DatenschutzIn die Arbeitsorganisation integrieren

[08.07.2021] Zu komplex, zu unverständlich, das ist etwas für Experten – das Thema Datenschutz fristet in den Verwaltungen oft noch ein Fremdkörperdasein. Dabei sollte er in die Arbeitsorganisation integriert werden und von allen Mitarbeitenden praktiziert werden. Ein konkretes, methodisches Vorgehen hilft dabei, dieses Ziel zu erreichen.

Für viele Verwaltungen bleibt das Thema Datenschutz eine große Herausforderung. Ein Blick in die Verwaltungspraxis zeigt, dass es oft schon an der Erhebung datenschutzrelevanter Informationen hapert. Dabei bilden diese die Basis für datenschutzrechtliche Entscheidungen. Oft sind sie aber unvollständig und/oder von mangelhafter Qualität, sodass keine adäquaten Entscheidungen zu Risiko, Schutzbedarf oder zu Schutzmaßnahmen getroffen werden können. Grund dafür ist die häufig fehlende Bereitschaft zur Kooperation und Zusammenarbeit beim Datenschutz in den Organisationen. Auch mangelt es an Sensibilität für das Thema. Das führt unter anderem dazu, dass viele Mitarbeitende nicht verstehen, wie sich ihr (Arbeits-)Verhalten und ihre Arbeitsweise auf die Datenschutzkonformität auswirken. Um den Datenschutz in die Organisation als selbstverständliches Daily-Business und somit als Teil der Organisationskultur zu integrieren, bedarf es also erheblicher Interaktion und intensiver (organisationaler) Lernprozesse. Um die Herausforderungen bei der Umsetzung des Datenschutzes einfacher meistern zu können, hilft ein konkretes methodisches Vorgehen.

Komplex, intransparent, Unverständnis

Die generellen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind drei Jahre nach ihrem Inkrafttreten überall bekannt. In den Verwaltungen wird Datenschutz aber oft noch als Thema für Rechtsexperten gesehen und fristet nach wie vor ein Silo-Dasein. Für Führungskräfte hat das Thema selten Priorität oder es mangelt am Verständnis für ihre Verantwortlichkeit. Dabei stellt die DSGVO klar, dass Datenschutz alle in der Organisation betrifft und die Verantwortlichen eben nicht die Datenschutzbeauftragten (DSB), sondern die Behördenleitungen sind.
So wie Datenschutz bislang betrieben wird, hat er eigentlich keine Chance, in der (Arbeits-) Organisation anzukommen – ein Schicksal, das das Thema mit der IT-Sicherheit teilt. In der Folge bleibt Datenschutz eine Black Box im Organisationsgefüge, in die man, wenn es gar nicht zu vermeiden ist, etwas hineingibt und aus der im günstigsten Fall eine positive Entscheidung herauskommt. Fakt ist jedoch: die komplexen Datenschutzanforderungen können nur dann erfüllt werden, wenn sie in der gesamten Organisation verstanden und auch als Teil der Kultur gelebt werden. Deswegen kommt man nicht umhin, das Thema stärker in der Organisation zu verankern und nicht nur auf einzelne oder gar an externe Experten – nach dem Motto „aus den Augen, aus dem Sinn“ – abzuwälzen.
Datenschutz muss, und hier kann bewusst normativ formuliert werden, Teil der Arbeitsorganisation werden, soll er nachhaltig funktionieren. Dazu müssen nicht nur Mitarbeitende für das Thema sensibilisiert werden. Vielmehr sind es die Führungskräfte, die dafür Sorge zu tragen haben, dass Prozesse und Arbeitsabläufe von Anfang an datenschutzkonform gestaltet werden. Es stellt sich somit die Frage, wie Compliance-Anforderungen – wie die DSGVO – besser in die Arbeitsorganisation eingebettet werden können. Und zwar so, dass der Umsetzungsaufwand für alle Beteiligten möglichst gering ist.

