Praxisbuch IT-Dokumentation E-Book

Definition Funktion

Unter einer Funktion wird im Buch eine logische Zusammenfassung von einem Team oder eine Gruppe von Personen, einschließlich der eingesetzten Hilfsmittel, verstanden, die benötigt werden, um einen oder mehrere Prozesse oder Aktivitäten durchzuführen. Funktionen bilden nicht zwangsläufig organisatorische Strukturen ab. Sie können vielmehr aus einer beliebigen Anzahl von Organisationseinheiten und in beliebiger Konstellation organisiert werden.

Bild 1.1Anforderungen der Nutzergruppen hinsichtlich Detaillierungsgrad. Quelle: Reiss [2018]

Die Schwierigkeit beim Aufbau bzw. bei der Strukturierung der IT-Dokumentation besteht darin, dass sie die unterschiedlichen Sichten von verschiedenen Benutzern und damit unterschiedlichen Anforderungen Rechnung tragen muss. In der Praxis bewährt hat es sich deshalb, zunächst die folgenden Fragen zu beantworten: Welche Aufgabenfelder sind der IT-Dokumentation zuzuordnen und wer ist für welchen Bereich der Dokumentation verantwortlich? Gerade bei der IT-Dokumentation ist die Frage der Verantwortlichkeiten nicht leicht zu beantworten, da es eine Reihe von Schnittstellen gibt, unter anderem zu den Fachbereichen, zum Informationssicherheitsbeauftragten und zum Qualitätsmanagement. Die Frage betrifft außerdem nicht nur den IT-Betrieb, sondern auch IT-Projekte. Immer häufiger werden nämlich IT-Projekte unter gleichzeitiger Mitwirkung von IT-Entwicklung, IT-Betrieb und Fachbereichen durchgeführt.

Das Scoping der IT-Dokumentation ist daher eine wichtige Aufgabe. Scoping beschreibt hier die Definition von Aufgaben- und Verantwortungsumfängen. Das Wort leitet sich aus dem englischen scope ab, was die Bedeutungen Umfang, Abgrenzung, Raum, Aufgabenbereich, Spielraum u. Ä. haben kann. Bei klassischen IT-Aufgabenbereichen wie dem operativen Betrieb der Systeme ist die Zuordnung dabei in der Regel einfach. Bei Querschnittsthemen wie der Anwendungsdokumentation oder dem Notfallmanagement fällt die Beantwortung der o. g. Fragen häufig bereits schwerer. Das nachstehende Beispiel soll dies verdeutlichen:

Die in der Praxis häufig fehlenden Festlegungen von Verantwortlichkeiten und Schnittstellen führen hier regelmäßig zu Reibungsverlusten und verhindern die Pflege einer nachhaltigen Anwendungsdokumentation, insbesondere wenn Teile dieser Aufgaben an Dienstleister ausgelagert sind. Aus Sicht der IT-Organisation ist daher zwingend eine Abgrenzung der Dokumentation (für welche Bereiche ist die IT verantwortlich) erforderlich. Außerdem müssen Übergabeschnittstellen definiert werden. Schließt die IT-Organisation beispielsweise in eigener Zuständigkeit Verträge mit Dienstleistern ab, so gehören die Dienstleistungsverträge ebenfalls zur IT-Dokumentation.

Zur Umsetzung von IT-Governance haben sich eine Reihe von Frameworks (Referenzmodellen) etabliert, die den Rahmen sowie die Anforderungen und Ergebnisse einer IT-Steuerung definieren. Die Frameworks bieten als Best-Practice-Methoden zur prozessorientierten IT-Steuerung eine Vorstrukturierung von Aufgaben und Arbeitsschritten. Hierzu zählen u. a. COBIT, ITIL®, TOGAF und das Microsoft Operations Framework (MOF). COBIT ist ein übergeordnetes Framework für die (IT-)Governance und das (IT-)Management. Es kann dabei helfen, die Verbindung zwischen der Governance des Unternehmens und der IT herzustellen. Die IT Infrastructure Library (ITIL®) bietet Best-Practice-Ansätze zum Aufbau eines ganzheitlichen IT-Servicemanagements. Das The Open Group Architecture Framework (TOGAF) bietet hingegen einen Ansatz für Entwurf, Planung, Implementierung und Wartung von Unternehmensarchitekturen.

