Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
Auswirkungen der DSGVO
auf projektorientierte Forschungsunternehmen
Edmund-Gerhard Schrümpf Datenschutzbeauftragter bei Forschungsunternehmen
Inhaber Sachverständiger-Büro für betriebliche EDV+Org gerichtl. beeideter und Sachverständiger Techn. Mathematik, div. Zertifizierungen
24. Feb. 2018
2
1) Anmerkungen zur Gesetzgebung
2
3
Bestimmtheitsgebot & Normenklarheit im Datenschutz erfüllt?
„Das Gebot der Normenbestimmtheit und der Normenklarheit […] soll die Betroffenen befähigen, die Rechtslage anhand der gesetzlichen Regelung zu erkennen, damit sie ihr Verhalten danach ausrichten können.“
dt. Bundesverfassungsgericht Urteil 26. Juli 2005 - 1 BvR 782/94 Die Gesetze DSGVO, öDSG 2018, österr. Spezialgesetze sind nur mit Kenntnis der Erwägungsgründe und Begleitmaterialien sowie der Art. 29-Gruppe interpretierbar – ist das ok?
4
246.653 betriebliche Normadressaten in Österreich
238.110; 97%
4.249; 2%
2.773; 1% 914; 0% 607; 0%
1 bis 4950 bis 99100 bis 249250 bis 499500 und mehr
Stand Jän.2017 Quelle: Hauptverband der Sozialversicherungsträger
Anzahl der österr. Betriebe nach Anzahl der Beschäftigten je Betrieb:
5
Ressourcen zum Gesetzesvollzug
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
80.000
90.000Anzahl der österr. Betriebe nach Anzahl der Beschäftigten je Betrieb:
Stand Jän.2017 Quelle: Hauptverband der Sozialversicherungsträger
6
Die Normadressaten in Europa: Vorteile im globalen Wettbewerb?
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
DeutschlandÖsterreich
LuxemburgRumänien
Vereinigtes KönigreichDänemark
EstlandLettland
FinnlandBulgarienKroatienLitauen
MaltaUngarnBelgien
SchwedenSlowenien
SpanienPolen
NiederlandePortugal
Tschechische RepublikSlowakei
Unternehmen in EU
0-9 10-19 20-49 50-249 250+Stand Juni 2017 Quelle: Eurostat, Strukturelle Unternehmensstatistik
Be-schäft.
Unter-nehmen Anteil
0-9 21.736.481 92,98% 10-19 901.844 3,86% 20-49 471.972 2,02%
50-249 222.453 0,95% KMU
(0-249) 23.332.750 99,81% 250+ 44.245 0,19%
Insges. 23.377.006
7
2) Auswirkungen der DSGVO auf projektorientierte Forschungsunternehmen Forschungsprojekte stellen mit ihren dynamischen Strukturen spezifische Anforderungen an die Umsetzung der Datenschutz-Maßnahmen. Um gleichzeitig rechtskonform und ressourcenschonend ein Portfolio von Forschungsprojekte abwickeln zu können sind neue Vorgehensmodelle erforderlich. Der Beitrag berichtet über den Stand der empirische Untersuchungen zur Typisierung und Modularisierung aus einem projektorientierten Forschungsunternehmen, zeigt Lösungswege auf und gibt ein kritisches Resümee mit Ausblick.
7
8
Das projektorientierte Forschungsunternehmen
projektorientiert Die Geschäftstätigkeit besteht primär aus „Projekten“ Definition Projekt: „ein zeit- und kostenbeschränktes Vorhaben zur Realisierung von definierten Ergebnisse entsprechend vereinbarter Qualitätsstandards und Anforderungen in Erfüllung der Projektziele“ (International Project Management Association)
Forschung Auftragsforschung für die Wirtschaft Geförderte Forschung z.B. Horizon 2020 der EU
Unternehmen Wirtschaftliche Einheit der Privatwirtschaft oder des öffentl. Sektors
8
9
Datenschutz-Organisation im projektorientierten Unternehmen (1/2) „Statische“ Verarbeitungsvorgänge = Administration
laufen gleichartig oftmals unternehmensweit ab sind gut dokumentiert im Qualitätsmanagement werden meist mit Routine und Erfahrung durchgeführt sind oftmals verwaltungsnahe Vorgänge Unternehmensprozesse mit höherem Reifegrad
Aufgaben sind ähnlich allen anderen Normunterworfenen durchzuführen = 1 x Hausaufgaben von Personal bis CRM mit VVT, ev. DS-FA
9
10
Datenschutz-Organisation im projektorientierten Unternehmen (2/2) „Dynamische“ Verarbeitungsvorgänge = Projekte
laufen selten gleichartig ab werden nur grob im Proposal oder Projektvertrag beschrieben sind fallweise Neuland für das Projektteam unterschiedlich viel Interesse und Erfahrung mit Datenschutz tritt meist bei
Forschungsprojekten oder Change-Projekten zur Änderung der Unternehmensstruktur auf
10
11
Forschungsprojekte Höhere Anzahl pro Jahr
bei JOANNEUM RESEARCH über 500 pro Jahr medizin. Forschung, IT, Bilderkennung, Automotive, Soziologie
Neue, einzuschulende Projektleiter und -mitarbeiter
Jedes(!) Projekt ist auf personenbezogene Daten im Forschungsvorhaben zu prüfen
5 – 10 % der Projekte verarbeiten personenbez. Daten d.h. jedes Jahr n x Hausaufgaben machen, zusätzlich mit
Forschungsantrag gem. § 7 (3) DSG 2018 Lösungen für das Konsortium (Informationsverbund, Verträge u.ä.)
