Datenschutz on Dr. Christian Knebel

EU legt KI-Gesetz vor. Was öffentliche Verwaltungen jetzt wissen müssen. – April 2021 im E-Government-Rückblick.

Fri, 30 Apr 2021 20:00:00 +0200

Am 21. April veröffentlicht die EU-Kommission ihren Vorschlag für den AI Act . Erstmals soll der Einsatz von KI-Systemen in der EU reguliert werden, mit einem risikobasierten Ansatz: Verbotene Anwendungen, Hochrisiko-Anwendungen mit Pflichten, und alles andere ohne besondere Regulierung.

Für die öffentliche Verwaltung ist dieser Vorschlag nicht Zukunftsmusik. Viele Systeme, die Behörden heute einsetzen oder planen, fallen in die Hochrisiko-Kategorien.

Was im AI-Act-Entwurf steht

Der Kommissionsvorschlag unterscheidet vier Risikostufen.

Verboten sind KI-Systeme, die Grundrechte unterhöhlen: soziales Scoring durch Behörden, subliminale Manipulation, biometrische Massenüberwachung im öffentlichen Raum. Das sind klare Grenzen, die in der EU-Rechtsordnung ohnehin kaum anders denkbar wären.

Hochrisiko sind Systeme in explizit genannten Sektoren: Biometrische Identifikation, kritische Infrastruktur, Bildung, Beschäftigung, Sozialleistungen, Strafverfolgung, Migration, Rechtsprechung. Was das für Behörden bedeutet: Systeme, die in diesen Bereichen Entscheidungen unterstützen, also Bearbeitungsalgorithmen für Sozialleistungen, automatisierte Dokumentenprüfung, Priorisierungssysteme bei Anträgen, werden mit erheblichen Compliance-Anforderungen belegt.

Konkret: Technische Robustheit, Transparenz, menschliche Aufsicht, Dokumentation, Konformitätsbewertung vor Inbetriebnahme, Registrierung in einer EU-Datenbank.

Was das heute für Beschaffungen bedeutet: Wer jetzt KI-Systeme in Hochrisiko-Bereichen beschafft, die den AI-Act-Anforderungen nicht genügen werden, beschafft in zwei bis drei Jahren ein Nachbesserungsprojekt. Der Vorschlag wird noch verhandelt, die Richtung steht.

Wie man jetzt klug reagiert

Die falsche Reaktion: Alle KI-Projekte stoppen, bis der AI Act endgültig ist.

Die richtige Reaktion: Bestehende und geplante KI-Systeme klassifizieren. Welche fallen wahrscheinlich in die Hochrisiko-Kategorie? Welche nicht? Für die Hochrisiko-Kandidaten prüfen: Erfüllen sie schon heute die wahrscheinlichen Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht?

Viele gute KI-Systeme tun das bereits, weil es handwerklich sauber ist, nicht weil es vorgeschrieben ist. Wer darauf setzt, ist risikoarm. Wer auf proprietäre Black-Box-Systeme setzt, die keine Erklärbarkeit bieten, kauft unter Rechtsrahmenvorbehalt.

Was öffentliche Beschaffungen heute anders machen können: KI-Anforderungen in Leistungsbeschreibungen aufnehmen, die an den wahrscheinlichen AI-Act-Anforderungen orientiert sind. Keine Zertifizierungspflicht, die es noch nicht gibt. Aber Anforderungen an Transparenz, Dokumentation und Aufsichtsmöglichkeiten, die jedes gute System erfüllt.

Warum der Zeitplan wichtig ist

Der AI Act ist ein Kommissionsvorschlag. Jetzt beginnen die Verhandlungen zwischen Rat und Parlament, gefolgt vom Trilog. Das dauert Jahre. Frühestes Inkrafttreten: 2023 oder 2024. Anwendung für Hochrisiko-Systeme: mit Übergangsfrist.

Wer heute beschafft, hat Zeit. Zu wenig, um nichts zu tun. Genug, um es richtig anzufangen.

Die wichtigste Frage für Behörden, die KI einsetzen oder planen: Hat das System, das wir kaufen, eine nachvollziehbare Entscheidungslogik, und kann ein Mensch jederzeit eingreifen? Wenn ja, steht es auf sicherem Boden. Wenn nein, sollte die Beschaffung neu bewertet werden, unabhängig davon, was der AI Act am Ende genau vorschreibt.

Hat Sie das Thema interessiert?

Wenn Sie KI-Beschaffungen in Ihrer Behörde vorbereiten und dabei einen strukturierten Blick auf den AI-Act-Rahmen suchen: Eine Nachricht über das Kontaktformular genügt.

Registermodernisierung beschlossen. Jetzt kommt der schwierige Teil. – März 2021 im E-Government-Rückblick.

Wed, 31 Mar 2021 20:00:00 +0200

Der Bundestag verabschiedet das Registermodernisierungsgesetz . Das Gesetz führt die Steuer-ID als sektorübergreifende Personenkennziffer ein, mit der Verwaltungsregister künftig Daten untereinander austauschen können. Das ist die rechtliche Grundlage für Once-Only: Bürger:innen sollen Daten nur einmal einreichen müssen, danach holt die Verwaltung sie sich selbst.