Wege in eine datenschutzkonforme Verwaltung

Da das bisherige Vorgehen in vielen Verwaltungen nicht funktioniert, braucht es eine neue Herangehensweise an den „Fremdkörper“ Datenschutz. Soll das zunächst sperrig anmutende Thema akzeptiert werden, muss es mehr oder weniger „unspürbar“ in die Arbeitsorganisation integriert werden. Basierend auf einer empirischen Umfrage in Verwaltungen/Behörden unterschiedlicher Größe wurden dazu Problembereiche identifiziert und Handlungsbereiche abgeleitet. Die im folgenden dargestellten Maßnahmen sind nicht primär datenschutzrechtlich. Sie folgen der Erkenntnis, dass es an der Umsetzung in der Arbeitsorganisation und dem Bewusstsein mangelt, nicht jedoch am generellen Wissen um die Problematik.
Zunächst gilt es, einen niedrigschwelligen Zugang zum Thema zu gewährleisten. „Die“ DSGVO und „der“ Datenschutz wurden über die Jahre zu einer Hürde aufgebaut, indem regelmäßig eher auf deren Komplexität als auf die Ziele und Zwecke verwiesen wurde. Unbestritten weist das Datenschutzrecht eine hohe Komplexität auf. Doch anstatt es als Ganzes und damit komplexen Monolithen zu betrachten, sollte die Komplexität reduziert werden. Das gelingt, indem beispielsweise zwischen der Entscheidungsvorbereitung, also der Erhebung von datenschutzrelevanten Informationen, und der eigentlichen datenschutzrechtlichen Entscheidung getrennt wird.
In einem weiteren Schritt müssen zuständigkeitsübergreifende Kommunikationsprozesse etabliert werden. Die Arbeit in Verwaltungen ist bis auf einige Ausnahmen wenig auf Kooperation und Zusammenarbeit ausgerichtet, sondern eher an Zuständigkeiten und formalen Kommunikationsabläufen orientiert. Das zeigt sich auch im „Beauftragten(un)wesen“. Das führt dazu, dass Datenschutzbeauftragte oft Einzelkämpfer sind und gegen eine ganze Organisation antreten müssen. Datenschutz lässt sich aber nur als Organisationsaufgabe fachübergreifend und kooperativ umsetzen.

An den richtigen Stellen ansetzen

Datenschutz ist in die Arbeitsorganisation zu integrieren, da er originäre Aufgabe der Führungskräfte in der Linie ist. Auch für diesen Personenkreis muss nach der DSGVO die Delegationslogik der Verwaltung enden: Die Behördenleitung ist verantwortlich. Dazu muss sie nicht die Komplexität des Themas in der letzten Tiefe verstehen. Vielmehr sollte sie, ähnlich wie bei Digitalisierungsaspekten, die Wirkung für ihre Arbeit und Aufgaben (strategisch) einschätzen können. Führungskräfte brauchen also neue Kompetenzen im Bereich Kooperation und Zusammenarbeit. Insbesondere müssen sie die Fähigkeit erwerben, komplexe Sachverhalte, wie die DSGVO-Anwendung für die Beschäftigten übersetzen zu können. So können sie auch die Wirkung für die Arbeit des eigenen Bereichs beurteilen.
Nicht erst seit der DSGVO gibt es die Anforderung, Datenschutz durch Technikgestaltung zu erreichen. Das heißt, dass zum frühestmöglichen Zeitpunkt einer Entwicklung oder anstehenden Änderung technische und organisatorische Maßnahmen getroffen werden, die darauf ausgelegt sind, Datenschutzgrundsätze von Beginn an zu garantieren. Diese Anforderung an technische Systeme ist auf das Vorgehen bei der Prozess- und Organisationsgestaltung zu übertragen. Das bedeutet, dass Prozessgestaltungen von Beginn an datenschutzsensitiv vorzunehmen sind. Und zwar so, dass entsprechende Schutzmaßnahmen in den Prozessablauf von Anfang an integriert und für den Bearbeiter so als selbstverständlicher Teil des Prozesses empfunden werden.

Einfache Methoden und Hilfsmittel

Kernelement der Integration von Datenschutz in die Arbeitsorganisation sind einfach anwendbare Methoden, die bereits bei der Datenerhebung ansetzen. Methoden und Tools sind so zu gestalten, dass diese auch von Nicht-Experten intuitiv anwendbar sind: Sie müssen einfach durch die Komplexität hindurchgeleitet werden können. Auf diese Weise wird Datenschutz während der Methodenanwendung gelernt/vertieft und entsprechende Konformität erreicht, ohne jedes Mal teure Experten einkaufen zu müssen. Mit anderen Worten: die Datenschutzkomplexität muss intelligent in der Methode eingebaut und versteckt sein. Hierfür hat sich die aus der Industrie stammende Methode der Modularisierung bewährt. Mit ihr werden komplexe Sachverhalte strukturiert und bausteinartig zerlegt. Mittels festgelegter (Prüf-)Abläufe werden dann die Bausteine wieder zusammengefügt. Es wird eine hohe Vorfertigung und Ergebnisqualität erreicht, was enormen Aufwand spart. Sind qualitative hochwertige Daten vorhanden, können Tools und Anwendungen eingesetzt werden, die Verantwortliche und DSB bei Bewertung und Interpretation der Daten unterstützen.
Schritte zum Erreichen der DSGVO-Konformität in Verwaltungen lesen Sie morgen im zweiten Teil des Beitrags.

