Ok, shameless plug das ich StudiVZ in den Title schreib, aber es geht ja auch um den Laden…
Da kommt man nach ein paar Tagen Urlaub wieder ins Netz, nimmt sich etwas Zeit und arbeitet den Heise-Newsticker auf. Was findet man? Ein guter alter Freund von dem man zu lange nix mehr gehoert hat taucht in einem News-Artikel auf. Da wird natuerlich gleich groesseres Interesse an dem Thema geweckt was zuerst aussah wie “da hat mal wieder schnell nen Portal ausm Boden gestampft und sich keine Gedanken ueber Konzepte und Datenschutz gemacht”.
Tja, Datenschutz. Heikles Thema, was wie mein Umfeld weiss mir auch persoenlich sehr am Herzen liegt. Das aeussert sich im privaten durch ignorieren von Payback und Co, bewusstem Abmelden von OpenBC (wieso sollte ich DENEN alle meine Daten geben, hallo?), im Telefonbuch steh ich nicht, der Generalverda.. aehm die VDS macht mir Bauchschmerzen, genau wie alles andere was jetzt als Terrorismusbekaempfung laeuft, das Maut-System ist mir ein Dorn im Auge, usw usw. Auch bei StudiVZ haette ich mich sicher nicht angemeldet, und nach dem was ich in den letzten Stunden versucht habe nachzuvollziehen ist es doch eher induskutabel.
Tja, im Grunde ein typisches Beispiel fuer “falsch auf entdeckte Sicherheitsluecken reagiert”. Wenn die Luecke nicht weitlaeufig bekannt ist kann man mit vertuschen unter Umstaenden ja durchkommen, aber spaetestens wenn Heise drauf anspringt ist das im deutschsprachigem IT-Raum schwierig bis unmoeglich. Aber darum soll es hier nicht gehen, und auch nicht um die soziale Komponente eines Systemes wie StudiVZ und was dort alles an gutem und schlechten passiert.
Nein, das Thema heisst eher Datenschutz. Joerg-Olaf hat in seinem Notizblog ja schon die Grundlagen gelegt. Bis vor einem halben Jahr musste/durfte ich mich beruflich damit auseinander setzen und kanns sagen: Ja, der Datenschutz, und insbesondere der Datenschutzbeauftragte, sind die Quelle vieler Raetsel, Legenden und Missverstaendnisse. Nicht das ich sie alle aufklaeren koennte und alle Antworten wuesste, dafuer ist das Thema viel zu komplex…
Am Anfang steht direkt die Frage: Wer braucht eigentlich einen Datenschutzbeauftragten? Das Land Niedersachsen hat hier das ganz gut zusammengefasst, das folgenden Zitat stammt von dort:
Die Unternehmen haben einen betrieblichen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn sie bei der automatisierten Datenverarbeitung mindestens 5 Arbeitnehmer oder bei Verarbeitung auf andere Weise mindestens 20 Personen beschäftigen.
Von vielen Kunden aus dem Mittelstand habe ich dann immer gehoert “aber unsere Personalabteilung hat nur 2 Mitarbeiter, wir brauchen sowas nicht!”. Tja, schoen, aber interessiert mal nicht weiter. Wer kommt alles ans Outlook-Adressbuch oder ans CRM? Wieviele Vertriebler haben Zugriff auf Kundendaten fuer Angebote? Wieviele Admins haben Einblick auf Kundendaten fuer Abrechnungszwecke? Wie man sieht, man kommt sehr schnell auf eine Zahl groesser als fuenf, und schon ist man in der Pflicht.
Zum Thema “wer darf/sollte es sein?”: Es gibt keine Pruefung, Ausbildung oder aehnliches, was natuerlich ein grosses Manko ist. Es darf auch, wie Joerg-Olaf richtig schrieb, niemand von der Geschaeftsleitung oder sonst ein “hoeherer” Mitarbeiter sein – da waere ja der Interessenskonflikt vorprogrammiert. Der Datenschutzbeauftragte untersteht direkt der Geschaeftsleitung und ist dieser gegenueber in dieser Funktion als bDSB weisungsberechtigt. Er darf auch nicht wegen seiner Funktion benachteiligt werden – was ihn zu einem schwierigen Mitarbeiter macht, sofern er die Aufgabe ernst nimmt. Viele Unternehmen tendieren daher dazu einen externen Datenschutzbeauftragten zu bestellen, was ich persoenlich aber auch fuer schwierig halte. Gut, sicher fuer Firmen wie meinen Ex-Arbeitgeber ein gutes Geschaeft, aber ob das in der Praxis wirklich funktioniert? Schliesslich kann man einen externen Mitarbeiter/Partner/betreuendes Unternehmen recht schnell austauschen wenns nicht mehr gefaellt – und das kann im Bereich Datenschutz natuerlich schnell passieren. Ganz davon abgesehen das sich der bDSB auch mit den Prozessen und Vorgaengen im Unternehmen auskennen sollte – schwierig bei einem externen Datenschutzbauftragten.
Sicher ist es schwierig fuer ein Unternehmen Datenschutz konsequent umzusetzen und einzuhalten. Sicher ist es auch nicht in allen Faellen hundertprozentig moeglich. Aber man sollte es zumindest ernsthaft versuchen.
In einem Fall wie StudiVZ ist es natuerlich noch viel wichtiger es zu tun. Hier sind aber scheinbar die Hausaufgaben nicht gemacht worden – sowohl im Umgang mit den Problemen als auch mit der evtl. falschen Person als Datenschutzbeauftragter. Aber liebe StudiVZ, die personenbezogenen Daten die ihr habt sind eure Geschaeftsgrundlage. Wenn damit was schiefgeht kann das ganz schnell das Aus bedeuten – ich als hypothetischer User wuerde jetzt ganz fix meine Daten soweit es geht selber loeschen und fuer den Rest nen T5F hinterher schicken. Wenn erstmal das Vertrauen in eine Plattform weg ist bricht das Geschaeftsmodell direkt zusammen. Oder doch frei nach dem Motto: Ist der Ruf erst ruiniert…?