Zeitgleich veröffentlicht die EU-Kommission den Digital Compass 2030 . Ambitionierte Ziele für ein digitales Europa bis 2030: 80 Prozent der Bevölkerung mit digitalen Grundkenntnissen, vollständig digitale öffentliche Dienste, sichere und nachhaltige digitale Infrastruktur.

Beides zusammen beschreibt, wo Deutschland hinmuss. Die Lücke zwischen gesetzlichem Rahmen und Verwaltungsrealität ist der Ort, an dem 2021 die eigentliche Arbeit liegt.

Was das Registermodernisierungsgesetz bringt und was es nicht löst

Das Gesetz ist ein Meilenstein. Nicht weil es Once-Only sofort liefert, sondern weil es den rechtlichen Rahmen schafft, ohne den Once-Only nicht möglich ist.

Die Kernfrage war die Datenschutzkontroverse. Die Steuer-ID ist eine einheitliche Kennung, die über Registergrenzen hinweg genutzt werden kann. Kritiker:innen, darunter der Bundesbeauftragte für den Datenschutz, haben gewarnt: Eine zentrale Kennung, die alle Lebensbereiche verknüpft, schafft Risiken für Profilbildung und staatliche Überwachung. Diesen Einwänden begegnet das Gesetz mit technischen Schutzmaßnahmen: Die Steuer-ID wird nicht direkt übermittelt, sondern für jeden Registerkontext in eine spezifische Kennung umgerechnet. Bereichsspezifische Kennzeichen statt universeller Profilnummer.

Das ist der richtige Kompromiss. Kein Once-Only ohne Registerverbindung. Keine Registerverbindung ohne datenschutzkonforme Kennung.

Was das Gesetz nicht löst: die operative Komplexität. Deutschland hat über 200 relevante Verwaltungsregister. Jedes hat seine eigene Geschichte, seine eigene Datenstruktur, seinen eigenen Betreiber. Sie alle an einen gemeinsamen Datenaustausch anzuschließen, ist keine Gesetzgebungsaufgabe. Es ist ein Jahrzehntprojekt.

Was 2021 konkret passieren muss: Eine Prioritätenliste. Welche Register sind für die häufigsten Verwaltungsleistungen zwingend notwendig? Diese zuerst. Wer alle 200 Register gleichzeitig reformieren will, reformiert keinen.

Was der EU Digital Compass für Deutschland bedeutet

Der Digital Compass 2030 setzt vier Säulen: Menschen (digitale Kompetenzen), sichere und nachhaltige digitale Infrastruktur, Digitalisierung von Unternehmen und Digitalisierung öffentlicher Dienste.

Für die öffentliche Verwaltung ist der Compass kein Gesetz, sondern ein politisches Zielbild. Er gibt Orientierung, aber keine Finanzierung. Was er schafft: einen europäischen Vergleichsrahmen. Deutschland kann sich daran messen lassen, was bei Estland, Dänemark oder den Niederlanden bereits funktioniert.

Was der Compass auch zeigt: Digitale Infrastruktur und digitale Kompetenzen gehen zusammen. Die besten Verwaltungsportale helfen wenig, wenn ein erheblicher Teil der Bevölkerung sie nicht nutzen kann. Digitale Inklusion ist keine Begleitmaßnahme, sondern eine Voraussetzung für den Nutzen der Investitionen.

Was die nächsten Schritte beim Registermodernisierungsgesetz sind

Das Gesetz ist verabschiedet. Was jetzt folgt, ist die operative Umsetzung: Pilotregister identifizieren, Schnittstellen definieren, Betreiber einbinden. Das NOOTS-System (Nationales Once-Only Technical System) ist das technische Rückgrat dafür.

Der kritische Pfad läuft über die Fachverfahrensanbieter. Jedes Register hat einen Betreiber, oft ein privatwirtschaftliches Unternehmen, das das Fachverfahren entwickelt hat und betreibt. Diese Betreiber müssen Schnittstellen öffnen und NOOTS-kompatibel werden. Ohne sie kommt keine Registermodernisierung in die Praxis.

Wer diese Anbieter nicht frühzeitig einbindet und ihre Einwände ernst nimmt, baut einen Rechtsrahmen ohne Umsetzungspartner.

Hat Sie das Thema interessiert?

Wenn Registermodernisierung oder Once-Only in Ihrer Behörde oder Ihren Projekten gerade ein Thema ist: Ich freue mich über Ihre Nachricht über das Kontaktformular unten.

Nach Schrems II: Cloud-Souveränität wird operativ. – August 2020 im E-Government-Rückblick.

Mon, 31 Aug 2020 20:00:00 +0200

Ein Monat nach dem Schrems-II-Urteil. Was ist passiert? Wenig Konkretes. Viel Diskussion.

