Datenschutz als Vertrauensanker

Verwaltung der Zukunft: Herr Kramer, Sie leiten den Arbeitskreis „Datenschutz und Informationssicherheit“ der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.V. Womit beschäftigt sich der Arbeitskreis konkret und welche Themen treiben Ihre Mitglieder aktuell besonders um?

Rudi Kramer: Der Arbeitskreis setzt sich aus Vertreter:innen von Unternehmen und Verbänden zusammen, die mit dem Thema Datenschutz befasst sind. Wir treffen uns zwei bis drei Mal im Jahr, um aktuelle Entwicklungen im Datenschutzrecht und im Themenbereich Informationssicherheit zu diskutieren. Die Arbeitsergebnisse des Gremiums werden regelmäßig veröffentlicht, zuletzt etwa eine Publikation zur rechtskonformen Gestaltung von Websites.

Derzeit besprechen wir verschiedene Vorhaben auf nationaler Ebene, beispielsweise die angekündigten Änderungen im Bundesdatenschutzgesetz mit der Diskussion um eine Neugestaltung der aufsichtlichen Zuständigkeiten und das angekündigte Beschäftigtendatenschutzgesetz. Auch europäische Themen, wie die Gesetzespakete des sogenannten „Digitalen Omnibusses“, stehen auf unserer Agenda, insbesondere wenn sich dadurch Änderungen in der DSGVO ergeben könnten oder werden.

VdZ: Sie sind bei DATEV eG in der Datenschutzabteilung tätig. Wo sehen Sie derzeit die größten Herausforderungen für Unternehmen und hat sich der Umgang mit der Datenschutz-Grundverordnung inzwischen etabliert oder bleibt er eine Dauerbaustelle?

Kramer: Ich würde es nicht als Dauerbaustelle bezeichnen. Baustellen sollten das Ziel haben, irgendwann abgeschlossen zu sein. Bei der Verarbeitung personenbezogener Daten handelt es sich aber um eine Daueraufgabe. Es geht darum, die Verarbeitung so zu gestalten, dass die Personen, deren Daten erhoben werden, darauf vertrauen können, dass ihre Grundrechte gewahrt bleiben.

Und für die Unternehmen und Behören bietet das Datenschutzrecht eine belastbare Grundlage für die Nutzung von Daten, sofern die Rahmenbedingungen frühzeitig berücksichtigt werden. Insoweit sehen wir Datenschutz als Vertrauensanker für viele Geschäftsmodelle. Die Herausforderung besteht derzeit darin, die Anforderungen der DSGVO mit weiteren regulatorischen Vorgaben abzustimmen. Zum Beispiel sieht das Gebot der Datenminimierung vor, dass aus datenschutzrechtlichen Gründen so wenige personenbezogene Daten wie möglich verarbeitet werden sollen − also nur die Daten, die wirklich erforderlich sind. Aus Gründen der Informationssicherheit sollen hingegen, etwa im Kontext von Protokollen, möglichst viele Daten möglichst lange vorgehalten werden. Die aktuelle Rechtslage führt hier gleichermaßen zu einer Unsicherheit in Unternehmen aller Größen. Dazu hat sich der Gesetzgeber in der sogenannten NIS2-Richtlinie, die Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Europäischen Union enthält, positioniert und eine gesetzliche Grundlage geschaffen.¹

Für Organisationen, die nicht unter die NIS2-Richtlinie fallen, muss eine andere Lösung gefunden werden. Diese müssen nach aktueller herrschender Meinung bei Schutzmaßnahmen für IT-Systeme derzeit eine Interessensabwägung (nach Art. 6 Abs. 1 lit. f DSGVO) durchführen, wenn dabei personenbezogene Daten verarbeitet werden. Diese Interessensabwägung ist zusammen mit der Darstellung der Erforderlichkeit zu dokumentieren und auch die Umsetzung der Informationspflicht muss nachweisbar sein.

Leichter wäre es, würden für die Zwecke der Sicherheit der Verarbeitung auch die Vorgaben aus der DSGVO als Umsetzung einer gesetzlichen Pflicht akzeptiert (Art. 6 Abs. 1 lit. c i.V.m Art. 32 DSGVO).

Hinzu kommen technische Entwicklungen, wie z.B. der zunehmende Einsatz von KI. Die Verwendung von personenbezogenen Daten durch Large Language Models wirft einige Fragen auf, die von Rechtsprechung und Wissenschaft bislang noch nicht einheitlich beantwortet werden.

VdZ: In der Praxis kursieren viele Unsicherheiten rund um den Datenschutz: Welche typischen Fehlannahmen begegnen Ihnen immer wieder?

Kramer: Eine der Fehlannahmen, die seit Beginn der DSGVO immer wieder kolportiert wird, ist, dass Datenverarbeitungen durch Unternehmen nur nach einer Einwilligung erlaubt sind. Das stimmt nicht. Die DSGVO enthält einige andere Rechtsgrundlagen, auf die sich Unternehmen berufen können, wenn sie personenbezogene Daten verarbeiten.

Sehr verbreitet ist auch die Ansicht, dass man Datenschutzinformationen zustimmen müsste. Aber so ist es nicht. Vielmehr müssen Unternehmen und Behörden die betroffenen Personen über bestimmte Angaben bei der Verarbeitung ihrer Daten informieren – aber diese Information muss weder akzeptiert noch bestätigt werden. Das ist vergleichbar mit der Verpflichtung zur Angabe von allergenen Lebensmitteln beim Bäcker: Die Informationen müssen leicht zugänglich sein, sie müssen aber nicht durch jeden Kunden akzeptiert oder bestätigt werden.

