DSGVO und GoBD mit dem IDM-Portal berücksichtigen

Unternehmen, die persönliche Daten von Anwendern oder Partnern speichern und archivieren, müssen sich eng an die Vorschriften der Datenschutz-Grundverordnung (DSGVO) halten. Parallel spielt es in Netzwerken eine wesentliche Rolle, wie Aufzeichnungen, Dokumente und Unterlagen aufbewahrt und archiviert werden sollen.

Aufgrund seiner speziellen Architektur passen IDM-Portal und DSGVO sehr gut zusammen.

IDM-Portal und DSGVO

Für die DSGVO- und GoBD-konforme Verwendung des IDM-Portals müssen Verantwortliche zunächst verstehen, wie das Portal arbeitet. Alle Daten, die das IDM-Portal nutzt, stammen aus Active Directory und daher direkt von den Domänencontrollern. Gleiches gilt für M365 bzw. Azure AD. Das Portal selbst speichert keine Benutzerdaten und ruft bei Änderungen von Benutzern und Gruppen die Daten in Echtzeit von den Domänencontrollern ab. Aus diesem Grund sollte bei der DGSVO- und GoBD-konformen Berücksichtigung des IDM-Portals auch die Domänencontroller im Netzwerk mit einbezogen werden.

Die DSGVO sichert das Recht auf personenbezogene Daten: Gesetzestext DSGVO

Darum sind die GoBD auch für die Verwaltung von Active Directory wichtig

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) sind kein Gesetz im eigentlichen Sinne, sondern ein Schreiben des Bundesfinanzministeriums (vgl. GoBD Text). Sie spielen zwar im Zusammenhang mit der Verwaltung von Active Directory keine übergeordnete Bedeutung, aber auch hier gibt es Daten, Dokumentationen und Informationen, die archiviert werden sollten.

Schließlich sind in Netzwerken mit Active Directory die Benutzer und Gruppen das zentrale Element für Zugriffe auf die verschiedenen Ressourcen. Daher spielen die Benutzer und die Prozesse, mit denen Benutzer angelegt und verwaltet werden, durchaus eine wichtige Rolle. Auch das Ändern von Berechtigungen und Gruppenmitgliedschaften sind relevant.

Im Fokus der GoBD stehen vor allem Dokumente, die für die Geschäfte eines Unternehmens relevant sind, auch Dokumente, die eingescannt wurden. Bei der Archivierung spielt wiederum der Datenschutz eine wichtige Rolle, also auch die DSGVO. Die GoBD umfasst im Grunde vier verschiedene Säulen:

1. Vollständige Verfahrensdokumentation
2. GoBD konforme Arbeitsweise
3. Einsatz von Software, gemäß der GoBD
4. Revisionssichere Archivierung

Mit dem FirstWare IDM-Portal können Unternehmen umfassende Identity Management-Funktionen im Unternehmen auf Basis von Active Directory und M365 nutzen. Durch Automatisierung und einheitliche Prozesse hilft das Portal dabei, Benutzer und Gruppen in Active Directory umfassend zu verwalten. Auch hier spielt die DSGVO eine wesentliche Rolle und grundsätzlich auch die GoBD.

Über das IDM-Portal werden die Berechtigungen von Benutzern und Computern gesteuert, über die Anwender wiederum auf Dokumente und Daten des Unternehmens zugreifen. Daher ist es durchaus relevant genau erfassen zu können, wann Berechtigungen von Anwendern angepasst oder Gruppenmitgliedschaften verwaltet werden. 

Da in allen Unternehmen die Einhaltung der DSGVO und GoBD ohnehin vorgeschrieben ist, und zwar unabhängig von der Größe des Unternehmens, sollten auch die Daten aus Active Directory entsprechend geschützt und Änderungen auch archiviert werden. Nur so ist genau nachzuvollziehen, welche Berechtigungsänderungen es in Active Directory gegeben hat. Es ist also durchaus sinnvoll, auch die relevanten Daten des IDM-Portals bei der Sicherung zu berücksichtigen.

