Mit Legal Engineering Digitalisierung im öffentlichen Sektor gestalten – rechtskonform und effizient (Teil 3)

Das Recht der neuen Technologien

Mit der zunehmenden Verbreitung von digitalen Technologien gehen die Erfassung und Verarbeitung immer größerer Datenmengen einher. Spiegelbildich dazu nimmt die Regulierung rund um Erhebung und Verarbeitung von Daten kontinuierlich zu – insbesondere im öffentlichen Sektor. Regulatorien zu Erhebungszeitpunkt, Löschfristen, Verarbeitungszweck und Rechtsgrundlage erhöhen die Rechtssicherheit und können -richtig umgesetzt- die Nutzbarkeit und Mobilisierung von Daten steigern.

Über Metadaten (Daten über Daten) lassen sich aus den im Legal Landscaping (vgl. erster Beitrag) gewonnene Informationen ableiten und in einer Taxonomie darstellen. Sie sind wichtig, um die Nachvollziehbarkeit von Datenverarbeitungen sicherzustellen und die Einhaltung gesetzlicher Vorschriften zu überprüfen – für Datennutzer wie für Datenbereitsteller.

Die Taxonomie bildet die Grundlage für ein Metadatenmodell, mit Hilfe dessen eine technische Umsetzung der Kennzeichnung und Nutzbarmachung – je nach rechtlicher Möglichkeit – assistiert oder automatisiert durchgeführt werden kann (vgl. Abb. 1).

Implikationen für die Praxis

Trotz der komplexen Regelungslandschaft ergibt sich ein hoher Nutzen gerade auch für den öffentlichen Sektor. Als Beispiel dienen hierfür sog. kollaborative Datenökosysteme. Durch einen vertrauenswürdigen und sicheren Datenaustausch, kombiniert mit intelligenten Prozessautomatisierungen, lassen sich Behördendienste optimieren und Bürokratie reduzieren. Die OECD schätzt, dass der Zugang zu Daten und deren gemeinsame Nutzung im Kontext des öffentlichen Dienstes einen Nutzen von 0,1 % bis 1,5 % des BIP generieren könnten^[1].

Für einen sicheren und rechtskonformen Datenraum sind eine Vielzahl an Vorgaben aus verschiedenen Rechtsgebieten erforderlich. So muss bei urheberrechtlich geschützten Daten anhand der Metadaten erkennbar sein, welchen Nutzungsbedingungen (Lizenzen) die Daten unterliegen und unter welchen Voraussetzungen diese geteilt oder weiterübertragen werden dürfen. Für einen datenschutzkonformen Umgang mit Daten bieten sich in einem Datenökosystem beispielsweise Metadaten wie datenschutzrechtliche Verantwortlichkeit, Verarbeitungszweck, Rechtsgrundlage oder Aufbewahrungsfrist an.

Aus rechtlichen Anforderungen ergeben sich aber auch Architekturentscheidungen. Die datenschutzrechtlich geforderten Prinzipien Privacy by Design und Datenminimierung können beispielsweise umgesetzt werden, indem in eine Architektur eine logische Verarbeitungsschicht integriert wird, in der Daten anonymisiert werden. In dieser Schicht können übermittelte personenbezogene Daten mittels verschiedener Techniken wie Aggregation, Randomisierung oder Hash-Verfahren bearbeitet werden. Der Architekturansatz wird in der Abb. 2 vereinfacht dargestellt: Eine Anwendung B greift auf die ursprünglich personenbezogenen Daten der Anwendung A zu.

Um den größtmöglichen Nutzen aus neuen Technologien zu ziehen und gleichzeitig deren Einsatz rechtssicher zu gestalten, werden auch in Zukunft die Domänen Recht und Informatik weiter zusammenwachsen – insbesondere in der konkreten Umsetzung von datennahen Initiativen können Gestaltungsspielräume erweitert und der Nutzen von Verwaltung und Bürgern rechtssicher maximiert werden.

Vielen Dank an die Co-Autoren Catharina Schröder, Falko Guderian und Lars Bennek.

[1] OECD (2019), Enhancing Access to and Sharing of Data