SORMAS-X Datenschutz: einzelne Themen (5)
Der fünfte Teil der Reihe zum Thema SORMAS-X Datenschutz und Sicherheit nimmt heute die Zusammenarbeit mit den Datenschutzaufsichtsbehörden in den Blick.
Holperiger Start
Die Zusammenarbeit zwischen dem Projekt SORMAS@DEMIS und den Datenschutzaufsichtsbehörden zum Thema SORMAS-X gestaltete sich anfangs holperig und wurde aber im Verlauf immer besser. Der mühselige Start war insofern nicht verwunderlich, als Behörden und mittelständische Unternehmen sehr grundsätzlich andere Arbeitsweisen haben. Behörden erwarten einen Sachverhalt, der ihnen vollständig vorgelegt wird, und dann nehmen sie sich Zeit diesen zu prüfen, dann geben sie Rückmeldung und dann kann weiterdiskutiert werden. Auf diese Weise können Wochen, wenn nicht Monate ins Land gehen – Zeit, in denen in Unternehmen die Entwicklung weitergeht. Dies galt umso mehr in einem Projekt, das unter so hohem Zeitdruck arbeitete, wie SORMAS@DEMIS. Nach Wochen diskutierten wir mit den Vertretungen der Behörden immer einen alten Stand.
Paralleles Vorgehen nötig
Es gibt in Digitalisierungsprojekten aber auch keine Alternative zum parallelen Vorgehen. Wartet man mit der Umsetzung bis eine 100%ige Planung steht, bei allen beteiligten Stellen alle Informationen vorliegen und alle eine finale Stellungnahme abgegeben haben, erhält man am Ende des Projekts eine Software, die schon bei der Kiel-Legung der Arche Noah veraltet war (wie mein Kollege einmal sagte). Das heißt nicht, dass ohne Plan und Konzept einfach irgendwas gemacht werden sollte. Es heißt aber, dass auch eine parallele Entwicklung von Anforderungen und deren Umsetzung stattfinden kann und muss. Diesbezüglich müssen nicht nur Datenschutzbehörden umdenken, wenn wir Digitalisierung beschleunigen wollen, meine ich. Wir sahen uns allerdings in dem SORMAS@DEMIS Projekt anfangs beständig dem Vorwurf ausgesetzt, dass die Dokumentation unvollständig sei und man auf diese Weise auf Behördenseite viel Mühe mit der Beurteilung habe. Die Behörden erwarteten einen Sachverhalt, den sie prüfen könnten, wir erwarteten die Begleitung eines Projekts mit einem sehr hohen Arbeitstempo.
Klare Vorgaben vermisst
Davon abgesehen vermissten wir an mehreren Stellen eine gut begründete, klare Vorgabe der Anforderungen, die von der Datenschutzaufsicht als Maßstab für das Urteil „datenschutzkonform“ oder „nicht datenschutzkonform“ zugrunde gelegt wurde. Das Vorgehen der Landesdatenschutzbeauftragten wirkte mitunter wie aus dem Gefühl heraus entschieden, anstatt auf der Grundlage nachvollziehbarer, strukturierter Vorgaben. Die Zusammenarbeit mit den Mitarbeitenden der Landesdatenschutzbeauftragten wurde in dem Augenblick besser, als diese unser Vorgehen der parallelen Entwicklung und Prüfung akzeptierten. Vielleicht hatte die Macht des Faktischen gesiegt, aber jedenfalls riefen wir kleinere Arbeitskreise zu speziellen technischen und rechtlichen Themen ins Leben und fortan gab es einen zielführenden Austausch.