Sind im Unternehmen derartige Frameworks oder Standards bereits etabliert, leiten sich daraus sinnvollerweise auch der Aufbau der Dokumentationsstruktur für die IT sowie die Verantwortungsbereiche ab. Fehlen hingegen interne Vorgaben, können die folgenden Ausführungen weiterhelfen:

Zunächst muss festgelegt werden, aus welcher grundsätzlichen Sicht die IT-Dokumentation strukturiert werden soll. Dies kann in Anlehnung an HEUERMANN (2014) anhand der nachstehend beschriebenen Sichten erfolgen. Heuermann beschreibt verschiedene Kategoriensysteme zur Aufgabenbeschreibung von IT-Organisationen, die wiederum eine Hilfestellung zur Strukturierung bieten.

       Phasenbezogene Sicht: Bei dieser Sicht werden die Aufgaben einer IT-Organisation im Kontext eines Lebenszyklusmodells betrachtet, beispielsweise des PDCA-Kreises nach Deming (Plan, Do, Check, Act). Im Fokus steht hier die Notwendigkeit einer kontinuierlichen Verbesserung. Außerdem wird die Interaktion zwischen der IT-Organisation und den Business-Bereichen betrachtet.

       Funktionsbezogene Sicht: Bei dieser Sicht werden die Aufgaben der IT-Organisation entlang der Aufbauorganisation betrachtet (IT-Infrastrukturbetrieb, Softwareentwicklung, IT-Leitung, IT-Services o. Ä.). Eine funktionsorientierte Ausrichtung ist geprägt durch vertikale Hierarchien, eine entsprechende aufbauorganisatorische Struktur und eine starke Trennung zwischen Fach- und Ressourcenverantwortung. Das heißt, jede einzelne Organisationseinheit ist nur für jeweils den eigenen Schritt in dieser Kette zuständig.

       Prozess-/Ablaufbezogene Sicht: Im Gegensatz zur aufbaustrukturbezogenen Sicht ist auch eine Identifizierung der Aufgaben entlang der IT-internen Abläufe möglich. Möglich ist beispielsweise eine Unterteilung in IT-Kernprozesse wie Servicemanagement, IT-Projektmanagement und IT-Betrieb sowie Querschnittsfunktionen wie zum Beispiel Beschaffung, Personalmanagement oder Kundenmanagement.

       Themenbezogene Sicht: Möglich ist weiterhin eine thematische Strukturierung von abstrakten IT-Aufgaben losgelöst von technischen oder organisatorischen Regelungen. Mögliche Bereiche sind: Infrastruktur- und Netzwerkbetrieb, IT-Sicherheit, Datenbankbetrieb, Architekturmanagement, Störungsmanagement, IT-Management usw.

       Objektbezogene Sicht: Die objektbezogene Sicht organisiert die Aufgaben einer IT-Organisation entlang der zu verwaltenden Objekte (Applikationsverwaltung, Client-Server-Betrieb, Datenbankmanagement, Druckerverwaltung usw. Ergänzend kommen querschnittsbezogene Themen wie Vertragsmanagement, Lizenzmanagement und beispielsweise Personalmanagement hinzu.

