Datenschutz für Unternehmen

2.8 Gesamtschuldnerschaft

Art 82 Abs 4 DSGVO normiert die gesamtschuldnerische Haftung von mehreren Verantwortlichen vice versa Auftragsverarbeitern derselben Verarbeitung, wenn sie an diesen beteiligt waren. Der Gesetzgeber gießt in diesem Zusammenhang, was eher ungewöhnlich ist, den Zweck der Haftungsbestimmung auch gleich in Gesetzestext: „Damit ein wirksamer Schadenersatz für die betroffene Person sichergestellt ist“. Die Gesamtschuld iSd Art 82 Abs 4 DSGVO folgt nicht den §§ 891 ff ABGB statuierten Grundsätzen. Womit – auch unter Berücksichtigung des unklaren Wesensgehaltes der Rechtsnatur der Haftung nach Art 82 Abs 1 DSGVO – Probleme vorgezeichnet sind:

Begreift man Art 82 DSGVO als Gefährdungshaftung und übernimmt ungefiltert den haftungsbegründenden Umstand („Verstoß gegen die Verordnung“), ist man – sofern eine weite Auslegung des Begriffs des „Verantwortlichen“ erfolgt – sehr schnell bei einer Gesamtschuld angelangt. Die Crux an diesem gesamtschuldnerischen Haftungskonzept liegt auch darin begründet, dass eine „Beteiligung“ an „derselben Verarbeitung“, was oft der Fall sein wird, haftungsbegründend wirken soll.

Im Ergebnis werden sich somit auch Verantwortliche, die klare Zuständigkeiten und Verantwortlichkeiten definieren, um sich rechtmäßig zu verhalten, nicht von dem Beteiligungserfordernis entkoppeln können. Allerdings steht auch die gesamtschuldnerische Haftung nach Art 82 Abs 4 DSGVO unter dem Vorbehalt des Art 82 Abs 3 DSGVO, sodass im Falle einer entsprechenden Nachweisführung die Haftung des betroffenen Verantwortlichen (als Gesamtschuldner) ausgeschlossen ist.

2.9 Fazit

Die Haftung aufgrund von Datenschutzverletzungen gemäß Art 82 DSGVO ist leider in wesentlichen Aspekten auslegungsbedürftig und folglich in ihrer praktischen Anwendung mit Risiken für die Rechtsunterworfenen behaftet.

Die in Österreich vorherrschende Zurückhaltung, was den Ersatz immaterieller Schäden betrifft, wird sich jedenfalls im Anwendungsbereich des Art 82 DSGVO nicht aufrechterhalten lassen.

Art 82 DSGVO lässt die Wertung zu, dass ein Verantwortlicher einer rechtswidrigen Datenverarbeitung haftet, wenn er sich nicht durch den Nachweis der Einhaltung jeder Sorgfalt freibeweist. Das liefe auf eine Verschuldenshaftung mit der Möglichkeit eines Freibeweises hinaus, was zugleich eine interessensgerechte Lösungsmöglichkeit für die Fallkonstellation der Haftung mehrerer Verantwortlicher mit sich bringen dürfte. Unter der Annahme, dass Art 82 DSGVO eine Gefährdungshaftung statuiert, erscheint das fraglich.

67 politico.com/story/2019/05/25/how-silicon-valley-gamed-the-worlds-toughest-privacy-rules-1466148

68Zurückgehend auf Feuerbach, Lehrbuch des geltenden Peinlichen Rechts § 24, 20.

69Art 82 Abs 1 DSGVO.

70§ 33 Abs 1 DSG: „Ein Auftraggeber oder Dienstleister, der Daten schuldhaft entgegen den Bestimmungen dieses Bundesgesetzes verwendet, hat dem Betroffenen den erlittenen Schaden nach den allgemeinen Bestimmungen des bürgerlichen Rechts zu ersetzen.“

71vgl. auch § 8 MedienG.

72vgl. Art 4 Z 1 DSGVO.

73Hierzu auch Zankl, ecolex 2017, 1150.

