Ohne IT-Verantwortung kein Datenschutz

gebrannte-dvd1Ist Datenschutz eigentlich CIO-Sache? Manchmal ist sie es zwar per Definition, weil der IT-Chef auch gleich zum Datenschutz-Chef erkoren wurde (weil es kein anderer machen wollte) , aber moralisch fühlt er sich meistens nicht zuständig. Natürlich sind die Datenschutzskandale bei Bahn, Telekom oder Schlecker und co. völlig ohne Zutun der IT entstanden. Dass Daten unautorisiert erhoben, für missbräuchliche Auswertungen herangezogen werden oder in falsche Hände geraten, liegt meistens nicht an der internen IT. Allerdings geht es auch nicht ohne sie. Es hat überhaupt keinen Sinn, Mitarbeiter nach dem Grund für ihr Krankfeiern zu fragen, wenn das Unternehmen die Antworten nicht speichert und auswertbar macht. Also lässt sich mit Fug und Recht behaupten: Jeder Missbrauch von Daten wird erst durch die IT und die Leute möglich, die Systeme und Applikationen zur Verfügung stellen und dafür verantwortlich sind. Aber wie viele CIOs und IT-Manager kennen die Datenschutzgesetze im Detail? Wie viele kümmern sich um die sogenannte informationelle Selbstbestimmung ihrer Mitarbeiter, Kollegen und Kunden – um ein Recht, das Ihnen selbst als Bürger des Deutschen Staates zusteht und dessen Einhaltung sie einklagen können.

Warum geht die Datenschutzdebatte meistens an der IT vorbei? Da sie die Mittel und Daten bereithält, die missbräuchlich eingesetzt werden können, sollten die IT hier mehr Verantwortung übernehmen – ähnlich wie im Security-Bereich. Dort trägt sie auch keine ursächliche Verantwortung, und verteidigt die IT doch vor Konsequenzen aus schadhaftem und bösartigem Code.

Im Bereich Datenschutz hört man dagegen gar nichts aus den IT-Abteilungen – obwohl sie auch hier an der Quelle sitzen. Die IT müsste eigentlich die Erste sein, die auf den unrechtmäßigen Umgang mit Kundendaten aufmerksam macht, die Ausspähung von Mitarbeitern verhindert und Bereichsleiter sowie Geschäftsführer auf eventuelle Gesetzesverstöße aufmerksam machen. Es wäre sehr begrüßenswert, wenn die IT hier mehr Verantwortung übernehmen würde. Es gäbe weniger Datenskandale und das Image der Unternehmen, die den Missbrauch von Mitarbeiter- und Kundendaten verhindern, wäre besser. Eine auch in diesem Sinne aktive IT würde davon ebenfalls profitieren, auch wenn es für den CIO kurzfristig einige heftige Auseinandersetzungen bedeuten kann.

Foto: NightRPStar

9 Gedanken zu „Ohne IT-Verantwortung kein Datenschutz“

  1. Aus der Hüfte geschossen: Kein IT-ler hat den Auftrag, Daten zu sammeln, sie auszuwerten, zu kombinieren und Dossiers über Mitarbeiter anzulegen.

    Die Aufträge lauten:

    1. Sammle die Daten.
    2. Sorge für Persistenz
    3. Anonymisiere die Daten und fahre den Abgleich
    4. Wie fit bist Du in SQL, mach doch mal Data-Mining

    Die Aufträge gehen an vier verschiedene Mitarbeiter und speziell (3) ist beruhigt und (4) ist technisch herausgefordert. Und da ist noch nicht mal notwendigerweise ein Masterplan dahinter, das geht vollautomatisch. IT ist Technik!

