Prozessoptimierung von Unternehmen: Die Asset-Management-Software

Für jedes Problem gibt es eine passende Software-Lösung. Durch Cloud und Software-as-a-Service (SaaS) sind sie zudem schnell verfügbar und oft kostenfrei im Netz. Doch Unternehmen sollten gut darauf achten, welche Tools ihre Mitarbeiter einsetzen. Andernfalls drohen unübersichtliche IT-Strukturen und Verstöße gegen Datenschutzvorgaben. Wodurch zeichnet sich ein effizientes Software-Asset-Management aus und wieso ist es beim On- und Offboarding von Mitarbeitern besonders wichtig? Diese Fragen beantworten wir in diesem Beitrag.

 

Das Wichtigste in Kürze

  • Mit Cloud-Lösungen und Software-as-a-Service können Mitarbeiter innerhalb weniger Minuten neue Software einsetzen.
  • Eine Herausforderung für IT-Abteilungen: Überblick und Kontrolle drohen zu schwinden.
  • Software-Asset-Management hilft dabei, klare Regeln und Prozesse für die Anschaffung von Software zu definieren.
  • Als fortdauernder Prozess liefert Software-Asset-Management ein stets aktuelles Bild über Zugriffsrechte und verwendete Systeme im Unternehmen.
  • Wie Mitarbeiter die benötigte Software erhalten, sollte bereits beim Onboarding kommuniziert werden.
  • Zugriffsrechte müssen beim Offboarding gelöscht werden.

In diesem Beitrag

Was ist Software-Asset-Management und wieso ist es für Unternehmen wichtig?

Die Datenschutz-Grundverordnung (DS-GVO) verlangt von Unternehmen, dass sie alle von ihnen genutzten Systeme und Datenbestände kennen und entsprechend den Datenschutzvorgaben verwalten. Software-Asset-Management, manchmal auch Lizenzmanagement genannt, ist der Prozess, durch den die Anschaffung und Verwendung von Software gesteuert wird.

Dieser Prozess gewinnt durch die wachsende Zahl an Cloud-Lösungen und Software-as-a-Service-Angeboten immer mehr an Bedeutung. Wurden früher alle nötigen Programme von der IT-Abteilung des Unternehmens geprüft und zentral auf einem eigenen Server bereitgestellt, können Mitarbeiter heute innerhalb kürzester Zeit selbst SaaS-Produkte kaufen und nutzen.

Dieser einfache und schnelle Zugang zu Softwares hat viele Vorteile. Doch führt die leichte Verfügbarkeit oft zu einer Art Schatten-IT neben der eigentlichen Firmen-IT, die von keiner zentralen Stelle mehr überblickt wird. In der Folge werden die Systeme nicht mehr auf DS-GVO-Konformität geprüft und ein Rechtemanagement bei den regulären On- oder Offboarding-Prozessen von Mitarbeitern ist kaum mehr möglich.

Hinzu kommt, dass Unternehmen ohne ein geregeltes Software-Asset-Management leicht gegen den DS-GVO-Grundsatz der Datensparsamkeit (Art 5, Abs. 1 lit. c) verstoßen. Dieser fordert, dass personenbezogene Daten „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ werden. Übermittelt ein Unternehmen z. B. aufgrund fehlender Übersicht Daten für denselben Zweck an unterschiedliche Dienstleister, verstößt es gegen diesen Grundsatz.

Datenschutz beginnt bereits bei der Auswahl der Software.

Software-Asset-Management und Datenschutz: Was gilt es zu beachten?

Generell gilt: Datenschutz beginnt bei der Auswahl von Software. Geschulte Mitarbeiter sollten prüfen, ob und welche personenbezogenen Daten verarbeitet oder an Dritte übermittelt werden. Vor allem beim Einsatz von SaaS-Produkten, die zwangsläufig Daten an Dritte senden, muss sichergestellt werden, dass der Anbieter ausreichende technische und organisatorische Maßnahmen zu deren Schutz getroffen hat.

Zusätzlich muss bei SaaS-Lösungen in der Regel ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Dieser sollte vorliegen, noch bevor ein Produkt gebucht oder der Dienst eingesetzt wird. Denn für die Mitarbeiter sind die SaaS-Lösungen zwar praktisch und schnell einsetzbar, aus Sicht des Datenschutzes sind sie aber komplizierter zu handhaben als On-Premise-Varianten auf den firmeneigenen Geräten.

Das zeigt sich nicht zuletzt durch das jüngste Urteil des EuGH zum Fall Schrems II, in dem der Privacy Shield gekippt wurde. Viele Anbieter von SaaS haben ihren Firmensitz in den USA. Diese zählen aus europäischer Sicht als Drittland, wodurch für die Verarbeitung von Daten eine Grundlage wie etwa Standardvertragsklauseln notwendig ist. Leider werden diese nicht von allen Anbietern bereitgestellt.

