Wie der frühzeitige Einbezug des Rechtsdienstes vor schweren Fehlern schützen kann

EDIT KOVACS / MAXIMILIAN EMMERLING

AUGUST 2014

Erfolgsfaktor Business Analyse & Datenschutz

2

Übersicht

Übersicht

1. Ausgangslage2. Definition Datenschutz3. Welche Arten von Daten unterscheiden wir?4. Welche Arten der Datenverarbeitung unterscheiden wir?5. Grundsätzliche Vorschriften für den Datenschutz6. Erfolgsfaktor Zusammenarbeit mit dem Rechtsdienst7. Resümee

3

Wichtigkeit des Datenschutzes in IT Projekten

Ausgangslage

Im Kontext von IT-Projekten und vor allem im Anforderungsmanagement, spielen viele Rahmenbedingungen, welche schon in der Analysephase berücksichtigt werden müssen, eine wichtige Rolle. Denn:

» Rahmenbedingungen haben Einfluss auf die Belastbarkeit von Anforderungen

Im Nachfolgenden wird daher die Relevanz des Datenschutzes im Kontext von IT Projekten aufgezeigt und eine mögliche Herangehensweise im Rahmen des Anforderungsmanagements, ausgehend von der Definition des Datenschutz und den verschiedenen Arten von Daten sowie deren Verarbeitung.

Dies soll zur Sensibilisierung und Reflektion der Thematik Datenschutz, seiner zunehmenden Bedeutung und aktiven Einbindung in IT Projekte beitragen.

4

Analysephase & bestehende Rahmenbedingungen

Ausgangslage

Mögliche Rahmenbedingungen:

» Konzern-/ Unternehmensspezifische Richtlinien (z.B. Revisionsrichtlinien)

» Branchenspezifische rechtl. Rahmenbedingungen (z.B. Pharmarichtlinien)

» Umwelt (z.B. die Gesetzeslage – Datenschutzrichtlinien)

5

Was ist Datenschutz, und warum reden alle darüber?

Definition Datenschutz

Der Begriff Datenschutz beschäftigt sich mit den rechtlichen Aspekten von „Daten“. Dabei gewinnt Datenschutz immer mehr an Bedeutung:

» Immer größere Datenmengen -> Welche Arten von Daten unterscheiden wir?

» „jeder sammelt Daten“ -> Welche Arten der Datenverarbeitung unterscheiden wir?

» Recht auf „informationelle Selbstbestimmung“ –> Grundsätzliche Vorschriften für den Datenschutz

6

Daten sind nicht gleich Daten!

Welche Arten von Daten unterscheiden wir?

» Stamm- und Bewegungsdaten (Gläserner Bürger)» Krankengeschichte (Gläserner Patient)» Kontenbewegungen und Steuerdaten (Gläserner Steuerzahler)» Persönliche und Bewegungsdaten (Gläserner Mitarbeiter)» Bonitätsdaten, Interessen und Kaufverhalten (Gläserner Kunde)» Vollständig entschlüsseltes DNA-Profil (Gläserner Mensch)

7

Wie werden Daten verarbeitet?

Welche Arten der Datenverarbeitung unterscheiden wir?

» Manuelle Datenverarbeitung» Karteikarten, Kerbstock, Akten

» Maschinelle Datenverarbeitung» zählen, sortieren, mischen, vergleichen, drucken

» Elektronische Datenverarbeitung» Datenbanken, komplexe Logiken zur Auswertung, Verteilung

8

Informationelle Selbstbestimmung

Grundsätzliche Vorschriften für den Datenschutz

» genereller Rechtsanspruch auf Auskunft über die Speicherung, Quelle und den Verwendungszweck personenbezogener Daten» „welche Daten wurden wofür gespeichert, und woher stammen sie?“

» Recht auf Widerspruch gegen Übermittlung der Daten an Dritte» z.B. Datenweitergabe durch das Einwohnermeldeamt

» Bedarf der Zustimmung für Verknüpfung von personenbezogenen Daten für Zwecke Dritter» „ich stimme der Nutzung meiner Daten für ...... zu“

» Recht der Nutzung seiner Adressdaten für Werbung oder der Markt- oder Meinungsforschung bei der datenspeichernden Stelle zu widersprechen und eine Sperrung seiner Daten zu verlangen. » „Daten sollen gelöscht werden“

9

Frühzeitige Zusammenarbeit zwischen Projektteam und Rechtsdienst

Erfolgsfaktor Zusammenarbeit mit dem Rechtsdienst

Die Komplexität der rechtlichen Thematik und der entscheidende Einfluss auf die Umsetzbarkeit einer Anforderung bedingt daher frühzeitig das entsprechende Expertenwissen. Folgende Punkte sollte man dabei beachten:

» Berücksichtigung des Rechtsdienstes bereits bei der Stakeholder-Analyse (Studien/ Grobkonzeptphase)

» Frühzeitige Einbindung in das Projektvorhaben (was ist das Ziel des Projekts? In welchem Kontext und was sind die Hintergründe?)

» Identifizieren relevanter Richtlinien und rechtlicher Rahmenbedingungen (Was sind bei der Anforderungsanalyse die Rahmenbedingungen?)

» Regelmässige Abstimmung von Prozessdesign und Anforderungen mit dem Rechtsdienst sowie Erläuterung der zugrundeliegenden Businessmodelle

10

Mögliches Vorgehen in der Zusammenarbeit mit dem Rechtsdienst

Erfolgsfaktor Zusammenarbeit mit dem Rechtsdienst

Grundsätzlich ist es wichtig in der Zusammenarbeit mit der Rechtsabteilung abzuklären, ob die angedachte Lösung bzw. die gestellten Anforderungen umsetzbar sind, nicht welche Varianten der Umsetzung möglich sind!» Es kann somit eine Bewertung durch den Rechtdienst vorgenommen werden

Mögliches Vorgehen:» Lösungsansatz gegenüber dem Rechtsdienst aufzeigen und Hintergründe für

Lösungsansatz erläutern (Verständnis schaffen)

Bei Diskrepanzen (Abweichung von rechtlichen oder unternehmerischen Rahmenbedingungen):» Lösungsvarianten gemeinsam definieren. (wie schaffen wir eine

rechtskonforme Basis zur Umsetzung des Lösungsansatzes?)

11

Erfolgsfaktor liegt in der Sensibilisierung und Zusammenarbeit

Resümee

» Rahmenbedingungen, wie Datenschutzrichtlinien, können Einfluss auf die Stabilität und Umsetzbarkeit von Anforderungen und der angedachten Lösung haben

Wichtig: Sensibilisierung aller Beteiligten für äußere Einflüsse wie rechtliche Vorgaben!

» Rechtzeitiger Einbezug von Experten, wie dem unternehmensinternen Rechtsdienst, schafft frühzeitig Klarheit (vor Umsetzung und Kundenreaktion!)

» Rechtsdienst kann prüfen, ob angedachte Lösung umsetzbar ist (nicht aber Umsetzungsmöglichkeiten erarbeiten!)

Zusammenarbeit der Business Analyse mit dem Rechtsdienst als Erfolgsfaktor für eine stabile und rechtskonforme IT-Lösung!

12

Resümee

Unsere Standorte

Niederlassung Darmstadt

Kasinostraße 6064293 DarmstadtTel +49 61 51 – 78 90 0Fax +49 61 51 – 78 90 23 0

Hauptsitz Bonn

Kurfürstenallee 553177 BonnTel +49 228 – 76 36 31 0Fax +49 228 –76 36 31 3

Niederlassung Bern

Frohbergweg 73012 BernTel +41 31 – 534 07 06Fax +41 31 – 536 69 78

Vielen Dank für Ihre Aufmerksamkeit