Название | Datenschutz für Unternehmen |
---|---|
Автор произведения | Ricarda Kreindl, |
Жанр | Юриспруденция, право |
Серия | |
Издательство | Юриспруденция, право |
Год выпуска | 0 |
isbn | 9783854023791 |
Abbildung 1
Projektmanagementphasen und Managementaufgaben nach DIN 69901
Quelle: Timinger, Modernes Projektmanagement, 33.
3.3.1 Projektmanagementphasen
3.3.1.1Initialisierungsphase
In dieser ersten Phase eines Projektes werden alle relevanten Informationen gesammelt und anhand dieser Informationen entsprechende Ziele formuliert. Hierbei wird empfohlen, sich einen Überblick über die datenschutzrechtlichen Regelungen und die unternehmensinterne Organisations- und IT-Landschaft zu verschaffen, um die entsprechenden Anforderungen, Ressourcen, Meilensteine und Risiken korrekt erfassen zu können. Spätestens zu diesem Zeitpunkt sollte das Unternehmensziel im Hinblick auf den Datenschutz von der Geschäftsführung schriftlich vorgegeben werden.
3.3.1.2Definitionsphase
In der Definitionsphase werden alle bereits erhobenen Ideen und Überlegungen analysiert und final zusammengefasst. Die Definitionsphase dient dazu, die Ziele, die in der Initialisierungsphase formuliert wurden, zu verfeinern, zu finalisieren und zu priorisieren und anhand dieser die entsprechenden Anforderungen, Meilensteine und Phasen zu definieren[120]. Neben der Finalisierung der Projektorganisation werden in der Definitionsphase die relevanten Stakeholder und die möglichen Risiken dokumentiert.
3.3.1.3Planungsphase
Die Planungsphase bildet das Kernstück des Projektmanagements, da eine gute Planung einen signifikanten Einfluss auf den Erfolg eines Projekts hat. Während der Planungsphase hat das Projektmanagement festzulegen[121],
+was im Projekt zu erledigen ist (Projektstrukturplan),
+wann es zu erledigen ist (Terminplan),
+welche Ressourcen benötigt und wann sie eingesetzt werden (Ressourcenplan) und
+wie hoch die Kosten für die Ressourcen voraussichtlich sein werden (Kostenplan).
3.3.1.4Steuerungsphase
Die regelmäßige Kontrolle des Fortschritts der einzelnen Aufgabenpakete und die Verteilung der Aufgaben sollte wöchentlich oder – zumindest – zweiwöchentlich erfolgen. Darüber hinaus sollte der Projektmanager auch dem Auftraggeber (der Geschäftsführung) und ggf. einem eingerichteten Lenkungsausschuss regelmäßig Bericht erstatten. Je nach Projektdauer und Kritikalität sollte diese Berichterstattung (zB in Form eines Statusmeetings) alle ein bis drei Monate stattfinden. Folgende Informationen sollten dem Lenkungsausschuss bzw. Auftraggeber bereitgestellt werden:
+Welche Ausgaben wurden bereits getätigt? Werden mehr Ressourcen benötigt als geplant? Wie hoch sind die Kosten dafür? (Ressourcen- und Kostenplanung)
+Wie ist der Projektverlauf? Können die Deadlines eingehalten werden? Müssen Fristen verschoben werden? (Terminplanung)
+Gibt es aktuelle Themen, aufgrund deren eine Eskalation erforderlich ist? Projektentscheidende Probleme oder Entscheidungen sollten hier an die oberste Instanz eskaliert werden. Eskalationen sollten aufgrund der Dringlichkeit auch ad-hoc erfolgen, um den Projektplan nicht zu gefährden.
3.3.1.5Abschlussphase
In der Abschlussphase erfolgt die Abnahme des Projekts durch den Auftraggeber und die Auflösung des Projektteams. Gerade bei einem Datenschutzprojekt ist eine nachvollziehbare und vollständige Dokumentation essenziell, darum sollten alle gewonnen Erkenntnisse aufbereitet und zentral gespeichert werden („Lessons-Learned“). Der letzte Akt in einem Datenschutzprojekt ist die Überführung in eine Datenschutz-Regelorganisation, um auch die zukünftige und dauerhafte Datenschutzkonformität gewährleisten zu können.
