Tagesordnungspunkt

Herr Scherf begrüßt Frau Jankowsky, UB 2.1, sowie den Datenschutzbeauftragten Herrn Merten. Dieser stellt seinen Tätigkeitsbericht vor:

 

Die Datenschutzreform 2018 hat die Gemeinden vor umfangreiche Aufgaben gestellt.

 

Die Datenschutz-Grundverordnung weist dem Verantwortlichen in diesem Zusammenhang insbesondere die folgenden Pflichten zu:

 

Der Verantwortliche ist für die Einhaltung der in Art. 5 Abs. 1 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich. Er muss die Einhaltung dieser Grundsätze nachweisen können („Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

 

Der Verantwortliche ist Adressat der Rechte der betroffenen Personen nach Art. 12 ff. DSGVO (gegebenenfalls in Verbindung mit dem hierbei einschlägigen nationalen Recht). Er hat somit sicherzustellen, dass diese Rechte ordnungsgemäß wahrgenommen werden können.

 

Nach Art. 24 DSGVO hat der Verantwortliche im Hinblick auf die jeweilige Verarbeitung und unter Berücksichtigung der mit ihr einhergehenden Risiken für die Rechte und Freiheiten natürlicher Personen angemessene und geeignete technische und organisatorische Maßnahmen umzusetzen. Diese Verpflichtung wird insbesondere durch die Vorgaben des Art. 25 DSGVO („Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“) und des Art. 32 DSGVO („Sicherheit der Verarbeitung“) näher konkretisiert.

 

Der Verantwortliche hat ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit unterliegen, zu führen (Art. 30 DSGVO). Dieses Verarbeitungsverzeichnis stellt zugleich einen wichtigen Bestandteil dar, um der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht Genüge zu tun.

 

Verletzungen des Schutzes personenbezogener Daten hat der Verantwortliche nach Maßgabe des Art. 33 DSGVO an die zuständige Aufsichtsbehörde zu melden. Unter den Voraussetzungen des Art. 34 DSGVO sind in einem solchen Fall zudem die betroffenen Personen durch den Verantwortlichen zu benachrichtigen.

 

Bei bestimmten Verarbeitungsvorgängen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, hat der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchzuführen (Art. 35 DSGVO).

 

Öffentliche Stellen haben als Verantwortliche in jedem Fall einen Datenschutzbeauftragten zu benennen (Art. 37 Abs. 1 Buchst. a DSGVO).

 

Zusammenfassend:

„Verantwortlicher“ im Sinne der Datenschutz-Grundverordnung ist diejenige öffentliche Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

 

Damit trägt die Leitung der jeweiligen öffentlichen Stelle die Verantwortung für den Datenschutz in ihrem Zuständigkeitsbereich.

 

Der Verantwortliche hat zu gewährleisten, dass die datenschutzrechtlichen Vorgaben der Datenschutz-Grundverordnung eingehalten werden und die Verarbeitung personenbezogener Daten in seinem Verantwortungsbereich rechtmäßig erfolgt. Er muss die Einhaltung der Verarbeitungsgrundsätze nachweisen können.

 

Dies erfordert ein umfassendes Datenschutzmanagement-System.

 

Ausgangssituation:

• 2018 Inkrafttreten der DSGVO und des BayDSGneu
• Nahezu alle Kommunen agieren ohne systematischen Datenschutz.
• Die Umsetzung bedeutet einen nichtüberschaubaren Aufwand, Ressourcen sind nicht vorhanden.
• Der kommunale Prüfungsverband hatte bislang 0,1 Stelle DSB pro Gemeinden veranschlagt.
• Die neuen Pflichten sind ungleich umfangreicher und erfordern mehr Zeit.
• Es gab oft keine Trennung von Datenschutz und Geschäftsleitung
• Informationssicherheit war bislang weitgehend nicht geregelt.

 

Lösungsansatz: Gemeinsamer Datenschutz im Landkreis Miltenberg: Umsetzung ab Herbst 2019

 

 

17.10.2019           Zweckvereinbarung über die Bestellung eines gemeinsamen behördlichen Datenschutzbeauftragten

 

2019/ 2020          Austausch mit den Datenschutzverantwortlichen Bestandsaufnahmen, vertiefende Vorbereitungen für ein Datenschutzmanagement mit „Pilotgemeinden“

 

Ende 2020           Vorstellung der konkreten Maßnahmenplanung mit Schreiben an die Gemeinden

 

Okt. 2021             Fertigstellung der Erfassung und Beschreibung aller Verarbeitungsprozesse (VVT)

 

Gewaltenteilung gem. DSGVO und Zweckvereinbarung

 

·         Wesentlich bei der Zweckvereinbarung ist die Systematik einer Gewaltenteilung zwischen

 

     dem Verantwortlichen

     den Fachbereichsleitungen

     der IT

     dem Informationssicherheitsbeauftragten

     dem Datenschutzbeauftragten

 

·         Erforderlichen Maßnahmen zur Umsetzung der DSGVO:

Zur Umsetzung hat der Gemeinsame Datenschutzbeauftragte einen Maßnahmenplan erstellt auf Basis der Arbeitshilfe zur Datenschutzreform des Bayerischen Staatsministeriums des Innern der uns in der aktualisierten Form (Stand März 2022) als gute Handlungsleitlinie dient.

