Der Einsatz und die Arbeit der Rotkreuz- und Rothalbmond-Bewegung findet „nah am Menschen“ statt. Für die Verwaltung bedeutet das: Tagtäglich werden unzählige personenbezogene Daten verarbeitet. Die seit Mai 2018 verbindliche DSGVO veranlasste das Österreichische Rote Kreuz zu einer Revision des Datenschutzmanagements. Um Datenschutzprozesse einheitlich zu strukturieren und DSGVO-konform zu gestalten, setzt die Organisation nun die Spezialsoftware otris privacy ein.
Das Österreichische Rote Kreuz ist landesweit die größte Hilfsorganisation. Rettungs-, Pflege-, Blutspende-und Suchdienste sind die Hauptbetätigungsfelder. Hinzu kommen internationale Hilfsdienste mit einem Gesamtvolumen von über 20 Millionen Euro im Jahr 2017. In Österreich beschäftigt der gemeinnützige Verein mehr als 8.000 Mitarbeiter hauptberuflich und wird von rund 80.000 freiwilligen Helfern sowie Zivildienstleistenden unterstützt.
Großer Datenbestand mit hohem Schutzbedarf
Die hohe Zahl an Mitarbeitern macht deutlich: Datenschutz ist eine große Herausforderung für das Österreichische Rote Kreuz. Jeder Mitarbeiter – festangestellt oder freiwilliger Helfer – hat das Recht, dass seine persönlichen Daten konform zu den Vorgaben der Datenschutzgrundverordnung (DSGVO) geschützt werden.
Nicht weniger sensibel und schutzbedürftig ist der Bestand an Patientendaten, Spenderdaten oder den Daten aus Hilfsprojekten.
Das Österreichische Rote Kreuz ist organisatorisch in neun, rechtlich eigenständige, Landesverbände untergliedert, die ihr Datenschutzmanagement eigenverantwortlich organisieren. Von Vorteil ist, dass hierdurch der große Bestand personenbezogener Daten unterteilt wird. Die Aufteilung ist jedoch gleichzeitig eine Herausforderung, da das Österreichische Rote Kreuz Datenschutz organisationsweit nach einheitlichen Kriterien betreibt.
Datenschutz vor der DSGVO
Schon vor Inkrafttreten der neuen europaweiten Datenschutzgesetzgebung prüfte das Österreichische Rote Kreuz sämtliche Prozesse auf geltende Datenschutzvorgaben. Selbstentwickelte und organisch gewachsene Systeme halfen den Datenschutzverantwortlichen in den einzelnen Landesverbänden bei der Überprüfung aller Verarbeitungstätigkeiten.
Die neuen datenschutzrechtlichen Bestimmungen stellten das Österreichische Rote Kreuz vor die Herausforderung das organisationsweite Datenschutzmanagement einer Revision zu unterziehen und anzupassen. Da die selbstentwickelten Systeme bei dieser Aufgabe an ihre Grenzen gerieten, suchte die Organisation nach einer Speziallösung.
Suche nach geeignetem System
Eine Online-Recherche ergab, dass es neben otris privacy nur wenige Softwaresysteme am Markt gibt, die den Anforderungen des Österreichischen Roten Kreuzes gerecht werden. Der Einsatz in einem Landesverband mit anschließender Empfehlung an das Generalsekretariat führte zu dem Entschluss, otris privacy bundesweit in fast allen Organisationseinheiten einzusetzen. Neben der Empfehlung durch den Landesverband waren folgende Kriterien ausschlaggebend: Strukturierter Aufbau des Verarbeitungsverzeichnisses, Zuordnung von Verarbeitungen auf Standorte und / oder Abteilungen, Abbildung von Datenschutzworkflows, Task- und Terminverwaltung für Maßnahmen, einheitliche Struktur und leichter Datenzugriff.
Datenschutz mit otris privacy
Durch den Einsatz von otris privacy unterstützt das Österreichische Rote Kreuz eine organisationseinheitenübergreifende einheitliche Datenschutz-Strategie. Die Landesverbände, die otris privacy einsetzen, organisieren ihr Datenschutzmanagement nach vorgegebener Struktur – transparent und nachvollziehbar. Das erzeugt Synergien und erleichtert den inhaltlichen Austausch der Verbände untereinander.
Der Haupteinsatzzweck der Software liegt in der Dokumentation der Verarbeitungstätigkeiten sowie der sich anschließenden Prüfung und Optimierung. „Einen großen Vorteil gegenüber unseren bisherigen, selbstentwickelten Systemen sehe ich in der relationalen Datenstruktur des Verarbeitungsverzeichnisses und der einfachen Möglichkeit zur Einbindung von Checklisten“, erklärt ein Datenschutzbeauftragter des Österreichischen Roten Kreuzes. „Zusätzlich gefällt uns das Rechtemanagement der Software: Wir können Rollen für verschiedene Datenschutzprozesse verteilen und haben die Möglichkeit, Mitarbeitern Aufgaben zuzuordnen, um Optimierungen und Anpassungen einzuleiten und die Abarbeitung zu überwachen.“
Eine große Organisation mit großer Verantwortung
Die Landesverbände des Österreichischen Roten Kreuzes betreiben ihr Datenschutzmanagement eigenverantwortlich. Der einzelne Verband aber auch die Dachorganisation wissen um die Bedeutung eines gewissenhaften Datenschutzes. DSGVO-Verstöße, die öffentlich werden, ziehen nicht nur einen wirtschaftlichen, sondern auch einen Imageschaden nach sich, der auf die gesamte Organisation abfärbt. Um dieses Risiko zu minimieren und der Compliance-Verantwortung einer großen anerkannten Organisation nachzukommen, nutzt das Österreichische Rote Kreuz otris privacy.
(Das Bildmaterial wurde vom Österreichischen Roten Kreuz (https://www.roteskreuz.at/) zur Verfügung gestellt.)
