Datenpannen vermeiden dank IT-Inventarisierung

Team Datenschutz • 5. November 2021

Der kleine feine Datentipp

Lesezeit: ca. 4 Minuten

Monitor, Tablet, Mobiltelefon und weitere technische Geräte


Mission erfüllt oder Mission Impossible?


Was trifft wohl eher auf Datenschutzbeauftragte zu — Mission erfüllt oder Mission Impossible? Es zählt zu den zentralen Aufgaben von Datenschutzbeauftragten, zu überwachen, ob die Anforderungen der Datenschutzgrundverordnung eingehalten sind. Und zwar vollständig. Eine IT-Inventarisierung kann dabei hervorragende Dienste leisten. Denn sie ist nicht nur für die Informationssicherheit ein bewährtes und unerlässliches Hilfsmittel, sondern auch für den Datenschutz. 



IT-Inven­ta­ri­sie­rung

Die Inventarisierung beschreibt in der Informationstechnologie ein Verzeichnis, in dem alle informationstechnischen System eines Unternehmens aufgelistet sind. Lückenlos geführt, gibt die IT-Inventarisierung eine vollständige und systematische Übersicht über die betrieblichen Geräte, Programme und Lizenzen und ermöglicht so den Überblick über die genutzte Software und Hardware. Sie erleichtert Administratoren und Verantwortlichen das Gerätemanagement, erhöht IT-Sicherheit und Datenschutz und bildet eine wichtige Grundlage für Zertifizierungen.



Notebook für Notebook ...


Ein Beispiel aus der Praxis. Bei einer Begehung fragte der Datenschutzbeauftragte bezüglich des genutzten Notebooks nach der Inventarisierungsnummer. Die Antwort der Kollegin (die aufgrund ihrer Tätigkeit der Geheimhaltung unterlag): „Für welches Gerät meinen Sie jetzt die Inventarisierungsnummer?“ Im Schrank befanden sich zwei zuvor genutzte Notebooks, bei denen sich keiner der Administratoren getraut hat, sie mitzunehmen und zu entsorgen – wegen der Geheimhaltungspflicht. Die Folge? Die Kollegin hatte jeweils die aufgeklebte Inventarisierungsnummer abgelöst und dem neuen Rechner aufgeklebt. Ob das wohl den Regeln zu Datenschutz und Informationssicherheit entsprach?



Alle Systeme im Blick behalten


Eine der wichtigsten Voraussetzungen ist es also, alle, wirklich alle Geräte im Blick zu haben, mit denen personenbezogene Daten verarbeitet werden. Dazu gehören PCs, Thin Clients, Notebooks, Tablets, Smartphones und alles, womit sonst so personenbezogene Daten bearbeitet werden. Damit das gelingt, braucht es ein Inventar, das alle genutzten informationstechnischen Systeme enthält. Und zwar sowohl derer, die dem Unternehmen gehören, als auch jener in Privatbesitz, die geschäftlich genutzt werden.






Homeoffice und mobiles Arbeiten als besondere Herausforderung


Eine der besonderen Herausforderungen ist dabei, dass das Homeoffice immer stärker genutzt wird. Längst nicht jedes Gerät im Homeoffice gehört jedoch dem Unternehmen. Meist kommt gerade am heimischen Arbeitsplatz eine Kombination aus privaten und dienstlichen Geräte zum Einsatz. Ein Beispiel sind private Router, die auch der Rest des Haushalts nutzt. Zwar gibt es mobile Router, die nur mit dienstlichen Geräten genutzt werden, aber längst nicht alle Arbeitsplätze im Home-Office sind mit einem solchen Gerät ausgestattet. Möglich ist es auch, Smartphones als Hotspot so einzurichten, dass nur das dienstlich genutzte Gerät auf dieses Smartphone zugreifen kann. Aber auch hier: Längst nicht alle Arbeitsplätze im Home-Office sind so ausgestattet. Alle Geräte mit personenbezogenen Daten im Blick zu behalten, ist eine echte Herausforderung.






Datenschutz­vorfälle durch nicht erfasste Geräte


Werden im Unternehmen private Geräte genutzt oder Geräte, die aus anderen Gründen nicht durch die Inventarisierung erfasst sind, ist nicht bekannt, wie sie genau konfiguriert sind. Das bringt die Gefahr mit sich, dass damit personenbezogene Daten verarbeitet werden, nicht aber nach den geltenden Regeln. Nicht selten kommt es so zu Datenschutzvorfällen, die unter Umständen sogar eine Meldepflicht bei der Aufsichtsbehörde auslösen.





Risiken unbekannter informations­technischer Systeme


Fehlt eine vollständige Inventarisierung, bestehen mehrere Risiken. Es werden unbekannte Geräte genutzt, bei denen nicht klar ist, wie sie konfiguriert sind und wie sie genutzt werden. Über diese Geräte können betriebliche Informationen abgezogen werden und von Unbefugten genutzt oder missbraucht werden.






Datenpannen vorbeugen


In diesem Zusammenhang empfiehlt es sich, einen Prozess zur Meldepflicht zu bestimmen. Wo immer es durch eine mögliche Nutzung nicht inventarisierter Geräte zu einem Datenschutzvorfall kommen kann, müssen weitere Instrumente des Datenschutzes greifen. Die Beschäftigten sollten bestimmte Regeln kennen und einhalten. Etwa, dass die Risiken unbekannter Geräte bekannt sind und diese gemeldet werden. Hier sollte es im Unternehmen eine zentrale Stelle geben.






