Mit Dr. Reinhold Thurner, Sodecon AG, sprach Elmar Elmauer

- Herr Doktor Thurner, Sie haben den Datenschützern die Zähne gezogen, als Sie behaupteten, ein Programmierer ist nich t kon trollierbar. Ist a us dieser Aussage zu folgern, daß der Datenschutz, so wie er gegenwärtig juristisch über die Datenverarbeitung gestölpt wird, weder durchführbar ist noch sein Ziel erreicht?

Ich glaube nicht, daß ich den Datenschützern die Zähne gezogen habe, im Gegenteil: Ich habe versucht, ihnen andere einzusetzen. Zumal die Kontrolle der Datenverarbeitung, der Programme nicht dadurch erfolgen kann, daß man gegen die Programmierer, und zwar gegen technische Tüftler, kontrolliert, sondern man muß versuchen, die ganze Datenverarbeitung auf neue Ziele zu reorientieren, und sie unter anderem auch auf die gesellschaftspolitischen Ziele, die von den Datenschützern verfolgt werden, hin

ausrichten. Ich habe des weiteren versucht, ihnen neue Zähne zu geben, indem ich den Datenschützern gesagt habe, sie möchten doch die Leistungsfähigkeit, die Power der Datenverarbeitung selbst nutzen, um die Datenverarbeitung zu kontrollieren, und es nicht mit den geringen eigenen technischen Kenntnissen versuchen.

- Das heißt aber, Sie setzen mit dem Datenschutz und der Kontrollierbarkeit der EDV ganz woanders a uL Sie steigen tief in die Programmentwicklung, in die Systementwicklung ein. Sie begnügen sich nicht damit, daß wie es ja jetzt geschieht, fertige Programme im nachhinei . kontrolliert werden, Lines of code nachgelesen werden, ob sie Datenschutz-Bedingungen erfüllen.

Ich glaube, wenn wir die Prüfung von Programmen dadurch erreichen wollen, daß wir losgelöst vom Produktionsprozeß fertige Produkte prüfen, werden wir in eine Antagonie zur Programmentwicklung kommen. Tatsächlich müßten wir ein ganzes Netz über die Entwicklung und Wartung darüberspannen, das zu jedem Zeitpunkt jede einzelne Entwicklungsphase aufteilt in eine Design-, eine Realisierungs- und Prüfungsphase: Die Designphäse, mit der die qualitative Spitze festlegt, in welche Richtung es geht; in die Realisierungsphase, in der die Leute in den vorgegebenen Rahmen die Systeme entwickeln, und die Prüfungsphase, in der verifiziert wird, ob das ganze eben auch erreicht worden ist.

- Da sprechen Sie an, daß insgesamt überschaubare Programme, überschaubare Systeme entstehen müssen. Haben wir denn unter den Leuten, die heute, diese Systeme entwerfen, überhaupt das geeignete Personal, das willens ist, diese Durchschaubarkeit zu realisieren? Oder wird nicht immer noch nach dem Prinzip "unkündbar" programmiert?

Ich glaube, daß wir den Programmierern viel zu häufig einreden, daß sie nicht gern und gut programmieren und wir das eben so lange tun, bis sie und wir es selbst glauben. Ich stelle fest, daß der Programmierer, der Anwendungsentwickler außerordentlich großes Interesse an Methoden und Tools hat, um seine Arbeit so zu lösen, daß er nicht ständig der technologische Prügelknabe ist. Ich bin überzeugt davon, daß wir den Level in der Datenverarbeitung anheben müssen. Dabei ist aber durchaus Platz für die Leute, die heute auf einem niedrigeren Level in der Datenverarbeitung im Einsatz sind, wenn wir sie nicht nur mit drei Monaten Ausbildung IMS-Konventionen belasten, sondern vielleicht nur eine Woche schulen, wie programmiere ich ein Programm mit IMS, so daß wir also die Ausbildungsbelastung, die technische Ausbildungsbelastung der Anwendungsprogrammierer senken und dieses Budget benutzen, um Anwendungsausbildung zu betreiben, und vor allem auch, daß wir die Leute - das muß natürlich von mir kommen - mit den notwendigen Tools ausstatten, damit sie das, was sie tun sollen, auch können.

- Insgesamt fordern Sie aber einen höheren Level bei jenen, die professionelle Datenverarbeitung betreiben und erst damit die Voraussetzung für die Anwender schaffen. Wo setzen Sie die Niveaubasis an? Bei welcher Schulbildung? Und welche Organisation

möchten Sie bei der hierarchischen Organisation für die Programmentwicklung haben?

Ich möchte in der Systementwicklung das ganze Spektrum der Qualifikation einsetzen. Ich möchte also eine sehr gute Grundausbildung haben, die kann zum Beispiel in einem Abitur oder Hochschulstudium bestehen.

- Drunter nicht?

Ich würde sagen, es gibt Funktionen in der Datenverwaltung, etwa die berühmte Programmiersekretärin, die kann sich weit darunter befinden. Und wir haben eine Anzahl von Aufgaben, die qualifizierte Leute nur frustrieren würden. Wir müssen es also fertig bringen, Aufgaben nach Fähigkeitsprofil auszugliedern. Ich sehe aber, daß ein Systementwickler, Grupperileiter, Projektleiter auf dieser Abitur- und Hochschul-Ebene sein muß, darunter geht es nicht. Jemand der dieses Abstraktionsvermögen nicht gelernt hat, der nicht durch eine Schule gegangen ist, die just diese Ausbildung besonders gefördert hat, der wird nur in wenigen Ausnahmefällen diese Fähigkeit - nicht das Wissen - sich aneignen können.

