Der Weg zur DSGVO-konformen Kommune
Von Dipl.-Jur. Niklas Mühleis, LL.M., Heidrich Rechtsanwälte
Vor allem kleinere Gemeinden tun sich mit der Umsetzung der Datenschutzgrundverordnung (DSGVO) bislang eher schwer. Einer Umfrage der Landesbeauftragten für den Datenschutz Baden-Württemberg zufolge haben zum Zeitpunkt der Befragung 2019 knapp 39 % der befragten Kommunen gerade einmal mit der Umsetzung des Datenschutzes angefangen. Lediglich 2,4 % der Kommunen hatten die Umsetzung der DSGVO in der Verwaltung bereits abgeschlossen. Vielfach gaben die Kommunen an, mit der Umsetzung der neuen Datenschutzregeln aus Brüssel überfordert zu sein; „es fehlt an Know-how, Personal und Unterstützung – gerade bei den kleinen Gemeinden“ konstatiert der LfDI. Grund genug, einen Blick auf das zu wagen, was in der kommunalen Verwaltung schon umgesetzt oder zumindest auf dem Weg gebracht sein sollte.
Datenminimierung
Es mag sich trivial anhören, doch eines der obersten Gebote der DSGVO ist die Datenminimierung. In Art. 5 Abs. 1 lit c) steckt ein umfassender Auftrag: Sämtliche Arbeitsschritte, in denen personenbezogene Daten erhoben und verarbeitet werden, müssen überprüft werden, ob wirklich nur die benötigten Daten verwendet werden. Zudem sollen nur diejenigen Beschäftigten in den Verwaltungen Zugriff auf personenbezogene Daten haben, die ihn auch wirklich benötigen. Das bedeutet in der Konsequenz: Schluss mit dem Datenbankzugriff für alle, Schluss mit den inoffiziellen Excel-Listen an jedem Arbeitsplatz.
Datenschutzbeauftragte
Behördliche Datenschutzbeauftragte (DSB) dürfen in keiner Verwaltung mehr fehlen, denn sie sind bereits seit Einführung der DSGVO Pflicht. Die §§ 5–7 des Bundesdatenschutzgesetzes (BDSGneu) geben eine gute Übersicht über die Aufgaben der DSB. Mit der Benennung von Datenschutzbeauftragten, die diese Aufgabe nur dem Namen nach haben, dafür jedoch lediglich ein minimales Zeitkontingent zur Verfügung gestellt bekommen, wird niemand die Datenschutzaufgaben erfüllen können. Sie dürften selbst in kleinen Kommunen allerwenigstens eine Viertelstelle rechtfertigen.
Gemäß Erwägungsgrund 97 der DSGVO sind die Datenschutzbeauftragten zwar nicht für die Einhaltung des Datenschutzes direkt verantwortlich, haben diese jedoch zu überwachen. Im Zweifelsfall gehört hierzu auch die Schulung des eigenen Personals im Umgang mit personenbezogenen Daten. Hierfür müssen die DSB je nach Anforderungen und Umfang dieser Tätigkeit das dafür erforderliche Fachwissen mitbringen. Die regelmäßige Schulung der behördlichen DSB ist damit fast unvermeidlich. Allein die Ausbildung und die Einarbeitung in die komplexen Anforderungen des Datenschutzes zu Beginn sind daher bereits sehr zeitintensiv. DSB sollten auch ausreichend Raum bekommen, damit sie ihren neuen Aufgaben nachkommen können.