       Managementbezogene Sicht: Bei dieser Sicht werden alle Aufgaben der IT-Organisation aus Sicht des IT-Managements betrachtet. Hierbei ist das Management für die Steuerung des operativen IT-Betriebs verantwortlich und definiert für diesen die Vorgaben. Typische IT-Managementbereiche sind IT-Strategie, IT-Sicherheitsmanagement, IT-Servicemanagement, IT-Risikomanagement u. a. [Reiss, 2018]

Die für die eigene IT-Organisation passende Strukturierungssicht hängt zwangsläufig von der unternehmensspezifischen Ausrichtung und vom jeweiligen Grad der Service- und Prozessorientierung der IT-Organisation ab. Lange Zeit war die vorherrschende Organisationsform von Unternehmen hierarchisch funktionsorientiert. Doch immer mehr Unternehmen erkennen, dass ein ausgeprägter Servicegedanke mit einer gut funktionierenden Kundenbeziehung entscheidend für den Geschäftserfolg ist. Serviceorientierung, Prozessorientierung und Kundenorientierung stehen daher zunehmend im Fokus der Unternehmen. Und diese neue Ausrichtung erfordert veränderte Organisationsstrukturen, die in der Folge auch die IT-Organisationen betreffen. Diese stehen immer häufiger in der Pflicht, sich als interne Service-Provider aufzustellen, die ihren internen Kunden vertraglich geregelte Dienstleistungen mit definierten SLAs anbieten.

Bei einer prozessorientiert agierenden Organisation stehen die Geschäftsprozesse im Mittelpunkt der betrieblichen Organisation und der Betrieb erfolgt auf Basis definierter Prozesse und standardisierter Verfahren. Hierbei wird das gesamte Handeln als eine Kombination von Prozessen betrachtet und Aufgaben werden organisationsübergreifend anhand von in Prozessen beschriebenen Aktivitäten bearbeitet und über Rollendefinitionen den Ressourcen aus den Organisationsbereichen zugeordnet. Alle Prozesse sind jeweils einem Prozessverantwortlichen unterstellt. Dieser ist für das Prozessergebnis verantwortlich und übernimmt die Koordination innerhalb der Prozesse und zwischen diesen. Die Mitarbeiter werden dabei bestimmten Prozessteams zugeordnet, die einen Prozess von Anfang bis Ende betreuen. Dadurch entstehen flache Hierarchien mit kurzen Informationswegen. Im Idealfall werden die Selbstorganisationsfähigkeiten der Teams gestärkt.

Ein Geschäftsprozess, auch als Unternehmensprozess bezeichnet, ist ein Prozess, der am Unternehmenszweck ausgerichtet ist und zum Erfolg eines Unternehmens beiträgt. Typischerweise werden die Geschäftsprozesse eines Unternehmens in drei Gruppen unterteilt:

       Der wertschöpfende Betriebsablauf eines Unternehmens besteht aus Kernprozessen (auch als Wertschöpfungsprozesse oder Primäre Geschäftsprozesse bezeichnet). Durch diese Prozesse wird der Mehrwert bzw. die Wertsteigerung des Unternehmens geschaffen. Beispiele hierfür sind Produktionsprozesse, Dienstleistungsprozesse und Vertriebsprozesse.

       Daneben gibt es sogenannte Unterstützungsprozesse (auch als Supportprozesse oder Sekundäre Geschäftsprozesse bezeichnet). Unterstützungsprozesse stellen Ressourcen und Services zur Verfügung und sind darauf ausgerichtet, die Kernprozesse des Unternehmens zu unterstützen. Diese Prozesse erzeugen keinen direkten Kundennutzen. Zu den Unterstützungsprozessen zählen beispielsweise das interne und externe Rechnungswesen sowie das Personalwesen und auch die Informationstechnologie.

       Managementprozesse (auch als Steuerungsprozesse bezeichnet) dienen der Steuerung des Unternehmens und sind für die Verbesserung und Steuerung der Wertschöpfungsprozesse und Unterstützungsprozesse zuständig. Sie ermöglichen es, die Unternehmensziele zu verfolgen, die damit verbundenen Risiken zu definieren und zu bewerten sowie die Zielerreichung zu überwachen. Zu den Managementprozessen zählen u. a. Prozessoptimierungsprozesse, Innovationsprozesse, Strategieentwicklungsprozesse, aber auch Qualitätsmanagement, Risikomanagementprozesse und nicht zuletzt Überwachungsprozesse.

