Datenschützer dürfen nicht blockieren

Ina Hönicke ist freie Journalistin in München.
IT-Chefs treiben IT-Projekte voran, Datenschützer und Sicherheitsexperten melden ihre Bedenken an. Wichtig ist, das alte Schema Gestalter contra Verhinderer aufzubrechen und zu einem konstruktivem Miteinander zu kommen.

Dass Anforderungen der IT-Verantwortlichen nicht selten auf Bedenken von Datenschutz- und Sicherheitsbeauftragten stoßen, ist hinlänglich bekannt. Auch wenn die Beteiligten in den Unternehmen die Problematik gerne herunterspielen (siehe auch "Nebensache IT-Sicherheit"), gibt es reichlich Beispiele, die hinter vorgehaltener Hand erzählt werden. So berichtet ein IT-Chef, der nicht genannt werden will, über abhörsichere Mobiltelefone, die seine Abteilung für die Mitglieder des Vorstands installieren ließ. Wenn nun ein Mitarbeiter oder Kunde bei einem der Topmanager über eine gesicherte Leitung anrief, hätte dieser zur Absicherung auf einen bestimmten Knopf drücken und fünf Sekunden warten müssen. Dazu allerdings, so der IT-Verantwortliche, hätten die Vorstandsmitglieder keine Lust gehabt. Ihre Begründung: Das dauere ihnen zu lange.

Hier lesen Sie

  • warum bei IT-Projekten die Balance zwischen Business und IT-Sicherheit so schwierig ist;

  • welche Rolle der CIO und welche der Datenschützer einnimmt;

  • welche Sicherheitsstandards der IT-Verantwortliche erfüllen muss.

Zu viel Datenschutz nervt Chefs

Peter Wedde, FH Frankfurt am Main: "Ein guter Datenschutzbeauftragter muss gleichermaßen Berater der Geschäftsführung und der Mitarbeiter sein."
Peter Wedde, FH Frankfurt am Main: "Ein guter Datenschutzbeauftragter muss gleichermaßen Berater der Geschäftsführung und der Mitarbeiter sein."

"In einem solchen Fall steht der Datenschutzbeauftragte in der Tat auf verlorenem Posten", erklärt Peter Wedde, Professor für Arbeitsrecht und Recht der Informationsgesellschaft an der Fachhochschule Frankfurt. Dabei müssten IT-Sicherheit und Datenschutz grundsätzlich zur Chefsache erklärt werden (siehe auch "IT-Sicherheit und Arbeitsvertrag"). Wedde: "Es ist Aufgabe der Geschäftsführung, die Belegschaft für dieses Thema zu sensibilisieren. Denn nur aufmerksame und engagierte Mitarbeiter können für die entsprechende Umsetzung sorgen." Seit einiger Zeit indes stellt der Hochschuldozent fest, dass Themen wie Datenschutz, aber auch Datensicherheit, in den Unternehmen an Bedeutung gewinnen. Wedde: "Es ist doch klar, dass einem kompetenten CIO sehr viel an Sicherheit liegt. Dementsprechend wird er sich bei neuen Projekten intensiv mit den Kollegen austauschen." Seiner Meinung nach sollte ein guter Datenschutzbeauftragter sowohl der Geschäftsleitung als auch Mitarbeitern und Betriebsrat gegenüber vorrangig als Berater auftreten. Schließlich würde die überaus komplizierte und umfassende Welt des Datenschutzes zunehmend nach beratender Unterstützung verlangen. Als ein Beispiel von vielen führt der Arbeitsrechtler die in der Finanzwelt geltenden gesetzlichen Bestimmungen wie Sarbanes-Oxley, Basel II oder das Konzerntransparenzgesetz (Kontrag) an.

Thomas Siekmann, IT-Manager: "Eine gute Abstimmung verhindert, dass der Sicherheitsverantwortliche als Bremser erlebt wird."
Thomas Siekmann, IT-Manager: "Eine gute Abstimmung verhindert, dass der Sicherheitsverantwortliche als Bremser erlebt wird."