Verarbeitungsverzeichnisse
Das Führen eines Verzeichnisses über die Verarbeitungstätigkeiten nach Art. 30 DSGVO gehört mit Sicherheit zu den unbeliebtesten Aufgaben der DSGVO. Häufig wird diese Verordnung von den Verantwortlichen einfach ignoriert. Nichtsdestotrotz ist es seit Einführung der DSGVO Pflicht, ein Verzeichnis über jede Verarbeitungstätigkeit von personenbezogenen Daten zu führen. Dies fängt mit der Erhebung der Daten an und endet mit deren Löschung. Die lästigen Verzeichnisse sind jedoch ein hervorragender Grund, nur noch die absolut notwendigen Daten zu verarbeiten und damit schon einmal dem Grundsatz der Datenminimierung gerecht zu werden. Ein Muster und erklärende Hinweise, an denen sich die meisten Kommunen zu Beginn orientieren können, gibt es bei der Datenschutzkonferenz.
Muster, Vorlagen und Handreichungen nach Bundesländern
Länderübergreifende Infozentrale ist die Datenschutzkonferenz, der Zusammenschluss aller Landesdatenschutzbeauftragten. Dort finden Kommunen sämtliche Kurzpapiere, Entschließungen, Anwendungshinweise – etwa zum DSGVO-konformen Einsatz von Windows 10 –, außerdem Muster zur Auftragsverarbeitung und vieles mehr → https://www.datenschutzkonferenz-online.de
- Baden-Württemberg: Datenschutzthemen A–Z, darunter Praxisratgeber für DSB, Schulungsfolien für Kommunen, Ausführliches zum Datenschutz bei Gemeinden und die aktuelle Broschüre „Wesentliche Anforderungen an die behördliche Nutzung Sozialer Netzwerke“ (Februar 2020) → https://www.baden-wuerttemberg.datenschutz.de/datenschutzthemen/
- Bayern: Eigene Infoseite für Verwaltungen, dazu Orientierungs- und Praxishilfen zur Datenschutzreform 2018 → https://www.datenschutz-bayern.de/datenschutzreform2018/; darüber hinaus gibt beim bayerischen Innenministerium etliche Datenschutzreform-Arbeitshilfen, z.B. das Muster einer Datenschutz-Geschäftsordnung sowie Vorlagen für Impressum und Datenschutzerklärung von Internet-Auftritten staatlicher Behörden in Bayern → https://www.stmi.bayern.de/sus/datensicherheit/datenschutz/reform_arbeitshilfen/index.php
- Berlin: Orientierungshilfen und Merkblätter, u.a. für die Bereiche Bildung, Gesundheit und Soziales → https://www.datenschutz-berlin.de/infothek-und-service/veroeffentlichungen/orientierungshilfen/
- Brandenburg: Orientierungshilfen der DSK, außerdem Auslegungen, Formulierungshilfen und Muster, u.a. zum Verzeichnis von Verarbeitungstätigkeiten, sowie landesspezifische Anwendungshinweise → https://www.lda.brandenburg.de/cms/detail.php/bb1.c.523474.de
- Bremen: Diverse Orientierungs- und Handlungshilfen, mit einem Schwerpunkt auf Beschäftigtendatenschutz → https://www.datenschutz.bremen.de/datenschutztipps/orientierungshilfen_und_handlungshilfen-7136
- Hamburg: DSGVO-Infoseite mit Links zur DSK und weiteren Downloads, darunter eine Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO, für die gemäß Art. 35 Abs. 1 DSGVO eine Datenschutz-Folgenabschätzung bei Verantwortlichen im öffentlichen Bereich erforderlich ist → https://datenschutz-hamburg.de/pages/dsgvo/
- Hessen: Hinweise und Muster, darunter eine ausführliche Handreichung zum behördlichen und betrieblichen Datenschutzbeauftragten und Verzeichnisvorlagen → https://datenschutz.hessen.de/infothek/hinweise-und-muster-ds-gvo
- Mecklenburg-Vorpommern: Umfassende Seite „Publikationen und Veröffentlichungen“ mit systematisch nach Themen gegliederten Broschüren, Faltblättern und Orientierungshilfen sowie Mustern für Verträge, Dienstvereinbarungen, Erklärungen und Formulare → https://www.datenschutz-mv.de/datenschutz/publikationen/
