Datenschutz und Mitbestimmung beim Inventory-Tool

Ein FusionInventory-Agent erhebt regelmäßig die Hard- und Software-Daten auf den Rechnern der LUH. Wird ein so inventarisierter Rechner von nur einem Nutzer/einer Nutzerin bedient, ist ein eindeutiger Personenbezug möglich. Daher muss der Umgang mit den Daten geregelt werden, und die Betroffenen sind über die erhobenen und verarbeiteten Daten zu informieren.

Wenn eine Verhaltens- und Leistungskontrolle möglich ist, ist zudem die Mitbestimmung der Personalvertretung zu beachten.

Erhobene Daten und deren Verwendung

Erhobene Daten

Auf den Rechnern werden folgende Daten automatisch täglich für die Inventarisierung erhoben:

  • Informationen über die Hardware-Ausstattung (festverbaute Komponenten sowie angesteckte, eingeschaltete Peripherie)
  • Version des genutzten Betriebssystems
  • Informationen über die installierte Software (Anwendungen und Updates; für Windows vergleichbar der Programme-Liste in der Systemsteuerung)
  • Computername und IP-Adresse, Domänenzugehörigkeit
  • Zeitpunkt der jüngsten Inventarisierung

Die o.g. vom Tool erhobenen Daten liegen nach einem Inventarisierungs-Durchlauf in einer Datei auf dem Rechner. Diese Datei lässt sich durch die Systemadministrierenden und Nutzenden der Rechner ansehen.

Zu einem Rechner können weitere Daten hinterlegt werden, die allerdings nicht automatisch erhoben, sondern durch die Administration an- und eingegeben werden müssen:

  • Organisationseinheit, der der Rechner zugeordnet ist
  • Beschaffungsdatum, Garantielaufzeit und ggf. Inventarnummer
  • Aufstellungsort

Zweck der Datenerhebung

Diese Daten dienen dem Betrieb der IT und der Planung der IT-Landschaft im Rahmen der IT-Administration. Dieses bedeutet im Einzelnen:

  • Grundlagenermittlung für ein Ausrollen von Software
  • Support von Anwendern/Anwenderinnen sowie Administrierenden bei Rechner-Problemen   
  • Grundlagenermittlung für die Lizenzverwaltung (Ist-Stand der eingesetzten Softwareprodukte)
  • Planung des Hard- & Software- und des Service-Bedarfs (z.B. ob ein Campusvertrag lohnt)
  • Übersicht über die IT-Systeme

Darüber hinaus sind die Daten grundlegend für die IT-Sicherheit (von der Konzeption über die Auswahl der Maßnahmen und Erkennung von Problemen bis hin zur Reaktion auf Sicherheitsvorfälle):

  • Übersicht über die IT-Landschaft der LUH
  • Zuordnung von IT-Geräten zu Organisationseinheiten der LUH (Zuständigkeit)
  • Finden veralteter (und damit häufig anfälliger) oder sogar bösartiger Programme
  • Erkennen ungewarteter IT-Systeme

Organisatorisches an der LUH

Regelungen zum Datenschutz

Zur Einführung der Inventarisierung wurde mit Einbeziehung der Stabsstelle Datenschutz geklärt, dass die o.g. Daten erhoben und zum Zwecke der IT-Administration genutzt werden dürfen. Die Inventarisierungsdaten werden an die jeweiligen Einrichtungen nur für diesen Zweck und nur an gemäß Rundschreiben [xy/2022] belehrte Personen weitergegeben.

Mitbestimmung und Beteiligung des Personalrates

Für Server unterliegen die erhobenen Daten nicht der Mitbestimmung, für Clients und Terminal-Server ist die Inventarisierung in der "Dienstvereinbarung gemäß § 78 NPersVG über die Einführung einer Inventarisierungssoftware (Inventory Tool) an der Gottfried Wilhelm Leibniz Universität Hannover" geregelt, veröffentlicht im Verkündungsblatt 17/2019. Eine Verhaltens- oder Leistungskontrolle erfolgt nicht.

[Die Inventarisierung wird mit Rundschreiben [xy/2022] uniweit bekannt gemacht.]