DatenschutzIn die Arbeitsorganisation integrieren
Für viele Verwaltungen bleibt das Thema Datenschutz eine große Herausforderung. Ein Blick in die Verwaltungspraxis zeigt, dass es oft schon an der Erhebung datenschutzrelevanter Informationen hapert. Dabei bilden diese die Basis für datenschutzrechtliche Entscheidungen. Oft sind sie aber unvollständig und/oder von mangelhafter Qualität, sodass keine adäquaten Entscheidungen zu Risiko, Schutzbedarf oder zu Schutzmaßnahmen getroffen werden können. Grund dafür ist die häufig fehlende Bereitschaft zur Kooperation und Zusammenarbeit beim Datenschutz in den Organisationen. Auch mangelt es an Sensibilität für das Thema. Das führt unter anderem dazu, dass viele Mitarbeitende nicht verstehen, wie sich ihr (Arbeits-)Verhalten und ihre Arbeitsweise auf die Datenschutzkonformität auswirken. Um den Datenschutz in die Organisation als selbstverständliches Daily-Business und somit als Teil der Organisationskultur zu integrieren, bedarf es also erheblicher Interaktion und intensiver (organisationaler) Lernprozesse. Um die Herausforderungen bei der Umsetzung des Datenschutzes einfacher meistern zu können, hilft ein konkretes methodisches Vorgehen.
Komplex, intransparent, Unverständnis
Die generellen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind drei Jahre nach ihrem Inkrafttreten überall bekannt. In den Verwaltungen wird Datenschutz aber oft noch als Thema für Rechtsexperten gesehen und fristet nach wie vor ein Silo-Dasein. Für Führungskräfte hat das Thema selten Priorität oder es mangelt am Verständnis für ihre Verantwortlichkeit. Dabei stellt die DSGVO klar, dass Datenschutz alle in der Organisation betrifft und die Verantwortlichen eben nicht die Datenschutzbeauftragten (DSB), sondern die Behördenleitungen sind.
So wie Datenschutz bislang betrieben wird, hat er eigentlich keine Chance, in der (Arbeits-) Organisation anzukommen – ein Schicksal, das das Thema mit der IT-Sicherheit teilt. In der Folge bleibt Datenschutz eine Black Box im Organisationsgefüge, in die man, wenn es gar nicht zu vermeiden ist, etwas hineingibt und aus der im günstigsten Fall eine positive Entscheidung herauskommt. Fakt ist jedoch: die komplexen Datenschutzanforderungen können nur dann erfüllt werden, wenn sie in der gesamten Organisation verstanden und auch als Teil der Kultur gelebt werden. Deswegen kommt man nicht umhin, das Thema stärker in der Organisation zu verankern und nicht nur auf einzelne oder gar an externe Experten – nach dem Motto „aus den Augen, aus dem Sinn“ – abzuwälzen.
Datenschutz muss, und hier kann bewusst normativ formuliert werden, Teil der Arbeitsorganisation werden, soll er nachhaltig funktionieren. Dazu müssen nicht nur Mitarbeitende für das Thema sensibilisiert werden. Vielmehr sind es die Führungskräfte, die dafür Sorge zu tragen haben, dass Prozesse und Arbeitsabläufe von Anfang an datenschutzkonform gestaltet werden. Es stellt sich somit die Frage, wie Compliance-Anforderungen – wie die DSGVO – besser in die Arbeitsorganisation eingebettet werden können. Und zwar so, dass der Umsetzungsaufwand für alle Beteiligten möglichst gering ist.
Wege in eine datenschutzkonforme Verwaltung
Da das bisherige Vorgehen in vielen Verwaltungen nicht funktioniert, braucht es eine neue Herangehensweise an den „Fremdkörper“ Datenschutz. Soll das zunächst sperrig anmutende Thema akzeptiert werden, muss es mehr oder weniger „unspürbar“ in die Arbeitsorganisation integriert werden. Basierend auf einer empirischen Umfrage in Verwaltungen/Behörden unterschiedlicher Größe wurden dazu Problembereiche identifiziert und Handlungsbereiche abgeleitet. Die im folgenden dargestellten Maßnahmen sind nicht primär datenschutzrechtlich. Sie folgen der Erkenntnis, dass es an der Umsetzung in der Arbeitsorganisation und dem Bewusstsein mangelt, nicht jedoch am generellen Wissen um die Problematik.