Datenschutzbehörden haben Stellungnahmen veröffentlicht, die im Kern bestätigen, was das Urteil sagt: Datenübermittlungen in die USA ohne angemessene Schutzmaßnahmen sind rechtswidrig. Konkrete Sanktionen: noch nicht. Konkrete Handlungsanleitungen: begrenzt.

Microsoft hat angekündigt, Datenspeicherung und Verarbeitung in Europa ausbauen zu wollen. Was das bedeutet: Die Daten könnten in Frankfurt oder Amsterdam liegen, aber der Anbieter bleibt ein US-Unternehmen, das dem CLOUD Act unterliegt. Europäische Server lösen das Schrems-II-Problem strukturell nicht.

Was Behörden jetzt wirklich tun können

Die Frage, die nach Schrems II alle beschäftigt, ist praktisch: Was tue ich jetzt, am Montag, mit meinen Microsoft-Verträgen?

Die pragmatische Antwort: Nichts Überstürztes. Schrems II hat keine Übergangsfrist definiert. Datenschutzbehörden haben angekündigt, Beschwerden nachzugehen, nicht proaktiv alle Behörden zu prüfen. Es gibt Zeit für eine geordnete Strategie.

Was eine geordnete Strategie erfordert: Erstens eine Datenklassifikation. Welche Daten verarbeite ich in welchen Systemen? Sensible Kategorien (Gesundheit, Sozialdaten, Personalakten) sind sofort priorisiert, andere können warten. Zweitens eine Alternativenbewertung für die priorisierten Systeme. Was gibt es in Europa? Was kann von GAIA-X -zertifizierten Anbietern bezogen werden? Drittens ein Migrationspfad, der in Jahren, nicht Wochen denkt.

Wer all das in einem Monat abschließen will, scheitert. Wer es in drei Jahren plant, schafft es.

Was an Microsoft-Kritik fair ist und was nicht

Die Kritik an Microsoft nach Schrems II ist manchmal schärfer als berechtigt. Microsoft ist kein böser Akteur. Es ist ein US-Unternehmen, das US-Recht unterliegt. Dass der CLOUD Act US-Behörden Datenzugriff erlaubt, ist eine Konsequenz der US-Rechtslage, nicht einer Kooperationsbereitschaft von Microsoft.

Was fair zu kritisieren ist: Der Lock-in, den Microsoft-Produkte in vielen Verwaltungen erzeugt haben. Wer 20 Jahre auf Microsoft-Produkten aufgebaut hat, kann nicht in zwei Jahren migrieren, auch wenn er das wollte. Dieser Lock-in ist das eigentliche Problem, nicht Microsoft als Anbieter.

Was das für Beschaffungsentscheidungen heute bedeutet: Jede neue Lösung, die eingeführt wird, sollte ein dokumentiertes Exit-Szenario enthalten. Nicht als Drohung gegen den Anbieter, sondern als Sicherheitsnetz gegen zukünftige Rechtsentwicklungen, die niemand vorhersagen kann.

Hat Sie das Thema interessiert?

Wenn Sie eine Cloud-Strategie entwickeln, die Schrems-II-konform und operativ machbar ist: Über das Kontaktformular unten bin ich erreichbar.

Schrems II: Privacy Shield ungültig. Was das für öffentliche IT bedeutet. – Juli 2020 im E-Government-Rückblick.

Fri, 31 Jul 2020 20:00:00 +0200

Am 16. Juli 2020 erklärt der [Europäische Gerichtshof das Privacy Shield für ungültig]( https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=DE&mode=lst&dir=&occ=first&part=1&cid=14530) . Das Urteil in der Rechtssache C-311/18 ( Schrems II ) beendet sofort die Rechtsgrundlage für Datenübermittlungen in die USA auf Basis des Privacy Shield. Betroffen: alle Organisationen, die personenbezogene Daten von EU-Bürger:innen auf US-Servern oder über US-Dienste verarbeiten.

Betroffen, in unterschiedlichem Ausmaß, sind fast alle deutschen Bundesbehörden, Länder und Kommunen.

Was das Urteil konkret bedeutet

Der EuGH stellt fest: Die USA gewährleisten kein angemessenes Datenschutzniveau. Behörden wie NSA und FBI haben Zugriff auf Daten, der mit EU-Grundrechten nicht vereinbar ist. Das Privacy Shield, das diesen Mangel rechtsformell überspielen sollte, ist deshalb nichtig.

Was das für öffentliche Verwaltungen bedeutet: Wer US-Cloud-Dienste nutzt, etwa Microsoft 365, AWS oder Google Workspace, kann sich nicht mehr auf das Privacy Shield berufen. Als verbleibende Rechtsgrundlage kommen Standardvertragsklauseln (SCC) in Frage, aber der EuGH macht klar: Auch SCCs helfen nicht, wenn das Zielland strukturell keinen ausreichenden Schutz bietet.

Was das in der Praxis bedeutet: Datenschutzbehörden sind jetzt gefordert, Übermittlungen zu prüfen. Wer Microsoft 365 nutzt und personenbezogene Daten verarbeitet, steht vor einer Compliance-Frage ohne eindeutige Antwort.