74Insofern ist es sehr kritisch zu sehen, wenn dem Schadenersatzrecht mitunter auch eine präventive Wirkung zugewiesen wird. In diesem Sinne Schweiger in Knyrim, DatKomm, Art 82 Rz 12 (Stand 1.12.2018., rdb.at) unter Verweis auf § 1292 Abs 2 ABGB des Reformentwurfes zum österreichischen Schadenersatzrecht. Auch der EuGH weist – ­leider – eine dahingehende Tendenz auf, vgl. beispielsweise EuGH 17. 12. 2015 – C-407/14.

75EuGH, insbesondere 17. 12. 2015, C-407/14 (betr Art 6 Abs 2 RL 76/207/EWG idF der RL 2002/73/EG und Art 18, 25 RL 2006/54/EG).

76vgl. § 1311 ABGB.

77Siehe ErwGr 146 DSGVO.

78Siehe Kapitel 2.6.

79Piltz in Gola, DSGVO2 Art 82 Rz 10; Kreße in Sydow, DSGVO² Art 82 Rz 9 ff. Jedenfalls für den Ausschluss juristischer Personen auch Krätschmer/Bauswein in Wybitul, EU-DSGVO, Art 82 Rz 12 ff.

80Feldmann in Gierschmann/Schlender/Stentzel/Veil, DSGVO, Art 82 Rz 4.

81Bergt in Kühling/Buchner, DSGVO/BDSG² Art 82 Rz 13 ff.

82Bergt in Kühling/Buchner, DSGVO/BDSG² Art 82 Rz 13 ff.

83vgl. Art 4 Z 1 DSGVO.

84Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 7.

85Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 7.

86vgl. auch Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 7.

87Schweiger in Knyrim, DatKomm, Art 82 Rz 61 (Stand 1.10.2018, rdb.at).

88ErwGr 146 DSGVO (S 6: „[…] vollständiger und wirksamer Schadensersatz […]“).

89ErwGr 75 DSGVO.

90Im Kontext der §§ 1323 ff ABGB gesehen, wären auch Beseitigungs- und Unterlassungsansprüche denkbar.

91Koziol, Österreichisches Haftpflichtrecht I Rz 2/17.

92Verdienstentgang stellt einen positiven Schaden dar (statt vieler RS0081773).

93vgl. § 1331 ABGB: Ersatz des entgangenen Gewinns nur bei Vorsatz bzw. grober Fahrlässigkeit.

94Ebenso: Schweiger in Knyrim, DatKomm, Art 82 Rz 18 (Stand 1.10.2018, rdb.at).

95Schweiger in Knyrim, DatKomm, Art 82 Rz 24 (Stand 1.10.2018, rdb.at).

96Siehe EuGH 12. 3. 2002, C-168/00, Leitner/TUI Deutschland GmbH & Co. KG.

97In diese Richtung aber Schweiger in Knyrim, DatKomm, Art 82 Rz 24 (Stand 1.10.2018, rdb.at).

98OGH 6 Ob 231/08 RdW 2009, 837; sa OLG Dresden, 4 U 760/19.

99ErwGr 146 DSGVO.

100OLG Dresden, 4 U 760/19.

101ErwGr 34 Pauschalreise-RL.

102Art 14 Abs 2 Geschäftsgeheimnis-RL.

103EU-VO Nr 261/2004 (Fluggastrechteverordnung). Sa die Rspr des EuGH 22. 4. 1997, C-180/95, Draempaehl (Diskriminierung).

104Sowohl die Reichweite der Verarbeitung als auch der jeweilige Empfängerkreis wären in diesem Zusammenhang wertungsrelevant.

105vgl. § 1298 ABGB.

106Zankl, ecolex 2017, 1151.

107Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 15 unter Verweis auf Albrecht/Jotzo, Datenschutzrecht, Rz 22.

108Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 15.

109Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 15.

110Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 15.

111Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 15 unter Verweis auf Simitis in Simitis, BDSG aF8 § 7 Rz 24 f.

112Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 15; Bergt in Kühling/Buchner, DSGVO/BDSG² Art 82 Rz 54.

113Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 15.

114Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 7.

115vgl. Art 5 Abs 2 DSGVO.

116Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 12.

117Spindler, DB 2016, 937 (947); Frenzel in Paal/Pauly, DSGVO BDSG2 Art 82 Rz 12.

3 Projektmanagement im Datenschutz

Stefan Mösenbichler, Jürgen Hutsteiner

3 Projektmanagement im Datenschutz
3.1 Herausforderungen

Einige Unternehmen mussten einen enormen Aufwand erbringen, um mit Inkrafttreten der DSGVO rechtskonform personenbezogene Daten zu verarbeiten. In so manchem Unternehmen sind die darauf gerichteten Umsetzungsprojekte[118], obwohl die DSGVO bereits wirksam ist, noch nicht abgeschlossen. Einer der Gründe dafür ist die enorme Komplexität, mit der die Unternehmen konfrontiert sind. Datenschutz ist kein isoliertes Rechts-, IT- oder Organisationsthema. Um datenschutzkonform zu agieren, müssen alle drei Gebiete – Recht, IT und Organisation – harmonieren. Kein Unternehmen kann dauerhaft Rechtskonformität erreichen, ohne dabei die IT und die Organisation regelmäßig zu berücksichtigen und ggf. anzupassen.

!

Praxistipp:

In einem Datenschutzprojekt werden Rechtsexperten, IT-Experten und Organisationsexperten im Projektteam oder als Berater benötigt.

Neben der Komplexität ist auch die Tragweite des Datenschutzes herausfordernd, da ein Großteil der Mitarbeiter eines Unternehmens davon betroffen ist und entsprechend mitwirken muss. Eine Datenschutzorganisation ist nur so effektiv wie ihr schwächstes Glied, welches beispielsweise ein unvorsichtiger Mitarbeiter, eine Sicherheitslücke im Programmcode oder fehlende organisatorische Regelungen, wie zB eine Clean-Desk-Policy, sein kann. Eine weitere Herausforderung kann die fehlende Akzeptanz von Mitarbeitern und der Geschäftsführer darstellen. Nicht in allen Unternehmen fehlt es an Akzeptanz, aber die Erfahrung zeigt, dass es umso schwieriger ist, alle von der Wichtigkeit des Schutzes personenbezogener Daten zu überzeugen, je größer das Unternehmen ist. Fehlt der Rückhalt aus der Geschäftsführung, ist eine erfolgreiche Durchführung eines Umsetzungsprojektes unwahrscheinlich. Bei mangelnder Mitwirkung seitens der Mitarbeiter wird ein solches Projekt nicht in der gewünschten Zeit das gewünschte Ergebnis erzielen können und für viel Frustration sorgen.

!

Praxistipp:

Ein schriftliches Bekennen zu Datenschutz-Compliance seitens der obersten Geschäftsführung stärkt das Projekt und gibt dem Projektmanager die notwendigen Durchsetzungs- und Eskalationsmöglichkeiten.

!

Praxistipp:

Alle Mitarbeiter sollten frühzeitig in Datenschutzthemen eingebunden und entsprechend sensibilisiert werden. Für die Sensibilisierung empfiehlt es sich, praxisnahe Beispiele aus dem beruflichen und privaten Alltag anzuführen.

3.2 Projektformat

Als Projektformat können drei verschiedene Formen in Betracht gezogen werden: traditionelles, agiles oder hybrides Projektmanagement. Bei einem Datenschutzprojekt ist zu empfehlen, ein traditionelles Vorgehensmodell (wie das Wasserfallmodell, V-Modell oder Inkrementelles Modell) anzustreben, da sich in einem Datenschutzprojekt die Ziele größtenteils aus den gesetzlichen Vorgaben ableiten lassen und anhand dieser die Anforderungen und Aufgaben definiert werden, die im Laufe des Projekts priorisiert abgearbeitet werden sollen. Ein Abändern oder Hinzukommen von Aufgaben ist in einem gut geplanten Datenschutzprojekt unüblich. Somit ist ein Datenschutzprojekt nicht für ein agiles Vorgehen geeignet. Dennoch kann das Projekt von der Einbindung von agilen Elementen (beispielsweise einem Kanban-­Board) profitieren. Je größer das Projektteam und je länger und komplexer das Projekt ist, desto eher kann ein solches hybrides Projektmanagement einen Mehrwert bringen.