- Zurück zur ordnungsgemäßen Programmierung nach Thurner. Wie weit sind denn die methodischen Voraussetzungen zur ordnungsgemäßen Programmierung heute überhaupt verbreitet?

Ich glaube, die Verbreitung der Methoden ist wesentlich geringer, als es den Anschein hat. Man liest in der Zeitung wesentlich mehr darüber, als in der Praxis benutzt wurde. Ich führe das auf die Tatsache zurück, daß der Einführungsprozeß dieser Methoden nicht richtig gestartet wird. Es wird immer wieder erzählt, man kann zunächst die Methode einführen und anschließend, wenn man die Methode beherrscht, die entsprechenden Hlfsmittel nachschieben. Das halte ich nicht nur einfach für blanken Unsinn, sondern häufig für eine durchaus verständliche Einstellung von vorwiegend, auf Schulung und Beratung ausgerichteten Personen, die ein Tool wahrscheinlich nur stören würden.

- Auf dieser 3. Datenschutzfachtagung ist das Beispiel gefallen, daß auch Programme lebendige Systeme sind. Sie selbst haben aber die Reifegrenze a ufgezeigt mit dem Beispiel, man könnte wohl auch einen Fiat 500 25mal verlängern, aber er wäre dann nicht mehr fahrtauglich. Ist dieses Beispiel für Sie aus der Programmpflege-Praxis gegriffen? Ist Wartung nur Flickwerk?

Ich sehe die wesentliche Ursache für die Schwierigkeiten, die bei der Wartung auftreten, darin, daß Programme eben bei der Wartung immer noch schlechter werden. Weil heute die Systeme weit über ihre ursprüngliche Struktur hin aus entwickelt werden und man für eine Sanierung von Programmsystemen kein Geld ausgeben will. Ich habe selbst mit einem solchen System zu tun gehabt, und der Anwender wollte in den seltensten Fällen einsehen, daß Wartung hier ein Tropfen ist, der das Faß zum Überlaufen

bringt.

- Aus dem, was Sie soeben sagten, wird aber auch udeder deutlich, daß es für den programmfremden Datenschützer doch unmöglich ist, nachzuvollziehen und damit zu kontrollieren, ob solch ein Programm-Flickenteppich miet allen Fransen den Anforderimgen des

Datenschutzes und der Datensicherung entspricht wenn der Programmierer, der doch selbst gewebt hat, von sich aus nicht in der Lage ist, diesen Prozeß nachzuvollziehen.

Ich glaube, wir müssen eben das ganze dadurch abfangen, daß Wartungsprojekte und Entwicklungsprojekte Design-, Realisierungs- und Prüfungsphasen durchlaufen. Und daß wir das Problem der Kleinstwartungsaufträge, die funktionale Erweiterungen zwar in kleinem Umfang, aber stetig erfordern, dadurch abfangen, daß wir flexibler programmieren. Daß wir deshalb auch in der Dokumentation nicht mehr beschreiben, wofür ein Programm ist, sondem auch beschreiben, wofür ein Programm nicht ist, was inimer wieder empfohlen wird, und was ich aber noch nirgends gesehen habe, so daß sich wiederum die ganze Frage zurückführen läßt auf die Frage der Technologie. Das heißt, wie löse ich ein gestelltes Problem?

- Nur - wenn die Frage der Technologie im Vordergrund steht, dann ist die Konsequenz daraus, daß der Weg des überwiegend juristisch geprägten Datenschutzes, der ja heute sehr oft betrieben wird, hinfällig ist: Denn der führt nicht aus der, sondern eher in die Sackgasse.

Wenn der Datenschutz sich so sieht, daß er unabhängig von der Datenverarbeitung die Datenverarbeitung selbst kontrollieren will, dann führt das in die Sackgasse. Denn der Datenschützer ist ein Auftraggeber der Datenverarbeitung, und er unterscheidet sich von einem anderen Auftraggeber eigentlich nur dadurch, daß seine Daten die Programme und die schätzbaren Daten sind, um die es geht. Deshalb wird er hier Aufträge erteilen müssen, die besagen, welche Informationen, welche Auswertungen, welche

Kontrollen eingebaut werden müssen, damit im Falle einer bestehenden nicht ordnungsgemäßen Anwendung der Datenverarbeitung dies beendet wird und die notwendigen Maßnahmen getroffen werden.

- Kann man dies so verdichten: Wenn der Datenschutz nicht aus dieser technologisch-organisierten Sicht betrieben wird, entwickelt sich der Datenschutz zur Technologiebremse der Datenverarbeitung selbst.

Es wird das passieren, daß sich der Datenschützer die Datenverarbeitung zum Feind macht - mit dem Resultat, daß die Programmierer, die heute schon darauf aus sind zu beweisen, daß sie alles können, beweisen werden, daß sie auch die Kontrollen umgehen können.