computerwoche.de

Archiv

Es ist frustrierend, das Nicht- Ereignis zu organisieren:

Mit Hans Gliss, Vorstandsmitglied der Gesellschaft für Datenschutz und Datensicherung, sprachen Dieter Eckbauer und Elmar Elmauer

11.05.1979

þWird das Informationsangebot der GDD im CeBIT genutzt?

Es sind einige sehr interessierte Besucher hier gewesen, die entweder zu den organisatorisch juristischen Aspekten des Datenschutzes oder konkret zu

Sicherheitsfragen sich haben beraten lassen. Wir konnten auch einige neue Mitglieder gewinnen. Insbesondere zeigt sich inzwischen die Tendenz, daß einzelne Aufsichtsbehörden den EDV- Leiter als Datenschutzbeauftragten als nicht wirksam bestellt ansehen und die Betriebe abmahnen. Hier helfen wir sehr gezielt in der Argumentation, denn wir sind der Ansicht, daß man die Fälle nicht über einen Leisten schlagen darf.

þIst denn dies ein Unterschied zu der Aussage auf der DAFTA 78, eine Kehrtwendung nun dieses plötzlich so restriktive Vorgehen?

Das liegt an den einzelnen Aufsichtsbehörden. Ich habe den Eindruck, daß einige in der Entscheidung dieser Frage recht souverän verfahren, weil sie sich den Einzelfall konkret anschauen und dann auch bereit sind, eine derartige Lösung im Einzelfall mit zu tragen. Ich denke da insbesondere an kleine Mittelbetriebe, wo praktisch der DV- Leiter der einzige Fachkundige überhaupt ist, der von jedem anderen überspielt werden könnte. Andere Aufsichtsbehörden haben diesen Prozeß der etwas subtileren Betrachtung noch nicht nachvollzogen, und dort sind wir im Gespräch.

þHaben diese den Prozeß deshalb nicht nachvollzogen, weil sie noch nicht in der Lage sind, die Problematik voll zu durchblicken?

Die Aufsichtsbehörden geben selber zu, daß sie noch im Lernprozeß befindlich sind. Wir unterstützen das nach Kräften.

þHerr Gliss, ist der Eindruck richtig, daß Datenschutz und Datensicherheit in der Regel als Sachgebiet behandelt und selten persönlich erlebt werden?

Vom Anwender wird es sehr häufig als reines Sachproblem betrachtet, wobei der Anwender in legitimer Weise seine Sicherheitsbelange abklopft und möglicherweise Prioritäten in Richtung eigene Sicherheit setzt, die aber dann in der Regel auch die Datenschutzaspekte des BDSG, was die Sicherheitsseite angeht, abdecken. Wir haben die Erfahrung gemacht, daß diejenigen, die persönlich Erfahrungen gemacht haben, weil sie von Behörden möglicherweise mit ihren Daten nicht richtig behandelt worden sind, weil sie von Werbung überflutet werden, weil in unzulässiger Weise Daten über sie weitergegeben wurden, möglicherweise sogar Falschinformationen oder Informationen im

falschen Context, daß diese Leute außerordentlich sensibilisiert sind und dann auch mit einem starken persönlichen Engagement an die Sache herangehen. Beide Aspekte, glaube ich, sind auf die Dauer wichtig, wobei es in unserer Intension liegt, möglichst die spektakulären Daten-Unfälle erst gar nicht entstehen zu lassen.

þWir haben gerade aus einem Interview mit dem GDD-Autor zum Thema Datenunfall den Eindruck gewonnen, daß sich die wenigsten Datenschützer - auch jene nicht, die in der GDD organisiert sind - bewußt sind, welche Haftungskonsequenzen auf sie zukommen können, wenn sie hier schlampig arbeiten. Was tut die GDD konkret, um dieses Bewußtsein zu vertiefen und die Leute auch auf die Folgen ihres Handelns hinzuweisen?

Wir bearbeiten Anfragen dieser Art in der Form, daß wir, wenn sich die Dinge nicht einfach in der Antwort darstellen lassen, weitergeben an unser Mitglied Herrn Knabben, den Sie ja auch interviewt haben und der im Einzelfall bereit ist, Rechtsberatung zu betreiben. Denn das sprengt die normale GDD-Geschäftsführungs- oder Vorstandsarbeit.

