Die DSGVO betrifft nicht nur Marketing und IT-Abteilungen -- sie hat direkte Auswirkungen auf jedes Projekt, das personenbezogene Daten verarbeitet. Und das sind fast alle: Vom CRM-Rollout über die Website-Migration bis zum internen Reorganisationsprojekt. Trotzdem behandeln viele Projektmanager Datenschutz als nachträglichen Gedanken -- mit teils gravierenden Folgen.
In diesem Artikel erfährst du, welche DSGVO-Anforderungen im Projektmanagement gelten, wie du Projekte von Anfang an datenschutzkonform planst und welche typischen Fehler du vermeiden solltest. Inklusive praxistauglicher Checkliste.
Warum DSGVO im Projektmanagement relevant ist
Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 -- und ihre Bedeutung wächst weiter. Mit der zunehmenden Digitalisierung von Projekten und dem Einsatz von Cloud-Tools werden in jedem Projekt personenbezogene Daten verarbeitet: Mitarbeiternamen, E-Mail-Adressen, Zuständigkeiten, manchmal sogar Gesundheitsdaten oder Leistungsbewertungen.
Drei Gründe, warum du als Projektmanager die DSGVO ernst nehmen solltest:
- Rechtliche Pflicht: Art. 25 DSGVO verlangt "Datenschutz durch Technikgestaltung" (Privacy by Design). Das bedeutet: Datenschutz muss von Projektbeginn an mitgedacht werden -- nicht erst beim Go-Live.
- Finanzielle Risiken: DSGVO-Verstöße können Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes nach sich ziehen. Auch bei kleineren Verstößen werden regelmäßig fünf- bis sechsstellige Beträge fällig.
- Vertrauensverlust: Ein Datenschutzskandal kann das Vertrauen von Kunden, Mitarbeitern und Partnern nachhaltig beschädigen -- oft gravierender als das Bußgeld selbst.
Projektmanager können persönlich haftbar gemacht werden, wenn sie Datenschutzanforderungen wissentlich ignorieren. Das betrifft insbesondere die fehlende Einbindung des Datenschutzbeauftragten und die unterlassene Datenschutz-Folgenabschätzung.
Wann braucht dein Projekt eine DSFA (Datenschutz-Folgenabschätzung)?
Eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO ist verpflichtend, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natuerlicher Personen birgt. Konkret bedeutet das:
- Systematische Bewertung von Personen: Leistungsbewertungssysteme, Scoring, automatisierte Entscheidungen
- Umfangreiche Verarbeitung besonderer Datenkategorien: Gesundheitsdaten, biometrische Daten, Gewerkschaftszugehörigkeit
- Systematische Überwachung: Videoüberwachung, GPS-Tracking, Zeiterfassungssysteme
- Neue Technologien: KI-Systeme, die personenbezogene Daten verarbeiten, IoT-Projekte
- Große Datenmengen: Projekte, die Daten von tausenden Personen betreffen
CRM-Einführung mit Kundenprofiling, HR-Software mit Leistungsbewertung, IoT-Projekt mit Mitarbeiter-Tracking, KI-basierte Kundenanalyse, Einführung einer neuen Zeiterfassung. Im Zweifelsfall: Führe die DSFA lieber durch -- das Nichtdurchführen ist der größere Compliance-Verstoß.
DSGVO-Checkliste für Projektmanager (10 Punkte)
Diese Checkliste hilft dir, dein Projekt von Anfang an datenschutzkonform aufzusetzen. Gehe sie idealerweise in der Projektinitiierungsphase durch:
- Datenschutzbeauftragten (DSB) einbinden: Informiere den DSB deines Unternehmens frühzeitig über das Projekt -- besonders bei neuen Systemen oder Datenverarbeitungen.
- Verarbeitungsverzeichnis prüfen: Wird durch das Projekt eine neue Verarbeitungstätigkeit eingeführt? Falls ja: Eintrag im Verarbeitungsverzeichnis (Art. 30 DSGVO) erstellen.
- DSFA-Pflicht prüfen: Liegt ein hohes Risiko vor? Nutze die Blacklist deiner Aufsichtsbehörde zur Orientierung.
