Marcus Belke
CEO of 2B Advice GmbH, driving innovation in privacy compliance and risk management and leading the development of Ailance, the next-generation compliance platform.
Viele Risiken entstehen nicht in der Cloud, sondern im Inventar. ITAsMa zeigt, wo Systeme laufen, welche Daten sie verarbeiten und wann sie zuletzt geprüft wurden. Damit wird das IT-Asset-Management zum Steuerungsinstrument für Datenschutz, KI-Governance und Audit-Sicherheit.
Ein IT-Asset-Management, das mitdenkt
Die meisten IT-Register wissen, was im Unternehmen existiert. Aber sie wissen nicht, was diese Systeme tun. Wenn Migrationen, Patches oder neue Dienste ins Spiel kommen, verlieren viele Organisationen den Überblick. Weil Dokumentation, Governance und Betrieb auf verschiedenen Inseln leben.
Das Ergebnis: Inkonsistenzen, Lücken, Fehlzuordnungen. Und irgendwann kommt eine Audit-Frage, die keiner eindeutig beantworten kann.
Ein Beispiel aus der Praxis zeigt, wie sich Routine in Aufwand verwandelt, wenn diese Verbindungen fehlen.
Der Cloud-Move, der zu teuer wurde
Der Ablauf war eigentlich Routine: Ein mittelständisches Unternehmen migriert sein HR-System in die Cloud. Die IT erstellt eine Checkliste, der Datenschutz prüft den Anbieter, die Fachabteilung gibt grünes Licht. Nach vier Wochen ist das Projekt abgehakt: Es ist sauber dokumentiert, die Systeme laufen, es kann Haken dran gemacht werden.
Bis ein Mitarbeiter zufällig im neuen System auf veraltete Personaldaten stößt. Es sind Datensätze ehemaliger Kollegen, die als längst gelöscht geglaubt galten. Ein Anruf bei der IT bringt die erste Überraschung: Die Daten stammen nicht aus der Cloud, sondern aus einem alten Backup des On-Prem-Systems. Ein Speicher, der eigentlich abgeschaltet sein sollte. „Uum Testen kurz aktiviert“ und dann vergessen.
Im zentralen IT-Register steht der Server noch als „archiviert“. Im Datenschutzverzeichnis taucht er nicht mehr auf. Es gab keinen Alarm, keine Prüfung wurde durchgeführt.
Am nächsten Morgen sitzt das Projektteam zusammen. HR, IT, Datenschutz bringen drei Tabellen mit, es sind drei Versionen der Realität. Was als Routineumzug begann, wird zur Ursachenanalyse, natürlich unter Zeitdruck.
Die Folgen:
- Meldung an die Aufsichtsbehörde nach Art. 33 DSGVO
- forensische Prüfung aller Speicherorte und Backups
- Projektstillstand für vier Wochen
- über 80 Stunden interner Aufwand für manuelles Matching zwischen IT, Datenschutz und HR
Eigentlich war es war „nur“ ein fehlender Abgleich zwischen Inventar und Dokumentation. Aber genau dieser Bruch reicht, um aus einem Routineprojekt ein meldepflichtiges Ereignis zu machen. Weil IT und Governance nicht synchronisiert waren.
Wie ein IT-Asset-Management solche Fälle verhindert
ITAsMa überwacht Abhängigkeiten zwischen Systemen, Daten und Governance-Objekten automatisch. Wenn ein Asset entfernt, migriert oder ersetzt wird, prüft die Lösung in Echtzeit:
- Welche Verarbeitungen (RoPA) hängen daran?
- Sind personenbezogene Daten betroffen?
- Gibt es zugehörige KI-Use-Cases?
- Ist ein Datenschutz-Folgenabschätzung erforderlich?
Das System löst automatisch einen Workflow aus, wenn eine dieser Bedingungen zutrifft.
Freigaben erfolgen erst, wenn alle relevanten Prüfungen abgeschlossen sind.
Sobald eine dieser Bedingungen erfüllt ist, startet ITAsMa automatisch den passenden Workflow. Freigaben erfolgen erst, wenn alle Prüfungen abgeschlossen sind. So entsteht Kontrolle, bevor ein Auditor danach fragt.
Damit solche Vorfälle nicht erst im Nachhinein auffallen, muss Kontrolle in den Prozess selbst eingebaut werden.
Von Asset-Verwaltung zu Prozesskontrolle
ITAsMa macht IT-Asset-Management deshalb zum aktiven Teil der Governance-Struktur.
Jede technische Änderung kann automatisiert bewertet und dokumentiert werden.
