Meilenstein- und Phasenplan dient zur Wahrung des Überblicks über die notwendigen Aufgaben, Fristen und Termine in einem Projekt. Es handelt sich hier nur um eine erste Grobstrukturierung des Projektverlaufs und der erforderlichen Ressourcen.
Abbildung 3
Meilenstein- und Phasenplan
Quelle: Eigene Darstellung
3.3.2.5Stakeholder- und Risikomanagement
Im Stakeholder- und Risikomanagement findet eine Identifikation und Bewertung der Stakeholder und Risiken sowie das Planen und Umsetzen von geeigneten Maßnahmen, die einer Gefährdung des Projekterfolgs entgegenwirken, statt[127].
Bei den Stakeholdern handelt es sich um Personen oder Unternehmen, die das Projekt beeinflussen oder die an der internen Datenschutzumsetzung interessiert, beteiligt oder davon betroffen sind. Die Stakeholder können unter anderem sein: Auftragsverarbeiter, Mitarbeiter, Geschäftspartner, Behörden oder Kunden. Zu all diesen Stakeholdern sollten jeweils die Betroffenheit, die Erwartungshaltungen, der Einfluss auf das Projekt und das Konfliktpotenzial erhoben werden.
3.3.2.6Qualitätsmanagement
Im Rahmen eines Datenschutzprojekts sollte das Qualitätsmanagement einen hohen Stellenwert einnehmen, da hier die Überwachung des obersten Ziels, nämlich die konforme Umsetzung der datenschutzrechtlichen Vorgaben, sichergestellt wird.
Die Ziele im Rahmen des Qualitätsmanagements sind[128]:
+Kontrolle der Umsetzung aller datenschutzrechtlichen Vorgaben;
+Überwachung der Anforderungen;
+Minimierung der Risiken;
+Einbeziehung der Stakeholder;
+Sicherstellung des ordnungsgemäßen Übergangs in eine Regelorganisation.
3.3.2.7Dokumentation und Wissensmanagement
Ein Datenschutzprojekt unterscheidet sich von den meisten herkömmlichen Projekten dadurch, dass die meisten darin enthaltenen Ziele und Anforderungen gesetzlich vorgegeben sind. Deshalb ist im Rahmen eines Datenschutzprojekts eine detaillierte Dokumentation aufgrund der Rechenschaftspflicht nach Art 5 Abs 2 DSGVO unabdingbar. Dabei sollten alle rechtlichen, organisatorischen oder technischen Entscheidungen, alle Tätigkeiten, Stellungnahmen und Überlegungen dokumentiert werden. Diese Dokumentation sollte über die Projektlaufzeit hinaus aufbewahrt werden, da sie bei gerichtlichen Verfahren oder bei Verfahren vor der Aufsichtsbehörde als Nachweis für die Einhaltung bzw. Berücksichtigung der datenschutzrechtlichen Vorgaben dient.
!
Praxistipp:
Das dokumentierte Wissen und die darin enthaltenen Erfahrungen können entsprechend aufbereitet und für neue oder ähnliche Sachverhalte herangezogen oder anderen Mitarbeitern, beispielsweise im Rahmen von FAQ, zur Verfügung gestellt werden.
3.3.3 Tools
3.3.3.1Projektmanagementtools
Passende Projektmanagementtools können den Projektmanager und die Projektmitarbeiter bei allen Phasen des Datenschutzprojekts, vor allem aber in den Planungs- und Steuerungsphasen, unterstützen. Je größer und komplexer das Projekt ist, desto eher empfiehlt sich die Verwendung von geeigneten Tools. Das Datenschutzprojekt stellt keine speziellen Anforderungen an das Projektmanagementtool, es können daher alle gängigen Softwarelösungen verwendet werden. Unternehmen, die bereits ein Projektmanagementtool im Einsatz haben, wird grundsätzlich empfohlen, dieses auch für Datenschutzprojekte zu verwenden, da dadurch Einschulungs- und Beschaffungskosten eingespart werden können.
3.3.3.2Datenschutzmanagement-Tools
Neben den Projektmanagementtools, die den Projektablauf erleichtern, existieren auch zahlreiche Tools, die das Projektteam und anschließend die Regelorganisation bei der Umsetzung der datenschutzrechtlichen Vorgaben erheblich unterstützen können. Bei der toolunterstützten Implementierung ist zwischen Softwarelösungen zu unterscheiden, die nur einzelne Aspekte des Datenschutzes abbilden und solchen, die ein ganzes Datenschutzmanagementsystem zur Verfügung stellen. Viele bereits bestehende Softwareanbieter haben auf den Trend und Bedarf reagiert und ihr Angebot mit Datenschutz-Add-ons erweitert. Grundsätzlich müssen keine speziellen Tools angeschafft werden, da sich das Datenschutzmanagement auch mit Hilfe von herkömmlichen Office-Anwendungen abbilden lässt. Je größer das Unternehmen ist, je mehr personenbezogene Daten zu verschiedenen Zwecken verarbeitet werden, je mehr sensible personenbezogene Daten (zB „besondere Kategorien“ nach Art 9 DSGVO) verarbeitet werden und je höher die Anzahl an betroffenen Personen ist, desto eher sollte über eine toolunterstützte Lösung nachgedacht werden.
3.4 Fazit
Unabhängig von der Unternehmensgröße ist eine initiale Umsetzung der datenschutzrechtlichen Anforderungen auf Projektbasis empfehlenswert, da dadurch eine koordinierte und risikopriorisierte Abarbeitung der einzelnen Aufgabenpakete gewährleistet werden kann. Darüber hinaus können den Projektmitarbeitern, Stakeholdern und der Geschäftsführung durch die Verwendung von Meilensteinen wichtige Zeitpunkte in übersichtlicher Form kommuniziert werden.
Die Mehrzahl der Unternehmen setzte vor Inkrafttreten der DSGVO auf ein umfangreiches Datenschutzprojekt. Aufgrund der Komplexität des Datenschutzes und der guten Einteilbarkeit in Aufgabenpakete ist eine projektbasierte initiale Implementierung des Datenschutzes auch für neu gegründete Unternehmen oder für jene Unternehmen, die die Anforderungen der DSGVO nur im sehr geringfügigen Ausmaß umgesetzt haben, durchaus sinnvoll.
Spätestens bei Projektabschluss sollte die Überführung in eine Datenschutz-Regelorganisation stattfinden, damit auch zukünftig die Aufgaben, die sich aufgrund des Datenschutzes ergeben (zB Begleitung von Projekten, Beantwortung und Abarbeitung von Betroffenenanfragen), ordnungsgemäß und in der vorgesehenen Zeit abgearbeitet werden können. Denn: Datenschutz ist kein einmaliges Projekt, sondern ein immer wiederkehrender Prozess.
Eine übersichtliche Darstellung der notwendigen Aufgaben im Rahmen eines DSGVO-Umsetzungsprojekts findet sich im Anhang A.
118Im Folgenden „Projekt/e“ oder „Datenschutzprojekt/e“.
119Die Abbildung „Projektmanagementphasen und Managementaufgaben“ orientiert sich an DIN 69901 (Timinger, Modernes Projektmanagement 33).
120Timinger, Modernes Projektmanagement 63 ff.
121Timinger, Modernes Projektmanagement 78.
122Abrufbar unter: ris.bka.gv.at/Dsk/ (Stand 18.08.2019).
123Abrufbar
