Computerwoche: Immer wieder hört man, dass IT-Mitarbeiter ihre Administrator-Rechte missbrauchen, um beispielsweise auf vertrauliche Informationen zuzugreifen. Und sogar drei Viertel der Befragten in einer Studie bestätigten, dass sie Zugriffsbeschränkungen umgehen können. Provokant gefragt: Hat der Datenschutz ausgedient?
Daniela Duda: Nein, aber er hat es manchmal schwer im Alltag. Das beginnt schon damit, dass Datenschutz oft mit IT-Security verwechselt wird. In vielen Fällen werden Datenschutzbeauftragte in ein Unternehmen gerufen, in dem es noch gar keine IT-Security gibt. Sicher gibt es gewisse Parallelen zwischen dem Arbeitsalltag von IT-Sicherheitsbeauftragten, die sich ja auch mit Datenschutzgesetzen auskennen sollten, und dem von Datenschutzbeauftragten. um den elektronischen Datenfluss des Unternehmens zu schützen.
Aber es gibt eben auch große Unterschiede: IT-Sicherheitsbeauftragte versuchen sich in präventiven Maßnahmen, während Datenschutzbeauftragte das Ergebnis der Sicherheitsvorkehrungen in die Beurteilung der Gesamtabläufe, auch der "nicht-elektronischen", mit einbeziehen.
Computerwoche: Was bedeutet das für Ihre tägliche Arbeit?
Duda: Wenn ich die Büroräume eines kleineren Unternehmens betrete, frage ich recht früh auch nach den Servern. Wenn man Glück hat, stehen sie in einem eigenen Serverraum, gern zusammen mit den Putzutensilien. Doch weil Hardware immer kleiner wird, passen auch zentrale Geräte heutzutage unter jeden Schreibtisch - wo sie dann leider oft auch zu finden sind. Ist ja auch praktisch: man muss nicht mehr weit laufen und keine Türen mehr aufschließen, um beispielsweise Backups durchzuführen. Was das aber aus Sicht der Datensicherheit bedeutet, kann man sich ausmalen…
Computerwoche: Gibt es viele solcher Beispiele aus dem Alltag?
Duda: Bisweilen werde ich in Unternehmen mit der Frage konfrontiert, ob Unternehmen auf die Mailbox ihrer Mitarbeiter zugreifen und E-Mails lesen dürfen. Sinngemäß lautete zuletzt das Argument: Dies ist bei ruhenden, also zugestellten oder archivierten E-Mails erlaubt, weil dann das Fernmeldegeheimnis nicht greift (Zustellvorgang abgeschlossen).
Eltern haften für Kinder, Unternehmen für Tochterfirmen
Computerwoche: Wie kommt es zur Zusammenarbeit, wann treten Untenehmen an Sie heran?
Duda: Es kommt vor, dass Firmen dann Datenschutzbeauftragte zu Rate ziehen, wenn sie nach einer Übernahme die Richtlinien der Muttergesellschaft übernehmen müssen. Das ist wie mit dem bekannten Prinzip "Eltern haften für ihre Kinder".
Manchmal ist es auch einfach so, dass der Geschäftsführer eines Unternehmens etwas über das Thema gehört hat, und am nächsten Morgen handelt. Wenn jemand beispielsweise liest, dass er im Schadensfall gegebenenfalls mit seinem Privatvermögen haftet, geht das oft sehr schnell.
Computerwoche: Welche Schritte folgen dann?
Duda: Wie gesagt, in der Regel berufen Unternehmen Datenschutzbeauftragte, ob intern oder extern, weil sie es müssen - und selten aus eigenem Verständnis. Und dementsprechend sieht dann leider anfangs die Unterstützung aus. Gerne verteile ich in ersten Besprechungen kleine Kärtchen mit der Frage, was sich die Verantwortlichen im Unternehmen unter Datenschutz vorstellen. Die Antworten sind höchst unterschiedlich. Manche sind eher lustig, manche aber auch eher traurig, mit dem Tenor "Datenschutz, das kostet viel Geld und bringt nichts".
Wenn man dann aber die verschiedenen Argumente zusammenträgt und zeigt, dass Abläufe in Unternehmen ihren Grund haben und Gesetze verstanden werden müssen, um sie anwenden zu können, kann man die meisten Teilnehmer doch auf seine Seite ziehen - und im Dialog Empfehlungen zu den notwendigen Prozessänderungen geben.