Was öffentliche IT-Verantwortliche jetzt tun sollten

Die falsche Reaktion: Panic Procurement. Alle Microsoft-Verträge sofort kündigen, Open-Source-Alternativen in sechs Wochen einführen. Das ist nicht machbar und würde mehr Schaden als Nutzen bringen.

Die richtige Reaktion: Eine Inventur der Datentransfers in die USA, gegliedert nach Sensitivität der verarbeiteten Daten. Welche Systeme verarbeiten besonders schützenswerte Kategorien? Personalakten, Gesundheitsdaten, Sozialdaten? Diese haben höchste Priorität für eine Migration.

Für weniger sensitive Daten: Klärung mit dem jeweiligen Datenschutzbeauftragten, welche SCCs unter welchen Bedingungen als vorläufige Rechtsgrundlage akzeptiert werden. Das ist keine dauerhafte Lösung, aber es verschafft Zeit für eine strukturierte Migration.

Der mittelfristige Pfad: europäische oder deutsche Cloud-Anbieter für sensitive Verwaltungsdaten, US-Dienste wo unvermeidlich für unkritische Anwendungen, und ein klarer Zeitplan für die Verschiebung der Grenze.

Was Schrems II für GAIA-X und die OZG-Strategie bedeutet

Das Schrems-II-Urteil gibt der GAIA-X-Initiative politischen Rückenwind, den sie vorher nur bedingt hatte. Ein europäischer Datenraum mit GDPR-konformer Infrastruktur ist nach Schrems II keine strategische Vision, sondern eine rechtliche Notwendigkeit für alle, die Compliance dauerhaft sicherstellen wollen.

Für OZG: Neue Dienste, die im Rahmen des Konjunkturpakets entwickelt werden, sollten von Anfang an auf Infrastruktur laufen, die Schrems-II-konform ist. Was heute auf US-Infrastruktur aufgebaut wird, muss morgen migriert werden. Das ist keine Zukunftsprognose, sondern die Lehre aus dem Juli 2020.

Hat Sie das Thema interessiert?

Wenn Schrems II Ihre IT-Strategie gerade unter Druck setzt und Sie wissen wollen, welche Schritte realistisch und in welcher Reihenfolge sinnvoll sind: Das Kontaktformular unten macht den ersten Schritt einfach.

Contact Tracing, Open Source und die Frage der Digitalsouveränität. – Mai 2020 im E-Government-Rückblick.

Sun, 31 May 2020 20:00:00 +0200

Die Diskussion um eine deutsche Corona-Tracing-App ist im Mai 2020 auf ihrem Höhepunkt. Was wird entwickelt? Zentralisiert oder dezentralisiert? Open Source oder proprietär? Welche Daten fließen wohin? Was das Bundesgesundheitsministerium und das BSI am Ende entscheiden werden, ist noch nicht final. Aber die Debatte selbst ist lehrreich.

Denn selten wurde in Deutschland so öffentlich über digitale Souveränität als praktische Frage diskutiert wie in diesem Mai.

Der Datenschutz-Grundsatzstreit als Vertrauensfrage

Die große Streitlinie bei Contact-Tracing-Apps ist zentralisiert vs. dezentralisiert. Zentralisiert bedeutet: Begegnungsdaten laufen auf einem Server zusammen, der die Risikobewertung vornimmt. Dezentralisiert bedeutet: Die Begegnungsdaten bleiben auf dem Endgerät, nur anonymisierte Schlüssel werden geteilt.

Was Datenschützer, CCC und Teile der Wissenschaft sagen: Zentralisierte Systeme schaffen Potenziale für Missbrauch und Aggregation, die bei dezentralisierten Systemen strukturell nicht möglich sind. Das ist kein Misstrauen gegen die aktuelle Regierung. Es ist eine Infrastrukturentscheidung für Jahrzehnte.

Was die Entscheidung für Dezentralisierung zeigt: Datenschutz by Design ist nicht nur Compliance, sondern Vertrauensarchitektur. Bürger:innen nutzen Apps, denen sie vertrauen. Apps, die Vertrauen strukturell einbauen, haben höhere Nutzungsraten. Das ist ein pragmatisches Argument, kein ideologisches.

Open Source als Transparenzinstrument

Was im Mai durchsickert: Die Corona-Warn-App soll Open Source veröffentlicht werden. Der Quellcode auf GitHub. Das ist in der deutschen Behörden-IT eine Seltenheit. Üblicherweise ist der Code von öffentlich finanzierter Software proprietär und beim Auftragnehmer.

Was Open Source hier leistet: Transparenz für die Öffentlichkeit, unabhängige Sicherheitsprüfung, Nachnutzbarkeit für andere Länder. Das sind drei Argumente, die nichts miteinander zu tun haben, aber alle für dieselbe Entscheidung sprechen.