11
12
J. Adams unter-suchte 25 Mil. wissenschaftliche Papers über 30 Jahre und zeigte, dass der größere Erfolg gemessen in Impect und Funding in der internationalen Zusammenarbeit liegt. Adams, J. (2013). Collaborations: The fourth age of research. Nature, 497(7451), 557.
Quelle: http://www.spiegel.de/wissenschaft/mensch/forscher-ranking-internationale-teams-sind-erfolgreicher-a-903721.html
13
Es beginnt mit der Sensibilisierung des Teams …und die ist nicht einfach:
Gesetzliche „personenbezogene Daten“ sind u.a. Fotos, Videos, Daten von Menschen (im Weiteren kurz „Daten“ genannt)
13
Datenschutz
Menschen
Folienbeispiel
14
Wovon reden wir beim „Datenschutz“?
Personenbezogene Daten =
Daten von & über
14
Datenschutz
Menschen !!
Folienbeispiel
15
„Datenschutz“ betrifft nur
15
Datenschutz
Menschen !!
Folienbeispiel
16
Vorbereitungsphase Anfrage BZW: Ausschreibung trifft ein Projektplanung und Konsortialbildung Proposal bzw. Projektvertrag (bis zu 200 Seiten)
i.A. keine Details über personenbez. Daten erwähnt Checkboxen für Ethik, Datenschutz, …
Die nachgelagerte zentrale Anbotsprüfung ist die letzte Bastion des Datenschutzes!
16
17
Organisation: Datenschutz im Projektablauf
17
Institut 1 DS-Koord
Institut 2 DS-Koord
Med.Institut DSB
Institut n DS-Koord
Institut n DS-Koord
Projekt -leiter
Forschungsgruppe
UDSB
DSB Datenschutzbeauftragter UDSB JR-Unternehmens-DSB DS-Koord Datenschutz-Koordinator DS-AnspP Datenschutz-Ansprechpartner
DS-Jurist
Zentrale Anbotsprüfung
Schrümpf/INR 15.11.2017
Institut n DS-Koord
Datenschutz
Projekt, Angebot
18
Aufgabenverteilung im Datenschutz Unternehmens-Datenschutzbeauftragter Datenschutzjurist
koordiniert den Datenschutz mit Instituten, Zentralbereich und der Datenschutzbehörde wickelt die DS-Verfahren ab Know-How Beschaffung und Verteilung
Datenschutz-Koordinator (am Institut) koordiniert die DS-Aktivitäten am Institut mit UDSB ist erste Ansprechperson vor Ort organisiert die DS-Maßnahmen hört „das Gras wachsen“ bei Projekten mit Personenbezug
Datenschutz-Ansprechpartner (in Zentralbereich) koordiniert und organisiert die DS-Maßnahmen
18
Datenschutz
19
Herausforderungen Forschung ist Sonderfall im Datenschutzrecht Gemeinsame Verarbeitung ist ebenfalls Sonderfall oftmals zu Beginn weder genaues Vorgehen noch Rollen- oder Aufgabenverteilung bekannt bei geförderter Forschung sind internat. Partner Pflicht anzuwendendes Recht zu klären (27 x 77) Konsortium trifft Entscheidungen über Mittel & Aufgaben Konsortialführer setzt meist seine Systeme durch
19
20
Notwendige Maßnahmen Privacy by Design & Default (Art 25) Verzeichnis von Verarbeitungstätigkeiten (Art 30) Datenschutz-Folgeabschätzung (Art 35 ff)
§7-Forschungsantrag oder nicht gem. §9 DSG2018 Auskunftserteilung, Datenkorrektur und Löschung Meldung von Data Breaches (Art 33 ff) u.a.m.
20
21
Typen von Forschungsprojekten 1 - n Probanden (Betroffene) wird in bestimmten Situationen
gemessen, fotografiert, gefilmt Daten: Messergebnis (auch Audio, Video) mit Metadaten
ein Proband wird mittels Fragebogen befragt Daten: ev. Audio, Fragenbogen, Transkript
Ermittlung von naturwissenschaftlichen Messwerten ohne Personenbezug
wirklich „ohne“ Personenbezug?
21
22
Was sind hier personenbezogene Daten?
22
Betroffener
medizin. Gerät
Messdaten bei dieser Geräte-
einstellung
Geräte-einstellung Geräte-
einstellung Geräte-einstellung Geräte-
einstellung Geräte-einstellung
Messdaten bei dieser Geräte-
einstellung
Messdaten bei dieser Geräte-
einstellung
Messdaten bei dieser Geräte-
einstellung
Messdaten bei dieser Geräte-
einstellung
Welche der vier Dateneinheiten (Entities) sind personenbezogen?
Datenschutz-Insider meinen alle vier!
23
Ablaufempfehlung Projekt typisieren Typgerechte Textbausteine für Angebot/Proposal und VVT verwenden
Daraus § 7 Antrag erstellen Daraus DS-FA erstellen Textbausteine für Verträge und weitere Anträge verwenden
Textbausteine reduzieren Aufwand und Risiko Unbedingt mit IT-Lösung automatisieren
23
24
Es irrt der Mensch solang er strebt. Johann Wolfgang von Goethe, Faust 1
Danke für die Aufmerksamkeit Fragen – Wünsche – Anregungen
Edmund-Gerhard Schrümpf JOANNEUM RESEARCH Forschungsgesellschaft mbH mob: +43 664 / 1912314 e-mail: [email protected] web: http://www.joanneum.at
24