ServicesBetrieb und InfrastrukturSoftware-LizenzenInventarisierung - OCS
Datenschutz und Mitbestimmung beim Inventory-Tool

Datenschutz und Mitbestimmung beim Inventory-Tool

Ein Fusion-Inventory-Agent erhebt regelmäßig die Hard- und Software-Daten auf den Rechnern der LUH. Wird ein so inventarisierter Rechner von nur einem Nutzer bedient, ist ein eindeutiger Personenbezug möglich. Daher muss der Umgang mit den Daten geregelt werden, und die Betroffenen sind über die erhobenen und verarbeiteten Daten zu informieren.

Wenn eine Verhaltens- und Leistungskontrolle möglich ist, ist zudem die Mitbestimmung der Personalvertretung zu beachten.

ERHOBENE DATEN UND DEREN VERWENDUNG

Erhobene Daten

Auf den Rechnern werden folgende Daten automatisch täglich für die Inventarisierung erhoben:

  • Informationen über die Hardware-Ausstattung (festverbaute Komponenten sowie angesteckte, eingeschaltete Peripherie)
  • Version und ggf. Lizenzaktivierung/-art des genutzten Betriebssystems
  • Informationen über die installierte Software (Anwendungen und Updates; für Windows vergleichbar der Programme-Liste in der Systemsteuerung)
  • Computername und IP-Adresse, Domänenzugehörigkeit
  • Zeitpunkt der (jüngsten) Inventarisierung

Die o.g. vom Tool erhobenen Daten liegen nach einem Inventarisierungs-Durchlauf in einer Datei auf dem Rechner. Diese Datei lässt sich durch die Systemadministratoren und Nutzenden der Rechner ansehen.

Zu einem Rechner können weitere Daten hinterlegt werden, die allerdings nicht automatisch erhoben sondern durch einen Administrator an- und eingegeben werden müssen:

  • Organisationseinheit, der der Rechner zugeordnet ist (kann auch per Skript bei der Installation automatisiert erfolgen)
  • Beschaffungsdatum, Garantielaufzeit und ggf. Inventarnummer
  • Aufstellungsort

Zweck der Datenerhebung

Diese Daten dienen dem Betrieb der IT und der Planung der IT-Landschaft im Rahmen der IT-Administration. Dieses bedeutet im Einzelnen:

  • Grundlagenermittlung für ein Ausrollen von Software (vgl. Dienst Arbeitsplatz-PC)
  • Support von Anwendern und Administratoren bei Rechner-Problemen   
  • Grundlagenermittlung für die Lizenzverwaltung (Ist-Stand der eingesetzten Softwareprodukte)
  • Planung des Hard- & Software- und des Service-Bedarfs (z.B. ob ein Campusvertrag lohnt)
  • Übersicht über die IT-Systeme

Darüber hinaus sind die Daten grundlegend für die IT-Sicherheit (von der Konzeption über die Auswahl der Maßnahmen und Erkennung von Problemen bis hin zur Reaktion auf Sicherheitsvorfälle):

  • Übersicht über die IT-Landschaft der LUH
  • Zuordnung von IT-Geräten zu Organisationseinheiten der LUH (Zuständigkeit)
  • Finden veralteter (und damit häufig anfälliger) oder sogar bösartiger Programme
  • Erkennen ungewarteter IT-Systeme

ORGANISATORISCHES AN DER LUH

Regelungen zum Datenschutz

Bei Einführung der Inventarisierung wurde mit dem Datenschutzbeauftragten geklärt, dass die o.g. Daten erhoben und zum Zwecke der IT-Administration genutzt werden dürfen. Die Inventarisierungsdaten werden an die jeweiligen Einrichtungen nur für diesen Zweck und nur an gemäß Rundschreiben xy/2020 belehrte Personen wietergegeben.

Mitbestimmung & Beteiligung des Personalrates

Für Server unterliegen die erhobenen Daten nicht der Mitbestimmung, für Clients und Terminal-Server ist die Inventarisierung in der "Dienstvereinbarung gemäß § 78 NPersVG über die Einführung einer Inventarisierungssoftware (Inventory Tool) an der Gottfried Wilhelm Leibniz Universität Hannover" geregelt, veröffentlicht im Verkündungsblatt 17/2019. Eine Verhaltens- oder Leistungskontrolle erfolgt nicht.

[Die Inventarisierung ist mit Rundschreiben yz/2020 uniweit bekannt gemacht worden.]