Recht auf Vergessenwerden

Wie ITSM-Tools DSGVO-konform werden

03.04.2018
Von 
Peter Schneider arbeitet als Senior Produkt Manager bei der Qt Company, dem Hersteller der Qt Software Development Platform. In seiner Karriere hat er in verschiedenen Produktmanagementpositionen bei Efecte, Nokia und Siemens zahlreiche Projekte im Bereich Applikationsentwickung und Enterprise Service Management erfolgreich umgesetzt.
Die Zeiten intensiver Protokollierung von Aktivitäten durch ITSM-Tools könnten schon bald vorbei sein.

Das "Recht auf Vergessenwerden" wurde als zentraler Baustein in die Datenschutzgrundverordnung (DSGVO) der EU aufgenommen. Dieser sieht vor, dass Mitarbeiter von ihrem ehemaligen Arbeitgeber die Löschung oder Anonymisierung ihrer persönlichen Daten verlangen können und wird die Art und Weise, wie Organisationen ihre Richtlinien zur Speicherung persönlicher Daten definieren, grundlegend verändern.

Sie könnten ihren ehemaligen Arbeitgeber sogar dazu auffordern, den zuständigen Aufsichtsbehörden Bericht zu erstatten, wenn sie den Verdacht hegen, dass ihre Persönlichkeitsrechte verletzt werden. Auch weil die Gesetzeslage viel Raum für Interpretationen lässt, erweist sich die Einhaltung dieser neuen gesetzlichen Bestimmungen bei näherem Hinsehen als äußerst anspruchsvolle Aufgabe. Dies gilt insbesondere dann, wenn bestehende Prozesse und Systeme nicht dafür ausgelegt sind.

Sind Ihre ITSM-Tools fit für die Datenschutzgrundverordnung?
Sind Ihre ITSM-Tools fit für die Datenschutzgrundverordnung?
Foto: Castleski - shutterstock.com

Das "Recht auf Vergessenwerden" im IT Service Management

Die General Data Protection Regulation (GDPR) gilt grundsätzlich auch für ITSM- und ESM-Tools. Zwar hängen mögliche Konflikte davon ab, wie der Gesetzgeber das "Recht auf Vergessenwerden" konkret interpretieren wird. Wenn Personen die Löschung ihrer Daten verlangen, ist es jedoch sehr wahrscheinlich, dass bereits die Bereitstellung einer Historienansicht mit in Datensätzen vorgenommenen Änderungen den neuen EU-Regelungen widerspricht - sofern diese nicht zeitnah anonymisiert werden. Gleiches gilt für Protokolle, aus denen ersichtlich wird, wer einen Datensatz zu welchem Zeitpunkt gelesen hat.

Erhalten Unternehmen eine Aufforderung zur Löschung persönlicher Daten, müssen sie im Grunde alle persönlichen Informationen der betreffenden Person aus ihren Systemen entfernen. Dies gilt für Office-Dokumente, E-Mails und Verzeichnisdienste wie Active Directory (AD) und OpenLDAP ebenso, wie für ITSM-Tools. Im Grunde müssen die Daten sogar aus Datensicherungen, Archiven und Protokollen gelöscht werden. Unternehmen, die ihre Procure-to-Pay-Prozesse komplett digital organisieren, können jedoch bei Ausscheiden von Mitarbeitern nicht einfach ihre historischen Backup-Archive verändern. Die Manipulation von Offline-Datensicherungen zur Einhaltung des "Recht auf Vergessenwerden" ist deshalb sowohl technisch, als auch rechtlich höchst umstritten - und auch die rechtliche Auslegung keinesfalls abschließend geklärt.

Eine weitere Herausforderung bei der Umsetzung der DSGVO sind regulatorische Anforderungen. Diese hängen von der Art der Prozesse ab, die Unternehmen mit ihrer ITSM-Lösung verwalten und in welcher Branche sie tätig sind. Für Unternehmen aus der Fertigungsindustrie, die nur Incident Management für ihre IT betreiben, sind die rechtlichen Anforderungen bei der Datenarchivierung eher gering. Sind sie jedoch im Security-Umfeld oder in sensiblen Bereichen - wie zum Beispiel der Energieversorgung - tätig, müssen die Unternehmen und Organisationen sämtliche Vorfälle revisionssicher protokollieren und mehrere Jahre lang archivieren. Dabei gilt: Regulatorische Anforderungen an die Archivierung von Daten haben mit hoher Wahrscheinlichkeit Vorrang vor dem "Recht auf Vergessenwerden". Es liegt also die Vermutung nahe, dass sie ihren Richtlinien zur Datenspeicherung nicht ändern müssen - zumindest vorläufig.

Ganz unabhängig davon, in welchem Geschäftsbereich Unternehmen tätig sind, sollten sie sich auch schnellstmöglich mit dem Thema befassen, da nach Inkrafttreten der DSGVO kaum noch Zeit bleibt, entsprechende Projekte kurzfristig umzusetzen.

