Dsgvo on Dr. Christian Knebel

Erster Monat DSGVO. Was die Verwaltung aus dem Datenschutzrecht lernt. – Juni 2018 im E-Government-Rückblick.

Sat, 30 Jun 2018 20:00:00 +0200

Vier Wochen DSGVO . Was der erste Monat unter dem neuen Datenschutzrecht zeigt, ist für öffentliche Verwaltungen ein gemischtes Bild: Viele Prozesse, die als DSGVO-Problem galten, sind handhabbar. Einige Probleme, die für lösbar gehalten wurden, sind es weniger als erwartet.

Was das für die OZG-Umsetzung bedeutet, ist kein Widerspruch. Es ist eine Einordnung.

Was der Verwaltung das meiste Kopfzerbrechen bereitet

Auskunftsanfragen. Die DSGVO gibt Bürger:innen das Recht zu erfahren, welche Daten über sie verarbeitet werden. Was das für Behörden bedeutet: Sie müssen wissen, wo welche Daten liegen. In einer Verwaltung, die über Jahrzehnte gewachsene IT-Landschaften betreibt, ist das keine triviale Frage.

Was viele Behörden im Juni feststellen: Ihre Datenverarbeitungsverzeichnisse sind unvollständig. Was das kostet: Zeit für Nacharbeit, die eigentlich in die OZG-Entwicklung fließen sollte.

Was das für die Zukunft bedeutet: Wer OZG-Dienste entwickelt, ohne gleichzeitig das Datenverarbeitungsverzeichnis zu pflegen, schafft DSGVO-Schulden. Was einmalig aufgesetzt ist, muss dauerhaft aktuell gehalten werden.

Was Privacy by Design in der Entwicklungspraxis bedeutet

Die Erfahrungen aus dem ersten DSGVO-Monat zeigen, was Privacy by Design in der Praxis erfordert: nicht eine Checkliste am Ende, sondern Datenschutz als Entwicklungsanforderung von Anfang an.

Was das konkret heißt: Bei der Konzeption eines neuen OZG-Dienstes die Fragen stellen, welche Daten wirklich benötigt werden, welche Rechtsgrundlage für jede Verarbeitung gilt, wie lange Daten aufbewahrt werden, und wer Zugriff hat. Diese Fragen sind nicht schwer. Schwer ist es, sie zum richtigen Zeitpunkt zu stellen.

Was die Erfahrung aus dem Privatsektor zeigt: Organisationen, die Datenschutz als Businessprozess verstehen und nicht als IT-Sonderaufgabe, kommen besser durch die DSGVO als solche, die den Datenschutzbeauftragten erst am Ende einschalten.

Was die DSGVO für die OZG-Kommunikation leistet

Was die DSGVO unbeabsichtigt zur Verwaltungsdigitalisierung beiträgt: Sie erzwingt, dass Behörden über ihre Datenverarbeitungen nachdenken. Das ist unbequem, aber wertvoll.

Eine Behörde, die ihre Datenverarbeitungsprozesse kennt und dokumentiert hat, ist besser in der Lage, diese Prozesse zu digitalisieren. Wer nicht weiß, welche Daten er verarbeitet, kann den Prozess nicht sinnvoll gestalten.

Was das für OZG bedeutet: Die DSGVO-Hausaufgaben und die OZG-Digitalisierungsarbeit sind keine Konkurrenten um dieselbe Kapazität. Sie ergänzen sich. Wer die DSGVO-Hausaufgaben macht, hat eine bessere Grundlage für die OZG-Entwicklung.

Hat Sie das Thema interessiert?

Wenn Sie die Verbindung zwischen Datenschutz und Digitalisierung für Ihre Behörde systematisch angehen wollen: Das Kontaktformular unten ist der direkteste Weg zu mir.

DSGVO kommt. Was öffentliche IT jetzt wissen muss. – Mai 2018 im E-Government-Rückblick.

Thu, 31 May 2018 20:00:00 +0200

Am 25. Mai wird die Datenschutz-Grundverordnung anwendbar. Was nach zwei Jahren Übergangszeit beginnt, ist der Regelbetrieb unter europäischem Datenschutzrecht. Für die private Wirtschaft ist das ein schon länger bekanntes Datum. Für die öffentliche Verwaltung ist es eines, das in der OZG-Umsetzung oft zu spät mitgedacht wurde.