Thomas Siekmann, langjähriger IT-Verantwortlicher im Mittelstand, hat öfter erlebt, dass kontrollierende Datenschutzbeauftragte oder Sicherheitsprofis von der IT als "bremsend" erlebt werden. Dennoch sei es im Interesse des Unternehmens, alle Systeme gesetzeskonform zu gestalten. Um den richtigen Weg zu gehen, ist es seiner Meinung nach entscheidend, dass Projekte bereits in der Konzeptionsphase mit dem Datenschutzbeauftragten abgestimmt werden. Siekmann: "Eine gute Abstimmung in der Designphase verhindert, dass der Eindruck des Bremsers entsteht – vor allem, wenn der Datenschutzbeauftragte seine Rolle proaktiv und beratend begreift."

Datenschutz: Spielraum für Interpretationen

Nach Ansicht des IT-Verantwortlichen spricht für eine gute Kooperation zwischen den Beteiligten, dass jeder CIO Interesse daran hat, sichere Anwendungen zu entwickeln und über geschützte Daten zu verfügen. Siekmann: "Es geht nicht darum, Vorhaben zu blockieren. Im Gegenteil – wenn Datenschutz- oder IT-Sicherheitsbeauftragte nicht in einer frühen Phase ihre Bedenken anmelden können, kann das später verheerende Folgen haben." Seiner Meinung nach täte jeder CIO gut daran, sich für gemeinsame Lösungen zu interessieren. Schließlich sei er es, dem im Schadensfall der Schwarze Peter zugeschoben werde. Aber auch die Sicherheitsverantwortlichen müssten ihre Rolle für das Unternehmen im Blick haben – sie seien schließlich Teil der aktiven Gestaltung der Unternehmenszukunft und nicht "bloße Verhinderer".

Sollte es tatsächlich zu schlichtungsreifen Differenzen zwischen der IT und den Sicherheitsprofis kommen, könne nur einer eingreifen – und das sei der CEO. Sein Job sei es, gemeinsam mit allen Betroffenen zu klären, welche Risiken das Unternehmen unter bestimmten Bedingungen zum Vorteil des Geschäfts eingehen darf – und welche auf keinen Fall akzeptiert werden dürfen. Darüber hinaus würden Gesetzgebung und interne Sicherheitsregularien immer wieder Interpretationen und Entscheidungen verlangen.

Datenschutz ist Ringen um Kompromisse

Berthold Weghaus, TÜV Nord: "Der Datenschutzbeauftragte muss die Rechte der Mitarbeiter wahrnehmen."
Berthold Weghaus, TÜV Nord: "Der Datenschutzbeauftragte muss die Rechte der Mitarbeiter wahrnehmen."

Berthold Weghaus, Konzernbeauftragter für den Datenschutz bei der TÜV Nord AG in Essen, weiß aus eigener Erfahrung, dass "Reibungspunkte zwischen IT-Chefs und Datenschutzbeauftragten auftreten". Schließlich sei der CIO für neue Projekte verantwortlich, während der Datenschutzbeauftragte die Interessen und Rechte der Betroffenen – Kunden wie Mitarbeiter - wahrnimmt. "Um diesen Konflikt in den Griff zu bekommen, müssen alle Beteiligten frühzeitig miteinander reden. Eine andere Lösung gibt es nicht”, meint Weghaus. Als Beispiel bei der TÜV Nord AG nennt er die Zusammenführung der beiden Personal-Wirtschaftssysteme Paisy sowie das Modul HR von SAP, die aufgrund einer Fusion sozusagen unter einen Hut gebracht werden mussten. Der Datenschutzbeauftragte: "Ich war bei der Einführung von Beginn an dabei und konnte so meinen Einfluss geltend machen."

Robert Wagner, beim TÜV Nord als Leiter der Konzernrevision beschäftigt, stimmt seinem Kollegen zu: "Dass die meisten IT-Projekte in unserem Haus glatt über die Bühne gehen, liegt an der frühen Einbindung aller Beteiligten." Wagner kennt die Sicht des Datenschützers als auch die des CIOs. Schließlich hat er in dem Unternehmen jahrelang als IT-Verantwortlicher selbst neue Projekte vorangetrieben. Ihm sei aber immer klar gewesen, dass dies nur mit Zustimmung des Datenschutzbeauftragten möglich ist.

