Читать книгу: «Datenschutz für Unternehmen», страница 6
3.3.2.4Meilenstein- und Phasenplanung
Der Meilenstein- und Phasenplan dient zur Wahrung des Überblicks über die notwendigen Aufgaben, Fristen und Termine in einem Projekt. Es handelt sich hier nur um eine erste Grobstrukturierung des Projektverlaufs und der erforderlichen Ressourcen.
Abbildung 3
Meilenstein- und Phasenplan
Quelle: Eigene Darstellung
3.3.2.5Stakeholder- und Risikomanagement
Im Stakeholder- und Risikomanagement findet eine Identifikation und Bewertung der Stakeholder und Risiken sowie das Planen und Umsetzen von geeigneten Maßnahmen, die einer Gefährdung des Projekterfolgs entgegenwirken, statt[127].
Bei den Stakeholdern handelt es sich um Personen oder Unternehmen, die das Projekt beeinflussen oder die an der internen Datenschutzumsetzung interessiert, beteiligt oder davon betroffen sind. Die Stakeholder können unter anderem sein: Auftragsverarbeiter, Mitarbeiter, Geschäftspartner, Behörden oder Kunden. Zu all diesen Stakeholdern sollten jeweils die Betroffenheit, die Erwartungshaltungen, der Einfluss auf das Projekt und das Konfliktpotenzial erhoben werden.
3.3.2.6Qualitätsmanagement
Im Rahmen eines Datenschutzprojekts sollte das Qualitätsmanagement einen hohen Stellenwert einnehmen, da hier die Überwachung des obersten Ziels, nämlich die konforme Umsetzung der datenschutzrechtlichen Vorgaben, sichergestellt wird.
Die Ziele im Rahmen des Qualitätsmanagements sind[128]:
+Kontrolle der Umsetzung aller datenschutzrechtlichen Vorgaben;
+Überwachung der Anforderungen;
+Minimierung der Risiken;
+Einbeziehung der Stakeholder;
+Sicherstellung des ordnungsgemäßen Übergangs in eine Regelorganisation.
3.3.2.7Dokumentation und Wissensmanagement
Ein Datenschutzprojekt unterscheidet sich von den meisten herkömmlichen Projekten dadurch, dass die meisten darin enthaltenen Ziele und Anforderungen gesetzlich vorgegeben sind. Deshalb ist im Rahmen eines Datenschutzprojekts eine detaillierte Dokumentation aufgrund der Rechenschaftspflicht nach Art 5 Abs 2 DSGVO unabdingbar. Dabei sollten alle rechtlichen, organisatorischen oder technischen Entscheidungen, alle Tätigkeiten, Stellungnahmen und Überlegungen dokumentiert werden. Diese Dokumentation sollte über die Projektlaufzeit hinaus aufbewahrt werden, da sie bei gerichtlichen Verfahren oder bei Verfahren vor der Aufsichtsbehörde als Nachweis für die Einhaltung bzw. Berücksichtigung der datenschutzrechtlichen Vorgaben dient.
!
Praxistipp:
Das dokumentierte Wissen und die darin enthaltenen Erfahrungen können entsprechend aufbereitet und für neue oder ähnliche Sachverhalte herangezogen oder anderen Mitarbeitern, beispielsweise im Rahmen von FAQ, zur Verfügung gestellt werden.
3.3.3 Tools
3.3.3.1Projektmanagementtools
Passende Projektmanagementtools können den Projektmanager und die Projektmitarbeiter bei allen Phasen des Datenschutzprojekts, vor allem aber in den Planungs- und Steuerungsphasen, unterstützen. Je größer und komplexer das Projekt ist, desto eher empfiehlt sich die Verwendung von geeigneten Tools. Das Datenschutzprojekt stellt keine speziellen Anforderungen an das Projektmanagementtool, es können daher alle gängigen Softwarelösungen verwendet werden. Unternehmen, die bereits ein Projektmanagementtool im Einsatz haben, wird grundsätzlich empfohlen, dieses auch für Datenschutzprojekte zu verwenden, da dadurch Einschulungs- und Beschaffungskosten eingespart werden können.
