IT-Compliance und der heutige Tag der Schachtelsätze

Den Schachtelsatz, dessen Tag international ist, da er auch in den USA, und zwar am gleichen Tag, dort benannt als National Chocolate Covered Peanuts Day, gefeiert wird, benennen die Linguisten korrekt als Hypotaxe, zusammengesetzt aus dem Lateinischen hypo und taxis, also als die Unterordnung, in diesem Fall von (Neben-)Sätzen unter andere.

Doch nun zur IT-Compliance, wo die Frage aufkommt, ob sich hier etwas unter- (oder etwas anderes über-)ordnet, oder eben genau dieses nicht erfolgen sollte. Schauen wir, kursorisch, nach:

In unseren beruflichen Rollen suchen wir täglich sicherzustellen, dass in der Unternehmens-IT die Ordnungsmäßigkeit nicht unter die Wirtschaftlichkeit, die Sicherheit nicht unter die Usability, oder das (Rest-)Risiko nicht unter die Effizienz gestellt wird. Wir streiten um Regelungen, etwa angesichts der Cloud-Auslagerung von Funktionen und Daten, wir setzen uns für die Kostenkontrolle von Software as a Service, für die Präzision des Identity- und Access Managements oder für (genauer gesagt, gegen) die Proliferation von IT-Ressourcen in die schattige Dezentralität ein.

Dabei sind wir Compliance-Verantwortliche verschachtelt, also hypotaxiert, vulgo untergeordnet, unter vielfältige Interessen, die, da sie häufig konfligierend sind, ein Dilemma darstellen. So stehen wir vorgeblich etwa zwischen Vertriebsabteilungen (deren Wünsche wir, Compliance-sichernd, nicht erfüllen) und deren Kunden (mit denen wir selbst leider nie gesprochen haben) oder etwa zwischen Software-Eigenentwicklung (die zielgenau, wenngleich unwirtschaftlich) und der Nutzung (fremder) Kaufsoftware (die proprietär, mit der Konsequenz des Lock-Ins, oder quelloffen (mit deren anderen Risiken) sein könnte). Viele weitere Beispiele könnten hier folgen.

Des Dilemmas Lösungen, aus des Linguisten Schule: Zum einen könnten wir die Schachtel auflösen. Schrittweise. Von innen. Nach außen. Wie eine Rechenaufgabe mit Klammern. Zum Zweiten könnten wir die Schachtelaussagen priorisieren. Nach der Wichtigkeit. Nach der Zeitlichkeit. Nach weiteren Kriterien. Zum Dritten könnten wir den Bezugsrahmen wechseln. Also die Anspruchsgrundlage, aus der heraus das Dilemma vor uns postuliert wurde. Was das bedeutet das? Wir zeigen Beispiele:

In unserem IT-Kontext etwa: Richte Daten-Anonymisierung ein zum Entfall des DSGVO-Personenbezugs. Wähle EU-Clouds zur Sicherung des Datenschutzniveaus. Erzwinge starke Authentifizierung zur Erfüllung der BaFin-Vorschriften. Prüfe eine On-Premise-Re-Migration zur Sicherung von Hochverfügbarkeitsanforderungen. Installiere Software (und Service) Asset Management zur Einhaltung best-wirtschaftlicher Provider-Verträge. Et cetera pp.

Solch einschlägige Beispiele führen wir gerne fort. Und erläutern sie. Aber nicht hier. Oder jetzt. Sondern demnächst. In diesem Blog. Bleiben Sie aufmerksam. Und uns gewogen!

Ihr Dirk Michael Ockel