Bei den wenigsten Entscheidungsträgern in Technologieunternehmen vergeht heute ein Tag, ohne dass sie mit dem Thema Datenschutz und Sicherheit konfrontiert sind. Bedingt durch die heutige digitale Vernetzung der Welt hat sich die Aufgabe des Chief Data Officer (CDO) gewandelt – weg von der bloßen Erfüllung betrieblicher Anforderungen hin zum schwierigen Spagat zwischen dem Gewährleisten der Konformität und dem eigenen Beitrag zum Erreichen der strategischen Ziele des Unternehmens.
Das heißt, dass der CDO nicht einfach nur sein Veto gegen Projekte einlegen oder sie aus Compliance-Gründen ausbremsen kann. Vielmehr muss er bei der Befassung mit Datenanfragen zunächst die Ziele der Person verstehen, von der die Anfrage kommt. Dann muss er versuchen, der Anfrage so stattzugeben, dass das Erreichen des betrieblichen Ziels nicht behindert wird, gleichzeitig aber die Privatsphäre geschützt und die Sicherheit gewahrt bleibt.
Möglicherweise funktioniert das nicht auf direktem Weg, weil das Datenschutzrecht dies verhindert, sondern man muss gemeinsam nach einer Alternative suchen, die zum selben Ziel führt. So schreibt das Datenschutzrecht der meisten Länder beispielsweise vor, dass bestimmte Arten von Informationen nur mit ausdrücklicher Zustimmung der betroffenen Person genutzt werden dürfen. Dann gilt es, ähnliche Arten von Informationen zu identifizieren, die unter den richtigen Umständen durchaus verwendet werden können.
Ein Beispiel aus der Praxis
Im Gesundheitswesen ist es nicht unüblich, dass der CDO für bestimmte Projekte Anfragen für Datensätze erhält, in denen das Geburtsdatum eines Patienten erfasst ist. In einem solchen Fall stellt der CDO normalerweise die auf der Hand liegende Frage: „Wofür benötigen Sie diese Informationen?“ Die Antwort lautet dann in der Regel: „Wir müssen einfach wissen, wie alt eine Person ist.“
Das Geburtsdatum ist jedoch nicht dasselbe wie das Alter einer Person. Vielmehr lässt sich aus ihm errechnen, wie alt jemand ist. Eigentlich interessiert den Antragsteller jedoch das Alter der Person. Und diese Information ist weniger kritisch und vertraulich als das Geburtsdatum. Das ist ein perfektes Beispiel dafür, wie ein CDO dabei helfen kann, einen anderen Weg zum Ziel zu finden, ohne dabei vertrauliche Daten preiszugeben und möglicherweise Compliance-Vorgaben zu verletzen.
Ein weiteres Beispiel wäre, wenn ein Mitarbeiter aus dem Unternehmen nach den Namen und Adressen aller Menschen in einer bestimmten Gegend fragt, um zu ermitteln, wie viele Personen in dieser Gegend ein bestimmtes Produkt kaufen. Auch hier wird der CDO feststellen – indem er sich das eigentliche Ziel hinter dieser Anfrage anschaut –, dass der Mitarbeiter eigentlich keine Informationen benötigt, mit denen Personen eindeutig identifizierbar sind. Der Mitarbeiter muss gar nicht genau wissen, wer diese Personen sind, sondern bloß, wie viele von ihnen das Produkt gekauft haben.
Vom Ergebnis her denken
Letztendlich sollte ein CDO immer bestrebt sein, eine geeignete Lösung zu finden, anstatt Anfragen auszubremsen. Er sollte weiterhin den Mitarbeitern im Unternehmen dabei helfen, zu verstehen, was sie eigentlich erreichen wollen und ob es dafür eine andere Möglichkeit gibt, die den Compliance-Vorgaben optimal Rechnung trägt. Das bedeutet, die Ziele mit Blick auf die Ergebnisse statt auf den Input zu definieren.
Das vermittelnde und beratende Element dieser Rolle ist wichtig, weil sich viele Mitarbeiter im Unternehmen sofort auf die Daten konzentrieren, auf die sie Zugriff zu haben glauben, statt zunächst auf ihr Ziel und die für sein Erreichen nötigen Voraussetzungen zu schauen. Darüber hinaus kann ein CDO vermeintlich entgegengesetzten Bedürfnissen im Hinblick auf Compliance und geschäftlichem Nutzen das Konfliktpotenzial zu nehmen – zum Nutzen für das Unternehmen und seinen Kunden oder der Öffentlichkeit gleichermaßen.