DSGVO und GoBD mit dem IDM-Por­tal berücksichtigen

Unter­neh­men, die per­sön­li­che Daten von Anwen­dern oder Part­nern spei­chern und archi­vie­ren, müs­sen sich eng an die Vor­schrif­ten der Daten­schutz-Grund­ver­ord­nung (DSGVO) hal­ten. Par­al­lel spielt es in Netz­wer­ken eine wesent­li­che Rol­le, wie Auf­zeich­nun­gen, Doku­men­te und Unter­la­gen auf­be­wahrt und archi­viert wer­den sollen.

Auf­grund sei­ner spe­zi­el­len Archi­tek­tur pas­sen IDM-Por­tal und DSGVO sehr gut zusammen.

IDM-Por­tal und DSGVO

Für die DSGVO- und GoBD-kon­for­me Ver­wen­dung des IDM-Por­tals müs­sen Ver­ant­wort­li­che zunächst ver­ste­hen, wie das Por­tal arbei­tet. Alle Daten, die das IDM-Por­tal nutzt, stam­men aus Acti­ve Direc­to­ry und daher direkt von den Domä­nen­con­trol­lern. Glei­ches gilt für M365 bzw. Azu­re AD. Das Por­tal selbst spei­chert kei­ne Benut­zer­da­ten und ruft bei Ände­run­gen von Benut­zern und Grup­pen die Daten in Echt­zeit von den Domä­nen­con­trol­lern ab. Aus die­sem Grund soll­te bei der DGSVO- und GoBD-kon­for­men Berück­sich­ti­gung des IDM-Por­tals auch die Domä­nen­con­trol­ler im Netz­werk mit ein­be­zo­gen werden.

Die DSGVO sichert das Recht auf per­so­nen­be­zo­ge­ne Daten: Geset­zes­text DSGVO

Dar­um sind die GoBD auch für die Ver­wal­tung von Acti­ve Direc­to­ry wichtig

Die „Grund­sät­ze zur ord­nungs­mä­ßi­gen Füh­rung und Auf­be­wah­rung von Büchern, Auf­zeich­nun­gen und Unter­la­gen in elek­tro­ni­scher Form sowie zum Daten­zu­griff“ (GoBD) sind kein Gesetz im eigent­li­chen Sin­ne, son­dern ein Schrei­ben des Bun­des­fi­nanz­mi­nis­te­ri­ums (vgl. GoBD Text). Sie spie­len zwar im Zusam­men­hang mit der Ver­wal­tung von Acti­ve Direc­to­ry kei­ne über­ge­ord­ne­te Bedeu­tung, aber auch hier gibt es Daten, Doku­men­ta­tio­nen und Infor­ma­tio­nen, die archi­viert wer­den sollten.

Schließ­lich sind in Netz­wer­ken mit Acti­ve Direc­to­ry die Benut­zer und Grup­pen das zen­tra­le Ele­ment für Zugrif­fe auf die ver­schie­de­nen Res­sour­cen. Daher spie­len die Benut­zer und die Pro­zes­se, mit denen Benut­zer ange­legt und ver­wal­tet wer­den, durch­aus eine wich­ti­ge Rol­le. Auch das Ändern von Berech­ti­gun­gen und Grup­pen­mit­glied­schaf­ten sind relevant.

Im Fokus der GoBD ste­hen vor allem Doku­men­te, die für die Geschäf­te eines Unter­neh­mens rele­vant sind, auch Doku­men­te die ein­ge­scannt wur­den. Bei der Archi­vie­rung spielt wie­der­um der Daten­schutz eine wich­ti­ge Rol­le, also auch die DSGVO. Die GoBD umfasst im Grun­de vier ver­schie­de­ne Säulen:

1. Voll­stän­di­ge Verfahrensdokumentation
2. GoBD kon­for­me Arbeitsweise
3. Ein­satz von Soft­ware, gemäß der GoBD
4. Revi­si­ons­si­che­re Archivierung