Was die DSGVO für OZG-Dienste bedeutet

OZG-Dienste verarbeiten personenbezogene Daten. Sie nehmen Anträge entgegen, prüfen Ansprüche, erstellen Bescheide. Das sind DSGVO-pflichtige Verarbeitungen. Was das konkret erfordert: Datenschutz-Folgenabschätzungen für Dienste, die sensible Daten verarbeiten, Löschfristen, technische und organisatorische Maßnahmen zum Datenschutz, und eine klare Rechtsgrundlage für jede Verarbeitung.

Was in der Entwicklungsplanung vieler OZG-Dienste auffällt: Datenschutz wird als abschließende Prüfung behandelt, nicht als Entwicklungsanforderung. Privacy by Design, der DSGVO-Grundsatz, der verlangt, Datenschutz von Anfang an einzubauen, ist kein Optionspunkt am Ende der Entwicklung.

Was das kostet: Wer Datenschutz nachträglich einbaut, baut häufig Teile des Systems um. Was es nicht kostet, wenn es früh gemacht wird: mehr Entwicklungszeit, aber keine Nacharbeiten.

Was die DSGVO für die Registermodernisierung bedeutet

Die Registermodernisierung ist die datenschutzlich komplexeste Aufgabe des OZG-Programms. Das Once-Only-Prinzip erfordert, dass Register Daten miteinander austauschen. Was die DSGVO dazu sagt: Jede Datenweitergabe braucht eine Rechtsgrundlage. Behörden dürfen Daten nicht einfach an andere Behörden weitergeben, weil es praktisch ist.

Was das Registermodernisierungsgesetz lösen muss: klare gesetzliche Grundlagen für alle geplanten Datenweitergaben zwischen Registern. Das ist keine technische Aufgabe, sondern eine rechtliche. Und sie ist anspruchsvoller als eine einfache Datenbankintegration.

Was konstruktiv hilft: die Datenschutzbehörden frühzeitig einbinden, bevor der Gesetzentwurf final ist. Wer die Datenschutzkonferenz als Blockierer behandelt, verliert Zeit. Wer sie als Gestaltungspartner einbezieht, bekommt früher einen konsensfähigen Entwurf.

Was die DSGVO als Chance bedeutet

Die DSGVO wird häufig als Bremse für die Digitalisierung diskutiert. Das ist halbrichtig. Was sie tatsächlich ist: ein Rahmen, der klare Regeln setzt, und damit auch rechtliche Sicherheit schafft.

Behörden, die digitale Dienste unter klaren Datenschutzbedingungen betreiben, haben ein starkes Argument gegen Bürger:innen-Skepsis: Der Dienst ist nicht nur praktisch, er ist auch datenschutzrechtlich ordnungsgemäß. Das ist ein Vertrauensargument, das in einer Zeit wachsender Datenskepsis Gewicht hat.

Was das für die OZG-Kommunikation bedeutet: DSGVO-Konformität sollte nicht als Pflichtübung verstanden werden, sondern als Qualitätsmerkmal. Ein digitaler Verwaltungsdienst, der DSGVO-konform und barrierearm ist, hat die Basis, die Vertrauen aufbaut.

Hat Sie das Thema interessiert?

Wenn Sie die DSGVO-Anforderungen für Ihre OZG-Dienste systematisch angehen wollen: Ich bin über das Kontaktformular unten erreichbar.

E-Government vor der Zielgeraden. Was der Frühsommer bringt. – April 2017 im E-Government-Rückblick.

Sun, 30 Apr 2017 20:00:00 +0200

April 2017. Das Onlinezugangsgesetz ist auf der parlamentarischen Zielgeraden. Was parallel passiert: In genau 13 Monaten, am 25. Mai 2018, wird die DSGVO anwendbar. Behörden, die das noch nicht auf dem Schirm haben, werden es in den nächsten Wochen merken.

Was die DSGVO-Uhr für Behörden bedeutet

13 Monate bis zur DSGVO-Anwendbarkeit. Was das für Behörden bedeutet: Es ist noch Zeit, aber nicht mehr viel. Was in diesen 13 Monaten erledigt sein muss: Datenverarbeitungsverzeichnisse erstellen, Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen durchführen, technische und organisatorische Maßnahmen anpassen, und Datenschutzbeauftragte benennen oder bestätigen.

