<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=219905&amp;fmt=gif">
close

Kontaktieren Sie uns jetzt,
um Ihr individuelles Angebot zu erhalten.

Oder buchen Sie hier direkt einen Termin

(089) 8967 410 600
userlane
Mateco
Demodesk
My Poster
Fressnapf-1
Kusmi Tea

Für jedes Problem gibt es eine passende Software-Lösung. Durch Cloud und Software-as-a-Service (SaaS) sind sie zudem schnell verfügbar und oft kostenfrei im Netz. Doch Unternehmen sollten gut darauf achten, welche Tools ihre Mitarbeiter einsetzen. Andernfalls drohen unübersichtliche IT-Strukturen und Verstöße gegen Datenschutzvorgaben. Wodurch zeichnet sich ein effizientes Software-Asset-Management aus und wieso ist es beim On- und Offboarding von Mitarbeitern besonders wichtig? Diese Fragen beantworten wir in diesem Beitrag.

Das Wichtigste in Kürze

  • Mit Cloud-Lösungen und Software-as-a-Service können Mitarbeiter innerhalb weniger Minuten neue Software einsetzen. 
  • Eine Herausforderung für IT-Abteilungen: Überblick und Kontrolle drohen zu schwinden. 
  • Software-Asset-Management hilft dabei, klare Regeln und Prozesse für die Anschaffung von Software zu definieren. 
  • Als fortdauernder Prozess liefert Software-Asset-Management ein stets aktuelles Bild über Zugriffsrechte und verwendete Systeme im Unternehmen. 
  • Wie Mitarbeiter die benötigte Software erhalten, sollte bereits beim Onboarding kommuniziert werden. 
  • Zugriffsrechte müssen beim Offboarding gelöscht werden.

In diesem Beitrag

Was ist Software-Asset-Management und wieso ist es für Unternehmen wichtig? 

Die Datenschutz-Grundverordnung (DS-GVO) verlangt von Unternehmen, dass sie alle von ihnen genutzten Systeme und Datenbestände kennen und entsprechend den Datenschutzvorgaben verwalten. Software-Asset-Management, manchmal auch Lizenzmanagement genannt, ist der Prozess, durch den die Anschaffung und Verwendung von Software gesteuert wird. 

Dieser Prozess gewinnt durch die wachsende Zahl an Cloud-Lösungen und Software-as-a-Service-Angeboten immer mehr an Bedeutung. Wurden früher alle nötigen Programme von der IT-Abteilung des Unternehmens geprüft und zentral auf einem eigenen Server bereitgestellt, können Mitarbeiter heute innerhalb kürzester Zeit selbst SaaS-Produkte kaufen und nutzen. 

Dieser einfache und schnelle Zugang zu Softwares hat viele Vorteile. Doch führt die leichte Verfügbarkeit oft zu einer Art Schatten-IT neben der eigentlichen Firmen-IT, die von keiner zentralen Stelle mehr überblickt wirdIn der Folge werden die Systeme nicht mehr auf DS-GVO-Konformität geprüft und ein Rechtemanagement bei den regulären On- oder Offboarding-Prozessen von Mitarbeitern ist kaum mehr möglich. 

Hinzu kommt, dass Unternehmen ohne ein geregeltes Software-Asset-Management leicht gegen den DS-GVO-Grundsatz der Datensparsamkeit (Art 5, Abs. 1 lit. c) verstoßen. Dieser fordert, dass personenbezogene Daten „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt“ werden. Übermittelt ein Unternehmen z. B. aufgrund fehlender Übersicht Daten für denselben Zweck an unterschiedliche Dienstleister, verstößt es gegen diesen Grundsatz. 

Datenschutz beginnt bereits bei der Auswahl der Software. 

Software-Asset-Management und Datenschutz: Was gilt es zu beachten? 

Generell gilt: Datenschutz beginnt bei der Auswahl von Software. Geschulte Mitarbeiter sollten prüfen, ob und welche personenbezogenen Daten verarbeitet oder an Dritte übermittelt werden. Vor allem beim Einsatz von SaaS-Produkten, die zwangsläufig Daten an Dritte sendenmuss sichergestellt werden, dass der Anbieter ausreichende technische und organisatorische Maßnahmen zu deren Schutz getroffen hat. 

Zusätzlich muss bei SaaS-Lösungen in der Regel ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden. Dieser sollte vorliegen, noch bevor ein Produkt gebucht oder der Dienst eingesetzt wird. Denn für die Mitarbeiter sind die SaaS-Lösungen zwar praktisch und schnell einsetzbar, aus Sicht des Datenschutzes sind sie aber komplizierter zu handhaben als On-Premise-Varianten auf den firmeneigenen Geräten. 