Ich gehe mit Ihnen einig in der Analyse der Situation. Denn das Bewußtsein über die möglichen Folgen von Pannen, von irgendwelchen Unregelmäßigkeiten ist sicherlich noch unterentwickelt, wahrscheinlich auch mangels einschlägiger Fälle, aber diese Dinge sind in Bewegung. Ich gebe nun das Stichwort Produzentenhaftung. Hier kommt aus den Vereinigten Staaten eine Entwicklung auf uns zu, die zu einer Änderung in der bisherigen Rechtsauffassung führen kann. Wir werden dieses Thema aus diesem Grunde verstärkt in unseren Fachveranstaltungen darbieten, und wir werden auch dafür sorgen, daß, wenn Ergebnisse, wenn erst juristische Aussagen vorliegen, unsere Erfahrungsaustausch- Kreise hinreichend informiert werden. Denn die Erfahrungsaustausch-Kreise haben ja eine sehr starke Breitenwirkung.

þNach der ersten großen Diskussion zum Thema Datenschutz und dem Einstieg von kommerziellen Unternehmen zur Vermarktung dieses Problems scheint jetzt hier kein Geschäft mehr drinnen zu sein. Trifft das zu und wenn ja, worauf führen Sie es zurück?

Der erste Informationsbedarf ist befriedigt. Jetzt kommen die Probleme, an denen sich sowohl die Anwender als auch die Berater sicherlich die Zähne

ausbeißen, nämlich Fragen der Sicherung, in der Frage der Ordnungsmäßigkeit geht hinein in die Problematik

der Dokumentation von System- Programmen, in die Prüfbarkeit von DV- Verfahren. Hier kann man nicht mehr aus der Hüfte schießen wie möglicher weise zu Anfang, als das Gesetz rauskam. Heute müssen wir mit anderen Voraussetzungen an die Arbeit herangehen.

Die GDD hat in ihrem Arbeitskreis Datensicherung die Problematik frühzeitig aufgegriffen, ein erstes Ergebnis liegt vor mit der Dokumentation Nummer 19. Es sind weitere Ziele inzwischen gesteckt und im Arbeitskreis abgesprochen worden. Der Arbeitskreis rechnet damit, daß er hier keine kurzfristigen Erfolge vorweisen kann, sondern daß wir hier nur langfristig wirken können. Man hat aber diese Dinge in diesem Kreis sehr ernsthaft

begonnen und wird - so hoffe ich - in den nächsten Jahren sowohl für Anwender als auch für Hersteller Ergebnisse präsentieren können.

þSie bringen eine Reihe von Dokumentationen für die Tagesarbeit. Ist denn Datenschutz überhaupt als ein Produkt auf der Messe präsentierbar?

Nein. Was wir hier auf der Messe tun können, wir können in diesem Riesenangebot von Informationen zur DV den Aspekt repräsentieren, der immer wichtiger wird, wenn man die Abhängigkeit eines Unternehmens von einer funktionsfähigen Datenverarbeitung in Erwägung zieht, wenn man dem Rechnung trägt. Was wir hier auf der Messe wollen, ist unsere Organisation stärken, indem wir weitere Anwender zur Mitgliedschaft in der GDD werben, dadurch werben, daß wir bestimmte Informationen, bestimmte Betreuung und dergleichen

bieten können.

þWem gegenüber brauchen Sie diese Stärke?

Sie wissen, daß wir uns ausschließlich aus Beitragsmitteln finanzieren. Wir sind von niemandem,

auch nicht von staatlichen Stellen abhängig. Es ist keiner in der GDD, der einen außerordentlich hohen Beitrag zahlt. Die Beiträge liegen alle zwischen 300 Mark und 1500 Mark von den Firmen, persönliche Mitglieder liegen noch darunter, und eine solche Organisation muß, wenn sie unabhängig bleiben will, auf eine gesunde

Mitgliederbasis gestellt werden: Dann kann sie ihre Unabhängigkeit und ihre Schlagkraft auch beibehalten.

þJe stärker DV- Kapazitäten im Unternehmen verteilt werden, desto mehr erhält eine größere Zahl von Anwendern Zugang zur Datenverarbeitung - unkontrollierten Zugang, befürchten die Zentralisten. Besteht nicht auch die Gefahr, daß der Datenschutz außer Kontrolle gerät?

