DatenschutzIn die Arbeitsorganisation integrieren
Für viele Verwaltungen bleibt das Thema Datenschutz eine große Herausforderung. Ein Blick in die Verwaltungspraxis zeigt, dass es oft schon an der Erhebung datenschutzrelevanter Informationen hapert. Dabei bilden diese die Basis für datenschutzrechtliche Entscheidungen. Oft sind sie aber unvollständig und/oder von mangelhafter Qualität, sodass keine adäquaten Entscheidungen zu Risiko, Schutzbedarf oder zu Schutzmaßnahmen getroffen werden können. Grund dafür ist die häufig fehlende Bereitschaft zur Kooperation und Zusammenarbeit beim Datenschutz in den Organisationen. Auch mangelt es an Sensibilität für das Thema. Das führt unter anderem dazu, dass viele Mitarbeitende nicht verstehen, wie sich ihr (Arbeits-)Verhalten und ihre Arbeitsweise auf die Datenschutzkonformität auswirken. Um den Datenschutz in die Organisation als selbstverständliches Daily-Business und somit als Teil der Organisationskultur zu integrieren, bedarf es also erheblicher Interaktion und intensiver (organisationaler) Lernprozesse. Um die Herausforderungen bei der Umsetzung des Datenschutzes einfacher meistern zu können, hilft ein konkretes methodisches Vorgehen.
Komplex, intransparent, Unverständnis
Die generellen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind drei Jahre nach ihrem Inkrafttreten überall bekannt. In den Verwaltungen wird Datenschutz aber oft noch als Thema für Rechtsexperten gesehen und fristet nach wie vor ein Silo-Dasein. Für Führungskräfte hat das Thema selten Priorität oder es mangelt am Verständnis für ihre Verantwortlichkeit. Dabei stellt die DSGVO klar, dass Datenschutz alle in der Organisation betrifft und die Verantwortlichen eben nicht die Datenschutzbeauftragten (DSB), sondern die Behördenleitungen sind.
So wie Datenschutz bislang betrieben wird, hat er eigentlich keine Chance, in der (Arbeits-) Organisation anzukommen – ein Schicksal, das das Thema mit der IT-Sicherheit teilt. In der Folge bleibt Datenschutz eine Black Box im Organisationsgefüge, in die man, wenn es gar nicht zu vermeiden ist, etwas hineingibt und aus der im günstigsten Fall eine positive Entscheidung herauskommt. Fakt ist jedoch: die komplexen Datenschutzanforderungen können nur dann erfüllt werden, wenn sie in der gesamten Organisation verstanden und auch als Teil der Kultur gelebt werden. Deswegen kommt man nicht umhin, das Thema stärker in der Organisation zu verankern und nicht nur auf einzelne oder gar an externe Experten – nach dem Motto „aus den Augen, aus dem Sinn“ – abzuwälzen.
Datenschutz muss, und hier kann bewusst normativ formuliert werden, Teil der Arbeitsorganisation werden, soll er nachhaltig funktionieren. Dazu müssen nicht nur Mitarbeitende für das Thema sensibilisiert werden. Vielmehr sind es die Führungskräfte, die dafür Sorge zu tragen haben, dass Prozesse und Arbeitsabläufe von Anfang an datenschutzkonform gestaltet werden. Es stellt sich somit die Frage, wie Compliance-Anforderungen – wie die DSGVO – besser in die Arbeitsorganisation eingebettet werden können. Und zwar so, dass der Umsetzungsaufwand für alle Beteiligten möglichst gering ist.
Wege in eine datenschutzkonforme Verwaltung
Da das bisherige Vorgehen in vielen Verwaltungen nicht funktioniert, braucht es eine neue Herangehensweise an den „Fremdkörper“ Datenschutz. Soll das zunächst sperrig anmutende Thema akzeptiert werden, muss es mehr oder weniger „unspürbar“ in die Arbeitsorganisation integriert werden. Basierend auf einer empirischen Umfrage in Verwaltungen/Behörden unterschiedlicher Größe wurden dazu Problembereiche identifiziert und Handlungsbereiche abgeleitet. Die im folgenden dargestellten Maßnahmen sind nicht primär datenschutzrechtlich. Sie folgen der Erkenntnis, dass es an der Umsetzung in der Arbeitsorganisation und dem Bewusstsein mangelt, nicht jedoch am generellen Wissen um die Problematik.
Zunächst gilt es, einen niedrigschwelligen Zugang zum Thema zu gewährleisten. „Die“ DSGVO und „der“ Datenschutz wurden über die Jahre zu einer Hürde aufgebaut, indem regelmäßig eher auf deren Komplexität als auf die Ziele und Zwecke verwiesen wurde. Unbestritten weist das Datenschutzrecht eine hohe Komplexität auf. Doch anstatt es als Ganzes und damit komplexen Monolithen zu betrachten, sollte die Komplexität reduziert werden. Das gelingt, indem beispielsweise zwischen der Entscheidungsvorbereitung, also der Erhebung von datenschutzrelevanten Informationen, und der eigentlichen datenschutzrechtlichen Entscheidung getrennt wird.
