Hamburg im Lockdown 2021. Geht es Dir auch so? Man freut sich dieser Tage über jede Meldung, die nichts mit Corona zu tun hat. Selbst verhältnismäßig Langweiliges erfreut das Gemüt. Und wenn die Schlagzeile dann „Datenschutz: Task Force will Nutzung von US Clouddiensten prüfen lautet“, dann hüpft das Herz vor Freude.

Eine Task Force! Vor meinem inneren Auge habe ich das Bild eines weißen Ritters in schimmernder Rüstung. Die spitze Lanze des (Datenschutz-)Gesetzes emporreckend reitet er zur Verteidigung meiner Grundrechte. Und habe ich das Bild nicht zu Recht?

Seit es den Datenschutz gibt und speziell seit die DSGVO 2018 in Kraft trat, bezahlen wir alle diesen Ritter reichlich. Unsere Steuern unterhalten eine Bundesbehörde und 16 Landesbehörden. Produkte und Leistungen, die wir kaufen, haben einen betrieblichen Datenschutzbeauftragten für jedes Glied in der Lieferkette eingepreist. Und bei jeder Gelegenheit poppen jetzt irgendwo kleine Fenster, Datenschutzerklärungen oder sonst welche zu setzenden Häkchen auf, die uns wie kleine Nadeln im Komfortkissen an die Tragweite des Themas erinnern.

Eine kleine Industrie für Tools, die z. B. Cookie-Einwilligungen sammeln, ist entstanden und für (Rechts-)Beratung, um einwandfreie Erklärungen und Hinweise für die eigene Website zu veröffentlichen. Auch das bezahlen wir alle. Und das ist gut so! Datenschutz ist ein immer wichtiger werdendes Thema. Der Ritter verdient seine Apanage, wenn er uns vor Datenmissbrauch durch die vielen Hände schützt, denen wir unsere Daten anvertrauen müssen, um am normalen Geschäftsleben teilzunehmen, oder anvertrauen möchten, um beispielsweise Dienstleistungen kostenfrei nutzen zu können.

Und es scheint zu funktionieren. Der Ritter kämpfte in der Vergangenheit pressewirksam. Am 01.10.2020 veröffentlichte die Pressestelle des Hamburgischen Beauftragten für den Datenschutz und die Informationsfreiheit, dass man ein Bußgeld über mehr als 35,3 Millionen Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG wegen Datenschutzverstößen erlassen habe. In der Pressemitteilung erklärte der Hamburgische Beauftragte Prof. Dr. Johannes Caspar „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“ Dabei scheint das Beispiel von H&M auch nur eines von vielen zu sein. Das Handelsblatt meldete im Januar 2020, dass die Zahl der verhängten Bußgelder seit Inkrafttreten der DSGVO drastisch steige.

Liest man die Meldungen mit gesundem Menschenverstand und kratzt dabei nicht zu sehr an der Oberfläche, entsteht im Kopf ein durchaus positives Bild. Datenschützer erlegen Unternehmen und Behörden Richtlinien für den ordentlichen Umgang mit personenbezogenen Daten auf, unterstützen bei der Umsetzung und wachen über die Einhaltung – in unser aller Sinne. Was sollen sie denn auch sonst tun? Datenschutz, richtig? Das heißt, der Datenschützer (egal ob Betriebs-, Landes- oder Bundesdatenschützer) geht im Zweifel dazwischen, wenn ein Unternehmen unerlaubterweise Datenkrake spielt, oder die IT-Abteilung eines Finanzdienstleisters an einfachen Sicherheitsmaßnahmen sparen will. So ist er, der Datenschützer, unser Freund und Helfer.

Die Juristen und Datenschutzfachleute in meinem Bekanntenkreis lachen jetzt schon. Ja, so einfach ist das nicht. Und noch lauter lachen all die IT-Berater in meinem Bekanntenkreis, die, wie ich, aus der täglichen Praxis wissen, dass da keiner kommt, um unsere Daten zu schützen.