Ihre Frage beinhaltet eigentlich zwei Aspekte. Lassen Sie mich zum ersten Aspekt antworten. Ich persönlich bin der Ansicht, daß es sicherlich gut und richtig ist, Dinge dort erledigen zu lassen, wo sie kompetent erledigt werden können. Mit zunehmender Verbilligung der Hardware und zunehmender Benutzerfreundlichkeit der Systeme wird sich daher ganz gewiß ein Großteil mancher Aktivitäten ins Dezentrale wieder zurück verlagern. Das Problem dabei ist natürlich die Gesamtsteuerung vom Unternehmen her, damit nicht plötzlich jeder Sachbearbeiter seinen eigenen Computer hat und seine eigenen Software- Wünsche entwickeln kann. Zweiter Aspekt: Wie ist da noch ein Datenschutz zu realisieren, sicherzustellen? Wir sind der Ansicht, daß Datenschutz und Datensicherung Kooperationsaufgaben sind. Der Datenschutzbeauftragte, der glaubt, diese Dinge allein oder in der Stabsabteilung regeln zu können, wird den Kontakt zur Basis sehr schnell verlieren. Er muß die Verantwortlichkeit dort belassen, wo sie originär angesiedelt ist. Das heißt, wenn eine Fachabteilung bisher einen zentralen Rechner benutzt hat, dann ist für den Teil, der im Rechner- Betrieb abgewickelt wurde, auch der zuständige DV- Leiter für die Sicherung, für die Ordnungsmäßigkeit verantwortlich. Die Fachabteilung, die in Zukunft ihren eigenen Computer vor Ort installiert, wird in diese Pflicht hineingenommen, die kann ihr keiner abnehmen. So wie auch bei der Ordnungsmäßigkeit der DV- Verfahren der für die Programmierung zuständige Leiter für die korrekte Arbeit der Programmierung zuständig ist. Er muß überwachen, das ist seine Funktion als Vorgesetzter. Der Datenschutzbeauftragte kann nur helfen, er kann Vorgaben machen, er kann kontrollieren, ob der Vorgesetzte kontrolliert. Er wird also niemals als Polizist hinter einem Operator oder hinter einem Programmierer herlaufen, sondern er muß versuchen, die Dinge durch Koordination abzuwickeln, das heißt, er muß alle Verantwortlichen auf ihre Pflichten aufmerksam machen, und ihm obliegt es dann, dort unterstützend zu wirken und kontrollierend tätig zu sein. So nur kann das aufgefaßt werden, ansonsten würde sich der Job eines Datenschutzbeauftragten in irgendwelchen elitären Höhen abwickeln und totlaufen.

þSollten sich aber nicht die Gewichte innerhalb der Aufgabe verändern? Nämlich von Datenschutz weg mehr zur Datensicherung zu kommen und darauf das Schutzargument aufzubauen: Gesicherte Daten sind geschützte Daten.

Jein. Zu den gesicherten Daten gehört, um den Datenschutz im Sinne des Gesetzes abzudecken, auch der juristische Aspekt, der im BDSG steht: Rechte der

Betroffenen, Zulässigkeitsprüfung und dergleichen. Im Prinzip stimme ich aber Ihrer Aussage zu. Man muß zunächst die Sicherheit bei der Datenverarbeitung als Problem angehen, daneben hat man das juristische Problem nach dem BDSG, daß man die Rechte des Betroffenen wahrt. Beide Dinge gehören zusammen, und der erste dieser beiden Aspekte beinhaltet auch die sichere Datenverarbeitung im Sinne des Unternehmens, und je nach Art der Daten wird dort möglicherweise aus Unternehmenssicht die Priorität liegen, das wird sogar geregelt sein. Hier wird man auch bereit sein, etwas auszugeben, wenn man erkennt, man ist abhängig von der DV, man hat zu wenig sichere Verfahren und man muß aus dieser Abhängigkeit das Beste machen, nämlich man muß die Dinge so absichern, daß man nicht durch Kleinigkeiten, durch winzige Pannen oder durch möglicherweise einen Datendiebstahl oder durch Sabotage eines Mitarbeiters so geschädigt wird, daß das Unternehmen darunter empfindlich leidet.

o Die schriftlichen Informationen der GDD kann man durchaus löblich als Form der programmierten Unterweisung verstehen. Haben Sie die Absicht, hier jetzt auch für diese neue Zielgruppe, die ansprechbar wäre, das alles etwa populärer abzufassen?

Ja.

þIn welcher Form?

Unsere Arbeitskreise - wir haben ja mehrere installiert - sind gehalten, Material zusammenzutragen. Wir werden zu den Themen Datensicherung und Ordungsmäßigkeit in den nächsten Monaten und Jahren natürlich - das ist ein langfristiger Prozeß - Informationsmaterial erarbeiten, und zwar sowohl für den Spezialisten, der die Dinge zu realisieren hat, als auch für die operierende Ebene, die in ihrem Bereich für eine gesicherte Abwicklung zuständig ist. Das gibt also verschiedene Zielgruppen, und daher müssen die Dinge auch differenziert herausgegeben werden. Genaues kann ich noch nicht ankündigen, weil die Dinge im Fluß sind.

