Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

05. Dezember 2017

In 20 Schritten zum Software-Inventar

In 20 Schritten zum Software-Inventar
Bild: NicoElNino / iStock / Thinkstock
0,00 (0)
Inhalte in diesem Beitrag
Datenschutzorganisation
Provokante Frage für Datenschutzbeauftragte: Glauben Sie, dass Sie eine realistische Chance haben, jemals einen vollständigen Überblick über alle im Unternehmen vorhandenen und zum Einsatz kommenden Programme zu haben?

Wie viele unterschiedliche Programme (Software) mit personenbezogenen oder auf Personen beziehbaren Daten setzt Ihr Unternehmen ein?

Die meisten Kolleginnen und Kollegen werden sich hier gnadenlos verschätzen, die wenigsten werden die tatsächliche Zahl auch nur annähernd kennen. Denn in zahlreichen Unternehmen sind 150 und mehr verschiedene Programme im Einsatz, die personenbezogene Daten verarbeiten.

Realismus ist gefragt

Auch wenn es eher unwahrscheinlich ist, dass Sie als Beauftragte oder Beauftragter für den Datenschutz tatsächlich alle Programme erfassen und datenschutzrechtlich sauber bearbeiten können, so dürfen Sie sich dennoch nicht entmutigen lassen und diese Aufgabe vernachlässigen.

Zentrale Aufgabe des Datenschutzes in der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) weitet die Aufgaben des Datenschutzbeauftragten erheblich aus.

Jetzt haben Datenschutzbeauftragte die „Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen“ vorzunehmen (Art. 39 Abs. 1 Buchst. b DSGVO).

Dazu muss der Datenschutzbeauftragte alle Programme kennen, die personenbezogene Daten verarbeiten oder bei denen im Rahmen der Verarbeitung personenbezogene Daten anfallen.

Welche Software muss im Inventar genannt sein?

Die Inventarisierung soll alle Programme erfassen, die personenbezogene oder auf Personen beziehbare Daten verarbeiten. Dabei geht es nicht nur um gekaufte Software, sondern um alle auf Systemen vorhandenen oder über Systeme verfügbaren Programme.

Dazu gehören

  • online genutzte Systeme wie Shared Services, etwa DropBox, TeamDrive oder andere,
  • SaaS-Systeme, die Mitarbeiter nicht auf den eigenen Geräten nutzen, und auch
  • Programme auf selten genutzten Geräten, wie unternehmenseigene Kameras, die Standortdaten der Aufnahme und Zeitpunkt des Fotos speichern, sofern sich diese Daten mit Personen verbinden lassen und sie damit dem Datenschutz unterliegen.

Am Ende der Betrachtungen, welche Software ins Inventar gehört, stellt sich die Frage: Gibt es überhaupt Software ohne Personenbezug? Kaum denkbar. Undenkbar gar, wenn die Software Protokollierungen vornimmt – und das tun mittlerweile die allermeisten Programme.

Überblick gewinnen durch Struktur

Die Software-Inventarisierung ist aufwendig und erfordert Unterstützung aus unterschiedlichen Bereichen, hauptsächlich aus Geschäftsführung und IT. Ist sie jedoch erst einmal eingerichtet, ist die weitere Pflege deutlich weniger zeitintensiv als die erste Implementierung.

Um einen Überblick zu bekommen, ist es sinnvoll, die eingesetzte Software in verschiedene Gruppen zu unterteilen:

Office-Programme

Da haben wir zum einen die Office-Programme, die eigentlich alle Beschäftigten im Unternehmen nutzen. Das sind – sofern Microsoft Office im Einsatz ist – Word, Excel, Outlook, PowerPoint, Sharepoint usw. Sind zusätzlich Programme wie OneNote, Publisher und nicht zu vergessen Datenbanken wie Access oder MySQL-Datenbanken im Einsatz, wird die Liste der Programme mit personenbezogenen Daten deutlich länger.

