In Europa ist die Verarbeitung von Daten durch verschiedene Gesetze geregelt. Dabei gilt: Je größer das Risiko für betroffene Akteure (z.B. für natürliche Personen), desto höher sind die rechtlichen, organisatorischen und technischen Anforderungen an eine Datenerhebung bzw. -verarbeitung. Bei dem hier dargestellten Ebenenmodell handelt es sich allerdings um keine faktische, sondern eine analytische Trennung, denn diese Bereiche wirken wechselseitig aufeinander und überlagern sich in der Praxis. Ändern sich die Bedingungen auf einer Ebene, wirkt sich das immer auch auf die anderen Ebenen aus (vgl. Grafenstein, 2022).

Normative, organisatorische und technische Anforderungen zielen darauf ab, die Risiken einer Datenverarbeitung für Betroffene zu minimieren.

Damit Daten genutzt, bzw. Wert aus ihnen geschöpft werden kann, müssen sie gebrauchstauglich ("fit for use") gemacht werden. Ein wesentliches Kriterium für ihre Gebrauchstauglichkeit ist die Qualität der Daten. Dies bezieht sich jedoch nicht nur, ob die in den Daten enthaltenen Informationen plausibel sind oder inwieweit der Datensatz vollständig und ohne Messfehler ist. Daten weisen nur dann eine hohe Qualität auf, wenn sie nicht nur unter technischen Gesichtspunkten sinnvoll verarbeitet werden können, sondern wenn sie unter Anwendung der geltenden Gesetze und sonstigen Anforderungen auch verwendet werden dürfen.

Wenn Daten in einen Prozess einfließen, wirken sich normative und organisatorische Anforderungen, die durch den jeweiligen Kontext gestellt werden, auf die technische Umsetzung des Vorhabens aus (vgl. Grafenstein, 2022). Normative Anforderungen können rechtliche Regularien auf nationaler oder auf europäischer Ebene sein (etwa der Data Act, Data Governance Act, AI Act, INSPIRE, etc.) oder auch kulturelle, gesellschaftliche und politische Normen und Werte. Organisatorische Anforderungen ergeben sich aus den Strukturen und Praktiken, die ein datengetriebenes Vorhaben konkret umsetzen. Datenqualität ist also keine rein technische Frage oder eine der Vollständigkeit des Datensatzes und Plausibilität der Werte, sondern insbesondere auch eine rechtliche bzw. normative (vgl. von Grafenstein, 2021).

Die Herausforderung dabei ist: In einem datengetriebenen Prozess müssen sich alle Akteure so organisieren, dass die normative, organisatorische und technische Ebene miteinander verzahnt sind. Dies kann durch Koordination gelingen, ist jedoch eine äußerst komplexe Aufgabe, nicht nur wegen der unterschiedlichen Ziele, Methoden, Prozesse und Strukturen der jeweiligen Akteure, sondern auch wegen ihrer unterschiedlichen mentalen Modelle und Terminologien.

Das große Konfliktpotential an der Erhebung und Wiederverwendung von Daten liegt darin begründet, dass alle Stakeholder unterschiedliche subjektive Vorstellungen vom Wert und dem Risiko der Erhebung und Verarbeitung von Daten haben. Kommunale Verwaltungen sind in datengetriebenen Prozessen mit einer Reihe wiederkehrender Anforderungen konfrontiert. Diese adressieren die unterschiedlichen Auffassungen, Interessen und Risikoeinschätzungen der betroffenen Akteure hinsichtlich der Erhebung und (Wieder-)Verwendung von Daten (vgl. Grafenstein, 2022 / Pohle et al., 2023).

Um die Risiken zu minimieren und die Wertschöpfung zu maximieren, müssen alle Akteure optimal koordiniert werden, sodass Interessenkonflikte aufgelöst werden können.

Die Organisation zwischen den Akteuren ist die schwierigste Ebene in diesem Gefüge, denn die verschiedenen Wert-Risiko-Vorstellungen existieren nicht per se, sondern lassen sich von den jeweiligen Akteuren immer nur in Bezug auf den spezifischen Verarbeitungskontext bewerten. Im Moment ihrer Erhebung sind nicht alle (auch in ferner Zukunft liegenden) potentiellen Nutzungszwecke absehbar, sodass auch der potentielle Wert von Daten abstrakt bleiben. Gleichzeitig birgt eine Datenerhebung, -verarbeitung oder auch Weitergabe erhebliche Risiken, bspw. in Bezug auf Compliance-Fragen. Daraus entsteht oftmals ein Dilemma, weil den mitunter bereits konkreten Risiken meist noch keinen potentieller Nutzwert entgegengehalten werden kann. Damit Daten erhoben, verarbeitet und geteilt werden können, muss dieses Wert-Risiko-Dilemma aufgelöst werden. Dies kann gelingen, indem Stakeholder durch geeignete Data-Governance-Strukturen und -Prozesse ein Gleichgewicht zwischen dem Wert und den Risiken schaffen, sodass die Datennutzung für alle Beteiligten lohnenswert wird (vgl. Grafenstein, 2022).

Die Herausforderung dabei ist: Weil die Risiken und damit die rechtlichen Anforderungen davon abhängen, wer die Daten für welchen Zweck auf welche Weise verwendet, müssen die technischen und organisatorischen Prozesse ständig an sich wandelnde Anforderungen angepasst werden.

Das komplexe Zusammenspiel aller drei Ebenen und die Dynamik datengetriebener Prozesse machen die Auflösung des Wert-Risiko-Dilemmas zu einer anspruchsvollen Aufgabe.

Konkret bedeutet das: Ändern sich gesetzliche Vorgaben, technologische Innovationen oder Sicherheitsstandards, so hat dies unmittelbare Auswirkungen auf die Anforderungen an die Datenerhebung bzw. -verarbeitung. Neue Datenschutzgesetze, wie die DSGVO, können beispielsweise strengere Regeln für die Erhebung, Speicherung und Nutzung personenbezogener Daten vorschreiben, was Anpassungen in Datenbankstrukturen und Zugriffskontrollen erforderlich macht. Veränderungen bei den genutzten Technologien, etwa neue Verschlüsselungsmethoden oder Speicher-Technologien, können ebenfalls eine Neuausrichtung der Datenverarbeitung erfordern, um Sicherheit und Compliance auch weiterhin zu gewährleisten. Zudem beeinflussen veränderte Normen, wie ISO-Zertifizierungen oder branchenspezifische Standards, die Art und Weise, wie Daten verarbeitet, gespeichert und geschützt werden müssen, um den regulatorischen und geschäftlichen Anforderungen gerecht zu werden.

Die Herausforderung dabei ist: Die subjektive Bewertung von Wert und Risiko einer Datenverarbeitung verändert sich bei jeder Anpassung am normativ-technischen System. Aus diesem Grund muss die organisatorische Dimension dynamisch auf die sich verändernden Bedingungen reagieren. Der kontinuierliche Ausgleich unterschiedlicher Wert-Risiko-Vorstellungen aller betroffenen Akteure ist eine ressourcenintensive Aufgabe.

Jede Veränderung der Datenerhebung bzw. -verarbeitung wirkt sich auf die subjektiven Wert-Risiko-Vorstellungen der betroffenen Akteure auf, sodass die organisatorische Dimension dynamisch auf die sich kontinuierlich verändernden Bedingungen reagieren muss.