In einem weiteren Schritt müssen zuständigkeitsübergreifende Kommunikationsprozesse etabliert werden. Die Arbeit in Verwaltungen ist bis auf einige Ausnahmen wenig auf Kooperation und Zusammenarbeit ausgerichtet, sondern eher an Zuständigkeiten und formalen Kommunikationsabläufen orientiert. Das zeigt sich auch im „Beauftragten(un)wesen“. Das führt dazu, dass Datenschutzbeauftragte oft Einzelkämpfer sind und gegen eine ganze Organisation antreten müssen. Datenschutz lässt sich aber nur als Organisationsaufgabe fachübergreifend und kooperativ umsetzen.
An den richtigen Stellen ansetzen
Datenschutz ist in die Arbeitsorganisation zu integrieren, da er originäre Aufgabe der Führungskräfte in der Linie ist. Auch für diesen Personenkreis muss nach der DSGVO die Delegationslogik der Verwaltung enden: Die Behördenleitung ist verantwortlich. Dazu muss sie nicht die Komplexität des Themas in der letzten Tiefe verstehen. Vielmehr sollte sie, ähnlich wie bei Digitalisierungsaspekten, die Wirkung für ihre Arbeit und Aufgaben (strategisch) einschätzen können. Führungskräfte brauchen also neue Kompetenzen im Bereich Kooperation und Zusammenarbeit. Insbesondere müssen sie die Fähigkeit erwerben, komplexe Sachverhalte, wie die DSGVO-Anwendung für die Beschäftigten übersetzen zu können. So können sie auch die Wirkung für die Arbeit des eigenen Bereichs beurteilen.
Nicht erst seit der DSGVO gibt es die Anforderung, Datenschutz durch Technikgestaltung zu erreichen. Das heißt, dass zum frühestmöglichen Zeitpunkt einer Entwicklung oder anstehenden Änderung technische und organisatorische Maßnahmen getroffen werden, die darauf ausgelegt sind, Datenschutzgrundsätze von Beginn an zu garantieren. Diese Anforderung an technische Systeme ist auf das Vorgehen bei der Prozess- und Organisationsgestaltung zu übertragen. Das bedeutet, dass Prozessgestaltungen von Beginn an datenschutzsensitiv vorzunehmen sind. Und zwar so, dass entsprechende Schutzmaßnahmen in den Prozessablauf von Anfang an integriert und für den Bearbeiter so als selbstverständlicher Teil des Prozesses empfunden werden.
Einfache Methoden und Hilfsmittel
Kernelement der Integration von Datenschutz in die Arbeitsorganisation sind einfach anwendbare Methoden, die bereits bei der Datenerhebung ansetzen. Methoden und Tools sind so zu gestalten, dass diese auch von Nicht-Experten intuitiv anwendbar sind: Sie müssen einfach durch die Komplexität hindurchgeleitet werden können. Auf diese Weise wird Datenschutz während der Methodenanwendung gelernt/vertieft und entsprechende Konformität erreicht, ohne jedes Mal teure Experten einkaufen zu müssen. Mit anderen Worten: die Datenschutzkomplexität muss intelligent in der Methode eingebaut und versteckt sein. Hierfür hat sich die aus der Industrie stammende Methode der Modularisierung bewährt. Mit ihr werden komplexe Sachverhalte strukturiert und bausteinartig zerlegt. Mittels festgelegter (Prüf-)Abläufe werden dann die Bausteine wieder zusammengefügt. Es wird eine hohe Vorfertigung und Ergebnisqualität erreicht, was enormen Aufwand spart. Sind qualitative hochwertige Daten vorhanden, können Tools und Anwendungen eingesetzt werden, die Verantwortliche und DSB bei Bewertung und Interpretation der Daten unterstützen.
Schritte zum Erreichen der DSGVO-Konformität in Verwaltungen lesen Sie morgen im zweiten Teil des Beitrags.
Brandenburg: OZG-Umsetzung auf Kurs
[19.12.2024] In seiner OZG-Bilanz meldet Brandenburg für 2024 deutliche Fortschritte: 100 neue digitale Verwaltungsdienste wurden eingeführt, insgesamt sind nun 650 verfügbar. Fördermittel und Kampagnen unterstützen Kommunen bei der Digitalisierung. mehr...
Digitalisierung: IT-Budgets zusammenziehen
[18.12.2024] Dr. Martin Hagen, Staatsrat beim Senator für Finanzen in der Freien Hansestadt Bremen, spricht über seine Vorschläge zur Registermodernisierung und fordert mehr Zentralisierung bei der Steuerung und Budgetierung von IT-Großprojekten. mehr...
