Menu
IT-Dokumentation - Der Blog

IT-Dokumentation aus Datenschutzsicht

Di, 2. Februar 2016

Das Thema Datenschutz ist in vielen Unternehmen allgegenwärtig. Auch bei der Erstellung einer IT-Dokumentation unter Einsatz einer Dokumentationssoftware wie Docusnap kommt immer wieder die Frage auf, ob sich der Einsatz einer solchen Software mit dem Datenschutz vereinbaren lässt. Dazu möchte ich hier all denen eine Orientierungshilfe geben, die sich mit dieser Fragestellung konfrontiert sehen.

Prinzipiell sind Unternehmen dazu angehalten, einen ordentlichen IT-Betrieb zu gewährleisten. Dazu gehört unter anderem auch die Dokumentation der eingesetzten Hard- und Software. Dies ist beispielsweise in den neuen „Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ GoBD gefordert, welche dieses Jahr veröffentlicht wurden. Daneben existieren viele weitere Gesetze und Checklisten für Prüfaudits, in denen die Existenz und Pflege einer aktuellen IT-Dokumentation gefordert wird. Für die Erstellung dieser Dokumentation hat die IT-Abteilung prinzipiell zwei Möglichkeiten. Entweder alle Informationen selbst zusammenzutragen und die IT-Dokumentation händisch mit einer Textverarbeitung zu erstellen. Konsequenterweise muss dann natürlich auch die laufende Aktualisierung der Dokumentation händisch erfolgen. Dies stellt, ebenso wie die Ersterstellung, einen recht hohen Bedarf an personellen und zeitlichen Ressourcen voraus. Eleganter ist es, die Erstellung und die fortlaufende Pflege seiner IT-Dokumentation mittels Einsatz einer Software zu gewährleisten. Die Ersterfassung kann dabei relativ schnell durchgeführt werden, der Ausbau auf eine 100-prozentige Erfassung aller Systeme kann sofort im Anschluss beginnen und benötigt nicht viel Zeit. Die laufende Pflege kann letztendlich sogar weitgehend automatisiert werden. Die Informationen können also immer aktuell vorliegen, wenn sie benötigt werden. Der Nutzen des Softwareeinsatzes sollte für alle Beteiligten klar erkennbar sein.

Nun ist aber gerade diese automatisierbare Erfassung mittels Software ein Aspekt, der vielen Mitarbeitervertretungen zunächst ein Dorn im Auge ist. Dies liegt zunächst sicherlich auch daran, dass ein falsches Verständnis zum Einsatzzweck dieser Software besteht. Es handelt sich hierbei nicht um eine Auswertung von Logfiles, mit denen entsprechende Nutzerverhalten der Anwender dokumentiert und visualisiert werden. Ein Beispiel dafür wäre die Software NAGIOS, mit der eine solche Anforderung sehr gut umzusetzen wäre. Mal abgesehen davon, dass die IT-Abteilung natürlich auch solche Informationen prinzipiell sammeln und auswerten muss, wollen wir uns hier aber auf die reine IT-Dokumentation von Hard- und Software konzentrieren.

Natürlich fallen bei einer IT-Dokumentation auch personenbezogene Daten an. Beispielsweise wenn ein Verzeichnisdienst wie das Active Directory inventarisiert wird, Informationen zur Konfiguration eines Mailserver wie Microsoft Exchange Server oder Zugriffsberechtigungen aus einem Fileserver ausgelesen werden. Dabei gilt es festzuhalten, dass diese datenschutzrelevanten Daten bei einer IT-Dokumentation beiläufig anfallen, sie stehen nicht im Fokus dieses Verfahrens. Es ist vergleichbar mit dem Einsatz einer Datensicherungslösung, da fallen personenbezogene Daten ebenso beiläufig an. Was soll man auch machen, wenn die Datenbanken des ERP und CRM-Systems gesichert werden. Das ist ja auch nicht verboten, im Gegenteil: aus Gründen der Sicherstellung der Verfügbarkeit der Unternehmensdaten ist die ja gerade gefordert. Ebenso verhält es sich meines Erachtens mit einer IT-Dokumentation.

Alle diese Punkte sind sicherlich leicht fachgerecht darzustellen. Somit können Mitarbeitervertretungen entsprechend über den genauen Einsatzzweck, den Umgang und die Zugriffsmöglichkeiten der Dokumentationssoftware aufgeklärt werden. Letztendlich werden keine neuen personenbezogenen Daten erhoben. Es werden auch keine Daten neu miteinander in Beziehung gebracht, so dass daraus weitere Informationen gewonnen werden können. Die inventarisierten, personenbezogenen Daten dienen lediglich der notwendigen Dokumentation der IT-Landschaft. Die bereits vorhandenen Daten werden zusätzlich in der CMDB gespeichert. So wie diese Daten bei der Datensicherung auch auf Sicherungsbändern gespeichert werden (müssen).

Einen Punkt gilt es bei der IT-Dokumentation meines Erachtens zu berücksichtigen. Nämlich dass die in der CMDB der Dokumentationssoftware anfallenden, personenbezogenen Daten auf keinen Fall für etwas anderes als für die Dokumentation an sich verwendet werden dürfen. Es gilt laut §31 des Bundesdatenschutzgesetztes BDSG zu beachten:
§31 Besondere Zweckbindung
Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.

Letztendlich ist eine IT-Dokumentation kein nice-to-have, sondern ein absolutes Muss für jedes Unternehmen. Mittels des Einsatzes einer Dokumentationssoftware wie Docusnap kann die Vollständigkeit und Aktualität der IT-Dokumentation gewährleistet werden. Auch im Hinblick auf Lizenzauswertungen und Dokumentation von Zugriffsrechten in Dateisystemen. Somit wird eine IT-Dokumentation beispielsweise Datenschutzbeauftragte gerade bei ihrer Arbeit unterstützen, denn es kann ohne großen Aufwand leicht ausgewertet werden, ob Zugriffsrechte korrekt vergeben wurden.