In der Projektpraxis spielen (zugegebenermaßen anders als im Regelbetrieb) die Prinzipien der Datenminimierung und der Vertraulichkeit erst einmal kaum eine Rolle. Da kommt es auch mal vor, dass der gesamte Datenbestand des Unternehmens für die Projektdauer in einen, aus Datenschutzgesichtspunkten unregulierten Raum kopiert wird – zweckendfremdet, unkontrolliert und nicht beauskunftbar. Aber Projekte sind eben nicht der Regelbetrieb. Dafür Prozesse und Kontrollen zu entwickeln ist teuer, aufwendig und lohnt vermutlich nicht.

An dieser Stelle regt sich nun der naive ITler in mir (Du weißt: Der, der an den weißen Ritter glaubt.) und erinnert daran, dass wir IT sind. Wir können alles. Wir könnten Daten minimieren, da träumt der DSB von. Wir könnten Zugriffsnotwendigkeiten soweit reduzieren, dass die Vertraulichkeit wieder gewährleistet wäre. Und das für bedeutend weniger Geld als es kosten würde, Projekte in das allgemeine Regelwerk zu integrieren. Nur hat die betriebsinterne IT daran kein Interesse – geht ja aufs Budget. Im Märchen kommt hier der weiße Ritter in Form des Betriebs-DSB und sorgt für die Umsetzung all der Maßnahmen, die wirklich Daten schützen (Wortursprung, merkste?). In der Realität geht das aber meist nicht, denn viele Datenschützer haben zu wenig technisches Basiswissen. Einer Diskussion darüber, wozu zwingend echte Unternehmensdaten herangezogen werden müssen und wozu nicht (Datenminimierung und Vertraulichkeit) können nur wenige Datenschutz-Enthusiasten folgen.

Ich weiß, dass viele DSB darin auch nicht ihre Aufgabe sehen. Eine Bekannte, selbst Datenschutzbeauftragte, entgegnete mir kürzlich in einer Unterhaltung: „Datenschützer sind auch nicht die, die Alternativen auf der Inhaltsebene kennen müssen. Sie prüfen, ob etwas so, wie es „von der Organisation“ umgesetzt wurde, DS-compliant ist oder nicht. Sie kennen die Kriterien dafür.“ Das erinnert mich ein bisschen an die IT-Nerds der 90er und 2000er Jahre, die in Unternehmen Programme schrieben, ohne einen Funken Ahnung von der Fachlichkeit zu haben. Wenn die Programme dann nicht im Sinne des Fachbereichs funktionierten, zuckten die „Programmierer“ auch immer mit den Schultern und sagten: „Wir sind nicht die, die die Fachlichkeit verstehen müssen. Wir machen Software, da kennen wir uns aus, wenn der Inhalt nicht stimmt, hat der Fachbereich falsche Vorgaben gemacht.“ In der Softwareerstellung ist so ein Mindset mittlerweile das Auslaufmodell. Wir erwarten heute, dass gute Leute Bögen spannen können, dass sie fachliche Anforderungen verstehen und analysieren, um daraus technische Detailanforderungen zu formulieren. Natürlich hinkt der Vergleich ein wenig. Wo wir vor einigen Jahren von Technikern erwartet haben, fachlich zu denken, ist es jetzt umgekehrt. Außerdem gibt es für Jura-Nerds keine so coolen T-Shirts, wie für IT-Nerds.