Digitale Bildung: Dem DigitalPakt 2.0 einen Schritt näher
[17.12.2024] Bundesbildungsminister Cem Özdemir und die Bildungsministerkonferenz der Länder (Bildungs-MK) haben eine Vereinbarung über den DigitalPakt Schule 2.0 getroffen. Dieser sieht eine Investition von insgesamt fünf Milliarden Euro vor, die gleichmäßig zwischen Bund und Ländern aufgeteilt werden. mehr...
Niedersachsen: Initiative für Kommunen
[05.12.2024] Von der Bestandsaufnahme bis zur Umsetzung von Maßnahmen unterstützt die Initiative Digitale Kommune Niedersachsen Verwaltungen bei ihrem Transformationsprozess. Das vom Land initiierte Projekt soll außerdem die Herausforderungen in der Praxis offenlegen. mehr...
Rheinland-Pfalz: Erfolg durch Kooperation
[18.11.2024] Der digitale Wandel dient den Menschen, sagt Staatssekretär Denis Alt. Im Interview mit Kommune21 spricht der neue rheinland-pfälzische CIO und CDO über die Umsetzung der Digitalstrategie des Landes. mehr...
Potsdam: Fachbereichsleiterin für E-Government bestätigt
[12.11.2024] Potsdams Stadtverordnete haben Melitta Kühnlein als neue Leiterin des Fachbereichs E-Government bestätigt. Kühnlein ist seit Anfang 2021 in leitender Funktion im IT-Bereich der Stadtverwaltung tätig. mehr...
Baden-Württemberg: Änderung der Gemeindeordnung verabschiedet
[11.11.2024] Der Landtag von Baden-Württemberg hat jetzt eine Änderung der Gemeindeordnung verabschiedet, die Kommunen in administrativen Abläufen entlastet und die finanzielle Berichterstattung vereinfacht. mehr...
Hannover: Fonds für digitalen Fortschritt
[30.10.2024] Hannover setzt mit einem 48-Millionen-Euro-Digitalisierungsfonds auf die umfassende Modernisierung seiner Verwaltungsprozesse. Ziel ist ein digitales Rathaus, das Bürgerinnen und Bürgern sowie Unternehmen effiziente, benutzerfreundliche Services bietet. Die IT-Strategie umfasst dazu digitale Souveränität und Kosteneffizienz. mehr...
Digitalisierung: Dresdner Forderungen 2.0
[22.10.2024] Die Fachgruppe Verwaltungsinformatik der Gesellschaft für Informatik hat 20 Thesen zum digitalen Wandel formuliert. Die Forderungen zielen darauf ab, die Verwaltung effizienter, zukunftssicherer und bürgerfreundlicher zu machen. mehr...
Liechtenstein: Mit Pragmatismus und Agilität
[14.10.2024] Liechtenstein hat auf dem Weg zum Smart Country bereits eine beeindruckende Entwicklung zurückgelegt. Das ist nicht zuletzt vielen mutigen Entscheidungen und einer gehörigen Portion Pragmatismus geschuldet. mehr...
Smartes Rhein Main 2030: Gemeinsame Vision
[02.10.2024] Eine gemeinsame Vision für ein smartes Rhein-Main-Gebiet haben die Städte Frankfurt am Main, Wiesbaden und Darmstadt erarbeitet. Im Interview erklären die CIOs Eileen O’Sullivan, Maral Koohestanian und Holger Klötzner, was konkret geplant ist. mehr...
Deutscher Landkreistag: Achim Brötel ist neuer Präsident
[11.09.2024] Der Deutsche Landkreistag (DLT) hat einen neuen Präsidenten gewählt: Achim Brötel, Landrat des Neckar-Odenwald-Kreises, tritt die Nachfolge von Reinhard Sager an, der das Amt zuvor zehn Jahre lang innehatte. mehr...
Essen: Charta Digitale Ethik verabschiedet
[04.09.2024] In ihrer Charta Digitale Ethik hat die Stadt Essen die Rahmenbedingungen für den Einsatz digitaler Technologien in der Stadtverwaltung festgelegt. Das soll insbesondere für einen ethisch verantwortungsvollen Umgang mit Künstlicher Intelligenz sorgen. mehr...
Ulm: Innovationsmotor gestartet
[23.08.2024] Um ihre Digitale Agenda mit kreativen Köpfen aus der Region umzusetzen, hat die Stadt Ulm den Innovationsmotor gestartet – einen Ideenwettbewerb insbesondere für junge Unternehmen. Runde eins hat der digitale Begleiter für Angsträume gewonnen. mehr...
Markt Postbauer-Heng: Digitalisierung ist kein Privileg der Metropolen
[08.08.2024] Auch kleine Kommunen sind in der Lage, bürgernahe digitale Lösungen zu implementieren, wie das Beispiel des Marktes Postbauer-Heng zeigt. Um die Entstehung digitaler Insellösungen zu vermeiden, wurde die Zukunftskommission #Digitales Bayern 5.0 ins Leben gerufen. mehr...