DSGVO in Kraft. Was die ersten Wochen nach dem Amtsblatt zeigen. – Mai 2016 im E-Government-Rückblick.

Am 25. Mai ist die Datenschutz-Grundverordnung in Kraft getreten. Was die ersten Reaktionen zeigen: Das Bewusstsein für die kommenden Anforderungen ist gestiegen. Was auch sichtbar wird: Die zwei Jahre Übergangszeit werden für viele Behörden nicht ausreichend sein, wenn nicht sofort begonnen wird.

Was die ersten Reaktionen zeigen

In Bundesbehörden, Länderministerien und Kommunen ist die DSGVO jetzt ein Thema. Was die Reaktionen unterscheidet: Manche Organisationen haben bereits vor Mai mit der Vorbereitung begonnen. Andere starten jetzt, mit dem Amtsblatt als Startpistole.

Was die Behörden, die früh begonnen haben, bereits wissen: Die Erstellung eines vollständigen Datenverarbeitungsverzeichnisses dauert länger als erwartet. Was das erfordert, ist kein IT-Projekt, sondern ein organisatorisches: alle Stellen in der Behörde müssen ihre Datenverarbeitungen dokumentieren. Das ist Handarbeit, die nicht automatisiert werden kann.

Was das für die verbleibenden 24 Monate bedeutet: Wer jetzt beginnt, hat eine realistische Chance, bis Mai 2018 vorbereitet zu sein. Wer noch wartet, riskiert, im Mai 2018 den Betrieb unter nicht-konformen Bedingungen fortzuführen.

Was Verwaltungen in der Übergangszeit konkret tun sollten

Drei Schritte, die sofort begonnen werden können: Erstens, Bestandsaufnahme aller Datenverarbeitungen. Welche Daten werden wo erhoben, gespeichert, verarbeitet, weitergegeben? Zweitens, Bewertung, welche dieser Verarbeitungen einer Datenschutz-Folgenabschätzung bedürfen. Drittens, Prüfung, ob die bestehenden technischen und organisatorischen Maßnahmen den DSGVO-Anforderungen entsprechen.

Diese drei Schritte können parallel zu laufendem Betrieb durchgeführt werden. Was sie erfordern: Kapazität, die explizit dafür freigemacht wird. DSGVO-Vorbereitung passiert nicht nebenbei.

Was konkret nicht helfen wird: das Thema zu delegieren, ohne Ressourcen bereitzustellen. Ein Datenschutzbeauftragter, der die DSGVO-Vorbereitung als Einzelperson erledigen soll, kann das nicht. Was nötig ist, sind behördenweite Prozesse, die vom Management getragen werden.

Was die DSGVO für neue Digitalisierungsprojekte bedeutet

Was ab sofort gilt: Jedes neue Digitalisierungsprojekt, das bis Mai 2018 live geht oder danach betrieben wird, sollte von Anfang an DSGVO-konform geplant werden. Privacy by Design ist kein optionales Add-on, sondern ein Grundsatz.

Was das für Projektmethodik bedeutet: Datenschutzanforderungen gehören in das Lastenheft, nicht in die abschließende Revision. Wer diesen Grundsatz in seinen E-Government-Projekten verankert, spart nachträgliche Anpassungskosten.

Was die DSGVO für die Zusammenarbeit mit IT-Dienstleistern bedeutet: Auftragsverarbeitungsverträge müssen vor Projektbeginn vorliegen. Was das konkret heißt: Einkauf und Datenschutz müssen früh in Beschaffungsprozesse eingebunden werden.

Hat Sie das Thema interessiert?

Wenn Sie die DSGVO-Übergangszeit für Ihre Behörde strukturiert angehen wollen: Das Kontaktformular unten ist der direkteste Weg.