Um Missverständnissen vorzubeugen: Ich denke, es ist völlig richtig, dass Datenschützer keine Tekkies sind. In allen Bereichen des Lebens fahren wir sehr gut damit, dass Juristen rechtliche Themen einordnen. Zum Beispiel entscheiden nicht Polizisten, wer ein Dieb ist. Und auch Politiker entscheiden nicht, ob Gesetze verfassungsgemäß sind. Wenn ich Hilfe brauche, um eine Forderung durchzusetzen, gehe ich zum Anwalt und nicht zu Moskau-Inkasso. Andererseits stecken wir keine Staatsanwälte in Rüstungen, um sie die nächste Demo auflösen zu lassen. Da verlassen wir uns lieber auf das geschulte Fachpersonal der Polizei. Die wissen nämlich, wie das umzusetzen ist und machen, mit Verlaub, auch mehr Eindruck auf den gemeinen Sponti. Die Aufgaben sind ganz schlau verteilt.

Und wie ist das nun beim Datenschutz? Zunächst mal ist klar, dass die Tekkies nicht den Ton angeben können. Das ist vollkommen richtig. Würden die IT-Abteilungen der Unternehmen selbst für den Datenschutz sorgen, dann läge der Fokus der Maßnahmen vermutlich auf selbstverliebten Firewall-Konstruktionen und Selbstschussanlagen, um Hacker fernzuhalten. Und Zweckbindung und Datenminimierung würden ganz neue Formen der Auslegung erfahren. Denn ITler lieben und sammeln Daten wie Eichhörnchen die Nüsschen vorm Winter. Und weil der wahre ITler sich eigentlich als selbstlos im Sinne der guten Sache versteht, wären Backups auf speziellen Datenträgern, in- und außerhaus, oder auf Papier in der (abgeschlossenen) Schreibtisch-Schublade, dann in Kürze die übliche Umsetzung von Datenminimierung und Vertraulichkeit. Und dem guten Kollegen, der das Business Warehouse unter seinen Fittichen hat, schnell mit einer Kopie der Daten auszuhelfen, dient ja am Ende eigentlich dem Kundeninteresse und kann damit auch nicht der Zweckbindung entgegenstehen. Was hat der Kunde schon zu verbergen? Hat er was zu verbergen?

Der Versuch, den Datenschutz durch Reviews von externen IT-Spezialisten auf die IT der Unternehmen zu gewährleisten, macht die Geschichte nicht besser. Das würde aller Wahrscheinlichkeit nach zu so unterhaltsamen Auseinandersetzungen, wie der noch immer engagiert geführten „Windows/Linux“ Debatte, führen. Zwei Nerds stehen sich gegenüber und erklären, warum nur ihre eigene Lösung geeignet und die Lösung des Gegenübers vollkommen verblödet ist. Zum Schluss bewerfen sie sich dann mit den Bananen aus Ihrer Lunchbox – The Big Bang Theory lässt grüßen.

Ja, nein! Die Polizei entscheidet nicht, wer ein Dieb ist und die IT entscheidet nicht, wann Daten ausreichend geschützt sind. Aber wie entscheidet es der Jurist? Wie prüft jemand, der keine Ahnung von IT hat, ob so wenig personenbezogene Daten wie unbedingt nötig gespeichert werden? Wie hinterfragt ein Jurist ein Berechtigungskonzept? Wie schätzt er die Folgen einer zusätzlichen Datenkopie auf die Integrität und den Umfang des führenden Datenbestandes ein? Das ist natürlich von Unternehmen zu Unternehmen sehr unterschiedlich.

