• +49 228 / 95 50 150

Datenschutzberatung: So werden Projekte datenschutzkonform umgesetzt

Urheber: fizkes | Adobe Stock

Parallel zum normalen Tagesgeschäft ist in vielen Unternehmen eine Vielzahl von Projekten zu stemmen. Die Herausforderung: die Projekte erfolgreich zum Abschluss führen – und den Datenschutz immer mit an Bord haben. So schaffen Sie das in fünf Schritten!

Definition: Projekte

Projekte kennzeichnen sich durch ihre Einmaligkeit. Das heißt, die verbundenen Aufgaben werden nicht zyklisch ausgeführt, sondern sind auf einen bestimmten Zeitraum begrenzt – es gibt einen terminierten Projektstart und einen Projektabschluss. Außerdem haben Projekte ein klar definiertes und damit messbares Ziel – zumindest im klassischen Projektmanagement.

Anders ist das bei modernen Methoden wie z. B. beim agilen Projektmanagement. Dieses Prinzip hat seinen Ursprung in der Softwareentwicklung und wird gekennzeichnet durch eine hohe Flexibilität, „kurze Sprints“ und Zwischenprodukte, die je nach Kundenfeedback immer weiter optimiert werden. Durch den zunehmenden Innovationsdruck setzen mittlerweile auch viele andere Branchen auf diese agile Projektmanagement-Methode.

5 Schritte zur datenschutzkonformen Umsetzung von Projekten

Bringen Sie sich ein Trotz unterschiedlicher Projektmanagement-Methoden bleibt eines meistens gleich: Ein interdisziplinäres Team bearbeitet ein Projekt. Dieses Team ist typischerweise bereichs- und hierarchieübergreifend zusammengesetzt.

Kommen in einem Projekt personenbezogene Daten ins Spiel, sind Sie als Datenschutzbeauftragter gefragt, Ihr Know-how mit einzubringen und das Projekt zu beraten und zu begleiten. Neben Ihrer Fachkompetenz kommt es für das erfolgreiche Umsetzen des Datenschutzes in diesem Projekt vor allem darauf an, welche Rolle Sie in diesem „bunten Haufen“ des Projektteams einnehmen.

Schritt 1: Seien Sie sich Ihrer Aufgaben als Datenschutzbeauftragter in einem Projekt bewusst

Um erfolgreich ein Projekt beim Thema Datenschutz zu unterstützen und zu beraten, machen Sie sich als Erstes Ihrer Rolle bewusst: Auch wenn Sie im selben Unternehmen wie das restliche Projektteam arbeiten und Kollegen sind – als Berater zum Datenschutz empfinden Sie die anderen Teammitglieder unter Umständen als jemand von „außen“, der kontrollieren und dem Projekt mit umständlichen und teuren Datenschutzmaßnahmen Steine in den Weg legen will.

Um diesem Vorurteil entgegenzuwirken, versetzen Sie sich immer in die Lage Ihres Gegenübers. Und dafür gilt: Hören Sie aufmerksam zu. Seien Sie ehrlich interessiert. Und denken Sie immer daran: Es ist nicht Ihre Aufgabe, Dinge anzuweisen oder zu entscheiden.

Die Verantwortung für das Projekt trägt immer das Projektteam. Sie sind dafür da, mit Ihrer Fachkompetenz dabei zu helfen, Datenschutzrisiken zu erkennen sowie bei der Entscheidungsfindung, bei der Planung, Steuerung und Evaluation der Umsetzung geeigneter Datenschutzmaßnahmen zu unterstützen.

Schritt 2: Stellen Sie sich dem Projekt-Team persönlich vor

Der technologische Fortschritt hat unsere Art zu kommunizieren stark verändert. Mittlerweile findet die Kommunikation vorwiegend per E-Mail oder Instant-Messaging statt. Der persönliche Kontakt tritt immer mehr in den Hintergrund.

Doch wir Menschen sind und bleiben analoge Wesen. Deshalb macht es nach wie vor einen großen Unterschied, ob Sie einen Kollegen persönlich treffen und mit ihm sprechen oder ob Sie nur per E-Mail mit ihm kommunizieren. Gerade wenn Sie mit Kollegen zusammenarbeiten, die Sie vielleicht gar nicht oder nur flüchtig kennen, sollten Sie dazu anregen, sich in einem Termin als Datenschutzbeauftragter dem restlichen Team persönlich vorzustellen.

Tipp: Persönlich ist besser

Ihr persönlicher Kontakt mit dem Team signalisiert, dass Sie nicht versuchen, sich hinter Ihrem Schreibtisch und hinter Paragrafen zum Datenschutz zu verstecken. Sie zeigen, dass Sie Wert auf eine offene Kommunikation legen, und bauen Nähe auf, die Vertrauen schafft. Und Vertrauen ist die Basis dafür, dass das Team Sie nicht als Störfaktor, sondern als Teil des Projektteams empfindet. Das wiederum ist die wichtigste Voraussetzung dafür, dass Sie eingebunden werden und Ihre Beratung auf offene Ohren trifft und ernst genommen wird.