- Rechtsgrundlage bestimmen: Auf welcher Rechtsgrundlage (Art. 6 DSGVO) werden personenbezogene Daten verarbeitet? Einwilligung, Vertrag, berechtigtes Interesse?
- Datensparsamkeit sicherstellen: Werden nur die Daten erhoben, die tatsächlich benötigt werden? Keine "nice to have"-Daten sammeln.
- AV-Verträge abschließen: Für alle externen Dienstleister und Cloud-Tools, die personenbezogene Daten verarbeiten, müssen Auftragsverarbeitungsverträge vorliegen.
- Technische Maßnahmen definieren: Verschlüsselung, Zugriffskontrollen, Pseudonymisierung -- welche Schutzmaßnahmen sind nötig?
- Betroffenenrechte sicherstellen: Können Betroffene ihre Rechte (Auskunft, Löschung, Datenportabilität) ausüben?
- Löschkonzept erstellen: Wann und wie werden personenbezogene Daten gelöscht? Aufbewahrungsfristen definieren.
- Datenschutz-Dokumentation: Alle Entscheidungen und Maßnahmen dokumentieren -- im Zweifelsfall musst du Compliance nachweisen können.
Typische DSGVO-Fallen in Projekten
Selbst erfahrene Projektmanager tappen regelmäßig in diese Datenschutz-Fallen. Kenne sie -- und vermeide sie von Anfang an:
Falle 1: Cloud-Services ohne Prüfung nutzen
Das Projektteam legt spontan ein Trello-Board, einen Slack-Workspace oder ein Google-Sheet an -- ohne zu prüfen, wo die Daten gespeichert werden und ob ein AV-Vertrag existiert. Bei US-basierten Diensten ist nach dem Schrems-II-Urteil besondere Vorsicht geboten.
Falle 2: Mitarbeiterdaten im Projektplan
In Projektplänen stehen oft vollständige Namen, E-Mail-Adressen, Telefonnummern und sogar Abteilungsinformationen von Mitarbeitern. Wenn dieser Plan dann per E-Mail an externe Partner geht oder in einem öffentlich zugänglichen Tool landet, ist das ein Problem.
Falle 3: Tracking und Analytics ohne Rechtsgrundlage
Digitale Projekte (Website-Relaunch, App-Entwicklung) integrieren oft Tracking-Tools, ohne die notwendige Einwilligung zu implementieren. Cookie-Banner und Consent-Management müssen von Projektbeginn an mitgeplant werden -- nicht als letzter Schritt vor dem Launch.
Falle 4: Externe Dienstleister ohne AV-Vertrag
Freelancer, Agenturen, Berater -- sobald sie Zugriff auf personenbezogene Daten haben (und sei es nur auf Mitarbeiternamen im Projektplan), brauchst du einen ordnungsgemäßen AV-Vertrag. Das wird gerade bei kurzfristigen Beauftragungen oft vergessen.
"Die meisten DSGVO-Probleme in Projekten entstehen nicht durch böse Absicht, sondern durch fehlende Planung. Wer Datenschutz von Anfang an mitdenkt, hat am Ende weniger Arbeit -- nicht mehr."
Projektmanagement-Tools und DSGVO: Worauf achten?
Nicht jedes Projektmanagement-Tool ist automatisch DSGVO-konform. Achte bei der Auswahl auf diese Kriterien:
Server-Standort
Der wichtigste Faktor: Wo werden die Daten physisch gespeichert? Ideal sind Server in der EU (besser noch: in Deutschland). US-Cloud-Anbieter unterliegen dem CLOUD Act, der US-Behörden Zugriff auf Daten ermöglichen kann -- auch wenn die Server in der EU stehen.
Auftragsverarbeitungsvertrag (AVV)
Jeder Cloud-Dienst, der personenbezogene Daten verarbeitet, benötigt einen AVV gemäß Art. 28 DSGVO. Seriöse Anbieter stellen diesen standardmäßig bereit. Wenn ein Anbieter keinen AVV anbietet, ist das ein Warnsignal.