    Auch ich tue mich heute noch schwer, genau festzumachen, was denn das wirklich Böse ist, was da bei der Bahn gelaufen ist. (Womit ich vielleicht eine kleine Diskussion anzettele? 🙂 )

  2. Das mit dem beabsichtigten Anzetteln einer Dsikussion lässt wohl darauf schließen, dass Sie schon wissen, was der Bahn (und Hartmut Mehdorn als Verantwortlichem) vorgeworfen wurde. So weit ich es noch zusammenkriege, wurden Mails abgeglichen, um herauszufinden, wo „die Presse“ ihre Informationen herbekam, und ob Bahnmitarbeiter mit Lieferfirmen krumme Sachen gedreht haben. Naja, vielleicht würde ich das auch so machen, wenn ich einen Betrieb mit fünf Angestellten hätte. Aber bei einem Laden in der Größenordnung der Bahn würde ich mich schon mal mit dem üblichen Datenschutz vertraut machen. Das scheint jedoch inzwischen keiner so genau zu wissen, und jetzt warten sie alle darauf, was nächsten Mittwoch der Berliner Datenschutzbeauftragte von sich gibt.
    Vielleicht könnte man ganz einfach ein bisschen gesunden Menschenverstand auf Stasi und Stasi2.0 anwenden: Wenn ich von jemandem etwas erfahre, dass dieser Jemand nicht veröffentlicht sehen will, dann darf ich das ohne seine Zustimmung nicht gegen ihn verwenden und auch nicht verwerten oder gar veröffentlichen. Ein Arbeitsvertrag – wie absurd das auch erscheinen mag – ist ein Vertrag zwischen zwei Gleichen. Wenn daraus der Unternehmer einen Freibrief für die uneingeschränkte Verfügbarkeit aller Daten seines Angestellten ableitet, inklusive Verstoß gegen das Post- und Fernmeldegeheimnis, fällt die Gesellschaft nicht zurück in den Feudalismus. Nein, sie begründet eine neue Form der Leibeigenschaft, unterstützt von der Informationstechnologie.
    Könnte es sein, dass dies die Grundlage des „Bösen“ ist, „was da bei der Bahn gelaufen ist“?
    Christoph Witte stellt die Frage, die auch den Physikern nach Hisroshima gestellt wurde. Damals hat es nichts genützt, und auch heute bin ich skeptisch. „Wir werten doch nicht, wir forschen nur und stellen die technischen Möglichkeiten zur Verfügung. Was einer damit anfängt – damit haben wir doch nichts zu tun.“
    Wenn einer aus der IT-Branche überhaupt solche Fragen stellt zu seinem Tun, kann ich nur sagen: Hut ab! Er sollte sich schon mal nach einer neuen Aufgabe umsehen.

  3. Hallo? In meinem Posting steht nichts von „böse“ und nichts von Leibeigenschaft. Noch will ich IT-Verantwortliche mit Atombomben-Erfindern verglichen sehen! Ich habe lediglich gesagt, dass sie sich mehr um Datenschutz kümmern könnten. a) weil sie quasi an der Quelle sitzen und b) weil sie die Zusammenhänge verstehen, mit denen sich andere vielleicht schwertun.

  4. Hallo! Sie haben völlig recht, in Ihrem Posting steht nichts von „böse“. Was ich geschrieben habe, bezog sich auf den Kommentar (der vor meinem steht): „Auch ich tue mich heute noch schwer, genau festzumachen, was denn das wirklich Böse ist, was da bei der Bahn gelaufen ist.“ Vielleicht verstehen Sie meine Bemerkung besser, wenn Sie den Kommentar von SvB lesen. (Dass Sie von Leibeigenschaft geschrieben haben, behaupte ich ja gar nicht.)
    Im Übrigen geht es um die Verantwortung der „Verantwortlichen“ – ob die Atombomben erfinden oder Überwachungsinstrumente zusammenbasteln spielt in der Auswirkung gewiss eine Rolle, grundsätzlich gesehen nicht. Die Frage ist doch, ob ein Wissenschaftler alles tun darf/soll, was er – mit seinem Verständnis der Zusammenhänge – tun kann. –
    Ist mein Eindruck richtig, dass Ihre Bemerkungen zu meinem Kommentar verärgert klingen?

