Seit mehr als zwei Jahren ist die DSGVO nun aktiv. Und wir alle wissen, wie schwierig es sein kann, dieser EU-Norm gerecht zu werden. Jegliche Daten, die wir sammeln, speichern und bewegen, müssen aus diesem Blickwinkel betrachtet werden. Und was für Websites und Onlineshops gilt, hat auch in der IT-Dokumentation seine Berechtigung. Wo mit Daten von Mitarbeitenden und Kunden gearbeitet wird, greift automatisch die DSGVO.
Sie können Daten nur wirksam schützen, wenn Sie wissen, wo sie abgelegt wurden. Die Antwort kommt aus der IT-Dokumentation, wenn diese in einem vernünftigen Zustand vorliegt. i-doit macht beides möglich: eine IT-Dokumentation nach Stand der Technik, hoch automatisiert, und die DSGVO-konforme Dokumentation von Verfahren und Verantwortlichen. Die Basisdaten sind in allen Fällen die gleichen. Durch die Integration aller Disziplinen der Dokumentation in einem Tool sparen Sie sowohl bei der Beschaffung als auch bei der laufenden Datenpflege.
Wie der Name „Datenschutz-Grundverordnung“ sagt, geht es bei dem EU-Erlass um eine Grundsatzentscheidung. Der Gesetzgeber will den Datenschutz nicht mehr dem Zufall überlassen, sondern ihn verpflichtend einführen und seine Nichteinhaltung unter Strafe stellen. Unterm Strich wird dieses Vorgehen allen nützen – bedeutet jedoch im ersten Schritt Recherche. Denn so gut wie alle datenverarbeitenden Verfahren sind von der IT gestützt. In der Regel sind sie aber nicht besonders gut dokumentiert. Jetzt gilt es herauszufinden, an welchen Stellen personenbezogene Daten verarbeitet werden, diese Informationen aufzuzeichnen und aktuell zu halten.
Die gesetzliche Verpflichtung zur Analyse und Dokumentation bedeutet eine neue Form der Zusammenarbeit, trifft sie doch beide Seiten zu gleichen Teilen:
Die Fachbereiche kennen ihre eingesetzten Verfahren im Detail. Die andere Seite – die IT – hat die Aufgabe, Information über IT-Infrastruktur, Services, Schnittstellen und viele weitere Details beizusteuern. Weder die eine noch die andere Seite kennt in der Regel alle Details. Als gemeinsame Dokumentations-Plattform im Unternehmen dient i-doit. Es ermöglicht eine gemeinsame Datenbasis. Informationen, die gleich wieder auseinander laufen, werden mit gemeinsamen Prozessen und dem Blick auf eine gemeinsame Informationsdrehscheibe vermieden.
An der Erhebung und Verarbeitung von Daten sind verschiedene Personen, Systeme, Datenbanken, Software und Dienste beteiligt. All diese Bestandteile können in i-doit als neue Objekte angelegt und mit allen notwendigen Informationen vervollständigt werden. Je nach Prozess können nun die Fachabteilungen genau angeben, welche Assets bei der Erhebung und Verarbeitung von Daten beteiligt sind. Das schafft einen ganzheitlichen Überblick über die Infrastruktur.
Weitere Informationen zum Thema IT-Asset Management finden Sie hier.
Der große Vorteil eines IT Service Managements ist der hohe Automatisierungsgrad, der erreicht werden kann. Assets können automatisch durch angebundene Systeme wie Discovery, Monitoring und Service Desk aktualisiert, vervollständigt und dokumentiert werden. So kann eine lückenlose Erfassung aller Änderungen erfolgen, die als Nachweis für die Verarbeitung von Daten unerlässlich ist. Sie führt nicht nur zu einem konsistenten Datenbestand, sondern reduziert auch den Dokumentationsaufwand für Mitarbeiter nachhaltig.
Auf unserer Themenseite „IT Service Management (ITSM)“ finden Sie weitere Informationen.
Die erhobenen und verarbeiteten Daten unterliegen verschiedenen Risiken und Gefahren. Daten dürfen z.B. nicht unrechtmäßig manipuliert, gelöscht oder durch Dritte genutzt werden. Im Bereich der Risikoanalyse und -begegnung ist der Aufbau eines Informations-Managementsystems (ISMS) der Standard. Sie können i-doit problemlos zu einem ISMS erweitern, um zu allen Assets eine Risikoanalyse durchzuführen. Dazu können Sie Gefahren und Risiken aus den Katalogen der ISO 27001 und des BSI (Bundesamt für Sicherheit in der Informationstechnik) auswählen und geeignete Maßnahmen zum Schutz der Daten identifizieren.
Ein ISMS unterstützt Sie auch bei der Zertifizierung nach ISO 27001 oder dem IT-Grundschutz des BSI.
Neben der Dokumentation der Assets müssen auch gem. Art. 30 DSGVO Verarbeitungsverzeichnisse geführt werden. Um diese Anforderung zu erfüllen, wurde das kostenfreie i-doit Data Privacy Add-on entwickelt. Hier werden die zu verarbeitenden Daten in Datenkategorien aufgeschlüsselt, verantwortliche Personen benannt und der Schutzbedarf definiert.
Sie sehen: Sind die ersten Schritte gegangen, kann die IT-Dokumentation weiter ausgebaut werden. IT Asset Management, Unterstützung der ITSM Prozesse, Ausbau zum ISMS, Erlangung eines BSI- oder ISO27001-Zertifikats, Erfassung der Verarbeitungstätigkeiten oder das Automatisieren im Rechenzentrum. Alle Basisdaten sind nun bereits in i-doit vorhanden und können mit den verfügbaren Add-ons weiter genutzt und erweitert werden.