Projekt zur Umsetzung der Datenschutzgrundverordnung bei einem Telekommunikationsdienstleister

Ausgangslage

Wie viele andere Unternehmen stand auch unser Auftraggeber – ein großer deutscher Kabelnetzbetreiber und Anbieter von Telekommunikationsdienstleistungen mit mehr als sieben Millionen Kunden (aus dem Endkunden und dem B2B-Segment) in den Bundesländern Baden-Württemberg, Hessen und Nordrhein-Westfalen vor der Herausforderung die Anforderungen der (neuen) Datenschutzgrundverordnung (DSGVO), zu implementieren und umzusetzen.

„Insbesondere bei der Umsetzung der Vorgaben der DS-GVO – die wir als internes Datenschutz-Team mit einer überschaubaren Größe, neben den übrigen täglichen Datenschutzanfragen aus den einzelnen Fachbereichen kaum ausschließlich intern bewältigen konnten – konnten wir mit den Kolleginnen und Kollegen der migosens auf fachlich kompetente und sehr flexible Beratung setzen, um die internen Kapazitäten mit externer Unterstützung zu verstärken.“

Stephan Wrona – Director Legal & Regulatory Data Protection Officer

Das Bedürfnis zur rechtskonformen Umsetzung war hier besonders hoch, da neben der Vielzahl der personenbezogenen Bestandsdaten, die zur Erbringung der Dienstleistungen erforderlich sind (wie zum Beispiel Namen und Anschriften der Kunden) und der großen Anzahl an Kunden, auch weitaus sensiblere Verkehrs- und Nutzungsdaten (beispielsweise abrechnungsrelevante Daten aus dem Bereich der Telefonie- und Internetnutzung) der Kunden regelmäßig verarbeitet werden. Der Projektzeitplan war mit 5 Monaten sehr eng bemessen – musste jedoch auf Grund der Vorgaben innerhalb dieses Zeitraums erfolgreich abgeschlossen werden.

Die Ausgangslage war – wie vor der DSGVO in den meisten Unternehmen – verbesserungsfähig. Zwar waren eine Grundsensibilisierung für Datenschutzthemen und Prozesse, auf die aufgesetzt werden konnte, vorhanden – im stark projektgetriebenen Tagesgeschäft wurde eine intensive datenschutzrechtliche Begleitung aber mitunter als zeitraubend erachtet.

Neben der Umsetzung der einzelnen Maßnahmen – zur Abbildung der DSGVO-Anforderungen und der Absicherung vor etwaig drohenden Bußgelder seitens der Aufsichtsbehörden, war unser erklärtes Ziel auch den Datenschutz an sich im Unternehmen stärker zu verankern, die allgemeine Awareness in Bezug auf datenschutzrechtliche Fragestellungen zu schärfen und Synergien zu schaffen, um Arbeitsabläufe effizienter und für die Mitarbeiter des Auftraggebers somit angenehmer zu gestalten.

Herausforderungen

Die Hürden, welche dieser Projektauftrag mit sich brachte, setzten sich weitestgehend aus nachfolgenden Punkten zusammen:

• Sehr knapp bemessener Zeithorizont zur Umsetzung anstehender Maßnahmen
• Mitarbeiter waren unsicher und fühlten sich in Bezug auf die anstehenden Gesetzesänderungen nicht vorbereitet
• Anstehende Änderungen konnten nicht punktuell behandelt werden, sondern betrafen in den meisten Fällen (bereichsübergreifend) das ganze Unternehmen
• Die erforderliche Zusammenarbeit mit Fachbereichen (neben deren Tagesgeschäftes) war aufgrund des Umfangs und der fehlenden Information – über die Anforderungen der DSGVO – schwierig
• Kernbereichen der Betroffenenrechte, wie der Beauskunftung oder dem Löschbegehren konnte mit bestehendem personellem Setup und bestehenden Prozessen zeitlich nicht ausreichend begegnet werden
• Durch die Vielzahl an Aufgaben, die aus der DSGVO resultierten, mussten unterschiedlichste Prozesse mit gleich hoher Priorität (die DSGVO priorisiert keine Umsetzungsmaßnahmen) angepasst, oder implementiert werden

Vorgehen

Um der Vielzahl der einzelnen Anforderungen der Datenschutzgrundverordnung gerecht werden zu können, war es für uns, die federführende interne Projektleitung und die unterstützenden Kollegen aus der Strategieberatung unerlässlich die anfallenden (Teil-)Aufgaben in feststehende Arbeitsblöcke aufzuteilen.