Was Behörden, die damit noch nicht begonnen haben, jetzt tun sollten: eine DSGVO-Readiness-Analyse. Wo stehen wir? Was fehlt? Was ist bis Mai 2018 realistisch abzuschließen? Was muss danach noch nachgeholt werden?

DSGVO und E-Government-Digitalisierung sind nicht dasselbe, aber sie überlappen. Wer heute digitale Dienste entwickelt, ohne die DSGVO-Anforderungen einzuplanen, entwickelt Dienste, die 2018 nachgebessert werden müssen.

Was die Länder- E-Government-Gesetz e zeigen

Fast alle Bundesländer haben mittlerweile eigene E-Government-Gesetze. Was diese Gesetze zeigen: Die normative Grundlage für digitale Verwaltung ist bundesweit vorhanden. Was sie auch zeigen: Normative Grundlagen allein bringen keine digitalen Dienste.

Was die Umsetzungsrealität der Länder-E-Government-Gesetze lehrt: Gesetze, die Anforderungen stellen ohne Ressourcen bereitzustellen, werden langsam umgesetzt. E-Akte-Pflichten, die ohne Finanzierung für Migration beschlossen wurden, sind in manchen Ländern jahrelang ignoriert worden.

Was das für das OZG bedeutet: Es darf nicht dasselbe Muster wiederholen. Ein Gesetz ohne Finanzierungsarchitektur und ohne Konsequenzen für Nichtumsetzung hat schwache Wirkung. Was das OZG stark macht, sind nicht die gesetzlichen Verpflichtungen allein, sondern die Umsetzungsstruktur, die dahintersteht.

Was der April für die kommunale IT-Praxis bringt

Kommunale IT-Dienstleister sind im Frühjahr 2017 in einer Vorbereitungsphase. Was sie wissen: Das OZG kommt. Was sie noch nicht wissen: Welche Dienste werden zuerst kommen? Welche Schnittstellen müssen sie bereitstellen? Welche Fachverfahren müssen angepasst werden?

Was kommunale IT-Dienstleister jetzt tun können: eigene Inventarisierungen ihrer Dienstelandschaft beginnen, um zu wissen, was verändert werden muss. Welche Fachverfahren sind proprietär und schwer integrierbar? Welche Schnittstellen fehlen? Diese Analyse hat Wert, unabhängig davon, welche EfA-Dienste konkret kommen.

Hat Sie das Thema interessiert?

Wenn Sie die DSGVO-Vorbereitung und E-Government-Planung zusammendenken wollen: Eine Nachricht über das Kontaktformular unten genügt.

Jahresrückblick 2016. Was vor dem OZG steht und was fehlt. – Dezember 2016 im E-Government-Rückblick.

Sat, 31 Dec 2016 20:00:00 +0100

Das Jahr 2016 endet. Was das Onlinezugangsgesetz betrifft: Es kommt. Im parlamentarischen Verfahren, angekündigt für 2017. Was dieses Jahr ohne OZG für die Verwaltungsdigitalisierung geleistet hat, ist trotzdem mehr als nichts.

Was 2016 für die E-Government-Grundlagen gebracht hat

Die DSGVO ist in Kraft getreten. Was das für alle digitalen Verwaltungsdienste bedeutet, die bis Mai 2018 starten oder laufen: Sie müssen DSGVO-konform sein. Wer jetzt anfängt zu planen, hat die Übergangszeit auf seiner Seite.

Die NIS-Richtlinie wurde beschlossen. IT-Sicherheit für kritische Infrastrukturen und digitale Dienste wird europaweit verbindlicher. Was Deutschland daraus macht, entscheidet die Umsetzung in nationales Recht.

Was die geopolitischen Ereignisse, Brexit und Trump-Wahl, für die Verwaltungsdigitalisierung bedeuten: Die Frage der digitalen Souveränität ist vom Randthema zur strategischen Notwendigkeit geworden. Europäische digitale Infrastruktur ist nicht mehr nur ein ideologisches Anliegen, sondern eine praktische Resilienzanforderung.

Was 2016 nicht geleistet hat

Das Onlinezugangsgesetz ist nicht beschlossen worden. Was das bedeutet: Die verbindliche gesetzliche Grundlage für das große Digitalisierungsprogramm fehlt noch. Was 2017 nachholen muss.