Ich weiß aus Erfahrung, dass es, gerade in kleineren Unternehmen, DSB gibt, die sich einen Kopf machen, in die Materie einsteigen und sich im Zweifel Rat holen, um zusammen mit der IT eine datenschutzkonforme Lösung zu erarbeiten. Aber ich weiß auch aus Erfahrung – und viele meiner Kollegen bestätigen das – dass die DSB in Großunternehmen oft weit weg von der IT sind. Und gerade dort, wo Projekte mitunter mehrere Jahre laufen, kommt es häufiger zu den oben beschrieben, schweren Entgleisungen. Wie geht das? Das geht, weil in diesen Unternehmen eben doch die IT die Entscheidungen trifft. Oft kann der DSB wegen mangelnden technischen Verständnisses nicht erkennen, dass er eigentlich wie eine Bauchrednerpuppe die Pointen aufsammelt, die die IT für ihn erdacht hat. Dieses Bild stammt von einem meiner früheren Projektleiter. Der hatte mir mit sichtlichem Vergnügen erklärt, wie er den DSB unseres Kunden mit einer Mischung aus Halbwahrheiten und „es geht technisch nicht anders“ von einem (aus Sicht des Datenschutzes haarsträubenden) Vorhaben überzeugt hatte. Mein Projektleiter fasste sein Überzeugungsgespräch so zusammen: „Ab einem gewissen Punkt hatte der DSB so verinnerlicht, dass es gar keine andere Lösung gibt, als wäre es sein Vorschlag gewesen. Meine Hand hat so tief in seinem Hintern gesteckt, dass ich seine Lippen bewegen konnte.“ Ein echter Sympath, mein damaliger Projektleiter.

Andersherum geht es übrigens auch. Ein Kollege erzählte mir, dass der DSB eines Großunternehmens zu Beginn eines neuen Projekts auf ihn zukam und sinngemäß sagte: „Hör´ mal. Im letzten Projekt hast Du mir doch mal so ein tolles Schreiben aus Sicht der IT gemacht, das erklärte, warum nur die Produktionsdaten zum Testen für Euer Vorgehen geeignet sind. Diesmal machen wir doch was ähnliches. Kannst Du mir das Schreiben nochmal mit aktuellem Datum schicken? Dann haben wir das Thema gleich vom Hof.“ Ok. Noch hatte gar keiner darum gebeten, die Datennutzung auszuweiten. Aber dieser DSB wollte scheinbar gern vorbereitet sein. Das Bild in meinem Kopf wandelt sich schlagartig vom weißen Ritter zum Ritter der Kokosnuss. Ein DSB hüpft durch die Gänge eines Unternehmens, seinen Adjutanten im Schlepptau, der Hufgeräusche mit zwei Kokosnuss-Hälften macht. Lieber keinen DSB als so einen!

Ich wiederhole mich an dieser Stelle gern: Die Kritik trifft bei Weitem nicht alle Datenschützer. Und ich hoffe, dass all diejenigen, die nach Kräften einen guten Job machen, mit mir ein bisschen über diese Stilblüten lachen können. Es bleibt aber bei allem Humor eine Tatsache, dass es bei vielen, speziell großen Unternehmen gravierende Mängel bei der Umsetzung der Datenschutzrichtlinien gibt.

Diesen Mängeln kommt man doch bei, denkt sich nun der eine oder andere. Die Speerspitze (pardon – Lanzenspitze) des Datenschutzes stellen ja eigentlich die 15 Landesbeauftragten, das eine Landesamt (was wäre der Freistaat Bayern ohne Sonderlocke?) und der Bundesbeauftragte dar. Bis auf wenige Ausnahmen sind die Landesbeauftragten und das Landesamt „für die Datenschutzaufsicht im nichtöffentlichen Bereich, d. h. bei Wirtschaftsunternehmen, Vereinen, Verbänden oder Parteien, zuständig“ (siehe hierzu Wikipedia). Der Bundesbeauftragte überwacht zudem „Unternehmen, die Telekommunikations- und Postdienstleistungen erbringen“ (siehe hierzu Wikipedia). Datenschutzaufsicht! Überwachen! Das klingt doch nach was, oder? Und diese Behörden sind sicher in Bezug auf ihre Ressourcen so aufgestellt, dass da echt was geht.

