abasler - stock.adobe.com
DSGVO: Den richtigen Datenschutz-Beauftragten finden
Die Anforderungen an Datenschutzbeauftragte sind hoch. Sie müssen technologisches Verständnis für die Abläufe mitbringen, ebenso wie das juristische Wissen zu den Regularien.
Daten treiben Innovationen in Unternehmen voran. Mit Hilfe von Analysen der gesammelten Informationen entstehen neue Produkte, Lösungen und Innovationen. Das Volumen der generierten Daten explodiert: 2016 waren es weltweit jährlich 16,1 Zettabyte, 2025 sollen es mit 163 Zettabyte zehnmal so viel sein, sagen der Festplattenhersteller Seagate und das Marktforschungsunternehmen IDC voraus.
Aber je mehr Daten verarbeitet werden, desto mehr rücken Datenschutz und Datensicherheit in den Fokus. Unternehmen müssen beides sicherstellen, erst recht mit den Vorgaben der Europäischen Datenschutz-Grundverordnung (DSGVO).
Entscheidend ist es dafür, den richtigen Datenschutzbeauftragten zu haben. Die DSGVO weist ihm mehrere zentrale Aufgaben zu. Unter anderem informiert und schult er Verantwortliche und Beschäftigte im Unternehmen zum Thema Datenschutz, überwacht die internen Datenschutzregeln und muss mögliche Risiken beurteilen.
Trotz der vielfältigen Tätigkeitsfelder gibt es aber kein starres Anforderungsprofil. Wie oft sollen Mitarbeiter geschult werden? Wie viel Fachwissen muss der Datenschutzbeauftragte mitbringen? Wie bildet er selbst sich weiter? Die Antworten liegen im Ermessen des Unternehmens. Theoretisch kann jeder im Unternehmen die Aufgabe übernehmen.
Es darf dabei allerdings nicht zu Interessenskonflikten kommen, etwa bei Geschäftsführung oder IT-Chef. Dieser könnte sonst den Kauf einer neuen Datenbank veranlassen und müsste gleichzeitig überwachen, dass Daten darin sicher verarbeitet werden.
Intern ausbilden der extern beauftragen?
Der Datenschutzbeauftragter kann laut DSGVO innerhalb des Betriebs ernannt oder extern bestellt werden. Dann übernimmt ein fachkundiger Dienstleister die Aufgabe. Der interne Datenschutzbeauftragte kennt sich im Unternehmen aus und ist loyal. Er muss aber möglicherweise für seine neue Tätigkeit aus- und weitergebildet und außerdem von anderen Aufgaben freigestellt werden.
Die externe Lösung hat den Vorteil, dass der Datenschutzbeauftragte Fachwissen über Regularien mitbringt, auch wenn sich diese verändern. Er kann sofort eingesetzt werden und gerät mit geringerer Wahrscheinlichkeit in Interessenskonflikte. Dafür kennt er die internen Abläufe nicht und ist wahrscheinlich weniger loyal.
Egal ob intern oder extern: Die Anforderungen an den Datenschutzbeauftragten sind hoch. Der Mitarbeiter muss folgende Fähigkeiten mitbringen: technologisches Verständnis über Abläufe und Datenflüsse im Unternehmen; juristisches Wissen zu den Regularien in der DSGVO; die Fähigkeit, die Organisationsstruktur im Unternehmen so zu transformieren, dass eine Datenschutzkultur etabliert wird.
„Datenschutzbeauftragte werden idealerweise als Daten-Ombudsmänner gesehen, als Team oder als verschiedene Rollen.“
Eric Schrock, Delphix
Das klingt nach einer eierlegenden Wollmilchsau – und das macht es so schwer, die Kombination der verschiedenen Fähigkeiten in einer einzigen Person zu finden. Es empfiehlt sich, für den Posten des Datenschutzbeauftragten eine starke Führungspersönlichkeit zu suchen. Der geeignete Kandidat sollte das Geschick haben, ein Team neu auszurichten oder dessen Denkweisen zu verschieben.
Das nötige Fachwissen zu rechtlichen Anforderungen oder der Datenverarbeitung im Betrieb kann anschließend mit Weiterbildungen erfolgen – oder durch weitere Mitarbeiter ergänzt werden.
Datenschutzbeauftragte werden so idealerweise als Daten-Ombudsmänner gesehen, als Team oder als verschiedene Rollen. Sie stellen sicher, dass die Daten von Nutzern geschützt sind und das Unternehmen im besten Interesse der Konsumenten arbeitet. Sie gewährleisten, dass das Unternehmen sicher mit der notwendigen Geschwindigkeit arbeiten kann, um im digitalen Wettbewerb bestehen zu können. Damit steigt die Chance auf eine erfolgreiche Arbeit des Datenschutzbeauftragten deutlich.
Technologie sorgt für Transparenz
Auch die richtige Technologie ist dafür wichtig. Denn der Datenschutzbeauftragte muss die Wege steuern, auf denen Daten fließen. Er muss wissen, wo Daten gebraucht, wie sie verarbeitet werden und welche Privatsphäre-Bereiche betroffen sind.
Hilfreich sind hierfür DataOps-Plattformen. Sie stellen maskierte Daten effizient bereit: Die Technologie anonymisiert personenbezogene Daten so, dass keine Rückschlüsse auf Nutzer gezogen werden können. Gleichzeitig bleiben aber die nützlichen Korrelationen innerhalb der Daten für Entwicklung und Tests erhalten. Der Datenschutzbeauftragte weiß damit genau, wo virtuelle Kopien gespeichert sind, und wer darauf Zugriff hat.
Über den Autor:
Eric Schrock ist CTO bei Delphix.