Die Registermodernisierung ist nicht vorangekommen. Das Once-Only-Prinzip bleibt Wunsch. Was gelöst werden muss: die Frage einer einheitlichen Personenkennung und die rechtliche Grundlage für den Register-Datenaustausch.

Die kommunale Kapazitätsfrage ist ungelöst. Was Kommunen brauchen, um die kommenden Digitalisierungsanforderungen zu erfüllen, steht in keinem Verhältnis zu dem, was ihnen strukturell zur Verfügung steht.

Was 2017 leisten muss

Das Onlinezugangsgesetz muss im ersten Halbjahr 2017 verabschiedet werden. Was danach sofort beginnen muss: Die operative Planung, die Themenfeld-Zuordnungen, der Start der FITKO -Gründungsplanung.

Was die Bundestagswahl im September bedeutet: Das Gesetz sollte vor der Wahl verabschiedet sein, damit die operative Planung nicht vollständig von der neuen Bundesregierung abhängt. Wer wartet, bis nach der Wahl eine neue Koalition steht, verliert ein weiteres halbes Jahr.

Was 2016 hinterlässt: eine klarere Problemdiagnose als je zuvor, und den Druck, 2017 konkret zu liefern.

Hat Sie das Thema interessiert?

Wenn Sie die OZG-Planung für 2017 angehen wollen: Ich bin über das Kontaktformular unten erreichbar.

Brexit-Abstimmung. Was der EU-Austritt für die digitale Verwaltungspolitik bedeutet. – Juni 2016 im E-Government-Rückblick.

Thu, 30 Jun 2016 20:00:00 +0200

Am 23. Juni 2016 stimmt Großbritannien für den Austritt aus der Europäischen Union. Was das für die Verwaltungsdigitalisierung und Digitalpolitik bedeutet, ist im unmittelbaren Nachgang noch unklar. Was absehbar ist: Es wird nicht ohne Auswirkungen bleiben.

Was der Brexit für die europäische Digitalpolitik bedeutet

Großbritannien war in der europäischen Digitalpolitik ein aktiver Akteur. Was mit dem Brexit wegfällt: eine liberale Stimme in Regulierungsdiskussionen, eine Großvolkswirtschaft im digitalen Binnenmarkt, und ein Partner in der Umsetzung europäischer Datenschutzregeln.

Was die DSGVO angeht: Großbritannien wird nach dem Austritt entweder die DSGVO als sogenanntes “angemessenes Datenschutzniveau” anerkennen müssen, wenn es weiterhin Daten aus der EU verarbeiten will, oder Unternehmen und Behörden werden mit Datentransferrestriktionen konfrontiert sein.

Was das für deutsche Behörden konkret bedeutet: Wer britische Cloud-Dienstleister nutzt, wird die DSGVO-Compliance dieser Dienstleister nach dem Brexit neu prüfen müssen. Was das für die Beschaffung bedeutet: Anbieter-Diversifizierung in Richtung europäischer Anbieter ist eine Strategie, die Brexit-Risiken reduziert.

Was Brexit für eIDAS bedeutet

eIDAS ermöglicht grenzüberschreitende digitale Identifikation in der EU. Was der Brexit bedeutet: Britische digitale Identitäten fallen nach dem Austritt aus dem eIDAS-Rahmen, sofern kein gesondertes Abkommen getroffen wird.

Was das für deutsche Verwaltungsdigitalisierung bedeutet: Britische Bürger:innen, die in Deutschland Verwaltungsleistungen in Anspruch nehmen, werden nach dem Brexit möglicherweise keinen eIDAS-basierten Zugang mehr haben. Das betrifft eine relevante Gruppe.

Was das für die Planung digitaler Dienste bedeutet: Szenarien, die europäische Interoperabilität voraussetzen, sollten den Brexit als Planungsvariable einschließen.

Was der Brexit als Argument für europäische digitale Infrastruktur leistet

Was der Brexit unbeabsichtigt stärkt: das Argument für eine eigenständige europäische digitale Infrastruktur. Was passiert, wenn ein großes EU-Land austritt und dabei digitale Plattformen mitnimmt, die EU-weit genutzt wurden, zeigt die Abhängigkeit von nationalen oder nicht-europäischen Infrastrukturen.