Zunächst gilt es, einen niedrigschwelligen Zugang zum Thema zu gewährleisten. „Die“ DSGVO und „der“ Datenschutz wurden über die Jahre zu einer Hürde aufgebaut, indem regelmäßig eher auf deren Komplexität als auf die Ziele und Zwecke verwiesen wurde. Unbestritten weist das Datenschutzrecht eine hohe Komplexität auf. Doch anstatt es als Ganzes und damit komplexen Monolithen zu betrachten, sollte die Komplexität reduziert werden. Das gelingt, indem beispielsweise zwischen der Entscheidungsvorbereitung, also der Erhebung von datenschutzrelevanten Informationen, und der eigentlichen datenschutzrechtlichen Entscheidung getrennt wird.
In einem weiteren Schritt müssen zuständigkeitsübergreifende Kommunikationsprozesse etabliert werden. Die Arbeit in Verwaltungen ist bis auf einige Ausnahmen wenig auf Kooperation und Zusammenarbeit ausgerichtet, sondern eher an Zuständigkeiten und formalen Kommunikationsabläufen orientiert. Das zeigt sich auch im „Beauftragten(un)wesen“. Das führt dazu, dass Datenschutzbeauftragte oft Einzelkämpfer sind und gegen eine ganze Organisation antreten müssen. Datenschutz lässt sich aber nur als Organisationsaufgabe fachübergreifend und kooperativ umsetzen.
An den richtigen Stellen ansetzen
Datenschutz ist in die Arbeitsorganisation zu integrieren, da er originäre Aufgabe der Führungskräfte in der Linie ist. Auch für diesen Personenkreis muss nach der DSGVO die Delegationslogik der Verwaltung enden: Die Behördenleitung ist verantwortlich. Dazu muss sie nicht die Komplexität des Themas in der letzten Tiefe verstehen. Vielmehr sollte sie, ähnlich wie bei Digitalisierungsaspekten, die Wirkung für ihre Arbeit und Aufgaben (strategisch) einschätzen können. Führungskräfte brauchen also neue Kompetenzen im Bereich Kooperation und Zusammenarbeit. Insbesondere müssen sie die Fähigkeit erwerben, komplexe Sachverhalte, wie die DSGVO-Anwendung für die Beschäftigten übersetzen zu können. So können sie auch die Wirkung für die Arbeit des eigenen Bereichs beurteilen.
Nicht erst seit der DSGVO gibt es die Anforderung, Datenschutz durch Technikgestaltung zu erreichen. Das heißt, dass zum frühestmöglichen Zeitpunkt einer Entwicklung oder anstehenden Änderung technische und organisatorische Maßnahmen getroffen werden, die darauf ausgelegt sind, Datenschutzgrundsätze von Beginn an zu garantieren. Diese Anforderung an technische Systeme ist auf das Vorgehen bei der Prozess- und Organisationsgestaltung zu übertragen. Das bedeutet, dass Prozessgestaltungen von Beginn an datenschutzsensitiv vorzunehmen sind. Und zwar so, dass entsprechende Schutzmaßnahmen in den Prozessablauf von Anfang an integriert und für den Bearbeiter so als selbstverständlicher Teil des Prozesses empfunden werden.
