Für die einen ein Graus, für die anderen oberstes Gesetz – so oder ähnlich ist die Einstellung zum Datenschutz in Deutschland. Die neuen EU-Vorschriften sind vor drei Jahren ein Teil unseres Alltags geworden. Die ausgetretenen Pfade mussten auf den Prüfstand und erwiesen sich manchmal als nicht konform, obwohl die DS-GVO zu fast 90% die alten deutschen Datenschutzgesetze nachahmt. Die nötigen Anpassungen liegen hoffentlich schon hinter uns. Doch wie verhält es sich mit dem Datenschutz außerhalb von Routinen? Ist Datenschutz auch ein Thema für Projektmanagement?
Stellen wir die einfache Frage: „Muss der Datenschutzbeauftragte bei jedem Projekt hinzu gezogen werden?“ Die Antwort wird schnell klar, wenn wir an Stakeholder denken. Sie repräsentieren die Interessen der beteiligten Personen(-Gruppen) und Organisationen. Die Wahrung der Interessen obliegt im Unternehmensumfeld der Geschäftsführung oder deren Delegierten („mittleres Management„). Der Datenschutzbeauftragte wird analog als Vertreter der natürlichen Personen angesehen. Er wahrt die Interessen der beteiligten Bürger. Diese Beteiligung beginnt bei der Erfassung und sortierter Speicherung ihrer Daten.
Wenn das Projekt „Erfassung des Gesundheitszustands und Leistungsmessung der Kühe“ zum Gegenstand hat, fallen keine personenbezogene Daten an. Sobald Identifikatoren oder Namen von Menschen verarbeitet werden, kann sein Rat bares Geld wert sein. Hin und wieder hört man von Projekten, die in der Abschlussphase gestoppt oder ganz an den Anfang katapultiert worden sind, weil man im Bezug auf den Datenschutz die Kontaktvermeidungstaktik versucht hat. In Deutschland kommt das Bußgeld der Aufsichtsbehörde vergleichsweise selten zum Einsatz, doch auch die Korrekturen an der genutzten Software kann das Projekt in eine finanzielle Schieflage bringen.
Der Einfluss des Datenschutzbeauftragten ist nicht zu unterschätzen
Dieser Einfluss muss nicht unbedingt negativ sein. In seiner beratenden Funktion unterstützt der im Unternehmenskontext DPO (Data Protection Officer) genannte interne oder externe Berater mit seinem Fachwissen die Projektbeteiligten, um eine gesetzeskonforme Umsetzung zu ermöglichen. Hierbei sind Details besonders wichtig. Die Qualität der Daten und die Schutzmaßnahmen sind die Basis für seine Einschätzung und haben den größten Einfluss auf seine Entscheidung.
Bei unternehmensübergreifenden Projekten, ist der Projektleiter gut beraten, den Datenschutzbeauftragten auf die Art und Weise der Zusammenarbeit hinzuweisen. Die Verantwortung für die Daten und die Beauftragung mit der Verarbeitung sind eine diffizile Frage, so dass nur ein Fachmann ein böses Erwachen im Fall einer Kontrolle verhindern kann.
Es ist jedem Projekt eigen, dass die Prozesse neu definiert werden und neue Datenablagen entstehen. Die Datenflüsse (vor allem ins Ausland) und die Speicherorte müssen noch vor dem Start bekannt und klar benannt sein. Schließlich gehören die neuen Daten-Kanäle in ein Verarbeitungsverzeichnis, das jedes Unternehmen vorzuhalten hat und der Aufsichtsbehörde eine Transparenz bietet, wie mit den Daten umgegangen wird.
Zu jedem Softwareprojekt gehört am Ende eine Schulung der Benutzer dazu. Auch beim Datenschutz? Ja, auch ohne Software ist der DPO das Zünglein an der Waage: In seiner Unterweisungspflicht muss er die mit der Verarbeitung der Daten betrauten Mitarbeiter über den richtigen Umgang – insbesondere bei unerwarteten Vorkommnissen – schulen. „Was ist zu tun, wenn ein Kunde die Löschung seiner Daten fordert?„, „Wer und wann ist zu informieren, wenn man den Verdacht hat, dass Daten in die falschen Hände geraten sind?“ – Es sind nur zwei Fragen, die unter Zeitdruck zur Herausforderung werden können.
Was ändert sich für das Projektmanagement?
Datenschutz wird offiziell nicht als Teil des Projektmanagements angesehen. Das ist im Prinzip nicht nötig. Die Zeit wird zeigen, ob diese Vorstellung von Projekten im sog. datengetriebenen Geschäft nicht vielleicht revidiert werden muss. Unsere Erfahrung zeigt uns, dass vor allem die Projektleiter für dieses Thema sensibilisiert werden müssen.