Diese Daten im IDM-Portal und Active Directory sollten gesichert werden

Um das IDM-Portal DSGVO- und GoBD-konform zu betreiben, sollten bei der Datensicherung im Unternehmen auch einige relevante Daten des IDM-Portals gesichert werden. Sollte es Fragen bezüglich Änderungen von Daten der Benutzer geben, vor allem für Berechtigungen zum Zugriff auf Dokumente, kann der Verlauf der Daten aus den Active Directory-Sicherungen wichtige Informationen geben.

Active Directory in die Datensicherung mit einbinden

Das IDM-Portal arbeitet sehr eng mit Active Directory zusammen. Alle Daten, die im IDM-Portal geändert werden, ändert das Portal direkt in Active Directory. Vor Änderungen liest das Portal die Daten aus Active Directory aus. Das zentrale Element des IDM-Portals und alle Daten, die das IDM-Portal kennt und nutzt, liegen daher in Active Directory.  Aus diesem Grund sollte die Active Directory-Datenbank in die regelmäßige Datensicherung des Unternehmens eingebunden werden. Diese Sicherung kann gleichzeitig dabei helfen bei Problemen wieder eine ältere Version von Active Directory aufzubewahren.

Reporting-Daten des IDM-Portals sichern – SQL-Datenbank

Das IDM-Portal speichert interne Daten des Systems auch in einer SQL-Datenbank, die bei der Bereitstellung des IDM-Portals erstellt wird. In vielen Fällen nutzen Unternehmen dazu eine lokale Installation von SQL Server Express 2017/2019 auf dem IDM-Portal-Server oder binden die Datenbank in ein bestehendes Datenbank-Cluster ein. Diese Reporting-Datenbank sollte in jedem Fall gesichert werden. Generell kann es sinnvoll sein den kompletten Server zu sichern, da dadurch sichergestellt ist, dass alle relevanten Daten wiederhergestellt werden können.

Bezüglich der DSGVO und GoBD spielt die Sicherungen verschiedener Komponenten eine wichtige Rolle. Audit-Logs, Automation-Aufträge und Approvals, genauso wie andere Daten des IDM-Portals werden hier gespeichert und sollte daher gesichert werden. Hier sollte natürlich auch darauf geachtet (und definiert) werden, wer Zugriff auf diese gesicherten Daten erhält. Das spielt für die DSGVO eine wichtige Rolle.

Protokolle und andere Daten des IDM-Portals sichern

Die Tracing-Log Dateien des Servers sollten ebenfalls gesichert werden. Auch die Daten des IDM-Portals selbst, Automation, SmartPages und PowerShellProvider spielen für die Sicherung eine Rolle, da hier auch Funktionen gesichert werden, die für die Nachvollziehung von Änderungen in Active Directory eine Rolle spielen.

Die verschiedenen *.log-Dateien im Programmverzeichnis des IDM-Portals sollten ebenfalls gesichert werden. Dabei handelt es sich um textbasierte Protokolle, auf die natürlich nur berechtigte Anwender zugreifen dürfen.

Erstellte Excel-Exports sollten in die Sicherung ebenfalls eingebunden werden, wenn diese Funktion in den Rollen aktiviert wurden. Dabei können Benutzerlisten manuell als *.xlsx erstellt werden. Hier können DSGVO-relevante Informationen gespeichert sein, die in jedem Fall bei der Datensicherung Berücksichtigung finden sollten.

Wenn in den PowerShell-Skripten und dem IDM-Portal das automatische Versenden von E-Mails aktiviert wurde, sollten diese Daten auch gesichert werden. In den meisten Fällen handelt es sich dabei um selbst erstellte Skripte.

Über PowerShell-Skripte können individuelle Daten gespeichert werden. Diese Daten betreffen vor allem manuell erstellte Skripte und CSV-Log-Dateien.

IDM-Portal und DSGVO mit Unternehmensvorgaben

Gibt es Vorgaben im Unternehmen, dass Logs aus Datenschutzgründen nicht geschrieben werden dürfen, können diese deaktiviert werden. Dies kann allerdings wiederum ein IT-Sicherheitsproblem mit sich führen, wenn nachvollziehbar sein muss, wer wann was geändert hat. Anpassungen des IDM-Portals an Unternehmensvorgaben, um beispielsweise die Excel-Exports zu unterbinden, sind ebenfalls möglich.

Für weitere Fragen zum Datenschutz, senden Sie uns gern eine Nachricht.

Mehr über IDM-Portal erfahren