 

Schrittweiser Aufbau eines Datenschutzmanagements

 

·         Erster Schritt: Bestandsaufnahme bei allen Kommunen

Beteiligte: Bürgermeister/in – Geschäftsleiter/in – örtlicher DS-Koordinator und DSB

Von Anfang an waren prägend die sehr gute Kooperation und die kollegiale
Zusammenarbeit!

 

·         Erstellung der Geschäftsordnung: „Dienstanweisungen Datenschutz“ als formale Grundlage zur Regelung von Zuständigkeiten und Verfahren.

-      Damit werden die Zuständigkeiten und Verantwortlichkeiten für alle Bediensteten
      transparent.

-      Der Datenschutz ist eine gemeinsame Aufgabe und ein dauerhafter Prozess aller
      Mitarbeiterinnen und Mitarbeiter.

 

·         In Umsetzung der Dienstanweisung auch Benennung des gemeinsamen DSB, Meldung an die Aufsichtsbehörde, Einstellung in das Bayernportal – Transparenz auch nach außen.

 

·         Erfassung und Beschreibung aller Verarbeitungsprozesse (VVT)

 

-   Das Verzeichnis der Verarbeitungstätigkeiten liefert den Verantwortlichen und dem
Datenschutzbeauftragten einen guten Überblick über die einzelnen Verarbeitungen von
datenschutzrechtlicher Relevanz.

-        Nur so kann die Behördenleitung Ihren umfassenden Verantwortlichen-Pflichten
nachkommen.

-        Die Beschreibungen der Verarbeitungsprozesse und das Verzeichnis und bilden damit
den Kern des Datenschutzmanagements.

-        Beschreibung aller Prozesse durch die jeweiligen Fachbereiche der Gemeinden in
Abstimmung mit dem DSB. – Synergieeffekt durch arbeitsteiliges Vorgehen.

-        Inhalt: Beschreibungen aller Kernprozessen wurden inzwischen erstellt im Hinblick auf:

                                - Zweck der Datenerfassung

                                - Rechtsgrundlage

                                - Datenkategorien

                                - Betroffene

                                - Empfänger der Daten

                                - Übermittlung in Drittländer

                                - Aufbewahrungsdauer - Löschfrist

Derzeit erfolgen sukzessive die Gegenprüfungen auf Verwendbarkeit für alle Gemeinden bei den
Referenzgemeinden:  Stadt Amorbach, Stadt Obernburg, Markt Eschau,

VG Erftal, VG Stadtprozelten, Gemeinde Collenberg

Eine Regelmäßige Fortschreibung garantiert stets Aktualität und hohe Qualität des Datenschutzmanagementsystems.

 

• Umsetzung der Informationspflichten des Verantwortlichen nach Art.13 DSGVO

 

Datenschutzhinweise können aus den Prozessbeschreibungen entwickelt werden.

 

 

·         Die Datenschutzhinwiese geben Auskunft über Zweck, Umfang und Dauer der Datenverarbeitung und benennen transparent alle Betroffenenrechte der DSGVO.

 

·         Vertragsmanagement – Erfassung der Auftragsverarbeitungsverträge (AVV)

·         DSGVO-Konformitätsprüfung sämtlicher Auftragsverarbeitungen Externer (vergleichbar der AKDB- und komuna-GmbH bei den Gemeinden)

·         Die Prüfinhalte des Artikels 28 DSGVO sind detailliert zu überprüfen im Hinblick auf

- Auswahl zuverlässiger Dienstleister

- Überprüfung der Weisungsrechte und Pflichten

- Überprüfung des gebotenen Datenschutz- und Datensicherheitsniveaus

- Überprüfung der technisch-organisatorische Maßnahmen des Auftragsverarbeiters

 

·         Problemlage: Vertragsmanagementsysteme sind bisher nicht vorhanden oder werden derzeit erst implementiert.

·         Verträge wurden bei allen Gemeinden dezentral abgelegt. Eine Übersicht fehlt.

·         Ggf. sind Nachbesserungen bei den Vertragspartnern einzufordern. Nicht alle Vertragspartner haben mit Inkrafttreten der DSGV rechtssichere Verträge geliefert.