Die von der IT-Organisation durchgeführten Prozesse werden als IT-Prozesse bezeichnet. Mithilfe standardisierter IT-Prozesse werden die Leistungen der IT-Organisation (Beschaffung, Entwicklung und Betrieb von IT-Ressourcen) transparent und steuerbar sowie Ab­weichungen von Anforderungen messbar. In der Standardisierung der Leistungen liegt ein wesentlicher Schlüssel für Wirtschaftlichkeit, Qualität und Sicherheit. Prozesse sind zu­gleich die wesentliche Grundlage für ein Qualitätsmanagement in der IT-Organisation, denn sie erzeugen regelmäßig ein messbares Ergebnis. [BMI, 2006]

„Wir wollen nun endlich unsere IT-Dokumentation optimieren.“ Häufig scheitert dieser gut gemeinte Vorsatz daran, dass man einfach nicht weiß, wo man beginnen soll und was alles zu berücksichtigen ist. Das wiederum liegt auch darin begründet, dass der Begriff „IT“-Dokumentation nicht allgemeingültig definiert ist bzw. klare Vorgaben für die Abgrenzung zu anderen Dokumentationsbereichen fehlen.

Welche Themen bzw. welche Dokumente müssen bzw. sollten der IT-Dokumentation zugeordnet werden und welche nicht? Und wie grenzt sie sich von anderen Dokumentationsbereichen ab. Die Beantwortung dieser Fragen bildet die Basis für die weiteren Ableitungen in diesem Kapitel und ist in der Praxis elementar, um ein gemeinsames Verständnis für dieses komplexe Thema zu schaffen.

Die Strukturierung der IT-Dokumentation ist dann der nächste wichtige Schritt. Hierbei stehen die folgenden Fragen im Mittelpunkt: Welche Dokumentationsbereiche sind zu berücksichtigen? Wie sieht eine sinnvolle Struktur für die IT-Dokumentation aus? Welche Verantwortlichkeiten gibt es bzw. wie müssen diese geregelt werden?

In der Praxis bewährt hat sich eine Strukturierung der IT-Dokumentation aus Sicht des IT-Managements. Hierbei werden nicht nur die Aufgabenbereiche des IT-Managements betrachtet, sondern auch die durch das Management gesteuerten operativen Funktionen, woraus sich nach REISS [2018] eine Unterscheidung der Aufgaben in die beiden grundlegenden Bereiche ableitet:

       Aufgabenfelder des IT-Managements: Das Management ist für die Steuerung des operativen IT-Betriebs verantwortlich und definiert für diesen die Vorgaben.

       Aufgabenfelder des operativen IT-Betriebs: Hierzu zählen vor allem die Bereiche System- und Infrastrukturbetrieb, Anwendungsbetrieb und Entwicklung sowie der Bereich der operativen Serviceerbringung.

Die nachstehende Abbildung verdeutlicht diesen Ansatz. Der obere Bereich beschreibt exemplarisch Aufgabenfelder des IT-Managements.

Aus Sicht der Dokumentation wichtig ist, dass eine Reihe der benannten Managementaufgaben auch operative Komponenten bzw. Prozesse umfassen. Beim IT-Servicemanagement beispielsweise sind alle Prozesse zur Serviceplanung, -entwicklung und -steuerung Managementaufgabe. Die Serviceausführung mit den typischen Prozessen zum Störungsmanagement, Problemmanagement, Changemanagement oder Konfigurationsmanagement u. a. ist hingegen dem operativen IT-Betrieb zuzuordnen.