!

Praxistipp:

Das Vorgehensmodell und die Einbindung von agilen Elementen sollte im Vorfeld des Projektes festgelegt werden, da eine Änderung während des Projektes einen erheblichen Mehraufwand verursachen kann.

3.3 Projektmanagement

Die Einteilung in Projektmanagementphasen, Managementaufgaben und Projektphasen hat sich für Datenschutzprojekte bewährt, da dadurch eine gute Übersicht und Planung der notwendigen Bereiche gewährleistet wird. Eine Anlehnung an etablierte Standards ist zu empfehlen. Als Beispiel können die nachfolgend abgebildeten Projektmanagementphasen herangezogen werden.[119]

Abbildung 1

Projektmanagementphasen und Managementaufgaben nach DIN 69901

Quelle: Timinger, Modernes Projektmanagement, 33.

3.3.1 Projektmanagementphasen
3.3.1.1Initialisierungsphase

In dieser ersten Phase eines Projektes werden alle relevanten Informationen gesammelt und anhand dieser Informationen entsprechende Ziele formuliert. Hierbei wird empfohlen, sich einen Überblick über die datenschutzrechtlichen Regelungen und die unternehmensinterne Organisations- und IT-Landschaft zu verschaffen, um die entsprechenden Anforderungen, Ressourcen, Meilensteine und Risiken korrekt erfassen zu können. Spätestens zu diesem Zeitpunkt sollte das Unternehmensziel im Hinblick auf den Datenschutz von der Geschäftsführung schriftlich vorgegeben werden.

3.3.1.2Definitionsphase

In der Definitionsphase werden alle bereits erhobenen Ideen und Überlegungen analysiert und final zusammengefasst. Die Definitionsphase dient dazu, die Ziele, die in der Initialisierungsphase formuliert wurden, zu verfeinern, zu finalisieren und zu priorisieren und anhand dieser die entsprechenden Anforderungen, Meilensteine und Phasen zu definieren[120]. Neben der Finalisierung der Projektorganisation werden in der Definitionsphase die relevanten Stakeholder und die möglichen Risiken dokumentiert.

3.3.1.3Planungsphase

Die Planungsphase bildet das Kernstück des Projektmanagements, da eine gute Planung einen signifikanten Einfluss auf den Erfolg eines Projekts hat. Während der Planungsphase hat das Projektmanagement festzulegen[121],

+was im Projekt zu erledigen ist (Projektstrukturplan),

+wann es zu erledigen ist (Terminplan),

+welche Ressourcen benötigt und wann sie eingesetzt werden (Ressourcenplan) und

+wie hoch die Kosten für die Ressourcen voraussichtlich sein werden (Kostenplan).

3.3.1.4Steuerungsphase

Die regelmäßige Kontrolle des Fortschritts der einzelnen Aufgabenpakete und die Verteilung der Aufgaben sollte wöchentlich oder – zumindest – zweiwöchentlich erfolgen. Darüber hinaus sollte der Projektmanager auch dem Auftraggeber (der Geschäftsführung) und ggf. einem eingerichteten Lenkungsausschuss regelmäßig Bericht erstatten. Je nach Projektdauer und Kritikalität sollte diese Berichterstattung (zB in Form eines Statusmeetings) alle ein bis drei Monate stattfinden. Folgende Informationen sollten dem Lenkungsausschuss bzw. Auftraggeber bereitgestellt werden:

+Welche Ausgaben wurden bereits getätigt? Werden mehr Ressourcen benötigt als geplant? Wie hoch sind die Kosten dafür? (Ressourcen- und Kostenplanung)

+Wie ist der Projektverlauf? Können die Deadlines eingehalten werden? Müssen Fristen verschoben werden? (Terminplanung)

+Gibt es aktuelle Themen, aufgrund deren eine Eskalation erforderlich ist? Projektentscheidende Probleme oder Entscheidungen sollten hier an die oberste Instanz eskaliert werden. Eskalationen sollten aufgrund der Dringlichkeit auch ad-hoc erfolgen, um den Projektplan nicht zu gefährden.