·         Wichtig: Keine zusätzlichen Verantwortlichkeiten und Pflichten auf die Gemeinden übertragen lassen.

 

·         Überprüfung der Berechtigungs- und Rollenkonzepte

·         Der Grundsatz der Datenminimierung findet seinen Ausdruck darin, dass nur Berechtigungen dort gewährt werden sollen, wo sie zur Aufgabenerfüllung erforderlich sind.

·         Die Steuerung der Zugriffsrechte ist in der Regel in einem Berechtigungskonzept mit definierten Rollen und deren jeweiligen Rechten zu dokumentieren.

·         In kleinen Gemeinden bedeutet dies: Fast jeder darf fast alles, weil jeder jeden vertreten muss.

·         Im Landratsamt – etwas im Jugendamt mit 100 Mitarbeitenden bedeutet es eine sehr kleinteilige Dokumentation.

 

·         Dokumentation der technisch und organisatorischen Maßnahmen zum Schutz personenbezogener Daten

·         Insbesondere sind Verfahren auf datenschutzfreundliche Voreinstellungen zu überprüfen. Dies beinhaltet z.B. auch die Berechtigungen (s. vorh. Punkt). 

·         Abstimmung der Schnittmengen mit der IT-Sicherheit:

·         Vermeidung von doppelten Strukturen hinsichtlich des „technischen“ Datenschutzes; bei technisch-organisatorischen Maßnahmen kann auf ein vorhandenes IT-Sicherheitskonzept hingewiesen werden, wenn dieses die datenschutzrechtlichen Anforderungen erfüllt.

·         Bestandsaufnahmen sind bereits erfolgt; erforderlich: Abstimmung mit den ISBs.

 

·         Datenschutzfolgenabschätzungen = Risikoanalysen sind bei sensiblen Verfahren gem. Art. 35 DSGVO durchzuführen.

·         Beispielhaft im Gemeindebereich OK.EWO – AUTISTA – OK.PWS

·         Worstcase-Betrachtung und entgegenwirkende technisch organisatorischen Maßnahmen liefert die AKDB

·         Die örtlichen Verhältnisse in der Anwendung sind allerdings noch mit den ISBs zu überprüfen.

 

Arbeitsschwerpunkte im Jahr 2022 bisher; nach möglichst regionaler Ausgewogenheit:

•             Stadt Amorbach

•             VG Kleinwallstadt

•             Gemeinde Mömlingen – Personalwechsel - Geschäftsleitung

•             Gemeinde Eichenbühl – Personalwechsel - Geschäftsleitung

•             VG Stadtprozelten

•             Gemeinde Collenberg – Personalwechsel – Geschäftsleitung

•             Markt Elsenfeld – Viele Einzelfallprüfungen

•             Stadt Obernburg – Personalwechsel – Viele Einzelfallprüfungen

•             Markt Eschau - Personalwechsel

•             VG Mönchberg

•             Gemeinde Leidersbach – Personalwechsel

•             Stadt Wörth a. Main

•             Stadt Miltenberg – Viele Einzelfallprüfungen

•             VG Erftal

•             Der Arbeitsschwerpunkt im 2. Halbjahr wird sich auf die weiteren Kommunen
konzentrieren.

 

·         Mitarbeiter-Schulungen gelten als wichtige und zentrale Methode zur Sensibilisierung

Nach Art. 39 Abs. 1 Buchst. b Datenschutz-Grundverordnung (DSGVO) sind Mitarbeiter, die Umgang mit personenbezogenen Daten haben, zum Thema Datenschutz zu schulen.

Außerdem stellt die Sensibilisierungen, sprich: Awareness, eine organisatorische Maßnahme zur Umsetzung des Datenschutzes dar. (Art. 24 Abs. 1 Satz 1 DSGVO).

Drei Faktoren spielen beim Datenschutz eine Rolle:

1.    Die Technik

2.    die Organisation von Prozessen

3.    die beteiligten Personen, die mutwillig oder unbeabsichtigt Schutzmechanismen überwinden oder außer Kraft setzen können.

Der größte Sicherheitsfaktor sind dabei tatsächlich die Mitarbeitenden.

 

·         Mitarbeitersensibilisierung – gemeindeübergreifende Schwerpunkt-Schulungen

-              PRIO 1: Schulung im Bereich Einwohnermeldeamt-Bürgerbüro

-              1. Termin für Nordkreis-Gemeinden im Oktober 2021 in Sulzbach

-              Der Inhalt ist sodann beliebig übertragbar für weitere Regionaltermine

-              Bietet individuellere und vertiefende fachliche Informationen

 

·         Präsenztermine für eine breite Basisschulung sind bisher an der Pandemie sowie am logistischen Aufwand gescheitert, es wären etliche 100 Mitarbeiterinnen und Mitarbeiter betroffen.

