IT ist nicht für DSGVO/GDPR verantwortlich – ein Rant

In den Unternehmen bricht allmählich Panik aus, die DSGVO/GDPR kommt. Unser Chefredakteur hatte in seinem Blog die Frage aufgeworfen, wieso es immer einen Tritt in den Allerwertesten benötige, bis (auch) wichtige Projekte in Angriff genommen werden. Jetzt ergreift der Doc das Wort…

Letzte Woche hat unser Chefredakteur Karl Fröhlich in seinem Editorial gefragt, warum es eigentlich immer einen Arschtritt benötige, bis (auch) wichtige Projekte umgesetzt werden. Im Einzelnen bezog er sich auf Cybersicherheit und die Datenschutz-Grundverordnung (DSGVO; engl. GDPR – General Data Protection Rule). Unser Doc Storage hat dazu aber eine andere Meinung, vor allem zur DSGVO – logisch.

Antwort Doc Storage:

Normalerweise macht man ja so etwas nicht, aber in diesem Falle muss ich einmal meinem Chefredakteur widersprechen. Und zwar aufs schärfste.

Ich muss mich innerhalb eines Medienkonzerns seit einem halben Jahr mit dem Thema DSGVO beschäftigen. Und je mehr Zeit ins Land geht (jaja, ich weiß, Ende Mai rückt immer näher), desto tiefer festigt sich bei mir die Erkenntnis, dass hier in Brüssel wieder einmal eine größere Bande sogenannter »Berater«, oder zumindest deren Lobbyisten, den Abgeordneten so lange im Foyer aufgelauert haben, bis diese eine völlig unpassende und viel zu generische Verordnung erlassen haben.

Karl hat Recht, für die Umsetzung der grundsätzlichen DSGVO-Forderungen braucht es keinen Arschtritt, zumindest sollte ein solcher in vernünftig geführten DV-Organisationen nicht notwendig sein. Die meisten dieser Forderungen werden nämlich sowieso erfüllt, geht es nun um einen Notfallplan, um die richtige Backup-Strategie oder ähnliches.

DSGVO regelt die Art der Datenaufbewahrung

Aber leider geht es bei DSGVO nicht nur um das, sondern es geht auch und vor allem um den Umgang mit persönlichen und Vertragsdaten. Es geht darum, welche Art von Daten wie lange auf den Online-Datenträgern, im Backup und vor allem im Archiv aufbewahrt werden. Es geht darum, jedem, der von diesen Daten betroffen ist oder in diesen Dateien erwähnt wird, die Möglichkeit zu geben, in diese hineinzusehen oder gar die Löschung der Daten zu fordern. Und darum, den Umgang mit diesen Daten bis hin zu deren Löschung nachweisen zu können.

So weit, so schön. Oder eben so weit, so kompliziert. Selbst in einem Unternehmen, welches glücklicherweise nur »einfache« Dateien speichert oder Datenbanken betreibt, dürfte das oben beschriebene schon kompliziert genug sein. Ich will nur einmal daran erinnern: ab dem 25. Mai muss jeder DV-Betreiber in der Lage sein, jederzeit alle Dateien und Dateninhalte und deren Speicherort aufzulisten, in denen personenbezogene Inhalte abgelegt sind. Geburtsdaten, Namen, einfach alles, was zu einem bestimmten Namen gefunden werden kann.

Und das ist noch lange nicht alles. Je nachdem, in welchem Land diese Daten abgespeichert sind, müssen sie aufgrund weiterer Vorschriften 10, 25 oder gar 100 Jahre (!) aufbewahrt werden. Und hier wird es wirklich zur Herausforderung. Jetzt werden mir die Bandjünger unter den Lesern (wie immer) entgegnen, dass ihre Medien jahrzehntelange Haltbarkeit garantieren. Sehr schön. Allerdings muss man dann auch dafür sorgen, dass alle (!) diese Daten regelmäßig auf die neuesten Formate umgespult werden, um sie jederzeit lesbar zu halten.

Elektronische Langzeitarchivierung ist ein Problem

Sonst passiert das, was mir vor noch nicht einmal zwei Wochen hier vor Ort passiert ist (kein Scherz, »real life«): Die Jungs von der GDPR-Fraktion wollten in einem Testlauf Finanzdaten von 2002 rekonstruieren und durchsehen. Schön. Die DV-Leute sagten, kein Problem, die Bänder lägen im Keller. Stimmte auch, sogar in einem klimatisierten Raum mit konstanter Luftfeuchte. Allerdings enthielten die Schränke DLT IIIXT– und DLT IV-Kassetten, flankiert von ein paar kleineren DDS-Bändern aus den damals betriebenen Abteilungsservern.

