Digitalisierung der öffentlichen Verwaltung: Nicht ohne Datenschutz.

Den Wohnsitz ummelden, die Steuererklärung elektronisch abgeben – bereits heute stehen viele Leistungen der öffentlichen Verwaltung online zur Verfügung. Von Wirtschaft und Gesellschaft gefordert, wird das „E-Government“ (elektronische Verwaltung) von den Bürger:innen gut aufgenommen – und sie erwarten noch mehr. So wünschten sich 2022 in einer Studie des IT-Branchenverbands Bitkom 88 Prozent der Befragten mehr Tempo bei der Digitalisierung der Verwaltung.  

Auch wenn sich die Angebote noch von Kommune zu Kommune und von Bundesland zu Bundesland unterscheiden, so haben sie doch eines gemein: Die Behörden verarbeiten dabei personenbezogene Daten, die der Datenschutz-Grundverordnung (DSGVO) unterliegen. Der Datenschutz muss also in die digitale Umsetzung von Verwaltungsprozessen unabdingbar integriert werden. 

Welche Ziele die Gesetzgebung setzt. 

Den Fortschritt des E-Governments flankieren mehrere Gesetze, die in den letzten Jahren verabschiedet wurden. Das jüngste war 2017 das „Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen“. Das sogenannte Onlinezugangsgesetz (OZG) steckte ehrgeizige Ziele: Es verpflichtete Bund, Länder und Kommunen, bis 2022 knapp 600 Verwaltungsleistungen über Portale digital anzubieten und diese zu einem Portalverbund zu verbinden. Für manche nicht überraschend, war die Umsetzung des OZG bis Ende 2022 jedoch noch nicht abgeschlossen. Deshalb beschloss das Kabinett im Mai 2023 für den weiteren Ausbau der Digitalisierung den Entwurf des OZG-Änderungsgesetzes (OZGÄndG) mit folgenden zentralen Punkten:  

• Die Ende-zu-Ende-Digitalisierung vom Antrag über die Bearbeitung bis zur Leistungserbringung.  
• Der Portalverbund als technische Plattform zwischen Bundes- und Länderportalen. 
• Der digitale Identitätsnachweis (Online-Ausweisfunktion oder eID-Funktion des elektronischen Personalausweises) als Schlüssel zu staatlichen Leistungen.  
• Das Nutzerkonto BundID, über das sich Bürger:innen deutschlandweit für elektronische Verwaltungsleistungen identifizieren können.  
• Das Once-Only-Prinzip. Standarddaten werden nur ein Mal abgegeben und können mit Einwilligung der Antragstellenden von verschiedenen Behörden und Registern abgerufen werden. 
• Die Digital-Only-Regelung. Nach Inkrafttreten des OZG-Änderungsgesetzes dürfen und können unternehmensbezogene Verwaltungsleistungen spätestens nach fünf Jahren nur noch elektronisch über den Portalverbund angeboten werden.

 

Wie der Datenschutz gesetzlich verankert ist.  

Die Ziele des OZG und des OZGÄndG stellen die Verwaltungen vor große Aufgaben. So sollen nicht nur einzelne Angebote etwa als ausfüllbare PDF-Formulare online zur Verfügung gestellt werden. Geplant ist vielmehr eine Ende-zu-Ende-Digitalisierung der Servicenetze für Kommunen und Länder, die an bestimmten Schnittstellen und für bestimmte Daten bis hin zur Bundesebene miteinander verbunden sind. Dies alles erfordert ein umfassendes Change Management, das zudem auf allen Ebenen den Datenschutz integriert. Seit 2018 EU-weit definiert, schützt die DSGVO die Grundrechte und Grundfreiheiten natürlicher Personen, das Recht auf informationelle Selbstbestimmung sowie vor dem Missbrauch personenbezogener Daten. Ergänzt und präzisiert wird die DSGVO an einigen Stellen durch das Bundesdatenschutzgesetz (BDSG) sowie auf Länderebene durch die Landesdatenschutzgesetze (LDSG).  

Diesen gesetzlichen Vorgaben entsprechend, müssen Behörden bei der Datenverarbeitung wesentliche Grundsätze beachten: 

• Rechtmäßigkeit und Fairness. Die Daten müssen auf rechtmäßige Weise, transparent und nur auf die Weise und in dem Umfang verarbeitet werden, wie es bei ihrer Erhebung angegeben wurde. 
• Zweckbindung und Zweckbestimmung. Der Zweck der Datenverarbeitung muss vorab festgelegt, eindeutig und legitim sein.  
• Datenminimierung. Daten müssen sparsam und zweckbezogen erhoben und dürfen nur verarbeitet werden, wenn sie für den definierten Zweck angemessen und notwendig sind.  
• Richtigkeit. Daten müssen sachlich richtig und aktuell sein. Sind sie unrichtig, müssen sie unverzüglich gelöscht oder korrigiert werden.  
• Datenspeicherung und Speicherbegrenzung. Mit einigen wenigen Ausnahmen dürfen Daten nicht länger gespeichert werden, als es ihre Zweckbestimmung erfordert.  
• Integrität und Vertraulichkeit. Daten müssen durch technische und organisatorische Maßnahmen vor der unrechtmäßigen Verarbeitung durch Unbefugte, vor unbeabsichtigtem Schaden und Verlust geschützt werden.  
• Rechenschaftspflicht. Behörden müssen aufgrund der Rechenschaftspflicht belegen können, dass sie die Vorschriften für den Datenschutz einhalten. 