þSeit Anfang 1977 arbeitet die GDD. Halten Sie Ihre Mitglieder heute für besser informiert als jene, die außerhalb der GDD arbeiten?

Das kann ich nur schwer beurteilen. Ich weiß allerdings, daß es zahlreiche Firmen gibt, die zwar unsere Publikationen gekauft haben, aber erst im Lauf der letzten Zeit Mitglied geworden sind, und zwar häufig dann, wenn sie Probleme bekamen, die sie nicht mehr aus Publikationen heraus lösen konnten, wo sie also eine direkte Betreuung brauchten. Sei es ein Gang zur Aufsichtsbehörde, sei es eine Analyse der betrieblichen Situation mit Aussprache von gewissen Empfehlungen und dergleichen mehr, und Sie wissen, daß wir in dieser Form nur tätig werden können gegenüber Mitgliedern. Das ist auch eine Frage der Kosten, eine Frage der darin zu investierenden Zeit, aber auch eine Frage unserer Satzung.

þWenn ich jetzt mal den juristischen Begriff der herrschenden Meinung auf das BDSG anwende: Gibt es, was das BDSG anbelangt, in seinen wichtigsten und wesentlichsten Daten das, was man unter herrschende Meinung versteht, was also Rechtssicherheit vermittelt oder ist nach wie vor alles offen und die Hilflosigkeit der Datenschutzbeauftragten auch hierin begründet?

þSie haben jetzt mit Ihren Antworten den Eindruck vermittelt, Sie wären ein zufriedener GDD- Vorstand. Stimmt also der Eindruck nicht, die GDD würde über

mangelnde Akzeptanz klagen?

Überhaupt nicht. Wir sind sehr zufrieden mit unserer Organisation. Bedenken Sie bitte, daß wir neben zirka 540 Mitgliedern, dazu gehören große Arbeitgeberverbände, dazu gehört eine Gewerkschaft, dazu gehören Unternehmerverbände, Fachverbände, also Institutionen, auch Industrie- und Handelskammern, Institutionen, die zu einen weiteren Informationsverbreitung beitragen, daneben zählen wir rund 1100 Teilnehmer in unseren Erfa-Kreisen, und diese Erfahrungsaustausch- Kreise sind sehr erfolgreich tätig, weil sie vor Ort ohne große Seminarbesuche, ohne große Kosten unter Kollegen den Informationsaustausch fördern, und das Problem, was ich eigentlich sehe, ist, daß wir es schaffen, unter den bisher geltenden Bedingungen, nämlich durch ehrenamtliche Tätigkeit des Vorstands, diese Dinge weiter auszubauen und zu konsolidieren. Das ist irgendwann mal ein Mengenproblem, aber im Moment durchaus zu schaffen.

þWieviel Prozent der vom BDSG betroffenen Unternehmen in der Bundesrepublik decken Sie denn als GDD ab?

Da kann ich keine Schätzung abgeben. Wir haben keine Erhebung gemacht. Zu den Zahlen, die ich eben nannte, wäre zu bemerken, daß zum Beispiel eine Konzern- Mitgliedschaft als eine Mitgliedschaft zählt, auch wenn, wie beispielsweise bei einem namhaften Erdöl-Distributeur, eine Kette von 20 bis 25 Tochtergesellschaften dranhängt.

Es gibt nach meiner Erfahrung relativ wenige Punkte, die noch offen oder teilweise offen sind. Das sind zum Teil allerdings auch umstrittene Dinge. Ich denke da an die Inkompatibilitäts-Theorie, die in manchem konkreten Fall an der Wirklichkeit vorbeigeht. Dagegen sind zahlreiche Zweifelsfragen im Laufe des letzten Jahres ausdiskutiert worden. Wir haben da - wie Sie wissen - kräftig dran mitgewirkt, haben auch dafür gesorgt, daß die Dinge in der Öffentlichkeit dargestellt wurden, und ich habe mit einer gewissen Befriedigung in dem Jahresbericht von Herrn Professor Bull an verschiedenen Stellen Meinungen zu Zweifelsfragen wiedergefunden und Äußerungen, abschließende Äußerungen, die sich absolut mit dem decken, was wir - eigentlich seit geraumer Zeit - für richtig erachten und auch in der Praxis empfehlen. Insofern glaube ich, daß die allgemeine Rechtsunsicherheit, die vielleicht zu Anfang geherrscht hat, bei denen ausgeräumt ist, die sich hinreichend informiert haben. Da besteht allerdings ein großes Gefälle, es kommen immer wieder Anfragen von Firmen, die mehr oder weniger zum ersten Mal davon hören, weil sie plötzlich darauf hingewiesen worden sind. Aber bei unseren Mitgliedern, wie auch bei denjenigen, die sich von erster Stunde an informiert haben, glaube ich, daß der Wissensstand allgemein recht hoch ist.

