Datenschutz und Datensicherheit in Projekten
Personenbezogene Daten sind vor der Freigabe eines Systems nicht weniger schutzbedürftig als nach dessen Freigabe. Die Regelungen der Landesdatenschutzgesetze und des Bundesdatenschutzgesetzes gelten für die Verarbeitung personenbezogener Daten ungeachtet der Frage, ob die Datenverarbeitung bereits im Produktivbetrieb oder noch in einer Projektphase erfolgt.
Unabhängig von der jeweiligen Phase, in der sich ein Projekt befindet, ist eine Dokumentation erforderlich, der
- die definierten Ziele,
- die technischen Mittel und Instrumente,
- die Festlegung der einzelnen Projektphasen mit Beginn und Ende,
- die Benennung der verantwortlichen Personen und
- die Entscheidung der verantwortlichen Person über den Beginn einer Projektphase, die Dokumentation des Projektverlaufes sowie die Ergebnisse und Schlussfolgerungen
zu entnehmen sind.
Der Detaillierungsgrad dieser Dokumentation kann sich nach der Entwicklungsphase richten, in der sich ein Verfahren zur Verarbeitung personenbezogener Daten befindet.
Inwieweit sich die datenschutzrechtlichen Anforderungen an Projektbetrieb und Produktivbetrieb unterscheiden, wird in der Orientierungshilfe "Datenschutz und Datensicherheit in Projekten: Projekt und Produktivbetrieb" des Arbeitskreises Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (AK-Technik) erläutert.