3.3.1.5Abschlussphase

In der Abschlussphase erfolgt die Abnahme des Projekts durch den Auftraggeber und die Auflösung des Projektteams. Gerade bei einem Datenschutzprojekt ist eine nachvollziehbare und vollständige Dokumentation essenziell, darum sollten alle gewonnen Erkenntnisse aufbereitet und zentral gespeichert werden („Lessons-Learned“). Der letzte Akt in einem Datenschutzprojekt ist die Überführung in eine Datenschutz-Regelorganisation, um auch die zukünftige und dauerhafte Datenschutzkonformität gewährleisten zu können.

3.3.2 Managementaufgaben
3.3.2.1Ziele definieren

Das oberste Ziel eines Datenschutzprojekts ist der rechtskonforme Umgang mit personenbezogenen Daten innerhalb des Unternehmens. Bei einem Unternehmen mit Sitz innerhalb der EU können zur Zieldefinition die gesetzlichen Vorgaben (wie die DSGVO und nationale Datenschutzgesetze), die Entscheidungen und Leitlinien von Aufsichtsbehörde[122], die EuGH-Urteile[123], die Leitlinien des Europäischen Datenschutzausschuss[124] oder die allgemeinen Unternehmensziele des jeweiligen Unternehmens herangezogen werden. Anhand der definierten Ziele wird festgelegt, ob dem Unternehmen das gesetzlich vorgegebene Mindestmaß an Datenschutz ausreicht oder ob dieses übertroffen werden soll. Inwieweit ein höherer Schutz als gesetzlich vorgegeben sinnvoll ist, hängt vom Unternehmen, der Branche und der zukünftigen Ausrichtung ab.

!

Praxistipp:

Die Etablierung eines sehr hohen Datenschutzniveaus erlaubt es beispielsweise, sich von Wettbewerbern abzuheben, bestehende Prozesse effizienter zu gestalten oder neue Geschäftszweige zu eröffnen.

Bei jedem Projekt, so auch bei einem Datenschutzprojekt, sollte beachtet werden, dass die definierten Ziele die sogenannten SMART-Kriterien erfüllen:

+Specific (spezifisch): eindeutige Definition der Ziele;

+Measurable (messbar): Messbarkeit der Ziele (Reifegrad/Umsetzungsgrad);

+Attractive (attraktiv): Attraktivität der Ziele;

+Realistic (realistisch): Realisierbarkeit und Erreichbarkeit der Ziele;

+Timely (terminiert): Planbarkeit der Ziele (Fixierung eines Datums).

Beispielsweise macht die systemübergreifende Einführung eines automatisierten Löschkonzepts bei einem größeren Produktionsunternehmen, in dem kaum personenbezogene Daten verarbeitet werden, weniger Sinn, da der Aufwand den Mehrwert hier deutlich übersteigen wird. Die Projektziele sollten mit den Unternehmenszielen im Einklang stehen und keinen Konflikt hervorrufen. Die Projektziele sollten klar formuliert und verschriftlicht werden.

!

Praxistipp:

Es kann durchaus vorkommen, dass formulierte Projektziele nicht immer alle SMART-Kriterien erfüllen. Beispielsweise sind Projektziele, die auf gesetzlichen Vorgaben beruhen, oftmals unattraktiv. Ein fehlendes Kriterium bedeutet jedoch nicht, dass das Projektziel nicht umgesetzt werden muss. Ganz im Gegenteil: Die Nichtumsetzung kann einen Verstoß gegen gesetzliche Vorgaben bedeuten.

