Mai 08 2009

Datenschutz ist auch Sache der IT

Published by CWitte at 13:18 under Allgemein

Ist Datenschutz eigentlich CIO-Sache? Manchmal ist sie es zwar per Definition, weil der IT-Chef auch gleich zum Datenschutz-Chef erkoren wurde (weil es kein anderer machen wollte), aber moralisch fühlt er sich meistens nicht zuständig.
Natürlich sind die Datenschutzskandale bei Bahn, Telekom oder Schlecker und co. völlig ohne Zutun der IT entstanden. Dass Daten unautorisiert erhoben, für missbräuchliche Auswertungen herangezogen werden oder in falsche Hände geraten, liegt meistens nicht an der internen IT. Allerdings geht es auch nicht ohne sie. Es hat überhaupt keinen Sinn, Mitarbeiter nach dem Grund für ihr Krankfeiern zu fragen, wenn das Unternehmen die Antworten nicht speichert und auswertbar macht. Also lässt sich mit Fug und Recht behaupten: Jeder Missbrauch von Daten wird erst durch die IT und die Leute möglich, die Systeme und Applikationen zur Verfügung stellen und dafür verantwortlich sind. Aber wie viele CIOs und IT-Manager kennen die Datenschutzgesetze im Detail? Wie viele kümmern sich um die sogenannte informationelle Selbstbestimmung ihrer Mitarbeiter, Kollegen und Kunden - um ein Recht, das Ihnen selbst als Bürger des Deutschen Staates zusteht und dessen Einhaltung sie einklagen können.
Warum geht die Datenschutzdebatte meistens an der IT vorbei? Da sie die Mittel und Daten bereithält, die missbräuchlich eingesetzt werden können, sollten die IT hier mehr Verantwortung übernehmen – ähnlich wie im Security-Bereich. Dort trägt sie auch keine ursächliche Verantwortung, und verteidigt die IT doch vor Konsequenzen aus schadhaftem und bösartigem Code.
Im Bereich Datenschutz hört man dagegen gar nichts aus den IT-Abteilungen – obwohl sie auch hier an der Quelle sitzen. Die IT müsste eigentlich die Erste sein, die auf den unrechtmäßigen Umgang mit Kundendaten aufmerksam macht, die Ausspähung von Mitarbeitern verhindert und Bereichsleiter sowie Geschäftsführer auf eventuelle Gesetzesverstöße aufmerksam machen. Es wäre sehr begrüßenswert, wenn die IT hier mehr Verantwortung übernehmen würde. Es gäbe weniger Datenskandale und das Image der Unternehmen, die den Missbrauch von Mitarbeiter- und Kundendaten verhindern, wäre besser. Eine auch in diesem Sinne aktive IT würde davon ebenfalls profitieren, auch wenn es für den CIO kurzfristig einige heftige Auseinandersetzungen bedeuten kann.

3 Responses to “Datenschutz ist auch Sache der IT”

  1. Dipl.-Kfm. Günther Ottenon 11 Mai 2009 at 14:21

    Sehr geehrter Herr Witte,

    als Konzern-Beauftragter für den Datenschutz der Gothaer muss ich Ihrer Auffassung deutlich widersprechen. Die IT ist sicherlich verantwortlich für eine sichere Datenverarbeitung im Sinne KonTraG, MARisk für operationale Risiken und ITIL im Sinne eines funktionsfähigen Business Continuity Managements, die datenschutzrechtliche Verantwortung kann aber nie in der IT liegen.

    Beste Beispiele sind die unserer Branche weit verbreiteten Outsourcing/offshoring-Aktivitäten. Der indische IT-Betreiber wird wohl nie derjenige sein, der den Datenschutz verantwortet. Dies ist im Zweifel immer die verantwortliche Stelle, sprich der Fachbereich.

    Von daher sollte der Datenschutz möglichst ausserhalb der IT angesiedelt werden, um seine Kontroll-/Steuerungsfunktion im Sinne der Betroffenen wirksam ausüben zu können.

    Mit freundlichen Grüßen

    Günther Otten

  2. CWitteon 11 Mai 2009 at 16:27

    Dass die formale Verantwortung für den Datenschutz nicht innerhalb der IT liegen sollte, habe ich auch nicht gemeint. Der Datenschutzbeauftragte sollte weiterhin außerhalb der IT (aber auch außerhalb interessierter Abteilungen) rekrutiert werden. Mir ging es einzig und allein um das Verantwortungsbewusstsein, dass auch die IT gegenüber dem Datenschutz aufbauen muss.

  3. Michael Kosticon 12 Mai 2009 at 00:39

    Eine sehr bemerkenswerte Aussage die ich einmal deutlich aggressiver formuliert hatte (http://www.ciez.de/ciez-default/autor_mk_1.html).

    Doch wie schon dem Kommentar von Herrn Otten zu entnehmen ist, scheint hier noch immer mehr eine Irritation der Ethik vorzuliegen.

    Hier http://dejure.org/gesetze/GG/2.html finden wir diese Irrung wieder. Es gibt in der IT noch immer massenhaft Beteiligte die dieses Grundrecht für sich in Anspruch nehmen, aber an dessen Verteidigung für den “Rest” der Gemeinschaft nich aktiv u./o. gezielt passiv mitwirken wollen u./o. können.

    Allerdings ist dies eine sehr komplexe Thematik die von kaum einem Beteiligten sachlich erörtert werden kann, endet sie doch nur allzu häufig in der Feststellung:

    “Und was soll ich tun? Wenn ich es nicht mache werde ich gekündigt!”

    Was so betrachtet tatsächlich richtig ist. Eine Analogie hierzu:

    Ein IT-Mitarbeiter der sich weigert Daten zu sammeln u./o. wider den gesetzlichen Bestimmungen aufzubereiten, kommt in seiner Handlung einem Soldaten gleich, der seinem Vorgesetzten darüber informiert, dass die Munition die er dazu verwenden soll auf einen Feind zu schießen gegen die Bestimmungen der Genfer Konvention verstoßen und er sie daher nicht verwenden will…

    Ein Dilemma welches tatsächlich gesellschaftlich verankert ist:

    “Ich befolge doch nur Anweisungen!”

Trackback URI | Comments RSS

Leave a Reply