Der Datenschutz hat mit der verpflichtenden Anwendung des DSGVO seit Mai 2018 in den letzten Jahren eine zunehmende Bedeutung für Unternehmen und Behörden in ganz Europa gewonnen. Gerade Themen wie die Auskunftspflicht bezüglich der gespeicherten persönlichen Daten können sich auf viele Bereiche der Unternehmen, aber vor allem auch in der IT auswirken.
Genauso gewinnt auch das Software Lizenzmanagement, gefördert durch die Erkenntnis, dass Software heute einer der wesentlichen Kostenfaktoren in der IT ist, in den letzten Jahren zunehmend an Gewicht.
Die Einführung eines Software Asset Managements und das operative Management der Softwarenutzungsrechte stellt viele Unternehmen vor erhebliche Herausforderungen. Gerade die Erhebung der Nutzung von Software ist durch die Definition der Lizenzmetriken von Seiten der Hersteller getrieben. Hierdurch wird in vielen Fällen die Erhebung personenbezogener Daten gefordert.
Doch werden beide Themen, Lizenzmanagement und Datenschutz, praktisch nie in Verbindung miteinander gebracht. Datenschutz und IT-Security beschränken sich im Lizenzmanagement meist darauf, ob ein SAM-Tool in der Lage ist, seine Daten zu verschlüsseln und ob es mittels User-Accounts zugriffsgeschützt ist.
Die Erfordernisse, welche durch die DSGVO entstehen (beispielsweise Zweckbindung und Auskunftsrecht zu gespeicherten personenbezogenen Daten), werden an dieser Stelle zumeist nicht betrachtet.
Das Software Lizenzmanagement wird durch Kosten und Compliance getrieben
Ein auslösender Faktor für die Implementierung eines Software Lizenzmanagements kann in den Anforderungen liegen, die dann entstehen, wenn Herstelleraudits in teuren Nachlizenzierungen enden. Die hieraus resultierenden, dann oft ungeplanten, hohen Ausgaben für die Herstellung der Lizenz-Compliance, entsprechend der Definition durch den Hersteller, erzeugen einen wirtschaftlichen Druck, der die Implementierung eines Lizenzmanagements fördert.
Doch datenschutzrelevante Themen beginnen bereits während dieser Auditphase, d. h. oft vor der Implementierung des Lizenzmanagements. Im Laufe der Aktivitäten zu solchen Audits werden zumeist sehr viele Daten erhoben und mit Herstellern und/oder Auditoren ausgetauscht. Dies insbesondere dann, wenn die Hersteller eigene Vermessungstools mitbringen (wollen), um dem Kunden den vermeintlichen Schmerz des Audits und der Intransparenz der Nutzung von Software im eigenen Haus durch den Einsatz dieser Tools zu erleichtern.
Der Datenschutzrelevanz, der dort erhobenen Daten im Austausch mit Herstellern und Auditoren, wird an der Stelle zumeist wenig Beachtung geschenkt. Dem Druck der Hersteller, die Lizenz-Compliance nachzuweisen, wird an der Stelle oft ohne zu fragen nachgegeben.
Dabei ist den Firmen, also den Verantwortlichen im Sinne des Datenschutzes, oft nicht bewusst, in welcher rechtlichen Zwickmühle sie sich bewegen. Zum einen existiert die berechtigte Forderung der Hersteller, dass die Nutzung von Software konform mit dem Urheberrecht und der erforderlichen Lizenzierung bzw. den vorhandenen Nutzungsrechten geht. Zum anderen existieren im Datenschutz ganz klare Regeln, wie mit schutzbedürftigen Informationen umzugehen ist.
Scheinbar werden allerdings Daten, die im Zusammenhang mit der Lizenzierung erhoben werden, oft nicht als solche erkannt und damit die vorhandenen Regeln im Datenschutz nicht oder nur wenig beachtet. Beim Einsatz herstellereigener Tools besteht sogar die Gefahr, die Kontrolle über das was erhoben wird und wie dieses an den Hersteller kommuniziert wird, komplett zu verlieren (Stichwort: „Tool telefoniert nach Hause“). Hieraus können empfindliche Strafen für die Nichteinhaltung der Datenschutzregeln entstehen.
Der Kunde steht also zwischen der drohenden Keule des Herstellers mit der Incompliance und der drohenden Keule des Gesetzgebers zum Thema Datenschutz. Das Unternehmen darf sich also entscheiden, welche Keule zuschlagen darf.
Um welche Daten geht es?
Der Begriff der schützenswerten Daten im Lizenzmanagement ist möglicherweise etwas abstrakt, weshalb wir an dieser Stelle konkreter werden möchten.
Betroffen sind beispielsweise Userdaten: Welcher User nutzt welche Software, in welcher Version und Edition, Zugriffe von Usern auf Anwendungen, Last-Log-On Daten und mögliche Daten zur Erstellung von Leistungsprofilen der User, Userdaten des Active Directory und Zugehörigkeit zu definierten Usergruppen im Active Directory und vieles mehr.
Zusätzliche Brisanz gewinnt die Thematik für IT-Dienstleister (insbesondere Rechenzentrums-Dienstleister). Die Informationsneugier der Hersteller kann sich hier potentiell auch auf die Kunden der Dienstleister auswirken. Hier müssen nicht einmal direkt userbezogene Daten betroffen sein. Es reicht schon aus, Kundendaten zu eingesetzter Software, z.B. auf virtuellen Systemen des Kunden im Rechenzentrum des Dienstleisters, an den Hersteller weiter zu geben um eine schwerwiegende Datenschutzverletzung zu begehen. Vom Einsatz herstellereigener Vermessungstools an dieser Stelle ganz zu schweigen.
