Machen Sie sich das Leben als DSB oder Berater leicht und erstellen Sie eine IT-Architekturübersicht!

Egal, ob in Ihrem Unternehmen ein neues System (z.B. ERP) eingeführt oder ob ein VVT (Verzeichnis von Verarbeitungstätigkeiten) oder ein Löschkonzept erstellt werden soll: ohne die Herstellung von Transparenz (und somit Klarheit und Verständnis) über die IT-Architektur bzw. die IT-Systeme und deren Schnittstellen untereinander und nach außen geht es nicht oder alles ist nur sehr schwer verständlich! Eine IT-Architekturübersicht bietet eine visuelle Darstellung der verschiedenen Komponenten, Systeme und Verbindungen in der IT-Infrastruktur eines Unternehmens und so sind auch die Abhängigkeiten der Systeme untereinander gut sichtbar. Um diese Übersicht für das VVT oder das Löschkonzept nutzen zu können, wird sie dann noch erweitert um die jeweiligen Datenkategorien/Datenarten in den Systemen. Eine IT-Architekturübersicht mit Datenschutz-Hintergrund könnte z.B. so aussehen:

Bei der Erstellung des VVTs oder des Löschkonzepts jetzt einfach die IT zu fragen: „Gebt mir bitte einmal eine IT-Architekturübersicht mit allen personenbezogenen Daten, die in den Systemen gespeichert sind“ wird nicht funktionieren. Nicht, weil die IT zu faul dazu ist oder blockt. Nein, es ist (zumindest aktuell) noch nicht Aufgabe der IT, so eine Übersicht zu erstellen oder zu haben. Die IT hat sehr ausführliche Darstellungen von Serverlandschaften, Firewalls usw. und deren jeweilige Verbindungen untereinander. Und nein, die IT weiß nicht genau, welche Datenkategorien oder Datenarten in den jeweiligen Systemen gespeichert sind. Dies kann sie natürlich mit Auswertungen herausfinden, aber im normalen Tagesgeschäft ist es nicht deren Aufgabe, dies zu wissen. Die IT stellt die Server/Datenbanken bereit und sorgt u.a. für die Ausfallsicherheit der Systeme und den Schutz der Daten.

Das führt uns zu der Herausforderung, dass es aktuell in einem Unternehmen noch keine Übersicht der IT-Architekturlandschaft inklusive Datenarten gibt. Ich zumindest habe noch keine gesehen (außer meiner natürlich ;-)).

Braucht ein Löschkonzept denn eine IT-Architekturübersicht?

Ja, ja, ich weiß, dass die meisten DSBs ein VVT oder sogar ein Löschkonzept ohne diese Übersicht erstellen. Und manche Berater interessiert noch nicht einmal, in welchen Systemen die Daten gespeichert sind. Aber seien wir mal ehrlich: wie soll die Umsetzung eines Löschkonzepts (also die Datenlöschung an sich) funktionieren, wenn nie eine ganzheitliche Übersicht über die Tools/Systeme, deren Datenbestand und -speicherung und Schnittstellen hergestellt wurde?

Aktuell ist es leider fast immer so, dass die Löschkonzepte von Juristen ohne tiefgreifende IT-Kenntnisse erstellt werden. Bitte nicht falsch verstehen: diese Löschkonzepte sind rechtlich super sauber, sehr detailliert und umfassen meist über 150 Seiten in Word (auch als Ausdruck aus einem DSMS). Was für mich persönlich ein Grauen ist, denn ICH lese mir keine 150 Seite durch und ich glaube, die meisten anderen auch nicht (deshalb erstelle ich meine VVTs und Löschkonzepte in Excel).

Was bei diesen „Word-Löschkonzepten“ aber schwierig ist: die IT wurde bei der Erstellung meist nicht mit eingebunden, da es hier eine klare Trennung vom theoretischen Teil des Löschkonzeptes zur Umsetzung der Löschung gibt. Denn für die Lösch-Umsetzung fühlen sich diejenigen, die das Löschkonzept erstellt haben, meist nicht zuständig. Und das ist nicht gut ….. denn so werden auch oftmals Datenarten und Regeln festgelegt, die später nicht umsetzbar sind. Und das führt zu Mehrkosten und Frustration.

Und wie nun vorgehen?

