Zum Newsletter anmelden

Jetzt kostenlosen Newsletter abonnieren und einmal im Monat neue Ideen, interessante Artikel, Inspirationen und viele Tipps erhalten! Wir geben Ihre Daten nicht weiter! Eine Abmeldung ist jederzeit möglich.
I agree with the Nutzungsbedingungen
 
 

EU-DSGVO – Europäische Datenschutzgrundverordnung – Einfluss auf Projektabwicklung und Projektmanagement

Wie derzeit vielfältig aus den Medien zu entnehmen ist, tritt die EU-DSGVO (Europäische Datenschutzgrundverordnung)1, auch bekannt unter General Data Protection Regulation GDPR, ab 25. Mai 2018 europaweit in Kraft. Zeitgleich endet damit auch die Umsetzungsfrist.

Im Projekt werden an vielen Stellen und in vielen Prozessen personenbezogene Daten, z.T. auch sensibler Art (u.a. Profiling im Stakeholdermanagement), erhoben, erfasst, verarbeitet und gespeichert.

Strukturierte Projektakten, zum Beispiel – egal, ob sie elektronisch oder in Papierform geführt werden – unterfallen vollumfänglich den Regelungen der Datenschutz-Grundverordnung.

Im Rahmen des Projektmanagements und der Projektabwicklung stellen sich nun die Fragen, welche datenschutzrechtliche Regeln von Projektmanagern und anderen Projektbeteiligten zu beachten sind. Auch welche Aufgaben, Kontrollen und Maßnahmen durchzuführen sind, um konform mit der neuen Datenschutz-Grundverordnung zu sein. Es gilt Verstößen vorzubeugen und Schaden für das eigene Unternehmen abzuwenden.

Das Ziel der Datenschutz-Grundverordnung ist, sowohl die Grundrechte und Grundfreiheiten natürlicher Personen – insbesondere deren Recht auf Schutz personenbezogener Daten – zu schützen als auch den freien Verkehr personenbezogener Daten zu gewährleisten (vgl. Art. 1 DSGVO). Alle Mitgliedsstaaten müssen ihr nationales Recht bis zum Inkrafttreten am 25. Mai 2018 an die Datenschutz-Grundverordnung anpassen. Damit soll die uneingeschränkte Anwendbarkeit der Datenschutz-Grundverordnung gewährleistet werden.

Der Datenschutz-Grundverordnung2 kommt aufgrund ihrer unmittelbaren Geltung ein Anwendungsvorrang gegenüber dem nationalen Recht zu. Nationales Recht, das im in Widerspruch zur Datenschutz-Grundverordnung steht, darf ab deren Geltungsbeginn nicht mehr zur Anwendung kommen. Das Bundesdatenschutzgesetzt dient hierbei lediglich zur „Lückenfüllung“.

Konsequenzen von Verstößen

Nach Art. 83 DSGVO: Es gelten abschreckende Geldbußen: 20 Millionen/ 4% des weltweiten Umsatzes

Die Abmahnung durch Wettbewerber ist bereits von Datenschutzverletzungen nach Bundesdatenschutzgesetzt her bekannt und wird praktiziert.

Das ist neu und kann teuer werden: Künftig kann bei Datenschutzverstößen nicht nur Schadensersatz, sondern „Schmerzensgeld“ von Betroffenen eingefordert werden, wobei der Gerichtsstand beim Betroffenen liegt!

Nun könnte man meinen das Thema beträfe nur die großen Unternehmen/Konzerne und kleinere Unternehmen stehen nicht im Fokus. Dem ist leider nicht so. Auch jeder Freiberufler, kleinstes oder kleines Unternehmen ist davon betroffen.

Leider gibt es immer wieder Menschen, die destruktiv unterwegs sind, Freude am Stören haben und dazu Datenschutzlücken instrumentalisieren könnten. Sei es um sich für eine vermeintliche Schlechtbehandlung zu rächen oder unliebsamen Wettbewerbern über Insider oder Whistleblower mit einer anonymen Meldung von Datenschutzverletzungen an Datenschutzaufsichtsbehörden zu schaden.

Was sind personenbezogene Daten?

"Personenbezogene Daten" sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte "betroffene Person") beziehen.

Dazu gehören z.B. der Name, die Personalnummer, Anschrift, Geburtsdatum, Urlaubsanträge aber auch die Benutzungszeiten im DV-System, E-Mail-Adresse oder IP-Adresse. Im Prinzip alle Daten, die geeignet sind eine eindeutige Zuordnung auf die natürliche Person zu ermöglichen.

