IT-Dokumentation wird in jedem Unternehmen umgesetzt, irgendwie. Ob als einfache Textdokumente, Tabellen mit Namen und IP’s oder als Handgeschriebene Zettel in den tiefen der Büroschublade.
Wie bedeutsam das Thema IT-Dokumentation jedoch wirklich ist und welche Pflichten sich für Unternehmen aus den aktuellen Gesetzen ergeben ist leider vielen unbekannt. Seit Inkrafttreten der DSGVO (Datenschutzgrundverordnung) vom 25.05.2018 sind zahlreiche Pflichten zu den bestehenden Bundesdatenschutzgesetzen hinzugekommen und die möglichen Strafen und Bußgelder wurden massiv angezogen.
Die „Hauptsache wir haben irgendwas“-Mentalität kostet Sie letzendlich mehr als ein einfaches Achselzucken. Sehen wir uns dazu einige Punkte der DSGVO an.
DSGVO – Daten beschränkung
Personenbezogene Daten müssen
c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
https://dsgvo-gesetz.de/art-5-dsgvo/ | Art. 5 DSGVO
Das bedeutet: Sie als IT-Verantwortlicher müssen genau identifizieren, welchen Zweck hatte die Erhebung dieser Daten, wo (auf welchen Systemen) werden personenbezogene Daten gespeichert und wann erlischt die Aufbewahrungsfrist damit diese Daten gelöscht werden. Gibt es dafür überhaupt einen Prozess im Unternehmen?
Wenn man sich die Urteile seit inkrafttreten der DSGVO ansieht, stellt man schnell fest das Bußgelder häufig verhängt wurden, weil die Unternehmen die Löschfristen nicht eingehalten oder auf Anträge der betroffenen nicht reagiert haben. Es geht vielen Unternehmen in erster Linie um die Sicherheit der Daten. Das ist auch gut so! Dennoch wird ein Großteil der Bußgelder nur verhängt, weil Unternehmen mit den Verarbeiteten Daten nicht vorschriftenkonform umgehen. Um sich über aktuelle Urteile zu informieren kann ich Ihnen datenschutz-berlin.de empfehlen. Dort finden Sie im Bereich Über uns -> Pressemitteilungen aktuelle Urteile mit Stellungsnahme der Datenschutzbeauftragten.
Anfragen durch die Aufsichtsbehörde
Grundsätzlich kann sich jede natürliche Person mit einer Beschwerde an die Aufsichtbehörde wenden wenn er seine Rechte verletzt sieht.
d) sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes gemäß Artikel 80 befassen, den Gegenstand der Beschwerde in angemessenem Umfang untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und das Ergebnis der Untersuchung unterrichten, insbesondere, wenn eine weitere Untersuchung oder Koordinierung mit einer anderen Aufsichtsbehörde notwendig ist;
https://dsgvo-gesetz.de/art-57-dsgvo/ | Art. 57 DSGVO
Die AUfsichtbehörde muss diese Beschwerde dann bearbeiten und die Person über den Fortgang und Ergebnis informieren. Das kann Sie natürlich nur wenn Sie die benötigten Informationen erhält.
Der Verantwortliche und der Auftragsverarbeiter und gegebenenfalls deren Vertreter arbeiten auf Anfrage mit der Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
https://dsgvo-gesetz.de/art-31-dsgvo/ | Art. 31 DSGVO
Sie müssen dann zeitnah auf die Anfrage der Aufsichtsbehörde reagieren. Erst jetzt damit zu beginnen die benötigten Informationen zusammenzutragen kann sich als sehr schwirieg gestalten, wenn zu diesem Zeitpunkt z.B. zeitkritische Projekte durchgeführt werden oder wichtige Mitarbeiter abwesend sind.
(1) Jede Aufsichtsbehörde verfügt über sämtliche folgenden Untersuchungsbefugnisse, die es ihr gestatten,
a) den Verantwortlichen, den Auftragsverarbeiter und gegebenenfalls den Vertreter des Verantwortlichen oder des Auftragsverarbeiters anzuweisen, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind,
b) Untersuchungen in Form von Datenschutzüberprüfungen durchzuführen,
e) von dem Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen, die zur Erfüllung ihrer Aufgaben notwendig sind, zu erhalten,
https://dsgvo-gesetz.de/art-58-dsgvo/ | Art. 58 DSGVO
Ihre Pflicht besteht also u.a. darin einen Nachweis zu erbringen, welche Systeme für die Verarbeitung genutzt wurden (u.a. Betriebssystem, Patch-Level, Komponenten, Standort), wer die Verarbeitung durchgeführt hat, wer sonst noch auf die Daten zugreifen konnte (Verantwortliche Personen, Zutrittsberechtigungen, Dienstleister) und welche Grundlage es für die Verarbeitung gab (Verträge, Auftragsdatenverarbeitung, Einverständniserklärungen). Ich halte es für sehr bedenklich anzunehmen, das im Falle eines Datenschutzverstoßes, sich die Aufsichtsbehörde mit einer einfachen Tabelle mit Geräten und IP’s zufrieden stellen lässt.
