DatenschutzIn die Arbeitsorganisation integrieren

[08.07.2021] Zu komplex, zu unverständlich, das ist etwas für Experten – das Thema Datenschutz fristet in den Verwaltungen oft noch ein Fremdkörperdasein. Dabei sollte er in die Arbeitsorganisation integriert werden und von allen Mitarbeitenden praktiziert werden. Ein konkretes, methodisches Vorgehen hilft dabei, dieses Ziel zu erreichen.

Für viele Verwaltungen bleibt das Thema Datenschutz eine große Herausforderung. Ein Blick in die Verwaltungspraxis zeigt, dass es oft schon an der Erhebung datenschutzrelevanter Informationen hapert. Dabei bilden diese die Basis für datenschutzrechtliche Entscheidungen. Oft sind sie aber unvollständig und/oder von mangelhafter Qualität, sodass keine adäquaten Entscheidungen zu Risiko, Schutzbedarf oder zu Schutzmaßnahmen getroffen werden können. Grund dafür ist die häufig fehlende Bereitschaft zur Kooperation und Zusammenarbeit beim Datenschutz in den Organisationen. Auch mangelt es an Sensibilität für das Thema. Das führt unter anderem dazu, dass viele Mitarbeitende nicht verstehen, wie sich ihr (Arbeits-)Verhalten und ihre Arbeitsweise auf die Datenschutzkonformität auswirken. Um den Datenschutz in die Organisation als selbstverständliches Daily-Business und somit als Teil der Organisationskultur zu integrieren, bedarf es also erheblicher Interaktion und intensiver (organisationaler) Lernprozesse. Um die Herausforderungen bei der Umsetzung des Datenschutzes einfacher meistern zu können, hilft ein konkretes methodisches Vorgehen.

Komplex, intransparent, Unverständnis

Die generellen Anforderungen der Datenschutz-Grundverordnung (DSGVO) sind drei Jahre nach ihrem Inkrafttreten überall bekannt. In den Verwaltungen wird Datenschutz aber oft noch als Thema für Rechtsexperten gesehen und fristet nach wie vor ein Silo-Dasein. Für Führungskräfte hat das Thema selten Priorität oder es mangelt am Verständnis für ihre Verantwortlichkeit. Dabei stellt die DSGVO klar, dass Datenschutz alle in der Organisation betrifft und die Verantwortlichen eben nicht die Datenschutzbeauftragten (DSB), sondern die Behördenleitungen sind.
So wie Datenschutz bislang betrieben wird, hat er eigentlich keine Chance, in der (Arbeits-) Organisation anzukommen – ein Schicksal, das das Thema mit der IT-Sicherheit teilt. In der Folge bleibt Datenschutz eine Black Box im Organisationsgefüge, in die man, wenn es gar nicht zu vermeiden ist, etwas hineingibt und aus der im günstigsten Fall eine positive Entscheidung herauskommt. Fakt ist jedoch: die komplexen Datenschutzanforderungen können nur dann erfüllt werden, wenn sie in der gesamten Organisation verstanden und auch als Teil der Kultur gelebt werden. Deswegen kommt man nicht umhin, das Thema stärker in der Organisation zu verankern und nicht nur auf einzelne oder gar an externe Experten – nach dem Motto „aus den Augen, aus dem Sinn“ – abzuwälzen.
Datenschutz muss, und hier kann bewusst normativ formuliert werden, Teil der Arbeitsorganisation werden, soll er nachhaltig funktionieren. Dazu müssen nicht nur Mitarbeitende für das Thema sensibilisiert werden. Vielmehr sind es die Führungskräfte, die dafür Sorge zu tragen haben, dass Prozesse und Arbeitsabläufe von Anfang an datenschutzkonform gestaltet werden. Es stellt sich somit die Frage, wie Compliance-Anforderungen – wie die DSGVO – besser in die Arbeitsorganisation eingebettet werden können. Und zwar so, dass der Umsetzungsaufwand für alle Beteiligten möglichst gering ist.

