DatenschutzIn die Arbeitsorganisation integrieren

Für viele Verwaltungen bleibt das Thema Datenschutz eine große Herausforderung. Ein Blick in die Verwaltungspraxis zeigt, dass es oft schon an der Erhebung datenschutzrelevanter Informationen hapert. Dabei bilden diese die Basis für datenschutzrechtliche Entscheidungen. Oft sind sie aber unvollständig und/oder von mangelhafter Qualität, sodass keine adäquaten Entscheidungen zu Risiko, Schutzbedarf oder zu Schutzmaßnahmen getroffen werden können. Grund dafür ist die häufig fehlende Bereitschaft zur Kooperation und Zusammenarbeit beim Datenschutz in den Organisationen. Auch mangelt es an Sensibilität für das Thema. Das führt unter anderem dazu, dass viele Mitarbeitende nicht verstehen, wie sich ihr (Arbeits-)Verhalten und ihre Arbeitsweise auf die Datenschutzkonformität auswirken. Um den Datenschutz in die Organisation als selbstverständliches Daily-Business und somit als Teil der Organisationskultur zu integrieren, bedarf es also erheblicher Interaktion und intensiver (organisationaler) Lernprozesse. Um die Herausforderungen bei der Umsetzung des Datenschutzes einfacher meistern zu können, hilft ein konkretes methodisches Vorgehen.

Komplex, intransparent, Unverständnis

Die generellen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind drei Jahre nach ihrem Inkrafttreten überall bekannt. In den Verwaltungen wird Datenschutz aber oft noch als Thema für Rechtsexperten gesehen und fristet nach wie vor ein Silo-Dasein. Für Führungskräfte hat das Thema selten Priorität oder es mangelt am Verständnis für ihre Verantwortlichkeit. Dabei stellt die DSGVO klar, dass Datenschutz alle in der Organisation betrifft und die Verantwortlichen eben nicht die Datenschutzbeauftragten (DSB), sondern die Behördenleitungen sind.
So wie Datenschutz bislang betrieben wird, hat er eigentlich keine Chance, in der (Arbeits-) Organisation anzukommen – ein Schicksal, das das Thema mit der IT-Sicherheit teilt. In der Folge bleibt Datenschutz eine Black Box im Organisationsgefüge, in die man, wenn es gar nicht zu vermeiden ist, etwas hineingibt und aus der im günstigsten Fall eine positive Entscheidung herauskommt. Fakt ist jedoch: die komplexen Datenschutzanforderungen können nur dann erfüllt werden, wenn sie in der gesamten Organisation verstanden und auch als Teil der Kultur gelebt werden. Deswegen kommt man nicht umhin, das Thema stärker in der Organisation zu verankern und nicht nur auf einzelne oder gar an externe Experten – nach dem Motto „aus den Augen, aus dem Sinn“ – abzuwälzen.
Datenschutz muss, und hier kann bewusst normativ formuliert werden, Teil der Arbeitsorganisation werden, soll er nachhaltig funktionieren. Dazu müssen nicht nur Mitarbeitende für das Thema sensibilisiert werden. Vielmehr sind es die Führungskräfte, die dafür Sorge zu tragen haben, dass Prozesse und Arbeitsabläufe von Anfang an datenschutzkonform gestaltet werden. Es stellt sich somit die Frage, wie Compliance-Anforderungen – wie die DSGVO – besser in die Arbeitsorganisation eingebettet werden können. Und zwar so, dass der Umsetzungsaufwand für alle Beteiligten möglichst gering ist.