3.3.3.2Datenschutzmanagement-Tools
Neben den Projektmanagementtools, die den Projektablauf erleichtern, existieren auch zahlreiche Tools, die das Projektteam und anschließend die Regelorganisation bei der Umsetzung der datenschutzrechtlichen Vorgaben erheblich unterstützen können. Bei der toolunterstützten Implementierung ist zwischen Softwarelösungen zu unterscheiden, die nur einzelne Aspekte des Datenschutzes abbilden und solchen, die ein ganzes Datenschutzmanagementsystem zur Verfügung stellen. Viele bereits bestehende Softwareanbieter haben auf den Trend und Bedarf reagiert und ihr Angebot mit Datenschutz-Add-ons erweitert. Grundsätzlich müssen keine speziellen Tools angeschafft werden, da sich das Datenschutzmanagement auch mit Hilfe von herkömmlichen Office-Anwendungen abbilden lässt. Je größer das Unternehmen ist, je mehr personenbezogene Daten zu verschiedenen Zwecken verarbeitet werden, je mehr sensible personenbezogene Daten (zB „besondere Kategorien“ nach Art 9 DSGVO) verarbeitet werden und je höher die Anzahl an betroffenen Personen ist, desto eher sollte über eine toolunterstützte Lösung nachgedacht werden.
3.4 Fazit
Unabhängig von der Unternehmensgröße ist eine initiale Umsetzung der datenschutzrechtlichen Anforderungen auf Projektbasis empfehlenswert, da dadurch eine koordinierte und risikopriorisierte Abarbeitung der einzelnen Aufgabenpakete gewährleistet werden kann. Darüber hinaus können den Projektmitarbeitern, Stakeholdern und der Geschäftsführung durch die Verwendung von Meilensteinen wichtige Zeitpunkte in übersichtlicher Form kommuniziert werden.
Die Mehrzahl der Unternehmen setzte vor Inkrafttreten der DSGVO auf ein umfangreiches Datenschutzprojekt. Aufgrund der Komplexität des Datenschutzes und der guten Einteilbarkeit in Aufgabenpakete ist eine projektbasierte initiale Implementierung des Datenschutzes auch für neu gegründete Unternehmen oder für jene Unternehmen, die die Anforderungen der DSGVO nur im sehr geringfügigen Ausmaß umgesetzt haben, durchaus sinnvoll.
Spätestens bei Projektabschluss sollte die Überführung in eine Datenschutz-Regelorganisation stattfinden, damit auch zukünftig die Aufgaben, die sich aufgrund des Datenschutzes ergeben (zB Begleitung von Projekten, Beantwortung und Abarbeitung von Betroffenenanfragen), ordnungsgemäß und in der vorgesehenen Zeit abgearbeitet werden können. Denn: Datenschutz ist kein einmaliges Projekt, sondern ein immer wiederkehrender Prozess.
Eine übersichtliche Darstellung der notwendigen Aufgaben im Rahmen eines DSGVO-Umsetzungsprojekts findet sich im Anhang A.
118Im Folgenden „Projekt/e“ oder „Datenschutzprojekt/e“.
119Die Abbildung „Projektmanagementphasen und Managementaufgaben“ orientiert sich an DIN 69901 (Timinger, Modernes Projektmanagement 33).
120Timinger, Modernes Projektmanagement 63 ff.
121Timinger, Modernes Projektmanagement 78.
122Abrufbar unter: ris.bka.gv.at/Dsk/ (Stand 18.08.2019).
123Abrufbar unter: eur-lex.europa.eu/collection/eu-law/eu-case-law.html (Stand 18.08.2019).
124Abrufbar unter: edpb.europa.eu/edpb_de (Stand 18.08.2019).
125In einem Lastenheft werden vom Auftraggeber alle Anforderungen definiert und niedergeschrieben. Das Pflichtenheft ist die sogenannte Antwort des Auftragnehmers, wo dieser die geplante Umsetzung der gewünschten Anforderungen näher beschreibt.