Inventarisierung, Inventarisierung, Inventarisierung


Zurück zur Inventarisierung. Administratoren, Datenschutzbeauftragte und Informationssicherheitsbeauftragte müssen alle Sinne darauf ausrichten, von sämtlichen im Unternehmen genutzten Devices zu wissen. Alle diese Geräte müssen in einem Inventar erfasst sein. Bleibt das aus, droht immer die Gefahr, dass mit den nicht erfassten Geräten personenbezogene Daten außerhalb der Regeln verarbeitet werden.





Tipps für eine erfolgreiche
IT-Inventari­sie­rung



  • Vergewissern Sie sich, ob es im Unternehmen bereits eine Inventarisierung aller IT-Systeme gibt.


  • Stellen Sie sicher, dass nicht nur unternehmenseigene, sondern auch private Geräte erfasst werden, sofern sie betrieblich im Einsatz sind – etwa im Home-Office oder beim mobilen Arbeiten.


  • Erfassen Sie auch private Geräte, die KollegInnen erlaubt mit an den Arbeitsplatz bringen. Eine betriebliche Inventarisierungsnummer ist hier nicht zwingend notwendig.


  • Sorgen Sie dafür, dass auch Geräte von Geheimnisträgern in der Inventarisierung erfasst werden. Werden solche Geräte ausgemustert, stellen Sie sicher, dass sie nach angemessenen Regeln entsorgt werden.


  • Vergeben Sie jedem neu ausgelieferten Gerät eine Inventarisierungsnummer.


  • Nutzen Sie Begehungen immer auch als Kontrolle, ob alle informationstechnischen Systeme tatsächlich erfasst sind.


  • Stellen Sie seitens des Datenschutzes sicher, dass jährlich ein bestimmter Prozentsatz der IT-Systeme stichprobenartig darauf geprüft wird, ob die geltenden Regeln eingehalten werden – beispielsweise, ob Gruppenrichtlinien für Betriebssysteme wie Windows 10 umgesetzt sind.


  • Entwickeln Sie zusammen mit Informationssicherheitsbeauftragten ein System, das sicherstellt, dass keine Geräte und IT-Systeme übersehen werden.


  • Stellen Sie alle Regeln zur Inventarisierung in einer entsprechenden Richtlinie zusammen. Nehmen Sie darin auch Regeln auf, wie die Einhaltung der Vorgaben zu Datenschutz und Informationssicherheit überprüft wird.


  • Klären Sie in einem Eskalationsszenario, was zu geschehen hat, wenn nicht erfasste Geräte erkannt werden. Gleiches gilt für den Fall, dass Geräte gefunden werden, bei denen die bestehenden Regeln gebrochen wurden.


  • Berichten Sie den Verantwortlichen regelmäßig, welche Ergebnisse Begehungen der Büroräume erbracht haben.


Lassen Sie Datenschutz nicht zur Mission Impossible werden! Mit unseren Tipps sorgen Sie dafür, dass Datenschutzbeauftragte ihre Mission erfüllen – und die Einhaltung von Datenschutzbestimmungen erfolgreich umsetzen und überwachen.



Und die Kernfrage: Kann sichergestellt werden, dass tatsächlich alle IT-Systeme bekannt sind und damit in die Überwachung des Datenschutzes einbezogen werden können?

Wir wünschen viel Erfolg mit der DSGVO-gerechten IT-Inventarisierung!

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

E-Mail, Messenger, Social Media | Das neue TTDSG ab Dezember 2021

Das topaktuelle Webinar

Donnerstag, 25. Nov. 2021 09:30 bis 12:00


Infos & Anmeldung
Mitarbeiter vor Bildschirmen

Neuer Termin für das Seminar „KI-Manager“

von Team Datenschutz 31. Januar 2026
Neuer Termin im März: Webinar „KI-Manager – nicht nur für Führungskräfte“. KI-Projekte sicher steuern, DSGVO, AI Act & ISO 42001 praxisnah erklärt.

24. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 23. Dezember 2025
Dieses emotionale Adventstürchen erzählt, wie ein einzelner Weihnachtsgruß eine Kette aus Herzensfreude auslöst – von der Straße über das Büro bis an die Supermarktkasse.

23. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 22. Dezember 2025
Dieses Adventstürchen zeigt, dass Datenschutz nicht nur aus Verboten besteht, sondern auch aus sinnvollen Empfehlungen.

22. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 21. Dezember 2025
Das 22. Adventstürchen erklärt praxisnah, worauf es bei der Informationspflicht zur Videoüberwachung ankommt – und warum Muster nur der Anfang sind.

21. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 20. Dezember 2025
Warum mobile Datenträger besondere Vorsicht erfordern und wie schnell aus Bequemlichkeit ein Datenschutzproblem entsteht.

20. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 19. Dezember 2025
Warum Datenschutz kein Showprogramm für Begehungen ist, sondern gelebter Alltag sein muss – für Sicherheit, Vertraulichkeit und Gesundheit.

19. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 18. Dezember 2025
Wie ein Mitarbeiter einen Sicherheitsvorfall verhindert und damit zum Weihnachtshelden wird.

18. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 17. Dezember 2025
Diese Adventsgeschichte zeigt, wie in einem Krankenhaus durch einfache Maßnahmen Patientendaten geschützt werden konnten und warum Datenschutzbeauftragte manchmal auch Werkzeug brauchen.

17. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 16. Dezember 2025
Dieses DATSIPrUse-Türchen erklärt, warum zu viele Berechtigungen ein Risiko sind, warum Gruppenrichtlinien wichtig sind und wie gemeinsame Ordnung digitale Sicherheit schafft.
Mehr anzeigen