Datenpannen vermeiden dank IT-Inventarisierung
Der kleine feine Datentipp
Lesezeit: ca. 4 Minuten
Mission erfüllt oder Mission Impossible?
Was trifft wohl eher auf Datenschutzbeauftragte zu — Mission erfüllt oder Mission Impossible? Es zählt zu den zentralen Aufgaben von Datenschutzbeauftragten, zu überwachen, ob die Anforderungen der Datenschutzgrundverordnung eingehalten sind. Und zwar vollständig. Eine IT-Inventarisierung kann dabei hervorragende Dienste leisten. Denn sie ist nicht nur für die Informationssicherheit ein bewährtes und unerlässliches Hilfsmittel, sondern auch für den Datenschutz.
IT-Inventarisierung
Die Inventarisierung beschreibt in der Informationstechnologie ein Verzeichnis, in dem alle informationstechnischen System eines Unternehmens aufgelistet sind. Lückenlos geführt, gibt die IT-Inventarisierung eine vollständige und systematische Übersicht über die betrieblichen Geräte, Programme und Lizenzen und ermöglicht so den Überblick über die genutzte Software und Hardware. Sie erleichtert Administratoren und Verantwortlichen das Gerätemanagement, erhöht IT-Sicherheit und Datenschutz und bildet eine wichtige Grundlage für Zertifizierungen.
Notebook für Notebook ...
Ein Beispiel aus der Praxis. Bei einer Begehung fragte der Datenschutzbeauftragte bezüglich des genutzten Notebooks nach der Inventarisierungsnummer. Die Antwort der Kollegin (die aufgrund ihrer Tätigkeit der Geheimhaltung unterlag): „Für welches Gerät meinen Sie jetzt die Inventarisierungsnummer?“ Im Schrank befanden sich zwei zuvor genutzte Notebooks, bei denen sich keiner der Administratoren getraut hat, sie mitzunehmen und zu entsorgen – wegen der Geheimhaltungspflicht. Die Folge? Die Kollegin hatte jeweils die aufgeklebte Inventarisierungsnummer abgelöst und dem neuen Rechner aufgeklebt. Ob das wohl den Regeln zu Datenschutz und Informationssicherheit entsprach?
Alle Systeme im Blick behalten
Eine der wichtigsten Voraussetzungen ist es also, alle, wirklich alle Geräte im Blick zu haben, mit denen personenbezogene Daten verarbeitet werden. Dazu gehören PCs, Thin Clients, Notebooks, Tablets, Smartphones und alles, womit sonst so personenbezogene Daten bearbeitet werden. Damit das gelingt, braucht es ein Inventar, das alle genutzten informationstechnischen Systeme enthält. Und zwar sowohl derer, die dem Unternehmen gehören, als auch jener in Privatbesitz, die geschäftlich genutzt werden.
Homeoffice und mobiles Arbeiten als besondere Herausforderung
Eine der besonderen Herausforderungen ist dabei, dass das Homeoffice immer stärker genutzt wird. Längst nicht jedes Gerät im Homeoffice gehört jedoch dem Unternehmen. Meist kommt gerade am heimischen Arbeitsplatz eine Kombination aus privaten und dienstlichen Geräte zum Einsatz. Ein Beispiel sind private Router, die auch der Rest des Haushalts nutzt. Zwar gibt es mobile Router, die nur mit dienstlichen Geräten genutzt werden, aber längst nicht alle Arbeitsplätze im Home-Office sind mit einem solchen Gerät ausgestattet. Möglich ist es auch, Smartphones als Hotspot so einzurichten, dass nur das dienstlich genutzte Gerät auf dieses Smartphone zugreifen kann. Aber auch hier: Längst nicht alle Arbeitsplätze im Home-Office sind so ausgestattet. Alle Geräte mit personenbezogenen Daten im Blick zu behalten, ist eine echte Herausforderung.
Datenschutzvorfälle durch nicht erfasste Geräte
Werden im Unternehmen private Geräte genutzt oder Geräte, die aus anderen Gründen nicht durch die Inventarisierung erfasst sind, ist nicht bekannt, wie sie genau konfiguriert sind. Das bringt die Gefahr mit sich, dass damit personenbezogene Daten verarbeitet werden, nicht aber nach den geltenden Regeln. Nicht selten kommt es so zu Datenschutzvorfällen, die unter Umständen sogar eine Meldepflicht bei der Aufsichtsbehörde auslösen.
Risiken unbekannter informationstechnischer Systeme
Fehlt eine vollständige Inventarisierung, bestehen mehrere Risiken. Es werden unbekannte Geräte genutzt, bei denen nicht klar ist, wie sie konfiguriert sind und wie sie genutzt werden. Über diese Geräte können betriebliche Informationen abgezogen werden und von Unbefugten genutzt oder missbraucht werden.
