IM-Expertenpool: Datenschutz : So finden Unternehmen den richtigen Datenschutzbeauftragten
Die Datenschutzgrundverordnung (DSGVO) rückt Privatsphäre und Datenschutz ins Rampenlicht. Sie schreibt vor, dass personenbezogene Daten in Einklang mit Datenschutzregelungen verarbeitet werden müssen. Außerdem verlangt sie einen „Data Protection by Design“-Ansatz: Datenschutz muss grundlegender Bestandteil aller Prozesse in Unternehmen sein.
Aufgaben des Datenschutzbeauftragten
Eine zentrale Stellung weist die DSGVO dabei dem Datenschutzbeauftragten zu. Sein Aufgabenbereich ist komplex: Er muss gleichzeitig die Einhaltung des Datenschutzes im Unternehmen im Blick haben, erzieherisch tätig sein, die Regulierungsvorgaben durchsetzen helfen und an der Überwachung mitwirken. Er übernimmt interne Aufgaben, kooperiert mit Aufsichtsbehörden und dient zusätzlich als Anlaufstelle für Betroffene, deren Daten kompromittiert sein könnten.
Aber seine Tätigkeit darf sich keinesfalls darauf beschränken, lediglich eine Checkliste abzuhaken. Der Datenschutzbeauftragte muss die rechtlichen und regulatorischen Rahmenbedingungen kennen, also juristisches Wissen mitbringen. Er braucht zugleich technologisches Verständnis über Datensysteme – und muss über Services und Applikationen, die sensible Daten im Unternehmen verarbeiten, Bescheid wissen. Wie und wo fließen die Daten wohin, warum werden sie dort gebraucht?
Das klingt nach einer eierlegenden Wollmilchsau – und das macht es so schwer, die Kombination der Fähigkeiten in einer einzigen Person zu finden. Aber Datenschutzbeauftragte können auch als Daten-Ombudsmänner gesehen werden, als Team oder verschiedene Rollen.
Dem Datenschutzbeauftragten steht dann ein Team zur Seite, das sein Wissen ergänzt. Dazu gehören etwa ein Experte in internationalem Recht oder ein Datenarchitekt. Was der Verantwortliche unbedingt selbst mitbringen muss, sind Führungsqualitäten, denn er muss im Rahmen seiner Tätigkeit Einfluss nehmen und die Organisationsstruktur transformieren.
Kontrolle über Daten zurückgewinnen
Damit der Datenschutzbeauftragte erfolgreich arbeiten kann, muss der Betrieb die Kontrolle über verarbeitete Daten zurückgewinnen und behalten. Viele Unternehmen leiten gesammelte Informationen in eine Art Datensee und machen sich vorerst keine Gedanken darüber. Irgendwann stellen sie fest: Der See hat sich zum Sumpf entwickelt – weil sie eine gründliche Analyse der Datenströme und der Risiken für die Privatsphäre versäumt haben.
Betriebe brauchen darum unbedingt Regeln, Verfahrensweisen und Kontrollen, wenn Daten aus dem Produktions- zum Beispiel ins Testsystem weiterfließen. Sie müssen gewährleisten, dass nur die Information vorhanden ist, die sie wirklich brauchen. Bei persönlichen Daten müssen sie das Risiko abwägen und minimieren.
Dabei helfen Daten-Management-Lösungen. Sie stellen einerseits Datenschutz und Privatsphäre mit Hilfe von Datenmaskierung sicher. Alle Merkmale, die eine Identifikation von Personen ermöglichen, werden durch anonyme Daten ersetzt. Entwickler und Tester können keine Rückschlüsse auf Nutzer ziehen. Andererseits sorgen die Lösungen für den schnellen Zugriff auf aussagekräftige Daten.
Eine DataOps-Plattform erstellt eine virtuelle Kopie der Produktivdaten. Diese ist die Basis für die Bereitstellung der Daten in verschiedenen Entwicklungs- und Testumgebungen, auch über mehrere Umgebungen hinweg sowie lokal und in der Cloud. Die Daten werden schon während des Extraktionsprozesses maskiert, also wenn sie die Produktion verlassen und übertragen werden.
Die Plattform stellt darüber hinaus ein zentrales Richtlinienmanagement und eine Regel-Engine für die Maskierung bereit. Das Speichern, Verwalten und Bereitstellen virtueller Kopien erfolgt von einer einzelnen Stelle aus. Der Datenschutzbeauftragte hat so die Übersicht und die Kontrolle: Er weiß genau, wo virtuelle Kopien gespeichert sind, und wer darauf Zugriff hat. Der Datenschutz wird so in den gesamten Lebenszyklus der Technologie eingebettet, von der Entwurfsphase bis zur Bereitstellung, Nutzung und Vernichtung. Für Unternehmen ist es damit kein Widerspruch, agil und schnell und andererseits verantwortlich zu agieren.
Eric Schrock ist CTO bei Delphix.
