Die technischen und organisatorischen Aspekte der Datensicherheit im Internet werden in Kapitel 3 und Anhang A besprochen. Dieses Kapitel beschäftigt sich mit dem Schutz der persönlichen Daten vor Missbrauch.
Ein sorgfältiger Umgang mit personenbezogenen Daten gilt für alle Projekte. Bei Projekten, in denen weltweit verteilte virtuelle Teams arbeiten, muss sich der Projektmanager, der letztendlich auch für dieses Thema verantwortlich ist, bezüglich des Datenschutzes einige Gedanken mehr machen. Wir beschränken uns im Folgenden nur auf die Situationen im Projekt, in denen persönliche Daten entstehen und verwendet werden. Dabei gehen wir davon aus, dass alle Teammitglieder über ein internetbasiertes Projekt-Portal auf gemeinsame Projektinformation zugreifen können.
· In virtuellen Projektteams kommunizieren die Teammitglieder überwiegend elektronisch. Um diese Kommunikation zu erleichtern und das subjektive Gefühl der räumlichen Nähe herzustellen, wie in Abschnitt 1.3.4.2 besprochen, ist es hilfreich und wird empfohlen, umfassende Kontaktinformation über jedes Mitglied im Team den anderen Teammitgliedern zur Verfügung zu stellen[i]. Dazu gehören beispielsweise alle Telefonnummern, Zeiten und Präferenzen für die beste Erreichbarkeit, fachliche Schwerpunkte, Kenntnisse und Fähigkeiten, persönliche Hobbys, Foto u. a., also ausgesprochen schutzwürdige personenbezogene Daten. Diese Informationsseiten werden in den Regel von den Teammitgliedern selbst erstellt und administriert. Der Projektleiter trägt die Verantwortung dafür, dass diese Daten gemäß den Datenschutzforderungen behandelt werden.
· In einigen Projekten entstehen darüber hinaus in Abhängigkeit von ihrem Inhalt personenbezogene Daten: z. B. Mitarbeiterdaten bei Organisationsprojekten oder Kundendaten bei CRM-(Customer Relationship Management) oder E-Business-Projekten.
Sowohl das deutsche Datenschutzgesetz als auch die europäische Datenschutzrichtlinie, die im Oktober 1998 in Kraft trat, gehen vom Territorialprinzip aus. Ausschlaggebend für die Anwendbarkeit des Datenschutzrechts ist also der geografische Ort der Datenhaltung und Datenverarbeitung. Die europäische Datenschutzrichtlinie legt außerdem fest, dass personenbezogene Daten nur dann in Nicht-EU-Länder übermittelt werden können, wenn diese einen „angemessenen“ Schutz der Privatsphäre gewährleisten. Dabei haben auch innerhalb der EU die einzelnen Länder unterschiedlich hohe Datenschutzstandards, Deutschland gehört zu den Ländern mit den höchsten Schutzansprüchen.
Da das Internet von Anfang an als ein offenes Netzwerk konzipiert wurde, weisen viele Merkmale der Kommunikationsprotokolle Aspekte auf, die diese Datenschutzgesetze vor neue Herausforderungen stellen. Die von den TCP/IP-Datenpaketen verfolgte Route ist dynamisch und verläuft nach dem Kriterium der besten Leistung. Im Fernmeldewesen hängt die Leistung eher von Überlastungen im Netzwerk ab als vom physikalischen Abstand zwischen Netzknoten. Dies bedeutet, dass der „kürzeste“ Weg zwischen zwei Städten, die etwa im selben EU-Mitgliedstaat liegen, über Nicht-EU-Staaten verlaufen kann, die unter Umständen keinen angemessenen Datenschutz gewährleisten. Der durchschnittliche Internet-Nutzer hat keine Möglichkeit, auf die Wahl der Strecke Einfluss zu nehmen oder diese Strecke zu ändern, selbst wenn er weiß, welche zu einem bestimmten Zeitpunkt eingeschlagen wird. Die größte Anzahl an Netzknotenrechnern steht derzeit immer noch in den USA; das heißt, dass zur Zeit der Überlastung der europäische Internet-Verkehr über die US-Netze abgewickelt wird.
Die USA verwenden für den Datenschutz einen sektoralen Ansatz, der auf einer Mischung von Rechtsvorschriften, Verordnungen und Selbstregulierung basiert. Von der Existenz einer europäischen Datenschutzrichtlinie schien man in den USA zunächst bis etwa Mitte 1998 nicht sonderlich beeindruckt zu sein. Dies änderte sich, als die EU-Datenschützer den amerikanischen Wirtschaftsorganisationen klar machten, dass im äußersten Fall mangels hinreichenden Schutzniveaus in den USA als so genanntem Drittstaat strafbewehrte Verbote von Datentransfer aus den EU-Ländern drohten. Viele US-Organisationen und ebenso ihre europäischen Geschäftspartner fühlten sich bezüglich möglicher rechtlicher Auswirkungen verunsichert. Diese Forderung der EU führte zu langwierigen Verhandlungen und drohte sogar zeitweilig einen offenen Handelskrieg durch eine europäische Blockade des lukrativen E-Commerce auszulösen[ii]. Inzwischen wurde dieser Konflikt durch die Annahme der so genannten „Safe Harbor-Prinzipien“[iii] im Mai 2000 beigelegt. Diese Prinzipien sehen vor, dass das US-Handelsministerium ein Verzeichnis derjenigen Unternehmen führt, die sich auf die Grundsätze eines angemessenen Datenschutzes öffentlich verpflichtet haben.