Was das für die Verwaltungsdigitalisierung bedeutet: Die Stärkung europäischer Cloud-Infrastruktur, europäischer Identitätslösungen und europäischer Datenräume ist keine abstrakte Digitalsouveränitätsdebatte. Sie ist eine praktische Resilienzfrage.

Was Deutschland und die verbliebenen EU-27 in den nächsten Jahren tun können: in europäische digitale Infrastruktur investieren, die nicht von einzelnen Mitgliedstaaten abhängt und nicht von außereuropäischen Anbietern kontrolliert wird.

Hat Sie das Thema interessiert?

Wenn Sie die Brexit-Auswirkungen für Ihre digitale Verwaltungsstrategie einordnen wollen: Eine Nachricht über das Kontaktformular unten genügt.

DSGVO in Kraft. Was die ersten Wochen nach dem Amtsblatt zeigen. – Mai 2016 im E-Government-Rückblick.

Tue, 31 May 2016 20:00:00 +0200

Am 25. Mai ist die Datenschutz-Grundverordnung in Kraft getreten. Was die ersten Reaktionen zeigen: Das Bewusstsein für die kommenden Anforderungen ist gestiegen. Was auch sichtbar wird: Die zwei Jahre Übergangszeit werden für viele Behörden nicht ausreichend sein, wenn nicht sofort begonnen wird.

Was die ersten Reaktionen zeigen

In Bundesbehörden, Länderministerien und Kommunen ist die DSGVO jetzt ein Thema. Was die Reaktionen unterscheidet: Manche Organisationen haben bereits vor Mai mit der Vorbereitung begonnen. Andere starten jetzt, mit dem Amtsblatt als Startpistole.

Was die Behörden, die früh begonnen haben, bereits wissen: Die Erstellung eines vollständigen Datenverarbeitungsverzeichnisses dauert länger als erwartet. Was das erfordert, ist kein IT-Projekt, sondern ein organisatorisches: alle Stellen in der Behörde müssen ihre Datenverarbeitungen dokumentieren. Das ist Handarbeit, die nicht automatisiert werden kann.

Was das für die verbleibenden 24 Monate bedeutet: Wer jetzt beginnt, hat eine realistische Chance, bis Mai 2018 vorbereitet zu sein. Wer noch wartet, riskiert, im Mai 2018 den Betrieb unter nicht-konformen Bedingungen fortzuführen.

Was Verwaltungen in der Übergangszeit konkret tun sollten

Drei Schritte, die sofort begonnen werden können: Erstens, Bestandsaufnahme aller Datenverarbeitungen. Welche Daten werden wo erhoben, gespeichert, verarbeitet, weitergegeben? Zweitens, Bewertung, welche dieser Verarbeitungen einer Datenschutz-Folgenabschätzung bedürfen. Drittens, Prüfung, ob die bestehenden technischen und organisatorischen Maßnahmen den DSGVO-Anforderungen entsprechen.

Diese drei Schritte können parallel zu laufendem Betrieb durchgeführt werden. Was sie erfordern: Kapazität, die explizit dafür freigemacht wird. DSGVO-Vorbereitung passiert nicht nebenbei.

Was konkret nicht helfen wird: das Thema zu delegieren, ohne Ressourcen bereitzustellen. Ein Datenschutzbeauftragter, der die DSGVO-Vorbereitung als Einzelperson erledigen soll, kann das nicht. Was nötig ist, sind behördenweite Prozesse, die vom Management getragen werden.

Was die DSGVO für neue Digitalisierungsprojekte bedeutet

Was ab sofort gilt: Jedes neue Digitalisierungsprojekt, das bis Mai 2018 live geht oder danach betrieben wird, sollte von Anfang an DSGVO-konform geplant werden. Privacy by Design ist kein optionales Add-on, sondern ein Grundsatz.

Was das für Projektmethodik bedeutet: Datenschutzanforderungen gehören in das Lastenheft, nicht in die abschließende Revision. Wer diesen Grundsatz in seinen E-Government-Projekten verankert, spart nachträgliche Anpassungskosten.