Wege in eine datenschutzkonforme Verwaltung

Da das bisherige Vorgehen in vielen Verwaltungen nicht funktioniert, braucht es eine neue Herangehensweise an den „Fremdkörper“ Datenschutz. Soll das zunächst sperrig anmutende Thema akzeptiert werden, muss es mehr oder weniger „unspürbar“ in die Arbeitsorganisation integriert werden. Basierend auf einer empirischen Umfrage in Verwaltungen/Behörden unterschiedlicher Größe wurden dazu Problembereiche identifiziert und Handlungsbereiche abgeleitet. Die im folgenden dargestellten Maßnahmen sind nicht primär datenschutzrechtlich. Sie folgen der Erkenntnis, dass es an der Umsetzung in der Arbeitsorganisation und dem Bewusstsein mangelt, nicht jedoch am generellen Wissen um die Problematik.
Zunächst gilt es, einen niedrigschwelligen Zugang zum Thema zu gewährleisten. „Die“ DSGVO und „der“ Datenschutz wurden über die Jahre zu einer Hürde aufgebaut, indem regelmäßig eher auf deren Komplexität als auf die Ziele und Zwecke verwiesen wurde. Unbestritten weist das Datenschutzrecht eine hohe Komplexität auf. Doch anstatt es als Ganzes und damit komplexen Monolithen zu betrachten, sollte die Komplexität reduziert werden. Das gelingt, indem beispielsweise zwischen der Entscheidungsvorbereitung, also der Erhebung von datenschutzrelevanten Informationen, und der eigentlichen datenschutzrechtlichen Entscheidung getrennt wird.
In einem weiteren Schritt müssen zuständigkeitsübergreifende Kommunikationsprozesse etabliert werden. Die Arbeit in Verwaltungen ist bis auf einige Ausnahmen wenig auf Kooperation und Zusammenarbeit ausgerichtet, sondern eher an Zuständigkeiten und formalen Kommunikationsabläufen orientiert. Das zeigt sich auch im „Beauftragten(un)wesen“. Das führt dazu, dass Datenschutzbeauftragte oft Einzelkämpfer sind und gegen eine ganze Organisation antreten müssen. Datenschutz lässt sich aber nur als Organisationsaufgabe fachübergreifend und kooperativ umsetzen.

An den richtigen Stellen ansetzen

Datenschutz ist in die Arbeitsorganisation zu integrieren, da er originäre Aufgabe der Führungskräfte in der Linie ist. Auch für diesen Personenkreis muss nach der DSGVO die Delegationslogik der Verwaltung enden: Die Behördenleitung ist verantwortlich. Dazu muss sie nicht die Komplexität des Themas in der letzten Tiefe verstehen. Vielmehr sollte sie, ähnlich wie bei Digitalisierungsaspekten, die Wirkung für ihre Arbeit und Aufgaben (strategisch) einschätzen können. Führungskräfte brauchen also neue Kompetenzen im Bereich Kooperation und Zusammenarbeit. Insbesondere müssen sie die Fähigkeit erwerben, komplexe Sachverhalte, wie die DSGVO-Anwendung für die Beschäftigten übersetzen zu können. So können sie auch die Wirkung für die Arbeit des eigenen Bereichs beurteilen.
Nicht erst seit der DSGVO gibt es die Anforderung, Datenschutz durch Technikgestaltung zu erreichen. Das heißt, dass zum frühestmöglichen Zeitpunkt einer Entwicklung oder anstehenden Änderung technische und organisatorische Maßnahmen getroffen werden, die darauf ausgelegt sind, Datenschutzgrundsätze von Beginn an zu garantieren. Diese Anforderung an technische Systeme ist auf das Vorgehen bei der Prozess- und Organisationsgestaltung zu übertragen. Das bedeutet, dass Prozessgestaltungen von Beginn an datenschutzsensitiv vorzunehmen sind. Und zwar so, dass entsprechende Schutzmaßnahmen in den Prozessablauf von Anfang an integriert und für den Bearbeiter so als selbstverständlicher Teil des Prozesses empfunden werden.

Einfache Methoden und Hilfsmittel

Kernelement der Integration von Datenschutz in die Arbeitsorganisation sind einfach anwendbare Methoden, die bereits bei der Datenerhebung ansetzen. Methoden und Tools sind so zu gestalten, dass diese auch von Nicht-Experten intuitiv anwendbar sind: Sie müssen einfach durch die Komplexität hindurchgeleitet werden können. Auf diese Weise wird Datenschutz während der Methodenanwendung gelernt/vertieft und entsprechende Konformität erreicht, ohne jedes Mal teure Experten einkaufen zu müssen. Mit anderen Worten: die Datenschutzkomplexität muss intelligent in der Methode eingebaut und versteckt sein. Hierfür hat sich die aus der Industrie stammende Methode der Modularisierung bewährt. Mit ihr werden komplexe Sachverhalte strukturiert und bausteinartig zerlegt. Mittels festgelegter (Prüf-)Abläufe werden dann die Bausteine wieder zusammengefügt. Es wird eine hohe Vorfertigung und Ergebnisqualität erreicht, was enormen Aufwand spart. Sind qualitative hochwertige Daten vorhanden, können Tools und Anwendungen eingesetzt werden, die Verantwortliche und DSB bei Bewertung und Interpretation der Daten unterstützen.
Schritte zum Erreichen der DSGVO-Konformität in Verwaltungen lesen Sie morgen im zweiten Teil des Beitrags.