VdZ: Werfen wir einen Blick auf die Verwaltung: Welche Rolle spielt Informationssicherheit aktuell und wo sehen Sie die größten Defizite oder Unsicherheiten in Behörden?

Kramer: Bei der Digitalisierung von Behörden zeigt sich immer wieder, dass es durch Unzulänglichkeiten bei der Informationssicherheit zu Datenschutzverstößen kommen kann. Aus meiner Sicht ist es daher nicht nachvollziehbar, dass in Deutschland von der Möglichkeit, den Anwendungsbereich der NIS-2-Richtlinie auf bestimmte Einrichtungen der öffentlichen Verwaltung und auf Bildungseinrichtungen auszuweiten, kein Gebrauch gemacht wird.²

Meiner Erfahrung nach liegen die Defizite bei Behörden oftmals in unzureichenden Rollen- und Zugriffskonzepten, z. B. in der Umsetzung eines Need-to-Know-Prinzips.

Zudem fehlen oft angemessene Schutzmaßnahmen, wie eine Verschlüsselung von mobilen Geräten. Auch Löschkonzepte sind oft ungenügend oder gar nicht vorhanden.

VdZ: Datenschutz wird oft als Hemmnis für Digitalisierung gesehen. Ist das aus Ihrer Sicht berechtigt oder liegt das Problem eher in der Umsetzung?

Kramer: Es ist vieles gestaltbar, wenn die regulatorischen Anforderungen frühzeitig beachtet werden. Niemand würde ein Kraftfahrzeug konzipieren und es zusammenbauen, ohne sich vorher zu informieren, welche Anforderungen − sei es von der jeweiligen Straßenverkehrsordnung oder von der Zulassungsbehörde her – zu berücksichtigen sind. Im digitalen Bereich gilt dasselbe: Ich muss mich vorher informieren, welche regulatorische Anforderungen es gibt, und das bereits bei der Konzeption berücksichtigen. Ein Digitalisierungsprojekt mit personenbezogenen Daten ist zum Scheitern verurteilt, wenn keine Berichtigungs- oder Löschmöglichkeiten vorgesehen sind oder wenn Pflichtfelder eingeführt werden, die für den jeweiligen Zweck nicht erforderlich sind.

Gleichwohl kommt es aufgrund technischer Entwicklungen auch mehr und mehr zu Use Cases, bei denen die Berücksichtigung regulatorischer Vorgaben eine Herausforderung ist. Hier ist der Gesetzgeber gefordert, Rechtssicherheit zu schaffen, um sowohl für Unternehmen als auch für die betroffenen Personen klare Leitplanken zu definieren.

VdZ: Die AWV versteht sich als Brücke zwischen Wirtschaft und Verwaltung. Wo sehen Sie aktuell den größten Diskussions- und Handlungsbedarf zwischen diesen Akteuren?

Kramer: Es gibt einige Punkte, die auf unserer Wunschliste stehen. Vom Gesetzgeber wünschen wir uns, dass Rückmeldefristen im Rahmen von Verbändeanhörungen angemessener gestaltet werden.

Zudem sollten europäische Vorgaben grundsätzlich so in nationales Recht umgesetzt werden, dass ein zeitlicher Puffer bis zum Inkrafttreten bleibt. Es ist wichtig, dass Organisationen und Unternehmen ausreichend Zeit haben, um interne Prozesse an neue Regeln anzupassen. Ein aktuelles Beispiel ist die Entgelttransparenzrichtlinie: Seit 2023 ist bekannt, dass die Richtlinie bis 7. Juni 2026 in nationales Recht umzusetzen ist. Selbst Unternehmen, die dem Thema aufgeschlossen gegenüberstehen, haben in Detailfragen der Umsetzung bis zuletzt keine Rechtssicherheit. Sie werden nachjustieren müssen und daher doppelten Aufwand haben.

Aber auch bei der Gestaltung von Gesetzen und hoheitlichen Vorgaben kann die Legislative und Exekutive bereits entbürokratisierend wirken, wenn sie in den Rechtstexten eine systematische Berücksichtigung datenschutzrechtlicher Anforderungen der DSGVO, des BDSG und / oder der Landesdatenschutzgesetze sicherstellen. Es gibt dazu auch bereits Hilfsmittel wie den „Rechtsgrundlagen Generator“ des IT-Planungsrates.³ Wenn hoheitliche Vorgaben bereits für die geforderte Umsetzung eine entsprechende Rechtsgrundlage „mitliefern“ entlastet dies gerade KMU, unverhältnismäßigen Ressourceneinsatz aufzuwenden, um Rechtsunsicherheiten zu minimieren.

VdZ: Wenn Sie den Teilnehmenden des Zukunftskongress Staat & Verwaltung eine zentrale Botschaft zum Thema Datenschutz und Informationssicherheit mitgeben könnten – welche wäre das?

Kramer: Datenschutz ist ein Vertrauensanker. Konzentrieren wir uns auf die vertrauensschaffenden Aspekte der Vorgaben zu Datenschutz und Informationssicherheit.

Reduzieren wir die redundanten Dokumentations- und Meldepflichten, die keinen Mehrwert bringen. Ich denke da auch an die Gestaltung der jeweiligen Aufsichtsbehörden. Sie sollten niedrigschwellig ansprechbar sein, beraten und unterstützen. Auch die Behörden würden davon profitieren, nicht nur als sanktionierende Einheiten wahrgenommen zu werden.