Was das für OZG bedeutet: Wenn der politische Wille für Open-Source-Veröffentlichung bei einer App entsteht, die jeden Monat Millionen nutzen werden, ist die Frage berechtigt, warum das nicht Standard für alle öffentlich finanzierten Softwareentwicklungen ist. „Public Money, Public Code" ist keine radikale Forderung. Es ist die logische Konsequenz aus dem, was gerade für die Corona-Warn-App entschieden wird.

Was die Krise für die OZG-Priorisierung gelernt hat

Im Mai beginnt die Politik, aus dem Krisenmodus in den Erholungsmodus zu wechseln. Was das für OZG bedeutet: Die unfreiwillige Priorisierung durch die Krise, also krisenrelevante Dienste zuerst, könnte als Prinzip beibehalten werden.

Welche Verwaltungsleistungen sind bei gesellschaftlichen Ausnahmesituationen besonders kritisch? Diese sollten in der Nachpriorisierung nach vorne rücken. Nicht weil andere unwichtig sind, sondern weil Resilienz ein eigenständiger Wert ist.

Hat Sie das Thema interessiert?

Wenn Sie die Open-Source-Debatte für Ihre eigene Softwarestrategie einordnen wollen oder OZG-Prioritäten unter Krisenperspektive neu denken: Das Formular unten verbindet uns.

Erster Monat DSGVO. Was die Verwaltung aus dem Datenschutzrecht lernt. – Juni 2018 im E-Government-Rückblick.

Sat, 30 Jun 2018 20:00:00 +0200

Vier Wochen DSGVO . Was der erste Monat unter dem neuen Datenschutzrecht zeigt, ist für öffentliche Verwaltungen ein gemischtes Bild: Viele Prozesse, die als DSGVO-Problem galten, sind handhabbar. Einige Probleme, die für lösbar gehalten wurden, sind es weniger als erwartet.

Was das für die OZG-Umsetzung bedeutet, ist kein Widerspruch. Es ist eine Einordnung.

Was der Verwaltung das meiste Kopfzerbrechen bereitet

Auskunftsanfragen. Die DSGVO gibt Bürger:innen das Recht zu erfahren, welche Daten über sie verarbeitet werden. Was das für Behörden bedeutet: Sie müssen wissen, wo welche Daten liegen. In einer Verwaltung, die über Jahrzehnte gewachsene IT-Landschaften betreibt, ist das keine triviale Frage.

Was viele Behörden im Juni feststellen: Ihre Datenverarbeitungsverzeichnisse sind unvollständig. Was das kostet: Zeit für Nacharbeit, die eigentlich in die OZG-Entwicklung fließen sollte.

Was das für die Zukunft bedeutet: Wer OZG-Dienste entwickelt, ohne gleichzeitig das Datenverarbeitungsverzeichnis zu pflegen, schafft DSGVO-Schulden. Was einmalig aufgesetzt ist, muss dauerhaft aktuell gehalten werden.

Was Privacy by Design in der Entwicklungspraxis bedeutet

Die Erfahrungen aus dem ersten DSGVO-Monat zeigen, was Privacy by Design in der Praxis erfordert: nicht eine Checkliste am Ende, sondern Datenschutz als Entwicklungsanforderung von Anfang an.

Was das konkret heißt: Bei der Konzeption eines neuen OZG-Dienstes die Fragen stellen, welche Daten wirklich benötigt werden, welche Rechtsgrundlage für jede Verarbeitung gilt, wie lange Daten aufbewahrt werden, und wer Zugriff hat. Diese Fragen sind nicht schwer. Schwer ist es, sie zum richtigen Zeitpunkt zu stellen.

Was die Erfahrung aus dem Privatsektor zeigt: Organisationen, die Datenschutz als Businessprozess verstehen und nicht als IT-Sonderaufgabe, kommen besser durch die DSGVO als solche, die den Datenschutzbeauftragten erst am Ende einschalten.

Was die DSGVO für die OZG-Kommunikation leistet

Was die DSGVO unbeabsichtigt zur Verwaltungsdigitalisierung beiträgt: Sie erzwingt, dass Behörden über ihre Datenverarbeitungen nachdenken. Das ist unbequem, aber wertvoll.

Eine Behörde, die ihre Datenverarbeitungsprozesse kennt und dokumentiert hat, ist besser in der Lage, diese Prozesse zu digitalisieren. Wer nicht weiß, welche Daten er verarbeitet, kann den Prozess nicht sinnvoll gestalten.

Was das für OZG bedeutet: Die DSGVO-Hausaufgaben und die OZG-Digitalisierungsarbeit sind keine Konkurrenten um dieselbe Kapazität. Sie ergänzen sich. Wer die DSGVO-Hausaufgaben macht, hat eine bessere Grundlage für die OZG-Entwicklung.

Hat Sie das Thema interessiert?

Wenn Sie die Verbindung zwischen Datenschutz und Digitalisierung für Ihre Behörde systematisch angehen wollen: Das Kontaktformular unten ist der direkteste Weg zu mir.

DSGVO kommt. Was öffentliche IT jetzt wissen muss. – Mai 2018 im E-Government-Rückblick.