Was die DSGVO für die Zusammenarbeit mit IT-Dienstleistern bedeutet: Auftragsverarbeitungsverträge müssen vor Projektbeginn vorliegen. Was das konkret heißt: Einkauf und Datenschutz müssen früh in Beschaffungsprozesse eingebunden werden.

Hat Sie das Thema interessiert?

Wenn Sie die DSGVO-Übergangszeit für Ihre Behörde strukturiert angehen wollen: Das Kontaktformular unten ist der direkteste Weg.

DSGVO in Kraft. Was zwei Jahre Übergangszeit bedeuten. – März 2016 im E-Government-Rückblick.

Thu, 31 Mar 2016 20:00:00 +0200

Im April wird die Datenschutz-Grundverordnung im EU-Amtsblatt veröffentlicht, im Mai tritt sie in Kraft. Was das für Behörden bedeutet: zwei Jahre Übergangszeit, bis die DSGVO am 25. Mai 2018 anwendbar wird. Zwei Jahre klingen lang. Sie sind es nicht.

Was die DSGVO für öffentliche Verwaltungen verändert

Die DSGVO ist kein vollständiger Neuanfang. Was sie für öffentliche Verwaltungen ändert, baut auf dem bestehenden Datenschutzrecht auf. Was sie hinzufügt: strengere Dokumentationspflichten, neue Betroffenenrechte, verschärfte Anforderungen an technische und organisatorische Maßnahmen, und Datenschutz-Folgenabschätzungen für risikoreiche Verarbeitungen.

Was das für Verwaltungen bedeutet, die heute bereits datenschutzkonform arbeiten: der Aufwand für die Umstellung ist überschaubar. Was für Verwaltungen gilt, deren Datenschutzdokumentation lückenhaft ist: zwei Jahre sind wenig, wenn man von vorne beginnt.

Was die DSGVO explizit vorsieht und was für die Verwaltungsdigitalisierung relevant ist: Privacy by Design und Privacy by Default. Datenschutz muss in neue Systeme eingebaut werden, nicht nachträglich. Wer 2018 digitale Dienste einführen will, muss sie mit DSGVO-Anforderungen entwickeln.

Was die DSGVO für die Architektur digitaler Verwaltungsdienste bedeutet

Was die DSGVO für die technische Architektur erzwingt: Datensparsamkeit, Zweckbindung, und die Fähigkeit, Auskunfts- und Löschanfragen zu bearbeiten. Was das in der Systemarchitektur bedeutet: Daten müssen auffindbar, kategorisiert und löschbar sein.

Systeme, die Daten in Silos verwalten, ohne Möglichkeit zur strukturierten Auskunft, sind DSGVO-Problemfälle. Was das für laufende und geplante Digitalisierungsprojekte bedeutet: Datenschutzanforderungen müssen in der Konzeptionsphase verankert werden, nicht nach dem Go-live.

Was konkret vorbereitet werden sollte: für alle Datenverarbeitungen, die nach Mai 2018 laufen werden, jetzt Bestandsaufnahmen machen. Was wird verarbeitet? Auf welcher Rechtsgrundlage? Wie lange? Wer hat Zugriff? Diese Fragen zu beantworten, braucht Zeit, die jetzt noch vorhanden ist.

Was die DSGVO für die föderale Digitalisierung bedeutet

Was die DSGVO in einem föderalen Kontext besonders relevant macht: Wenn 16 Länder und Tausende Kommunen digitale Dienste entwickeln und betreiben, muss der Datenschutzrahmen konsistent sein. Was die DSGVO liefert: genau das, einen einheitlichen europäischen Rahmen.

Was das für die Entwicklung von EfA-Diensten bedeutet: Ein Dienst, der in Land A DSGVO-konform entwickelt wurde, kann grundsätzlich auch in Land B betrieben werden, ohne das komplette Datenschutzkonzept neu zu erstellen. Das ist ein Vorteil des Nachnutzungsmodells, der in der Diskussion über EfA selten erwähnt wird.

Was die zwei Jahre bis zur Anwendbarkeit leisten können: alle neuen Digitalisierungsprojekte von Anfang an DSGVO-konform konzipieren, und die Altbestände systematisch überprüfen.

Hat Sie das Thema interessiert?

Wenn Sie die DSGVO-Vorbereitung für Ihre Behörde strategisch angehen wollen: Das Kontaktformular unten ist der direkteste Weg.