agilen Elementen (beispielsweise einem Kanban-Board) profitieren. Je größer das Projektteam und je länger und komplexer das Projekt ist, desto eher kann ein solches hybrides Projektmanagement einen Mehrwert bringen.
!
Praxistipp:
Das Vorgehensmodell und die Einbindung von agilen Elementen sollte im Vorfeld des Projektes festgelegt werden, da eine Änderung während des Projektes einen erheblichen Mehraufwand verursachen kann.
3.3 Projektmanagement
Die Einteilung in Projektmanagementphasen, Managementaufgaben und Projektphasen hat sich für Datenschutzprojekte bewährt, da dadurch eine gute Übersicht und Planung der notwendigen Bereiche gewährleistet wird. Eine Anlehnung an etablierte Standards ist zu empfehlen. Als Beispiel können die nachfolgend abgebildeten Projektmanagementphasen herangezogen werden.[119]
Abbildung 1
Projektmanagementphasen und Managementaufgaben nach DIN 69901
Quelle: Timinger, Modernes Projektmanagement, 33.
3.3.1 Projektmanagementphasen
3.3.1.1Initialisierungsphase
In dieser ersten Phase eines Projektes werden alle relevanten Informationen gesammelt und anhand dieser Informationen entsprechende Ziele formuliert. Hierbei wird empfohlen, sich einen Überblick über die datenschutzrechtlichen Regelungen und die unternehmensinterne Organisations- und IT-Landschaft zu verschaffen, um die entsprechenden Anforderungen, Ressourcen, Meilensteine und Risiken korrekt erfassen zu können. Spätestens zu diesem Zeitpunkt sollte das Unternehmensziel im Hinblick auf den Datenschutz von der Geschäftsführung schriftlich vorgegeben werden.
3.3.1.2Definitionsphase
In der Definitionsphase werden alle bereits erhobenen Ideen und Überlegungen analysiert und final zusammengefasst. Die Definitionsphase dient dazu, die Ziele, die in der Initialisierungsphase formuliert wurden, zu verfeinern, zu finalisieren und zu priorisieren und anhand dieser die entsprechenden Anforderungen, Meilensteine und Phasen zu definieren[120]. Neben der Finalisierung der Projektorganisation werden in der Definitionsphase die relevanten Stakeholder und die möglichen Risiken dokumentiert.
3.3.1.3Planungsphase
Die Planungsphase bildet das Kernstück des Projektmanagements, da eine gute Planung einen signifikanten Einfluss auf den Erfolg eines Projekts hat. Während der Planungsphase hat das Projektmanagement festzulegen[121],
+was im Projekt zu erledigen ist (Projektstrukturplan),
+wann es zu erledigen ist (Terminplan),
+welche Ressourcen benötigt und wann sie eingesetzt werden (Ressourcenplan) und
+wie hoch die Kosten für die Ressourcen voraussichtlich sein werden (Kostenplan).
3.3.1.4Steuerungsphase
Die regelmäßige Kontrolle des Fortschritts der einzelnen Aufgabenpakete und die Verteilung der Aufgaben sollte wöchentlich oder – zumindest – zweiwöchentlich erfolgen. Darüber hinaus sollte der Projektmanager auch dem Auftraggeber (der Geschäftsführung) und ggf. einem eingerichteten Lenkungsausschuss regelmäßig Bericht erstatten. Je nach Projektdauer und Kritikalität sollte diese Berichterstattung (zB in Form eines Statusmeetings) alle ein bis drei Monate stattfinden. Folgende Informationen sollten dem Lenkungsausschuss bzw. Auftraggeber bereitgestellt werden:
+Welche Ausgaben wurden bereits getätigt? Werden mehr Ressourcen benötigt als geplant? Wie hoch sind die Kosten dafür? (Ressourcen- und Kostenplanung)
+Wie ist der Projektverlauf? Können die Deadlines eingehalten werden? Müssen Fristen verschoben werden? (Terminplanung)
+Gibt es aktuelle Themen, aufgrund deren eine Eskalation erforderlich ist? Projektentscheidende Probleme oder Entscheidungen sollten hier an die oberste Instanz eskaliert werden. Eskalationen sollten aufgrund der Dringlichkeit auch ad-hoc erfolgen, um den Projektplan nicht zu gefährden.
3.3.1.5Abschlussphase
In der Abschlussphase erfolgt die Abnahme des Projekts durch den Auftraggeber und die Auflösung des Projektteams. Gerade bei einem Datenschutzprojekt ist eine nachvollziehbare und vollständige Dokumentation essenziell, darum sollten alle gewonnen Erkenntnisse aufbereitet und zentral gespeichert werden („Lessons-Learned“). Der letzte Akt in einem Datenschutzprojekt ist die Überführung in eine Datenschutz-Regelorganisation, um auch die zukünftige und dauerhafte Datenschutzkonformität gewährleisten zu können.
3.3.2 Managementaufgaben
3.3.2.1Ziele definieren
Das oberste Ziel eines Datenschutzprojekts ist der rechtskonforme Umgang mit personenbezogenen Daten innerhalb des Unternehmens. Bei einem Unternehmen mit Sitz innerhalb der EU können zur Zieldefinition die gesetzlichen Vorgaben (wie die DSGVO und nationale Datenschutzgesetze), die Entscheidungen und Leitlinien von Aufsichtsbehörde[122], die EuGH-Urteile[123], die Leitlinien des Europäischen Datenschutzausschuss[124] oder die allgemeinen Unternehmensziele des jeweiligen Unternehmens herangezogen werden. Anhand der definierten Ziele wird festgelegt, ob dem Unternehmen das gesetzlich vorgegebene Mindestmaß an Datenschutz ausreicht oder ob dieses übertroffen werden soll. Inwieweit ein höherer Schutz als gesetzlich vorgegeben sinnvoll ist, hängt vom Unternehmen, der Branche und der zukünftigen Ausrichtung ab.
!
Praxistipp:
Die Etablierung eines sehr hohen Datenschutzniveaus erlaubt es beispielsweise, sich von Wettbewerbern abzuheben, bestehende Prozesse effizienter zu gestalten oder neue Geschäftszweige zu eröffnen.
Bei jedem Projekt, so auch bei einem Datenschutzprojekt, sollte beachtet werden, dass die definierten Ziele die sogenannten SMART-Kriterien erfüllen:
+Specific (spezifisch): eindeutige Definition der Ziele;
+Measurable (messbar): Messbarkeit der Ziele (Reifegrad/Umsetzungsgrad);
+Attractive (attraktiv): Attraktivität der Ziele;
+Realistic (realistisch): Realisierbarkeit und Erreichbarkeit der Ziele;
+Timely (terminiert): Planbarkeit der Ziele (Fixierung eines Datums).
Beispielsweise macht die systemübergreifende Einführung eines automatisierten Löschkonzepts bei einem größeren Produktionsunternehmen, in dem kaum personenbezogene Daten verarbeitet werden, weniger Sinn, da der Aufwand den Mehrwert hier deutlich übersteigen wird. Die Projektziele sollten mit den Unternehmenszielen im Einklang stehen und keinen Konflikt hervorrufen. Die Projektziele sollten klar formuliert und verschriftlicht werden.
!
Praxistipp:
Es kann durchaus
