Datenschutz und Mitbestimmung beim Inventory-Tool
Ein FusionInventory-Agent erhebt regelmäßig die Hard- und Software-Daten auf den Rechnern der LUH. Wird ein so inventarisierter Rechner von nur einem Nutzer/einer Nutzerin bedient, ist ein eindeutiger Personenbezug möglich. Daher muss der Umgang mit den Daten geregelt werden, und die Betroffenen sind über die erhobenen und verarbeiteten Daten zu informieren.
Wenn eine Verhaltens- und Leistungskontrolle möglich ist, ist zudem die Mitbestimmung der Personalvertretung zu beachten.
Erhobene Daten und deren Verwendung
Erhobene Daten
Auf den Rechnern werden folgende Daten automatisch täglich für die Inventarisierung erhoben:
- Informationen über die Hardware-Ausstattung (festverbaute Komponenten sowie angesteckte, eingeschaltete Peripherie)
- Version des genutzten Betriebssystems
- Informationen über die installierte Software (Anwendungen und Updates; für Windows vergleichbar der Programme-Liste in der Systemsteuerung)
- Computername und IP-Adresse, Domänenzugehörigkeit
- Zeitpunkt der jüngsten Inventarisierung
Die o.g. vom Tool erhobenen Daten liegen nach einem Inventarisierungs-Durchlauf in einer Datei auf dem Rechner. Diese Datei lässt sich durch die Systemadministrierenden und Nutzenden der Rechner ansehen.
Zu einem Rechner können weitere Daten hinterlegt werden, die allerdings nicht automatisch erhoben, sondern durch die Administration an- und eingegeben werden müssen:
- Organisationseinheit, der der Rechner zugeordnet ist
- Beschaffungsdatum, Garantielaufzeit und ggf. Inventarnummer
- Aufstellungsort
Zweck der Datenerhebung
Diese Daten dienen dem Betrieb der IT und der Planung der IT-Landschaft im Rahmen der IT-Administration. Dieses bedeutet im Einzelnen:
- Grundlagenermittlung für ein Ausrollen von Software
- Support von Anwendern/Anwenderinnen sowie Administrierenden bei Rechner-Problemen
- Grundlagenermittlung für die Lizenzverwaltung (Ist-Stand der eingesetzten Softwareprodukte)
- Planung des Hard- & Software- und des Service-Bedarfs (z.B. ob ein Campusvertrag lohnt)
- Übersicht über die IT-Systeme
Darüber hinaus sind die Daten grundlegend für die IT-Sicherheit (von der Konzeption über die Auswahl der Maßnahmen und Erkennung von Problemen bis hin zur Reaktion auf Sicherheitsvorfälle):
- Übersicht über die IT-Landschaft der LUH
- Zuordnung von IT-Geräten zu Organisationseinheiten der LUH (Zuständigkeit)
- Finden veralteter (und damit häufig anfälliger) oder sogar bösartiger Programme
- Erkennen ungewarteter IT-Systeme
Organisatorisches an der LUH
Regelungen zum Datenschutz
Zur Einführung der Inventarisierung wurde mit Einbeziehung der Stabsstelle Datenschutz geklärt, dass die o.g. Daten erhoben und zum Zwecke der IT-Administration genutzt werden dürfen. Die Inventarisierungsdaten werden an die jeweiligen Einrichtungen nur für diesen Zweck und nur an gemäß Rundschreiben 39/2024 belehrte Personen weitergegeben.
Mitbestimmung und Beteiligung des Personalrates
Für Server unterliegen die erhobenen Daten nicht der Mitbestimmung, für Clients und Terminal-Server ist die Inventarisierung in der "Dienstvereinbarung gemäß § 78 NPersVG über die Einführung einer Inventarisierungssoftware (Inventory Tool) an der Gottfried Wilhelm Leibniz Universität Hannover" geregelt, veröffentlicht im Verkündungsblatt 17/2019. Eine Verhaltens- oder Leistungskontrolle erfolgt nicht.
Die Inventarisierung wurde mit dem Rundschreiben 39/2024 uniweit bekannt gemacht.