  5. @hans. Nicht unbedingt verärgert, eher irritiert. Mir ging es in dem Kommentar nur darum, IT-Manager darauf aufmerksam zu machen, dass sie auch Verantwortung für den Datenschutz tragen, der sie sich bewusst sein sollten. Schließlich müssen sie den Mist auch oft ausbaden, den andere in ihrem Unternehmen angerichtet haben. Ich denke, meistens würde ein Hinweis auf die Gesetzeslage ausreichen, um bestimmte Begehrlichkeiten nach Daten im Keim zu ersticken, die andere Manager in ihren Unternehmen hegen. IT-Manager mit den Erfindern der Atombombe in einen Topf zu werfen, finde ichaußerdem stark übertrieben. Manchmal finde ich es einfach besser, die Kirche im Dorf zu lassen, obwohl ich auch ungern einem „zünftigen“ Streitgespräch aus dem Weg gehe.

  6. Dann sind unsere Positionen nicht mehr so weit auseinander. Ich glaube, das mit dem Lesen von Mails war ein anderer Konzern. Bei der Bahn wurden Mails auf einem überlasteten Mailserver analysiert. Mit in der Queue lagen Mails von Gewerkschaftern. Klang etwas aufgebauscht. Wenn ein Mailserver in die Knie geht, schaut der Techniker in mir auch nach, wieso das passiert. An Datenschutz denke ich dann wieder, wenn der Server wieder lebt. Damit schütze ich die Daten aller anderen – auch Mails sind Daten.

    Richtig? Falsch? Na, jedenfalls kein „Skandal“ für den Vorstand. Darum ging es mir. Und das war auch der Nachdenker für mich, als ich den Artikel gelesen habe. Techniker nehmen Datenschutz ernst. Ist ja auch(!) eine technische Herausforderung 🙂 Aber das mit dem Ernstnehmen gilt für alle technischen Herausforderungen. Da liegt die Falle für Techniker. „Wetten, Du kriegst dies oder das nicht raus bei den Daten“. Das muss man bedenken.

  7. Zur Erinnerung: Die Bahn hat in den Jahren 2002 und 2003 heimlich rund drei Viertel der damals gut 240.000 Mitarbeiter auf Korruptionsverdacht überprüft. Das heißt: Man hat ohne Wissen der Mitarbeiter persönliche Daten wie Wohnadressen, Telefonnummern und Bankverbindungen seien mit jenen von 80.000 Firmen abgeglichen, zu denen die Bahn Geschäftsbeziehungen hatte. Dazu wurden die Daten an eine Fremdfirma, due Berliner Ermittlungsfirma Network Deutschland übertragen, die auch schon im Mittelpunkt des Bespitzelungsskandals bei der Deutschen Telekom stand. Laut § 11 BDSG ist eine solche Weitergabe an einen Dienstleister („Auftragsdatenverarbeitung“) erlaubt, weil das Gesetz in diesem Falle den Auftragnehmer nicht als Dritten, sondern als Teil der verantwortlichen Stelle behandelt.

    Eine Übermittlung in „Drittstaaten“, die keine ausreichenden Datenschutzgesetze haben (z.B. die USA) ist verboten. Das war hier nicht der Fall.

    Auch im Falle einer „legalen“ Weitergabe im Kontext der Auftragsdatenverarbeitung muss allerdings die betroffene Person zum Zeitpunkt der Speicherung der Daten oder spätestens bei der erstmaligen Weitergabe der Daten an Dritte unterrichtet werden. Das ist offenbar nicht erfolgt, was durchaus strafrechtlich relevant ist.

