Wenn Projekte über Daten stolpern

In dieser Woche habe ich ein Thema mitgebracht, dass alle Projektleiter in mittleren und größeren, insbesondere auch in internationalen Projekten interessieren könnte. Dabei geht es nicht speziell um IT sondern um alle möglichen Projekte, vom Hausbau, über Bahnhöfe, Flughäfen oder Industrieanlagen. Projekte sind naturgemäß die Sorte Geschäft, bei dem viele personenbezogene Daten verarbeitet werden ohne dass dies explizit thematisiert wird. Aber genau in der Verarbeitung personenbezogener Daten in großen Projekten liegen eine Reihe von Fallstricken, derer sich Projektleiter bewußt sein sollten. Ich versuche in diesem Beitrag nur ein paar, aus meiner Sicht, besonders relevante Punkte anzusprechen.

Das Setup

Größere Projekte beziehen fast immer Stakeholder ein, die aus unterschiedlichen Organisationen stammen. Diese Organisationsgrenzen sind aus datenschutzrechtlicher Sicht wichtig, da die DSGVO kein Konzernprivileg kennt und daher selbst Organisationseinheiten in Konzernen ggf. wie unterschiedliche Verantwortliche behandelt.

Die DSGVO kennt kein Konzernprivileg. D.h. Datentransfers zwischen Unternehmen eines Konzerns müssen wie Datenübertragungen zwischen Dritten behandelt werden.

Kein größeres Projekt kommt ohne externe Mitwirkende aus. Neben den “internen” MitarbeiterInnen tummeln sich also auch noch externe KollegInnen aus ganz unterschiedlichen Firmen im Projekt. Teilweise werden auch Projektleiter extern bestellt. Im Ergebnis lässt sich ein solches Projekt nicht ohne einen organisationsübergreifenden Datenfluss steuern. Damit unsere Herausforderung noch ein bisschen steigt, beziehen wir noch die Tatsache mit ein, dass nur ein Teil der Dienstleister in Europa sitzt. Ein anderer Teil der MitarbeiterInnen und Dienstleister arbeiten von Indien aus, andere aus den USA und ein paar wenige sitzen bei einem Dienstleister in Kanada. Damit haben wir es nicht “nur” mit organisationsübergreifenden Datenflüssen zu tun, wir müssen uns zudem auch noch mit Drittlandtransfers mit und ohne Angemessenheitsbeschluss der EU-Kommission herumschlagen. Und was wäre eine größere Organisation in Deutschland ohne einen Betriebsrat, der ebenfalls beim Datenschutz noch ein Wörtchen mitzureden hat. Wem nicht spätestens jetzt der Kopf brennt, der ist entweder schon ein Datenschutzprofi, hartgesotten oder hat das Problem noch nicht voll erfasst.

In diesem Setup müssen wir zahlreiche nationale und internationale Gesetze parallel beachten.

Der Projektleiter

Unser armer Projektleiter steht also vor der spannenden Aufgabe, dieses Projekt zu managen und dafür die notwendigen Strukturen im Projektmanagement aufzubauen. Dazu gehört üblicherweise das Management von Projektressourcen, die zu einem großen Teil aus den MitarbeiterInnen bestehen, die an dem Projekt beteiligt sind. Die Verarbeitung deren Daten ist unzweifelhaft eine Datenverarbeitung von personenbezogenen Daten im Sinne der DSGVO und anderer Gesetze.

Alleine in Deutschland sind im Umgang mit den Daten der Projektmitglieder üblicherweise DSGVO, BDSG, SGB, BVerfG und einige andere Gesetze zu beachten.

Verantwortlicher ist gemäß DSGVO derjenige, der über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten bestimmt. Ist der Projektleiter ein Mitarbeiter eines Dienstleisters des Kunden, so ist dieser Dienstleister konsequenterweise auch Verantwortlicher für diese Datenverarbeitung. Die Bereitstellung der MitarbeiterInnen-Daten für das PMO (Project Management Office) durch die anderen Dienstleister und den Kunden selbst stellen hingegen Datenübertragungen dar.