Durch die hohe Spannweite, in welchem das Lizenzmanagement unterwegs ist, sind potentiell Daten aus unterschiedlichsten Bereichen mit unterschiedlichem Schutzlevel betroffen. Dies reicht von vertraulichen Daten über Prozesse (von Herstellern abgefragt bei Prozessreifegradbewertungen), Vertragsdaten und Vertraulichkeiten zwischen Dienstleistern und Kunden, personenbezogene Nutzungsdaten im klassischen Nutzungs- und Cloud-Umfeld, bis hin zu Geschäftskennzahlen (z. B. bei Lizenzmodellen, die sich an Umsatzzahlen eines Unternehmens festmachen).
Die Kreativität der Hersteller, bei der Definition entsprechender Lizenzmodelle, scheint hierbei grenzenlos.
Bewertung aus Sicht des Datenschutzes
Insbesondere für die Verarbeitung personenbezogener Daten sind Grundsätze zu beachten, welche sich im Wesentlichen aus Kapitel 2 der Datenschutz-Grundverordnung (DSGVO) ergeben. Neben der oft noch leicht nachvollziehbaren Tatsache, dass für die Verarbeitung (hierzu zählt auch die reine Erhebung durch die Vermessungstools) eine Rechtsgrundlage benötigt wird, übersieht man leicht, dass bereits viel früher angesetzt werden muss.
Gemäß des Transparenzgebots, müssen die Betroffenen, hier zumeist die Mitarbeiter, über die Verarbeitung informiert werden. Wie umfangreich eine solche Information sein muss, gibt dann Artikel 13 der DSGVO vor. Daneben muss der Zweck der Verarbeitung festgelegt und angemessen sein. Es dürfen also auch mit Rechtsgrundlage nicht unnötig viele Daten und dann auch nur bis dieser Zweck endet, verarbeitet werden.
Hier stellt sich bereits die Frage, ob ein Hersteller überhaupt personenbezogene Klardaten (also Daten mit denen ein Betroffener eindeutig und ohne jeden Aufwand identifiziert werden kann) erhalten darf. Gegebenenfalls muss die Anonymisierung oder wenigstens Pseudonomisierung der Daten sichergestellt werden, um das Risiko für die Betroffenen zu senken.
Im schlimmsten Fall stellt der Vorgang eine unrechtmäßige Verarbeitung dar, die mit den höchsten Bußgeldsätzen (laut DSGVO ab 20 Mio. € oder 4% des Jahresumsatzes eines Unternehmens oder einer Konzerngruppe) versehen werden kann.
Daneben sind aber auch rein formale Punkte zu beachten, wie die Beantwortung der Frage, ob ein Eintrag in das Verzeichnis der Verarbeitungstätigkeiten notwendig ist oder ob der Abschluss von Auftragsdatenverarbeitungsvereinbarungen mit Herstellern und/oder insbesondere Dienstleistern erforderlich ist.
Sitzen Hersteller oder Dienstleister womöglich noch in einem Drittstaat außerhalb der EU bzw. dem EWR, sind zusätzlich besondere Regeln zu beachten (z. B. die Klärungen, ob für den Drittstaat ein Angemessenheitsbeschluss oder andere Garantien benötigt werden). Die Beantwortung dieser und weiterer Fragestellungen hängt letztlich häufig von den Umständen individueller Unternehmenssituationen ab und sollte schnellstmöglich geklärt werden, um weitere Risiken zu vermeiden.
Der Datenschutz im Lizenzmanagement kann unterstützend wirken
Abgesehen von den Herstellern, hat das Lizenzmanagement auch oft mit der Akzeptanz innerhalb der Organisationen eines Unternehmens zu kämpfen. Durch die Einbindung des Datenschutzes kann hier sowohl für das Lizenzmanagement als auch für den Datenschutz eine Win-win-Situation entstehen.
Datenschutzthemen können dem Unternehmen zum einen darin helfen, den Informationshunger von Herstellern und Auditoren zu bremsen und dies auch mit gesetzlichen Grundlagen zu belegen. Zum anderen liefert der Datenschutz dem Lizenzmanagement intern Argumente für einen hochwertigen Umgang mit Lizenz- und/oder Nutzungsdaten, welche den Anforderungen des Datenschutzes gerecht werden.
Dem Datenschutz wird dabei ebenfalls durch die Einhaltung der Vorgaben zum Datenschutz, der Reduzierung von Risiken und der Unterstützung bei der Erreichung der Datenschutzziele durch das Lizenzmanagement geholfen.
Fazit
Lizenzmanagement und Datenschutz stehen in einer direkten Wechselwirkung miteinander. Zumindest sind die Daten, welche im Lizenzmanagement erhoben werden, aus Datenschutzsicht oft relevant und schützenswert.
Gleichzeitig kann das Lizenzmanagement die Regeln und Vorschriften aus dem Datenschutz im eigenen Sinne nutzen, um den Informationshunger der Hersteller zu begrenzen.
Datenschutz und Lizenzmanagement können sich bei der Erreichung ihrer Ziele gegenseitig unterstützen.
Insofern lohnt nicht nur eine datenschutzrechtliche Untersuchung im Lizenzmanagement zwecks Positionsbestimmung, sondern die Entwicklung eines Lizenzmanagementansatzes, welche den Datenschutz integriert und sich mit diesem eng abstimmt.
Haben wir Sie Neugierig gemacht? Dann sprechen Sie uns einfach an. Unser Team aus Datenschutz- und Lizenzmanagementexperten hilft Ihnen an der Stelle gerne bei der Analyse Ihrer individuellen Situation, der Identifizierung von Handlungsbedarfen und was in der Folge zu tun ist.