Beschreibung der Beschaffung
Im Zuge der Projektimplementierung von Vorhaben gehen beim Data Helpdesk unregelmäßig Fragen von Mitarbeitern der Außenstruktur ein. Diese Fragen hinsichtlich der Rechte und Pflichten des jeweiligen Vorhabens der GIZ bei der Planung und Umsetzung von digitalen Projekten, gemäß Datenschutz-Grundverordnung (DSGVO), Bundesdatenschutzgesetz (BDSG, TTGSD, n.F.) sowie sonstigen bestehenden und zukünftig in Kraft tretenden Datenschutzvorschriften der Europäischen Union bzw. lokal anwendbarer Gesetze sowie interner Richtlinien sind Gegenstand der Aufgaben des AN.
Als einzelne Beratungsgegenstände sind Aspekte zu Technologien und Infrastruktur, Anwendungssoftware und Plattformen, Datenbanken, Datenanalyse und Datenmining, Datenvisualisierung und strategische Kompetenzentwicklung im Rahmen folgender digitaler Projekte auf nationaler und internationaler Ebene denkbar:
- Erstellen und Unterhalten von Websites,
- Programmieren von Apps,
- Aufbau von Data Warehouses,
- Einsatz von Software,
- Nutzung von Daten zu Monitoring Zwecken.
- Durchführung von Veranstaltungen und Trainings
In allen Fällen können die jeweils zugehörigen vor- und nachgelagerten Abläufe (Erhebung, Verarbeitung und Speicherung; Veröffentlichung von personenbezogenen Daten, Bild- und Tonaufnahmen, Unterschriften, Kurzlebensläufe; Einverständniserklärungen, Data Policys und Nutzungsbedingungen) ebenfalls Beratungsgegenstand sein. Die datenschutzrechtliche Beratung soll folgende Bereiche abdecken:
2.1.1 Beratung Datenschutz Kunden- und Nutzerdatenschutz:
Beratung von Vorhaben zur Erstellung der Meldungen zum GIZ-Verzeichnis der Verarbeitungstätigkeiten (VVT)
a. Prüfung, ob ein Fall der Auftragsverarbeitung (AV- GIZ Begrifflichkeit: AuV), gemeinsamen Verantwortung oder eigenständigen Verarbeitung vorliegt und Aufzeigen der entsprechenden Folgen
b. Beratung der Vorhaben zur Verwendung von Standardvertragsklauseln gemäß Artikel 46 DSGVO
c. Beratung bei der Einhaltung der Konformität von Vorhaben-Webseiten und Web-Applikationen
d. Beratung der Vorhaben zu DSGVO-konformer Durchführung von Veranstaltungen und deren Dokumentationen
e. Unterstützung der Vorhaben bei der Erstellung datenschutzrechtlicher Inhalte wie beispielsweise Einwilligungserklärungen, Datenschutzhinweise nach DSGVO sowie datenschutzrelevante Aspekte der Nutzungsbedingungen
2.1.2 Beratung Kunden- und Nutzerdatenschutz:
a. Handlungsempfehlungen an die Vorhaben zur Beschreibung aller erforderlichen und meldepflichtigen zu tätigenden Schritte, die zur datenschutzkonformen Verarbeitung personenbezogener Daten notwendig sind und zu erfolgen haben, ggf. unter Verwendung von Textbausteinen .
b. Beratung zum Vorgehen bei der Evaluierung der Rechtmäßigkeit sowie Verhältnismäßigkeit (Art, Umfang, Zweck) einer geplanten Verarbeitung (Erhebung, Speicherung, Verwendung etc.) der im Zusammenhang mit dem Vorhaben gesammelten personenbezogenen Daten.
c. Beratung der Vorhaben bei der Beurteilung der Notwendigkeit und Erklärung der Grundprinzipien einer möglichen Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für die Datenverarbeitung gemäß DSGVO / BDSG neu.
d. Beratung der Vorhaben bei der Beurteilung potenzieller Datentransfers und Erläuterungen zu DSGVO-konformen Datentransfer, unter Beachtung und Definition der Rechte externer Partner an den im Rahmen des Vorhabens anfallenden Nutzerdaten.
e. Erstellung der datenschutzrechtlich relevanten Passagen bei allgemeinen Nutzungsbedingungen für die Nutzung der digitalen Produkte in den Vorhaben oder mit Bezug zu Vorhaben.
f. Beurteilung von Sachverhalten in Bezug auf national im Vorhaben jeweils geltende Gesetze und Normen zum Datenschutz und ggf. Erstellung von Kurzgutachten dazu.
g. Erstellung einer schriftlichen Zusammenfassung von umfangreicheren bzw. schwierigen Fällen nach Absprache als Grundlage eines zu erstellenden Wissensdokumentes, das die selbständige Bearbeitung vergleichbarerer Fälle für die MA der AG ermöglichen bzw. vereinfachen soll (Beiträge zum Wissensmanagement ggf. in Form von Kurzgutachten zum konkreten Fall).
h. Kommentierung von, im Rahmen einer IT-Tool Ausschreibung in einem Vorhaben durch die GIZ Mitarbeiter*innen erstellten, ToRs aus datenschutzrechtlicher Sicht. Die kommentierte Fassung ist, soweit nichts anderes vereinbart wird, zur Qualitätskontrolle zunächst an die ständigen Ansprechpartner der AG mit der Bitte um Freigabe zu senden, bevor die Kommentierung an die fachlich zuständige Einheit der AGs gesandt werden kann.
2.1.3 Beratung Datenschutz Technik und Betrieb:
a. Beratung der Vorhaben zur Bestimmung des angemessenen Schutzniveaus für die Daten und zur Datenintegrität gemäß DSGVO bzw. lokaler Richtlinien und Gesetze.
b. Beratung der Vorhaben zur Spezifikation der datenschutzrechtlichen Anforderungen an die technische Umsetzung der IT-Produkte und das ggf. dazugehörige Hosting, sowie an den datenschutzkonformen Betrieb des IT-Systems
c. Erläuterung und Hilfe bei der Anwendung von (GIZ internen) datenschutzrechtlichen Standarddokumenten (wie z.B. Auftragsverarbeitung und VVT) unter direkter oder analoger Anwendung der DSGVO / BDSG neu in Fällen außerhalb des Anwendungsbereichs der DSGVO
d. Erstellung einer schriftlichen Zusammenfassung von umfangreicheren bzw. schwierigen Fällen nach Absprache als Grundlage eines zu erstellenden Wissensdokumentes, das die selbständige Bearbeitung vergleichbarerer Fälle für die MA der AG ermöglichen bzw. vereinfachen soll (Beiträge zum Wissensmanagement ggf. in Form von Kurzgutachten zum konkreten Fall).
2.1.4 Sonderaufträge und Beratung des Data Helpdesk zu spezifischen Fragestellungen außerhalb konkreter Vorhaben:
Beratung bei der Umsetzung und Auslegung von Standards zum Datenschutz für die Anwendung in Vorhaben. Ggf. Erstellung von Rechtsgutachten zu ausgewählten Fragestellungen und / oder Erstellung konzeptioneller datenschutzrechtlicher Unterlagen auf Anfrage.