126Timinger, Modernes Projektmanagement 63.
127Timinger, Modernes Projektmanagement 121.
128 Timinger, Modernes Projektmanagement 135.
4 Die Datenschutzorganisation
Bettina Thurnher, Florian Mundigler
4 Die Datenschutzorganisation
4.1 Die Notwendigkeit einer Datenschutzorganisation
Die Anforderungen an Unternehmen hinsichtlich des Umgangs mit personenbezogenen Daten, den dahinterliegenden Prozessen und der Ausgestaltung der Datenschutzorganisation sind mit der Einführung der DSGVO stark gestiegen und werden wohl zukünftig aufgrund der fortschreitenden Digitalisierung und der Entwicklung neuer datengetriebener Produkte noch weiter anwachsen. Gerade in Unternehmen mit vielschichtigen Strukturen, internationalen Tätigkeitsfeldern und komplexen Datenströmen ist ein systematisch geplantes Vorgehen zu empfehlen. Die Notwendigkeit einer strukturierten Herangehensweise ist im Falle von digitalen Geschäftsmodellen umso dringender zu empfehlen. Doch nicht nur die Entwicklung hin zu digitalen Geschäftsmodellen erfordert eine intensive Auseinandersetzung mit dem Thema Datenschutz. Unternehmen, die in mehreren Ländern vertreten sind, sehen sich mit teils unterschiedlichen Gesetzgebungen konfrontiert, welche entsprechend zu berücksichtigen sind. Ziel der Einführung der DSGVO war es, ein einheitliches Datenschutzniveau sicherzustellen. In der Praxis wurden jedoch durch das jeweilige nationale Recht an einigen Stellen Erweiterungen oder detaillierte Festlegungen des Datenschutzrechtes ermöglicht („Öffnungsklauseln“), was die Interpretation oftmals erschwert und die Herausforderungen im Datenschutz gerade für länderübergreifende Unternehmen intensiviert.
Global agierende Unternehmen müssen diese Situation unbedingt berücksichtigen und können die Umsetzung der unterschiedlichen Vorgaben im Datenschutz nur dann sicherstellen, wenn organisationsintern entsprechende Prozesse unternehmensweit systematisch installiert wurden.
Datenschutz hat sich in den letzten Jahren zu einem wichtigen Thema der Corporate Compliance entwickelt. Quentmeier sieht Corporate Compliance als „[…] die Gesamtheit der Maßnahmen […], die das rechtmäßige Verhalten eines Unternehmens, der Leitungs- und Aufsichtsorgane und seiner Mitarbeiter sicherstellen soll. Leitungs- und Aufsichtsorgane haben eine sorgfältige und rechtskonforme Organisation des Unternehmens zu gewährleisten“[129]1. Der Erfolg eines Unternehmens kann durch die Schaffung der wesentlichen Rahmenbedingungen und durch die Etablierung von entsprechenden Compliance-Strukturen unterstützt werden. Diese ermöglichen, Zwischenfälle durch Rechtsverstöße zu minimieren, rechtliche Fehlerquellen aufzudecken und rechtskonforme Abläufe sicherzustellen.
Das Thema Datenschutz-Compliance gewinnt in österreichischen Unternehmen zunehmend an Bedeutung. Diese Entwicklung lässt sich auf eine steigende Regelungsdichte und komplexer werdende Unternehmensorganisationen zurückführen. Auch die Erwartungen der Stakeholder an wirksame und rechtssichere Compliance-Strukturen haben in den letzten Jahren stark zugenommen. Solche Maßnahmen und Systeme können zwar naturgemäß nicht sämtliche Regel- und Gesetzesverstöße verhindern, sie vermögen aber die Wahrscheinlichkeit für deren Auftreten erheblich zu reduzieren und im Schadensfall die negativen Auswirkungen zu minimieren. Ein ganzheitliches Organisationsmodell mit Prozessen und Systemen, das die Einhaltung von gesetzlichen Bestimmungen und internen Regelwerken sicherstellt, trägt dazu bei,
+das Risiko finanzieller Schäden zu reduzieren,
+Haftungsrisiken zu reduzieren,
+Wettbewerbsvorteile zu schaffen,
+das Vertrauen der Stakeholder zu stärken und
+das Ansehen des Unternehmens in der Öffentlichkeit zu verbessern.