Der HmbBfDI antwortete kürzlich (am 02.02.2021) auf eine Eingabe von mir vom 21.01.2020. Nein, das ist kein Tippfehler. Die Beantwortung eines Schreibens, in dem ich lediglich um eine Stellungnahme bat, hat fast 400 Tage gedauert. Und damit ist die Hamburger Behörde immerhin auf Platz 2 von 4. Zwei Behörden haben bisher noch gar nicht geantwortet. Die Entschuldigung für die späte Antwort seitens des HmbBfDI ist wortreich. Die lange Bearbeitungszeit sei auf die Überlastung der Behörde zurückzuführen. Diese Begründung legt auch den argumentatorischen Grundstein dafür, mich darum zu bitten, von weiteren Rückfragen abzusehen.

In meiner Anfrage hatte ich datenschutzrechtlich kritische Vorgänge aus der Praxis anonymisiert geschildert. Dazu hatte ich vor allem drei, für mich wesentliche Fragen gestellt:

  • Wer ist dafür verantwortlich, dass Vorgänge, wie die von mir geschilderten, verhindert werden?
  • Wer kontrolliert, dass Verantwortliche solche Vorgänge verhindern?

Sind Berater, wie ich, in jedem Falle raus aus der Verantwortung, selbst wenn sie Kenntnis davon haben, dass (vielleicht sogar vorsätzlich) gegen Datenschutzbestimmungen verstoßen wird?

Die Antwort ist mehr als fünf Seiten lang, kann aber knapp zusammengefasst werden. Im Kern lautet sie:

  • Verantwortlich sind die Unternehmen. Das war zu erwarten.
  • Kontrollieren tut das keiner. Ok. So steht es nicht da. Natürlich lautet die Antwort, es sei die Kernaufgabe des betrieblichen DSB, als zentrales Element der unternehmerischen Selbstregulierung, die Einhaltung der DSGVO zu überwachen. Und keine zwei Sätze später steht zu lesen, dass der Verantwortliche die Grundlage dazu legt. Denn er müsse dafür sorgen, dass der DSB in der Lage ist, seine gesetzlich vorgesehenen Überwachungsaufgaben zu erfüllen. Cool. Wenn der DSB also soweit kontrolliert, wie ihn der Verantwortliche in die Lage dazu versetzt, dann… bleibt mir der Mund offen stehen.
  • Die gute Nachricht ist: Externe Berater sind draußen, solange Sie nicht bspw. durch die Verarbeitung von Daten zu eigenen Zwecken selbst zu datenschutzrechtlich Verantwortlichen werden. Auch eine Meldepflicht existiert nur für die Verantwortlichen.

Halt! Stopp! Das kann nicht sein. Wo bleibt da die energetische Task Force? Wie kommt es zu den unglaublichen 35 Mio. € Bußgeld? Das kommt doch nicht von allein.

Doch, es kommt von allein. Im Handelsblatt ist bei genauem Hinsehen zu lesen, dass die Hamburger Datenschutzbehörde durch Presseberichte über eine Datensammlung von H&M informiert wurde, nachdem diese Datensammlung zuvor durch einen technischen Fehler allen Mitarbeitern im Unternehmen sichtbar wurde. Einmal so darauf gestoßen, verlangte der HmbBfDI anschließend die Daten von H&M und hat sie ins Haus geliefert bekommen. Die Auswertung führte dann zur Entrüstung und der Verhängung des Bußgeldes. Versehentlich drüber gefallen, weil ein armer ITler bei H&M etwas hat sichtbar werden lassen, was der Chefetage vorbehalten bleiben sollte. Na, zum Glück arbeiten die meisten ITler ordentlich. Da bleiben unzulässigerweise gespeicherte Daten geheim. Und die Datenschützer müssen nicht so viel bewerten und Bußgelder verhängen. Sonst müsste ich auf die Beantwortung der nächsten Eingabe womöglich zwei Jahre warten.

Und was ist mit der Task Force? Nun kommt, liebe Datenschutzbehörden: Task Force ist doch unmissverständlich. Laut Golem beteiligt sich die Mehrheit der deutschen Datenschutzbehörden an dieser Task Force unter Leitung der Landesbehörden Hamburg und Berlin. Da kann doch jetzt bitte nichts mehr schief gehen! Naja, wie man es nimmt.

