Der wichtigste „Seemannsknoten“ der Digitalisierung

Verwaltung der Zukunft: Datenschutz ist essenziell für Verwaltung und Unternehmen, wird jedoch häufig als Innovationsbremse wahrgenommen. Hat der Datenschutz in Deutschland aus Ihrer Sicht ein Imageproblem?

Maria Christina Rost: Dadurch, dass der Datenschutz gerne und oft als „Verhinderer“ vorgeschoben wird, um etwas nicht zu tun, oder auch dadurch, dass er gerne erst am Ende von einem Digitalisierungsprojekt bemüht wird, hat sein Image Kratzer bekommen. Es lohnt sich, an dem Image des Datenschutzes zu arbeiten.

Der Datenschutz ist für die Digitalisierung das, was für den Segler die wichtigsten Seemannsknoten sind. Nehmen Sie das Bild des tanzenden Paares. Datenschutz und Digitalisierung müssen lernen, miteinander zu tanzen, dann steht man sich bei komplexen Schrittfolgen auch nicht auf den Füßen.

Der Datenschutz ist mit seinen unbestimmten Rechtsbegriffen in der Umsetzungspraxis sicher komplex, aber mit solider Datenschutzkompetenz sehr gut handhabbar. Wenn dann in digitalen Projekten Datenschutzfragen von Anfang an mitgedacht werden, lassen sich Lösungen finden. Dazu kommt, dass Datenschutz auch ein Wirtschaftsvorteil ist. Er schafft die wichtigste Währung in der digitalen Welt: Vertrauen.

VdZ: Welche Rolle spielt Datenschutz in einer zunehmend digitalisierten Welt und ist er flexibel genug, um mit Entwicklungen wie Künstlicher Intelligenz Schritt zu halten?

Rost: Aus meiner Sicht zählt er zu den Basics, die man beherrschen muss, wenn wir den Umgang mit personenbezogenen Daten in einer datengetriebenen Wirtschaft rechtskonform gestalten wollen. Die DSGVO gilt als technikoffen. Sobald Recht an seine Grenzen kommt und die Praxis sich weiterentwickelt hat, muss man prüfen, ob Gesetze angepasst werden müssen.

Dieser Weg wurde mit dem KI-Omnibus und Digital-Omnibus eingeschlagen. Grundsätzlich gehe ich aber davon aus, dass der Datenschutz schon jetzt flexibel genug ist, mit den Entwicklungen der KI Schritt zu halten.

VdZ: Bürokratierückbau gilt in Deutschland als zentrales Thema in Verwaltung und Politik. Was sollte aus Ihrer Sicht in den nächsten Jahren im Datenschutz unbedingt umgesetzt werden, damit er den Bürokratierückbau aktiv unterstützt?

Rost: Als die DSGVO kam, wurde sehr viel sehr schnell für richtig befunden. Manche unbestimmten Rechtsbegriffe warteten aber noch auf die Auslegung durch den EuGH. Die Leitlinien standen noch aus. Hilfreich wäre es, hier zu prüfen, ob mit dem Wissen von heute z. B. die Informationshinweise vereinfacht werden könnten. Unterschiedliche Rechtsauffassungen in der Auslegung der DSGVO sollten die absolute Ausnahme sein.

Die DSGVO soll europaweit einheitlich ausgelegt werden. Die Landesbeauftragten für den Datenschutz haben langjährige Erfahrung und sind für viele Unternehmen, aufgrund der erlangten Vertrauensbasis, Ansprechpartner. Wichtig wäre ein zentraler Ansprechpartner, der die DSK stärker koordiniert und der Ausbau der Dialoggruppen.

Hilfreich wäre es, gerade für Unternehmen mit Sitzen in mehreren Bundesländern, dass z. B. bei einer Datenpanne nicht in acht Bundesländern gemeldet werden muss, die dann acht unterschiedliche Verwaltungsverfahren führen. Gleiches gilt für die Meldung der betrieblichen Datenschutzbeauftragten.

VdZ: Welche Unterschiede oder Besonderheiten gibt es in Sachsen-Anhalt im Vergleich zu Ihrer Zeit beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit?