Um sich die Vorteile eines solchen Organisationsmodel zu Nutze zu machen, ist eine ganzheitliche Sicht auf das Thema Datenschutz zu empfehlen. Viele Unternehmen orientieren sich beim strukturierten Aufbau einer Compliance-Organisation an bestehenden Managementsystemen.
4.2 Data-Protection-Management-System (DPMS)
Gerade das Prinzip der Rechenschaftspflicht (engl. accountability) erhöht den Druck auf Unternehmen, sich mit einer systematischen Ausgestaltung und Koordination aller Aktivitäten auseinanderzusetzen. Dieses Prinzip besagt, dass Unternehmen nachweisen müssen, die Anforderungen der DSGVO eingehalten zu haben. Es ist somit Aufgabe der Unternehmensführung, mit angemessenen Maßnahmen dafür zu sorgen, dass die Verarbeitung personenbezogener Daten gesetzeskonform durchgeführt wird.
Das Prinzip der Rechenschaftspflicht setzt sich aus zwei Elementen (vgl. Voigt[130]) zusammen:
1.die Verpflichtung des jeweiligen Verantwortlichen, die Einhaltung der DSGVO sicherzustellen;
2.die Befähigung des jeweiligen Verantwortlichen, diese Einhaltung gegenüber den Aufsichtsbehörden auch nachweisen zu können.
Um die Erfüllung der Rechenschaftspflicht effizient und effektiv umzusetzen, hat sich in Unternehmen die Etablierung eines Data-Protection-Management-Systems (DPMS) als praktikabel erwiesen, welches im Wesentlichen die Aufgaben eines Datenschutzbeauftragten oder die Aufgaben von anderen für Datenschutz organisatorisch zuständige Personen unterstützt.
Loomans definiert ein DPMS als ein „[…] auf ständige Leistungsverbesserung ausgerichtetes, zur systematischen und klaren Lenkung und Leitung erforderliches Konzept, um eine Organisation in Bezug auf den Datenschutz erfolgreich führen und betreiben zu können“[131]3. Es umfasst somit alle dokumentierten und implementierten Vorgaben, Abläufe und Maßnahmen, die darauf ausgelegt sind, den Umgang mit personenbezogenen Daten gemäß den Vorgaben (gesetzlich oder organisationsintern) systematisch zu steuern. Die zentrale Aufgabe eines DPMS ist es, ein Unternehmen in die Lage zu versetzen, eine strukturierte und systematisch angelegte Planungs-, Kontroll-, Eingreif- und Unterstützungsfunktion für die Erreichung der Datenschutzkonformität selbst auszuüben. Ein entsprechend ausgestaltetes DPMS kann bei knappen Ressourcen (zB finanzielle Mittel oder verfügbare Mitarbeiter) eine wesentliche Grundlage für eine effiziente und effektive Bearbeitung von Datenschutzthemen schaffen und als Entscheidungsgrundlage für künftige Investitionen in den Datenschutz dienen. Bereits erfolgte Einführungen eines DPMS in geografisch verstreuten Niederlassungen eines Unternehmens haben gezeigt, dass sich gerade aufgrund unterschiedlicher Rechtslagen, Betriebsgrößen – und somit auch Risikoeinschätzungen – und mitunter Geschäftsmodellen ein modularer Aufbau mit der Möglichkeit zur Skalierbarkeit bezahlt macht.
