Datenschutz

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Der Weg zur DSGVO-konformen Kommune

© Markus Spiske – Unsplash

Von Dipl.-Jur. Niklas Mühleis, LL.M., Heidrich Rechtsanwälte

Vor allem kleinere Gemeinden tun sich mit der Umsetzung der Datenschutzgrundverordnung (DSGVO) bislang eher schwer. Einer Umfrage der Landesbeauftragten für den Datenschutz Baden-Württemberg zufolge haben zum Zeitpunkt der Befragung 2019 knapp 39 % der befragten Kommunen gerade einmal mit der Umsetzung des Datenschutzes angefangen. Lediglich 2,4 % der Kommunen hatten die Umsetzung der DSGVO in der Verwaltung bereits abgeschlossen. Vielfach gaben die Kommunen an, mit der Umsetzung der neuen Datenschutzregeln aus Brüssel überfordert zu sein; „es fehlt an Know-how, Personal und Unterstützung – gerade bei den kleinen Gemeinden“ konstatiert der LfDI. Grund genug, einen Blick auf das zu wagen, was in der kommunalen Verwaltung schon umgesetzt oder zumindest auf dem Weg gebracht sein sollte.

Anzeige
c't wissen - DSGVO 2020 in der Praxis

Datenminimierung

Es mag sich trivial anhören, doch eines der obersten Gebote der DSGVO ist die Datenminimierung. In Art. 5 Abs. 1 lit c) steckt ein umfassender Auftrag: Sämtliche Arbeitsschritte, in denen personenbezogene Daten erhoben und verarbeitet werden, müssen überprüft werden, ob wirklich nur die benötigten Daten verwendet werden. Zudem sollen nur diejenigen Beschäftigten in den Verwaltungen Zugriff auf personenbezogene Daten haben, die ihn auch wirklich benötigen. Das bedeutet in der Konsequenz: Schluss mit dem Datenbankzugriff für alle, Schluss mit den inoffiziellen Excel-Listen an jedem Arbeitsplatz.

Datenschutzbeauftragte

Behördliche Datenschutzbeauftragte (DSB) dürfen in keiner Verwaltung mehr fehlen, denn sie sind bereits seit Einführung der DSGVO Pflicht. Die §§ 5–7 des Bundesdatenschutzgesetzes (BDSGneu) geben eine gute Übersicht über die Aufgaben der DSB. Mit der Benennung von Datenschutzbeauftragten, die diese Aufgabe nur dem Namen nach haben, dafür jedoch lediglich ein minimales Zeitkontingent zur Verfügung gestellt bekommen, wird niemand die Datenschutzaufgaben erfüllen können. Sie dürften selbst in kleinen Kommunen allerwenigstens eine Viertelstelle rechtfertigen.

Gemäß Erwägungsgrund 97 der DSGVO sind die Datenschutzbeauftragten zwar nicht für die Einhaltung des Datenschutzes direkt verantwortlich, haben diese jedoch zu überwachen. Im Zweifelsfall gehört hierzu auch die Schulung des eigenen Personals im Umgang mit personenbezogenen Daten. Hierfür müssen die DSB je nach Anforderungen und Umfang dieser Tätigkeit das dafür erforderliche Fachwissen mitbringen. Die regelmäßige Schulung der behördlichen DSB ist damit fast unvermeidlich. Allein die Ausbildung und die Einarbeitung in die komplexen Anforderungen des Datenschutzes zu Beginn sind daher bereits sehr zeitintensiv. DSB sollten auch ausreichend Raum bekommen, damit sie ihren neuen Aufgaben nachkommen können.

Verarbeitungsverzeichnisse

Das Führen eines Verzeichnisses über die Verarbeitungstätigkeiten nach Art. 30 DSGVO gehört mit Sicherheit zu den unbeliebtesten Aufgaben der DSGVO. Häufig wird diese Verordnung von den Verantwortlichen einfach ignoriert. Nichtsdestotrotz ist es seit Einführung der DSGVO Pflicht, ein Verzeichnis über jede Verarbeitungstätigkeit von personenbezogenen Daten zu führen. Dies fängt mit der Erhebung der Daten an und endet mit deren Löschung. Die lästigen Verzeichnisse sind jedoch ein hervorragender Grund, nur noch die absolut notwendigen Daten zu verarbeiten und damit schon einmal dem Grundsatz der Datenminimierung gerecht zu werden. Ein Muster und erklärende Hinweise, an denen sich die meisten Kommunen zu Beginn orientieren können, gibt es bei der Datenschutzkonferenz.

Muster, Vorlagen und Handreichungen nach Bundesländern

Länderübergreifende Infozentrale ist die Datenschutzkonferenz, der Zusammenschluss aller Landesdatenschutzbeauftragten. Dort finden Kommunen sämtliche Kurzpapiere, Entschließungen, Anwendungshinweise – etwa zum DSGVO-konformen Einsatz von Windows 10 –, außerdem Muster zur Auftragsverarbeitung und vieles mehr → https://www.datenschutzkonferenz-online.de

IT-Sicherheit

Die Sicherheit der IT wird in den Verwaltungen zunehmenden wichtiger. Es geht dabei nicht nur darum, digitale Services abzusichern, sondern auch um den Schutz der Daten der Bürgerinnen und Bürger. In letzter Zeit wurden vermehrt kommunale Verwaltungen und Einrichtungen Opfer von Cyberattacken. Dem sollten Kommunen möglichst frühzeitig mit einer umfassenden Überprüfung der IT-Sicherheitsmaßnahmen entgegenwirken.