Wege in eine datenschutzkonforme Verwaltung

Da das bisherige Vorgehen in vielen Verwaltungen nicht funktioniert, braucht es eine neue Herangehensweise an den „Fremdkörper“ Datenschutz. Soll das zunächst sperrig anmutende Thema akzeptiert werden, muss es mehr oder weniger „unspürbar“ in die Arbeitsorganisation integriert werden. Basierend auf einer empirischen Umfrage in Verwaltungen/Behörden unterschiedlicher Größe wurden dazu Problembereiche identifiziert und Handlungsbereiche abgeleitet. Die im folgenden dargestellten Maßnahmen sind nicht primär datenschutzrechtlich. Sie folgen der Erkenntnis, dass es an der Umsetzung in der Arbeitsorganisation und dem Bewusstsein mangelt, nicht jedoch am generellen Wissen um die Problematik.
Zunächst gilt es, einen niedrigschwelligen Zugang zum Thema zu gewährleisten. „Die“ DSGVO und „der“ Datenschutz wurden über die Jahre zu einer Hürde aufgebaut, indem regelmäßig eher auf deren Komplexität als auf die Ziele und Zwecke verwiesen wurde. Unbestritten weist das Datenschutzrecht eine hohe Komplexität auf. Doch anstatt es als Ganzes und damit komplexen Monolithen zu betrachten, sollte die Komplexität reduziert werden. Das gelingt, indem beispielsweise zwischen der Entscheidungsvorbereitung, also der Erhebung von datenschutzrelevanten Informationen, und der eigentlichen datenschutzrechtlichen Entscheidung getrennt wird.
In einem weiteren Schritt müssen zuständigkeitsübergreifende Kommunikationsprozesse etabliert werden. Die Arbeit in Verwaltungen ist bis auf einige Ausnahmen wenig auf Kooperation und Zusammenarbeit ausgerichtet, sondern eher an Zuständigkeiten und formalen Kommunikationsabläufen orientiert. Das zeigt sich auch im „Beauftragten(un)wesen“. Das führt dazu, dass Datenschutzbeauftragte oft Einzelkämpfer sind und gegen eine ganze Organisation antreten müssen. Datenschutz lässt sich aber nur als Organisationsaufgabe fachübergreifend und kooperativ umsetzen.

An den richtigen Stellen ansetzen

Datenschutz ist in die Arbeitsorganisation zu integrieren, da er originäre Aufgabe der Führungskräfte in der Linie ist. Auch für diesen Personenkreis muss nach der DSGVO die Delegationslogik der Verwaltung enden: Die Behördenleitung ist verantwortlich. Dazu muss sie nicht die Komplexität des Themas in der letzten Tiefe verstehen. Vielmehr sollte sie, ähnlich wie bei Digitalisierungsaspekten, die Wirkung für ihre Arbeit und Aufgaben (strategisch) einschätzen können. Führungskräfte brauchen also neue Kompetenzen im Bereich Kooperation und Zusammenarbeit. Insbesondere müssen sie die Fähigkeit erwerben, komplexe Sachverhalte, wie die DSGVO-Anwendung für die Beschäftigten übersetzen zu können. So können sie auch die Wirkung für die Arbeit des eigenen Bereichs beurteilen.
Nicht erst seit der DSGVO gibt es die Anforderung, Datenschutz durch Technikgestaltung zu erreichen. Das heißt, dass zum frühestmöglichen Zeitpunkt einer Entwicklung oder anstehenden Änderung technische und organisatorische Maßnahmen getroffen werden, die darauf ausgelegt sind, Datenschutzgrundsätze von Beginn an zu garantieren. Diese Anforderung an technische Systeme ist auf das Vorgehen bei der Prozess- und Organisationsgestaltung zu übertragen. Das bedeutet, dass Prozessgestaltungen von Beginn an datenschutzsensitiv vorzunehmen sind. Und zwar so, dass entsprechende Schutzmaßnahmen in den Prozessablauf von Anfang an integriert und für den Bearbeiter so als selbstverständlicher Teil des Prozesses empfunden werden.