4.3 Praktische Umsetzung eines DPMS
In den nachstehenden Abschnitten werden die Arbeitspakete erläutert, welche für die Umsetzung eines Datenschutzprojektes bzw. für die Integration eines DPMS erforderlich sind. Diese können sich je nach Branche, Größe und Organisationsform des jeweiligen Unternehmens unterscheiden. Ein unternehmensweit konsistent implementiertes DPMS kann, basierend auf den nachfolgend skizzierten Arbeitspaketen, die effiziente und effektive Umsetzung der Anforderungen durch die Datenschutzorganisation unterstützen.
4.3.1 Compliance-Organisation
In vielen Unternehmen können die angestrebten Ziele zum Datenschutz nur dann erreicht werden, wenn die entsprechenden Prozesse organisatorisch umgesetzt werden und deren Einhaltung überwacht wird. Innerhalb der Datenschutzorganisation sind daher die anfallenden Aufgaben qualifizierten Mitarbeitern eindeutig zuzuordnen. Nur so kann gewährleistet werden, dass alle wichtigen Aspekte berücksichtigt und sämtliche Aufgaben effizient und effektiv abgearbeitet werden.
Liegt die Verantwortung für den Datenschutz in den oberen Hierarchien eines Unternehmens und fällt die Umsetzung der Anforderungen im DPMS komplex aus, werden zusätzliche entsprechend qualifizierte Mitarbeiter benötigt. Ist ein Betrieb auch noch an mehreren Standorten in mehreren Ländern vertreten, stellt sich früher oder später die Frage der zentralen oder dezentralen Datenschutzorganisation.
4.3.1.1Die Hauptansprechperson
Anders als zB in Deutschland gab es in Österreich vor Inkrafttreten der DSGVO keine Vorgaben zur Bestellung von Datenschutzbeauftragten (Data-Protection-Officer, DPO) oder Auflagen hinsichtlich deren Aufgaben, Rechte und Pflichten. Wenngleich diese Rolle in einigen Unternehmen existierte, war sie nicht gesetzlich begründet. Somit waren auch die Aufgaben, Rechte und Pflichten eines Datenschutzbeauftragten (vor Geltungsbeginn der DSGVO) nicht normiert und nicht zwischen Organisationen vergleichbar. Mit der DSGVO hat sich dies geändert: Ob ein DPO bestellt werden muss oder nicht, ist in Art 37 geregelt. Personenbezogene Daten werden jedoch in allen Unternehmen verarbeitet – also auch in solchen, die nicht unter die Vorgaben von Art 37 fallen. Daher ist ein rechtskonformer Umgang und die Erfüllung der Pflichten (u. a. Rechenschaftspflicht, Verantwortlichkeit, Zusammenarbeit mit den Aufsichtsbehörden, Informationsbereitstellung) auch in Organisationen ohne DPO sicherzustellen.
Um die DSGVO-Konformität zu gewährleisten, wird in Organisationen oftmals eine entsprechende Position geschaffen, welche als Hauptansprechperson die Beantwortung von auftretenden Fragen oder die Bewältigung von entstandenen Herausforderungen koordiniert. Meist agiert diese Hauptansprechperson als Schnittstelle zwischen Expertengruppen wie (internen oder externen) Rechtsanwälten, der IT-Abteilung oder der Personalabteilung. In der Praxis haben sich für diese Position Bezeichnungen wie „Datenschutzmanager“ oder „Datenschutzkoordinator“ etabliert. Diese Begriffe sind jedoch weder in der DSGVO noch im DSG definiert.
4.3.1.2Zentraler oder dezentraler Aufbau der Datenschutzorganisation
Die Frage, ob eine Datenschutzorganisation zentral oder dezentral aufgebaut werden sollte, wird in letzter Zeit immer wieder diskutiert. Jedes Unternehmen muss die Vor- und Nachteile der jeweiligen Organisationsform für sich abwägen und darauf basierend eine Entscheidung treffen. Erfahrungen zeigen, dass die Gestaltung der Datenschutzorganisation meist an die im Unternehmen übliche Gestaltung angelehnt wird. Jedoch gibt es in der Praxis auch Fälle, in denen Unternehmen, die eigentlich großen Wert auf eine dezentrale Organisation legen, aus übergeordneten Gründen eine zentrale Datenschutzorganisation etabliert haben.