Die Frage nach einer sinnvollen Strukturierung der Dokumentation des operativen IT-Betriebs lässt sich hingegen nicht einfach beantworten. Diese hängt wesentlich von der eigenen IT-Aufbauorganisation und deren Ausgestaltung und damit von einer Reihe von Faktoren ab und unterliegt zudem einem regelmäßigen Wandel:

       Zentrale oder dezentrale IT-Organisation

       Grad der Prozess- und Serviceorientierung

       Umfang und Ausgestaltung des Outsourcings

       Klassische oder agile Arbeitsweisen

Da es aber erfahrungsgemäß schwierig ist, eine Struktur unter Berücksichtigung aller genannten Punkte zu entwickeln, hat sich als Best-Practice-Ansatz eine Unterteilung in die drei folgenden Aufgabenbereiche als hilfreich erwiesen:

       System-/Infrastrukturbetrieb: Der System-/Infrastrukturbetrieb umfasst die Bereitstellung der erforderlichen IT-Systeme, was auch die damit verbundenen Tätigkeiten (Installation und Konfiguration, Wartungstätigkeiten und Absicherung der Systeme) einschließt.

       IT-Serviceerbringung (Servicebetrieb): In diesem Bereich werden die technischen Fertigkeiten und Ressourcen bereitgestellt, die für die Bereitstellung der IT-Services auf der operativen Ausführungsebene erforderlich sind (Service Desk, Arbeitsplatzverwaltung, Änderungsmanagement usw.).

       Anwendungsbetrieb und -entwicklung: Der Bereich ist verantwortlich für die Verwaltung von Anwendungen über ihren gesamten Lebenszyklus hinweg. Er spielt auch beim Design, beim Testen und bei Verbesserungen von Anwendungen eine wichtige Rolle.

Die Unterteilung in die drei benannten Bereiche ist wie beschrieben generisch und muss individuell angepasst werden, wie das folgende Beispiel zeigt:

Entsprechend der Ausrichtung des vorliegenden Praxishandbuchs steht in den folgenden Kapiteln die Dokumentation des operativen IT-Betriebs im Fokus. Die Dokumentation des IT-Managements wird unter dem Aspekt der Vorgabedokumentation für den IT-Betrieb betrachtet. Dies trifft vor allem auf die Bereiche der Service- und Prozessdokumentation und die Bereiche Sicherheits-, Notfall- und Datenschutzdokumentation zu, da unabhängig von der Größe oder der Ausgestaltung des IT-Managements jede Organisation Anforderungen an Sicherheit, Datenschutz und Notfallvorsorge unterliegt und diese entsprechend nachweisen muss (die Dokumentation für die Bereiche Informationssicherheit, Datenschutz und Notfallmanagement wird ausführlich in Kapitel 6 erläutert).

Bild 1.5Die vier Dokumentationsbereiche der IT-Dokumentation in früheren Auflagen des Praxisbuchs IT-Dokumentation

Tabelle 1.1 Umsetzungstabelle der Struktur früherer Auflagen in den neuen Strukturierungsansatz

Dokumentationsbereich in früheren Auflagen

Zuordnung Dokumentationsbereich in vorliegender Auflage

Rahmendokumente

Aufgabenfelder des IT-ManagementsWerden in der vorhandenen IT-Dokumentationsstruktur Rahmendokumente verwendet, können diese nun bei Bedarf mit Hilfe der Managementaufgabenfelder untergliedert werden.

Betriebsdokumentation

System-/Infrastrukturbetrieb sowie operative IT-ServicesDa in der Praxis der Betrieb der Systeme organisatorisch oftmals von Services wie dem Help Desk getrennt ist, wird im neuen Strukturierungsmodell zwischen beiden Bereichen unterschieden. Sofern sinnvoll, ist aber natürlich auch weiterhin eine Zusammenfassung des System-/Infrastrukturbetriebs und operativer IT-Services möglich.

Notfalldokumentation

IT-Notfallmanagement als Aufgabenfeld des IT-ManagementsMit der steigenden Bedeutung von Informations- bzw. IT-Sicherheit ist eine Fokussierung auf das Notfallmanagement nicht mehr zeitgemäß. In der neuen Struktur wird Notfallmanagement daher als Aufgabenfeld dem IT-Management zugeordnet und als Teilbereich der in Kapitel 4 betrachteten sicherheitsrelevanten Dokumentationsbereiche Informationssicherheit, Datenschutz und Notfallmanagement behandelt.