Somit konnten die – auf den ersten Blick – umfangreichen Teilaufgaben in konsumierbare Bereiche geschnitten werden. Dies hatte zum einen den Vorteil, dass Projekt-Ziele, Milestones und Arbeitspakete nachvollziehbar getrackt werden konnten und zum anderen konnten auch innerhalb des Projektes Verantwortlichkeiten zielführend festgelegt werden.

Dieser Zuschnitt ermöglichte es uns darüber hinaus, die korrekten Stakeholder beziehungsweise die Ansprechpartner für die jeweiligen Aufgaben punktuell einzubinden. In aller Regel müssen zum Beispiel für die Anpassung der Datenschutzhinweise andere Personenkreise involviert werden, als für die Implementierung von Sicherheitskonzepten bei IT-Systemen.

In unserer Herangehensweise haben wir uns für einen Zuschnitt auf sieben Bereiche entschieden.

• Im Bereich „Verarbeitungsverzeichnis“ haben wir uns um generelle Anpassungen des Verzeichnisses von Verarbeitungstätigkeiten, der prozessualen Zuordnung und dem Matching der bestehenden (unternehmerischen/wertschöpfenden) Prozesse mit den gesetzlichen Anforderungen nach Art. 30 DSGVO gekümmert. Mit unserem prozessualen Ansatz wollten wir einen echten Mehrwert für das Unternehmen erzielen. Da das Verarbeitungsverzeichnis bei stringenter Verknüpfung mit den internen Prozessen eine weitaus umfassendere Quelle für unterschiedliche Kennzahlen sein kann, lag hier ein Fokus unserer Umsetzungsarbeit. So können beispielsweise Änderungen von Unternehmensprozessen sehr agil und zeitnah umgesetzt und insbesondere auch datenschutzrechtlich geprüft werden. Kritische Verarbeitungen – zum Beispiel von Verkehrsdaten – und der Einsatz von Dienstleistern in Drittstaaten – lassen sich übersichtlich darstellen. Für Prozesse, IT-Systeme und das Reporting wurden Assessment-Dokumente erstellt, die eine Zusammenarbeit und die Nachverfolgbarkeit mit den Fachbereichen ermöglichte.
• Der Bereich „Betroffenenrechte“ des Projektes beinhaltete die effiziente und schlanke Umsetzung der Betroffenenrechte. Hierbei wurde – aufgrund der zeitlich sehr kurzen Fristen, welche die DSGVO vorschreibt – darauf Wert gelegt, die Mitarbeiter so weit zu entlasten, zudem jedoch auch so zu sensibilisieren, dass Beauskunftungen oder erbetene Löschungen von Kundendaten möglichst automatisiert und sehr zeitnah erfolgen können. Neben mehreren Awareness- und Datenschutzschulungen waren hier Anpassungen der bestehenden Prozesse die hauptsächlichen Grundlagen unserer Umsetzung. Zudem wurden Landingpages erschaffen und die Möglichkeiten zur Kontaktaufnahme in den verschiedenen Kanälen (Internet, Telefon, E-Mail) verschlankt, damit Kunden möglichst einfach Ihre Rechte geltend machen können.
