Datenschutz im Projekt

Die Durchführung von verschiedensten Projekten gehört zum Alltag bei vielen Unternehmen. Die Umsetzung von diesen erfordert die Zusammenarbeit von verschiedensten Bereichen und Personen. Meistens sind dabei drei Gruppen beteiligt: Die operative Gruppe (z. B. IT), die steuernde Gruppe (Projektmanagement) und das Management (z. B. Geschäftsleitung). Leider ist dabei der Datenschutzbeauftragte oder sein Vertreter selten mit involviert und wird nicht von Anfang an mit hinzugenommen. Dadurch kann es zu Komplikationen im Projekt kommen, welche vermeidbar gewesen wären. In diesem Beitrag wird dieser Punkt genauer betrachtet. Dargestellt wird dabei, warum der Datenschutz bereits in der Planungsphase mit hinzugezogen werden sollte. In diesem Fall wird nicht betrachtet, wie der Datenschutz im Rahmen des Projektes eingehalten wird.

Projekt und Datenschutz – Wieso?

Nun stellt man sich die Frage, warum der Datenschutz mit zum Projekt gehört. In diesem Abschnitt wird auf die organisatorische Thematik eingegangen und im folgenden Abschnitt auf die rechtliche. Aus einer reinen organisatorischen Sicht ist der Datenschutz (vertreten durch den Datenschutzbeauftragten) ein wichtiger Stakeholder des Projektes, da es unter anderem zu dessen Aufgaben gehört, die Einhaltung der datenschutzrechtlichen Vorgaben zu überwachen. Da die Einhaltung des Datenschutzes im Interesse des Verantwortlichen, in der Regel die Geschäftsführung, liegt, richten sich die Entscheidungen oft anhand der Empfehlung des DSB aus. Wird dieser daher nicht rechtzeitig ins Projekt eingebunden und kann daher erst verspätet eine Einschätzung abgeben, kann dies zu verschiedenen Ergebnissen führen.

So kommt es im mildesten Fall zu keiner Beanstandung durch den Datenschutz und die Dokumentation wird nachgereicht. Es kann jedoch auch zu notwendigen Changes am Projekt kommen, welche Kosten verursachen oder es kann zu einer notwendigen (Teil-)Rückabwicklung des Projektes kommen, da dieses datenschutzrechtlich nicht konform umsetzbar ist. Im schlimmsten Fall führt die nicht erfolgte Einbindung des Datenschutzes zu einem Datenschutzverstoß, welcher Sanktionen der Aufsichtsbehörde zur Folge hat. Dies kann z. B. der Fall sein, wenn ein neu eingeführtes Tool nicht datenschutzrechtlich korrekt genutzt werden kann oder wenn eine notwendige DSFA nicht durchgeführt wird. Beschweren sich dann Betroffene oder die Aufsichtsbehörde prüft das Unternehmen, führt dies zu empfindlichen Strafen für das Unternehmen und zu einem hohen Aufwand, um dies zu korrigieren. Kurz zusammengefasst lässt sich sagen, dass die unterlassene Einbindung zu finanziellen Schäden führen kann.

Gesetzliche Grundlagen – Bedeutung für das Projekt

Betrachtet man die DSGVO, so kommen mehrere Artikel in Frage, welche folgern lassen, dass eine Einbindung des Datenschutzes in das Projekt unabdingbar ist. So besagt Art. 38 Abs. 1 DSGVO, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz von personenbezogenen Daten zusammenhängenden Fragen eingebunden wird. Dies lässt sich auch so interpretieren, dass dieser immer mit eingebunden werden muss, wenn es um die neue oder geänderte Verarbeitung von personenbezogenen Daten geht bzw. um Projekte, welche eine Verarbeitung einführen. Jedoch gibt es auch noch den Art. 25 DSGVO, welcher definiert, dass es Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen geben soll bzw. muss. Dabei ist jedoch die Frage, ob dies ohne die Unterstützung eines Experten im Datenschutz sinnvoll im Projekt durchgeführt werden kann. Daher kann auch hierbei geschlussfolgert werden, dass die Unterstützung im Bereich Datenschutz notwendig ist.

Neben diesen beiden Punkten kommen auch noch die allgemeinen Dokumentationspflichten zu tragen, welche fordern, dass z. B. ein Verarbeitungsverzeichnis geführt wird. Kommt es im Rahmen des Projekts zu einer datenschutzrechtlichen Notwendigkeit der Durchführung einer DSFA, so ist diese vor Beginn der Verarbeitung durchzuführen.

Es lassen sich im Einzelfall noch andere Artikel und Gesetze finden, welche von Interesse sind. Jedoch ist dies an dieser Stelle nur ein Beispiel, welches den organisatorischen Hintergrund erweitert.

Fazit

Wie zu sehen ist, sollte das Thema Datenschutz frühzeitig in Projekten berücksichtigt werden und diese im Optimalfall aus einer datenschutzrechtlichen Sicht begleitet werden. Ist dies nicht der Fall, kann es zu kostenintensiven Changes im Projekt oder im schlimmsten Fall zu einer Rückabwicklung des Projektes führen. Der interne Ansprechpartner ist in diesem Fall der Datenschutzbeauftragte, welcher sich durch Datenschutzkoordinatoren oder externen Consultants unterstützten lassen kann. Weitere Informationen erhalten Sie auf unserer Datenschutz-Seite: Datenschutz Beratung

 

Disclaimer: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unserer Blogbeiträge übernehmen wir keine Gewähr. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

Können wir Ihnen helfen?

Können wir Ihnen helfen?

Wir helfen Ihnen gerne! Schreiben Sie uns an info@rewion.com oder buchen Sie einen Termin mit unseren Experten.
Nico Ziegler
Termin vereinbaren

Beitrag teilen:

Mehr Informationen, einen Austausch oder konkrete Unterstützung im Projekt?

Anfrage senden

Weitere interessante Beiträge

Frau angestrahlt mit Code als Verweis auf Social Engineering und Promts bei Nutzung von KI
KI-Anwendungen: Prompts als Gefahren für den Datenschutz
Datenschutzkonformität und DSGVO für Microsoft Copilot und Microsoft 365 Copilot
Datenschutzkonformität und DSGVO für Microsoft Copilot und Microsoft 365 Copilot
Investition oder Kostenfaktor? Was ist der Datenschutz für das Unternehmen
Datenschutz – Kostenfaktor oder Investition?
Datenschutz im Homeoffice
Datenschutz im Homeoffice: Sichere Arbeit von Zuhause aus
Nach oben scrollen