Startseite > Office & Kommunikation > DSGVO-ready mit guter IT-Dokumentation

Verfahrensverzeichnis

DSGVO-ready mit guter IT-Dokumentation

8. November 2017, 13:03 Uhr | Autor: Peter Resch-Edermayr / Redaktion: Axel Pomper

Fortsetzung des Artikels von Teil 2

Teamgeist ist gefordert

Ohne Zweifel ist es von Vorteil, wenn die IT-Abteilung bereits über eine Basisdokumentation der im Unternehmen verwendeten Systeme und IT-Services verfügt, die Dritte nutzen können. Besser noch, wenn es eine Darstellung funktionaler Zusammenhänge gibt, also welche Services auf welchen Systemen laufen, welches die verwendeten Datenbanken, Storage- oder Servern, Netzwerke und Standorte. Diese Art der Dokumentation, das Aufbauen einer CMDB, ist klassisch die Domäne der IT. Doch allein geht es nicht: An der Schnittstelle zwischen Verfahren und Systemen kann meist nur der Fachbereich wesentliches Wissen beisteuern, das sich für die IT gar nicht so einfach erschließt.

Die Verantwortlichen sind nun verpflichtet, sich mit den Verfahren, Systemen und Daten zu beschäftigen. Und hier erklärt sich auch die Notwendigkeit der Rollentrennung: Die IT ist für die technische Umsetzung und den Betrieb zuständig, der Fachbereich für das Verfahren. Jeder dokumentiert für seinen Bereich.

Aufgaben des Fachbereichs

Datenexporte werden vielleicht schnell mal als Datei auf Dropbox abgelegt und im Heimbüro nachbearbeitet, Kundenumfragen werden unter Zuhilfenahme eines spezialisierten Cloud-Services durchgeführt. - Der Verfahrensverantwortliche muss entsprechende Vorgehensweisen herausfinden, dokumentieren und in unerwünschten Fällen ändern! Im Verfahrensverzeichnis muss nachvollziehbar dokumentiert sein, wohin personenbezogene Daten gelangen. Denn bei Datenmissbrauch, egal welcher Art, haftet das Unternehmen bzw. der Verfahrensverantwortliche. Das kann eventuell auch strafrechtlich relevant werden.

Aufgaben der IT

Was die IT zu den Verfahren beisteuern kann und muss, ist das Wissen über die technischen Zusammenhänge: Wie ist der Datenfluss? Welche internen Systeme und Datenspeicher sind an einem Verfahren beteiligt? Wie sind diese abgesichert? Welche Schnittstellen gibt es? Wo bleiben dort Daten gespeichert? Wie erfolgen Backups? Wie lange werden Daten vorgehalten, wann und wie gelöscht? Wer ist für welchen Teilbereich zuständig? Welche externen Dienstleister sind beteiligt? All das gehört in die IT-Dokumentation, die damit das zentrale Nachschlagewerk für alle IT-Prozesse ist. Hier gelten in vielen Organisationen bereits strikte Regeln für die Erstellung und Aktualisierung.

Externe Dienstleister und Service-Erbringer

Selten gibt es nur mehr “eine IT” im Unternehmen, zumeist derer mehrere - denken wir nur an Cloud Services - und auch diese müssen dokumentiert werden. Hinweise auf externe Erbringer sind auch in den Verfahrensverzeichnissen besonders zu berücksichtigen. Und das ist ein zusätzliches Argument dafür, dies mit der IT-Dokumentation zu koppeln. Denn eben diese Dienstleister bzw. Service-Erbringer sind zumeist in der IT-Dokumentation als Ansprechpartner mit ihren Kontaktdaten zu finden. Logisch, diese Dienstleister nun auch ins Boot zu holen. Ebenso wie die interne IT muss dokumentiert werden, was mit den Daten passiert, falls das Wissen nicht im Haus ist! Wenn personenbezogene Daten beim Dienstleister verarbeitet oder gespeichert werden - dies kann auch der Programmierer sein, der schnell mal eben eine Datenbank des CRM Systems zu Testzwecken abzieht - ist eine Vereinbarung zur Auftragsdatenverarbeitung (kurz: “ADV”) abzuschließen. Denn nur so schließt sich der Kreis - wem nützt das beste Verfahren im Haus, wenn die Daten beim Dienstleister angreifbar sind?

Der Trick mit der Aktualisierung

Ist ein Verfahrensverzeichnis erstellt, ist erstmal dem Gesetz genüge getan. Doch was, wenn sich etwas ändert? Hier versteckt sich ein Klassiker: Weder Fachbereich noch IT gehen bei Änderungen aufeinander zu. Zu lange scheint das Übersetzen in die jeweils andere Fachsprache zu dauern, die Änderung ist viel schneller in den eigenen Reihen durchgeführt. Vom externen Service-Erbringer sind wir da oft schon entsprechende Kommunikationsprozesse gewohnt - klar: Wettbewerbsvorteil! Aber wie können wir das unter Kollegen durchsetzen?

Die beste Chance, diesem Dilemma zu entgehen, bietet die gemeinsame Dokumentation von Verfahren und IT-Systemen im gleichen Dokumentationssystem. Idealerweise gekoppelt mit einem Change Management Prozess, der sowohl Fachbereich als auch die Zuständigen in der IT Abteilung zusammen bringt. Wenn jede Seite ihrer Dokumentationsverantwortung nachkommt - und dazu hat uns letztlich der Gesetzgeber verpflichtet - kann das klug konfigurierte IT-Dokumentationssystem auch selbstständig auf notwendige Änderungen hinweisen - bis hin zum selbstständigen Aktualisieren von Dokumenten. An dieser Stelle hat die Excel-Liste endgültig ausgedient.

Geschlossene “Kette des Vertrauens”

Wenn die DSGVO umgesetzt ist, werden Bürger und Konsumenten sich darauf verlassen können, dass Unternehmen seriös mit ihren persönlichen Daten umgehen. Dass dies dann auch “Ende zu Ende” gewährleistet sein wird, zumindest EU-weit, dafür wird die EU-DSGVO sorgen. Da es als Einzelperson nahezu unmöglich ist, sich einen Überblick über verwendete Systeme zu verschaffen, ja selbst im eigenen Unternehmen zumeist der Datenfluss unklar ist, musste die Beschäftigung und Dokumentation vom Gesetzgeber erzwungen werden. Mittelfristig wird sich damit auch ein Bewusstsein in jedem datenverarbeitenden Betrieb einstellen, wie mit solchen Daten umzugehen ist. Notfalls auch mit den drakonischen Strafen, die nun angedroht und zweifelsohne auch früher oder später exekutiert werden.

Peter Resch-Edermayr ist Evangelist bei Synetics, dem Unternehmen hinter der Software für IT-Dokumentation i-doit