Sie haben weitere Fragen zu einem Software-Asset-Management, allgemein zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenlose Erstberatung vereinbaren

 

Klare Regeln bei der Vergabe von Rechten

Unternehmen gehen unterschiedlich mit der wachsenden Anzahl an SaaS-Produkten um. Während sie in einigen Firmen sehr restriktiv gehandhabt werden, nutzen z. B. Start-ups fast ausschließlich SaaS, da es skalierbar ist und gerade am Anfang nur niedrige Kosten verursacht.

Egal, ob viel oder wenig SaaS, ausschlaggebend für die Effizienz eines Software-Asset-Managements ist die Einhaltung der selbstgesetzten Regeln. Basierend auf den Arbeitsabläufen im Unternehmen sollte klar festgelegt sein, wem welche Berechtigungen wann gegeben oder entzogen werden. Hierbei sind im Normalfall drei wichtige Momente zu unterscheiden, an denen Berechtigungen geändert werden:

  • Beim Onboarding,
  • beim Wechsel von Aufgabengebieten
  • und beim Offboarding.

Geschieht dies nicht, kann es zur Folge haben, dass (ehemalige) Mitarbeiter personenbezogene Daten einsehen können, auf die sie keinen Zugriff haben sollten.

Unternehmen profitieren langfristig von klaren Strukturen und Regeln für die Vergabe von Zugriffsrechten.

Unterstützung für neue Mitarbeiter durch gutes Onboarding

Ein strukturierter Onboarding-Prozess hilft Unternehmen und neuen Mitarbeitern zugleich. Denn eine übersichtliche Einführung in die internen Abläufe reduziert die Einarbeitungszeit und erleichtert Mitarbeitern den Einstieg. Gutes Onboarding beinhaltet die Vergabe von Zugriffsrechten auf Daten und Software. Unternehmen profitieren langfristig davon, wenn sie diese Vergabe dokumentieren und Regeln im Umgang mit Software klar kommunizieren.

Grundlegend wichtig ist ein Freigabeprozess, der sich am Need-to-know-Prinzip orientiert. Dabei wird auf individueller Ebene geprüft, welche Daten ein Mitarbeiter für seine Arbeit braucht und welche Zugriffsrechte er benötigt. So ist sichergestellt, dass Rechte sparsam vergeben werden und nur für einzelne Personen, nicht für Gruppen von Mitarbeitern, gelten.

Ergeben sich Änderungen in den Aufgabenbereichen von Mitarbeitern, können die jeweiligen Zugriffsrechte individuell angepasst werden. Auch diese Anpassungen sollten wiederum einem klar geregelten Freigabeprozess unterliegen, der dafür sorgt, dass nicht zu viele Berechtigungen vergeben werden. Für die IT-Abteilung bedeutet das, vor jeder Änderung eine erneute Prüfung durchzuführen.

Sicherheit durch Software-Asset-Management beim Offboarding

Ebenso wie beim Ankommen im Unternehmen, sollte das Software-Asset-Management auch beim Abschied einen festen Platz haben. Kein Unternehmen kann wollen, dass ehemalige Mitarbeiter Accounts und Lizenzen der Firma weiter nutzen. Die DS-GVO sieht zudem ausdrücklich vor, dass nur diejenigen Zugriff auf Daten haben, die diesen auch tatsächlich benötigen.

Datenschutzrechtlich werden Mitarbeiter nach dem Offboarding zu Dritten. Als solche haben sie keine Berechtigung mehr, Daten einzusehen, und sollten entsprechend zeitnah aus allen Systemen gesperrt oder gelöscht werden. Voraussetzung hierfür ist, dass im Rahmen des Software-Asset-Managements hinterlegt wurde, welche Zugriffsrechte für Software und Daten der jeweilige Mitarbeiter hat.

In diesem Zusammenhang zeigt sich der Vorteil individueller Zugriffsrechte nach dem Need-to-know-Prinzip. Sind Rechte auf Team-Ebene vergeben, muss mit jedem Wechsel der Teamzusammensetzung das Passwort geändert werden. Bei individueller Vergabe von Rechten hingegen genügt es, den Account des jeweiligen Mitarbeiters zu deaktivieren.

Best Practices

Im Tagesgeschäft der IT-Abteilung zwischen ausgefallenen Servern und defekten Monitoren geht das Software-Asset-Management leicht unter. Auf lange Sicht lohnt es sich aber, hier kontinuierlich Zeit zu investieren. Spätestens bei der Recherche nach bereits vorhandener Softwares oder Accounts von Mitarbeitern ist die investierte Zeit schnell zurückgewonnen.

Gutes Software-Asset-Management zeichnet sich durch folgende Punkte aus:

1. Kompetenzen regeln und kommunizieren

Bei der Auswahl von Softwares kommen in der Regel viele Interessensgruppen zusammen. Die Marketingabteilung präferiert den benutzerfreundlichen Anbieter A, die Entwickler brauchen Schnittstellen, die nur Software B enthält, und der Datenschutzbeauftragte spricht sich für Anbieter C mit Sitz in der EU aus. Unabhängig davon, welche Lösung das Rennen macht, sollte die Zuständigkeit für den Kauf der Software immer bei einer zentralen Stelle liegen: der IT-Abteilung.

