NerdfallmanagementFeb 19

Ja, #IT ler, die einem immer „alles“ verbieten, sind nervig.
Wisst ihr, was noch schlechter ist? ITler, die etwas erlauben, weil „es alle wollen“ und die Risiken ignorieren.

Ich gehe jetzt mal #Boxen und schreib dann eine #Risikoanzeige . Für die Akte. Damit man später nicht sagen kann, ich hätte zugestimmt.

Wie ich sowas hasse.
#ITSec

Show threadStefan Rower🏴‍☠️🦊 🇺🇳🐧 🏳️‍🌈🤝Feb 19
Deswegen dürfen Admins keine Datenschützer im selben Unternehmen sein. Die Aufgaben der beiden Rollen stehen sich in vielen Belangen diametral gegenüber.
Show threadMarkus

@stefanrower
Worin besteht deiner Meinung nach der Widerspruch?

Aus meiner Sicht ist das kein Problem, solange sie auch in ihrer Funktion als IT-ler schon Risiken (z.N. InfoSec) berücksichtigen/bewerten und ggf. entsprechende Gegenmaßnahmen einleiten.

Feb 19 at 9:10pmWeb
Show threadMichael Krzyzanski Feb 20

@MarkusH @stefanrower In sehr kleinen Unternehmen kann zwar so eine Doppelfunktion vorkommen, aber wenn dieselbe Person Sicherheitsmaßnahmen umsetzt, Datenschutzmaßnahmen entscheidet und gleichzeitig deren Rechtmäßigkeit überwachen und bewerten soll, dann kontrolliert sie sich selbst.

Das widerspricht dem Unabhängigkeitsgebot des Art. 38 DSGVO. Was wiederum dazu führt, dass Aufsichtsbehörden Rollen wie IT-Leitung, CIO, Admin mit Entscheidungsbefugnissen regelmäßig als konfliktträchtig ansehen.

Show threadMarkusFeb 20

@MKrzyzanski @stefanrower
Kontrollinstanzen müssen natürlich in gewisser Hinsicht unabhängig sein.

Viel hilfreicher wäre doch womöglich die im Startpost erwähnte Rolle des IT-Admins, der verantwortungsvoll und vor dem Hintergrund von diversen gesetzl./behördl., normativen oder kundenspezifischen Vorgaben handelt.
Das erzeugt eher ein robustes System als mit IT-Admins ohne entsprechende Verantwortung.

Vermeidung ist stets besser als Entdeckung.

Show threadMichael Krzyzanski Feb 20

@MarkusH @stefanrower da gehe ich voll mit. Hier ist wie sich aus meiner Erfahrung immer die Unternehmensleitung der wirkliche Hemmschuh.

Wenn die Unternehmensleitung den ITler oder den IT-Leiter nicht den Rücken stärkt, dann steht dieser bei unpopulären Entscheidungen immer auf verlorenem Posten.

Wenn sich aber umgekehrt bei Diskussionen herausstellt, dass die Unternehmensleitung bezüglich Risikominimierung oder Risikovermeidung diese Entscheidungen mitträgt, dann funktionier so etwas auch.

Show threadStefan Rower🏴‍☠️🦊 🇺🇳🐧 🏳️‍🌈🤝Feb 20

@MarkusH Als Admin bist Du im Unternhemen Möglichmacher und wirst daran gemessen. Also ist dein intrinsische Motivation Dinge zu ermöglichen.

Als Datenschützer bist Du meist eh gelitten und bekommst Lob / Gratifikation wenn nichts passiert oder Du einen Datenschutzbruch oder den Verdacht darauf abwehren oder verhindern konntest.

Der eine Macht zu seinem eigenen Vorteil Löcher in die Sicherheit und der andere rennt hinterher und sagt: "Das geht so nicht!"