Data Owner – Bedeutung für den Datenschutz

Wem gehören eigentlich die Daten, die in Deinem Unternehmen verarbeitet werden? Die DSGVO hat darauf, für personenbezogene Daten, eine einfache Antwort. Sie gehören weiterhin der natürlichen Person, die sie identifizieren oder identifizierbar machen.
Damit beantwortet sich zumindest ein rechtlicher Aspekt der Frage. Aber das Eigentum klärt auch die Frage der Verantwortung. Und um diese geht es beim Begriff des Data Owner.
Während die personenbezogenen Daten der betroffenen Person nach wie vor dieser gehören, hat sie trotz der umfassenden Betroffenenrechte nur noch sehr begrenzt Einfluss auf die Qualität, Sicherheit und weitere Aspekte, sobald die Daten in Deinem Unternehmen verarbeitet werden. Die Verantwortung für Daten liegt dann also innerhalb der Strukturen des Verantwortlichen.
Häufig ist es so, dass Daten in IT-Systemen gespeichert werden und eine Vielzahl von Personen Zugriff darauf gewährt wird. Diese wiederum nutzen die Daten dann für ihre Arbeit, ohne ein Gefühl dafür zu entwickeln, dass sie eine Verantwortung für die Daten übernommen haben könnten. Das ist recht normal und führt auf den ersten Blick auch noch nicht zu Problemen. Erst, wenn wir uns um technische und organisatorische Maßnahmen wie etwa ein Berechtigungskonzept kümmern, oder wir in Folge der Anforderungen des Art. 17 DSGVO zur Löschung von Daten übergehen sollen, muss eine Person eine Entscheidung treffen. Und weil insbesondere die Löschung von Daten nachhaltige Folgen für die Arbeit haben kann, scheuen sich viele Mitarbeiter diese Entscheidung zu treffen.

 

Was macht der Data Owner?

Der Data Owner ist in einem Unternehmen oder einer Einrichtung diejenige Person, die für einen bestimmten Datenpool die Verantwortung trägt. Sie entscheidet also abschließend, wer welche Berechtigungen erhält, wie die Daten in ihrer Qualität gesichert werden sollen, wann sie zu löschen sind, usw.
Daneben wird der Data Owner auch in die Sicherung und den Schutz der Daten einbezogen, da er am besten abschätzen kann, welche Anforderungen hieran zu stellen sind.
Wenn diese Rollen nicht bestimmt sind, kann dies schnell zu der misslichen Lage führen, dass sich entweder niemand (eher wahrscheinlich) oder zu viele Personen für Daten verantwortlich fühlen. Die Folge wäre, dass die Datenqualität durch beispielsweise unrichtige Anreicherung der Daten leiden könnte oder Datenteile gelöscht werden, obwohl diese von anderen Berechtigten noch gebraucht werden.
Bei der Geltendmachung von Betroffenenrechten nach der DSGVO kann der Data Owner als Kenner der Datensätze mit herangezogen werden, um zum Beispiel das Auskunftsrecht (insbesondere wenn eine Kopie der Daten nach Art. 15 Abs. 3 DSGVO verlangt wurde) vollständig erfüllen zu können.

 

Wie bestimme ich den Data Owner?

Zunächst ist es wahrscheinlich, dass diese Rolle von verschiedenen Personen in Deinem Unternehmen für verschiedene Datensätze übernommen wird. Wir müssen also zunächst einen Bereich abgrenzen, für den wir die Rolle bestimmen möchten.
Im Beispiel verwenden wir Kundendaten. Sobald wir also entschieden haben, dass wir den Data Owner für Kundendaten bestimmen möchten, prüfen wir, welche Abteilungen oder Bereiche des Unternehmens mit den Kundendaten arbeiten. Dabei stellen wir uns zwei Fragen: welche Abteilung würde voraussichtlich als Erstes bemerken, wenn Datensätze fehlerhaft sind und welcher Abteilung schadet die Fehlerhaftigkeit von Daten am meisten?
Dadurch verringert sich der Kreis der infrage kommenden Personen schon etwas.
Auf der nächsten Stufe sollte geklärt werden, wer über die notwendigen Berechtigungen verfügt, um die Datenqualität durch Änderungen der Geschäftsabläufe und Änderungen innerhalb der IT-Systeme zu veranlassen.
Unter den übrig gebliebenen Personen muss nun ermittelt werden, wer über das nötige Budget und die Ressourcen verfügt, Probleme der Datenqualität schnellstmöglich beheben zu können.
Die Person, die am Ende dieser Fragen ermittelt wird, übernimmt die Rolle des Data Owner und damit auch die Entscheidung für die wesentlichen Fragen rund um die Verarbeitung. Zum Abschluss dieses Prozesses sieht man gut, dass die IT häufig nicht der Data Owner ist.

 

Vorteile für Dein Unternehmen

Werden die Data Owner für die unterschiedlichen Datenkategorien ermittelt, erleichtert sich die Arbeit im Datenschutz in einigen wesentlichen Punkten. Denn nun kennst Du für alle Datentöpfe die verantwortlichen Ansprechpartner, die mit der Qualität der Daten und auch der Entscheidung über die Löschung von Daten betraut sind. Gleichzeitig ist eine Person damit betraut, die Integrität und Richtigkeit der Daten zu sichern. Wir betonen häufig, dass #Datenschutz eine Gemeinschaftsaufgabe ist und nicht vom Datenschutzbeauftragten alleine gestemmt werden kann. Mit der Benennung von Dateneignern werden Entscheidungen rund um die Daten in die Hände derer gelegt, die tagtäglich damit arbeiten und folglich am besten einschätzen können, wie es um die Qualität der Daten bestellt ist. Dadurch wird es leichter, die Anforderungen an die (Datenschutz-)Compliance einzuhalten.

 

Fazit

Der Data Owner entstammt ursprünglich dem Daten- und Informationsmanagement. Aber auch, wenn Du kein entsprechendes Managementsystem in Deinem Unternehmen implementieren möchtest, lohnt sich die Ermittlung der Data Owner. Denn dadurch werden häufig umständliche Entscheidungswege verkürzt, indem die Kompetenz hinreichend bestimmt werden und feste Ansprechpartner geschaffen werden. Dadurch erleichtert sich auch Dein Bemühen um die Einhaltung der datenschutzrechtlichen Vorgaben erheblich.

Kontaktiere Uns