3.3.2.2Anforderungsmanagement

Anforderungen sind Bedingungen, die für die Erreichung der Projektziele einzuhalten sind. Sie leiten sich aus den zuvor definierten Projektzielen ab. Die Anforderungen können auch auf Systeme bezogen werden. Beispielsweise kann die Zurverfügungstellung einer Funktion zur vollständigen Löschung von personenbezogenen Daten eine Anforderung für Systeme sein. Die Anforderungen sollten nicht nur in das Lasten- bzw. Pflichtenheft[125] einfließen, sondern auch in einer generellen Richtlinie bzw. Checkliste verschriftlicht werden, damit sie auch bei neuen Verarbeitungstätigkeiten oder Systemen eingehalten werden. Die SMART-Kriterien sollten auch hier berücksichtigt werden.[126]

3.3.2.3Projektorganisation festlegen

Aufgrund der hohen Wichtigkeit eines initialen Datenschutzprojekts ist eine fachliche Weisungsbefugnis des Projektmanagers unumgänglich. Eine Matrix-Projektorganisation ist daher in den meisten Unternehmen die sinnvollste Variante. Sofern eine Datenschutzabteilung existiert, sollte dort die zentrale Projektsteuerung stattfinden.

!

Praxistipp:

Bei Projektmitarbeitern, die dem Projektmanager organisatorisch nicht unterstellt sind, ist es empfehlenswert, bei Ressourcen-, Zeit-, und Interessenskonflikten im Vorfeld eine deeskalierende Vorgehensweise festzulegen.

Abbildung 2

Beispielhafte Darstellung einer Projektorganisation

Quelle: Eigene Darstellung

Projektmanager

Ein Projektmanager sollte vor allem Projektmanagementerfahrung haben und über gute Kenntnisse des anzuwendenden Datenschutzrechts (zB für Österreich: DSGVO, DSG und TKG 2003) verfügen. Darüber hinaus sind umfassende Kenntnisse der internen Prozesse und der Unternehmenskultur notwendig. Als Projektmanager kommt unter anderem ein Datenschutzbeauftragter, ein Konzerndatenschutzbeauftragter oder der Leiter der Datenschutzabteilung in Betracht. Alternativ kann auch eine Führungskraft aus der Rechts- oder IT-Abteilung die Rolle des Projektmanagers übernehmen. Bei großen und internationalen Konzernen ist es sinnvoll, wenn sich zwei oder mehrere Projektmanager die Projektmanagementaufgaben teilen, so beispielsweise eine Person, die rechtliche Expertise besitzt und eine weitere Person, die bereits fundierte Erfahrungen im Bereich Projektmanagement aufweist.

Projektmanagern werden folgende Aufgaben zuteil: Sie definieren die Projektziele, planen, kontrollieren, steuern die Umsetzung der Projektziele und wählen die Projektmitarbeiter aus. Am Ende des Projektes sind sie für den ordnungsgemäßen Projektabschluss und den Übergang in eine Regelorganisation verantwortlich. Bei der Definition der Projektziele und Festlegung der Projektorganisation kann dem Auftraggeber ein Mitspracherecht eingeräumt werden.

!

Praxistipp:

Sollte es im Unternehmen keine geeignete Person als Projektmanager geben, ist es zu empfehlen, zusätzliche externe Expertise ins Projekt zu holen. Bewährt hat sich, einen internen und einen externen Projektmanager zu benennen, die gemeinsam alle geforderten Kenntnisse besitzen.