Das zeigt sich nicht zuletzt durch das jüngste Urteil des EuGH zum Fall Schrems II, in dem der Privacy Shield gekippt wurde. Viele Anbieter von SaaS haben ihren Firmensitz in den USA. Diese zählen aus europäischer Sicht als Drittland, wodurch für die Verarbeitung von Daten eine Grundlage wie etwa Standardvertragsklauseln notwendig ist. Leider werden diese nicht von allen Anbietern bereitgestellt. 

Sie haben weitere Fragen zu einem Software-Asset-Management, allgemein zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?

Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen:

Kostenloses Erstgespräch vereinbaren

 

Klare Regeln bei der Vergabe von Rechten 

Unternehmen gehen unterschiedlich mit der wachsenden Anzahl an SaaS-Produkten um. Während sie in einigen Firmen sehr restriktiv gehandhabt werden, nutzen z. B. Start-ups fast ausschließlich SaaS, da es skalierbar ist und gerade am Anfang nur niedrige Kosten verursacht. 

Egal, ob viel oder wenig SaaS, ausschlaggebend für die Effizienz eines Software-Asset-Managements ist die Einhaltung der selbstgesetzten Regeln. Basierend auf den Arbeitsabläufen im Unternehmen sollte klar festgelegt sein, wem welche Berechtigungen wann gegeben oder entzogen werden. Hierbei sind im Normalfall drei wichtige Momente zu unterscheidenan denen Berechtigungen geändert werden:  

  • Beim Onboarding,
  • beim Wechsel von Aufgabengebieten  
  • und beim Offboarding. 

Geschieht dies nicht, kann es zur Folge haben, dass (ehemalige) Mitarbeiter personenbezogene Daten einsehen können, auf die sie keinen Zugriff haben sollten. 

Unternehmen profitieren langfristig von klaren Strukturen und Regeln für die Vergabe von Zugriffsrechten. 

Unterstützung für neue Mitarbeiter durch gutes Onboarding 

Ein strukturierter Onboarding-Prozess hilft Unternehmen und neuen Mitarbeitern zugleich. Denn eine übersichtliche Einführung in die internen Abläufe reduziert die Einarbeitungszeit und erleichtert Mitarbeitern den EinstiegGutes Onboarding beinhaltet die Vergabe von Zugriffsrechten auf Daten und Software. Unternehmen profitieren langfristig davon, wenn sie diese Vergabe dokumentieren und Regeln im Umgang mit Software klar kommunizieren. 

Grundlegend wichtig ist ein Freigabeprozess, der sich am Need-to-know-Prinzip orientiert. Dabei wird auf individueller Ebene geprüft, welche Daten ein Mitarbeiter für seine Arbeit braucht und welche Zugriffsrechte er benötigt. So ist sichergestellt, dass Rechte sparsam vergeben werden und nur für einzelne Personen, nicht für Gruppen von Mitarbeitern, gelten. 

Ergeben sich Änderungen in den Aufgabenbereichen von Mitarbeitern, können die jeweiligen Zugriffsrechte individuell angepasst werden. Auch diese Anpassungen sollten wiederum einem klar geregelten Freigabeprozess unterliegender dafür sorgt, dass nicht zu viele Berechtigungen vergeben werden. Für die IT-Abteilung bedeutet das, vor jeder Änderung eine erneute Prüfung durchzuführen. 

Sicherheit durch Software-Asset-Management beim Offboarding 

Ebenso wie beim Ankommen im Unternehmen, sollte das Software-Asset-Management auch beim Abschied einen festen Platz haben. Kein Unternehmen kann wollen, dass ehemalige Mitarbeiter Accounts und Lizenzen der Firma weiter nutzen. Die DS-GVO sieht zudem ausdrücklich vor, dass nur diejenigen Zugriff auf Daten haben, die diesen auch tatsächlich benötigen. 

Datenschutzrechtlich werden Mitarbeiter nach dem Offboarding zu Dritten. Als solche haben sie keine Berechtigung mehr, Daten einzusehen, und sollten entsprechend zeitnah aus allen Systemen gesperrt oder gelöscht werden. Voraussetzung hierfür ist, dass im Rahmen des Software-Asset-Managements hinterlegt wurde, welche Zugriffsrechte für Software und Daten der jeweilige Mitarbeiter hat. 

In diesem Zusammenhang zeigt sich der Vorteil individueller Zugriffsrechte nach dem Need-to-know-Prinzip. Sind Rechte auf Team-Ebene vergeben, muss mit jedem Wechsel der Teamzusammensetzung das Passwort geändert werden. Bei individueller Vergabe von Rechten hingegen genügt es, den Account des jeweiligen Mitarbeiters zu deaktivieren. 

Best Practices 

Im Tagesgeschäft der IT-Abteilung zwischen ausgefallenen Servern und defekten Monitoren geht das Software-Asset-Management leicht unter. Auf lange Sicht lohnt es sich aber, hier kontinuierlich Zeit zu investieren. Spätestens bei der Recherche nach bereits vorhandener Softwares oder Accounts von Mitarbeitern ist die investierte Zeit schnell zurückgewonnen. 