Projektbüros als Datensammelstellen

Wer schon einmal in solchen Projekten gearbeitet hat, der weiß auch, dass die personenbezogenen Daten nicht nur aus Name und E-Mail-Adresse, Funktion, Vorgesetzten, Firmenzugehörigkeit usw. bestehen. Da geht es um Urlaubszeiten, Verfügbarkeiten, Abwesenheiten wie Krankheit, Mutterschaft, Vertretungsregelungen, Arbeitszeiten und vielem mehr. Nicht, dass alle diese Daten immer notwendig wären, aber zentrale Projektleitungsstellen fallen häufiger als große Datensammelstellen auf.

In großen Projekten herrscht zudem eine gewisse MitarbeiterInnenfluktuation, die ein ständiges On- und Offboarding von Personen bedeutet. In diesem Zusammenhang müssen die Daten der betroffenen Personen entsprechend der Datenschutzregeln behandelt werden, aber auch deren Zugriffsmöglichkeiten je nach Situation entsprechend beschränkt oder erweitert werden. Gleiches gilt natürlich auch für das Löschen von personenbezogenen Daten ausgeschiedener MitarbeiterInnen, sofern diese Daten nicht mehr benötigt werden.

Gerade in Coronazeiten kommen ggf. noch weitere sehr sensible Daten über Impfstatus oder Testergebnisse hinzu (Stichwort 3G/2G am Arbeitsplatz). Wenn diese Daten im PMO vorliegen sollen, um ein Projekt möglichst effizient zu leiten, Engpässe frühzeitig zu erkennen und Risiken zu minimieren, dann ist das ohne eine entsprechende Datenverarbeitung nicht möglich. Dazu kommt, dass viele Auftraggeber eigene Zeiterfassungssysteme nutzen, um die Aufwände aus Projekten zu ermitteln und sachgerecht zuordnen zu können. Auch hier werden personenbezogene Daten organisationsübergreifend verarbeitet.

Ist externes Projektmanagement eigentlich eine Auftragsverarbeitung?

Projektmanagement ist per se eine Aufgabe, die ein hohes Maß an Selbständigkeit des Projektleiters erfordert. Das gilt insbesondere auch bei der Verwendung der ihm anvertrauten personenbezogenen Daten. Eine Datenverarbeitung dieser Daten ist im Rahmen des externen Projektmanagements nur eine Nebenleistung und kein eigentlicher Vertragsgegenstand. Daher ist hier von einer eigenen Verantwortung der Stelle auszugehen, die für das Projektmanagement zuständig ist und dazu über die relevanten Personenbezogenen Daten verfügen muss. Das bedeutet aber auch, das die Daten von MitarbeiterInnen, die an das Projektmanagement fließen, ggf. einer Datenübermittlung zwischen Dritten unterliegen. Wenn z.B. ein externer Dienstleister das Projektmanagement übernimmt und weitere Dienstleister beteiligt sind, deren MitarbeiterInnendaten an das Projektmanagement übergeben werden. Solche recht typischen Fallkonstellationen sollten immer zu Projektbeginn geklärt werden, um Datenschutzverstöße gar nicht erst aufkommen zu lassen.

Was sollten Unternehmen tun?

Um den Datenschutz in komplexen Projektsituationen zu beherrschen, sollte jedes Unternehmen, das entweder in solchen Projekten mitarbeitet oder diese beauftragt, entsprechende Vorbereitungen treffen. Idealerweise werden schon bei der Beauftragung der Dienstleister (das gilt übrigens auch für die Beauftragung von Freiberuflern) datenschutzrechtlich notwendige Vereinbarungen getroffen. Die Datenverarbeitung im PMO sollte auf das notwendige Minimum beschränkt bleiben und auch der Zugriff des Personals auf interne Mitarbeiterdaten der anderen Projektparteien sollte auf das absolut erforderliche Maß beschränkt werden.