Thu, 31 May 2018 20:00:00 +0200

Am 25. Mai wird die Datenschutz-Grundverordnung anwendbar. Was nach zwei Jahren Übergangszeit beginnt, ist der Regelbetrieb unter europäischem Datenschutzrecht. Für die private Wirtschaft ist das ein schon länger bekanntes Datum. Für die öffentliche Verwaltung ist es eines, das in der OZG-Umsetzung oft zu spät mitgedacht wurde.

Was die DSGVO für OZG-Dienste bedeutet

OZG-Dienste verarbeiten personenbezogene Daten. Sie nehmen Anträge entgegen, prüfen Ansprüche, erstellen Bescheide. Das sind DSGVO-pflichtige Verarbeitungen. Was das konkret erfordert: Datenschutz-Folgenabschätzungen für Dienste, die sensible Daten verarbeiten, Löschfristen, technische und organisatorische Maßnahmen zum Datenschutz, und eine klare Rechtsgrundlage für jede Verarbeitung.

Was in der Entwicklungsplanung vieler OZG-Dienste auffällt: Datenschutz wird als abschließende Prüfung behandelt, nicht als Entwicklungsanforderung. Privacy by Design, der DSGVO-Grundsatz, der verlangt, Datenschutz von Anfang an einzubauen, ist kein Optionspunkt am Ende der Entwicklung.

Was das kostet: Wer Datenschutz nachträglich einbaut, baut häufig Teile des Systems um. Was es nicht kostet, wenn es früh gemacht wird: mehr Entwicklungszeit, aber keine Nacharbeiten.

Was die DSGVO für die Registermodernisierung bedeutet

Die Registermodernisierung ist die datenschutzlich komplexeste Aufgabe des OZG-Programms. Das Once-Only-Prinzip erfordert, dass Register Daten miteinander austauschen. Was die DSGVO dazu sagt: Jede Datenweitergabe braucht eine Rechtsgrundlage. Behörden dürfen Daten nicht einfach an andere Behörden weitergeben, weil es praktisch ist.

Was das Registermodernisierungsgesetz lösen muss: klare gesetzliche Grundlagen für alle geplanten Datenweitergaben zwischen Registern. Das ist keine technische Aufgabe, sondern eine rechtliche. Und sie ist anspruchsvoller als eine einfache Datenbankintegration.

Was konstruktiv hilft: die Datenschutzbehörden frühzeitig einbinden, bevor der Gesetzentwurf final ist. Wer die Datenschutzkonferenz als Blockierer behandelt, verliert Zeit. Wer sie als Gestaltungspartner einbezieht, bekommt früher einen konsensfähigen Entwurf.

Was die DSGVO als Chance bedeutet

Die DSGVO wird häufig als Bremse für die Digitalisierung diskutiert. Das ist halbrichtig. Was sie tatsächlich ist: ein Rahmen, der klare Regeln setzt, und damit auch rechtliche Sicherheit schafft.

Behörden, die digitale Dienste unter klaren Datenschutzbedingungen betreiben, haben ein starkes Argument gegen Bürger:innen-Skepsis: Der Dienst ist nicht nur praktisch, er ist auch datenschutzrechtlich ordnungsgemäß. Das ist ein Vertrauensargument, das in einer Zeit wachsender Datenskepsis Gewicht hat.

Was das für die OZG-Kommunikation bedeutet: DSGVO-Konformität sollte nicht als Pflichtübung verstanden werden, sondern als Qualitätsmerkmal. Ein digitaler Verwaltungsdienst, der DSGVO-konform und barrierearm ist, hat die Basis, die Vertrauen aufbaut.

Hat Sie das Thema interessiert?

Wenn Sie die DSGVO-Anforderungen für Ihre OZG-Dienste systematisch angehen wollen: Ich bin über das Kontaktformular unten erreichbar.

Trump-Wahl und digitale Souveränität. Was das für Europas IT bedeutet. – November 2016 im E-Government-Rückblick.

Wed, 30 Nov 2016 20:00:00 +0100

Am 8. November wird Donald Trump zum 45. Präsidenten der Vereinigten Staaten gewählt. Was das für die europäische Digitalpolitik bedeutet, ist im November 2016 noch unklar. Was absehbar ist: Die Verlässlichkeit transatlantischer Abkommen kann nicht als selbstverständlich angesehen werden.

Was die Trump-Wahl für den Privacy Shield bedeutet

Der Privacy Shield ist das Datenschutzabkommen zwischen EU und USA, das im August 2016 in Kraft getreten ist. Er regelt, unter welchen Bedingungen personenbezogene Daten aus der EU in die USA übertragen werden dürfen.

Was die Trump-Wahl daran ändert: Der Privacy Shield ist ein exekutives Abkommen, das von der US-Administration eingehalten werden muss. Was eine Administration, die Datenschutz und europäische Regulierungen nicht priorisiert, mit diesem Abkommen machen kann: es schwächen oder faktisch unterlaufen.