Schritt 3: Beraten Sie, indem Sie Fragen stellen

Ihre Rolle als Datenschutzbeauftragter hat immer mehrere Facetten: Sie sind zwar auf der einen Seite in gewisser Weise Teil des Teams, bleiben aber gleichzeitig immer derjenige, der mit unverstelltem Blick auf die Prozessabläufe schaut, datenschutzrechtlich bewertet und berät. Dabei ist Ihre Hauptaufgabe als Berater, Fragen zu stellen.

Deshalb: Bringen Sie sich in die Prozesse aktiv ein und scheuen Sie nicht davor zurück, mit gezielten und manchmal unbequemen Fragen den Finger immer wieder in die Wunde zu legen.

Praxis-Beispiel IT-Projekt: Kommen bei Tests Echtdaten zum Einsatz?

Bei der Entwicklung von IT-Lösungen muss zur Qualitätssicherung die Software im Verlauf des Projekts immer wieder auf Fehler getestet werden. Als Datenschutzbeauftragter legen Sie genau hier Ihre Lupe an und fragen nach:

  • Welche Daten kommen bei diesen Tests zum Einsatz?
  • Handelt es sich um Echtdaten, das heißt personenbezogene Daten realer Personen?

Wenn ja, dann ist deren Verwendung grundsätzlich unzulässig. Für die Verwendung von Echtdaten zu Testzwecken liegt in den meisten Fällen keine Rechtsgrundlage vor. Grundsätzlich sind für Tests ausschließlich Testdaten zu verwenden. Das sind Daten, die keinen Bezug zu einer tatsächlich existierenden Person aufweisen.

Testdaten lassen sich mit professionellen Tools oder durch Datenmaskierung (Data Masking) erstellen, indem identifizierbare Merkmale in der Datenbasis verfremdet werden.

Als Faustregel gilt hier: je kreativer die Verfremdung, desto sicherer. Um jegliche Risiken auszuschließen, sollten fiktive Testdaten verwendet werden. Das sind Daten, die völlig frei erfunden sind und damit nicht den Datenschutzregelungen unterliegen.

Schritt 4: Sammeln Sie Informationen rund um das Projekt

Um zielgerichtet und kompetent beraten zu können, brauchen Sie vor allem eines: Informationen. Jedes Detail zählt und kann Aufschluss darüber geben, an welchen Stellen ein Risiko für den Schutz personenbezogener Daten bestehen könnte. Deshalb stellen Sie nicht nur Fragen, sondern bitten Sie das Team um alle Dokumente und Unterlagen, die das Projekt betreffen. Planen Sie genügend Zeit ein, um die Unterlagen durchzuarbeiten. Und vergessen Sie nicht, den Verantwortlichen zu verdeutlichen: Sie brauchen nicht nur zum Auftakt des Projekts umfassende Informationen. Um beraten zu können, müssen Sie durch die Verantwortlichen immer über den neuesten Stand der Dinge des Projekts und die Fortschritte auf dem Laufenden gehalten werden.

Tipp: Bleiben Sie immer up to date

Es gibt unterschiedliche Möglichkeiten, um Sie auf dem Laufenden zu halten. Je nach Projekt und der gewählten Projektmanagement-Methode könnten Sie z. B. an sogenannten Stand-up-Meetings teilnehmen. Das sind kurze persönliche Termine, die im Verlaufe des Projekts regelmäßig und in kurzen Zeitabständen stattfinden. Hier tauscht sich das Team darüber aus, welche Aufgaben es bereits abgeschlossen hat, welche Hindernisse aufgetaucht und welche Aufgaben bis zum nächsten Termin zu erledigen sind. Alternativ setzt das Team Sie regelmäßig per E-Mail über den Fortschritt des Projekts in Kenntnis.

Schritt 5: Schlagen Sie ein Informationsgespräch zum Thema Datenschutz vor

Haben Sie sich einen ersten, tiefer gehenden Überblick darüber verschafft, wie sich das Projekt gestaltet und an welchen Stellen womöglich Datenschutzrisiken lauern, gehen Sie auf die Teamleitung zu. Schlagen Sie vor, einen Termin zum Thema Datenschutz mit allen Teammitgliedern zu vereinbaren. Ziel der Veranstaltung ist, über alle für das Projekt relevanten Datenschutzaspekte aufzuklären und das Team für Risiken zu sensibilisieren.

Und auch hier hat ein persönlicher Termin mehrere Vorteile: Sie bekommen ein Gefühl dafür, wie es um den Kenntnisstand im Team zum Thema Datenschutz steht. Zum anderen geben Sie in einem Gespräch den Teammitgliedern die Möglichkeit, direkt Fragen zu stellen. So können Sie Unsicherheiten im Dialog unmittelbar beseitigen. Und Sie stellen sicher, dass sich alle Teammitglieder auf demselben Wissensstand befinden.

Tipp: Auf den Namen kommt es an

Nennen Sie den Termin bewusst „Informationsgespräch zum Datenschutz“ und nicht „Datenschutzschulung“. Ansonsten klingt die Veranstaltung zu sehr nach Unterricht: Sie als Datenschutzexperte sind der Lehrer, der seine Schüler – das Team – belehrt. Ein „Informationsgespräch“ zeigt auf: Es geht um einen Dialog und einen Austausch auf Augenhöhe.