Sensible Daten sicher schützen
Das Datenschutzkonzept der GIZ wird weltweit an allen GIZ-Standorten angewandt und setzt die Vorgaben der europäischen Datenschutz-Grundverordnung (DSGVO) um. Die GIZ verfügt über einen Datenschutzbeauftragten, der zwei Stellvertreterinnen hat. Die operative Umsetzung der DSGVO in der GIZ wird durch die Organisationseinheit Datenschutzmanagement unterstützt.
Datenschutz in der GIZ
Das Kernanliegen der GIZ-Datenschutzbeauftragten sowie des Datenschutzmanagements ist es, Verfahren, in denen Personendaten erhoben oder verarbeitet werden, von Anfang an so zu gestalten, dass sie den Datenschutz angemessen berücksichtigen.
Während das Datenschutzbeauftragten-Team organisatorisch direkt an den für Datenschutz zuständigen Vorstand angebunden ist, ist das Datenschutzmanagement in den Bereich Digitale Transformation und IT Solutions (DIGITS) integriert.
Der Datenschutzbeauftragte berät interne und externe Betroffene unternehmensweit, kontrolliert die Einhaltung der Datenschutzregelungen und Vorschriften im Unternehmen und führt den Dialog mit der Aufsichtsbehörde. Darüber hinaus berät der Datenschutzbeauftragte regelmäßig den Vorstand und das obere Management des Unternehmens zu allem Belangen des Datenschutzes. Er berichtet kontinuierlich an den Vorstand und ist zudem Mitglied des unternehmensweit agierenden Gremiums Risikomanagement.
Eine der Prioritäten des Datenschutzmanagements im Jahr 2019 war der Aufbau eines neuen Teams. Es wurden Mitarbeiter*innen rekrutiert und parallel Arbeits- und Kommunikationsstrukturen aufgebaut. Mit der Dokumentation und Kommunikation der Datenschutzprozesse in der GIZ sowie der Sichtung, Ergänzung und Harmonisierung bestehender Dokumente zum Umgang mit der DSGVO wurde eine Basis für die weitere Arbeit gelegt.
Die Bearbeitung der eingehenden Anfragen beanspruchte die meiste Zeit. Zusammen mit der Bearbeitung der in der GIZ durchgeführten Online-Umfragen hat das Team 2019 ca. 1.200 Anfragen bearbeitet.
Die DSGVO mit ihren umfassenden Dokumentationspflichten bestimmt weitgehend die Aufgaben des Datenschutzmanagements. Neben dem zentralen Dokument, der Meldung zur Verarbeitungstätigkeit, ist meist auch eine Auftragsverarbeitung zu prüfen, freizugeben und zu dokumentieren. 2019 wurden 550 neue Meldungen von Verarbeitungstätigkeiten bearbeitet.
Eine der zentralen Aufgaben des Datenschutzmanagements ist die Sensibilisierung und Schulung der weltweit tätigen Mitarbeitenden. Hierzu wurden kontinuierlich Informations- und Schulungsmaßnahmen erstellt, bestehende Informationen an die DSGVO angepasst und neue Formate konzipiert.
Ein Beispiel ist das Datenschutzscreening in der Außenstruktur. Das Screening soll die Landesbüros für die DSGVO „fit“ machen. Dazu werden die bestehenden Geschäftsprozesse mit den Anforderungen der DSGVO abgeglichen und Meldungen zu Verarbeitungstätigkeiten vor Ort dokumentiert. Außerdem gibt es einen Trainingstag für alle Mitarbeiter*innen. 2019 fanden in vier Ländern Datenschutzscreenings statt: in Kenia, Burkina Faso, Nepal und Bosnien-Herzegowina. Mehr als 150 Mitarbeitende wurden in Präsenzveranstaltungen sensibilisiert und geschult.
Das Thema Datenschutz gewinnt an Bedeutung
2011 lag die Zahl der bearbeiteten Anfragen zum Datenschutz noch bei 190. 2019 betrug sie bereits rund 1.200 und hatte sich damit gegenüber dem Vorjahr mehr als verdoppelt. Seit 2014/2015 führt die GIZ weltweit Datenschutz-Audits durch, bislang in 19 Ländern und Landesbüros. Hinzu kommen die oben erwähnten vier Screenings des Datenschutzmanagements.
Die Zahl der begründeten Datenschutzbeschwerden ist mit acht Beschwerden gegenüber dem Vorjahreszeitraum gleich geblieben. Dies waren allesamt Einzelfälle, die einvernehmlich geklärt werden konnten. Einer Anfrage auf Löschung der personenbezogenen Daten wurde nachgekommen.
Im April 2019 verfasste die zuständige Datenschutzaufsichtsbehörde BfDI (Bundesbeauftragter für den Datenschutz und die Informationsfreiheit) einen Bericht über ihren ersten Beratungs- und Kontrollbesuch im Dezember 2018. Sie stellte fest, dass der Datenschutz in der GIZ einen hohen Stellenwert genießt, und sprach keine Beanstandungen aus.