Rost: Inhaltlich ergeben sich aus der wirtschaftlichen Struktur der Länder im nicht-öffentlichen Bereich unterschiedliche Schwerpunkte. Die Unternehmenslandschaft in Hessen ist z. B. geprägt durch den Bankenstandort Frankfurt. In Sachsen-Anhalt gibt es mehr KMU und die Einwohneranzahl ist niedriger (2,13 Mio/6,28 Mio).

Schwerpunkte hat meine Behörde aktuell in den Themen Datenschutz und Schule, Datenschutz im Verein und Sensibilisierung für Datenschutzfragen im Unternehmen. Dabei geht es auch um Entbürokratisierung und Unterstützung durch Information.

VdZ: Die EU verfügt über die strengsten Datenschutzvorschriften weltweit, und Deutschland zählt zu den Ländern, die diese besonders strikt umsetzen. Welche Möglichkeiten sehen Sie auf nationaler Ebene, um die Umsetzung in Verwaltung und Unternehmen effizienter und weniger aufwendig zu gestalten?

Rost: Der Begriff „strengsten“ Datenschutzregelungen klingt sehr negativ. Die EU hat sich im Datenschutz einen Goldstandard gegeben. Der ist weltweit Vorbild. Die Umsetzung in den Mitgliedstaaten ist geprägt von der jeweiligen Rechtstradition.

Ich fände es hilfreich, wenn es mehr Praxisleitfäden gäbe. Beispielsweise hat Hessen Ende 2025 die Datenschutzleitlinie für IT-Verfahren und IT-Projekte der hessischen Landesverwaltung verabschiedet. An diesem Projekt habe ich in meiner alten Funktion mitgearbeitet. Praxisorientiert fand ich den Handlungsleitfaden Wärmeplanung mit einem ausführlichen Kapitel zum Thema Datenverarbeitung. Solche Hilfen müssen aber auch bekannt sein. Ein Vorbild dafür ist der Orientierungshilfen-Navigator zu KI und Datenschutz (ONKIDA) meines baden-württembergischen Kollegen. Man bekommt einen Überblick über die gängigsten Hilfestellungen für die Umsetzung von KI und Datenschutz für Verwaltung und Unternehmen.

Wertvoll fände ich es zudem, wenn man den Entwurf eines Praxisleitfadens frühzeitig im Austausch mit Praktikern, in einem Workshop auf seine Praxistauglichkeit gegenprüft und um die Erfahrung der Adressaten anreichert.

VdZ: CIO Bernd Schlömer berichtete kürzlich im VdZ-Interview von einem Expertenforum zur digitalen Souveränität Sachsen-Anhalts. Können Sie uns Einblicke in die konkrete Arbeit und Ihre Mitgestaltung in diesem Forum geben?

Rost: CIO Bernd Schlömer, Professorin Dr. Jana Dittmann von der Otto-von-Guericke Universität und ich fanden, dass die digitale Souveränität in der öffentlichen Verwaltung ein Thema ist, mit dem man sich mit Blick auf eine resiliente digitale Verwaltung, mit Blick auf die geopolitische Lage und der Abhängigkeit von den großen Konzernen, befassen muss. Den Auftakt machte die öffentlichen Diskussionsveranstaltung zum Thema „Digitale Souveränität gestalten – Wege zu mehr Unabhängigkeit und Resilienz in der Verwaltung Sachsen-Anhalt“.

Im Mittelpunkt steht der fachliche Austausch zwischen Wissenschaft, Verwaltung, IT-Wirtschaft und Praxis. Es folgen nun drei Runde Tische mit unterschiedlichen Themenschwerpunkten. Meine Rolle ergibt sich aus der Perspektive des Datenschutzes.

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat in ihrer Entschließung „Digitale Souveränität der öffentlichen Verwaltung herstellen – Personenbezogene Daten besser schützen“ (22.09.2020) und ihrer Stellungnahme „Kriterien für souveräne Clouds“ (11.05.2023) das Thema früh aufgegriffen.

Aus der Sicht der Verantwortlichen bedeutet Digitale Souveränität insbesondere, eigenständig entscheiden zu können, wie die in Artikel 1 DSGVO formulierten Ziele im Einklang mit den in Artikel 5 DSGVO festgelegten Grundsätzen für die Verarbeitung personenbezogener Daten umzusetzen sind. Dies erfordert Wahlfreiheit und vollständige Kontrolle der Verantwortlichen über die eingesetzten Mittel und Verfahren bei der digitalen Verarbeitung von personenbezogenen Daten.