Beispiel:
- Neue Cloud-Umgebung → automatischer Datenschutz-Check
- Systemabschaltung → Prüfung auf Datenrückstände
- Update eines Moduls → Nachverfolgung der Verantwortlichen und Audit-Trail
Damit wird aus einem Inventar eine Überwachungsschicht, die Risiken sichtbar macht, bevor sie auditrelevant werden
Die Mechanik dahinter: Workflow-Engine und Nachweisführung
ITAsMa ist keine zusätzliche Softwareinsel, sondern eine verbindende Schicht zwischen IT-Betrieb, Datenschutz und Governance. Es nutzt vorhandene Systeme, wertet deren Daten aus und baut daraus ein lebendes Inventar, das sich selbst aktualisiert.
1. Datenaufnahme und Konsolidierung
ITAsMa importiert Informationen aus bestehenden Quellen: CMDBs, Asset-Listen, Cloud-Portale, Lizenzmanagement oder Active Directory. Alle Assets werden in einem einheitlichen Schema zusammengeführt: Verantwortliche, Standort, Datentypen, Verknüpfungen, Status. So entsteht ein vollständiges Bild der IT-Landschaft, ohne bestehende Tools zu ersetzen.
2. Automatische Verknüpfung mit Governance-Objekten
Jedes Asset wird mit den relevanten Governance-Einträgen verbunden:
- Verarbeitungstätigkeiten im RoPA
- KI-Use-Cases und Modellkarten in KI-Governance
- Dienstleister, Verträge oder AVVs in Vendor Management
Die Zuordnung erfolgt über Metadaten (z. B. Datenkategorien, Applikationsname, Verantwortungsbereich) oder per Schnittstelle. Ergebnis: Eine digitale Beziehungskarte zwischen Technik und regulatorischer Pflicht.
3. Regelwerk und Ereignissteuerung
Sobald ein Asset hinzugefügt, geändert oder deaktiviert wird, prüft ITAsMa anhand klarer Regeln:
- Sind personenbezogene Daten betroffen?
- Muss eine DPIA erstellt oder aktualisiert werden?
- Ist ein KI-System verbunden, das ein Re-Audit erfordert?
- Hat sich Standort, Anbieter oder Risikoklasse verändert?
Diese Ereignisse lösen automatisch Workflows aus: Freigaben, Reviews oder Eskalationen an Datenschutz, Security oder Fachbereich.
4. Workflow-Engine und Nachweisführung
Die integrierte Workflow-Engine steuert die beteiligten Rollen: IT, Datenschutz, Security, Legal, Fachbereiche. Jeder Schritt wird automatisch dokumentiert, inklusive Zeitstempel, Zuständigkeit und Ergebnis. So entfällt das manuelle Nachfassen per E-Mail. Das System weiß zu jedem Zeitpunkt, wer geprüft, genehmigt oder geändert hat.
5. Reporting und kontinuierliche Überwachung
Dashboards zeigen in Echtzeit:
- aktive Systeme und betroffene Datenkategorien
- offene oder überfällige Prüfungen
- aktuelle Risikoeinstufungen
- Verlauf von Re-Audits und Compliance-Status
Exportfunktionen liefern auditfähige Berichte auf Knopfdruck: für Management, Aufsicht oder externe Prüfer.
Ergebnis: ITAsMa ersetzt statische Listen durch einen dynamischen Kontrollmechanismus. Unternehmen steuern den Lebenszyklus ihrer Systeme proaktiv. Und das mit klaren Regeln, automatischen Prüfpfaden und nachvollziehbarer Governance.
Fazit: Governance beginnt im Betrieb
Sichere Governance entsteht nicht auf dem Papier, sondern in der Praxis. ITAsMa schafft Transparenz und verhindert Lücken, bevor sie zu Risiken werden. Was früher eine reie Inventarverwaltung war, wird zur strategischen Kontrollinstanz:
- Systeme werden automatisch mit Datenschutz- und KI-Verzeichnissen synchronisiert,
- Prüfungen laufen dokumentiert und nachvollziehbar,
- und Audits werden zu planbaren Routinen.
Unternehmen, die ihre IT-Landschaft mit Governance verknüpfen, gewinnen doppelt:
Sie reduzieren Aufwand und Haftung und stärken das Vertrauen in ihre Systeme, Prozesse und Daten.
Oder einfacher gesagt: Wer weiß, wo seine Daten laufen, muss im Audit nichts rechtfertigen – er kann einfach zeigen.
Prüfen Sie jetzt, wie reif Ihr Inventar wirklich ist.
Entdecken Sie, wie ITAsMa Ihr IT-Asset-Management in ein Governance-System verwandelt – automatisch, nachvollziehbar, skalierbar.
Marcus Belke ist CEO von 2B Advice sowie Jurist und IT-Experte für Datenschutz und digitale Compliance. Er schreibt regelmäßig über KI-Governance, DSGVO-Compliance und Risikomanagement. Mehr über ihn erfahren Sie auf seiner Autorenprofil-Seite.
German 
English 
Italian 
French