Was europäische Behörden, die US-Cloud-Dienste nutzen, jetzt prüfen sollten: Auf welcher Rechtsgrundlage werden Daten in die USA übertragen? Was passiert, wenn der Privacy Shield wegfällt oder ausgehöhlt wird? Welche Alternativen gibt es?

Das ist keine theoretische Frage. Sie ist für Behörden, die Microsoft 365 oder AWS nutzen, sehr praktisch.

Was die Cloud-Abhängigkeit öffentlicher IT bedeutet

Was europäische öffentliche Verwaltungen in den vergangenen Jahren getan haben: in erheblichem Maß US-amerikanische Cloud-Dienstleister für Infrastruktur, Kommunikation und Datenspeicherung genutzt. Was das im Normalbetrieb bedeutet: Effizienz und Funktionalität.

Was es im Krisenfall bedeutet: Abhängigkeit von Anbietern, die unter US-amerikanischem Recht operieren und damit dem Zugriff amerikanischer Behörden unterliegen. Der USA PATRIOT Act und seine Nachfolger erlauben unter bestimmten Bedingungen den Zugriff auf Daten, die auf US-Servern liegen.

Was das für die strategische Planung öffentlicher IT bedeutet: Eine vollständige Vermeidung US-amerikanischer Dienstleister ist kurzfristig nicht realistisch. Was realistisch ist: eine schrittweise Diversifizierung hin zu europäischen Alternativen für die sensibelsten Daten und Prozesse.

Was digitale Souveränität für die Verwaltungsdigitalisierung bedeutet

Was “digitale Souveränität” im November 2016 bedeutet: die Fähigkeit, digitale Infrastrukturen zu kontrollieren und unabhängig von außereuropäischen Anbietern zu betreiben, wenn es nötig ist.

Was das für das OZG und die Verwaltungsdigitalisierung bedeutet: Die digitalen Dienste, die in den nächsten Jahren entstehen, sollten auf einer Infrastruktur aufbauen, die dieser Anforderung genügt. Was das ausschließt: Cloud-Architekturen, die nur in einer proprietären US-Infrastruktur betrieben werden können und bei der kein Ausweichweg besteht.

Was das nicht ausschließt: die pragmatische Nutzung von US-Cloud-Diensten für unkritische Infrastruktur, kombiniert mit einer strategischen Investition in europäische Alternativen für kritische Daten.

Hat Sie das Thema interessiert?

Wenn Sie Cloud-Entscheidungen für Ihre Behörde unter Souveränitätsgesichtspunkten prüfen wollen: Das Kontaktformular unten ist der direkteste Weg zu mir.

DSGVO in Kraft. Was die ersten Wochen nach dem Amtsblatt zeigen. – Mai 2016 im E-Government-Rückblick.

Tue, 31 May 2016 20:00:00 +0200

Am 25. Mai ist die Datenschutz-Grundverordnung in Kraft getreten. Was die ersten Reaktionen zeigen: Das Bewusstsein für die kommenden Anforderungen ist gestiegen. Was auch sichtbar wird: Die zwei Jahre Übergangszeit werden für viele Behörden nicht ausreichend sein, wenn nicht sofort begonnen wird.

Was die ersten Reaktionen zeigen

In Bundesbehörden, Länderministerien und Kommunen ist die DSGVO jetzt ein Thema. Was die Reaktionen unterscheidet: Manche Organisationen haben bereits vor Mai mit der Vorbereitung begonnen. Andere starten jetzt, mit dem Amtsblatt als Startpistole.

Was die Behörden, die früh begonnen haben, bereits wissen: Die Erstellung eines vollständigen Datenverarbeitungsverzeichnisses dauert länger als erwartet. Was das erfordert, ist kein IT-Projekt, sondern ein organisatorisches: alle Stellen in der Behörde müssen ihre Datenverarbeitungen dokumentieren. Das ist Handarbeit, die nicht automatisiert werden kann.

Was das für die verbleibenden 24 Monate bedeutet: Wer jetzt beginnt, hat eine realistische Chance, bis Mai 2018 vorbereitet zu sein. Wer noch wartet, riskiert, im Mai 2018 den Betrieb unter nicht-konformen Bedingungen fortzuführen.

Was Verwaltungen in der Übergangszeit konkret tun sollten

Drei Schritte, die sofort begonnen werden können: Erstens, Bestandsaufnahme aller Datenverarbeitungen. Welche Daten werden wo erhoben, gespeichert, verarbeitet, weitergegeben? Zweitens, Bewertung, welche dieser Verarbeitungen einer Datenschutz-Folgenabschätzung bedürfen. Drittens, Prüfung, ob die bestehenden technischen und organisatorischen Maßnahmen den DSGVO-Anforderungen entsprechen.

Diese drei Schritte können parallel zu laufendem Betrieb durchgeführt werden. Was sie erfordern: Kapazität, die explizit dafür freigemacht wird. DSGVO-Vorbereitung passiert nicht nebenbei.

Was konkret nicht helfen wird: das Thema zu delegieren, ohne Ressourcen bereitzustellen. Ein Datenschutzbeauftragter, der die DSGVO-Vorbereitung als Einzelperson erledigen soll, kann das nicht. Was nötig ist, sind behördenweite Prozesse, die vom Management getragen werden.