þDamit könnten eigentlich die meisten Datenschutzbeauftragten in ihrem Selbstverständnis durchaus souverän an ihre Arbeit gehen. Nun gibt es den bösen Spruch: Datenschutzbeauftragter würde der, der innerhalb der betrieblichen Hierarchie in der DV sonst nicht mehr einsetzbar ist. Wie sehen Sie das?

Ich glaube, daß ein solches Ondit sicherlich in einigen Fällen der Wirklichkeit entspricht, wenn plötzlich per Gesetz ein Beauftragter ins Leben gerufen wird und man krampfhaft nun suchen muß, wen nehmen wir. Man will ja nicht jeden x- beliebigen nehmen, man will die Dinge im Sinne des Gesetzes sauber regeln, und da mag durchaus geschehen, daß jemand, der in dem Moment nicht auf dem richtigen Platz sitzt, dafür genommen wird, und man hat damit zwei Probleme gelöst, ein Personalproblem und ein Problem der Bestellung eines gesetzlichen Beauftragten. Das mag es durchaus gegeben haben, aber ich glaube, daß die Unternehmen häufig nach anderen Gesichtspunkten den Datenschutzbeauftragten ausgewählt haben, nämlich nach Zweckmäßigkeitsgesichtspunkten. Deswegen haben wir ja in Klein- und Mittelbetrieben auch durchweg den DV- Leiter als DSB.

þSie sind Datenverarbeiter und gleichzeitig Datenschützer. Hat Ihnen eigentlich diese letztere Aufgabe den Spaß an der ersteren ein bißchen genommen?

Nein. Eigentlich nicht.

þDatenverarbeitung ist für Sie nach wie vor eine intellektuelle Herausforderung?

Unbedingt. Wissen Sie, ich habe durch diese nebenamtliche Tätigkeit erstens sehr viele Informationen für meinen Job selber und habe aber auch hier Probleme kennengelernt, mit denen sich bisher der durchschnittliche Organisator nicht herumzuschlagen hatte. Irgendwann sind also die Ablaufpläne da, irgendwann kommen die ersten Zuckungen über die Terminals oder kommen erste Ausgaben oder erste Fehler. Man freut sich im Grunde genommen über jede Reaktion des Systems. Da ist die Projektbearbeitung Datenschutz und Datensicherung - speziell Datensicherung - doch etwas frustrierend, denn sie organisieren als DSB ja das Nicht- Ereignis. Wenn ich beispielsweise zitieren darf. Wir haben uns bemüht in den Unternehmen, die GDD hat da sehr stark über die Arbeitgeberverbände auch Bewußtseinsbildung betrieben, wir haben uns bemüht, im Bereich der Mitarbeiter- Daten durch eine hinreichende Information vor dem Inkrafttreten den Mitarbeitern zu sagen, wir haben Daten, wir speichern sie in der und der Form, wir machen das und das damit, um einfach Auskunftsersuchen in größerer Menge nicht entstehen zu lassen. Manche Firmen haben da ihren Vergütungsnachweis umgestellt, haben also mehr Daten gezeigt, haben das gezeigt, was sie tatsächlich in den Dateien haben. Wunderbar, das ist gut gelaufen. Vielfach ging das über die Betriebsräte auch positiv. Nun kommen kaum Anfragen auf Auskunft. Im Grunde doch ein sehr positiver Effekt, denn es zeigt, daß wir zumindest in dem Bereich richtig gelegen haben. Aber genau das empfinden manche als frustrierend. Weil sie sagen, wo sind denn die Leute, die Auskünfte haben wollen, habe ich denn damals vielleicht zuviel getan, habe ich vielleicht alle meine Kraft verschwendet. Das ist der Effekt, von dem ich eben sprach, der erst mal erfaßt werden muß. Wir organisieren im Grunde genommen vielfach, daß nichts passiert, und dann darf man sich hinterher nicht wundern, sondern man muß sich freuen, wenn wirklich nichts passiert.