Verschlüsselung und Zugriffskontrollen
Achte auf Verschlüsselung in Transit (TLS) und at Rest (AES-256), rollenbasierte Zugriffskontrollen und die Möglichkeit, Zugriffsrechte granular zu steuern. Kann der Anbieter selbst auf deine Daten zugreifen?
Datenportabilität und Löschung
Kannst du deine Daten exportieren und vollständig löschen lassen? Art. 17 DSGVO (Recht auf Löschung) muss auch durch deinen Tool-Anbieter unterstützt werden.
| Kriterium | Worauf achten | Red Flag |
|---|---|---|
| Server-Standort | EU/EWR, idealerweise Deutschland | Nur US-Server, keine Wahlmöglichkeit |
| AVV | Standardmäßig verfügbar, Art. 28 DSGVO | Kein AVV oder nur auf Nachfrage |
| Verschlüsselung | TLS + AES-256, End-to-End wenn möglich | Keine Verschlüsselung at Rest |
| Zugriffsrechte | Rollenbasiert, granular, auditierbar | Alle Nutzer sehen alles |
| Datenlöschung | Vollständige Löschung auf Anfrage, Backups inkl. | Daten werden nur "deaktiviert" |
US-Tools vs. europäische Alternativen
Das Schrems-II-Urteil des EuGH (Juli 2020) hat das EU-US Privacy Shield für ungueltig erklärt. Seitdem ist die Übermittlung personenbezogener Daten in die USA nur noch unter strengen Auflagen möglich. Zwar gibt es seit Juli 2023 das EU-US Data Privacy Framework (DPF) als Nachfolger, doch dessen langfristige Beständigkeit ist umstritten -- der oesterreichische Datenschutzaktivist Max Schrems hat bereits ein "Schrems III"-Verfahren angekuendigt.
Was bedeutet das für Projektmanagement-Tools?
- US-Tools (Trello, Asana, Monday, ClickUp, Jira): Alle verarbeiten Daten über US-Server oder US-Unternehmen. Sie bieten zwar Standardvertragsklauseln (SCCs) und teilweise EU-Hosting, unterliegen aber weiterhin dem US CLOUD Act. Für sensible Projekte ist das ein Risiko.
- Europäische Alternativen: PathHub AI, OpenProject, Stackfield, Meistertask -- alle mit garantiertem EU-Hosting und DSGVO-konformer Verarbeitung. Kein CLOUD-Act-Risiko.
Für nicht-sensible Projekte können US-Tools mit SCCs und EU-Hosting eine pragmatische Lösung sein. Für Projekte mit sensiblen Daten (Gesundheit, HR, Finanzen) oder in regulierten Branchen empfehlen wir europäische Tools. PathHub AI kombiniert KI-gestützte Planung mit garantiertem EU-Hosting und vollem DSGVO-Schutz.
Wie PathHub AI bei Compliance hilft
PathHub AI wurde in Europa entwickelt und von Grund auf datenschutzkonform konzipiert. Darüber hinaus hilft dir das Tool aktiv, DSGVO-Anforderungen in deinen Projekten zu erkennen:
- Automatische Compliance-Erkennung: Wenn du ein Projekt beschreibst, erkennt die KI automatisch relevante Compliance-Anforderungen. Bei einem CRM-Projekt wird sie z. B. auf die Notwendigkeit einer DSFA, die Einbindung des DSB und die Prüfung von AV-Verträgen hinweisen.
- Stakeholder-Identifikation: Die KI identifiziert datenschutzrelevante Stakeholder wie den Datenschutzbeauftragten, IT-Security, Betriebsrat -- Rollen, die bei manueller Planung oft vergessen werden.
- Risiko-Analyse: Datenschutzrisiken werden als Teil der automatischen Risikoanalyse erkannt und mit Mitigationsstrategien versehen.
- EU-Hosting: Alle Daten bleiben auf europäischen Servern. Projektdaten werden nicht zum KI-Training verwendet.
- Export: Exportiere deinen Projektplan und teile ihn mit dem DSB zur Prüfung -- transparent und nachvollziehbar.
Statt Datenschutz als lästigen Zusatzaufwand zu sehen, integriert PathHub AI Compliance nahtlos in den Planungsprozess. So vergisst du keine Anforderung und sparst dir nachträgliche Korrekturen.