Datenpannen vorbeugen
In diesem Zusammenhang empfiehlt es sich, einen Prozess zur Meldepflicht zu bestimmen. Wo immer es durch eine mögliche Nutzung nicht inventarisierter Geräte zu einem Datenschutzvorfall kommen kann, müssen weitere Instrumente des Datenschutzes greifen. Die Beschäftigten sollten bestimmte Regeln kennen und einhalten. Etwa, dass die Risiken unbekannter Geräte bekannt sind und diese gemeldet werden. Hier sollte es im Unternehmen eine zentrale Stelle geben.
Inventarisierung, Inventarisierung, Inventarisierung
Zurück zur Inventarisierung. Administratoren, Datenschutzbeauftragte und Informationssicherheitsbeauftragte müssen alle Sinne darauf ausrichten, von sämtlichen im Unternehmen genutzten Devices zu wissen. Alle diese Geräte müssen in einem Inventar erfasst sein. Bleibt das aus, droht immer die Gefahr, dass mit den nicht erfassten Geräten personenbezogene Daten außerhalb der Regeln verarbeitet werden.
Tipps für eine erfolgreiche
IT-Inventarisierung
- Vergewissern Sie sich, ob es im Unternehmen bereits eine Inventarisierung aller IT-Systeme gibt.
- Stellen Sie sicher, dass nicht nur unternehmenseigene, sondern auch private Geräte erfasst werden, sofern sie betrieblich im Einsatz sind – etwa im Home-Office oder beim mobilen Arbeiten.
- Erfassen Sie auch private Geräte, die KollegInnen erlaubt mit an den Arbeitsplatz bringen. Eine betriebliche Inventarisierungsnummer ist hier nicht zwingend notwendig.
- Sorgen Sie dafür, dass auch Geräte von Geheimnisträgern in der Inventarisierung erfasst werden. Werden solche Geräte ausgemustert, stellen Sie sicher, dass sie nach angemessenen Regeln entsorgt werden.
- Vergeben Sie jedem neu ausgelieferten Gerät eine Inventarisierungsnummer.
- Nutzen Sie Begehungen immer auch als Kontrolle, ob alle informationstechnischen Systeme tatsächlich erfasst sind.
- Stellen Sie seitens des Datenschutzes sicher, dass jährlich ein bestimmter Prozentsatz der IT-Systeme stichprobenartig darauf geprüft wird, ob die geltenden Regeln eingehalten werden – beispielsweise, ob Gruppenrichtlinien für Betriebssysteme wie Windows 10 umgesetzt sind.
- Entwickeln Sie zusammen mit Informationssicherheitsbeauftragten ein System, das sicherstellt, dass keine Geräte und IT-Systeme übersehen werden.
- Stellen Sie alle Regeln zur Inventarisierung in einer entsprechenden Richtlinie zusammen. Nehmen Sie darin auch Regeln auf, wie die Einhaltung der Vorgaben zu Datenschutz und Informationssicherheit überprüft wird.
- Klären Sie in einem Eskalationsszenario, was zu geschehen hat, wenn nicht erfasste Geräte erkannt werden. Gleiches gilt für den Fall, dass Geräte gefunden werden, bei denen die bestehenden Regeln gebrochen wurden.
- Berichten Sie den Verantwortlichen regelmäßig, welche Ergebnisse
Begehungen der Büroräume erbracht haben.
Lassen Sie Datenschutz nicht zur Mission Impossible werden! Mit unseren Tipps sorgen Sie dafür, dass Datenschutzbeauftragte ihre Mission erfüllen – und die Einhaltung von Datenschutzbestimmungen erfolgreich umsetzen und überwachen.
Und die Kernfrage: Kann sichergestellt werden, dass tatsächlich alle IT-Systeme bekannt sind und damit in die Überwachung des Datenschutzes einbezogen werden können?
Wir wünschen viel Erfolg mit der DSGVO-gerechten IT-Inventarisierung!
Bei Datenschutz-Fragen Team Datenschutz fragen.
Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!
E-Mail, Messenger, Social Media | Das neue TTDSG ab Dezember 2021
Das topaktuelle Webinar
Donnerstag, 25. Nov. 2021 09:30 bis 12:00
Team Datenschutz
Langjährige Erfahrung. Zielgerichtete Lösungen. Zufriedene Kunden. In Deutschland. In Europa. Weltweit. Willkommen bei
Team
Datenschutz.
Kontakt
Wir sind für Sie da.
Am Hagelsrech 14
66806 Ensdorf
+49 6831 7689 777
Tipps & News
Praxistipps, Events, Aktuelles & mehr
Newsletter
Immer up to date im Datenschutz.
Copyright © 2024 Team Datenschutz