Wie Sie ITSM-Lösungen im Sinne der DSGVO anpassen

  1. Stellen Sie sicher, dass Sie die Möglichkeit haben, die Benutzerdaten auf Wunsch aus aktiven Lösungen zu löschen. Dies ist die erste und hoffentlich einzige Antwort auf das "Recht auf Vergessenwerden", die im Service Management notwendig ist. Die Service Management Lösung sollte es privilegierten Service-Desk-Benutzern ermöglichen, alle Informationen zu bestimmten Personen aus Vorfällen, Änderungen und Serviceanfragen zu entfernen - und diesen Vorgang zu protokollieren. Bei bestehenden Lösungen sind dies mit hoher Wahrscheinlichkeit dedizierte Attributfelder für persönliche Informationen wie Name, Vorname, E-Mail-Adresse und weitere. Bei Volltext-Feldern oder E-Mail-Texten wird es schon deutlich schwieriger.

  2. Starten Sie die aktive Archivierung von Daten mindestens einmal im Monat auf einen Offline-Datenspeicher, der nur für eine Handvoll Personen zugänglich ist, da die Löschung personenbezogener Informationen nicht sofort zu 100 Prozent erfolgen kann. Ein Beispiel: Personenbezogene Daten liegen in einem PDF-Dokument, das verschlüsselt und als Anhang zu einem bestimmten Incident gespeichert ist. Sie müssen die personenbezogenen Daten in Ihren aktiven Systemen nun innerhalb einer angemessenen Zeit entfernen. Eine mögliche Lösung: Verschieben Sie abgeschlossene Aufgaben, die älter als einen Monat sind, automatisiert in ein Offline-Archiv. Dies stellt sicher, dass spätestens nach 30 Tagen persönliche Daten der betreffenden Person, wenn noch nicht gelöscht, so doch zumindest offline sind. Im operativen Sinne handelt es sich bei einem Monat um ein angemessenes Intervall, da die statistischen Daten von Feedback-Befragungen nicht sofort verloren gehen und für die Verbesserung der Servicequalität genutzt werden können - wenn auch nur für begrenzte Zeit.

  3. Übernehmen Sie die Kernphilosophie der DSGVO: Privacy by Design. Stoppen Sie alle "Nice-to-Have"-Protokollierungen und die Erstellung von Änderungshistorien, wenn diese weder gesetzlich vorgeschrieben noch für den Geschäftsbetrieb sinnvoll und notwendig sind. Insbesondere Änderungshistorien erzeugen riesige Logfiles, die kaum wirklichen Nutzen bieten und im Nachhinein nur mit hohem technischen Aufwand zu verändern sind. Dabei sollten Sie gemeinsam mit der Rechtsabteilung prüfen, welche verpflichtenden Dokumentationsanforderungen für ihre Branche gelten. Davon ausgenommen sind sensible Themen wie Sicherheitsvorfälle, die ohnehin durch Zugriffsrechte streng überwacht werden.

ITSM meets GDPR: Weniger ist mehr

Die DSGVO und das damit verbundene "Recht auf Vergessenwerden" werden in ganz Europa umfassende Änderungen beim Umgang mit persönlichen Daten in Gang setzen. Ob in positivem oder negativem Sinn, ist an dieser Stelle nicht zu bewerten. Unternehmen sollten sich deshalb mit der Umsetzung nicht zu viel Zeit lassen und auch ihre ITSM-Lösungen entsprechend anpassen. Die Löschung persönlicher Datenfelder einzelner Benutzer und eine periodische Archivierung persönlicher Daten auf Offline-Datenträgern, sind verhältnismäßig einfach zu implementieren - doch können sie nur ein erster Zwischenschritt sein.

Zwar ist die rechtliche Auslegung der GDPR noch nicht abschließend geklärt, doch sieht es derzeit danach aus, dass Organisationen früher oder später gezwungen sein werden, ihre Einstellung zum Sammeln großer Datenmengen grundlegend zu ändern. War es in den vergangenen Jahren noch üblich, alle Aktionen möglichst lückenlos zu dokumentieren, sollten persönliche Daten künftig nur dann erfasst werden, wenn dies auch notwendig ist. Gleichzeitig muss eine vollständige Umsetzung der DSGVO gewährleistet sein. Und genau darin besteht die eigentliche Herausforderung, denn dazu sind sämtliche Service-Prozesse unternehmensweit anzupassen.

Planen Organisationen die Anschaffung einer neuen ITSM-Lösung, sollte sie der Provider auch bei der Umsetzung im Sinne der Datenschutzgrundverordnungen unterstützen. Daher ist es empfehlenswert, diesen Punkt als Entscheidungskriterium in die entsprechenden Ausschreibungsunterlagen aufzunehmen. (fm)