Die Task Force kümmert sich zunächst einmal nur um ein spezielles Thema: die Übermittlung personenbezogener Daten von der EU in die USA, nachdem das Abkommen „Privacy Shield“ durch das Schrems II Urteil gekippt wurde. Geprüft werden soll, dass Unternehmen ihre Übermittlungspraxis entsprechend angepasst haben. Die Prüfung erfolgt, indem die Task Force Unternehmen stichprobenartig auswählt und anschreibt.

Wie bitte?? Stichprobenartig auswählen und anschreiben? Was steht in diesen Anschreiben, das die Empfänger zur Kooperation zwingt? „Hände hoch und Finger von den Tastaturen. Dies ist eine virtuelle Zoom-Durchsuchung!“ Ach nee. Zoom ist ja laut den Praktikern in den Landesbehörden aus datenschutzrechtlichen Erwägungen für den schulischen Onlineunterricht ungeeignet. Also wird es wohl eine Jitsi-Meet-Durchsuchung werden.

Warum wird dieses erstaunliche Konzept nicht allen Behörden zugänglich gemacht? Die Datenschützer scheinen da etwas zu können, wovon alle anderen träumen. Sonst hätte die BaFIN doch Wirecard neben anderen Unternehmen auch stichprobenartig angeschrieben und darum gebeten, Auskunft über die ungeheuerlich kreative Buchhaltung zu geben. Finanzamtsprüfer und Steuerfahnder, alle bald arbeitslos – wir schreiben die Steuerpflichtigen einfach stichprobenartig an und zwingen sie so zur Selbstanzeige. Staatsanwälte brauchen keine Ermittler mehr. Einfach eine Task Force gegen das organisierte Verbrechen mit einem Email-Account ausstatten und stichprobenartig mögliche Kriminelle anschreiben. May the force be with you – Möge die Macht mit Dir sein. Da hat wohl jemand zu viel Star Wars geguckt.

5,2 Mio. € plant der Hamburger Gesamthaushalt aktuell für den Landesbeauftragten ein, das Land Berlin mehr als 10 Mio. €. Das Land Bremen rechnet mit 1,3 Mio. €. Bei 16 Ländern kommt da schon was zusammen. Natürlich gibt es viel beeindruckendere Positionen im Hamburger Haushalt als die 5,2 Mio. €. Und wer schon mal auf die Gesamtkosten der größeren IT-Projekte deutscher Finanzdienstleister geguckt hat, ist von 5,2 Mio. € pro Jahr vielleicht auch eher enttäuscht. Aber bitte: Um in der Zeitung Missstände zu recherchieren, stichprobenartig Unternehmen anzuschreiben und Eingaben so schnell, wie es das Budget zulässt, zu beantworten, auch wenn es mal ein Jährchen länger dauert – nun dazu scheinen 5,2 Mio. € doch fast üppig zu sein.

Was ist denn nun? Ich möchte Datenschutz! Ich wette, Du möchtest Datenschutz. Jeder einigermaßen intelligente Mensch, den ich zu diesem Thema befragt habe, möchte Datenschutz. Auch die, die Ihre Daten freiwillig bei Facebook und Co. abliefern, möchten trotzdem Datenschutz. Selbst die, die „nichts zu verbergen“ haben, möchten bei genauer Überlegung Datenschutz. Aber wir alle möchten das, was der Begriff sagt: Wir möchten, dass unsere Daten geschützt werden – und zwar vor jeder Nutzung, in die wir nicht eingewilligt haben.

Um diesem Ziel näher zu kommen, braucht es Engagement und ein dickes Fell. Wir brauchen mehr Datenschützer in den Unternehmen, die sich wirklich diesem Ziel widmen. Und das klappt nur, wenn man genau hinschaut und versteht, was technisch mit den Daten getan werden muss, um den Zweck, zu dem die Daten hingegeben wurden, zu erfüllen – und auch versteht, was möglicherweise nicht dem eigentlichen Zweck dient, sondern nur der Reduzierung von Projektkosten.

