Warum die Verantwortung trotz externem IT-Betrieb bei der Kommune bleibt

Veröffentlicht am

Viele Kommunen lagern heute technische Leistungen ganz oder teilweise aus. Serverbetrieb, Datensicherung, Updates, Monitoring oder Support werden zunehmend durch externe Dienstleister oder kommunale Rechenzentren übernommen.

Gerade für kleinere Verwaltungen ohne eigene IT-Abteilung ist das nachvollziehbar: Technische Komplexität steigt, Personal fehlt und Anforderungen an Datenschutz und IT-Sicherheit werden umfangreicher.

Gleichzeitig entsteht dabei häufig ein gefährlicher Irrtum:

„Wenn der Betrieb extern erfolgt, liegt auch die Verantwortung beim Dienstleister.“

Genau das ist in der Praxis jedoch nur sehr eingeschränkt richtig. Viele organisatorische, fachliche und datenschutzrechtliche Verantwortlichkeiten verbleiben dauerhaft bei der Kommune selbst.

1. Technischer Betrieb und fachliche Verantwortung sind nicht dasselbe

Externe Anbieter können technische Aufgaben übernehmen:

  • Serverbetrieb
  • Datensicherung
  • Monitoring
  • Updates
  • Patchmanagement
  • Benutzerverwaltung auf technischer Ebene

Die fachliche Verantwortung bleibt jedoch weiterhin bei der Verwaltung. Dazu gehören insbesondere:

  • Berechtigungskonzepte
  • fachliche Prozesse
  • Datenschutzorganisation
  • Aufbewahrungs- und Löschfristen
  • interne Zuständigkeiten
  • Freigaben und Entscheidungen

Ein Dienstleister kann technische Leistungen bereitstellen – entscheiden, wie Verwaltungsprozesse organisiert werden, muss die Kommune selbst.

Praktischer Gegenvorschlag: Technische und organisatorische Verantwortlichkeiten bereits vor Projektbeginn sauber voneinander trennen und dokumentieren.

2. Fehlende Zuständigkeiten werden oft erst im Problemfall sichtbar

Solange Systeme funktionieren, wirken Verantwortlichkeiten häufig klar. Kritisch wird es meist erst bei Störungen oder Sicherheitsvorfällen.

Dann entstehen plötzlich Fragen wie:

  • Wer darf Entscheidungen treffen?
  • Wer informiert Mitarbeitende?
  • Wer koordiniert externe Dienstleister?
  • Wer bewertet Datenschutzfolgen?
  • Wer dokumentiert den Vorfall?

Fehlen hierfür klare Abläufe, entstehen Unsicherheiten und Zeitverluste – gerade in kleinen Verwaltungen mit wenigen personellen Ressourcen.

Praktischer Gegenvorschlag: Nicht nur den Regelbetrieb planen, sondern auch organisatorische Abläufe für Ausfälle und Sicherheitsvorfälle definieren.

3. Verträge ersetzen keine interne Organisation

Viele Kommunen verlassen sich stark auf Leistungsbeschreibungen oder SLA-Regelungen (Service Level Agreements). Diese sind wichtig – sie ersetzen jedoch keine eigene Steuerung.

Selbst sehr gute Verträge lösen keine organisatorischen Probleme, wenn intern:

  • keine festen Ansprechpartner existieren
  • Zuständigkeiten unklar bleiben
  • Dokumentationen fehlen
  • Entscheidungswege nicht definiert sind
  • niemand den Gesamtüberblick besitzt

Besonders kritisch wird dies bei personellen Wechseln oder längeren Ausfällen einzelner Mitarbeitender.

Praktischer Gegenvorschlag: Interne Verantwortlichkeiten bewusst einfach und nachvollziehbar organisieren – auch in kleinen Verwaltungen.

4. Datenschutz bleibt dauerhaft kommunale Aufgabe

Ein häufiger Irrtum besteht darin, dass Datenschutz „mit ausgelagert“ wird. Tatsächlich bleibt die Kommune datenschutzrechtlich weiterhin verantwortlich.

Dazu gehören beispielsweise:

  • Kontrolle von Auftragsverarbeitungen
  • Prüfung von Zugriffsrechten
  • Lösch- und Aufbewahrungskonzepte
  • Bewertung neuer Verfahren
  • Dokumentationspflichten

Externe Dienstleister können technische Maßnahmen umsetzen – die organisatorische Verantwortung verbleibt jedoch bei der Verwaltung.

Praktischer Gegenvorschlag: Datenschutz nicht nur technisch betrachten, sondern organisatorisch im laufenden Betrieb verankern.

5. Abhängigkeiten erschweren die Steuerung

Besonders problematisch wird es, wenn Hosting, Support, Fachverfahren und technische Administration vollständig an einen Anbieter gekoppelt sind.

In solchen Situationen verliert die Kommune häufig schrittweise die eigene Steuerungsfähigkeit:

  • technische Zusammenhänge werden intransparent
  • eigene Dokumentationen fehlen
  • Veränderungen sind nur noch über externe Stellen möglich
  • Wechseloptionen werden unklar

Dadurch entsteht organisatorisch eine starke Abhängigkeit – selbst wenn der technische Betrieb zunächst gut funktioniert.

Praktischer Gegenvorschlag: Auch bei externem Betrieb immer ein Mindestmaß an eigener Dokumentation und organisatorischem Überblick erhalten.

Ein pragmatischer Ansatz: Externen Betrieb bewusst steuern

Externer IT-Betrieb ist nicht grundsätzlich problematisch. Gerade kleine Kommunen profitieren häufig von professionellen Betriebsstrukturen und technischer Entlastung.

Entscheidend ist jedoch:

Externe Unterstützung ersetzt keine kommunale Steuerung.

In der Praxis haben sich insbesondere folgende Punkte bewährt:

  • klare interne Ansprechpartner
  • nachvollziehbare Dokumentationen
  • geregelte Entscheidungswege
  • regelmäßige Abstimmungen mit Dienstleistern
  • klare Verantwortungsmatrizen

Ziel sollte nicht maximale technische Auslagerung sein, sondern ein organisatorisch beherrschbares Betriebsmodell.

Fazit

Externer IT-Betrieb kann Kommunen sinnvoll entlasten. Problematisch wird es jedoch, wenn technische Auslagerung mit vollständiger Verantwortungsabgabe verwechselt wird.

Organisation, Datenschutz, fachliche Steuerung und interne Zuständigkeiten bleiben dauerhaft kommunale Aufgaben – unabhängig davon, wo Server betrieben werden oder wer technische Leistungen übernimmt.

Gute IT-Betriebsmodelle zeichnen sich deshalb nicht nur durch funktionierende Technik aus, sondern durch klare organisatorische Verantwortung und nachvollziehbare Steuerung.

← zurück zum Blog