Datenpannen vermeiden dank IT-Inventarisierung

Team Datenschutz • 5. November 2021

Der kleine feine Datentipp

Lesezeit: ca. 4 Minuten

Monitor, Tablet, Mobiltelefon und weitere technische Geräte


Mission erfüllt oder Mission Impossible?


Was trifft wohl eher auf Datenschutzbeauftragte zu — Mission erfüllt oder Mission Impossible? Es zählt zu den zentralen Aufgaben von Datenschutzbeauftragten, zu überwachen, ob die Anforderungen der Datenschutzgrundverordnung eingehalten sind. Und zwar vollständig. Eine IT-Inventarisierung kann dabei hervorragende Dienste leisten. Denn sie ist nicht nur für die Informationssicherheit ein bewährtes und unerlässliches Hilfsmittel, sondern auch für den Datenschutz. 



IT-Inven­ta­ri­sie­rung

Die Inventarisierung beschreibt in der Informationstechnologie ein Verzeichnis, in dem alle informationstechnischen System eines Unternehmens aufgelistet sind. Lückenlos geführt, gibt die IT-Inventarisierung eine vollständige und systematische Übersicht über die betrieblichen Geräte, Programme und Lizenzen und ermöglicht so den Überblick über die genutzte Software und Hardware. Sie erleichtert Administratoren und Verantwortlichen das Gerätemanagement, erhöht IT-Sicherheit und Datenschutz und bildet eine wichtige Grundlage für Zertifizierungen.



Notebook für Notebook ...


Ein Beispiel aus der Praxis. Bei einer Begehung fragte der Datenschutzbeauftragte bezüglich des genutzten Notebooks nach der Inventarisierungsnummer. Die Antwort der Kollegin (die aufgrund ihrer Tätigkeit der Geheimhaltung unterlag): „Für welches Gerät meinen Sie jetzt die Inventarisierungsnummer?“ Im Schrank befanden sich zwei zuvor genutzte Notebooks, bei denen sich keiner der Administratoren getraut hat, sie mitzunehmen und zu entsorgen – wegen der Geheimhaltungspflicht. Die Folge? Die Kollegin hatte jeweils die aufgeklebte Inventarisierungsnummer abgelöst und dem neuen Rechner aufgeklebt. Ob das wohl den Regeln zu Datenschutz und Informationssicherheit entsprach?



Alle Systeme im Blick behalten


Eine der wichtigsten Voraussetzungen ist es also, alle, wirklich alle Geräte im Blick zu haben, mit denen personenbezogene Daten verarbeitet werden. Dazu gehören PCs, Thin Clients, Notebooks, Tablets, Smartphones und alles, womit sonst so personenbezogene Daten bearbeitet werden. Damit das gelingt, braucht es ein Inventar, das alle genutzten informationstechnischen Systeme enthält. Und zwar sowohl derer, die dem Unternehmen gehören, als auch jener in Privatbesitz, die geschäftlich genutzt werden.






Homeoffice und mobiles Arbeiten als besondere Herausforderung


Eine der besonderen Herausforderungen ist dabei, dass das Homeoffice immer stärker genutzt wird. Längst nicht jedes Gerät im Homeoffice gehört jedoch dem Unternehmen. Meist kommt gerade am heimischen Arbeitsplatz eine Kombination aus privaten und dienstlichen Geräte zum Einsatz. Ein Beispiel sind private Router, die auch der Rest des Haushalts nutzt. Zwar gibt es mobile Router, die nur mit dienstlichen Geräten genutzt werden, aber längst nicht alle Arbeitsplätze im Home-Office sind mit einem solchen Gerät ausgestattet. Möglich ist es auch, Smartphones als Hotspot so einzurichten, dass nur das dienstlich genutzte Gerät auf dieses Smartphone zugreifen kann. Aber auch hier: Längst nicht alle Arbeitsplätze im Home-Office sind so ausgestattet. Alle Geräte mit personenbezogenen Daten im Blick zu behalten, ist eine echte Herausforderung.






Datenschutz­vorfälle durch nicht erfasste Geräte


Werden im Unternehmen private Geräte genutzt oder Geräte, die aus anderen Gründen nicht durch die Inventarisierung erfasst sind, ist nicht bekannt, wie sie genau konfiguriert sind. Das bringt die Gefahr mit sich, dass damit personenbezogene Daten verarbeitet werden, nicht aber nach den geltenden Regeln. Nicht selten kommt es so zu Datenschutzvorfällen, die unter Umständen sogar eine Meldepflicht bei der Aufsichtsbehörde auslösen.





Risiken unbekannter informations­technischer Systeme


Fehlt eine vollständige Inventarisierung, bestehen mehrere Risiken. Es werden unbekannte Geräte genutzt, bei denen nicht klar ist, wie sie konfiguriert sind und wie sie genutzt werden. Über diese Geräte können betriebliche Informationen abgezogen werden und von Unbefugten genutzt oder missbraucht werden.






Datenpannen vorbeugen


In diesem Zusammenhang empfiehlt es sich, einen Prozess zur Meldepflicht zu bestimmen. Wo immer es durch eine mögliche Nutzung nicht inventarisierter Geräte zu einem Datenschutzvorfall kommen kann, müssen weitere Instrumente des Datenschutzes greifen. Die Beschäftigten sollten bestimmte Regeln kennen und einhalten. Etwa, dass die Risiken unbekannter Geräte bekannt sind und diese gemeldet werden. Hier sollte es im Unternehmen eine zentrale Stelle geben.






