Hightower schrieb am 20.09.2017 16:53:
Wie wäre es, wenn Betriebssysteme nur dann in Unternehmen eingesetzt werden dürfen, wenn sie eine Zertifizierung bzgl. des Datenschutzes erhalten haben.
Das wäre errst mal ein Eingriff in die unternehmerische Selbstbestimmung. Nicht zuletzt, weil dann auch ein gerüttelt Teil des Open-Source-Spektrums nicht mehr nutzbar wäre (Hint: Betriebssystem != Kernel). Wer finanziert den Audit?
Grundsätzlich finde ich es richtig, daß der Gesetzgeber Regeln vorlegt und die konkrete Konformität in der Verantwortung des Unternehmens liegt. Ist ja nicht nur beim Datenschutz so, sondern auch bei Vorschriften wie der elektronischen Archivierung. Wenn ein Anbieter dann den Audit übernimmt (und die Verantwortung für denselben) ist das ein Marktvorteil, der sich durchaus monetarisieren läßt (siehe Archivierungs-Appliances). Ansonsten müssen halt die anwendenden Unternehmen aufkommen - in Form von Strafen und Haftungsforderungen, selbst wenn sie nur mittelbar beteiligt wären (analog Mitstörerhaftung bei Urheberrechtsfragen könnte man eine Mitstörerhaftung bei Trojanerwellen und Privacy-Leaks einführen, wenn die beteiligten Unternehmen nicht Vorsorge auf dem Stand der Technik getroffen haben).
Kurz gesagt: Nicht-Privacy und Nicht-Security muss teuer werden. Die Investition da hinein muß für das Unternehmen einer Versicherung gleichen und schlussendlich auch im Bereich der Kreditbewertung (Basel) entsprechend goutiert werden (bei Kapitalgesellschaften dann auch entsprechende Veröffentlichungspflichten bitte). Vorschriften allein nützen nichts, sie werden ignoriert, umgangen oder ausgehebelt. Aktuell ist der Stand leider so, daß die Investition da hinein eher als reine Kostenfrage wahrgenommen wird, deren einziges Ergebnis eine gewisse Absicherung gegen schlechte Presse ist - und die beruhigt sich nach drei Tagen wieder. Oder kann sich noch jemand konkret an die letzten Privacy-Leaks erinnerrn - mal davon abgesehen, daß das eh die meisten leute nicht interessiert, weil sie praktisch als öffentliche Personen leben?
Ach ja: Schufa abschaffen. Mit solchen Organisationen im Hintergrund braucht man sich nicht zu wundern, wenn keine Privacy-Empfindlichkeit aufkommt und die Leute sich sowieso als gläsern wahrnehmen. Natürliche Personen sollten vollumfängliches und durchsetzbares Privacy-Recht haben - gegen ALLE Instanzen. Auch gegen Ämter ("privacy by default" bleibt so lange ein zahnloser Tiger, wie Meldestellen ihre Adressdaten verkaufen, wenn man nicht ausdrücklich widerspricht - Opt-In muss der Standard sein und sollte konsequenzlos auch verweigert werden).
Grundsätzlich: Privacy ist wie Security ein komplexer und andauernder Prozess, der sich nicht an einer Stellschraube korrigieren läßt. Im Allgemeinen sollte die Politik Regeln setzen UND durchsetzen, nicht direkt eingreifen. Wir haben aber vor allem das Problem, daß die heilige Kuh "Markt" nur blöken muss - dann werden Unternehmen weitgehend konsequenzlos von ihrer Verantwortung befreit. Und dort muss angesetzt werden, Vorschriften haben wir eigentlich schon genug. Wenn ein Privacy-Verstoß vorliegt genügt halt kein "Dudu" plus eine Strafzahlung an irgendein soziales Projekt, was ich noch in die Kosten einstellen kann. Dann muß jeder Betroffene klagen können - mit entsprechender Kosten-Unsicherheit beim Unternehmen (nichts scheuen Betriebswirtschaftler mehr als unkalkulierbare Kosten).