·         Alternative: Nutzung eines Awareness-Tools.

·         Das Format CYBER SECURITY AWARENESS der Firma SoSafe wird für die Informationssicherheit bereits in den meisten Kommunen genutzt.

·         Datenschutzmodule werden hierzu kostenpflichtig angeboten. Die Anschaffung im Rahmen des KomBN wurde von mir initiiert und sollte in den nächsten Wochen auch zum Einsatz kommen. Im Landratsamt wird die Software bereits erfolgreich eingesetzt.

 

 

·         Vorteile für die Gemeinden:

•     SoSafe bewährt sich im Landratsamt bereits.

•     Wir setzen SoSafe bereits für die Informationssicherheit ein.

•     Mitarbeiterinnen und Mitarbeiter sind mit dem Tool vertraut; es findet Akzeptanz.

•     Flexibilität der Mitarbeitenden – Freie Zeiteinteilung

•     Verhaltenspsychologischer Ansatz

•     Smarte Technologie

•     Präsenzschulungen waren und sind schwer planbar (Pandemie)

•     Zu hohe Anzahl zu sensibilisierender Mitarbeiterinnen und Mitarbeiter

•     Datenpannen können eine Schadensersatzpflicht nach sich ziehen (Art, 82 DSGVO)

 

Konkrete Prüfgebiete in jüngster Zeit:

 

·         Videoüberwachung nach Art. 24 BayDSG bedeutet eine komplexe Prüfung; viel Vorarbeit zahlreiche Konstellationen in den letzten Monaten und in der Gegenwart

-      Überwachung von Bauhöfen – erweitertes Hausrecht

-      Überwachung öffentlicher Verkehrsflächen – unmöglich

-      Überwachung Bahnhofsvorplätze - Gefahrenabwehr – Kommune unzuständig

-      Webcam Verkehrskreisel zur Dokumentation eines Baufortschrittes – unmöglich

-      Überwachung von Sitzgruppen auf dem frei zugänglichen Schulgelände – schwierig

-      Dauerhaften Überwachung eines gefangenen Raumes im Rathaus – schwierig

-  Überwachung eines Museumsinnenraumes – Abwägung, Hausrecht, Schutz des Eigentums

-      Überwachung eines Volksfestes – keine Rechtsgrundlage – wohl aber PAG

-      Immer ist eine Vorfalls-Dokumentation erforderlich. Erforderlichkeit muss gegeben sein.

-     Mildere Mittel müssen ausscheiden. 99% der Bürger geben keine
Überwachungsveranlassung und deren Rechte müssen wir alle wahren.

 

·         Auskunftsersuchen nach Art. 15 DSGVO

-      Auskunftsersuchen nach Art. 15 ff. DSGVO sind hinsichtlich ihrer Bearbeitung zeitintensiv
und binden viele Verwaltungskräfte. Die Anzahl nimmt stetig zu.

 

·         Koordination von Datenschutzverletzungen nach Art. 33 DSGVO

-      Häufung von Datenpannen mit geringfügigen oder weitreichenderen Auswirkungen.

-       Immer besteht eine Meldepflicht und gegenüber den Betroffenen eine Rechtfertigungspflicht.

-       Im schlimmsten Fall haben wir als öffentliche Stellen sogar eine Schadensersatzpflicht,
auch für Immaterielle Schäden.

 

·         Viele Einzelfallprüfungen aus allen Rechtsgebieten binden viel Zeit, sind aber auch aufschlussreich für andere Kommunen.

-      Datenschutz und Corona: Als öffentliche Verwaltung sind wir mehr als die freie Wirtschaft
      zu rechtmäßigem Handeln verpflichtet.

-      Hinweis der DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden des
      Bundes und der Länder):

-      „Krisenzeiten ändern nichts daran, dass die Verarbeitung personenbezogener Daten stets
      auf einer gesetzlichen Grundlage zu erfolgen hat.“

 

·         Prognose:

-      Arbeiten in einer Gemeinde haben unmittelbar Synergien für alle Beteiligte.

-      Drum bewegt sich auch dann für alle etwas, wenn es sich nur an einer anderen Stelle
      bewegt.

-      Je mehr sich Gemeinden mit dem Datenschutz auseinandersetzen, umso höher wird die
      Aufmerksamkeit; das Bewusstsein bei den meisten Gemeinden zur Selbstverantwortung  
      und zur Beteiligung des DSB wächst.

-      Folge: Steigerung der Qualität und des Niveaus des Datenschutzes für alle beteiligten
      Gemeinden.

-       Der Bayerische Kommunale Prüfungsverband wird auch den Datenschutz für sich
entdecken, wie auch die IT inzwischen Regelmäßig große Teile des Prüfberichtes
umfassen.