LITMIR.BIZ

Abbildung 2

Beispielhafte Darstellung einer Projektorganisation

      Quelle: Eigene Darstellung

      Projektmanager

      Ein Projektmanager sollte vor allem Projektmanagementerfahrung haben und über gute Kenntnisse des anzuwendenden Datenschutzrechts (zB für Österreich: DSGVO, DSG und TKG 2003) verfügen. Darüber hinaus sind umfassende Kenntnisse der internen Prozesse und der Unternehmenskultur notwendig. Als Projektmanager kommt unter anderem ein Datenschutzbeauftragter, ein Konzerndatenschutzbeauftragter oder der Leiter der Datenschutzabteilung in Betracht. Alternativ kann auch eine Führungskraft aus der Rechts- oder IT-Abteilung die Rolle des Projektmanagers übernehmen. Bei großen und internationalen Konzernen ist es sinnvoll, wenn sich zwei oder mehrere Projektmanager die Projektmanagementaufgaben teilen, so beispielsweise eine Person, die rechtliche Expertise besitzt und eine weitere Person, die bereits fundierte Erfahrungen im Bereich Projektmanagement aufweist.

      Projektmanagern werden folgende Aufgaben zuteil: Sie definieren die Projektziele, planen, kontrollieren, steuern die Umsetzung der Projektziele und wählen die Projektmitarbeiter aus. Am Ende des Projektes sind sie für den ordnungsgemäßen Projektabschluss und den Übergang in eine Regelorganisation verantwortlich. Bei der Definition der Projektziele und Festlegung der Projektorganisation kann dem Auftraggeber ein Mitspracherecht eingeräumt werden.

      !

      Praxistipp:

      Sollte es im Unternehmen keine geeignete Person als Projektmanager geben, ist es zu empfehlen, zusätzliche externe Expertise ins Projekt zu holen. Bewährt hat sich, einen internen und einen externen Projektmanager zu benennen, die gemeinsam alle geforderten Kenntnisse besitzen.

      Projektmitarbeiter

      Die Projektmitarbeiter sollten zumindest Grundkenntnisse in den anzuwendenden Datenschutzgesetzen besitzen und über die Tätigkeiten und Prozesse innerhalb der Abteilung bzw. des Projektteams umfangreich informiert sein. Darüber hinaus sollten ihnen innerhalb der Abteilung bzw. des Projektteams gewisse Leitungsbefugnisse zustehen, um Weisungskonflikte vorab zu vermeiden. In Betracht kommen daher vor allem Abteilungsleiter und deren Stellvertreter. Pro Abteilung, die personenbezogene Daten in einem höheren Ausmaß verarbeitet, sollte mindestens ein Projektmitarbeiter ernannt werden. Nach Projektabschluss und bei der Überführung in eine Regelorganisation empfiehlt es sich, die Projektmitarbeiter in eine Datenschutzorganisation, beispielsweise als Datenschutzkoordinatoren, einzugliedern.

      Projektmitarbeiter sind im Rahmen des Projekts für die Umsetzung der delegierten Aufgaben und für die Implementierung der datenschutzrechtlichen Anforderungen innerhalb der Abteilung verantwortlich.

      !

      Praxistipp:

      Projektmitarbeiter sollten, sofern sie noch nicht über Datenschutzkenntnisse verfügen, zumindest eine Grundschulung erhalten. Diese Schulung kann durch die interne Datenschutzabteilung oder durch externe Experten erfolgen.

      Datenschutzbeauftragter

      Der Datenschutzbeauftragte spielt in einem Datenschutzprojekt eine zentrale Rolle. Sofern er bereits Erfahrung im Projektmanagement besitzt, kann er auch die Rolle eines Projektmanagers übernehmen, da er die datenschutzrechtlichen Anforderungen und die internen Strukturen idR gut kennt. Sollte ein Datenschutzbeauftragter als alleiniger Projektmanager ernannt werden, sollte dieser unbedingt darauf achten, dass er als Datenschutzbeauftragter nur beratend tätig sein darf und Tätigkeiten unterlässt, die seine geforderte Unabhängigkeit und Objektivität gefährden können. Entscheidungen, die das Datenschutzniveau beeinflussen, sollten vom Auftraggeber und nicht vom Datenschutzbeauftragten selbst getroffen werden.

      Der Datenschutzbeauftrage begleitet das Projekt als datenschutzrechtlicher Experte, überwacht die inhaltliche Umsetzung auf Gesetzeskonformität und warnt den bzw. die Projektmanager oder den Auftraggeber vor drohenden Rechtswidrigkeiten. Zusätzlich berichtet der Datenschutzbeauftragte regelmäßig an die oberste Geschäftsführung über die relevanten Entwicklungen im Rahmen des Projekts.

      Auftraggeber (Rechtsabteilung, Geschäftsführung)

      Der Auftraggeber ist idR die Geschäftsführung oder die Rechtsabteilung.

      Der Auftraggeber erteilt den Projektauftrag und gibt das benötigte Budget frei. Er dient neben einem etwaigen Lenkungsausschuss als Eskalationsinstanz. Er kann bei Bedarf gemeinsam mit dem Projektmanager die Ziele und Rahmenbedingungen des Projekts definieren und die Projektmitarbeiter auswählen.

      Lenkungsausschuss (oberste Geschäftsführung)

      Der Lenkungsausschuss besteht idR aus der obersten Geschäftsführung. Er stellt sicher, dass der Projektmanager und sein Team alle notwendigen Befugnisse und Ressourcen für die ordnungsgemäße Umsetzung der datenschutzrechtlichen Anforderungen haben. Sollte die oberste Geschäftsführung bereits als Auftraggeber fungieren, so nimmt sie die Aufgaben des Auftraggebers und des Lenkungsausschusses gleichzeitig wahr.

      Der Lenkungsausschuss ernennt den Projektmanager und dient als oberste Eskalations­instanz.

      Lieferant (Fachabteilung)

      Lieferanten steuern fachliche, organisatorische, technische oder rechtliche Informationen oder auch Produkte (zB Software) bei, die für die Durchführung und den Abschluss des Projekts benötigt werden. Interne Lieferanten sind beispielsweise Fachabteilungen, die IT-Abteilung, die Rechtsabteilung oder die Personalabteilung. Externe Lieferanten sind beispielsweise Dienstleister bzw. Auftragsverarbeiter, Rechtsexperten oder auch die Aufsichtsbehörde selbst.

      3.3.2.4Meilenstein- und Phasenplanung

      Der Meilenstein- und Phasenplan dient zur Wahrung des Überblicks über die notwendigen Aufgaben, Fristen und Termine in einem Projekt. Es handelt sich hier nur um eine erste Grobstrukturierung des Projektverlaufs und der erforderlichen Ressourcen.