Mit dem First­Wa­re IDM-Por­tal kön­nen Unter­neh­men umfas­sen­de Iden­ti­ty Manage­ment-Funk­tio­nen im Unter­neh­men auf Basis von Acti­ve Direc­to­ry und M365 nut­zen. Durch Auto­ma­ti­sie­rung und ein­heit­li­che Pro­zes­se hilft das Por­tal dabei Benut­zer und Grup­pen in Acti­ve Direc­to­ry umfas­send zu ver­wal­ten. Auch hier spielt die DSGVO eine wesent­li­che Rol­le und grund­sätz­lich auch die GoBD.

Über das IDM-Por­tal wer­den die Berech­ti­gun­gen von Benut­zern und Com­pu­tern gesteu­ert, über die Anwen­der wie­der­um auf Doku­men­te und Daten des Unter­neh­mens zugrei­fen. Daher ist es durch­aus rele­vant genau erfas­sen zu kön­nen, wann Berech­ti­gun­gen von Anwen­dern ange­passt oder Grup­pen­mit­glied­schaf­ten ver­wal­tet werden. 

Da in allen Unter­neh­men die Ein­hal­tung der DSGVO und GoBD ohne­hin vor­ge­schrie­ben ist, und zwar unab­hän­gig von der Grö­ße des Unter­neh­mens, soll­ten auch die Daten aus Acti­ve Direc­to­ry ent­spre­chend geschützt und Ände­run­gen auch archi­viert wer­den. Nur so ist genau nach­zu­voll­zie­hen, wel­che Berech­ti­gungs­än­de­run­gen es in Acti­ve Direc­to­ry gege­ben hat. Es ist also durch­aus sinn­voll, auch die rele­van­ten Daten des IDM-Por­tals bei der Siche­rung zu berücksichtigen.

Die­se Daten im IDM-Por­tal und Acti­ve Direc­to­ry soll­ten gesi­chert werden

Um das IDM-Por­tal DSGVO- und GoBD-kon­form zu betrei­ben, soll­ten bei der Daten­si­che­rung im Unter­neh­men auch eini­ge rele­van­te Daten des IDM-Por­tals gesi­chert wer­den. Soll­te es Fra­gen bezüg­lich Ände­run­gen von Daten der Benut­zer geben, vor allem für Berech­ti­gun­gen zum Zugriff auf Doku­men­te, kann der Ver­lauf der Daten aus den Acti­ve Direc­to­ry-Siche­run­gen wich­ti­ge Infor­ma­tio­nen geben.

Acti­ve Direc­to­ry in die Daten­si­che­rung mit einbinden

Das IDM-Por­tal arbei­tet sehr eng mit Acti­ve Direc­to­ry zusam­men. Alle Daten, die im IDM-Por­tal geän­dert wer­den, ändert das Por­tal direkt in Acti­ve Direc­to­ry. Vor Ände­run­gen liest das Por­tal die Daten aus Acti­ve Direc­to­ry aus. Das zen­tra­le Ele­ment des IDM-Por­tals und alle Daten, die das IDM-Por­tal kennt und nutzt, lie­gen daher in Acti­ve Direc­to­ry.  Aus die­sem Grund soll­te die Acti­ve Direc­to­ry-Daten­bank in die regel­mä­ßi­ge Daten­si­che­rung des Unter­neh­mens ein­ge­bun­den wer­den. Die­se Siche­rung kann gleich­zei­tig dabei hel­fen bei Pro­ble­men wie­der eine älte­re Ver­si­on von Acti­ve Direc­to­ry aufzubewahren.