3.3.2 Managementaufgaben
3.3.2.1Ziele definieren
Das oberste Ziel eines Datenschutzprojekts ist der rechtskonforme Umgang mit personenbezogenen Daten innerhalb des Unternehmens. Bei einem Unternehmen mit Sitz innerhalb der EU können zur Zieldefinition die gesetzlichen Vorgaben (wie die DSGVO und nationale Datenschutzgesetze), die Entscheidungen und Leitlinien von Aufsichtsbehörde[122], die EuGH-Urteile[123], die Leitlinien des Europäischen Datenschutzausschuss[124] oder die allgemeinen Unternehmensziele des jeweiligen Unternehmens herangezogen werden. Anhand der definierten Ziele wird festgelegt, ob dem Unternehmen das gesetzlich vorgegebene Mindestmaß an Datenschutz ausreicht oder ob dieses übertroffen werden soll. Inwieweit ein höherer Schutz als gesetzlich vorgegeben sinnvoll ist, hängt vom Unternehmen, der Branche und der zukünftigen Ausrichtung ab.
!
Praxistipp:
Die Etablierung eines sehr hohen Datenschutzniveaus erlaubt es beispielsweise, sich von Wettbewerbern abzuheben, bestehende Prozesse effizienter zu gestalten oder neue Geschäftszweige zu eröffnen.
Bei jedem Projekt, so auch bei einem Datenschutzprojekt, sollte beachtet werden, dass die definierten Ziele die sogenannten SMART-Kriterien erfüllen:
+Specific (spezifisch): eindeutige Definition der Ziele;
+Measurable (messbar): Messbarkeit der Ziele (Reifegrad/Umsetzungsgrad);
+Attractive (attraktiv): Attraktivität der Ziele;
+Realistic (realistisch): Realisierbarkeit und Erreichbarkeit der Ziele;
+Timely (terminiert): Planbarkeit der Ziele (Fixierung eines Datums).
Beispielsweise macht die systemübergreifende Einführung eines automatisierten Löschkonzepts bei einem größeren Produktionsunternehmen, in dem kaum personenbezogene Daten verarbeitet werden, weniger Sinn, da der Aufwand den Mehrwert hier deutlich übersteigen wird. Die Projektziele sollten mit den Unternehmenszielen im Einklang stehen und keinen Konflikt hervorrufen. Die Projektziele sollten klar formuliert und verschriftlicht werden.
!
Praxistipp:
Es kann durchaus vorkommen, dass formulierte Projektziele nicht immer alle SMART-Kriterien erfüllen. Beispielsweise sind Projektziele, die auf gesetzlichen Vorgaben beruhen, oftmals unattraktiv. Ein fehlendes Kriterium bedeutet jedoch nicht, dass das Projektziel nicht umgesetzt werden muss. Ganz im Gegenteil: Die Nichtumsetzung kann einen Verstoß gegen gesetzliche Vorgaben bedeuten.
3.3.2.2Anforderungsmanagement
Anforderungen sind Bedingungen, die für die Erreichung der Projektziele einzuhalten sind. Sie leiten sich aus den zuvor definierten Projektzielen ab. Die Anforderungen können auch auf Systeme bezogen werden. Beispielsweise kann die Zurverfügungstellung einer Funktion zur vollständigen Löschung von personenbezogenen Daten eine Anforderung für Systeme sein. Die Anforderungen sollten nicht nur in das Lasten- bzw. Pflichtenheft[125] einfließen, sondern auch in einer generellen Richtlinie bzw. Checkliste verschriftlicht werden, damit sie auch bei neuen Verarbeitungstätigkeiten oder Systemen eingehalten werden. Die SMART-Kriterien sollten auch hier berücksichtigt werden.[126]
3.3.2.3Projektorganisation festlegen
Aufgrund der hohen Wichtigkeit eines initialen Datenschutzprojekts ist eine fachliche Weisungsbefugnis des Projektmanagers unumgänglich. Eine Matrix-Projektorganisation ist daher in den meisten Unternehmen die sinnvollste Variante. Sofern eine Datenschutzabteilung existiert, sollte dort die zentrale Projektsteuerung stattfinden.
!