- Niedersachsen: Ausführliche, thematisch gegliederte Orientierungshilfen und Handlungsempfehlungen, von Biometrie bis ZAWAS (Prozess zur Auswahl angemessener Sicherungsmaßnahmen) → https://lfd.niedersachsen.de/startseite/technik_und_organisation/orientierungshilfen_und_handlungsempfehlungen/
- Nordrhein-Westfalen: NRW hat bei der landeseigenen Fortbildungsakademie Mont-Cenis ein eigenes Datenschutz-Lernprogramm für öffentliche Stellen, das alle Behörden und Einrichtungen des Landes kostenfrei anfordern können. Download-Muster gibt es v.a. für das Verarbeitungsverzeichnis: https://www.ldi.nrw.de/mainmenu_Datenschutz/
- Rheinland-Pfalz: Zahlreiche Arbeitspapiere, Leitlinien und Orientierungshilfen, z.B. zu Datenschutz und Zeiterfassung bei öffentlichen Stellen und für Bürgerbüros, sowie diverse Mustervorlagen, etwa für die Datenschutzerklärung von Facebook-Präsenzen oder für eine Nutzungsordnung der Informations- und Kommunikationstechnik an Schulen → https://www.datenschutz.rlp.de/de/themenfelder-themen/materialien/
- Saarland: Orientierungshilfen der DSK sowie eine kompakte Seite mit Anwendungshinweisen, v.a. zum Verzeichnis von Verarbeitungstätigkeiten → https://www.datenschutz.saarland.de/datenschutz/anwendungshinweise-dsgvo
- Sachsen: Eine eigene Seite mit Handlungsempfehlungen zur DSGVO-Umsetzung für öffentliche Stellen mit weiterführenden Links sowie Checklisten, Muster und Orientierungshilfen, u.a. zur Datenschutz-Folgenabschätzung im Gesundheitswesen → https://www.saechsdsb.de/hinweise
- Sachsen-Anhalt: Verschiedentlich thematisch einsortierte Hinweise, Informationen und Dokumente sowie eine eigene Seite „Formulare und Musterverträge – Öffentliche Stellen“, die derzeit überarbeitet wird → https://datenschutz.sachsen-anhalt.de/service/formulare-und-merkblaetter/formulare-oeffentliche-stellen/
- Schleswig-Holstein: Viel praktisches Material für Kommunen, u.a. zu den behördlichen Datenschutzbeauftragten, und eine eigene Infoseite zum Datenschutz im kommunalen Bereich sowie etliche Downloads → https://www.datenschutzzentrum.de/informationsmaterial/
- Thüringen: Diverse Orientierungshilfen und Materialien, darunter eine De-Mail-Handreichung und die „Aufbewahrungsfristen für personenbezogene Daten und dienstliches Schriftgut“ des TLfDI, außerdem Muster und Hinweise auf einer eigenen Kommunalseite → https://www.tlfdi.de/tlfdi/datenschutz/kommunales/
IT-Sicherheit
Die Sicherheit der IT wird in den Verwaltungen zunehmenden wichtiger. Es geht dabei nicht nur darum, digitale Services abzusichern, sondern auch um den Schutz der Daten der Bürgerinnen und Bürger. In letzter Zeit wurden vermehrt kommunale Verwaltungen und Einrichtungen Opfer von Cyberattacken. Dem sollten Kommunen möglichst frühzeitig mit einer umfassenden Überprüfung der IT-Sicherheitsmaßnahmen entgegenwirken.
In der DSGVO schreibt Art. 32 die Sicherheit der Verarbeitung personenbezogener Daten durch „geeignete technische und organisatorische Maßnahmen“ für die Gemeinde und Auftragsbearbeiter vor, welche dem aktuellen Stand der Technik entsprechen.
In der praktischen Umsetzung müssen zwingend die behördlichen Datenschutzbeauftragten, die IT-Administratoren und die Informationssicherheitsbeauftragten eng zusammenarbeiten. Empfehlenswert ist der Einsatz eines Information Security Management Systems (ISMS). Ein solches Software-Tool erleichtert die Projektsteuerung, die Aufgabenverteilung und die Dokumentation.