• Der Bereich „Einwilligungsmanagement“ zielte darauf ab Einwilligungen, sogenannte Opt-Ins, sowie Werbeverweigerer oder Personen die von ihrem Widerrufsrecht Gebrauch gemacht haben (Opt-Outs), über verschiedene Kanäle (Online, telefonisch und schriftlich) zu erfassen und bei sämtlichen Kundenansprachen auch entsprechend zu berücksichtigen. Die Anbindung einer zentralen Datenbank und das korrekte Einholen einer informierten Einwilligung stand hier im Vordergrund.
• Der Arbeitsbereich „Security“ beschäftigte sich mit der Umsetzung technischer und organisatorischer Maßnahmen im Rahmen der IT-Security. Neben der Bestandsaufnahme und der datenschutzrechtlichen Bewertung der bestehenden IT-Systeme hinsichtlich der Kategorien der verarbeiteten Daten und der Verarbeitungszwecke, der Abbildung aller Systeme in einem Netzwerk-Diagramm, beziehungsweise in einem IT-Infrastrukturplan, standen hier Entwürfe für ein Rechte- und Rollen- oder Löschkonzepte auf der Agenda.
• Das Arbeitspaket „IT-System Customization“ knüpfte an den Bereich Security an und beinhaltete tatsächliche Anpassungen einzelner Systeme – wie zum Beispiel die Implementierung eines konformen Einwilligungsmanagements und der Planung sowie der Strukturierung der einzelnen Releaseanpassungen. Darüber hinaus beschäftigten wir uns hier mit der Cookie Analyse nebst Anpassung des Cookie-Banners an die Anforderungen der Datenschutzgrundverordnung. Hierunter fiel auch die Umsetzung der sogenannten Privacy-by-design-Konzepte.
• Im Bereich „Privacy Management“ haben wir uns stark der Erhöhung der allgemeinen Awareness der Mitarbeiter gewidmet. Neben der Durchführung von Schulungen für sämtliche Mitarbeiter, Awarenesskampagnen, der Fertigstellung eines Datenschutzhandbuches, bestand hier der Schwerpunkt in der Entwicklung diverser Dokumente und Richtlinien (unter anderem Templates um das berechtigte Interesse zu dokumentieren und um eine Datenschutz-Folgenabschätzung durchführen zu können).  Zudem spielten hier auch die Anpassungen der Datenschutzhinweise, inklusive der Etablierung eines schlanken Prozesses um Folgeanpassungen vornehmen zu können, eine übergeordnete Rolle.
• Das „Dienstleistermanagement“ bildete den siebten und letzten Bereich ab und beinhaltete sämtliche Themen rund um die Zusammenarbeit mit externen Dienstleistern. Neben dem Prozess zum Onboarding wurden hier auch verschiedenen vertragliche Grundlagen – um unterschiedliche Vertragskonstellationen abzudecken – geschaffen, um Dienstleister DSGVO-konform anzubinden. Ein Großteil der Dienstleister, welche noch über ältere Verträge zur Auftragsverarbeitung angebunden waren, wurden mit aktuellen Verträgen ausgestattet. Darüber hinaus wurden Dienstleister-Auditpläne erstellt, Dienstleister je nach Art der Betätigung in Risikogruppen eingeteilt und unterschiedliche Audit Zeiträume veranschlagt nach welchen die Dienstleister wieder re-auditiert werden müssen.

