Hauptamtsleiterin Saur berichtet, dass nach langen Verhandlungen im Dezember 2015 die europäische Einigung auf eine EU-Datenschutz-Grundverordnung (DSGVO) erfolgte. Diese soll zu einer weitgehenden Vereinheitlichung europäischen Datenschutzrechtes führen.
Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie doch erhebliche Unterschiede bestanden, wird die Datenschutzgrundverordnung direkt geltendes Recht in allen Mitgliedsstaaten sein. Geringe Unterschiede sind allenfalls durch die Möglichkeit sogenannte „Öffnungsklauseln“ zu erwarten. Öffnungsklauseln bieten nationalen Gesetzgebern die Möglichkeit, eigene nationale Regelungen zu erlassen. Die DSGVO trat am 25.05.2018 in Kraft.
Die Ziele der DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten (Art. 1 Abs. 2 DSGVO) und der freie Verkehr personenbezogener Daten (Art. 1 Abs. 3 DSGVO).
Die vorangestellten Ziele sollen durch die in Art. 5 DSGVO festgelegten Grundsätze der Verarbeitung personenbezogener Daten erreicht werden:
Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität, Vertraulichkeit und Rechenschaftspflicht.
Die Datenschutzgrundverordnung wird das europäische Datenschutzrecht nicht völlig verändern, weist aber eine Reihe von in der Praxis zu beachtenden Änderungen auf.
Verantwortlich für den Datenschutz ist in Gemeinden der Leiter der Gemeindeverwaltung (Bürgermeister).
Verlangt wird, ein Datenschutzmanagement einzurichten, das alle erforderlichen Datenschutzmaßnahmen umfasst. Dieses Datenschutzmanagement soll als Nachweis dienen, dass die Vorschriften der Datenschutzgrundverordnung eingehalten werden.
Hinzu kommt, dass Kontrollen der Datenschutzmaßnahmen von der Aufsichtsbehörde ausdrücklich vorgesehen sind.
Es kann z.B. enthalten:
- Ausformulierung und Visualisierung von Verwaltungsprozessen
- Verarbeitungstätigkeiten kenntlich machen (gemäß Art. 30 sind die Verantwortlichen
verpflichtet, schriftlich oder elektronisch ein Verzeichnis zu führen. In diesem
Verzeichnis müssen alle Datenverarbeitungstätigkeiten aufgeführt sein. Sinn dieses
Verzeichnisses ist, dass nachgewiesen werden kann, wie mit den persönlichen
Daten der Bürger umgegangen wird und somit die Regelungen der Verordnung
eingehalten werden)
- Technische Durchführung (bei Anschaffung einer IT-Software, sollten Datenschutz-
grundsätze beachtet werden oder eine Bescheinigung vom Hersteller, dass die
Grundsätze beachtet werden, eingeholt werden. Für vorhandene Software
sollte sichergestellt werden, dass sie den aktuellen gesetzlichen Anforderungen
genügt.
- Anpassung Verträge mit Auftragsverarbeitern (Auftragsverarbeiter sind für Kommunen
neben dem Datenverarbeitungsverbund auch sonstige IT-Dienstleister. Die
aktuellen Verträge sollten auf ihre Übereinstimmung mit dem Datenschutzrecht
geprüft werden.
- Erstellung und Durchführung einer Risikoanalyse (zunächst sollen alle möglichen
Gefahrenquellen in der Verwaltung ermittelt und grob eingeschätzt, diskutiert und
die erforderlichen Maßnahmen veranlasst werden)
- Mitarbeiterschulung, Sensibilisierungsveranstaltungen
- Datenschutzgerechte Entsorgung
- Sicherung datenverarbeitender Anlagen
- Zugangskontrollen zu Gebäuden
- Verschlüsselung der Daten
- Regelmäßige Datensicherung
- Datenminimierung
Aufsichtsbehörde i.S.d. DSGVO ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit.
Der Aufsichtsbehörde müssen auf Verlangen die angefragten Unterlagen wie z. B. das Verarbeitungsverzeichnis, die interne Datenschutzrichtlinie, Fortbildungspläne, die Risikoanalyse und eine etwaige Datenschutzfolgenabschätzung vorgelegt werden. Der Datenschutzbeauftragte ist der Aufsichtsbehörde zu benennen. Daher ist die Dokumentation ratsam.
Bei einer Verletzung des Schutzes personenbezogener Daten muss dies innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden.