Das Verarbeiten personenbezogener Daten nach Art. 4 Nr. 2 DSGVO):

„..‘Verarbeitung‘ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;..“

Beispiele

  • Erhebung von Kundendaten bei einem Termin (auch schon Entgegenahme einer Visitenkarte)
  • Speichern von Kunden-, Lieferantendaten im System
  • Veränderung des Familiennamens
  • Verbreitung, z.B. Bereitstellung im Internet (z.B. Downloads)
  • Auslesen und Abfragen, z.B. für einen Newsletter
  • Einschränkung und Löschung, z.B. bei ausgeschiedenen Mitarbeitern/Teammitgliedern
  • Löschen und Vernichten von Projektunterlagen z.B. nach Ablauf der Aufbewahrungsfristen

Nutzung personenbezogener Daten im Projekt

Es sind sowohl unternehmensinterne als auch externe Projekte betroffen.

Die nachfolgende Auflistung ist beispielhaft und erhebt nicht den Anspruch auf Vollständigkeit.

  • Skillprofile, Bewerberdaten (auch unverlangt eingesendete Initiativbewerbungen), Zeit- und Abrechnungsdaten, Urlaubsanträge, Reiseanträge und Genehmigungen, Email-Verkehr, Protokolle, Statusberichte, ToDo-Listen, Beschreibungen zu Aufgaben, Rollen und Verantwortlichkeiten
  • Ressourcenmanagement, Projektpersonaleinsatzplanung (u.a. Zuweisung zu Arbeitspaketen, Bearbeitungsdauern je Arbeitspaket für das Teammitglied) und Projektpersonalauslastung
  • Personenbezogene, sensible Daten im Rahmen des Stakeholdermanagements (Profiling) oder des Veränderungsmanagements.
  • Kommunikation und Newsletter Versand, Projektblog, Kommentar- und Kontaktformulare, Projektwebsite, Bilder von Projektmitarbeitern aus Projektteams oder Events
  • Verbreitung bzw. Bereitstellung von Daten im Internet (z.B. Projektinformationen, Projektmarketing)
  • Durchführen von Webinaren oder Teilnahme an eLearning im Rahmen der Projektarbeit – Veranstalter und Plattformbetreiber (Einladungen mit Namen und E-Mail-Adressen, etc.)
  • Erhebung, Erfassung und Verarbeitung von Kunden- und Lieferantendaten (Adressen, Emails, Telefonnummern etc.), aber auch Entgegennahme von Visitenkarten
  • Kunden- und Lieferanten-Verträge (u.a. Dienstleister, Non-Disclosure-Vereinbarungen)
  • Datenweitergabe oder Austausch mit außereuropäischen Drittstaaten (aber auch ausländische Rechenzentren und Cloud-Diensten, Dropbox, Google, Whatsapp, Doodle etc.)
  • SaaS – Software as a Service-Dienste (regelmäßige Verarbeitung personenbezogener Daten in der Cloud durch den Hersteller oder Vermarkter der Software. Hierzu zählen u.a. Cloud-Lösungen für die Projektplanung und -abwicklung, Ressourcenmanagement, Projektdatenablage, etc. Dazu ist die Einwilligung der Betroffenen beziehungsweise eine geeignete vertragliche Regelung erforderlich.
  • Denken Sie auch an personenbezogene Projektdaten auf Tablets und Smartphones aller Projektbeteiligten (Vorkehrung bei Verlust, Diebstahl, Missbrauch, etc.)
  • Subunternehmer, freiberufliche Projektmitarbeiter die im Projekt eingesetzt werden und personenbezogene Daten verarbeiten handeln im Auftrag ihrer Auftraggeber. Diese Daten werden häufig nicht nur auf ihren eigenen Laptops oder Servern gespeichert, sondern auch in der Cloud. In diesem Fall muss der Subunternehmer seinen Auftraggeber darüber informieren und einen Vertrag zur Auftragsverarbeitung (früher Auftragsdatenverarbeitung nach BDSG) mit seinem Cloud Service Provider, Mail Hoster, freiberuflichen Mitarbeiter, etc. abschließen. Es ist sicherzustellen, dass der Subunternehmer die Anforderungen an den Datenschutz ebenso erfüllt. Der Auftraggeber muss vor der ersten Weitergabe personenbezogener Daten an den Subunternehmer prüfen und auch danach regelmäßig verifizieren, ob die Einhaltung umgesetzt wird.

Zulässigkeit der Verarbeitung personenbezogener Daten

Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten!

Dies erwächst als Konsequenz des Grundrechtschutzes der personenbezogenen Daten, wie er vom Bundesverfassungsgericht festgeschrieben wurde („informationelle Selbstbestimmung“), und er ist Inhalt der Europäischen Menschenrechtskonvention. 

Es gibt jedoch Zulässigkeitsgründe, die eine Verarbeitung personenbezogener Daten gestatten.

Einwilligung

Die Verarbeitung von personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ist zulässig, wenn die betroffene Person hierin ausdrücklich eingewilligt4 hat.

Betroffene Personen müssen über den Umfang der Daten (welche Daten werden verarbeitet) und den Zweck der Verarbeitung ausreichend informiert werden. Die Einwilligung kann elektronisch eingeholt werden und sollte protokolliert werden (Nachweisbarkeit). Einwilligungserklärungen müssen in verständlicher Form, in einer klaren und einfachen Sprache vorliegen. Auf die Rechte der Betroffenen muss hingewiesen werden (z.B. jederzeitiger Widerruf).

Vertragserfüllung

Daten, die zur Erfüllung eines Vertrags oder einer vorvertraglichen Regelung erforderlich sind, dürfen zulässig erhoben werden. 

Rechtliche Pflichten

Erhebung von Daten, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind (z.B. aus dem Arbeits- und Sozialrecht, für Steuern, zur Abwicklung von Beschäftigungsverhältnisse, Abrechnungen, etc.)

Die wichtigsten Anforderungen und Grundsätze der DSGVO

Rechtmäßigkeit der Verarbeitung

Personenbezogene Daten dürfen nur für eindeutige und rechtmäßige Zwecke verarbeitet werden. Der Zweck muss eindeutig definiert und dokumentiert werden.

Zweckbindung der Daten

Es muss einen eindeutigen und klar umrissenen Grund für die Verarbeitung der personenbezogenen Daten geben.

Grundsatz der Datenminimierung

Es gilt so wenig wie möglich personenbezogene Daten auf das für den betreffenden Zweck benötigte Minimum zu erheben und zu verarbeiten.

Grundsatz der Richtigkeit

Die personenbezogenen Daten müssen richtig und auf dem aktuellsten Stand sein. Dazu müssen angemessene Maßnahmen implementiert werden.

Grundsatz der Transparenz

Die Verarbeitung muss für Betroffene nachvollziehbar gemacht werden und sie müssen in leicht verständlicher Weise über Risiken, Vorschriften und Rechte informiert werden.

Grundsatz der Speicherbegrenzung

Personenbezogen Daten dürfen nur so lange aufbewahrt werden, wie sie für den Zweck erforderlich sind. Es müssen geeignete Maßnahmen für Löschroutinen implementiert werden.

Grundsätze der Integrität und Vertraulichkeiten

Personenbezogene Daten müssen durch technische und organisatorische Maßnahmen vor Manipulation durch Unbefugte, Feuer, Blitzschlag, versehentlichem Verlust etc. geschützt werden.

Die wichtigsten Betroffenenrechte – Umfangreiche Informationspflichten

Informationspflichten (Transparenz)

Es besteht eine umfangreiche Informationspflicht schon beim Erheben oder der Zweckänderung der Daten, die enorme Bedeutung für die Praxis hat (u.a. Vertragsverhandlung mit Lieferanten, Entgegennahme Visitenkarte, Erhalt von Geschäfts-E-Mails, Arbeitsvertragsschluss, etc.)

Auskunftsrechte (Transparenz)

Jedem Betroffenen steht ein Auskunftsrecht zu, ob Daten verarbeitet werden und Details darüber zu welchen Zwecken, geplanten Speicherdauern etc.

Recht auf Berichtigung (Richtigkeit)

Ein Betroffener kann die Berichtigung von unrichtigen Daten verlangen

Recht auf Vergessenwerden (Speicherbegrenzung)

Daten sind zu löschen (sofern keine gesetzliche Gründe dagegenstehen), wenn sie nicht mehr erforderlich sind oder wenn die Einwilligung widerrufen wird.

Recht auf Datenübertragbarkeit

Betroffene können die Bereitstellung ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format, z.B. auf einem USB-Stick verlangen, wenn die Datenerhebung auf Einwilligung oder Vertrag beruht (u.a. bei Beraterverträgen, Ärzte, Personaldaten ausscheidender Mitarbeiter, etc.)

Recht auf Widerspruch

Betroffene können einer Verarbeitung durch den Verantwortlichen jederzeit widersprechen, außer es stehen gesetzliche Gründe dagegen oder er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder  die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Was der Projektmanager jetzt tun muss

In größeren Unternehmen wird es möglicherweise im Rahmen der Vorbereitung auf die EU-DSGVO Informationsveranstaltungen und Schulungen geben. Aber für kleine und mittelständischer Betriebe muss das nicht immer gelten.

Hinweise & Tipps zum Umgang mit personenbezogenen Daten im Projekt:

Besprechen Sie sich mit Ihrem Datenschutzbeauftragten, sofern Ihr Unternehmen verpflichtet ist einen zu benennen (abhängig von Unternehmensgröße und weiteren Anforderungen)

Verarbeiten Sie nur Daten die wirklich erforderlich sind und es einen rechtmäßigen Grund dafür gibt

Holen Sie sich Einwilligungen4 von Betroffenen zur Verarbeitung ihrer personenbezogenen Daten ein, sofern nicht schon ihr Unternehmen dies durchführt

Vermeiden Sie das Ausdrucken personenbezogener Daten

Sensibilisieren und schulen Sie Ihre Projektmitarbeiter im Umgang mit personenbezogenen Daten

Löschen Sie Bewerberdaten von Ihrem Laptop, sofern zulässig (Allgemeines Gleichbehandlungsgesetz, hier Diskriminierungen – Aufbewahrungsfristen, Klärung mit Personalbereich)

Prüfen und überlegen Sie als Projektmanager, wo genau Sie personenbezogene Daten in Ihrem Projekt nutzen und zu welchem Zweck

Erstellen Sie ein Verfahrensverzeichnis(!) (Verzeichnis der Verarbeitungstätigkeiten5), welche diese Sachverhalte dokumentieren. Grundsätzlich gilt dokumentieren, dokumentieren, dokumentieren! Nachweisbarkeit der Konformität herstellen! Das heißt, die Projektmanager müssen beweisen können, dass sie geeignete Datenschutzrichtlinien und geeignete Datenschutzvorkehrungen umsetzen. EIn Projektmanager der nicht weiß, welche personenbezogenen Daten er in welchen Systemen und Prozessen verwendet, kann die Rechtmäßigkeit seiner Datenverarbeitung schwerlich garantieren.

Führen Sie eine Risikobewertung für einzelne kritische Verarbeitungsvorgänge durch. Für die diejenigen Verarbeitungen personenbezogener Daten, die für die Rechte und Freiheiten einer Person ein hohes oder ein sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine sog. Datenschutz-Folgenabschätzung (DSFA)6 vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte.

Erstellen Sie eine Datenschutzrichtlinie für Ihr Projekt (Inhalte: u.a. Datenschutzverantwortliche, Verfahrensverzeichnis, Vertragsmanagement Dienstleister, Schulungen der Teams, Prozess zur Wahrnehmung der Betroffenenrechte, Vorgehensweise bei Datenschutzverstößen)

Seien Sie vorbereitet auf Auskunftsanträge von Betroffenen, die Auskunft darüber haben möchten welche Daten über Sie in diesem Projekt gespeichert sind und zu welchem Zweck (Auskunftsfrist binnen eines Monats)

Entwickeln Sie ein Konzept zur Sicherstellung der Betroffenenrechte

Löschen Sie personenbezogene Daten nach dem der Zweck erfüllt ist, sofern keine Ausnahmegründe (z.B. gesetzliche Aufbewahrungsfristen etc.) vorliegen

Beachten Sie die Meldepflicht für Datenschutzverletzungen binnen 72 Stunden! (z.B. verlorener USB-Stick, FAX oder Email an falschen Adressaten, verlorener oder gestohlener Laptop, etc.) Schulen Sie Ihre Projektmitarbeiter (Sorgen Sie für Nachweise!)

Treffen Sie organisatorische und technische Maßnahmen zum Schutz personenbezogener Daten

Technische Maßnahmen

  • Firewall und aktuellen Virenschutz für die gesamte Projekt-DV sicherstellen
  • Betriebssysteme und Softwareupdates immer aktuell halten
  • Verschlüsselung von Dokumenten und Email-Verkehr, Laptops mit verschlüsselten Speichermedien, Kopierschutz u.a. durch mechanischen USB-Verschluss oder Deaktivierung von USB-Anschlüssen
  • Sperrung des Zugangs zum PC, Laptops während temporärer Abwesenheit (Login Bildschirmschoner)
  • Social-Media-Plugins
  • Prüfen Sie ggf. existierende Onlineformulare auf die Erhebung nur der wirklich erforderlichen Daten; lassen Sie sich die Kenntnisnahme der Datenschutzerklärung durch ein Häkchen (Pflichtfeld) vor dem Absenden der Daten bestätigen
  • Prüfen Sie, ob Sie Bezahldienste einsetzen und wie dort mit personenbezogenen Daten umgegangen wird
  • Analysedienste (Google Analytics, Matomo (vormals Piwik), Adobe Analytics etc.)
  • Anzeigen- und Marketingdienste (Google AdSense / AdWords etc.)
  • Hinweis auf Verwendung von Cookies