Als wesentlicher Vorteil für einen zentralen Aufbau der Datenschutzorganisation wird die sich daraus ergebende Bündelung sämtlicher Planungs- und Umsetzungsaktivitäten gesehen. Oftmals ist der zentrale Aufbau eines „Datenschutzkompetenzzentrums“ in einem Unternehmensverband kostengünstiger im Betrieb und in der Erweiterung als mehrere dezentral agierende Einheiten. Durch ein effektives Reporting und einen wohldurchdachten Kommunikationsweg kann sichergestellt werden, dass es nicht zu Kompetenzüberschneidungen oder Doppelgleisigkeiten kommt. Gerade die organisationsübergreifende Richtlinienkompetenz, also die Etablierung von identischen Standards und Vorgaben sowie ein einheitliches Vokabular, eine risikoorientierte Aktivitätsplanung und eine einheitliche Berichterstattung an die oberste Geschäftsleitung haben sich als wesentliche Argumente für eine zentrale Datenschutzorganisation bewährt.
Mehrere dezentral organisierte Datenschutzorganisationseinheiten innerhalb eines Unternehmens bringen vielfach den entscheidenden Mehrwert, räumlich in der Nähe der zu betreuenden Geschäftseinheit angesiedelt zu sein, mit sich. Diese ist mit dem Geschäftsmodell und den Besonderheiten vor Ort vertraut. In jedem Fall sind dezentrale Compliance-Einheiten über die Risiken vor Ort besser und umfassender informiert als eine zentrale Einheit. Nicht zu unterschätzen ist in diesem Zusammenhang der prinzipielle Aufbau bzw. die Eigenständigkeit der Organisationseinheiten. Unterscheiden sich die Geschäftsfelder und infrastrukturelle Gegebenheiten, wie zB die eingesetzten IT-Systeme, in denen personenbezogene Daten verarbeitet werden, von jenen des Hauptquartiers, kann die Nähe zu den Akteuren mithin das entscheidende Argument für eine dezentrale Organisationsform sein.
4.3.1.3Der kombinierte Ansatz
Gerade in Unternehmen, die in mehreren Branchen und/oder Ländern aktiv sind, hat sich eine Kombination aus einem zentralen und dezentralen Aufbau der Datenschutzorganisation etabliert.
Abbildung 4
Einbettung in kombiniertem Modell
Quelle: Eigene Darstellung
Dieses in Abbildung 4 dargestellte kombinierte Modell besteht aus einer zentralen Stelle („Datenschutz“) und Ansprechpersonen („Koordinatoren“) in den einzelnen Niederlassungen oder Abteilungen (nachfolgend „Organisationseinheit“ oder „OE“, im Englischen auch business unit genannt).
Die Mitarbeiter des zentralen Datenschutzteams verfügen über juristisches Fachwissen, technisches Verständnis über die Konzern-IT und abteilungsübergreifende Kenntnisse der Unternehmensabläufe. Die Koordinatoren hingegen sind in die lokalen Abläufe eingegliedert, sind üblicherweise über lokale Entwicklungen (zB unternehmensexterne Änderungen wie lokale Rechtsprechung oder neue unternehmensintern geplante Projekte mit Auswirkungen auf den Datenschutz) informiert und haben einen direkten Kontakt zu lokalen Entscheidungsträgern und Behörden, wodurch eine frühzeitige Klärung datenschutzrelevanter Fragestellungen ermöglicht wird. Die Koordinatoren agieren als lokale Ansprechpersonen für die Umsetzung der Datenschutzagenden. Sie nehmen die Schnittstellenfunktion zum zentralen Datenschutzteam wahr, sind in regelmäßigem Austausch mit dem zentralen Team und tragen die sich daraus ergebenden Themen und Tätigkeiten in die jeweilige Organisationseinheit hinein. Des Weiteren können sie als erste Anlaufstelle für die lokale Belegschaft aller Bereiche, die die DSGVO betreffen, agieren.
