Vorüberlegungen bei der Umsetzung von Projekten

Organisatorisch

Folgende Fragen sollten auf Organisationsebene geklärt werden: 

• Gibt es in Ihrer Organisation Richtlinien und Regelungen in Bezug auf den Umgang mit personenbezogenen Daten? 
• Gibt es in Ihrer Organisation ein Verarbeitungsverzeichnis, das die Verarbeitung von personenbezogenen Daten im Rahmen der Durchführung von Projekten dokumentiert?
• Wurden die eingesetzten Dienstleister (z.B. Softwareanbieter) seitens der Organisation datenschutzrechtlich geprüft und existieren AV-Verträge mit den Dienstleistern, die als Auftragsdatenverarbeiter identifiziert wurden?

Wenn Sie die oben genannten Fragen nicht beantworten können, sprechen Sie das Thema in Ihrer Organisation an. Adressieren Sie das Thema ggf. bei den Verantwortlichen.  

Grundlegende Regelungen in der Projektdurchführung

Folgende Fragen sollten auf Projektebene geklärt werden: 

Partnermanagement

In der Regel arbeiten Sie mit Ihren Projektpartnern gemeinsam an dem Projekt. In diesem Falle sind Ihre Projektpartner keine Auftragsverarbeiter im klassischen Sinne. Sie sollten trotzdem in Verträgen mit Ihren Partnern die Einhaltung des Datenschutzes festhalten. 

Haben alle Projektpartner ihren Sitz in der EU? Wenn nicht, sollten Sie mit den Projektpartnern, die selbst nicht in der EU ansässig sind, zusätzliche vertragliche Regelungen bezüglich der Verarbeitung von personenbezogenen Daten schriftlich fixieren. 

Zusammenarbeit

Klären Sie die Kommunikationskanäle mit Ihren Projektpartnern. Legen Sie fest, welche Daten auf welchen Kanälen geteilt werden dürfen und welche nicht. 

Analysieren Sie, ob und wenn ja welche, personenbezogenen Daten im Rahmen des Projektes anfallen und machen Sie eine Risikoabschätzung bezüglich der Art der Daten. Entscheiden Sie gemeinsam mit Ihren Partnern wo welche Daten auf welche Art und Weise abgelegt werden und wer darauf Zugriff bekommt. 

Zuständigkeit

Bestimmen Sie, welcher Partner für die Sicherheit welcher Daten zuständig ist. Lassen Sie sich von diesem Partner bestätigen, dass ausreichende technisch-organisatorisch Maßnahmen zum Schutz der Daten getroffen wurden. Beispiel: Der Partner, der das System zur gemeinsamen Dokumentenablage bereitstellt, muss gewährleisten, dass die Daten dort ausreichend geschützt sind.

Sensibilisierung und Datensicherheit

Versichern Sie sich, dass den Projektbeteiligten alle grundlegenden Prinzipien des Datenschutzes bekannt sind. Gehen Sie im Zweifelsfall gemeinsam die entsprechenden Regelungen der DSGVO durch und besprechen Sie, was das für die Arbeit in Ihrem Projekt bedeutet. 

Machen Sie sich bewusst, welche Datenkategorien Sie im Rahmen des Projektes verarbeiten und treffen Sie Maßnahmen, die diese Daten angemessen schützen. Dies gilt insbesondere, wenn Sie besonders sensible Daten verarbeiten. Vereinbaren Sie dringend angemessene Regelungen bezüglich der Verarbeitung dieser Daten mit den Projektbeteiligten.

Drittanbieter

Am einfachsten ist es, wenn Sie ausschließlich Dienstleister beauftragen, die von Ihrer Organisation bereits aus datenschutzrechtlicher Sicht geprüft und klassifiziert wurden. Diese Prüfung muss für jeden neuen Dienstleister durchgeführt werden. 

Fazit 

Die Fragestellungen sind bei jedem Projekt die gleichen. Wenn Sie Ihre Bewertungen und Abläufe gut dokumentieren, können Sie dies Dokumentation als Grundlage für alle zukünftigen Projekte nutzen.