    Mehrdorn & Co. reden sich also damit heraus, dass sie eigentlich nichts Verbotenes getan haben, was wohl nur halb der Wahrheit entspricht, aber das werden die Gerihte zu klären haben. Der Skandal ist also vor allem zunächst ein politischer. Vorstellbar aber, dass am Ende irgendein kleiner ITler als Bauernopfer herhalten muss. Und das wäre, lieber Christoph, in der Tat der größte Skandal von allen.

  8. Also, ich glaube immer noch, dass Mehdorn selbst das Bauernopfer war. Unsere Gesellschaft und unsere Politiker waren mit der von ihnen selbst beschlossenen Privatisierung der Bahn doch nicht so glücklich. Eigentlich ist die Bahn seit den 60er Jahren schlechter statt besser geworden. Die Privatisierung hat das eher beschleunigt als umgedreht. Und Mehdorn macht, was man von einem guten DAX-Vorstand erwartet: Er maximiert Gewinne, kennt keine Kompromisse bei Korruption, verschlankt den Laden und legt unrentable Strecken still, soll sich der Wettbewerb kümmern. Das steht im Zweifel eh in seinen Zielen, falls die schriftlich fixiert sind. Und voilá, auf einmal will man „diese“ Bahn nicht mehr.

    Ich fand, die Verdrängung von Herrn Mehdorn durch skandalisierende Politiker hatte etwas von Mobbing. Dieser „Datenskandal“ roch aufgebauscht. Auch habe ich immer wieder gehört, der Betriebsrat sei nicht eingeweiht gewesen, das sei der eigentliche Skandal. Hätte man dem Betriebsrat Bescheid gesagt, wäre alles in Butter gewesen? Die „Durchleuchteten“ hatten vermutlich eh entsprechende Betriebsvereinbarungen. Also ich weiss nicht, wo ist der Skandal denn nun wirklich? Ich biete eine kleine Wette an, dass, wo nun Mehdorn weg ist, alles, was man zu diesem SKANDAL noch hören wird, über Randnotizen nicht hinausgehen wird.

    Aber wir kommen vom Thema ab 🙂 was hätte Czyslansky wohl dazu gesagt?

  9. Ich weiß nicht, was Czyslansky dazu gesagt hätte, aber die Wirtschaftsprüfungsgesellschaft KPMG und unabhängig davon Herta Däubler-Gmelin und Gerhart Baum kamen im gestern veröffentlichten Untersuchungsbericht übereinstimmend zu dieser Erkenntnis (Quelle: taz, 14. Mai 2009, Seite 2):
    „Von 2005 bis Mitte 2008 wurde der gesamte E-Mail-Verkehr der Bahnmitarbeiter permanent auf über 500 Suchbegriffe gefiltert. Darüber hinaus durchsuchte die Bahn gezielt E-Mail-Logfiles bei 38 konkreten Anlässen. Im Oktober 2007 wurde eine E-Mail der Lokführergewerkschaft zum Streik im Auftrag der Konzernsicherheit kontrolliert und gelöscht. Dieser Straftatbestand ist noch nicht verjährt.“
    Ich weiß nicht so recht, ob das noch unter „Randnotizen“ fällt. Diese Art von arroganter Überheblichkeit (Gesetze? Sind für andere da!) habe ich gemeint mit „moderner Leibeigenschaft“: Das Unternehmen maßt sich an, ein Recht auf Zugang zur Privatsphäre der Angestellten zu haben. „Mobbing“ ist wirklich eine verachtenswerte Erscheinung, aber wer, wenn nicht der verantwortliche Firmenchef und seine Handlanger, sollten unter solchen Umständen abtreten müssen?
    Darüber hinaus möchte ich meine Freude nicht verhehlen, dass Otto Wiesheu zu den Vorständen gehört, die zum Monatsende gefeuert wurden. Er hat sich als CSU-Wirtschaftsminister in Bayern so lange für die irrsinnigen Milliardenprojekte der DB eingesetzt, bis er von Mehdorn mit einem Vorstandsjob belohnt wurde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .