Auswirkungen der DSGVO

auf projektorientierte Forschungsunternehmen

Edmund-Gerhard Schrümpf Datenschutzbeauftragter bei Forschungsunternehmen

Inhaber Sachverständiger-Büro für betriebliche EDV+Org gerichtl. beeideter und Sachverständiger Techn. Mathematik, div. Zertifizierungen

24. Feb. 2018

2

1) Anmerkungen zur Gesetzgebung

2

3

Bestimmtheitsgebot & Normenklarheit im Datenschutz erfüllt?

„Das Gebot der Normenbestimmtheit und der Normenklarheit […] soll die Betroffenen befähigen, die Rechtslage anhand der gesetzlichen Regelung zu erkennen, damit sie ihr Verhalten danach ausrichten können.“

dt. Bundesverfassungsgericht Urteil 26. Juli 2005 - 1 BvR 782/94 Die Gesetze DSGVO, öDSG 2018, österr. Spezialgesetze sind nur mit Kenntnis der Erwägungsgründe und Begleitmaterialien sowie der Art. 29-Gruppe interpretierbar – ist das ok?

4

246.653 betriebliche Normadressaten in Österreich

238.110; 97%

4.249; 2%

2.773; 1% 914; 0% 607; 0%

1 bis 4950 bis 99100 bis 249250 bis 499500 und mehr

Stand Jän.2017 Quelle: Hauptverband der Sozialversicherungsträger

Anzahl der österr. Betriebe nach Anzahl der Beschäftigten je Betrieb:

5

Ressourcen zum Gesetzesvollzug

0

10.000

20.000

30.000

40.000

50.000

60.000

70.000

80.000

90.000Anzahl der österr. Betriebe nach Anzahl der Beschäftigten je Betrieb:

Stand Jän.2017 Quelle: Hauptverband der Sozialversicherungsträger

6

Die Normadressaten in Europa: Vorteile im globalen Wettbewerb?

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

DeutschlandÖsterreich

LuxemburgRumänien

Vereinigtes KönigreichDänemark

EstlandLettland

FinnlandBulgarienKroatienLitauen

MaltaUngarnBelgien

SchwedenSlowenien

SpanienPolen

NiederlandePortugal

Tschechische RepublikSlowakei

Unternehmen in EU

0-9 10-19 20-49 50-249 250+Stand Juni 2017 Quelle: Eurostat, Strukturelle Unternehmensstatistik

Be-schäft.

Unter-nehmen Anteil

0-9 21.736.481 92,98% 10-19 901.844 3,86% 20-49 471.972 2,02%

50-249 222.453 0,95% KMU

(0-249) 23.332.750 99,81% 250+ 44.245 0,19%

Insges. 23.377.006

7

2) Auswirkungen der DSGVO auf projektorientierte Forschungsunternehmen Forschungsprojekte stellen mit ihren dynamischen Strukturen spezifische Anforderungen an die Umsetzung der Datenschutz-Maßnahmen. Um gleichzeitig rechtskonform und ressourcenschonend ein Portfolio von Forschungsprojekte abwickeln zu können sind neue Vorgehensmodelle erforderlich. Der Beitrag berichtet über den Stand der empirische Untersuchungen zur Typisierung und Modularisierung aus einem projektorientierten Forschungsunternehmen, zeigt Lösungswege auf und gibt ein kritisches Resümee mit Ausblick.

7

8

Das projektorientierte Forschungsunternehmen

projektorientiert Die Geschäftstätigkeit besteht primär aus „Projekten“ Definition Projekt: „ein zeit- und kostenbeschränktes Vorhaben zur Realisierung von definierten Ergebnisse entsprechend vereinbarter Qualitätsstandards und Anforderungen in Erfüllung der Projektziele“ (International Project Management Association)

Forschung Auftragsforschung für die Wirtschaft Geförderte Forschung z.B. Horizon 2020 der EU

Unternehmen Wirtschaftliche Einheit der Privatwirtschaft oder des öffentl. Sektors

8

9

Datenschutz-Organisation im projektorientierten Unternehmen (1/2) „Statische“ Verarbeitungsvorgänge = Administration

laufen gleichartig oftmals unternehmensweit ab sind gut dokumentiert im Qualitätsmanagement werden meist mit Routine und Erfahrung durchgeführt sind oftmals verwaltungsnahe Vorgänge Unternehmensprozesse mit höherem Reifegrad

Aufgaben sind ähnlich allen anderen Normunterworfenen durchzuführen = 1 x Hausaufgaben von Personal bis CRM mit VVT, ev. DS-FA

9

10

Datenschutz-Organisation im projektorientierten Unternehmen (2/2) „Dynamische“ Verarbeitungsvorgänge = Projekte

laufen selten gleichartig ab werden nur grob im Proposal oder Projektvertrag beschrieben sind fallweise Neuland für das Projektteam unterschiedlich viel Interesse und Erfahrung mit Datenschutz tritt meist bei

Forschungsprojekten oder Change-Projekten zur Änderung der Unternehmensstruktur auf

10

11

Forschungsprojekte Höhere Anzahl pro Jahr

bei JOANNEUM RESEARCH über 500 pro Jahr medizin. Forschung, IT, Bilderkennung, Automotive, Soziologie

Neue, einzuschulende Projektleiter und -mitarbeiter

Jedes(!) Projekt ist auf personenbezogene Daten im Forschungsvorhaben zu prüfen

5 – 10 % der Projekte verarbeiten personenbez. Daten d.h. jedes Jahr n x Hausaufgaben machen, zusätzlich mit

Forschungsantrag gem. § 7 (3) DSG 2018 Lösungen für das Konsortium (Informationsverbund, Verträge u.ä.)

11

12

J. Adams unter-suchte 25 Mil. wissenschaftliche Papers über 30 Jahre und zeigte, dass der größere Erfolg gemessen in Impect und Funding in der internationalen Zusammenarbeit liegt. Adams, J. (2013). Collaborations: The fourth age of research. Nature, 497(7451), 557.

Quelle: http://www.spiegel.de/wissenschaft/mensch/forscher-ranking-internationale-teams-sind-erfolgreicher-a-903721.html

13

Es beginnt mit der Sensibilisierung des Teams …und die ist nicht einfach:

Gesetzliche „personenbezogene Daten“ sind u.a. Fotos, Videos, Daten von Menschen (im Weiteren kurz „Daten“ genannt)

13

Datenschutz

Menschen

Folienbeispiel

14

Wovon reden wir beim „Datenschutz“?

Personenbezogene Daten =

Daten von & über

14

Datenschutz

Menschen !!

Folienbeispiel

15

„Datenschutz“ betrifft nur

15

Datenschutz

Menschen !!

Folienbeispiel

16

Vorbereitungsphase Anfrage BZW: Ausschreibung trifft ein Projektplanung und Konsortialbildung Proposal bzw. Projektvertrag (bis zu 200 Seiten)

i.A. keine Details über personenbez. Daten erwähnt Checkboxen für Ethik, Datenschutz, …

Die nachgelagerte zentrale Anbotsprüfung ist die letzte Bastion des Datenschutzes!

16

17

Organisation: Datenschutz im Projektablauf

17

Institut 1 DS-Koord

Institut 2 DS-Koord

Med.Institut DSB

Institut n DS-Koord

Institut n DS-Koord

Projekt -leiter

Forschungsgruppe

UDSB

DSB Datenschutzbeauftragter UDSB JR-Unternehmens-DSB DS-Koord Datenschutz-Koordinator DS-AnspP Datenschutz-Ansprechpartner

DS-Jurist

Zentrale Anbotsprüfung

Schrümpf/INR 15.11.2017

Institut n DS-Koord

Datenschutz

Projekt, Angebot

18

Aufgabenverteilung im Datenschutz Unternehmens-Datenschutzbeauftragter Datenschutzjurist

koordiniert den Datenschutz mit Instituten, Zentralbereich und der Datenschutzbehörde wickelt die DS-Verfahren ab Know-How Beschaffung und Verteilung

Datenschutz-Koordinator (am Institut) koordiniert die DS-Aktivitäten am Institut mit UDSB ist erste Ansprechperson vor Ort organisiert die DS-Maßnahmen hört „das Gras wachsen“ bei Projekten mit Personenbezug

Datenschutz-Ansprechpartner (in Zentralbereich) koordiniert und organisiert die DS-Maßnahmen

18

Datenschutz

19

Herausforderungen Forschung ist Sonderfall im Datenschutzrecht Gemeinsame Verarbeitung ist ebenfalls Sonderfall oftmals zu Beginn weder genaues Vorgehen noch Rollen- oder Aufgabenverteilung bekannt bei geförderter Forschung sind internat. Partner Pflicht anzuwendendes Recht zu klären (27 x 77) Konsortium trifft Entscheidungen über Mittel & Aufgaben Konsortialführer setzt meist seine Systeme durch

19

20

Notwendige Maßnahmen Privacy by Design & Default (Art 25) Verzeichnis von Verarbeitungstätigkeiten (Art 30) Datenschutz-Folgeabschätzung (Art 35 ff)

§7-Forschungsantrag oder nicht gem. §9 DSG2018 Auskunftserteilung, Datenkorrektur und Löschung Meldung von Data Breaches (Art 33 ff) u.a.m.

20

21

Typen von Forschungsprojekten 1 - n Probanden (Betroffene) wird in bestimmten Situationen

gemessen, fotografiert, gefilmt Daten: Messergebnis (auch Audio, Video) mit Metadaten

ein Proband wird mittels Fragebogen befragt Daten: ev. Audio, Fragenbogen, Transkript

Ermittlung von naturwissenschaftlichen Messwerten ohne Personenbezug

wirklich „ohne“ Personenbezug?

21

22

Was sind hier personenbezogene Daten?

22

Betroffener

medizin. Gerät

Messdaten bei dieser Geräte-

einstellung

Geräte-einstellung Geräte-

einstellung Geräte-einstellung Geräte-

einstellung Geräte-einstellung

Messdaten bei dieser Geräte-

einstellung

Messdaten bei dieser Geräte-

einstellung

Messdaten bei dieser Geräte-

einstellung

Messdaten bei dieser Geräte-

einstellung

Welche der vier Dateneinheiten (Entities) sind personenbezogen?

Datenschutz-Insider meinen alle vier!

23

Ablaufempfehlung Projekt typisieren Typgerechte Textbausteine für Angebot/Proposal und VVT verwenden

Daraus § 7 Antrag erstellen Daraus DS-FA erstellen Textbausteine für Verträge und weitere Anträge verwenden

Textbausteine reduzieren Aufwand und Risiko Unbedingt mit IT-Lösung automatisieren

23

24

Es irrt der Mensch solang er strebt. Johann Wolfgang von Goethe, Faust 1

Danke für die Aufmerksamkeit Fragen – Wünsche – Anregungen

Edmund-Gerhard Schrümpf JOANNEUM RESEARCH Forschungsgesellschaft mbH mob: +43 664 / 1912314 e-mail: edmund-gerhard.schruempf@joanneum.at web: http://www.joanneum.at

24