälle vorgebeugt hat. Im Übrigen ist jede Unternehmensleitung u.a. durch das GmbH-Gesetz verpflichtet, Schaden vom Unternehmen abzuwenden. Dazu gehört dann eben auch ein angemessenes Notfallmanagement.
Nur mit IT-Dokumentation lassen sich Prozesse optimieren
Eine ausschließliche Betrachtung der gesetzlichen Notwendigkeiten birgt jedoch eine Gefahr: Die IT-Dokumentation wird oft auf das für das Audit notwendige Mindestmaß beschränkt und anschließend (bis zum nächsten Audit) abgeheftet und vergessen. Übersehen wird dabei, dass eine aktuelle und an den Prozessen ausgerichtete IT-Dokumentation einen Mehrwert darstellt und den IT-Betrieb wirksam unterstützt. Neue Mitarbeiter besser einzuarbeiten, ist dabei nur ein Aspekt.
In einer von Personalabbau, Effizienzsteigerung und Kosteneinsparung geprägten Zeit müssen auch IT-Abteilungen zunehmend ihre „Daseinsberechtigung“ unter Beweis stellen. Das heißt unter anderem, eine effektive und schlanke Organisation nachzuweisen. Serviceorientierung (und damit die Ausrichtung an den Bedürfnissen der Kunden) sowie Prozessorientierung stehen dabei im Mittelpunkt. Prozesse aber lassen sich nur optimieren, wenn sie dokumentiert sind. Andernfalls besteht das Risiko, dass jeder seine Aufgaben nach eigenem Gutdünken variiert und damit heute so und morgen so agiert. Den Nutzens eines Prozesses zu messen, wird so zumindest stark erschwert oder sogar verhindert.
Mehr als das Erfüllen gesetzlicher Vorgaben
Die Basis eines service- und prozessorientierten IT-Betriebs ist daher eine daran ausgerichtete IT-Dokumentation. Diese ist nicht nur für große Betriebe mit einer umfangreichen IT-Abteilung vonnöten. Gerade wenn der Administrator als „Einzelkämpfer“ fungiert und/oder externe Dienstleister für den IT-Betrieb verantwortlich sind, erweisen sich Unternehmen einen Bärendienst, wenn sie meinen, auf eine IT-Dokumentation verzichten zu können. In diesem Fall kann der Ausfall des einzigen Administrators oder des Dienstleisters existenzbedrohende Folgen für das Unternehmen haben. Es lohnt sich also durchaus, über die Frage „Was muss ich als Unternehmen gemäß gesetzlicher Vorgaben dokumentieren?“ hinauszugehen und stattdessen die IT-Dokumentation als Investment in das eigene Unternehmen zu betrachten.