Repor­ting-Daten des IDM-Por­tals sichern — SQL-Datenbank

Das IDM-Por­tal spei­chert inter­ne Daten des Sys­tems auch in einer SQL-Daten­bank, die bei der Bereit­stel­lung des IDM-Por­tals erstellt wird. In vie­len Fäl­len nut­zen Unter­neh­men dazu eine loka­le Instal­la­ti­on von SQL Ser­ver Express 2017/2019 auf dem IDM-Por­tal-Ser­ver oder bin­den die Daten­bank in ein bestehen­des Daten­bank-Clus­ter ein. Die­se Repor­ting-Daten­bank soll­te in jedem Fall gesi­chert wer­den. Gene­rell kann es sinn­voll sein den kom­plet­ten Ser­ver zu sichern, da dadurch sicher­ge­stellt ist, dass alle rele­van­ten Daten wie­der­her­ge­stellt wer­den können.

Bezüg­lich der DSGVO und GoBD spielt die Siche­run­gen ver­schie­de­ner Kom­po­nen­ten eine wich­ti­ge Rol­le. Audit-Logs, Auto­ma­ti­on-Auf­trä­ge und Appro­vals, genau­so wie ande­re Daten des IDM-Por­tals wer­den hier gespei­chert und soll­te daher gesi­chert wer­den. Hier soll­te natür­lich auch dar­auf geach­tet (und defi­niert) wer­den, wer Zugriff auf die­se gesi­cher­ten Daten erhält. Das spielt für die DSGVO eine wich­ti­ge Rolle.

Pro­to­kol­le und ande­re Daten des IDM-Por­tals sichern

Die Tra­cing-Log Datei­en des Ser­vers soll­ten eben­falls gesi­chert wer­den. Auch die Daten des IDM-Por­tals selbst, Auto­ma­ti­on, Smart­Pa­ges und PowerS­hell­Pro­vi­der spie­len für die Siche­rung eine Rol­le, da hier auch Funk­tio­nen gesi­chert wer­den, die für die Nach­voll­zie­hung von Ände­run­gen in Acti­ve Direc­to­ry eine Rol­le spielen.

Die ver­schie­de­nen *.log-Datei­en im Pro­gramm­ver­zeich­nis des IDM-Por­tals soll­ten eben­falls gesi­chert wer­den. Dabei han­delt es sich um text­ba­sier­te Pro­to­kol­le, auf die natür­lich nur berech­tig­te Anwen­der zugrei­fen dürfen.

Erstell­te Excel-Exports soll­ten in die Siche­rung eben­falls ein­ge­bun­den wer­den, wenn die­se Funk­ti­on in den Rol­len akti­viert wur­den. Dabei kön­nen Benut­zer­lis­ten manu­ell als *.xlsx erstellt wer­den. Hier kön­nen DSGVO-rele­van­te Infor­ma­tio­nen gespei­chert sein, die in jedem Fall bei der Daten­si­che­rung Berück­sich­ti­gung fin­den sollten.

Wenn in den PowerS­hell-Skrip­ten und dem IDM-Por­tal das auto­ma­ti­sche Ver­sen­den von E‑Mails akti­viert wur­de, soll­ten die­se Daten auch gesi­chert wer­den. In den meis­ten Fäl­len han­delt es sich dabei um selbst erstell­te Skripte.

Über PowerS­hell-Skrip­te kön­nen indi­vi­du­el­le Daten gespei­chert wer­den. Die­se Daten betref­fen vor allem manu­ell erstell­te Skrip­te und CSV-Log-Dateien.

IDM-Por­tal und DSGVO mit Unternehmensvorgaben

Gibt es Vor­ga­ben im Unter­neh­men, dass Logs aus Daten­schutz­grün­den nicht geschrie­ben wer­den dür­fen, kön­nen die­se deak­ti­viert wer­den. Dies kann aller­dings wie­der­um ein IT-Sicher­heits­pro­blem mit sich füh­ren, wenn nach­voll­zieh­bar sein muss, wer wann was geän­dert hat. Anpas­sun­gen des IDM-Por­tals an Unter­neh­mens­vor­ga­ben, um bei­spiels­wei­se die Excel-Exports zu unter­bin­den sind eben­falls möglich.

Für wei­te­re Fra­gen zum Daten­schutz, sen­den Sie uns gern eine Nach­richt.