Datenschutz und Sicherheit: Wie geht ein CDO mit kritischen Datenanfragen um?

Bei den wenigsten Entscheidungsträgern in Technologieunternehmen vergeht heute ein Tag, ohne dass sie mit dem Thema Datenschutz und Sicherheit konfrontiert sind. Bedingt durch die heutige digitale Vernetzung der Welt hat sich die Aufgabe des Chief Data Officer (CDO) gewandelt – weg von der bloßen Erfüllung betrieblicher Anforderungen hin zum schwierigen Spagat zwischen dem Gewährleisten der Konformität und dem eigenen Beitrag zum Erreichen der strategischen Ziele des Unternehmens.

Das heißt, dass der CDO nicht einfach nur sein Veto gegen Projekte einlegen oder sie aus Compliance-Gründen ausbremsen kann. Vielmehr muss er bei der Befassung mit Datenanfragen zunächst die Ziele der Person verstehen, von der die Anfrage kommt. Dann muss er versuchen, der Anfrage so stattzugeben, dass das Erreichen des betrieblichen Ziels nicht behindert wird, gleichzeitig aber die Privatsphäre geschützt und die Sicherheit gewahrt bleibt.

Möglicherweise funktioniert das nicht auf direktem Weg, weil das Datenschutzrecht dies verhindert, sondern man muss gemeinsam nach einer Alternative suchen, die zum selben Ziel führt. So schreibt das Datenschutzrecht der meisten Länder beispielsweise vor, dass bestimmte Arten von Informationen nur mit ausdrücklicher Zustimmung der betroffenen Person genutzt werden dürfen. Dann gilt es, ähnliche Arten von Informationen zu identifizieren, die unter den richtigen Umständen durchaus verwendet werden können.

Ein Beispiel aus der Praxis

Im Gesundheitswesen ist es nicht unüblich, dass der CDO für bestimmte Projekte Anfragen für Datensätze erhält, in denen das Geburtsdatum eines Patienten erfasst ist. In einem solchen Fall stellt der CDO normalerweise die auf der Hand liegende Frage: „Wofür benötigen Sie diese Informationen?“ Die Antwort lautet dann in der Regel: „Wir müssen einfach wissen, wie alt eine Person ist.“

Das Geburtsdatum ist jedoch nicht dasselbe wie das Alter einer Person. Vielmehr lässt sich aus ihm errechnen, wie alt jemand ist. Eigentlich interessiert den Antragsteller jedoch das Alter der Person. Und diese Information ist weniger kritisch und vertraulich als das Geburtsdatum. Das ist ein perfektes Beispiel dafür, wie ein CDO dabei helfen kann, einen anderen Weg zum Ziel zu finden, ohne dabei vertrauliche Daten preiszugeben und möglicherweise Compliance-Vorgaben zu verletzen.

Ein weiteres Beispiel wäre, wenn ein Mitarbeiter aus dem Unternehmen nach den Namen und Adressen aller Menschen in einer bestimmten Gegend fragt, um zu ermitteln, wie viele Personen in dieser Gegend ein bestimmtes Produkt kaufen. Auch hier wird der CDO feststellen – indem er sich das eigentliche Ziel hinter dieser Anfrage anschaut –, dass der Mitarbeiter eigentlich keine Informationen benötigt, mit denen Personen eindeutig identifizierbar sind. Der Mitarbeiter muss gar nicht genau wissen, wer diese Personen sind, sondern bloß, wie viele von ihnen das Produkt gekauft haben.

Vom Ergebnis her denken

Letztendlich sollte ein CDO immer bestrebt sein, eine geeignete Lösung zu finden, anstatt Anfragen auszubremsen. Er sollte weiterhin den Mitarbeitern im Unternehmen dabei helfen, zu verstehen, was sie eigentlich erreichen wollen und ob es dafür eine andere Möglichkeit gibt, die den Compliance-Vorgaben optimal Rechnung trägt. Das bedeutet, die Ziele mit Blick auf die Ergebnisse statt auf den Input zu definieren.

Das vermittelnde und beratende Element dieser Rolle ist wichtig, weil sich viele Mitarbeiter im Unternehmen sofort auf die Daten konzentrieren, auf die sie Zugriff zu haben glauben, statt zunächst auf ihr Ziel und die für sein Erreichen nötigen Voraussetzungen zu schauen. Darüber hinaus kann ein CDO vermeintlich entgegengesetzten Bedürfnissen im Hinblick auf Compliance und geschäftlichem Nutzen das Konfliktpotenzial zu nehmen – zum Nutzen für das Unternehmen und seinen Kunden oder der Öffentlichkeit gleichermaßen.

Ken Mortensen

Als Anwalt und Ingenieur mit über 20 Jahren juristischer Erfahrung und mehr als 30 Jahren Erfahrung im IT-Bereich ist Ken Mortensen ausgewiesener Experte in Sachen Datenschutz und Sicherheit. Von Cambridge (Massachusetts, USA) aus leitet Ken Mortensen als Data Protection Officer gegenwärtig den Bereich Global Trust and Privacy bei InterSystems. In dieser Funktion beschäftigt er sich intensiv mit der Optimierung der Datenschutz-, Governance- und Cyber-Risikoprozesse im gesamten Unternehmen. Vor seiner Zeit bei InterSystems war Ken Mortensen in verschiedenen leitenden Funktionen im Bereich Datenschutz und Sicherheit bei PwC, CVS Health und Boston Scientific tätig. Zudem diente er unter der Regierung von George W. Bush als stellvertretender Generalstaatsanwalt im Justizministerium. Dort war er der wichtigste Berater in Fragen des Datenschutzes und der Cybersicherheit in Bezug auf die Arbeit der Strafverfolgungsbehörden und des Auslandsgeheimdienstes. Vor dieser Tätigkeit gehörte Ken Mortensen dem gerade neu gegründeten Heimatschutzministerium an, dessen erster Deputy Chief Privacy Officer er dann wurde. Zuvor führte er eine eigene Anwaltskanzlei, war Sonderberater der Generalstaatsanwaltschaft für Cyberfragen und lehrte an der juristischen Fakultät der Villanova University. Seine Karriere begann er bei Burroughs als Elektroingenieur im Bereich Informationssicherung.

Kommentar verfassen

*