 

Was die Rechenschaftspflicht erfordert. 

Werden die gesetzlichen Vorgaben zum Datenschutz eingehalten? Welche technischen und organisatorischen Maßnahmen werden hierfür ergriffen? Und wie effektiv sind diese? Öffentliche Verwaltungen müssen das stets belegen können, zum Beispiel gegenüber den Datenschutzbehörden. In der Praxis bedeutet dies, dass sie bei vielen Abläufen und Ereignissen umfangreiche Informations- und Dokumentationspflichten zu erfüllen haben, so bei  

• der Erhebung und Verarbeitung personenbezogener Daten, 
• Datenschutzvorfällen, 
• der Speicherung und dem Löschen von Daten,  
• Datenrisiken (die möglicherweise Datenschutz-Folgenabschätzungen (DSFA) erfordern) sowie 
• der Datensicherheit. 

 

Welche Lösungen sich für bestimmte Problemlagen anbieten.  

Im Rahmen der Digitalisierung kann sich der Datenschutz als eine besondere Aufgabe herausstellen. Doch je besser die Prozesse aufgesetzt, je genauer die Verantwortlichkeiten definiert und je selbstverständlicher die mit dem Datenschutz verbundenen Aufgaben in den üblichen Arbeitsverlauf integriert sind, desto leichter sind sie zu bewältigen. Ein Tipp aus unserer Erfahrung: Wer den damit verbundenen Arbeits- und Zeitbedarf weitestmöglich beschränken möchte, sollte insbesondere an die erforderlichen Risikoanalysen und Datenschutzdokumentationen denken. Diese sind zum Beispiel bei den technischen und organisatorischen Maßnahmen (TOM) zur Datensicherheit verpflichtend. Ihre Pflege erfordert am wenigsten Aufwand, wenn man sie möglichst aktuell und stetig erstellt sowie regelmäßig fortschreibt. 

Ein entscheidender Faktor für eine erfolgreiche digitale Umsetzung ist die IT-Architektur. Diese muss definiert, implementiert und für zukünftige Erweiterungen offen sein. Dabei gilt es, auf jedes einzelne Programm zu achten. So kann es etwa vorkommen, dass der Cloud-Dienst eines US-Anbieters nicht genutzt werden darf, weil dieser nicht unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Oder eine Anwendung nicht infrage kommt, weil damit personenbezogene Daten in sogenannte Drittländer außerhalb der EU transferiert werden, die nicht zum Wirkungsgebiet der DSGVO gehören. Hierfür bedarf es einer rechtlichen Grundlage, wie sie zum Beispiel durch Standardvertragsklauseln (Standard Contractual Clauses, SCC) in zusätzlich abgeschlossenen Datenschutzverträgen erreicht wird. Darüber hinaus muss in einem solchen Fall durch ein von den Nutzern eigenständig zu erstellendes TIA (Transfer Impact Assessment) das angemessene Datenschutzniveau im Empfängerland der Daten sichergestellt werden. 

Für diese und viele andere Herausforderungen gibt es jedoch sichere, verlässliche Lösungen. Hierzu gehören etwa hybride Cloud-Umgebungen oder Multi-Cloud-Architekturen europäischer Unternehmen, die der DSGVO entsprechen und auf Wunsch sogar nur auf deutsche Server zurückgreifen. Damit legt man auch Unsicherheiten mit dem EU-U.S. Data Privacy Framework ad acta, das möglicherweise vom Gerichtshof der Europäischen Union (EuGH) wieder gekippt wird. Bewährt hat sich zudem der Weg, den bereits einige Behörden eingeschlagen haben: Sie sind von proprietärer Software auf individuell anpassbare Open-Source-Lösungen wie die dPhoenixSuite umgestiegen. Die webbasierte Collaboration-Plattform beinhaltet Büro-, Mail-, Filesharing- und Videokonferenzprogramme und verarbeitet die Daten in sicheren deutschen Rechenzentren und Clouds.  

Fazit: Datenschutz ist kein Hindernis. 

Die Digitalisierung der Verwaltung wird für einige Jahre eine Daueraufgabe bilden – und damit untrennbar verbunden auch der Datenschutz. Die auf der DSGVO basierenden Vorgaben legen an die Arbeit der Verwaltungen und die Umsetzung des E-Governments strenge Maßstäbe an. Wer Hilfe braucht, findet sie bei Systemhäusern wie Bechtle. Diese können von der ersten Beratung über die Konzeptionierung bis hin zum Betrieb ganzheitliche, maßgeschneiderte Lösungen anbieten und dabei auf bewährte Partner und Best Practices zurückgreifen. Den Belangen und Forderungen des Datenschutzes wird dabei auf sämtlichen Ebenen Rechnung getragen.  

Setzen Sie sich gerne mit uns in Verbindung und erfahren Sie mehr über unsere digitalen Lösungen, die die Aufgaben und Pflichten des Datenschutzes von Anfang an integrieren: mathias.lucht@bechtle.com