DSGVO in Kraft. Was zwei Jahre Übergangszeit bedeuten. – März 2016 im E-Government-Rückblick.
Im April wird die Datenschutz-Grundverordnung im EU-Amtsblatt veröffentlicht, im Mai tritt sie in Kraft. Was das für Behörden bedeutet: zwei Jahre Übergangszeit, bis die DSGVO am 25. Mai 2018 anwendbar wird. Zwei Jahre klingen lang. Sie sind es nicht.
Was die DSGVO für öffentliche Verwaltungen verändert
Die DSGVO ist kein vollständiger Neuanfang. Was sie für öffentliche Verwaltungen ändert, baut auf dem bestehenden Datenschutzrecht auf. Was sie hinzufügt: strengere Dokumentationspflichten, neue Betroffenenrechte, verschärfte Anforderungen an technische und organisatorische Maßnahmen, und Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen.
Was das für Verwaltungen bedeutet, die heute bereits datenschutzkonform arbeiten: der Aufwand für die Umstellung ist überschaubar. Was für Verwaltungen gilt, deren Datenschutzdokumentation lückenhaft ist: zwei Jahre sind wenig, wenn man von vorne beginnt.
Was die DSGVO explizit vorsieht und was für die Verwaltungsdigitalisierung relevant ist: Privacy by Design und Privacy by Default. Datenschutz muss in neue Systeme eingebaut werden, nicht nachträglich. Wer 2018 digitale Dienste einführen will, muss sie mit DSGVO-Anforderungen entwickeln.
Was die DSGVO für die Architektur digitaler Verwaltungsdienste bedeutet
Was die DSGVO für die technische Architektur erzwingt: Datensparsamkeit, Zweckbindung, und die Fähigkeit, Auskunfts- und Löschanfragen zu bearbeiten. Was das in der Systemarchitektur bedeutet: Daten müssen auffindbar, kategorisiert und löschbar sein.
Systeme, die Daten in Silos verwalten, ohne Möglichkeit zur strukturierten Auskunft, sind DSGVO-Problemfälle. Was das für laufende und geplante Digitalisierungsprojekte bedeutet: Datenschutzanforderungen müssen in der Konzeptionsphase verankert werden, nicht nach dem Go-live.
Was konkret vorbereitet werden sollte: für alle Datenverarbeitungen, die nach Mai 2018 laufen werden, jetzt Bestandsaufnahmen machen. Was wird verarbeitet? Auf welcher Rechtsgrundlage? Wie lange? Wer hat Zugriff? Diese Fragen zu beantworten, braucht Zeit, die jetzt noch vorhanden ist.
Was die DSGVO für die föderale Digitalisierung bedeutet
Was die DSGVO in einem föderalen Kontext besonders relevant macht: Wenn 16 Länder und Tausende Kommunen digitale Dienste entwickeln und betreiben, muss der Datenschutzrahmen konsistent sein. Was die DSGVO liefert: genau das, einen einheitlichen europäischen Rahmen.
Was das für die Entwicklung von EfA-Diensten bedeutet: Ein Dienst, der in Land A DSGVO-konform entwickelt wurde, kann grundsätzlich auch in Land B betrieben werden, ohne das komplette Datenschutzkonzept neu zu erstellen. Das ist ein Vorteil des Nachnutzungsmodells, der in der Diskussion über EfA selten erwähnt wird.
Was die zwei Jahre bis zur Anwendbarkeit leisten können: alle neuen Digitalisierungsprojekte von Anfang an DSGVO-konform konzipieren, und die Altbestände systematisch überprüfen.
Hat Sie das Thema interessiert?
Wenn Sie die DSGVO-Vorbereitung für Ihre Behörde strategisch angehen wollen: Das Kontaktformular unten ist der direkteste Weg.