Datenschutz und Informationssicherheit. Wir benötigen mehr Konsolidierung.

Die Zeiten, in denen Datenschutz und Informationssicherheit zwei voneinander unabhängige Aufgaben darstellten, sind schon länger vorbei. Seit einigen Jahren holen sich Datenschützer immer mehr den Rat der Informationssicherheitsverantwortlichen und umgekehrt. Manche Datenschutzabteilungen, die es sich „noch“ leisten können, unterhalten sogar eigene Datenschutzmitarbeiter, die sich organisatorisch und vor allem technisch in der Informationssicherheit auskennen. Informationssicherheitsabteilungen hatten weniger häufig den Luxus Personal mit Datenschutzkenntnissen zu beschäftigen.

In einem Gemisch aus Rechtsabteilung, Personalabteilung, IT-Ausschuss, Datenausschuss, Betriebsrat und anderen Abteilungen, kamen sich die zwei Blöcke in der Erfüllung von diversen Unternehmensaufgaben von Zeit zu Zeit näher.

Seit der Novellierung des Bundesdatenschutzgesetzes scheint es, als ob sich die Datenschutzabteilung immer mehr zu einer weiteren Informationssicherheitsabteilung im Unternehmen entwickelt. Das liegt hauptsächlich in der Natur der Anforderungen seit der Novellierung des §BDSG. Der Datenschutz bekommt derzeit immer mehr Aufgaben zugewiesen, die in der Vergangenheit mehr durch die Informationssicherheit gelöst wurden.

Anwendungen heute gesetzeskonform nach §BDSG zu betreiben, ist kein Pappenstil mehr. Das haben Datenschützer feststellen müssen und rüsten sich, und versuchen die Konformität nach und nach für jede Anwendung zu erstellen. Speziell Anwendungen im Sales/Marketing-Bereich mit vielen personenbezogenen Kundendaten sowie interne Plattformen, die personenbezogene Mitarbeiterdaten einsammeln, und im Konzern weltweit verteilen, stehen im Mittelpunkt. Derzeit herrscht Hochkonjunktur im Datenschutz. Die Hochkonjunktur verursacht es leider, dass Datenschützer Land unter sind. Land unter zu sein ist nicht gerade dienlich dafür, ordentlich zu konzipieren. Man muss schließlich fertig werden. Deshalb wird meistens nicht überlegt, sondern gearbeitet.

Meinen Augen entgeht nicht, dass viele Tasks, z.B. in Bezug auf die Überprüfung von Sicherheitsmaßnahmen und personenbezogenen Daten auf Feldebene, oder die Dokumentation von Datenschutzkonzepten und Datensicherheitskonzepten, in den heutigen Unternehmen redundant durchgeführt werden.

Besann sich der Datenschutz historisch gesehen konzentriert darauf, Verfahrensverzeichnisse zu erstellen, könnte man heute „unmissverständlich missverständlich“ annehmen, dass diese Steigerung von 0 auf 2 übertrieben wirkt, auch wenn das gerade ein wenig überspritzt dargestellt wird.  So ist es aber. Dem Datenschutz sind erheblich mehr Aufgaben zugeteilt worden als in der Vergangenheit. Das gilt für die Quantität, Qualität, und Detailtiefe.

Ein Datenschutzkonzept für ein einziges Identity Managementsystem eines Großkonzerns mit 60 Schnittstellen oder mehr zu erstellen, das Personaldaten konzernweit austauscht, mit SAP, Mail, Netzen, Betriebssystemen, Directories, HR-Systemen, Peoplesoft, dutzenden Datenbanken und weiteren Anwendungen, eigengehostete oder fremdgehostete Teilsysteme, erfordert eine irrsinnige Menge an Arbeit. Dies gilt speziell für den Fall, dass  personenbezogene Daten akkurat und aktuell auf Feldebene aller Schnittstellen überprüft werden müssen. Weiterhin werden in Datenschutzkonzepten Datenschutzmaßnahmen dokumentiert. Und in Sicherheitskonzepten werden Sicherheitsmaßnahmen erstellt.

Nebenbei werden Systemdokumentationen, Rollen, Berechtigungen, Funktionalitäten, Risiken, Bedrohungen und Beschreibungen sowohl für das Sicherheitskonzept, als auch für das Datenschutzkonzept erstellt.

Viele Unternehmen produzieren derzeit eine Menge Dokumentationsüberschuss auf beiden Seiten. Man könnte Datenschutz gegen Sicherheit schon in Kilogramm Papier wiegen. Beide Abteilungen dokumentieren ihren Teil nach ihrer Methodik, die Informationssicherheit nach BSI, BS17799, DIN ISO 27001 oder Cobit, der Datenschutz meist nach Künstlerfreiheit. Es gibt noch keinen Standard, nachdem man beides einheitlich managen kann. Das ist noch Fiktion.

Die meisten derzeit gesichteten Dokumentationen in Konzernen beider Abteilungen über ein System lassen sich nicht vereinbaren.

Aber genau das wollen wir. Einheitliche, nicht redundante (und damit kostengünstige) Dokumentation. Wir wollen weder über Rollen, Funktionalitäten, Berechtigungen, noch über Maßnahmen – geschweige denn Systemarchitektur – doppelt lesen, noch schreiben.

Und so ist es an der Zeit, dass man in Bezug auf Maßnahmenauswahl und Dokumentation von Datenschutz- und Datensicherheitskonzepten im Unternehmen konsolidiert – und wo möglich (z.B. in der Doku) – standardisiert.  Das spart viel Zeit, Geld und langweilt Leser nicht unnötig. In der Kürze liegt die Würze.

Was für die Dokumentation gilt, gilt auch für Risiken und Bedrohungen, und Maßnahmen, für die Erfüllung von Policies, die Beschreibung von Rollen und Berechtigungen, und mehr.

Die Dokumentation zu konsolidieren ist eine Sache, und das ist auch gut. Die meisten Unternehmen, die das erkannt haben befinden sich meist in einem Rauschzustand, und möchten auch im Operativen zwischen Datenschutz und Datensicherheit so schnell wie möglich konsolidieren. Meistens treibt es der Datenschutz eines Unternehmens.

Leider besteht die Tendenz, dies gleicherweise im Anschluss an die Dokumentationskonsolidierung mit Word-Dokumenten und Excel-Sheets zu etablieren. Das geht schief und ist in keinster Weise empfehlenswert, im Gegenteil, davon ist unbedingt abzuraten. Sollten derartige Projekte in Ihrem Unternehmen laufen, lautet meine Empfehlung sie zu stoppen.

Das ist nicht handhabbar. Dazu bedarf es rarer professioneller Software, die das unterstüzt, und nicht Wordmakros und Excelsheets. Letzteres wird keine Userakzeptanz finden, und damit scheitern, im schlimmsten Fall wird es zu teuer und zu Unproduktivität führen.  

Sicherheit und Datenschutz müssen so einfach wie die alltäglichen Dinge des Lebens sein.

Alexander Tsolkas