Es ist überhaupt nicht schwer, gleich bei der Erstellung des VVTs oder Löschkonzepts (oder davor) eine Übersicht der IT-Architektur inklusive der jeweiligen Datenkategorien/Datenarten mit zu erstellen. Sie müssen dazu weder ITler noch Grafiker sein. Nur einen gesunden Menschenverstand und eine gewisse Kombinations-Gabe haben.

Mein Vorschlag für die Erstellung einer IT-Architekurübersicht:

• Durchsuchen Sie die IT- und Fachbereichs-Dokumente nach Systemen/Tools, die ihr Unternehmen einsetzt. Ich weiß, dieser Schritt ist ungewöhnlich, denn die meisten Berater halten lieber stundenlange Workshops ab. Aber warum die Mitarbeiter so von der Arbeit abhalten und nerven, wenn es doch schon umfangreiche Unterlagen gibt? Kurze Termine mit Einzelbefragungen können Sie später immer noch machen, aber dann haben Sie schon einmal eine grobe Besprechungs-Grundlage.
• Teilen Sie die „Datenspeicherorte“ auf in:
  – Empfängerdaten: „Wohin gehen Ihre Unternehmensdaten“ (z.B. Bank, Finanzamt, Steuerberater)
  – Frontend/Datenansicht: „Auf welche Tools und Systeme haben Sie Zugriff“. Und hier noch unterteilt in „On-Prem (Ihr Rechenzentrum)“ und „Cloud-Tools“
  – Übergreifende Systeme: „Welche Systeme greifen auf viele Anwendungen zu oder viele Anwendungen greifen auf dieses System zu“ (z.B. Firewall, Druckmanagement)
  – Datenspeicherung: „In welchen Datenbanken werden welche Datenarten gespeichert“
  – Übergreifende Datenspeicherung: „Wo werden die unstrukturierten personenbezogenen Daten gespeichert“ (z.B. Laufwerke, E-Mails).
• Sehen Sie sich das VVT an: JEDE Datenkategorie/Datenart muss ja irgendwo gespeichert sein (bzw. über ein Frontend aufrufbar sein). Somit müssen die Daten jeder Verarbeitung auch irgendwo in der IT-Architekturübersicht auftauchen. Dies ist somit auch ein genialer Check, ob Sie alle Verarbeitungen im VVT erfasst haben und hier können Sie dann auch gleich das VVT glatt ziehen.
• Markieren Sie (z.B. mit einem kleinen „Männchen“) die Systeme, bei denen Externe Zugriff haben. So wissen Sie dann auch immer (auch sehr gut für Audits) wer auf welche Daten Zugriff hat.
• Nach der Erstellung: sprechen Sie alles mit dem/den IT-Verantwortlichen ab, klären Sie die letzten offenen Punkte und lassen Sie sich eine Freigabe geben.
• Und noch ein Hinweis: ich stelle in der IT-Architekurübersicht auch gleich wichtige Prozesse rund um die personenbezogenen Daten dar (z.B. wenn Daten in einem Tool angelegt, dann aber per E-Mail nach außen geschickt werden). Diese Prozesse sollten Sie dann noch mit dem entsprechenden Fachbereich abstimmen und freigeben lassen.

Meine Erfahrung hat gezeigt, dass die IT am Anfang immer sehr skeptisch bezüglich dieser Übersicht ist. Aber zum Schluss sind alle begeistert, drucken sich die Übersicht aus und hängen sich diese im Büro an die Wand. Und da mein Credo ist: „Keine Dokumente nur für die Schublade“, freut mich dies immer sehr. Und diese IT-Architekturübersicht wird auch für Audits oder IT-Security-Fragen genutzt.

Und in welchem Tool kann die IT-Architekturübersicht erstellt werden

Ich mache dies immer in VISIO, da alle meinen Kunden über eine VISIO-Lizenz verfügen und die Übersicht dann später selbst weiter bearbeiten können. Aber es reicht auch Word, PowerPoint oder mit welchem Tool Sie sich wohlfühlen. Oder auch nur eine handschriftliche Zeichnung. Ggf. haben Sie ja auch einen grafisch versierten Praktikanten oder Kollegen, der dies für Sie übernehmen kann.

Und machen Sie sich beim Start keinen Streß, fangen Sie einfach erst einmal an: 100% (Darstellung der Systeme) werden Sie beim ersten Mal sowieso nicht erreichen. Aber so haben Sie eine tolle Grundlage, auf die es sich aufbauen läßt.