Einfache Methoden und Hilfsmittel

Kernelement der Integration von Datenschutz in die Arbeitsorganisation sind einfach anwendbare Methoden, die bereits bei der Datenerhebung ansetzen. Methoden und Tools sind so zu gestalten, dass diese auch von Nicht-Experten intuitiv anwendbar sind: Sie müssen einfach durch die Komplexität hindurchgeleitet werden können. Auf diese Weise wird Datenschutz während der Methodenanwendung gelernt/vertieft und entsprechende Konformität erreicht, ohne jedes Mal teure Experten einkaufen zu müssen. Mit anderen Worten: die Datenschutzkomplexität muss intelligent in der Methode eingebaut und versteckt sein. Hierfür hat sich die aus der Industrie stammende Methode der Modularisierung bewährt. Mit ihr werden komplexe Sachverhalte strukturiert und bausteinartig zerlegt. Mittels festgelegter (Prüf-)Abläufe werden dann die Bausteine wieder zusammengefügt. Es wird eine hohe Vorfertigung und Ergebnisqualität erreicht, was enormen Aufwand spart. Sind qualitative hochwertige Daten vorhanden, können Tools und Anwendungen eingesetzt werden, die Verantwortliche und DSB bei Bewertung und Interpretation der Daten unterstützen.
Schritte zum Erreichen der DSGVO-Konformität in Verwaltungen lesen Sie morgen im zweiten Teil des Beitrags.

Prof. Dr. Tino Schuppan hat am SHI Stein-Hardenberg Institut als wissenschaftlicher Leiter am Tool PRIMO-Projekt mitgewirkt; Stefanie Köhl und Heidrun Müller sind am eGovCD) tätig.


Stichwörter: Politik, Datenschutz


Weitere Meldungen und Beiträge aus dem Bereich: Politik
Symbolbild: Hand balanciert Deutschland-Silhouette, davor ein netzwerk aus Linien und Punkten.

Once Only: Staatsvertrag schafft vernetzte Verwaltung

[13.12.2024] Mit einem Staatsvertrag haben Bund und Länder die Grundlage für das National-Once-Only-Technical-System (NOOTS) geschaffen. NOOTS soll Verwaltungsdaten vernetzen – ein wichtiger Baustein, um Nachweise künftig nur einmal zu erbringen. mehr...

Blick auf das Marie-Elisabeth-Lüders-Haus (MELH) aus dem Paul-Löbe-Haus (PLH). Im beleuchteten Anhörungssaal findet eine Sitzung statt.

Bundestag: Open Source in der Verwaltung

[12.12.2024] In einer Anhörung des Bundestages zum Thema Open Source wurde das bisherige Engagement der Bundesregierung als unzureichend bewertet. Experten unterstrichen die Chancen von Open-Source-Software für digitale Souveränität, Innovation und Kostensenkung und forderten mehr gesetzliche Maßnahmen und Investitionen. mehr...

Cover „Aktionskonzept Digitalisierung der Berliner Verwaltung für die Wirtschaft 2024-2026”

Berlin: Verwaltungsdigitalisierung für die Wirtschaft

[03.12.2024] Berlin will die Digitalisierung der Verwaltung gezielt auf die Bedürfnisse der Wirtschaft ausrichten. Mit dem Aktionskonzept 2024-2026 sollen digitale Behördendienste ausgebaut, Unternehmen durch DIWI entlastet und die Stadt als Innovationsstandort gestärkt werden. mehr...

Gruppe von Personen in formeller Kleidung, auf einer Treppe zum Gruppenfoto aufgestellt.

NKR: Erstes Bund-Länder-Treffen zum Digitalcheck

[02.12.2024] Der Digitalcheck stößt zunehmend auch auf Interesse in den Bundesländern. Beim ersten Bund-Länder-Treffen in Berlin diskutierten die Teilnehmenden über rechtliche Verankerung, Anwendungsbereiche und weitere Pläne zur Umsetzung. mehr...

Bundesdigitalminister Dr. Volker Wissing und der israelische Botschafter Ron Prosor.

BMDV: Deutschland und Israel starten Digitaldialog

[29.11.2024] Deutschland und Israel verstärken die digitale Zusammenarbeit: Bundesdigitalminister Wissing und Botschafter Prosor haben eine Absichtserklärung unterzeichnet, um den Austausch in Bereichen wie KI, Quantencomputing und Start-up-Kooperationen zu intensivieren. mehr...

