Jeder, der einmal in einer WG oder in einem Studentenwohnheim gehaust hat, kennt das Problem herrenloser Lebensmittel. Aus meiner Zeit im Studentenwohnheim erinnere ich mich an eine plötzlich und unerwartet auftauchende, ungeöffnete Tüte mit Rosinen, in der es flatterte. Erstaunlich, was die Evolution mit so einer Tüte macht, oder besser gesagt, mit dem Inhalt. Es kamen seinerzeit durchaus Gedanken an Jurassic Park auf, in dem es heißt: Die Natur findet einen Weg…, oder „mother nature has a plan.“
Die Reaktionen der Nachbarn damals reichten von Entsetzen über Faszination bis hin zu sofortigem Vollzug einer Aufräumaktion. Was nun folgte, wurde auf einer TOP-TEN-Liste vermerkt. Als Gewinner konnte sich ein Joghurt im Kühlschrank durchsetzen, dessen Mindesthaltbarkeitsdatum seit 18 Monaten abgelaufen war. Die seinerzeitigen Spekulationen nach Entdeckung dieser “Sensation” gingen durchaus in die Richtung, ob der Joghurt schon sprechen konnte und nur daran gehindert wurde, weil er noch im Becher “eingesperrt” war.
Es mag sein, dass die Erwägung, jemand könnte aus dem Becher herausgesprungen kommen, mitausschlaggend war, diese durchaus interessante Frage nicht zu beantworten und den Becher ungeöffnet zu entsorgen. Allerdings blieb so bis heute ungeklärt, was der Joghurt zu erzählen gehabt hätte, wäre ihm die Möglichkeit dazu gegeben worden. Aber vielleicht vermittelt uns diese Geschichte doch etwas über die Sprachfähigkeit von Joghurts…
Unser Kollege Bruno Wildhaber vom Kompetenzzentrum Records Management hat kürzlich ein Video veröffentlicht. Man vergleiche die Ordnung in einem Kühlschrank mit der Datenverarbeitung in einem Unternehmen.
Aus Datenschutzsicht ist diese Perspektive insbesondere vor dem Hintergrund der EuGH – Entscheidung vom 06.10.2015 interessant. Seitdem der EuGH Safe Harbor verboten hat, wird natürlich auch an mich immer wieder die Frage adressiert, wie man damit in der Praxis nun umgehen soll.
Es gibt eine Antwort: Datenherrschaft.
Ein Ausflug in die Geschichte macht vielleicht deutlich, was dies im Einzelnen bedeutet. Moderne IT-Infrastruktur beinhaltet das Problem, dass die Verantwortlichkeiten im Gegensatz zur analogen Datenverarbeitung geteilt sind. Am Beispiel Personaldaten wird dies besonders deutlich.
Als es noch Personalakten gab, lagen diese in der Personalabteilung. Geordnet in Schränken, mit Reitern versehen, zugeordnet zu Mitarbeitern der Abteilung und vor allem gab es diese Daten nur einmal. Der Personalbereich war in sich und nach Feierabend auch für den Zutritt Dritter geschlossen und kein Außenstehender hatte die Möglichkeit auf Personaldatenbestände zuzugreifen. Dann kam die Digitalisierung des Personalwesens. Personalakten wurden zu Dateien und lagen damit nicht mehr in der Personalabteilung, sondern auf einem Server in der IT. Damit wurden die Verantwortlichkeiten „geteilt“. Fachlich das Personalwesen, technisch die IT. Darüber hinaus wurde der Anwendungsbereich für Personaldaten sukzessive für andere betriebliche Dinge erweitert.
In der Sache selbst ist es nicht falsch, wenn Personaldaten für Zugriffsberechtigungen im Netzwerk verwendet werden. Einfach aus dem Grunde heraus, dass ein aussscheidender Mitarbeiter nicht per Laufzettel aus den Prozessen und Zugriffsberechtigungen gelöscht werden muss, sondern per einzelnem Mausklick “nicht mehr existiert” und damit auch keine Möglichkeiten mehr hat, unberechtigt auf Datenbestände zugreifen zu können.
Allerdings wird es im Zuge dieser Entwicklung schwieriger, die Verantwortlichkeiten zu definieren. Auf die Frage, wer nun für einzelne IT-Prozesse verantwortlich ist, hört man heute in Unternehmen öfter den Verweis “das macht die Fachseite”, “da wissen wir nichts von, denn das macht ja die IT”, oder “das ist outgesourced”.
