Tagesordnungspunkt
TOP Ö 5: Tätigkeitsbericht des Datenschutzbeauftragten
Bezeichnung | Inhalt |
---|---|
Sitzung: | 13.07.2022 KA/009/2022 |
Beschluss: | zur Kenntnis genommen |
Dokumenttyp | Bezeichnung | Aktionen |
---|
Die Mitglieder des Kreisausschusses nehmen die Ausführungen zur Kenntnis.
Herr Merten stellt seinen Tätigkeitsbericht als Datenschutzbeauftragter vor. Die Datenschutzreform 2018 hat die Gemeinden vor umfangreiche Aufgaben gestellt.
Der Verantwortliche ist für die Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich. Er muss die Einhaltung dieser Grundsätze nachweisen können („Rechenschaftspflicht“, Art. 5 Abs. 2 DSGVO). Der Verantwortliche ist Adressat der Rechte der betroffenen Personen nach Art. 12 ff. DSGVO (gegebenenfalls in Verbindung mit dem hierbei einschlägigen nationalen Recht).
Nach Art. 24 DSGVO hat der Verantwortliche im Hinblick auf die jeweilige Verarbeitung und unter Berücksichtigung der mit ihr einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen angemessene und geeignete technische und organisatorische Maßnahmen umzusetzen. Diese Verpflichtung wird insbesondere durch die Vorgaben des Art. 25 DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) und des Art. 32 DSGVO („Sicherheit der Verarbeitung“) näher konkretisiert. Der Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen (Art. 30 DSGVO).
Verletzungen des Schutzes personenbezogener Daten hat der Verantwortliche nach Maßgabe des Art. 33 DSGVO an die zuständige Aufsichtsbehörde zu melden. Unter den Voraussetzungen des Art. 34 DSGVO sind in einem solchen Fall zudem die betroffenen Personen durch den Verantwortlichen zu benachrichtigen. Bei bestimmten Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, hat der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO). Öffentliche Stellen haben als Verantwortliche in jedem Fall einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 Buchst. a DSGVO).
Der Lösungsansatz zur Gewährleistung der umfassenden Vorgaben ist im Landkreis Miltenberg der gemeinsame Datenschutz.
17.10.2019 Zweckvereinbarung über die Bestellung eines gemeinsamen behördlichen Datenschutzbeauftragten
2019/ 2020 Austausch mit den Datenschutzverantwortlichen, Bestandsaufnahmen, vertiefende Vorbereitungen für ein Datenschutzmanagement mit „Pilotgemeinden“
Ende 2020 Vorstellung der konkreten Maßnahmenplanung mit Schreiben an die Gemeinden
Okt. 2021 Fertigstellung der Erfassung und Beschreibung aller Verarbeitungsprozesse (VVT)
Erforderliche
Maßnahmen zur Umsetzung der DSGVO
Zur Umsetzung hat der Gemeinsame Datenschutzbeauftragte einen Maßnahmenplan erstellt auf Basis der Arbeitshilfe zur Datenschutzreform des Bayerischen Staatsministeriums des Innern, der in der aktualisierten Form (Stand März 2022) als Handlungsleitlinie dient.
Schrittweiser Aufbau
eines Datenschutzmanagements
- Erster Schritt: Bestandsaufnahme bei allen Kommunen
- Erstellung der „Dienstanweisungen Datenschutz“ als formale Grundlage zur Regelung von Zuständigkeiten und Verfahren
- Umsetzung der Dienstanweisung
Erfassung und
Beschreibung aller Verarbeitungsprozesse (VVT)
- Die Beschreibungen der Verarbeitungsprozesse und das Verzeichnis bilden damit den Kern des Datenschutzmanagements.
- Beschreibung aller Prozesse durch die jeweiligen Fachbereiche der Gemeinden in Abstimmung mit dem DSB. Synergieeffekt durch arbeitsteiliges Vorgehen.
- Inhalt: Beschreibungen aller Kernprozesse wurden erstellt im Hinblick auf:
- Zweck der Datenerfassung
- Rechtsgrundlage
- Datenkategorien
- Betroffene
- Empfänger der Daten
- Übermittlung in Drittländer
- Aufbewahrungsdauer - Löschfrist
- Eine regelmäßige Fortschreibung garantiert stets Aktualität und hohe Qualität des Datenschutzmanagementsystems.
Umsetzung der
Informationspflichten nach Art.13 DSGVO
Die Datenschutzhinweise geben Auskunft über Zweck, Umfang und Dauer der Datenverarbeitung und benennen transparent alle Betroffenenrechte der DSGVO.
Vertragsmanagement –
Erfassung der Auftragsverarbeitungsverträge (AVV)
- DSGVO-Konformitätsprüfung sämtlicher Auftragsverarbeitungen Externer
- Die Prüfinhalte des Artikels 28 DSGVO sind detailliert zu überprüfen im Hinblick auf
- Auswahl zuverlässiger Dienstleister
- Überprüfung der Weisungsrechte und Pflichten
- Überprüfung des gebotenen Datenschutz- und Datensicherheitsniveaus
- Überprüfung der technisch-organisatorische
Maßnahmen des
Auftragsverarbeiters
Überprüfung der
Berechtigungs- und Rollenkonzepte
- Der Grundsatz der Datenminimierung findet seinen Ausdruck darin, dass nur dort Berechtigungen gewährt werden sollen, wo sie zur Aufgabenerfüllung erforderlich sind.
- Die Steuerung der Zugriffsrechte ist in der Regel in einem Berechtigungskonzept mit definierten Rollen und deren jeweiligen Rechten zu dokumentieren.
Datenschutzfolgenabschätzungen
= Risikoanalysen bei sensiblen Verfahren
- Worst-case-Betrachtung und entgegenwirkende technisch organisatorische Maßnahmen
- Die örtlichen Verhältnisse sind in der Anwendung mit den ISBs zu prüfen.
Mitarbeiter-Schulungen
als wichtige und zentrale Methode zur Sensibilisierung
Nach Art. 39 Abs. 1 Buchst. b Datenschutz-Grundverordnung (DSGVO) sind Mitarbeiter, die Umgang mit personenbezogenen Daten haben, zum Thema Datenschutz zu schulen. Außerdem stellt die Sensibilisierung, sprich: Awareness, eine organisatorische Maßnahme zur Umsetzung des Datenschutzes dar (Art. 24 Abs. 1 Satz 1 DSGVO).
Drei Faktoren spielen beim Datenschutz eine Rolle:
1. Die Technik
2. die Organisation von Prozessen
3. die beteiligten Personen