Prof. Dr. Tino Schuppan hat am SHI Stein-Hardenberg Institut als wissenschaftlicher Leiter am Tool PRIMO-Projekt mitgewirkt; Stefanie Köhl und Heidrun Müller sind am eGovCD) tätig.


Stichwörter: Politik, Datenschutz


Weitere Meldungen und Beiträge aus dem Bereich: Politik
Die Landesflagge von Schleswig-Holstein weht von links nach rechts, im Hintergrund blauer Himmel.

Schleswig-Holstein: OZG 2.0 hat an Qualität gewonnen

[13.06.2024] Die Verwaltungsdigitalisierung kann jetzt deutschlandweit weiter Fahrt aufnehmen – so das Fazit des Schleswig-Holsteinischen Digitalisierungsministers Dirk Schrödter zur OZG-Einigung im Vermittlungsausschuss. Der Gesetzentwurf war von Schleswig-Holstein in seiner ersten Fasssung abgelehnt worden. mehr...

Blick in einen Sitzungssaal

OZG 2.0: Einigung im Vermittlungsausschuss

[13.06.2024] Nachdem das vom Bundestag verabschiedete OZG-Änderungsgesetz im Bundesrat gescheitert war, hatte Bundesinnenministerin Nancy Faeser den Vermittlungsausschuss von Bundestag und Bundesrat angerufen. Gestern hat dieser einen Einigungsvorschlag vorgelegt, dem aber vor Inkrafttreten der Bundestag zustimmen muss. Dies könnte noch in dieser Woche passieren. mehr...

Bayrischer Landtag bei einer Sitzung.

Bayern: Gut ausgestattet

[13.06.2024] Für das Bayerische Staatsministerium für Digitales sieht der nun vom Landtag beschlossene Doppelhaushalt 2024/2025 ein höheres Budget denn je vor. Digitalminister Fabian Mehring sieht darin eine Bestätigung durch Staatsregierung und Parlament. mehr...

Thüringer Landes-CIO Hartmut Schubert im dunklen Anzug am Rednerpult, im Hintergrund eine blaue Wand.

Thüringen: Rückblick und Ausblick

[12.06.2024] Thüringens Landes-CIO Hartmut Schubert informiert über den Stand von E-Government und IT-Sicherheit im Freistaat. Er sieht gute Grundlagen für eine komplett digitalisierte Verwaltung und zeichnet mit der neuen E-Government-Strategie eine optimistische Vision für die Digitalisierung der Thüringer Verwaltung. mehr...

Sachsen: Auf dem Weg zum Digitalpionier

[12.06.2024] 
Sachsen kommt bei der Umsetzung seiner Digitalstrategie gut voran. Darüber informierte die CDO des Freistaats, Staatssekretärin Ines Fröhlich, die mehr als 350 Teilnehmenden aus Wirtschaft, Wissenschaft, Zivilgesellschaft, Verwaltung und Politik auf dem „forum sachsen digital“. mehr...

Gruppenfoto der Mitglieder des IT-Standardisierungsboars; Außenaufnahme, Sonne

IT-Planungsrat: Standardisierungsboard nimmt Arbeit auf

[10.06.2024] Gemeinsame IT-Standards bilden einen wichtigen Grundstein der Verwaltungsdigitalisierung. Mit dem Föderalen IT-Standardisierungsboard hat nun ein neues Gremium des IT-Planungsrats seine Arbeit aufgenommen. Dieses soll dazu beitragen, die Standardisierungsagenda zielgerichtet und zügiger als bisher umzusetzen. mehr...

Das KI-genertierte Bild zeigt ein futuristisches Büro in dem verschiedene Arten von Künstlicher Intelligenz integriert sind.