In der DSGVO schreibt Art. 32 die Sicherheit der Verarbeitung personenbezogener Daten durch „geeignete technische und organisatorische Maßnahmen“ für die Gemeinde und Auftragsbearbeiter vor, welche dem aktuellen Stand der Technik entsprechen.

In der praktischen Umsetzung müssen zwingend die behördlichen Datenschutzbeauftragten, die IT-Administratoren und die Informationssicherheitsbeauftragten eng zusammenarbeiten. Empfehlenswert ist der Einsatz eines Information Security Management Systems (ISMS). Ein solches Software-Tool erleichtert die Projektsteuerung, die Aufgabenverteilung und die Dokumentation.

Beachtet werden sollte zudem, dass sich der Stand der Technik laufend weiterentwickelt. Dies bedeutet nicht, dass stets die allerneuesten IT-Lösungen angewendet werden müssen, jedoch ausgereifte und erprobte Systeme. Ob der aktuelle Stand der Technik angewandt wird, muss somit regelmäßig überprüft werden. Informationen liefern hierzu Institutionen wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) oder der Bundesverband IT-Sicherheit (TeleTrust).

Datenschutzerklärung

Auf jede Website gehört eine Datenschutzerklärung (DSE). Die DSE soll die Besucher der Website darüber informieren, welche ihrer Daten zu welchem Zweck erhoben werden. Daher gibt es nicht „die eine DSE“, die auf jede Website passt, sondern jede DSE muss individuell zugeschnitten werden. Glücklicherweise gibt es mittlerweile inzwischen zahlreiche Online-Tools wie datenschutz-generator.de, die diese Arbeit übernehmen.

Auftragsverarbeitungsverträge

Dritten auf die eine oder andere Art Zugriff auf personenbezogene Daten zu geben, ist mittlerweile unvermeidlich. Dies geschieht beispielsweise über den Server-Hosting-Dienst, einen Abrechnungsdienstleister oder einen Zustellservice. An verschiedenen Stellen ist es immer wieder nötig, Daten von Bürgerinnen und Bürgern in die Hände Dritter zu legen. Für diesen Fall müssen mit den betreffenden Dienstleistungsunternehmen gemäß Art. 28 DSGVO die sogenannten Auftragsverarbeitungsverträge abgeschlossen worden sein. Mit solchen Verträgen stellt die auftraggebende Kommune sicher, dass die beauftragte datenverarbeitende Stelle ihr Garantien gibt, dass sie in geeigneter Art und Weise und mit der notwendigen Sorgfalt im Auftrag der Kommune die personenbezogenen Daten verarbeitet.

Auskunftserteilung vorbereiten

Die Auskunftsersuchen nach Art. 15 DSGVO gehören zu den größten Schreckgespenstern der DSGVO. Denn die umfangreichen Fragenkataloge, auch als „Albtraumbriefe“ bekannt, müssen innerhalb eines Monats (in Ausnahmefällen innerhalb von drei Monaten) beantwortet werden und bringen viel Arbeit mit sich. Um dem Ganzen den Schrecken zu nehmen, empfiehlt es sich, noch vor dem ersten Ersuchen bereits alles vorzubereiten. Auf viele Fragen aus dem umfangreichen Katalog können Kommunen eine Standardantwort vorformulieren und dann immer wieder verwenden. Das spart Zeit, die die Verwaltungen später für die individuell zu beantwortenden Fragen benötigen.

Fazit: Gutes Datenmanagement, bessere Verwaltung

Die DSGVO gibt zahlreiche Aufgaben auf, doch keine davon ist unlösbar. Mittlerweile gibt es von den verschiedenen Landesdatenschutzbeauftragten in Deutschland zahlreiche hochwertige Handreichungen, die bei jedem einzelnen Arbeitsschritt Unterstützung geben. Zudem lohnt es sich für alle Beteiligten, den Datenschutz auch in der eigenen Verwaltung auf professionelle Füße zu stellen, denn wie sich zeigt, hilft ein gutes Datenmanagement auch dabei, eine reibungslose Organisation zu etablieren.

Niklas-Muehleis.jpg

Dipl.-Jur. Niklas Mühleis, LL.M., ist bei der Heise-Kanzlei Heidrich Rechtsanwälte in Hannover tätig, spezialisiert auf IT- und IP-Recht sowie Fachautor, u.a. für c’t.


Heidrich Rechtsanwälte, Vahrenwalder Straße 255, 30179 Hannover, Tel.: 0511-37498150, muehleis@recht-im-internet.de, www.recht-im-internet.de

Nützliche Links