Einfache Methoden und Hilfsmittel
Kernelement der Integration von Datenschutz in die Arbeitsorganisation sind einfach anwendbare Methoden, die bereits bei der Datenerhebung ansetzen. Methoden und Tools sind so zu gestalten, dass diese auch von Nicht-Experten intuitiv anwendbar sind: Sie müssen einfach durch die Komplexität hindurchgeleitet werden können. Auf diese Weise wird Datenschutz während der Methodenanwendung gelernt/vertieft und entsprechende Konformität erreicht, ohne jedes Mal teure Experten einkaufen zu müssen. Mit anderen Worten: die Datenschutzkomplexität muss intelligent in der Methode eingebaut und versteckt sein. Hierfür hat sich die aus der Industrie stammende Methode der Modularisierung bewährt. Mit ihr werden komplexe Sachverhalte strukturiert und bausteinartig zerlegt. Mittels festgelegter (Prüf-)Abläufe werden dann die Bausteine wieder zusammengefügt. Es wird eine hohe Vorfertigung und Ergebnisqualität erreicht, was enormen Aufwand spart. Sind qualitative hochwertige Daten vorhanden, können Tools und Anwendungen eingesetzt werden, die Verantwortliche und DSB bei Bewertung und Interpretation der Daten unterstützen.
Schritte zum Erreichen der DSGVO-Konformität in Verwaltungen lesen Sie morgen im zweiten Teil des Beitrags.
Saarland: Mehr Input zur Digitalpolitik
[05.11.2024] Das Saarland tritt dem GovTech Campus Deutschland bei, um die Digitalisierung der Verwaltung voranzutreiben. Durch die Mitgliedschaft will das Land von dem Innovationsnetzwerk profitieren und aktiv an Digitalpolitik und gemeinsamen Projekten mitwirken. mehr...
Normenkontrollräte: Ambitioniert zum Bürokratieabbau
[05.11.2024] Im Rahmen eines Treffens in Stuttgart haben Normenkontrollräte und Clearingstellen eine Erklärung verabschiedet, die eine Reduzierung der Bürokratiekosten um 25 Prozent innerhalb von vier Jahren anstrebt. mehr...
Databund: Datenschutzrisiken im MDWG
[05.11.2024] Der Databund hat zu zwei Gesetzesentwürfen des Bundes Stellung genommen, welche die kommunale Verwaltung betreffen. Im MDWG-Entwurf sieht er Verbesserungen für die Migrationsverwaltung, mahnt jedoch Datenschutzrisiken an. Beim eIDAS-Gesetz begrüßt der Verband die Stärkung der Bundesnetzagentur. mehr...
Niedersachsen: NIS2-Richtlinie umgesetzt
[04.11.2024] Niedersachsen setzt als eines der ersten Bundesländer die NIS2-Richtlinie der EU zur Cybersicherheit in der Verwaltung um. Die neue Verwaltungsvorschrift, die Benennung einer zuständigen Behörde für Cybersicherheit und die Einrichtung eines Notfallteams sollen die IT-Sicherheit in besonders kritischen Bereichen stärken. mehr...
Niedersachsen: Beteiligung am ZenDiS
[04.11.2024] Niedersachsen will sich am Zentrum für Digitale Souveränität (ZenDiS) beteiligen, um die Abhängigkeit der Landesverwaltung von marktbestimmenden Softwareherstellern zu reduzieren. Das Land könnte so auch von überregionalen Erfahrungen und Projekten profitieren. Dies steht im Einklang mit der Digitalstrategie des Landes. mehr...
BMDV/BREKO: Digital only braucht Glasfaser
[24.10.2024] Die Bundesregierung berichtet über Fortschritte ihrer Digitalstrategie. Der Glasfaserverband BREKO warnt trotz erreichter Erfolge bei 5G und Glasfaser vor Verzögerungen beim Ausbau. Ohne klare politische Weichenstellungen, insbesondere zur Abschaltung des Kupfernetzes, könnte das Ziel einer flächendeckenden Glasfaserversorgung bis 2030 verfehlt werden. mehr...
Digital-Gipfel 2024: Fokus auf KI und digitaler Souveränität
[23.10.2024] Im Fokus des Digital-Gipfels der Bundesregierung standen die Stärkung der digitalen Souveränität und der Einsatz von Künstlicher Intelligenz. Die Bundesregierung betonte die Bedeutung einer intensiven Datennutzung und der KI-Förderung, um Deutschland im internationalen Wettbewerb zu stärken. mehr...
