DSGVO und die Updates

Stand: Mai 2018

Sicherheit steigt nicht immer durch DSGVO Compliance

Die DSGVO hat viele, viele Folgen, an die beim Schreiben der Verordnung einfach niemand gedacht hatte – das beginnt bei vielen alltäglichen Vorgängen. Überwachungskameras geben Tankstellen Sicherheit, aber wie soll ein Kunde aus einer Aufnahme entfernt werden, die möglicherweise beweiserheblich ist – im Fall eines anderen Kunden? Was, wenn der Besucher eines umsatz-starken Geschäftes Löschung „seiner“ Aufnahmen verlangt – später aber eben dieses Geschäft überfallen wird? Das Ausspähen eines künftigen Tatortes lässt sich damit wunderbar aus den Aufzeichnungen entfernen.

Visitenkarten werden auch selten gegen eine schriftliche Datenschutz-Warnung ausgegeben, und Passwort-Verwaltung wird eine Vollzeit-Aufgabe, wenn man regelmäßig E-Mails versenden will.

Eines der Hauptprobleme mit der DSGVO sind Updates

Es scheint für Juristen und Regulatoren selbstverständlich, dass „man immer mit den neuesten Programmen“ zu arbeiten hat. Natürlich. Das schafft ja Sicherheit. Oder?

Dabei ist zuallererst zu bedenken, dass das Update grundsätzlich nicht sicherer sein muss als die Vorversion. Seine Sicherheitsprobleme sind nur weniger bekannt.

Dann gibt es viele Fälle, etwa Truecrypt, bei denen eine als sicher geltende Vorversion durch eine schlechter geschützte ersetzt wurde – aus politischen Gründen.

Dann gibt es viele Fälle, in denen Abhängigkeiten bestehen. Stichwort JavaScript: bei vielen Anwenderprogrammen muss JavaScript in einer bestimmten Version vorliegen, bis eben der jeweilige Hersteller wiederum sein Update verkaufen kann.

Nicht selten kosten solche Updates Geld. Die permanente Anpassung erhöht also die Betriebskosten ganz deutlich.

In vielen Fällen ist das Update technisch nicht möglich, etwa, weil eine betriebswichtige Maschine älter ist, eine neue eben noch nicht angeschafft werden kann, die alte aber ein älteres Betriebssystem voraussetzt. Das betrifft sehr häufig Industriemaschinen, aber auch Röntgengeräte, Scanner, Drucker, Mikroskope, Kameras, Computertomographen, Mikrofone und viele andere Peripherie-Geräte der unterschiedlichsten Berufe.

Hersteller können Kunden so zu unnötigen Neukäufen zwingen, aber viel problematischer ist, dass die Sicherheitslage sich ja – wie gesagt – durch das Update auch verschlechtern kann. Und die Funktion des Gesamtsystems auch. Würden Sie ein Röntgengerät abschaffen, weil es mit der neuen Java-Version nicht zurechtkommt? Insbesondere dann, wenn sich alsbald herausstellt, dass die neue Lösung ein Sicherheitsproblem hat?

In betriebswichtigen Bereichen macht man daher zumindest eine Vollsicherung, ehe man das Update einspielt. Hat das Update dann unerwünschte Folgen, ist eine ökonomische Gesamtbetrachtung wichtig, und die besteht in einer Risiko-Abwägung.

Tatsache ist, keine Firma der Welt kann sämtliche Programme „auf dem neuesten Stand“ halten, denn eine individuelle Arbeitsumgebung ist damit nicht mehr möglich. Und damit eben auch keine Vielfalt in der Produktivität. Zudem ist jeder moderne Betrieb ein Mischnetz, in dem schon dann unerwünschte Konflikte entstehen, wenn man freie Wahl der Treiber und Betriebssysteme hat. In jedem mir bekannten Betrieb bringen Updates Arbeitsunterbrechungen mit sich. Folge eines „immer-neu“ wäre eben auch, dass die Produktivität sinkt und die Kosten steigen – für viele Betriebe ist das das Aus. Wichtiger aber ist eben, dass das Zusammenspiel diverser Software in der individuellen Unternehmenslösung häufig genug einfach technisch erzwingt, bestimmte Lösungen beizubehalten, eben WEIL sie sicherer oder besser sind als eine neue Version desselben Herstellers, der oft genug ein Update nicht aus technischen Gründen, sondern aus marktpolitischen Erwägungen oder einfach zum Erzeugen neuer Geldströme ausgibt.

Nicht vergessen darf man auch dies: der wichtigste Faktor, der verhindert, dass jedwede Neuerung ständig mitgemacht wird, sind Menschen, die ihre eigene Arbeit nicht alle paar Monate komplett neu lernen wollen, und die ersten, auf die das zutrifft, sind Manager.

Sinnvoller Datenschutz ist aber, und das sei am Ende dieses Artikels nochmals sehr deutlich gesagt, der kompetente Umgang mit der Gesamt-Arbeitsumgebung. Man kann das Antivirus-Programm nicht am Funktionieren hindern, nur weil es sich mit der neuesten Java-Version nicht verträgt.

Auch in dieser Hinsicht sind die Vorgaben der DSGVO daher unbrauchbar als Grundlage eines verlässlichen Datenschutz-Konzeptes.

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s