Cover der Open-Source-Strategie des Landes Schleswig-Holstein

Schleswig-Holstein: Open-Source-Strategie veröffentlicht

[26.11.2024] Schleswig-Holstein hat seine Open-Innovation- und Open-Source-Strategie vorgestellt. Geplant sind unter anderem konkrete Schritte hin zum digital souveränen IT-Arbeitsplatz der Landesverwaltung und die Beteiligung an der Deutschen Verwaltungscloud. mehr...

Das Bild zeigt Bayerns Digitalminister Fabian Mehring.

Bayern: Neue Digitalisierungsinitiativen

[26.11.2024] Der bayerische Digitalminister Fabian Mehring stellte in München neue Initiativen zur Digitalisierung der Verwaltung vor. Außerdem forderte er ein eigenes Digitalministerium auf Bundesebene, um zentrale Vorhaben gezielt umzusetzen. mehr...

Berlin: Eckpunkte für Digitalcheck

[21.11.2024] Die Eckpunkte für die Einführung eines Digitalchecks hat der Berliner Senat beschlossen. Der Geschäftsbereich der Chief Digital Officer soll jetzt ein Konzept inklusive eines vorgeschalteten Pilotvorhabens erarbeiten. mehr...

Diagramm zur OZG-Rahmenarchitektur

IT-Planungsrat: Der OZG-Rahmenarchitektur einen Schritt näher

[20.11.2024] In seiner Herbstsitzung hat der IT-Planungsrat das in einem breit angelegten und von einem Konsultationsprozess begleitete Vorhaben iterativ erarbeitete Zielbild der OZG-Rahmenarchitektur beschlossen. mehr...

Gröere Gruppe von Personen in formaler Kleidung auf einer Treppe, alle blicken Richtung Kamera.

IT-Planungsrat: Erster Teil der föderalen Digitalstrategie beschlossen

[18.11.2024] Der IT-Planungsrat hat auf seiner 45. Sitzung unter Leitung von Bundes-CIO Markus Richter die Dachstrategie der Föderalen Digitalstrategie für die Verwaltung verabschiedet. Zudem wurde ein Vertragsentwurf für das Nationale Once-Only-Technical-System (NOOTS) beschlossen. mehr...

Bitkom: Forderung nach Umsetzung von Digitalprojekten

[15.11.2024] Der Digitalverband Bitkom hat jetzt die Bundesregierung aufgefordert, vor den Neuwahlen im Februar möglichst viele digitalpolitische Projekte abzuschließen. Bisher sind lediglich 32 Prozent der geplanten Vorhaben realisiert. mehr...

Baden-Württemberg: Änderung der Gemeindeordnung verabschiedet

[08.11.2024] Der Landtag von Baden-Württemberg hat jetzt eine Änderung der Gemeindeordnung verabschiedet, die Kommunen in administrativen Abläufen entlasten und die finanzielle Berichterstattung vereinfachen soll. mehr...

Weißes Paragrafenzeichen (dreidimensional) lehnt an einer blau-grauen Wand

Cybersicherheit: Stellungnahmen zum NIS2-Umsetzungsgesetz

[07.11.2024] Der Bundestagsausschuss für Inneres und Heimat hat sich mit dem Gesetzentwurf der Bundesregierung zur Umsetzung der NIS2-Richtlinie befasst. Vielen Experten geht der Entwurf nicht weit genug. mehr...

Mann (Jürgen Barke) in einem sehr förmlichen dunkelblauen Anzug mit blauem Schlips und weißem Einstecktuch steht vor einer hellen Wand.

Saarland: Mehr Input zur Digitalpolitik

[05.11.2024] Das Saarland tritt dem GovTech Campus Deutschland bei, um die Digitalisierung der Verwaltung voranzutreiben. Durch die Mitgliedschaft will das Land von dem Innovationsnetzwerk profitieren und aktiv an Digitalpolitik und gemeinsamen Projekten mitwirken. mehr...

Personengruppe in förmlicher Kleidung steht auf einer Wiese vor einer historischen Sandsteinfassade.

Normenkontrollräte: Ambitioniert zum Bürokratieabbau

[05.11.2024] Im Rahmen eines Treffens in Stuttgart haben Normenkontrollräte und Clearingstellen eine Erklärung verabschiedet, die eine Reduzierung der Bürokratiekosten um 25 Prozent innerhalb von vier Jahren anstrebt. mehr...