Generalisierte Leitlinien für den Schutz der Daten im Cyberspace müssen jedoch noch entwickelt werden. Die EU-Kommission arbeitet derzeit an einem Entwurf für eine neue europäische Richtlinie zum Datenschutz in den elektronischen Kommunikationsmedien, also auch im Internet. Die neuen Rechtsvorschriften sollen spätestens Anfang 2002 eingeführt werden[iv].
Aus den heutigen EU-Anforderungen an den Datenschutz resultieren für ein internationales Projekt folgende Konsequenzen:
· Eine Analyse der Datenschutzanforderungen muss ein fester Bestandteil der Projektumfeld-Analyse sein.
· Die aus der Analyse der Datenschutzanforderungen resultierenden Maßnahmen sind vorzugsweise mit einem Datenschutzbeauftragten abzustimmen.
· Das Projektteam muss für die Problematik des Datenschutzes sensibilisiert werden und muss Grundsätze des Datenschutzes befolgen. Je nach dem diesbezüglichen Reifegrad der Projektmitarbeiter ist hierfür genug Zeit und Budget für Schulung, Einführung und eventuelle Unterstützung durch einen Datenschutzbeauftragten einzuplanen. Die Verträge mit den externen Projektpartnern sollten darüber hinaus eine Datenschutz-Klausel enthalten.
· Der Standort des Projektrechners, bzw. das virtuelle Projektbüro, darf in der Regel nicht in einem Drittland mit unzureichendem Datenschutzniveau oder – wenn in den USA – nicht in einem Unternehmen stehen, dass nicht der „Safe Harbor“-Gruppe angehört.
· Die Verträge mit allen Service-Lieferanten, insbesondere auch mit ASP , sollten Datenschutz-Klauseln enthalten.
· Der Betriebsrat sollte als Stakeholder[v] in das Projekt integriert und über die Projektressourcenplanung und Projektfortschrittsmessung informiert werden. Für große Projekte ist bei Bedarf eine gesonderte Betriebsvereinbarung abzuschließen.
Anmerkung:
In den deutschen Unternehmen sind die Betriebsräte in der Regel strenger als die Datenschützer. Noch Mitte der achtziger Jahre erlaubte bei einem großen deutschen Telekommunikations-Unternehmen der Betriebsrat nicht die Erfassung und Verfolgung der Projekt-Ist-Daten, weil er diese als persönliche Leistungsmessung der Projektmitarbeiter einstufte. Für ein damals aktuelles Großprojekt wurde die Projektplanung vorgenommen und danach die Projektpläne eingefroren. Dass das Projekt nicht ganz pünktlich beendet wurde, war nicht für alle Beteiligten überraschend. Heute sind die Betriebsräte nicht mehr ganz so restriktiv. Dennoch haben sie ein sehr starkes Mitspracherecht nicht nur bei personenbezogenen Daten, sondern auch bei allen Projektergebnissen, die eine Änderung der Arbeitsplatzbedingungen zu Folge haben. Es empfiehlt sich deshalb, den deutschen Betriebsrat sowohl bei nationalen als auch bei internationalen Projekten als einen wichtigen Stakeholder immer in das Projektboot zu nehmen! Ist der Projektleiter aus einem anderen Land der Welt, ist dies allerdings mit etwas Aufklärungsarbeit verbunden.
[i] Martha Haywood in [Haywood 1998] empfiehlt für jedes Team-Mitglied eine persönliche Web-Seite.
[ii] Mehr über Datenschutz im Internet ist in [Bäumler 2000] nachzulesen.
[iii] Ein Zwischenstandsbericht über die EU/US-Datenschutz-Vereinbarung „Safe Harbor Prinziples“ wurde in DuD, Datenschutz und Sicherheit 24/2000 veröffentlicht.
[iv] Über die Arbeit der EU-Kommission an einem Entwurf für eine neue europäische Richtlinie zum Datenschutz in den elektronischen Kommunikationsmedien, also auch im Internet, berichtete z. B. die Computerwoche 47/2000 auf Seite 37. Die neuesten Informationen können auf den Web-Seiten des Bundesbeauftragten für den Datenschutz eingesehen werden unter www.bfd.bund.de.
[v] Stakeholder (ein Begriff aus dem Projektmanagement und Qualitätsmanagement) sind Interessenten-Gruppen, Organisationen oder Personen, die von den Projektergebnissen in irgendeiner Weise betroffen sind und gegenüber dem Projekt spezifische Erwartungen oder Befürchtungen haben.