Projektdokumentation

Anwendungsbetrieb und EntwicklungIn früheren Auflagen war die Anwendungsdokumentation in Gänze der Projektdokumentation zugeordnet. Auch um die in Organisationen häufig gelebte Trennung zwischen Anwendungsbetrieb und Entwicklung abbilden zu können, ist in der neuen Struktur die Projektdokumentation ein Teilbereich der Entwicklungsdokumentation.

Bild 2.1House of IT-Compliance. Quelle: Klotz [2011]

Das Handelsgesetzbuch (HGB) ist die zentrale Vorschrift für das Handelsrecht in Deutschland. Es enthält sowohl Regelungen für Gesellschaftsformen als auch für Handelsgeschäfte und die Führung der relevanten Handelsbücher.

Die Abgabenordnung (AO) ist das elementare Gesetz des deutschen Steuerrechts. In ihr sind die grundlegenden Regelungen enthalten, wie die Steuern zu erheben sind. Zusätzlich sind in Anlehnung an das HGB auch Anforderungen an das Führen der Bücher sowie weiterer steuerlich relevanter Unterlagen beschrieben.

Im vierten Teil der AO, in dem es um die Durchführung der Besteuerung geht, konkretisieren die Paragrafen 145 bis 147 die Anforderungen an die Buchführung und an die Aufzeichnungen. Danach muss gemäß § 145 Abs. 1

„die Buchführung so beschaffen sein, dass sie einem sachverständigen Dritten innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens vermitteln kann“. [AO, vom 28. 07. 2015]

Dies ist einer der Kernsätze der Grundsätze ordnungsgemäßer Buchführung (GoB) und ist gleichlautend im HGB, § 238 Abs. 1 enthalten. Ein weiterer Kernsatz der GoBD ist in § 239 Abs 4 im HGB geregelt.

„Bei der Führung der Handelsbücher und der sonst erforderlichen Aufzeichnungen auf Datenträgern muss insbesondere sichergestellt sein, dass die Daten während der Dauer der Aufbewahrungsfrist verfügbar sind und jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden können“. [HGB, vom 01. 04. 2015]

Diese Anforderungen sind auch die Basis jeder Ordnungsmäßigkeitsprüfung einer Revision.

Das Bundesfinanzministerium hat am 14. 11. 2014 das Schreiben zu den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowiezum Datenzugriff (GoBD) veröffentlicht. Die GoBD gelten ab dem 1. 1. 2015 und lösen die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) sowie die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) ab. Das Schreiben konkretisiert die Normen aus der Abgabenordnung (AO) und dem Umsatzsteuergesetz (UStG) und bestimmt damit auch, wie digitale Unterlagen aufbewahrt werden sollen, damit das Finanzamt bei einer Betriebsprüfung auf diese Informationen zugreifen kann. Die GoBD gelten ab dem Steuerveranlagungszeitraum ab 2015. Für davor liegende Zeiträume gelten die bisherigen Vorschriften weiterhin.

Überwiegend haben sich die Anforderungen der Grundsätze an eine ordnungsgemäße Rechnungslegung nicht geändert, insbesondere was den Nachweis einer Verfahrensdokumentation betrifft. Die Vorschriften im Hinblick auf die für die IT wesentlichen Anforderungen sind in 10.1, Verfahrensdokumentation, wie folgt festgelegt:

„Es muss für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein, aus der

       Inhalt,

       Ablauf und

       Ergebnisse des DV-Verfahrens

vollständig und schlüssig ersichtlich sind. Der Umfang der im Einzelfall erforderlichen Dokumentation wird dadurch bestimmt, was zum Verständnis des DV-Verfahrens, der Bücher und Aufzeichnungen sowie der aufbewahrten Unterlagen notwendig ist.

Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems.

Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z. B. bei elektronischen Dokumenten

       von der Entstehung der Informationen

       über die Indizierung,

       Verarbeitung und

       Speicherung,

       dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit,

       der Absicherung gegen Verlust und Verfälschung und der Reproduktion.

Die Verfahrensdokumentation besteht in der Regel aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer technischen Systemdokumentation und einer Betriebsdokumentation.“ [GoBD, vom 14. 11. 2014]

Im Folgenden wird auf weitere Anforderungen mit IT-Bezug in den GoBD eingegangen.

Seit dem 25.05.2018 ist die EU-Datenschutzgrundverordnung, kurz DSGVO, in Kraft. Damit wurde die Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten unmittelbar geltendes Recht in allen Mitgliedsstaaten der Europäischen Union.

Ebenfalls seit dem 25. Mai ist die neue Fassung des BDSG anwendbar. Die DSGVO lässt in einigen Bereichen den Mitgliedsstaaten einen Handlungsspielraum, der in Deutschland mit dem BDSG-neu ausgefüllt wurde. Außerdem dient das BDSG-neu (auch als BDSG 2018 bezeichnet) der Umsetzung Richtlinie (EU) 2016/680 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr, was zu einer etwas unübersichtlichen Struktur geführt hat. Das BDSG-neu besteht aus insgesamt vier Teilen:

       Teil 1 – Gemeinsame Bestimmungen (für alle Teile von BDSG-neu)

       Teil 2 – Durchführungsbestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679

       Teil 3 – Bestimmungen für Verarbeitungen zu Zwecken gemäß Artikel 1 Absatz 1 der Richtlinie (EU) 2016/680

       Teil 4 – Besondere Bestimmungen für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten (BDSG-neu, vom 30. 06. 2017]

Alle Unternehmen und andere Institutionen, die nicht den Justiz- und Strafverfolgungsbehörden angehören, müssen die DSGVO und die Teile 1 und 2 des BDSG-neu sowie bereichsspezifische gesetzliche Regelungen beachten. Hier ist es also weder ausreichend, sich nur mit der DSGVO zu beschäftigen, noch nur mit dem BDSG-neu. Vielmehr müssen die Regelungen des BDSG-neu in Bezug auf die DSGVO geprüft werden. Für Justiz- und Strafverfolgungsbehörden hingegen gelten nur die Teile 1 und 3 des BDSG-neu sowie die Richtlinie (EU) 2016/680.

Während der überwiegende Teil der DSGVO an die operativen Einheiten adressiert ist, regeln die Artikel 25 und 32 Anforderungen, die direkte Auswirkungen auf die IT haben. Die Basis bildet Artikel 32, Sicherheit der Verarbeitung. Dort heißt es in Abs. 1 und Abs. 2:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

a) die Pseudonymisierung und Verschlüsselung personenbezogener Daten;

b) die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;

c) die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;

d) ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Bei der Beurteilung des angemessenen Schutzniveaus sind insbesondere die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere durch – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von beziehungsweise unbefugten Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf andere Weise verarbeitet wurden“. [DSGVO, vom 27. 05. 2016]

Folgende weitere Anforderungen kommen durch Kapitel 25, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Abs. 1 und Abs. 2 hinzu:

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten durch Voreinstellungen nicht ohne Eingreifen einer unbestimmten Zahl von natürlichen Personen zugänglich ge­macht werden.“ [DSGVO, vom 27. 05. 2016].

Aus der Wahrung der Betroffenenrechte ergeben sich für die IT ebenfalls Anforderungen nach technischer Umsetzung und Nachweis durch Dokumentation. Hierzu zählen insbesondere die folgenden Betroffenenrechte:

       Recht auf Löschung nach Art. 17: Sind Angaben über eine Person für eine Verarbeitung nicht mehr notwendig, so hat der Verantwortliche diese unverzüglich zu löschen. Dies gilt auch, wenn ein Betroffener aus diesem Grund die Löschung seiner Daten fordert.

