Der Begriff IT-Governance (IT-G) wird oft sehr heterogen genutzt und über die Jahre immer wieder auch für ganz unterschiedliche Zwecke eingesetzt. Eine häufig angeführte Definition stammt von Ross und Weill: „We define IT gover-nance as specifying the decision rights and accountability framework to encourage desirable behavior in using IT .“ (Weill, P., & Ross, J. W. (2004). IT governance: How top performers manage IT decision rights for superior results. Harvard Business Press.)
In einer Meta-Studie definiert K. Beetz noch allgemeiner: „[IT-Governance ist die] Verantwortungsteilung zwischen IT- und Fachbereichen sowie IT-Organisation.“(Beetz, K. R. (2014). Wirkung von IT-Governance auf IT-Komplexität in Unternehmen: Beeinflussung der IT-Redundanz durch Verantwortungsteilung im IT-Projektportfoliomanagement. Springer-Verlag.)
Um Klarheit und Transparenz zu schaffen, wurde im Jahr 2018 ein neues Konzept für die IT-Governance an der HU erarbeitet. Diese setzt sich aus einer Beschreibung der übergreifenden Entscheidungsstrukturen, einer Festlegung und Beschreibung der beteiligten Rollen, Verantwortlichkeiten und Aufgaben, einer Aktualisierung der Benutzungsbedingungen sowie dem Aufbau einer IT-Sicherheitsorganisation zusammen. Ergänzt werden diese Maßnahmen im CMS durch einzelne Aktivitäten im Bereich IT-Management und -Controlling.
Die folgende Grafik gibt einen Überblick zu den einzelnen Instrumenten der IT-G, wie sie von der Universitätsleitung im Juli 2018 beschlossen wurde:
Hierbei wurde die Lenkungsgruppe Informationsprozesse nun explizit als zentrales CIO-Gremium der HU neu aufgestellt, wobei die Aufgaben und Ziele durch eine Richtlinie geregelt werden. Auch wurde eine neue Satzung zur Ordnung der IT erarbeitet, mit der die verschiedenen Rollen und Verantwortlichkeiten an der HU klar spezifiziert sind. Als Rollen sind dort benannt:
- Lenkungsgruppe Informationsprozesse (LGI)
- Informations-Sicherheitsbeauftragte bzw. Informations-Sicherheits-beauftragter der HU
- Leiterin bzw. Leiter einer Einrichtung der HU
- IT-Beauftragte der Einrichtungen
- IT-Sicherheitsbeauftragte der Einrichtungen
- IT-Verfahrensverantwortliche
- IT-Systemverantwortliche und IT-Systemadministratorinnen bzw.
- IT-Systemadministratoren
- Behördliche Datenschutzbeauftragte bzw. Behördlicher Datenschutz-beauftragter
- Personalvertretungen
Diese Rollen existieren bereits implizit für die verschiedenen IT-Verfahren an der HU. So sind „IT-Verfahrensverantwortliche“ die derzeit für ein Verfahren bzw. die entsprechenden Prozesse verantwortlichen Personen, d. h. die Personen, die das Verfahren benötigen und z. B. auch für die Einhaltung der Bestimmungen der EU-Datenschutzgrundverordnung verantwortlich sind. Die technischen Systeme werden dabei von den IT-Systemverantwortlichen betrieben. Diese übernehmen Verantwortung für den ordnungsgemäßen technischen Betrieb. Durch diese klare Trennung können die Verantwortlichkeiten deutlich beschrieben und unterschieden werden.
Ein wichtiger Schritt für die HU war die Einrichtung eines IT-Sicherheitsbeauftragten und eines Informationssicherheitsbeauftragten als Grundlage der IT-Sicherheitsorganisation der HU. Die Position des IT-Sicherheitsbeauftragten konnte zum 1.10.2018 durch Herrn Dr. Frank Kühnlenz besetzt werden. In der Folge wurde eine Informationssicherheitsleitlinie für die HU erarbeitet, die nun breiter abgestimmt wird. Darin wird auch die „Satzung zur IT-Organisation“ referenziert, in welcher die hier genannte Organisationsstruktur festgelegt wird.
Ansprechpartner:
Malte Dreyer