Hinzu kommt, dass technische Möglichkeiten Begehrlichkeiten aufkommen lassen. Die Organisation hinkt aber naturgemäß der technischen Entwicklung hinterher. So entstehen Schnittstellen zu Dritt- und Viertsystemen, von denen die Quelle – in unserem Beispiel die Personalabteilung – womöglich gar nichts weiß. Deshalb ist es keine Überraschung, wenn Personaldaten in einem System auf der anderen Seite des Planeten auftauchen, z.B. in Adressbüchern, Excelexporten, pdf-Dateien u.v.m.
Irgendwann kommt dann jemand auf die Idee, das Ganze per Vertrag zu regeln. So werden dann technische Möglichkeiten und organisatorische Maßnahmen über Verträge geregelt, sozusagen mittels eines Hilfskonstruktes.
Was aber passiert, wenn diese „Hilfskonstrukte“ durch Gerichte für unwirksam erklärt werden, wie dies der EuGH mit Safe Harbor gemacht hat?
Dann ist das Hilfskonstrukt untauglich und bei Monopoly würde es jetzt heißen: Begib dich ins Gefängnis, gehe direkt dorthin, gehe nicht über Los und ziehe nicht 4000 EUR ein.
Im wahren Leben ist das natürlich nur als Floskel zu verstehen. Aber die notwendige Devise klingt zumindest im Ansatz ähnlich: Gehe zurück auf Los! Zurück an den Anfang und damit zur Frage der Datenherrschaft:
Wer hat Zugriff auf Daten?
Wer trägt die Verantwortung?
Wie sind Prozesse geregelt?
Information Governance bietet hier einen guten Lösungsansatz, insbesondere, wenn es um die Frage der Löschfristen geht. Man kann die fast quartalsweise Verdoppelung der Speicherkapazitäten in Unternehmen heute schon als einen Klassiker verstehen und das hat auch mit der Teilung von Verantwortlichkeiten zu tun. Denn fragt man einen Administrator, welche Datenbestände gelöscht werden können, kommt eine negierende Antwort: Gar keine. Eben weil der Admin nicht fachlich verantwortlich ist. Die Fachseite hingegen verlässt sich auf die technische Expertise der IT-Abteilung: “Darum kümmert sich die IT”.
Fazit: Solange keine Notwendigkeit besteht, Daten zu löschen, wird eben gespeichert. Wenn sich niemand darum kümmert, Daten zu löschen, weil die Verantwortlichkeiten nicht klar definiert sind, weil es Verträge mit Subunternehmen gibt, die vermeintlich dafür zustündig sind, und weil die Organisation nicht auf “Nebenthemen” eingestellt ist, sondern auf Kerngeschäft, zu dem man ab und zu auch historische Daten braucht, wird es Datenbestände geben, die man faktisch nicht braucht, die aber nicht mehr im Bewusstsein der Verantwortlichen sind.
Und diese Daten erzählen eine Geschichte. Eine Geschichte, die für die Verantwortlichen durchaus brisant werden kann, weil die Geschichte auf Prozesse hinweist, die rechtlich nicht erlaubt sind. Und das ist kritischer als flatternde Rosinen und sprechende Joghurts.
Früher oder später wird man von Nachlässigkeiten wie diesen eingeholt. Und wer sich bis jetzt weiterhin die Frage stellt, ob der Joghurt von damals tatsächlich sprechen konnte, wird die Beweisführung erkannt haben. Ja, Joghurts können sprechen. Es kommt nur darauf an, wie alt sie sind.
Wenn ich so auf meinen Kühlschrank schaue, wird das für mich persönlich größte Problem in dem netten Video zur Information Governance nicht angesprochen: Jemand anderes isst oder trink das, was ich für mich selbst da rein gestellt habe. Je leckerer, umso eher. Access Control zum Fridge könnte schwierig werden. Namenszettel helfen da echt nicht. Inzwischen verstecke ich die guten Sachen. Aber ich werde mal erwägen, meine heimische Regierung zum Fridge Manager zu ernennen.
Die wichtigste Analogie zur Welt der Daten: Es gibt keine wirksamen Sanktionen bei Verstößen gegen die Access Policy. Ich habe zeitweise erwogen, meinen Nachwuchs an irgendein Bergwerk zu verkaufen, aber ich musste lernen, dass das nicht erlaubt ist, obwohl in der Bibel was anderes steht.