Gutes Software-Asset-Management zeichnet sich durch folgende Punkte aus: 

1. Kompetenzen regeln und kommunizieren 

Bei der Auswahl von Softwares kommen in der Regel viele Interessensgruppen zusammen. Die Marketingabteilung präferiert den benutzerfreundlichen Anbieter A, die Entwickler brauchen Schnittstellen, die nur Software B enthält, und der Datenschutzbeauftragte spricht sich für Anbieter mit Sitz in der EU aus. Unabhängig davon, welche Lösung das Rennen macht, sollte die Zuständigkeit für den Kauf der Software immer bei einer zentralen Stelle liegen: der IT-Abteilung. 

Es lohnt sich für Unternehmen, klar zu regeln, wie der Anschaffungsprozess aussieht und welche Informationen der IT zum Kauf übermittelt werden müssen. Diese Abläufe sollten neue Mitarbeiter bereits beim Onboarding kennenlernen. So stellen Unternehmen sicher, dass keine Software ohne vorherige Rücksprache genutzt wird und kein unübersichtlicher Wildwuchs entsteht. 

2. Auf Vollständigkeit achten 

Unternehmen sind verpflichtet, sämtliche von ihnen eingesetzte Systeme zu kennen und zu verwalten. Dazu zählen SaaS-Produkte ebenso wie Softwares, die auf eigenen Rechnern oder Servern, also On-Premise, läuft. Falls keine geeigneten Garantien vorliegen kommt bei SaaS hinzu, dass genau geprüft werden muss, ob ein Auftragsverarbeitungsvertrag notwendig ist. Durch das Urteil im Fall Schrems II kann es außerdem sein, dass die Zusammenarbeit mit einem Anbieter eventuell gar nicht möglich ist. 

Im AVV sollte auf die konkrete Art der Datenverarbeitung eingegangen werden. Aus dieser ergeben sich die Risiken, die durch die Übermittlung von Daten für die Rechte und Freiheiten der betreffenden Person entstehen. Wie SaaS-Anbieter diese Daten durch technische und organisatorische Maßnahmen schützen, ist ebenfalls Teil eines vollständigen AVV. 

3. Klare Rollen im Software-Asset-Management 

Transparente Zuordnung ist der Schlüssel für eine übersichtliche IT-Landschaft. Wer nutzt ein Produkt und wer hat das Recht, Rechte zu vergeben? Nur wenn bekannt ist, welche Software ein Mitarbeiter verwendet, der das Unternehmen verlässt, können die zugehörigen Lizenzen weitergegeben oder gekündigt werden. Und nur wenn klar ist, wer diese Rechte vergeben oder einziehen darf, bleibt die IT-Landschaft gut gepflegt. 

Durch klare Rollen und Berechtigungen im Vergabeprozess lässt sich zugleich sicherstellen, dass für jede Software nur die tatsächlich benötigten Lizenzen eingekauft und gegebenenfalls auch wieder gekündigt werden. 

4. Freigabestufen beim Einkauf von Software 

Jede neue Software muss vor dem erstmaligen Einsatz geprüft werden. Aus Sicht des Datenschutzes ist dies vorgeschrieben und aus Sicht der Firmen-IT unbedingt ratsam, da unbekannte Softwares Zugang zu Systemen und Netzwerken bekommt. 

Es bietet sich an, für diese Prüfung einen Prozess zu etablieren, in dem jeweils verantwortliche Stellen benannt und die stufenweise Freigabe protokolliert wird. Neben der inhaltlichen, technischen und datenschutzrechtlichen Prüfung sollten auch finanzielle Entscheider, z. B. Führungskräfte, in diesen Prozess involviert werden.  

Fazit 

Ohne Software-Asset-Management drohen Unternehmen eine unübersichtliche Firmen-IT und neben lizenzrechtlichen auch datenschutzrechtliche Konsequenzen. Es bietet sich daher an, Mitarbeiter bereits beim Onboarding über die Abläufe im Unternehmen zu informieren und Zugriffsrechte stets aktuell zu halten. Denn guter Datenschutz beginnt zwar beim Einkauf von Software, er endet dort aber noch lange nicht. 

 

 

Guard_newsletter

Weitere Informationen rund um den Datenschutz?

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps, Neuigkeiten, Eventvorschläge und Branchenwissen erhalten Sie über unseren Newsletter:

Keine Beiträge mehr verpassen!

Möchten Sie zu Datenschutz und Datensicherheit auf dem Laufenden bleiben? Praktische Tipps und Einladungen zu Webinaren und Online-Fragestunden erhalten Sie über unser monatliches E-Mailing.

Weitere Informationen finden Sie in unserer Datenschutzerklärung.