EU-Kommission: KI-Amt gegründet

[06.06.2024] Ein neues KI-Amt der EU-Kommission soll sicherstellen, dass Künstliche Intelligenz so entwickelt und eingesetzt wird, dass der gesellschaftliche und wirtschaftliche Nutzen maximiert und die Risiken minimiert werden. mehr...

Das Bild zeigt die Startseite des Bayern-Portals mit der Anmeldung zur BayernID.

Bayern: BayernID knackt die Million

[03.06.2024] Mit der BayernID hat der Freistaat einen wichtigen Meilenstein erreicht: Über eine Million aktive Accounts und ein jährliches Wachstum von 40 Prozent. Für Digitalminister Fabian Mehring ist die BayernID der Turbo für die digitale Verwaltung. mehr...

Das Bild zeigt ein Muster eines elektronischen Aufenthaltstitels im Scheckkartenformat.

OZG-Dienste: Rückkanal beim Aufenthaltstitel

[27.05.2024] Die OZG-Dienste „Aufenthaltstitel“ und „Aufenthaltskarten und aufenthaltsrelevante Bescheinigungen“ verfügen jetzt über einen neuen strukturierten Rückkanal. Dieser ermöglicht eine direkte Kommunikation zwischen Antragstellenden und Sachbearbeitenden. mehr...

Historischer Saal mit heller, freundlicher Ausgestaltung; zahlreiche förmlich gekleidete Personen sitzen debattierend an langen Tischen.

Bürokratieabbau: Rechtsverordnungen werden entschlackt

[27.05.2024] Eine neue Verordnung soll dazu beitragen, hemmende Bürokratie in Rechtsverordnungen abzubauen. Als Teil des Meseberger Entlastungspakets hat das Bundesministerium der Justiz die Bürokratieentlastungsverordnung federführend erarbeitet und legt nun den Referentenentwurf vor. mehr...

Drei EU-Flaggen vor blauem Himmel wehen im Wind, im Hintergrund ein modernes Gebäude und blauer Himmel.

Bitkom: AI Act beschlossen – noch vieles offen

[22.05.2024] Das gestern im EU-Ministerrat beschlossene KI-Gesetz – der EU AI Act – ist die erste umfassende Verordnung über Künstliche Intelligenz durch eine wichtige Regulierungsbehörde weltweit. Aus Sicht des Bitkom ist dies aber erst der Anfang: Bei der Umsetzung in Deutschland und auch seitens der EU sei noch viel zu tun. mehr...

Wireframe-Fragik in Blautönen vor Schwarz: Paragrafenzeichen und Waage mit zwei Waagschalen.

Gesetzgebung: Digitalcheck für Bayern

[21.05.2024] In Bayern soll ein Digitalcheck für alle neuen Gesetzesnormen eingeführt werden. Eine entsprechende ressortübergreifende Servicestelle wurde im Staatsministerium für Digitales eingerichtet, diese soll bei der Erstellung digitaltauglicher Normen beraten. mehr...

Porträtaufnahme von Daniel Sieveke im dunklen Anzug vor blauem Hintergrund.

Nordrhein-Westfalen: Digitalisierung neu aufgestellt

[16.05.2024] Das Land Nordrhein-Westfalen hat den Staatssekretär im Ministerium für Heimat, Kommunales, Bau und Digitalisierung, Daniel Sieveke, als neuen CIO benannt. Zudem soll in dem Land zukünftig eine stärkere Arbeitsteilung zwischen dem technisch zuständigen Ministerium sowie den fachlich und rechtlich zuständigen Häusern geben. mehr...

Das Bild zeigt Volker Wissing, Bundesminister für Digitales und Verkehr.

Digitalstrategie: Deutschland wird digitaler

[15.05.2024] Ein Zwischenbericht zur Digitalstrategie der Bundesregierung zeigt Fortschritte. Laut Digitalminister Volker Wissing ist Deutschland deutlich digitaler geworden. mehr...

Das Bild zeigt Ministerialdirektor Elmar Steinbacher, Leitende Oberstaatsanwältin Tomke Beddies und Ministerin der Justiz und für Migration Marion Gentges

Baden-Württemberg: Chefin für Cybercrime-Zentrum

[14.05.2024] Die baden-württembergische Justizministerin Marion Gentges hat Ministerialrätin Tomke Beddies zur Leiterin des neuen Cybercrime-Zentrums Baden-Württemberg ernannt. mehr...