Projektmitarbeiter

Die Projektmitarbeiter sollten zumindest Grundkenntnisse in den anzuwendenden Datenschutzgesetzen besitzen und über die Tätigkeiten und Prozesse innerhalb der Abteilung bzw. des Projektteams umfangreich informiert sein. Darüber hinaus sollten ihnen innerhalb der Abteilung bzw. des Projektteams gewisse Leitungsbefugnisse zustehen, um Weisungskonflikte vorab zu vermeiden. In Betracht kommen daher vor allem Abteilungsleiter und deren Stellvertreter. Pro Abteilung, die personenbezogene Daten in einem höheren Ausmaß verarbeitet, sollte mindestens ein Projektmitarbeiter ernannt werden. Nach Projektabschluss und bei der Überführung in eine Regelorganisation empfiehlt es sich, die Projektmitarbeiter in eine Datenschutzorganisation, beispielsweise als Datenschutzkoordinatoren, einzugliedern.

Projektmitarbeiter sind im Rahmen des Projekts für die Umsetzung der delegierten Aufgaben und für die Implementierung der datenschutzrechtlichen Anforderungen innerhalb der Abteilung verantwortlich.

!

Praxistipp:

Projektmitarbeiter sollten, sofern sie noch nicht über Datenschutzkenntnisse verfügen, zumindest eine Grundschulung erhalten. Diese Schulung kann durch die interne Datenschutzabteilung oder durch externe Experten erfolgen.

Datenschutzbeauftragter

Der Datenschutzbeauftragte spielt in einem Datenschutzprojekt eine zentrale Rolle. Sofern er bereits Erfahrung im Projektmanagement besitzt, kann er auch die Rolle eines Projektmanagers übernehmen, da er die datenschutzrechtlichen Anforderungen und die internen Strukturen idR gut kennt. Sollte ein Datenschutzbeauftragter als alleiniger Projektmanager ernannt werden, sollte dieser unbedingt darauf achten, dass er als Datenschutzbeauftragter nur beratend tätig sein darf und Tätigkeiten unterlässt, die seine geforderte Unabhängigkeit und Objektivität gefährden können. Entscheidungen, die das Datenschutzniveau beeinflussen, sollten vom Auftraggeber und nicht vom Datenschutzbeauftragten selbst getroffen werden.

Der Datenschutzbeauftrage begleitet das Projekt als datenschutzrechtlicher Experte, überwacht die inhaltliche Umsetzung auf Gesetzeskonformität und warnt den bzw. die Projektmanager oder den Auftraggeber vor drohenden Rechtswidrigkeiten. Zusätzlich berichtet der Datenschutzbeauftragte regelmäßig an die oberste Geschäftsführung über die relevanten Entwicklungen im Rahmen des Projekts.

Auftraggeber (Rechtsabteilung, Geschäftsführung)

Der Auftraggeber ist idR die Geschäftsführung oder die Rechtsabteilung.

Der Auftraggeber erteilt den Projektauftrag und gibt das benötigte Budget frei. Er dient neben einem etwaigen Lenkungsausschuss als Eskalationsinstanz. Er kann bei Bedarf gemeinsam mit dem Projektmanager die Ziele und Rahmenbedingungen des Projekts definieren und die Projektmitarbeiter auswählen.

Lenkungsausschuss (oberste Geschäftsführung)

Der Lenkungsausschuss besteht idR aus der obersten Geschäftsführung. Er stellt sicher, dass der Projektmanager und sein Team alle notwendigen Befugnisse und Ressourcen für die ordnungsgemäße Umsetzung der datenschutzrechtlichen Anforderungen haben. Sollte die oberste Geschäftsführung bereits als Auftraggeber fungieren, so nimmt sie die Aufgaben des Auftraggebers und des Lenkungsausschusses gleichzeitig wahr.

Der Lenkungsausschuss ernennt den Projektmanager und dient als oberste Eskalations­instanz.

Lieferant (Fachabteilung)

Lieferanten steuern fachliche, organisatorische, technische oder rechtliche Informationen oder auch Produkte (zB Software) bei, die für die Durchführung und den Abschluss des Projekts benötigt werden. Interne Lieferanten sind beispielsweise Fachabteilungen, die IT-Abteilung, die Rechtsabteilung oder die Personalabteilung. Externe Lieferanten sind beispielsweise Dienstleister bzw. Auftragsverarbeiter, Rechtsexperten oder auch die Aufsichtsbehörde selbst.