       Recht auf Datenübertragung nach Art. 20 DSGVO: Ein Betroffener kann fordern, dass ein Verantwortlicher seine Daten direkt an einen anderen Verantwortlichen übermittelt, soweit dies technisch machbar ist. Weiterhin sind ihm auf Verlangen die bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu übermitteln. [DSGVO, vom 27. 05. 2016].

Das Telemediengesetz (TMG), zuletzt 2017 aktualisiert, regelt die rechtlichen Rahmenbedingungen für alle elektronischen Informations- und Kommunikationsdienste und ist eine der zentralen Vorschriften des Internetrechts.

Das TMG gilt für alle Anbieter von elektronischen Informations- und Kommunikationsdiensten. Da fast alle Unternehmen Informationsangebote im Internet oder in anderweitigen sozialen Medien anbieten, werden somit auch fast alle Betriebe, egal welcher Größe, vom TMG erfasst. Es kommt damit auch zur Anwendung, wenn beispielsweise ein Unternehmen seinen Mitarbeitern die Nutzung von Internet und E-Mail auch zu privaten Zwecken gestattet. Im Falle der privaten Nutzung besteht zwischen Dienstherrn und Beschäftigtem ein Anbieter-Nutzer-Verhältnis, da es sich bei der Bereitstellung der Dienste um ein Angebot von Telekommunikation und Telemedien im Sinne des Telemediengesetzes handelt. Als solcher hat er das Fernmeldegeheimnis nach § 88 des Telekommunikationsgesetzes zu beachten. Damit ergeben sich vielfältige Fragen zur Wahrung der Privatsphäre der betroffenen Mitarbeiter und es müssen sowohl die Vorschriften des Telemediengesetzes als auch des Bundesdatenschutzgesetzes beachtet werden. Und für Provider ist der Erlaubnisrahmen für die Verarbeitung der Verkehrs-, Nutzungs- und Abrechnungsdaten damit sehr eng gesteckt.

Das TMG unterscheidet explizit zwischen Nutzungs- und Bestandsdaten. Als Nutzungsdaten werden die personenbezogenen Daten eines Nutzers bezeichnet, die erforderlich sind, „um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen“, während die Bestandsdaten die personenbezogenen Daten sind, die „für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses zwischen dem Diensteanbieter und Nutzer über die Nutzung von Telemedien erforderlich sind“ [§ 14 und § 15 TMG, vom 28. 09. 2017]. Diese Bestandsdaten können beispielsweise bei einer Rechtsverfolgung durch die zuständigen Behörden angefordert werden. Wichtig ist, dass das TMG festlegt, dass der Diensteanbieter personenbezogene Daten ausschließlich im Sinne der oben definierten Nutzungs- und Bestandsdaten erlaubt. Werden diese nicht rechtzeitig gelöscht oder zu einem anderen Zweck erhoben, führt dies zu ordnungswidrigem Verhalten und kann mit einer Geldbuße geahndet werden. Abrechnungsdaten, d. h. Daten, die erhoben werden, um die Abrechnung mit dem Nutzer durchführen zu können, dürfen höchstens bis zum Ablauf des sechsten Monats nach Versendung der Rechnung gespeichert werden.

Durch die Verabschiedung des IT-Sicherheitsgesetzes (siehe Abschnitt 2.4.1) hat das TMG eine Erweiterung hinsichtlich der Sicherheitsanforderungen erfahren. Nach dem neu eingefügten Abs. 7 im § 13 TMG haben die Anbieter von geschäftsmäßig angebotenen Telemedien technische und organisatorische Maßnahmen zur Vermeidung von

       unerlaubten Zugriffen auf die technischen Einrichtungen,

       Verletzungen des Schutzes personenbezogener Daten und

       Störungen, auch durch äußere Angriffe

zu ergreifen.

Die Anbieter haben dabei jeweils den Stand der Technik, z. B. geeignete Verschlüsselungsverfahren, zu berücksichtigen. Das bedeutet u. a. die Verschlüsselung aller Websites. [TMG, vom 28. 09. 2017]