Es lohnt sich für Unternehmen, klar zu regeln, wie der Anschaffungsprozess aussieht und welche Informationen der IT zum Kauf übermittelt werden müssen. Diese Abläufe sollten neue Mitarbeiter bereits beim Onboarding kennenlernen. So stellen Unternehmen sicher, dass keine Software ohne vorherige Rücksprache genutzt wird und kein unübersichtlicher Wildwuchs entsteht.

2. Auf Vollständigkeit achten

Unternehmen sind verpflichtet, sämtliche von ihnen eingesetzte Systeme zu kennen und zu verwalten. Dazu zählen SaaS-Produkte ebenso wie Softwares, die auf eigenen Rechnern oder Servern, also On-Premise, läuft. Falls keine geeigneten Garantien vorliegen kommt bei SaaS hinzu, dass genau geprüft werden muss, ob ein Auftragsverarbeitungsvertrag notwendig ist. Durch das Urteil im Fall Schrems II kann es außerdem sein, dass die Zusammenarbeit mit einem Anbieter eventuell gar nicht möglich ist.

Im AVV sollte auf die konkrete Art der Datenverarbeitung eingegangen werden. Aus dieser ergeben sich die Risiken, die durch die Übermittlung von Daten für die Rechte und Freiheiten der betreffenden Person entstehen. Wie SaaS-Anbieter diese Daten durch technische und organisatorische Maßnahmen schützen, ist ebenfalls Teil eines vollständigen AVV.

3. Klare Rollen im Software-Asset-Management

Transparente Zuordnung ist der Schlüssel für eine übersichtliche IT-Landschaft. Wer nutzt ein Produkt und wer hat das Recht, Rechte zu vergeben? Nur wenn bekannt ist, welche Software ein Mitarbeiter verwendet, der das Unternehmen verlässt, können die zugehörigen Lizenzen weitergegeben oder gekündigt werden. Und nur wenn klar ist, wer diese Rechte vergeben oder einziehen darf, bleibt die IT-Landschaft gut gepflegt.

Durch klare Rollen und Berechtigungen im Vergabeprozess lässt sich zugleich sicherstellen, dass für jede Software nur die tatsächlich benötigten Lizenzen eingekauft und gegebenenfalls auch wieder gekündigt werden.

4. Freigabestufen beim Einkauf von Software

Jede neue Software muss vor dem erstmaligen Einsatz geprüft werden. Aus Sicht des Datenschutzes ist dies vorgeschrieben und aus Sicht der Firmen-IT unbedingt ratsam, da unbekannte Softwares Zugang zu Systemen und Netzwerken bekommt.

Es bietet sich an, für diese Prüfung einen Prozess zu etablieren, in dem jeweils verantwortliche Stellen benannt und die stufenweise Freigabe protokolliert wird. Neben der inhaltlichen, technischen und datenschutzrechtlichen Prüfung sollten auch finanzielle Entscheider, z. B. Führungskräfte, in diesen Prozess involviert werden.

Fazit

Ohne Software-Asset-Management drohen Unternehmen eine unübersichtliche Firmen-IT und neben lizenzrechtlichen auch datenschutzrechtliche Konsequenzen. Es bietet sich daher an, Mitarbeiter bereits beim Onboarding über die Abläufe im Unternehmen zu informieren und Zugriffsrechte stets aktuell zu halten. Denn guter Datenschutz beginnt zwar beim Einkauf von Software, er endet dort aber noch lange nicht.

 

Guard_newsletter

Weitere Informationen rund um den Datenschutz?

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps, Neuigkeiten, Eventvorschläge und Branchenwissen erhalten Sie über unseren Newsletter:

Über den Autor

Robert Mäckle Robert Mäckle
Robert Mäckle

Datenschutz hat schon immer eine wichtige Rolle in der Karriere von Robert Mäckle gespielt: ob während seiner Zeit als Senior Berater bei einem Big-Four-Unternehmen oder während seiner Tätigkeit im Bereich IT-Sicherheit und Prozessoptimierung. Heute betreut der Wirtschaftsinformatiker Kunden aus dem Tech-Bereich, darunter KMU, Start-ups sowie internationale Konzerne. Am Datenschutz reizt ihn vor allem die Herausforderung, digitale Geschäftsmodelle im Einklang mit datenschutzrechtlichen Vorgaben und IT-Sicherheitsstandards aufzusetzen. Was ihn bewogen hat, sich im Datenschutz zu engagieren? „Daten sind das Öl des 21. Jahrhunderts. Sie sollten jedoch auf eine Weise gewonnen werden, die sozialen und sicherheitstechnischen Standards genügt. Dazu möchte ich meinen Teil beitragen.“

Mehr Artikel ansehen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon  Logo Contact Holiday Inn  Logo Contact Unicef  Logo Contact Burger King  Logo Contact Veganz Logo Contact Fressnapf  Logo Contact Völkl Logo Contact Arri Logo Contact Free Now  Logo Contact

Jetzt Termin vereinbaren