Was die DSGVO für neue Digitalisierungsprojekte bedeutet

Was ab sofort gilt: Jedes neue Digitalisierungsprojekt, das bis Mai 2018 live geht oder danach betrieben wird, sollte von Anfang an DSGVO-konform geplant werden. Privacy by Design ist kein optionales Add-on, sondern ein Grundsatz.

Was das für Projektmethodik bedeutet: Datenschutzanforderungen gehören in das Lastenheft, nicht in die abschließende Revision. Wer diesen Grundsatz in seinen E-Government-Projekten verankert, spart nachträgliche Anpassungskosten.

Was die DSGVO für die Zusammenarbeit mit IT-Dienstleistern bedeutet: Auftragsverarbeitungsverträge müssen vor Projektbeginn vorliegen. Was das konkret heißt: Einkauf und Datenschutz müssen früh in Beschaffungsprozesse eingebunden werden.

Hat Sie das Thema interessiert?

Wenn Sie die DSGVO-Übergangszeit für Ihre Behörde strukturiert angehen wollen: Das Kontaktformular unten ist der direkteste Weg.

DSGVO in Kraft. Was zwei Jahre Übergangszeit bedeuten. – März 2016 im E-Government-Rückblick.

Thu, 31 Mar 2016 20:00:00 +0200

Im April wird die Datenschutz-Grundverordnung im EU-Amtsblatt veröffentlicht, im Mai tritt sie in Kraft. Was das für Behörden bedeutet: zwei Jahre Übergangszeit, bis die DSGVO am 25. Mai 2018 anwendbar wird. Zwei Jahre klingen lang. Sie sind es nicht.

Was die DSGVO für öffentliche Verwaltungen verändert

Die DSGVO ist kein vollständiger Neuanfang. Was sie für öffentliche Verwaltungen ändert, baut auf dem bestehenden Datenschutzrecht auf. Was sie hinzufügt: strengere Dokumentationspflichten, neue Betroffenenrechte, verschärfte Anforderungen an technische und organisatorische Maßnahmen, und Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen.

Was das für Verwaltungen bedeutet, die heute bereits datenschutzkonform arbeiten: der Aufwand für die Umstellung ist überschaubar. Was für Verwaltungen gilt, deren Datenschutzdokumentation lückenhaft ist: zwei Jahre sind wenig, wenn man von vorne beginnt.

Was die DSGVO explizit vorsieht und was für die Verwaltungsdigitalisierung relevant ist: Privacy by Design und Privacy by Default. Datenschutz muss in neue Systeme eingebaut werden, nicht nachträglich. Wer 2018 digitale Dienste einführen will, muss sie mit DSGVO-Anforderungen entwickeln.

Was die DSGVO für die Architektur digitaler Verwaltungsdienste bedeutet

Was die DSGVO für die technische Architektur erzwingt: Datensparsamkeit, Zweckbindung, und die Fähigkeit, Auskunfts- und Löschanfragen zu bearbeiten. Was das in der Systemarchitektur bedeutet: Daten müssen auffindbar, kategorisiert und löschbar sein.

Systeme, die Daten in Silos verwalten, ohne Möglichkeit zur strukturierten Auskunft, sind DSGVO-Problemfälle. Was das für laufende und geplante Digitalisierungsprojekte bedeutet: Datenschutzanforderungen müssen in der Konzeptionsphase verankert werden, nicht nach dem Go-live.

Was konkret vorbereitet werden sollte: für alle Datenverarbeitungen, die nach Mai 2018 laufen werden, jetzt Bestandsaufnahmen machen. Was wird verarbeitet? Auf welcher Rechtsgrundlage? Wie lange? Wer hat Zugriff? Diese Fragen zu beantworten, braucht Zeit, die jetzt noch vorhanden ist.

Was die DSGVO für die föderale Digitalisierung bedeutet

Was die DSGVO in einem föderalen Kontext besonders relevant macht: Wenn 16 Länder und Tausende Kommunen digitale Dienste entwickeln und betreiben, muss der Datenschutzrahmen konsistent sein. Was die DSGVO liefert: genau das, einen einheitlichen europäischen Rahmen.

Was das für die Entwicklung von EfA-Diensten bedeutet: Ein Dienst, der in Land A DSGVO-konform entwickelt wurde, kann grundsätzlich auch in Land B betrieben werden, ohne das komplette Datenschutzkonzept neu zu erstellen. Das ist ein Vorteil des Nachnutzungsmodells, der in der Diskussion über EfA selten erwähnt wird.

Was die zwei Jahre bis zur Anwendbarkeit leisten können: alle neuen Digitalisierungsprojekte von Anfang an DSGVO-konform konzipieren, und die Altbestände systematisch überprüfen.

Hat Sie das Thema interessiert?

Wenn Sie die DSGVO-Vorbereitung für Ihre Behörde strategisch angehen wollen: Das Kontaktformular unten ist der direkteste Weg.