Tagesordnungspunkt

Herr Merten stellt seinen Tätigkeitsbericht als Datenschutzbeauftragter vor. Die Datenschutzreform 2018 hat die Gemeinden vor umfangreiche Aufgaben gestellt.

Der Verantwortliche ist für die Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich. Er muss die Einhaltung dieser Grundsätze nachweisen können („Rechenschaftspflicht“, Art. 5 Abs. 2 DSGVO). Der Verantwortliche ist Adressat der Rechte der betroffenen Personen nach Art. 12 ff. DSGVO (gegebenenfalls in Verbindung mit dem hierbei einschlägigen nationalen Recht).

Nach Art. 24 DSGVO hat der Verantwortliche im Hinblick auf die jeweilige Verarbeitung und unter Berücksichtigung der mit ihr einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen angemessene und geeignete technische und organisatorische Maßnahmen umzusetzen. Diese Verpflichtung wird insbesondere durch die Vorgaben des Art. 25 DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) und des Art. 32 DSGVO („Sicherheit der Verarbeitung“) näher konkretisiert. Der Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen (Art. 30 DSGVO).

Verletzungen des Schutzes personenbezogener Daten hat der Verantwortliche nach Maßgabe des Art. 33 DSGVO an die zuständige Aufsichtsbehörde zu melden. Unter den Voraussetzungen des Art. 34 DSGVO sind in einem solchen Fall zudem die betroffenen Personen durch den Verantwortlichen zu benachrichtigen. Bei bestimmten Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, hat der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO). Öffentliche Stellen haben als Verantwortliche in jedem Fall einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 Buchst. a DSGVO).

Der Lösungsansatz zur Gewährleistung der umfassenden Vorgaben ist im Landkreis Miltenberg der gemeinsame Datenschutz.

17.10.2019      Zweckvereinbarung über die Bestellung eines gemeinsamen behördlichen Datenschutzbeauftragten

2019/ 2020      Austausch mit den Datenschutzverantwortlichen, Bestandsaufnahmen, vertiefende Vorbereitungen für ein Datenschutzmanagement mit „Pilotgemeinden“

Ende 2020       Vorstellung der konkreten Maßnahmenplanung mit Schreiben an die Gemeinden

Okt. 2021        Fertigstellung der Erfassung und Beschreibung aller Verarbeitungsprozesse (VVT)

Erforderliche Maßnahmen zur Umsetzung der DSGVO

Zur Umsetzung hat der Gemeinsame Datenschutzbeauftragte einen Maßnahmenplan erstellt auf Basis der Arbeitshilfe zur Datenschutzreform des Bayerischen Staatsministeriums des Innern, der in der aktualisierten Form (Stand März 2022) als Handlungsleitlinie dient.

Schrittweiser Aufbau eines Datenschutzmanagements

• Erster Schritt: Bestandsaufnahme bei allen Kommunen
• Erstellung der „Dienstanweisungen Datenschutz“ als formale Grundlage zur Regelung von Zuständigkeiten und Verfahren
• Umsetzung der Dienstanweisung

Erfassung und Beschreibung aller Verarbeitungsprozesse (VVT)

-       Die Beschreibungen der Verarbeitungsprozesse und das Verzeichnis bilden damit den Kern des Datenschutzmanagements.

-       Beschreibung aller Prozesse durch die jeweiligen Fachbereiche der Gemeinden in Abstimmung mit dem DSB. Synergieeffekt durch arbeitsteiliges Vorgehen.

-       Inhalt: Beschreibungen aller Kernprozesse wurden erstellt im Hinblick auf:

                        - Zweck der Datenerfassung

                        - Rechtsgrundlage

                        - Datenkategorien

                        - Betroffene

                        - Empfänger der Daten

                        - Übermittlung in Drittländer

                        - Aufbewahrungsdauer - Löschfrist

-       Eine regelmäßige Fortschreibung garantiert stets Aktualität und hohe Qualität des Datenschutzmanagementsystems.

Umsetzung der Informationspflichten nach Art.13 DSGVO

Die Datenschutzhinweise geben Auskunft über Zweck, Umfang und Dauer der Datenverarbeitung und benennen transparent alle Betroffenenrechte der DSGVO.

Vertragsmanagement – Erfassung der Auftragsverarbeitungsverträge (AVV)

• DSGVO-Konformitätsprüfung sämtlicher Auftragsverarbeitungen Externer
• Die Prüfinhalte des Artikels 28 DSGVO sind detailliert zu überprüfen im Hinblick auf

- Auswahl zuverlässiger Dienstleister

- Überprüfung der Weisungsrechte und Pflichten

- Überprüfung des gebotenen Datenschutz- und Datensicherheitsniveaus

- Überprüfung der technisch-organisatorische Maßnahmen des    
  Auftragsverarbeiters

Überprüfung der Berechtigungs- und Rollenkonzepte

• Der Grundsatz der Datenminimierung findet seinen Ausdruck darin, dass nur dort Berechtigungen gewährt werden sollen, wo sie zur Aufgabenerfüllung erforderlich sind.
• Die Steuerung der Zugriffsrechte ist in der Regel in einem Berechtigungskonzept mit definierten Rollen und deren jeweiligen Rechten zu dokumentieren.

Datenschutzfolgenabschätzungen = Risikoanalysen bei sensiblen Verfahren

• Worst-case-Betrachtung und entgegenwirkende technisch organisatorische Maßnahmen
• Die örtlichen Verhältnisse sind in der Anwendung mit den ISBs zu prüfen.

Mitarbeiter-Schulungen als wichtige und zentrale Methode zur Sensibilisierung

Nach Art. 39 Abs. 1 Buchst. b Datenschutz-Grundverordnung (DSGVO) sind Mitarbeiter, die Umgang mit personenbezogenen Daten haben, zum Thema Datenschutz zu schulen. Außerdem stellt die Sensibilisierung, sprich: Awareness, eine organisatorische Maßnahme zur Umsetzung des Datenschutzes dar (Art. 24 Abs. 1 Satz 1 DSGVO).

Drei Faktoren spielen beim Datenschutz eine Rolle:

1.         Die Technik

2.         die Organisation von Prozessen

3.         die beteiligten Personen