gehörte es bisher bei  IT-Dienstleistern zur Kür, die Systemdokumentation zu pflegen und dem Auftraggeber die aktuelle Version zu übergeben, sind jetzt alle in der Pflicht, diese und die dazu gehörigen Zugangsdaten dem Auftraggeber zur Verfügung zu stellen.

Wenn ab 25.05.2018 die DSGVO umzusetzen ist, stellen eine aussagefähige Dokumentation sowie die Reglungen im Umgang mit den Zugangsdaten einen wesentlichen Teil der Verfahrensdokumentation dar. Bezogen auf die Transparenz als ein wichtiges Gewährleistungsziel der Informationssicherheit, wird die Systemdokumentation als Mittel zur Kontrollierbarkeit, Prüfbarkeit und Beurteilung herangezogen.

Im Umkehrschluss sollten Unternehmen, die sich externer IT-Dienstleister zur Aufgabenerfüllung bedienen, auf die Aushändigung und Pflege der Dokumentation für ihre System-Infrastruktur bestehen. Idealerweise ist eine zweigeteilte Form („unternehmensintern“ und „streng vertraulich“) angebracht, um sensible Zugangsdaten von allgemeinen technischen Informationen zu trennen.

IT-Dienstleister sollten ihre Betreuungsverträge um den Leistungspunkt „Erstellen und Pflege der Systemdokumentation“ ergänzen.

Letztendlich ist der Auftraggeber, unbesehen dessen, ob personenbezogene Daten verarbeitet werden oder nicht, immer Eigentümer der IT-Umgebung, die er erworben hat und somit auch der Zugangsdaten (hierzu gehören auch die administrativen Zugänge). Der Auftraggeber verantwortet ebenso auch die Art des Zugriffes des IT-Dienstleisters auf seine IT-Umgebung und beschreibt diese in seiner Sicherheits-Richtline.

Der IT-Dienstleister kann hierzu lediglich Empfehlungen unterbreiten.