1. Wir brauchen mehr DSB, die in einem Netzwerk mit Technikern zusammen nach Lösungen suchen, statt sich in ihrem Fachbereich und in der Theorie zu isolieren. DSB zu sein, ist doch eine tolle Aufgabe. Und man muss nicht Facebook in die Knie zwingen, um einen Unterschied zu machen. In jedem Unternehmen gibt es genug zu tun!

2. Wir brauchen mehr DSB, die sich ausreichend tief in die Materie einarbeiten, so dass sie den Unterschied erkennen können zwischen einer datenschutzkonformen Lösung und einer Lösung, die lediglich durch Verwendung von „DSGVO-Sprech“ auf datenschutzkonform gepimpt wurde.

3. Erfolgreicher sind DSB, die in die Projekte gehen, sich umschauen und mit den Menschen reden, die weitreichende Zugriffe auf die Daten des Unternehmens haben. Und wenn jemand meint, dass in seinem Projekt dann zu viele Gespräche zu führen wären, könnte das schon ein Indikator sein, dass zu viele Personen weitreichende Zugriffe haben.

4. Es bringt den DSB wichtige Erkenntnisse, wenn sie sich wirklich erklären lassen, warum bestimmte Daten aus den Produktivsystemen in Projekten außerhalb des Regelbetriebes verarbeitet werden. Wenn sie das nicht vollständig verstehen, dann liegt das, meiner Erfahrung nach, nicht an den DSB, sondern daran, dass ihre Gegenüber das nicht gut erklären – wie auch immer das zu bewerten ist.

5. Bei jedem DSB sollten alle Alarmglocken schrillen, wenn jemand sagt „technisch geht es nicht anders“. ITler sagen diesen Satz nur um jemand abzuwimmeln. Es geht immer anders! Und es geht auch wirklich datenschutzkonform. Wir sind IT, wir können alles.

6. Und zum Schluss: Liebe Datenschützer, sucht nach kreativen Lösungen. Ihr müsst die ja nicht selbst entwickeln, dazu sind ITler da. Aber macht konkrete Vorgaben. Sag doch mal ein DSB: „Unser Projekt soll von Anfang bis Ende abgewickelt werden, ohne dass projektbedingt zusätzliche Zugriffsrechte auf die Echtdaten erteilt werden.“ Natürlich sagt die IT erstmal: „Das geht gar nicht.“ Aber am Ende lieben ITler Herausforderungen. Scotty sagt auch immer „I cannot change the laws of physics, Captain! A’ve got to have thirty minutes.“ Und dann schafft er es eben doch in 20 Minuten – den Gesetzen der Physik zum Trotz. (Die Juristen unter Euch, die nicht wissen wer „Scotty“ ist, sollten nur mit ITler reden, die nach 2000 geboren wurden. Da besteht die Chance, dass sie Star Trek auch nicht kennen.)

Ich hoffe, Du hast Dich ein bisschen amüsiert. Toll wäre es, wenn Du etwas gelesen hast, was Du noch nicht wusstest, oder wenn ich Dich für einen Moment zum Nachdenken angeregt habe. Wenn Du Dich auf die Füße getreten fühlst, tut es mir leid – das war nicht meine Absicht. Ich schätze jeden, der sich in diesem Thema engagiert – das Ergebnis wollte ich nur hier und da hinterfragen.

Wenn Du Dich weiter zu diesem Thema austauschen willst, wenn Du nach neuen Lösungsansätzen suchst oder einfach mal eine Idee kreisen lassen möchtest, dann komm´ auf mich zu. Ich bin gern Dein Sparringspartner und biete Dir Erfahrung und Ideen.

Beitrag teilen