Das momentan betriebene Archiv enthält LTO-Laufwerke, in die man die älteren DLT-Kassetten nur noch mit einem Hammer einsetzen könnte. Ganz zu schweigen von den DDS-Bändern, deren Weiterentwicklung glaube ich um die Jahrtausendwende eingestellt wurde. Seitdem sind wird auf der Suche nach einem DLT- und einem DDS-Laufwerk, um wenigstens mechanisch wieder arbeiten zu können. Hinzu kommt, dass die Backups damals mit einem nicht mehr unterstützten Produkt auf einem längst in der Archäologie verschwundenen Server gezogen wurden. Jetzt geht es also um Laufwerke, einen Server und eine Software, die heutzutage niemand mehr kennt und die niemand mehr auf zeitgemäßen Systemen zum Laufen bekommt. Und es komme mir jetzt niemand damit, dass man eben auf immer die neuesten Kassetten hätte umspulen müssen.

Ja, hätte, könnte, müsste. Ich fordere alle auf, die jetzt die Augenbrauen mitleidig runzeln oder gar zum Lachen ansetzen, den gesamten (!) Datenbestand der sagen wir mal letzten zwanzig Jahre durchzugehen und mir dann mit gutem Gewissen zu antworten, man könne dies alles zurückholen. Um das Ganze noch weiter zu verschärfen – es geht nicht nur um Texte oder Textinhalte. Viele Firmen speichern Bilder und Filme, die ebenso von dieser Regelung betroffen sind. Falls das so ist, Chapeau, meine Hochachtung, Hausaufgaben gut gemacht, auch während all der Generationswechsel und Migrationen. Aber die restlichen 99,5 Prozent, die das nicht können, stecken nun im selben Schlamassel wie wir hier.

Und das ist erst der Anfang. Zum Teil müssen Verträge, Policen bis hin zu Grundbucheinträgen bis zu 100 Jahre aufbewahrt werden. Klingt einfach, die Bänder schaffen das. Mechanisch. Aber man soll mir nicht erzählen, die DV in der Lage sei, diese Zeiten wirklich einzuhalten.

Man stelle sich Speichertechnologien vor 25 oder 50 Jahren vor, und versuche diese an die dann aktuellen Systeme anzuschließen. Und mit der dann aktuellen Software zu rekonstruieren. Und jajaja, jetzt kommen wieder die Herrschaften mit den objektorientierten Plattensystemen aus der Hecke. Auch toll, wirklich. Dafür habe ich ein weiteres Aber: wird man wirklich alle Daten, die dort gespeichert werden, auch über 25, 50 oder gar 100 Jahre im System behalten, oder nicht doch irgendwann auf Band auslagern? Mit denselben Problemen? Wer das mit nein beantworten kann, hat entweder ein unbegrenztes Budget oder schon längst aufgegeben.

DSGVO: Die IT ist nur das ausführende Organ

Das schöne ist, dass die DSGVO gar keine DV-Aufgabe ist. Keine Fachabteilung muss sich damit beschäftigen, weil zunächst einmal die Finanz- und Rechtsabteilungen ihre Hausaufgaben machen müssen. Diese müssen uns nämlich sagen, welche Dateien, welche Datenbanken die von DSGVO betroffenen Daten enthalten. Sie müssen uns sagen, welche dieser Dateien wie lange aufbewahrt werden müssen. Erst dann können die EDV-Menschen sich um die technische Lösung kümmern. Denn wir müssen uns – auch ganz ohne Arschtritt – um nichts anderes sorgen als die technische Umsetzung. Nicht wir sind verantwortlich, sondern der DPO (Data Protection Officer) und die Projektleiter (Finanzdirektor, Leiter der Rechtsabteilung, Betreiber der Business-Systeme). Und im Ende sind nicht wir verantwortlich für die vier Prozent des jährlichen Umsatzes als Strafzahlung bei Nichtumsetzung, sondern der Geschäftsführer.

Leider ist DSGVO wegen der landläufig herrschenden Fehleinschätzung, es sei ein IT-Projekt, und der vor dem 25. Mai eingeimpften Panik vor allem zur Gelddruckmaschine für die üblichen Verdächtigen »Beraterunternehmen« geworden. Diese sagen leider nur eines viel zu wenig:

Die IT-Abteilungen sind NICHT für DSGVO/GDPR verantwortlich. Und daher braucht es – zumindest dort – auch keinen Arschtritt.

Gruß
Doc Storage