Klare Strukturen und Verantwortlichkeiten helfen später auch bei der Erfüllung von Betroffenenrechten wie z.B. Auskunftsersuchen. Diese können sich ggf. auch auf personenbezogene Daten aus Projektarbeiten erstrecken. Ohne ein stringentes Management der personenbezogenen Daten im Projekt gestalten sich Antworten darauf schwierig. Insbesondere in arbeitsrechtlichen Konfliktsituationen kann sich das als Bumerang erweisen und zu datenschutzrechtlichen Sanktionen oder Schadensersatzansprüchen der Betroffenen führen.

——-

Wenn Sie Fragen zur Verarbeitung personenbezogener Daten haben, sprechen Sie mich an. Sie können Besprechungen mit uns vereinbaren, bei denen wir die dringendsten Probleme besprechen, mit denen Sie jetzt konfrontiert sind oder in Zukunft konfrontiert werden könnten. Wir besprechen, wie Sie diese am besten bewältigen können – entweder durch die proaktive Umsetzung von Lösungen oder durch die Ausarbeitung von Notfallplänen für den Fall, dass sie auftreten. Darüber hinaus wird mein Team Ihnen dabei helfen, sicherzustellen, dass alles von Anfang bis Ende rechtskonform dokumentiert wird.

Andere Artikel

Daten sind das neue Gold

Vertraust Du Deine Wertsachen einfach fremden Leuten an? Heute ist die Nutzung von Diensten oder Software über das Internet nichts ungewöhnliches mehr. Du kannst damit jede Menge Zeit und auch Geld sparen. Du musst weder für die Infrastruktur noch für

Weiterlesen »

Wie wirst Du in 15 Jahren leben?

Unsere Lebensbedingungen ändern sich. Wie wirst Du in 15 Jahren leben? 4 Beispiele für die hybride Welt von Morgen. Mein Leben findet heute schon digital-hybrid statt. Dieser Trend wird sich fortsetzen, beschleunigen, verfestigen. Das rein “analoge” Leben gibt es dann

Weiterlesen »

Motorrad oder Laufrad?

Wer von Euch fährt mit seinem Motorrad als wäre es nur ein Laufrad? Vermutlich keiner! Aber warum tut Ihr das dann bei anderen Dingen? Mit seinem Motorrad zu fahren als ob es nur ein Laufrad wäre, ist ja nur mäßig

Weiterlesen »

Sind Eure MitarbeiterInnen eigentlich informiert?

“Das wissen die doch! Das sind doch keine Geheimnisse!” Der respektvolle Umgang mit den Kolleginnen und Kollegen ist für Dich als UnternehmerIn selbstverständlich. Du bezahlst ein vernünftiges Gehalt und schaffst auch sonst eine angenehme und produktive Arbeitsumgebung. Dazu gehört auch,

Weiterlesen »

Wenn Projekte über Daten stolpern

In dieser Woche habe ich ein Thema mitgebracht, dass alle Projektleiter in mittleren und größeren, insbesondere auch in internationalen Projekten interessieren könnte. Dabei geht es nicht speziell um IT sondern um alle möglichen Projekte, vom Hausbau, über Bahnhöfe, Flughäfen oder

Weiterlesen »

2022 wird ein spannendes Jahr!

🔸2022 wird ein spannendes Jahr. Während ich mich in den letzten Monaten doch sehr auf den Datenschutz konzentriert habe, werde ich im neuen Jahr meinen fachlichen Radius wieder etwas weiter ziehen. 🔸Datenschutz wird weiterhin ein großer fachlicher Schwerpunkt bleiben, genauso

Weiterlesen »

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Immer gut informiert mit unserem Newsletter

Wenn Sie über die neuesten Entwicklungen rund um die rechtskonforme Verarbeitung von Daten informiert werden wollen, möchte ich Ihnen meinen Newsletter gerne ans Herz legen. In Abständen von vier bis sechs Wochen werden Sie von mir auf dem Laufenden gehalten.