Datenschützer müssen raus aus dem Büro

Das sei früher nicht immer so gewesen: "Das lief in unserem Haus längst nicht so gut zwischen den IT-Leuten und den Datenschutzbeauftragten.” Letztere seien nicht auf die IT-Profis zugegangen, sondern hätten in ihrem Kämmerchen vor sich hingearbeitet. Sobald dann ein Projekt online geschaltet worden sei, hätten sie ihre Bedenken vorgetragen und versucht, das ganze zu verhindern. Wagner: "Datenschutzbeauftragte dieser Couleur übernehmen in der Tat eine Blockiererrolle.” Dass es jetzt so gut klappt, liegt seiner Meinung nach nicht zuletzt daran, dass der jetzige Datenschutzbeauftragte Weghaus bis zu 75 Prozent seiner Arbeitszeit nicht in seinem Büro, sondern in den IT-Abteilungen vor Ort verbringt. Für Wagner steht fest, dass die Verbreitung von Informationen sowie gleichzeitiger Schutz der Daten sich nicht gegenseitig ausschließen: "Nicht der Kompromiss auf kleinstem gemeinsamen Nenner ist die beste Lösung, sondern das gemeinsame Ziel, IT-Projekte effektiv und effizient umzusetzen, ohne gegen den Datenschutz zu verstoßen.”

Datenschutz und die große Angst vor dem Internet

Manfred Seiler, Eurocopter. "Das Veto eines Security-Verantwortlichen kann die ganze Firmenstrategie blockieren."
Manfred Seiler, Eurocopter. "Das Veto eines Security-Verantwortlichen kann die ganze Firmenstrategie blockieren."

Dass die Anforderungen der CIOs zumeist reibungslos über die Bühne gehen, dieser Meinung steht Manfred Seiler, Senior-Manager bei dem deutsch-französischen-spanischen Gemeinschaftsunternehmen Eurocopter, eher skeptisch gegenüber: "Es gibt viele IT-Projekte, bei denen Datenschutzbeauftragte oder Security-Veranwortliche ihr Veto einlegen oder zumindest "aufschiebende Wirkung" erreichen. Auch wenn dies vom Rollenverständnis und der Verantwortung her verständlich sei, könnten Entscheidungen dieser Art die gesamte Firmenstrategie blockieren. Problematisch wird es immer dann, so der Maschinenbauer, wenn Abläufe das interne Netz verlassen und ins Internet wandern. Dabei sei es einfach und notwendig, mit Kunden und Partnern weltweit und online zu kommunizieren. Seiler: "Wenn es um das Internet geht, gehen bei Security-Leuten sämtliche Warnlampen an." Allerdings würde die Diskussion nicht immer sachlich geführt. Vielmehr sei allgemein vom unsicheren Netz mitsamt Virenangriffen, Hackern und anderen Cyber-Kriminellen die Rede. "Man kann im Grunde froh sein, dass es E-Mail bereits gibt. Wer weiß, ob das heute noch möglich wäre", kommentiert Seiler ironisch.

Der Eurocopter-Manager hat aus den immer wiederkehrenden Problemen seine Lehren gezogen: "Der IT-Projektverantwortliche muss sich gegen die Bedenken seiner Datenschutz- und Sicherheitskollegen durchsetzen. Gut wäre es, wenn er dabei von der Topetage oder einem Fachbereich unterstützt wird." Die allemal beste Lösung sei indes, sich direkt mit den Sicherheitsverantwortlichen zu verbünden und darüber hinaus Anwendungen mit einem hohen Sicherheitsstandard anzubieten.

"Im Idealfall muss die Lösung neben dem erforderlichen Sicherheitsstandard auch den Mehrwert für das Geschäft leisten", so der IT-Manager. Da bei neuen IT-Projekten im Regelfall mit hohem Druck aus der Topetage zu rechnen sei, sollte auch dieser Personenkreis rechtzeitig eingebunden werden. Seiler: "Auch wenn es mühsam ist, der IT-Verantwortliche muss den Datenschutz- und Sicherheitsbeauftragten immer wieder Beispiele liefern, wie sicher die geplanten Anwendungen sind." Genau so wichtig aber sei es, auf noch nicht ausgemerzte Lücken zu verweisen. Wenn das alles nicht hilft, bleibt laut Seiler nur ein Mittel: Das Projekt zu stoppen. Diese Maßnahme könne sich sogar als hilfreich erweisen. Der IT-Profi: "Als Blockierer dazustehen, wollen nur die wenigsten. Und gar keine Lösung zu haben, ist mehr als unsicher."(hk)