Die Aufsplittung in verschiedene Teilbereiche ermöglichte es der internen Projektleitung den Erfüllungsgrad der einzelnen Aufgaben nachzuverfolgen, die entsprechenden Ansprechpartner der Abteilungen gezielt anzusprechen und einzubinden und somit den zeitlichen Horizont mit dem definierten Gesamtziel zum 25.05.2018 – dem Wirksamwerden der DSGVO –  nicht aus den Augen zu verlieren.

Errungenschaften

„Die migosens ist in ihrer Arbeitsweise sehr flexibel, reagiert schnell auf neue Herausforderungen und kann durch ihre fundierte Branchenkenntnis im Telekommunikationsbereich stark praxisorientierte Lösungen anbieten, die auch über Gewährleistung des Datenschutzes hinaus reichen.“

Stephan Wrona – Director Legal & Regulatory Data Protection Officer

Aufgrund der strukturierten Vorplanung und dem Zusammenschnitt in verschiedene Teilaufgaben, der nahtlosen Zusammenarbeit zwischen interner Projektleitung, den Mitarbeitern und Fachbereichen auf Augenhöhe und nicht zuletzt der Unterstützung durch die Geschäftsleitung ist es gelungen, sämtliche Anforderungen der Datenschutzgrundverordnung praxisnah und rechtskonform im Unternehmen umzusetzen. Neben der eigentlichen Umsetzung wurde im Unternehmen eine nachhaltige Atmosphäre geschaffen, die durch Koppelung der unternehmenseigenen Prozesse an die Anforderungen der DSGVO eine gute Möglichkeit bietet, Kritikalitäten nachvollziehbar zu bewerten und auch im Verarbeitungsverzeichnis zu dokumentieren. Kurz um: Das gesamte Spektrum der Rechenschaftspflichten abzubilden. Die Awareness der Mitarbeiter wurde durch diverse Schulungen, Workshops und die Zurverfügungstellung diverser Richtlinien erhöht und kann mit Durchführung von turnusmäßigen Schulungsmaßnahmen dauerhaft aufrechterhalten werden. Den in diesem Artikel kurz angerissenen Umsetzungsmaßnahmen wurden in Rahmen eines parallel durchgeführten Audits – welches durch eines der weltweit größten Unternehmens- und Strategieberatern betrieben wurde – ein branchenübergreifend herausragender Standard attestiert.

Zusammengefasst wurden im Zuge des Projektes – neben der Abbildung der rechtlichen Anforderungen – umfängliche Vorteile für Kunden, Mitarbeiter unseres Auftraggebers und für das Unternehmen als solches erreicht:

• Absolute Transparenz für Kunden über sämtliche – ihre personenbezogenen Daten betreffende – Datenverarbeitungen durch zielgruppengerechte Aufbereitung der Datenschutzhinweise.
• Einfacher Zugang für Kunden und Interessenten zu datenschutzrechtlichen Fragestellungen und Kontaktmöglichkeiten unter anderem über eine Datenschutzlandingpage.
• Entlastung der Mitarbeiter und Beschleunigung bei Anpassungen der Datenschutzhinweise, durch Etablierung schlanker Prozesse.
• Der Beauskunftungsprozess wurde weitestgehend automatisiert und Arbeitsaufwände durch agile Anpassungen in den Prozessen deutlich verschlankt.
• Der datenschutzkonforme Betrieb der Online- (Web-)Angebote und der mobilen Applikationen wurde sichergestellt.   
• Erhöhung der datenschutzrechtlichen Awareness und der Sensibilität der Mitarbeiter durch diverse Schulungen, Webinare und themenbasierte Einzelveranstaltungen.
• DSGVO Richtlinien wurden den Mitarbeitern über das Intranet zur Verfügung gestellt.
• Für sämtliche Wege der Kundenansprache kann transparent und kanalübergreifend nachvollzogen werden, welche Ansprache Möglichkeiten bei einem Kunden bestehen, beziehungsweise ob ein Kunde überhaupt angesprochen werden darf.
• Mit Einführung des prozess-orientierten Verarbeitungsverzeichnisses wurde eine tragende Grundlage geschaffen, um den umfangreichen Dokumentations-, und Rechenschaftsverpflichtung der DSGVO gerecht zu werden für:
  • Prozesse und angeschlossene Datenverarbeitungen einschließlich dokumentierter datenschutzrechtlicher Bewertungen
  • dokumentierte Reporting Evaluierungen
  • dokumentierte IT-System Evaluierungen
  • dokumentierte Dienstleister Evaluierungen
  • Abbildung einer Übersicht über die IT-Systemlandschaft
  • Dienstleister Bestandsaufnahme und Einteilung in Risikogruppen
• Die interessengruppengerechte Darstellung sämtlicher Kennzahlen aus dem Verarbeitungsverzeichnis wurde in einem eigens entwickelten Dashboard abgebildet.
• Etablierung eines Vendoren-Prozesses inklusive Auditplänen für Nach-Auditierungen nach Risikoeinstufung des Dienstleisters.

Zum Autor:

Stephan Kratzmann studierte Rechtswissenschaft und Wirtschaftsrecht. Seit 2014 ist er bei der migosens GmbH als Berater für Datenschutz tätig. Sein Schwerpunkt liegt insbesondere im Bereich der Projektberatung im Telekommunikationsumfeld. Zu seinen Aufgaben gehören u. a. die Sicherstellung des datenschutzkonformen Umgangs mit Bestands- und Verkehrsdaten in diversen Projekten, die Unterstützung bei der Gewährleistung von Betroffenenrechten und die prozessuale Abbildung des Verzeichnisses von Verarbeitungstätigkeiten.