Beachtet werden sollte zudem, dass sich der Stand der Technik laufend weiterentwickelt. Dies bedeutet nicht, dass stets die allerneuesten IT-Lösungen angewendet werden müssen, jedoch ausgereifte und erprobte Systeme. Ob der aktuelle Stand der Technik angewandt wird, muss somit regelmäßig überprüft werden. Informationen liefern hierzu Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Bundesverband IT-Sicherheit (TeleTrust).
Datenschutzerklärung
Auf jede Website gehört eine Datenschutzerklärung (DSE). Die DSE soll die Besucher der Website darüber informieren, welche ihrer Daten zu welchem Zweck erhoben werden. Daher gibt es nicht „die eine DSE“, die auf jede Website passt, sondern jede DSE muss individuell zugeschnitten werden. Glücklicherweise gibt es mittlerweile inzwischen zahlreiche Online-Tools wie datenschutz-generator.de, die diese Arbeit übernehmen.
Auftragsverarbeitungsverträge
Dritten auf die eine oder andere Art Zugriff auf personenbezogene Daten zu geben, ist mittlerweile unvermeidlich. Dies geschieht beispielsweise über den Server-Hosting-Dienst, einen Abrechnungsdienstleister oder einen Zustellservice. An verschiedenen Stellen ist es immer wieder nötig, Daten von Bürgerinnen und Bürgern in die Hände Dritter zu legen. Für diesen Fall müssen mit den betreffenden Dienstleistungsunternehmen gemäß Art. 28 DSGVO die sogenannten Auftragsverarbeitungsverträge abgeschlossen worden sein. Mit solchen Verträgen stellt die auftraggebende Kommune sicher, dass die beauftragte datenverarbeitende Stelle ihr Garantien gibt, dass sie in geeigneter Art und Weise und mit der notwendigen Sorgfalt im Auftrag der Kommune die personenbezogenen Daten verarbeitet.
Auskunftserteilung vorbereiten
Die Auskunftsersuchen nach Art. 15 DSGVO gehören zu den größten Schreckgespenstern der DSGVO. Denn die umfangreichen Fragenkataloge, auch als „Albtraumbriefe“ bekannt, müssen innerhalb eines Monats (in Ausnahmefällen innerhalb von drei Monaten) beantwortet werden und bringen viel Arbeit mit sich. Um dem Ganzen den Schrecken zu nehmen, empfiehlt es sich, noch vor dem ersten Ersuchen bereits alles vorzubereiten. Auf viele Fragen aus dem umfangreichen Katalog können Kommunen eine Standardantwort vorformulieren und dann immer wieder verwenden. Das spart Zeit, die die Verwaltungen später für die individuell zu beantwortenden Fragen benötigen.
Fazit: Gutes Datenmanagement, bessere Verwaltung
Die DSGVO gibt zahlreiche Aufgaben auf, doch keine davon ist unlösbar. Mittlerweile gibt es von den verschiedenen Landesdatenschutzbeauftragten in Deutschland zahlreiche hochwertige Handreichungen, die bei jedem einzelnen Arbeitsschritt Unterstützung geben. Zudem lohnt es sich für alle Beteiligten, den Datenschutz auch in der eigenen Verwaltung auf professionelle Füße zu stellen, denn wie sich zeigt, hilft ein gutes Datenmanagement auch dabei, eine reibungslose Organisation zu etablieren.
Dipl.-Jur. Niklas Mühleis, LL.M., ist bei der Heise-Kanzlei Heidrich Rechtsanwälte in Hannover tätig, spezialisiert auf IT- und IP-Recht sowie Fachautor, u.a. für c’t.
Heidrich Rechtsanwälte, Vahrenwalder Straße 255, 30179 Hannover, Tel.: 0511-37498150, muehleis@recht-im-internet.de, www.recht-im-internet.de