Digitalisierung: Dresdner Forderungen 2.0
[22.10.2024] Die Fachgruppe Verwaltungsinformatik der Gesellschaft für Informatik hat 20 Thesen zum digitalen Wandel formuliert. Die Forderungen zielen darauf ab, die Verwaltung effizienter, zukunftssicherer und bürgerfreundlicher zu machen. mehr...
Digitalministerkonferenz: Erfolgreiches zweites Treffen
[21.10.2024] Die Digitalisierung in Deutschland zügiger vorantreiben und digitale Transformation zum Wohle der Bürgerinnen und Bürger gestalten: Mit dieser Zielstellung haben sich die Digitalverantwortlichen der Länder zur zweiten Digitalministerkonferenz in Berlin getroffen. Wichtige Themen waren Datenschutz und Datennutzung, die Verwaltungscloud-Strategie und die Nutzung von KI. mehr...
Nationaler Normenkontrollrat: Gesetzgebung digitalisieren
[18.10.2024] Die E-Gesetzgebung ist der zentrale Baustein, um Gesetzgebungsverfahren künftig vollständig digital und medienbruchfrei zu gestalten. Das Bundeskabinett hat hierfür nun wichtige Leitlinien beschlossen. Der Nationale Normenkontrollrat (NKR) begrüßt dies – sieht es aber lediglich als ersten Schritt. mehr...
Niedersachsen: Warum die Verwaltungsdigitalisierung stockt
[18.10.2024] Uneinheitliche Steuerungs- und Entscheidungsstrukturen sorgen dafür, dass die Verwaltungsdigitalisierung in Niedersachsen immer noch stockt. Zu diesem Schluss kommt der niedersächsische Landesrechnungshof in einem aktuellen Positionspapier. Insbesondere die dezentrale Verteilung der IT-Budgets wird bemängelt. mehr...
DigitalPakt Schule: Fortsetzung ja – nur wann?
[16.10.2024] Der DigitalPakt Schule, dessen Antragsfrist im Mai 2024 endete, will den Weg zum Lernen und Lehren in einer sich stetig verändernden digitalen Realität ebnen. 97 Prozent der Mittel aus dem Basis-DigitalPakt wurden bislang bewilligt. Die Bundesbildungsministerin spricht sich für eine Fortsetzung der Bundesförderung aus, verweist aber auch auf die Notwendigkeit, Landesmittel einzusetzen. mehr...
Bürokratieabbau: Bundesregierung beschließt Entlastungsverordnung
[11.10.2024] Die Bundesregierung hat die Bürokratieentlastungsverordnung beschlossen, die zur Entlastung der Wirtschaft um 420 Millionen Euro pro Jahr beitragen soll. Neben dem Abbau von Anzeige- und Mitteilungspflichten sind auch Maßnahmen zur Förderung der Digitalisierung vorgesehen. Die Verordnung muss nun vom Bundesrat genehmigt werden. mehr...
eGovernment Monitor 2024: Digitale Nutzungslücke
[08.10.2024] Die Digitalisierung der Verwaltung hat das Potenzial, das Vertrauen der Bevölkerung in den Staat zu stärken. Dennoch bevorzugen viele noch den analogen Weg. Laut der Studie eGovernment Monitor 2024 erwarten die Bürgerinnen und Bürger einfache und zugängliche Onlinedienste – diese werden aber noch zu selten genutzt. mehr...
Nationaler Normenkontrollrat: Jahresbericht 2024
[02.10.2024] Der Nationale Normenkontrollrat (NKR) hat seinen Jahresbericht zum Bürokratieabbau und zur besseren Rechtsetzung sowie zur Verwaltungsdigitalisierung vorgelegt. Insbesondere für die Wirtschaft sinken die Erfüllungsaufwände, für die Verwaltung steigen sie. Dennoch ist die Gesamtbilanz positiv. mehr...