Inventarisierung, Inventarisierung, Inventarisierung


Zurück zur Inventarisierung. Administratoren, Datenschutzbeauftragte und Informationssicherheitsbeauftragte müssen alle Sinne darauf ausrichten, von sämtlichen im Unternehmen genutzten Devices zu wissen. Alle diese Geräte müssen in einem Inventar erfasst sein. Bleibt das aus, droht immer die Gefahr, dass mit den nicht erfassten Geräten personenbezogene Daten außerhalb der Regeln verarbeitet werden.





Tipps für eine erfolgreiche
IT-Inventari­sie­rung



  • Vergewissern Sie sich, ob es im Unternehmen bereits eine Inventarisierung aller IT-Systeme gibt.


  • Stellen Sie sicher, dass nicht nur unternehmenseigene, sondern auch private Geräte erfasst werden, sofern sie betrieblich im Einsatz sind – etwa im Home-Office oder beim mobilen Arbeiten.


  • Erfassen Sie auch private Geräte, die KollegInnen erlaubt mit an den Arbeitsplatz bringen. Eine betriebliche Inventarisierungsnummer ist hier nicht zwingend notwendig.


  • Sorgen Sie dafür, dass auch Geräte von Geheimnisträgern in der Inventarisierung erfasst werden. Werden solche Geräte ausgemustert, stellen Sie sicher, dass sie nach angemessenen Regeln entsorgt werden.


  • Vergeben Sie jedem neu ausgelieferten Gerät eine Inventarisierungsnummer.


  • Nutzen Sie Begehungen immer auch als Kontrolle, ob alle informationstechnischen Systeme tatsächlich erfasst sind.


  • Stellen Sie seitens des Datenschutzes sicher, dass jährlich ein bestimmter Prozentsatz der IT-Systeme stichprobenartig darauf geprüft wird, ob die geltenden Regeln eingehalten werden – beispielsweise, ob Gruppenrichtlinien für Betriebssysteme wie Windows 10 umgesetzt sind.


  • Entwickeln Sie zusammen mit Informationssicherheitsbeauftragten ein System, das sicherstellt, dass keine Geräte und IT-Systeme übersehen werden.


  • Stellen Sie alle Regeln zur Inventarisierung in einer entsprechenden Richtlinie zusammen. Nehmen Sie darin auch Regeln auf, wie die Einhaltung der Vorgaben zu Datenschutz und Informationssicherheit überprüft wird.


  • Klären Sie in einem Eskalationsszenario, was zu geschehen hat, wenn nicht erfasste Geräte erkannt werden. Gleiches gilt für den Fall, dass Geräte gefunden werden, bei denen die bestehenden Regeln gebrochen wurden.


  • Berichten Sie den Verantwortlichen regelmäßig, welche Ergebnisse Begehungen der Büroräume erbracht haben.


Lassen Sie Datenschutz nicht zur Mission Impossible werden! Mit unseren Tipps sorgen Sie dafür, dass Datenschutzbeauftragte ihre Mission erfüllen – und die Einhaltung von Datenschutzbestimmungen erfolgreich umsetzen und überwachen.



Und die Kernfrage: Kann sichergestellt werden, dass tatsächlich alle IT-Systeme bekannt sind und damit in die Überwachung des Datenschutzes einbezogen werden können?

Wir wünschen viel Erfolg mit der DSGVO-gerechten IT-Inventarisierung!

Bei Datenschutz-Fragen Team Datenschutz fragen.


Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

E-Mail, Messenger, Social Media | Das neue TTDSG ab Dezember 2021

Das topaktuelle Webinar

Donnerstag, 25. Nov. 2021 09:30 bis 12:00


Infos & Anmeldung

15. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 14. Dezember 2025
Dieses Türchen verbindet Alltag, Risiko und Weihnachtszauber und zeigt, warum Datenschutz in Behörden nicht nur Pflicht ist – sondern Menschenschutz.

14. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 13. Dezember 2025
Das heutige Adventskalender-Türchen ist für alle, die wissen wollen, wie Datenschutz auch auf vier Rädern funktioniert.

13. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 12. Dezember 2025
In dieser warm erzählten Adventsgeschichte zeigt ein Fuhrparkleiter, wie man mit Ruhe, Respekt und Know-how eine stille Datenpanne verhindert und gleichzeitig das gesamte Unternehmen verbessert.

12. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 11. Dezember 2025
VPN, Verschlüsselung und richtige Reihenfolge entscheiden, ob ein Angreifer nur bunte Datenpakete sieht oder ob ein echtes Risiko entsteht.

11. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 10. Dezember 2025
Nicht jeder Held trägt einen Umhang. Diese Geschichte erzählt von einem Kollegen, der mehr Sicherheit schafft als jede technische Maßnahme.

10. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 9. Dezember 2025
Was tun, wenn ein externer Partner einen Datenschutzfehler verursacht? Ein spannendes Türchen über Krisenkompetenz, Vertrauen und echtes Projekt-Leadership.

9. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 8. Dezember 2025
Wie gewinnt man Kunden, wenn Budgets wie dünne Eiszapfen wirken? Indem man zeigt, dass Datenschutz nicht nur Ressourcen kostet, sondern sich auszahlen kann.

8. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 7. Dezember 2025
Das 8. Türchen zeigt humorvoll, wie ein unscheinbarer Router zum Risiko wird und wie ein IT-Kollege mit viel Fachkenntnis (und etwas Übermut) eine kritische Situation sichtbar macht.

7. Türchen im Datenschutz-Advents­kalender

von Team Datenschutz 6. Dezember 2025
Was passiert, wenn ein Team erkennt, dass ein Kollege unterzugehen droht? In dieser warmen Adventsgeschichte wird aus Stress eine stille, liebevolle Rettungsaktion.
Mehr anzeigen