Organisatorische Maßnahmen

  • Jeder Projektmitarbeiter hat seinen eigenen Zugang zum DV-System mit ausreichender Passwortlänge (inkl. Abgestimmter Rollen und Berechtigungen) – Zugriffskontrolle sicherstellen
  • Regelmäßige Datensicherung/Backup und deren verschlossene Lagerung/Aufbewahrung
  • Zugangskontrolle zu personenbezogenen Daten
  • Verschlossener Serverraum bzw. Zutrittskontrolle
  • Absicherung gegen Entwendung, Beschädigung oder Zerstörung der Daten und von Servern oder Speichermedien mit personenbezogenen Daten (z.B. durch verschlüsselte Speichermedien, Backups, Datentresore)
  • Website mit ausführlicher Datenschutzerklärung
  • Regulierung, Einschränkung und Kontrolle der Weitergabe von Daten an Dritte - Zugriff auf Projektdaten in der Cloud regulieren und kontrollieren - Wer greift wann mit welchem Gerät und mit welcher App auf welche Daten zu?
  • Gegebenenfalls Pseudonymisierung und Anonymisierung personenbezogener Daten3

Nutzen Sie im Projekt Software, die personenbezogene Daten verarbeitet, dann sollten Sie die zwei Grundsätze Privacy by Design und Privacy by Default beachten und vom Hersteller einfordern.

  • Bei Privacy by Design werden von Beginn an Benutzerverwaltung inkl. Rollen und Berechtigungskonzept so gewählt, dass Administratoren den Zugriff so gestalten können, dass Daten für nicht berechtigte Benutzer nicht sichtbar sind.
  • Bei Privacy by Default muss die Software datenschutzfreundliche Voreinstellungen berücksichtigen. Benutzer- und Rollenkonzepte müssen zur Verfügung gestellt sein und auch von vornherein aktiviert sein. Dadurch soll bei fehlenden Sicherheitskonfigurationen kein Zugriff auf Daten zu erlangen sein.

Fazit

Was auf den ersten Blick die EU-DSGVO als Bürokratiemonster erscheinen lassen mag, hat auf den zweiten Blick auch gute Seiten. Die jüngsten Datenschutzskandale scheinen die Notwendigkeit für klare Regelungen zum Schutz personenbezogener Daten zu bestätigen. Machen Sie doch mal einen Selbstversuch und fordern von z.B. von Google oder Amazon (sofern Sie Kunde sind) Auskunft über ihre gespeicherten Daten an.

Bei der EU-DSGVO handelt es sich um ein neues Rechtsgebiet, zu dem aktuell noch keine Erfahrungen, Urteile oder sonstigen richterlichen Entscheidungen vorliegen. Die Zukunft wird zeigen wie die Datenschutzaufsichtsbehörden und Gerichte damit umgehen werden.

Dieser Blogartikel kann nicht auf alle Sachverhalte der EU-DSGVO eingehen. Befassen Sie sich daher eingehend und rechtzeitig mit der EU-DSGVO, um damit in ihrem Projekt konform zu sein.

Literaturhinweise, Links

EU-Datenschutz-Grundverordnung IHK Hanau-Gelnhausen-Schlüchtern

Newsletter rund um die EU-DSGVO

1 Datenschutzreform 2018 – Der Bayerische Landesbeauftragte für Datenschutz

https://www.datenschutz-bayern.de/datenschutzreform2018/

2 Kurzvideo zur EU-DSGVO - https://youtu.be/sd9C1x-w-F8

3 Pseudonymisierung und Anonymisierung - https://de.wikipedia.org/wiki/Anonymisierung_und_Pseudonymisierung

4 Einwilligung bei der DSGVO: Das Häkchen richtig setzen

https://www.cio.de/a/einwilligung-bei-der-dsgvo-das-haekchen-richtig-setzen,3575554

5 Verschiedene Vorlagen und Muster zur EU-DSGVO – Hier Beispiel: Verzeichnis der Verarbeitungstätigkeiten

https://www.activemind.de/datenschutz/dokumente/verfahrensverzeichnis/

6 Datenschutz-Folgenabschätzung (DSFA)

https://www.hanau.ihk.de/recht/Datenschutz/newsletter-eu-datenschutz-grundverordnung/newsletter-dsgvo_14/4016032

Weitere Hinweise

https://www.projekt29.de/der-baylfd-zur-eu-dsgvo-teil-1-geltung-und-anwendungsbereich/

 

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Datenschutzerklärung stimme zu