Wie schon bei bisheriger Rechtslage können datenschutzrechtliche Verletzungen zum Schadensersatz führen.
Bußgelder für Behörden sind zumindest in wichtigen Teilbereichen möglich, die Aufsichtsbehörde bekam eine direkte Anordnungsbefugnis (also die Möglichkeit, Verwaltungsakte zu erlassen mit Zwangsgeldandrohung usw.) und eine erhebliche Ausweitung der Kontrollkapazitäten und –möglichkeiten.
Dazu kommt fast so etwas wie eine Umkehr der Beweislast: nicht die Aufsicht muss Fehler nachweisen, sondern die beaufsichtigte Kommune, dass sie alles richtig gemacht hat.
Dies alles führt zu einem erheblichen Mehraufwand innerhalb aller Bereiche der Gemeindeverwaltung auch ohne die Berücksichtigung der Aufgaben des/der Datenschutzbeauftragten.
Der personelle Mehrbedarf und die finanziellen Auswirkungen können zum derzeitigen Zeitpunkt noch nicht beziffert werden. Sie sind auch abhängig vom Maß der Inanspruchnahme der Informations- und Auskunftsrechte der Bürgerinnen und Bürger.
Bestellung eines/r Datenschutzbeauftragten:
Nach Artikel 37 besteht die Pflicht einen Datenschutzbeauftragten zu benennen. Zur Qualifikation des Datenschutzbeauftragten gibt es keine genauen Vorgaben. Aus den Aufgaben ergibt sich, welche Kenntnisse und Praxiserfahrungen vorhanden sein müssen.
Der Datenschutzbeauftragte wird formlos bestellt. Zuständig ist der Bürgermeister.
Es besteht die Möglichkeit, dass entweder eine verwaltungsinterne Lösung (Bestellung einer dem Bürgermeister direkt unterstellten Person) gefunden wird oder aber ein Datenschutzbeauftragter für mehrere Kommunen tätig ist. Gerade den kleineren Kommunen, die in Form einer vereinbarten Verwaltungsgemeinschaft zusammenarbeiten oder gemeinsame Aufgaben erledigen, wird so ermöglicht, sich einen Datenschutzbeauftragten zu teilen. Auch andere Formen interkommunaler Zusammenarbeit sind möglich. Eine dritte Möglichkeit ist, dass auch private Dienstleister mit der Funktion beauftragt werden können.
Die umfassenden Überwachungs-, Dokumentations-, Auskunfts- und sonstigen Pflichten kann die Gemeindeverwaltung nicht zusätzlich zu den bisherigen Verwaltungsaufgaben übernehmen. Somit scheidet eine verwaltungsinterne Lösung aus.
Die Stadt Heidenheim und der Landkreis Heidenheim hatten bereits seit Jahren eigene Datenschutzbeauftragte mit verschiedenen Stellenanteilen bestellt. Deshalb wurden sie zunächst gebeten, zu prüfen, ob sie die Aufgaben des Datenschutzbeauftragten im Rahmen einer interkommunalen Zusammenarbeit übernehmen können. Leider ist es beiden Kommunen nicht möglich. Auch andere Kommunen im Landkreis kommen dafür nicht in Frage, sie haben externe Dienstleister mit dieser Aufgabe beauftragt.
So haben z. B. die Städte Giengen und Herbrechtingen, sowie die Gemeinden Nattheim und Hermaringen den Datenschutzsachverständigen Christoph Boser aus 77770 Durbach beauftragt.
Die Gemeinde Königsbronn hat bereits seit Jahren eine vertragliche Bindung zur Firma FOX Consulting GmbH aus 71723 Großbottwar.
Während die Stadt Niederstotzingen ebenso wie die Gemeinden Gerstetten und Sontheim/Brenz sowie die überwiegende Anzahl der Kommunen in Baden-Württemberg den Datenschutzbeauftragten des Zweckverbands Kommunale Informationsverarbeitung Baden-Franken (KIVBF; ab 01.07.2018 nach der Fusion ITEOS), Hubert Röder bestellt haben.
Die Gemeindeverwaltung hat bei drei Dienstleistern Angebote eingeholt. Das wirtschaftlichste Angebot stellt das Angebot des Zweckverbands KIVBF dar, wobei die Abrechnung nach dem angebotenen Stundensatz nach tatsächlichem Aufwand erfolgt.
Verwaltungsinterner Ansprechpartner für den Datenschutz ist Dirk Schabel.