Datenlöschung
Gibt es einen Prozess für die Löschung von Daten in Ihrem Unternehmen? Die DSGVO räumt natürlichen Personen das Recht ein, Ihre Daten zu ändern oder diese zu löschen.
(1) Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
https://dsgvo-gesetz.de/art-17-dsgvo/ | Art. 17 DSGVO
a) Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
Werfen wir einen Blick auf folgendes Szenario: Einer Ihrer langjährigen Kunden verlangt die Löschung seiner Personenbezogenen Daten.
Stop! Lassen Sie sich nicht dazu bewegen sämtlichen E-Mail Verkehr, Rechnungen und Lieferscheine zu löschen, denn diese unterliegen häufig gesetzlichen Aufbewahrungsfristen. Sie müssen also identifizieren, welche Daten müssen wir löschen, welche unterliegen gesetzlichen Aufbewahrungsfristen und wie lange noch? Gibt es einen „Trigger“ um bei Ablauf diese Daten zu löschen?
Strafen und Bußgelder:
Sollten Sie der Aufforderung nicht oder nur unzureichend nachkommen oder der Aufsichtsbehörde die angeforderten Informationen nicht in der vorgegebenen Qualität und Zeit vorlegen können, kann diese verschiedene Maßnahmen durchsetzen.
Dies kann eine einfache Verwarnung sein. Aber auch Bußgelder von bis zu 20.000.000 € können verhängt werden (es sei angemerkt, das die bisherigen Bußgelder nur einen Bruchteil dieser Summe ausmachen). Ihnen kann auch die Datenverarbeitung untersagt werden bis die benötigten Informationen geliefert oder die Sicherheitslücke nachweißlich geschlossen wurde. Besonders die Einschränkung der Verarbeitungstätigkeiten kann Unternehmen empfindlich treffen. Durch die Digitalisierung sind praktisch alle Geschäftskritischen Prozesse und Systeme (CRM, ERP, E-Mail, Kundenlisten, Newsletter-Systeme, Onlineshops usw.) von der Erhebung und Verarbeitung Personenbezogenen Daten abhängig.
Ihre Aufgabe als IT-Verantwortlicher
Sie müssen sicherstellen dass die vorhandenen und eingesetzten Systeme vollständig dokumentiert werden. Im Idealfall sind diese Informationen in einem Format vorhanden, dass man der Aufsichtsbehörde ohne zeitlichen Mehraufwand auf Anfrage bereitstellen kann. Ziel muss es sein eine detaillierte Dokumentation vorweisen zu können die Informationen dazu liefern:
- Welche Systeme im Einsatz sind.
- Wo welche Daten gespeichert werden.
- Welche Daten durch wen verarbeitet werden.
- Wer an der Verarbeitung beteiligt und Verantwortlich ist.
- Welche externen Faktoren die Verarbeitung betreffen.
- Auf welcher Rechtsgrundlage die Daten verarbeitet werden.
Fazit
Die DSGVO nimmt Unternehmen noch stärker in die Verantwortung, den Überblick über Ihre IT-Landschaft, die Prozesse und deren Organisation zu behalten. Doch die DSGVO ist nicht die einzige Vorschrift die Anforderungen an uns stellt. IT-Verantwortlichen möchte ich daher nahelegen, sich auch mit dem IT-Sicherheitsgesetz und bei Bedarf über die Verordnung zum Betrieb kritischer Infrastrukturen (KRITIS-V) zu informieren. IT-Dokumentation ist ein großes und zeitaufwendiges Thema und vielen Unternehmen fällt es schwer, die Zeit und das Personal dafür aufzubringen. Doch eine Dokumentation in reinen Tabellen und Textdokumenten zu erstellen ist dennoch keine Option. Zum einen sind die Daten häufig veraltet, inkonsistent, werden nur lokal gespeichert oder Mitarbeiter haben keinen Zugriff darauf. Desweiteren lassen sich Beziehungen und Abhängigkeiten nur schwer oder durch einen sehr hohen zeitlichen Aufwand darstellen. Es bietet sich daher an ein geeignetes Tool für die Dokumentation einzusetzen.
i-doit: Das Dokumentationtool
i-doit ermöglicht es Ihnen Ihre Organisation, IT und Prozesse vollständig zu dokumentieren. Dabei legen Sie in wenigen Minuten fest, wo Daten gespeichert werden und in welchem Intervall diese geprüft werden müssen. Durch zeitgesteuerte Benachrichtigungen werden Ihre Prozesse automatisiert angestoßen, um eine regelmäßige Prüfung sicherzustellen. Neben der reinen Dokumentation Ihrer Systeme, Prozesse und Services können Sie für diese auch verschiedene Rollen konfigurieren. Damit stellen Sie sicher das Verantwortliche Personen, Interne Mitarbeiter und externe Dienstleister im Bedarfsfall sofort ermittelt werden können. Durch die Verknüpfung Ihrer bestehenden Verträge können Sie zudem nachweisen, welchen Zweck die Erhebung und Verarbeitung der Daten hatte.
Gerne berate ich Sie zu den Möglichkeiten der IT-Dokumentation mit i-doit