Zentral zur Verfügung gestellte Software

Dann kommt die Gruppe der zentral zur Verfügung gestellten Software. Hierzu gehören Programme, die viele Daten umfassen, wie ERP-Software, etwa SAP mit den unterschiedlichen Modulen, oder ein Programm wie Navision.

Streng genommen werden hierbei unterschiedliche Softwarepakete eingesetzt, die alle auf ein und derselben Plattform laufen und von ein und demselben Hersteller kommen. So sind in SAP Module wie Personalverwaltung, Kundenverwaltung, Finanzverwaltung und Gesundheitsmanagement integriert. Die „eine“ Datenschutzbetrachtung von SAP gibt es also in der Regel nicht.

Zeiterfassung und Zutrittsdokumentationen

Weiter gibt es Software, die Anwesenheitszeiten erfasst, Tätigkeiten dokumentiert, Zutritte reglementiert und freigibt, Projektschritte dokumentiert, und, ja, das gibt es auch, Datenschutzdokumentationen mit personenbezogenen Daten verwaltet. Wie man sieht, ließe sich die Liste noch eine ganze Weile fortsetzen.

Tracking- und Reportingprogramme

Eine weitere Gruppe von Programmen stellt die Welt der Tracking-, Reporting- und Logfile-Tools dar. Das Heimtückische hierbei ist, dass man sie nur selten wahrnimmt. Diese Systeme bergen aber aus Sicht des Datenschutzes jede Menge Sprengstoff, nicht zuletzt weil sie die Möglichkeit beinhalten, eine Kontrolle von Verhalten und Leistung mithilfe der hier verarbeiteten Daten vorzunehmen.

An- und Abmeldung an Systemen

Was ebenfalls oft nicht beachtet wird, ist, dass in vermeintlich rein technisch motivierten Programmen Personenbezug enthalten ist, und sei es „nur“ bei der Protokollierung von An- und Abmeldedaten.

Protokollierung von Telefon-, Outlook- und Internetnutzung

Und was ist mit den ganzen Programmen im Zusammenhang mit der Telefonie und Internetnutzung? Da wären die Browser mit zahlreichen Add-ins, Telefonsoftware, Apps auf Smartphones, die Telefone selbst – wenn man einmal anfängt zu überlegen, fallen einem zahlreiche weitere Programme ein.

Sinnvoll bei Lizenzkontrollen

Immer öfter führen große Softwareunternehmen Lizenzkontrollen bei Kunden durch. Beispiel: Microsoft prüft, ob die gekauften Server- und Nutzungslizenzen für Office-Programme auch alle tatsächlichen Nutzungen abdecken oder ob weitere Programme eingesetzt werden, für die keine Lizenz zur Verfügung steht. Liegt jetzt ein zuverlässig geführtes Software-Inventar vor, kann das bei derartigen Kontrollen eine große Unterstützung sein.

Erforderlich bei der Anlagenbuchführung

Gekaufte Software mit dem entsprechenden Preis unterliegt der steuerlichen Abschreibung. Somit muss die betreffende Software inventarisiert werden. Der Austausch ist beidseitig möglich. Die Liste mit der für die Anlagenbuchhaltung erfassten Software kann bei der Gesamtinventarisierung gute Dienste leisten.

Umgekehrt kann das Software-Inventar Hinweise zur Ergänzung der Softwareliste für die Anlagenbuchführung liefern.

Der Prozess der Software-Inventarisierung

In der ausführlichen Checkliste unter den Downloads finden Sie 20 zentrale Schritte auf dem Weg zur Software-Inventarisierung, die sich in der Praxis bewährt haben.

Diese Schritte erheben keinen Anspruch auf Vollständigkeit, können aber eine Richtschnur für die Umsetzung im eigenen Verantwortungsbereich sein.

Eberhard Häcker

Eberhard Häcker
Verfasst von
Eberhard Häcker
Eberhard Häcker
Eberhard Häcker ist seit vielen Jahren als externer Datenschutz­beauftragter tätig. Seit 2005 ist Eberhard Häcker selbstständig mit Schwerpunkt Datenschutzberatung.
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.