Recht
Die Datenschutz-Fallen für Kommunen
Cyber-Angriffe mit monatelangen Folgen
„Wir stellen grundsätzlich Schwierigkeiten bei den Kommunen fest, den technischen und organisatorischen Anforderungen aus der Datenschutz-Grundverordnung gerecht zu werden“, sagt Brandenburgs Datenschutzbeauftragte Dagmar Hartge. Probleme gebe es etwa bei der Erstellung und Umsetzung von Sicherheitskonzepten. „Sowohl konzeptionell als auch in der praktischen Umsetzung fallen immer wieder Defizite bei der Informationssicherheit auf, die sich auch darin zeigen, dass Kommunalverwaltungen verstärkt Opfer von Hackerangriffen werden.“ Die Folgen für eine Kommune sind dann oft dramatisch: Nach einem erfolgreichen Angriff könnten Rathäuser über mehrere Monate nur eingeschränkt erreichbar sein.
Wir stellen grundsätzlich Schwierigkeiten bei den Kommunen fest, den technischen und organisatorischen Anforderungen aus der Datenschutz-Grundverordnung gerecht zu werden“
Achtung beim E-Mai-Versand
„Es kommt immer wieder vor, dass Dokumente veröffentlicht werden, ohne dass im Vorfeld geprüft wird, ob personenbezogene Daten zuvor zu schwärzen sind“, sagt Hartge. Immer wieder würden Bürgerdaten im Internet landen, was für die Betroffenen unangenehme Folgen haben könne. „Identitätsdiebstahl, aber zum Beispiel auch Mobbing“, zählt Hartge auf. Geschlampt werde oft auch beim Versand von E-Mails: Bei Rundmails würden alle e-Mail-Adressen statt im BCC-Feld im CC-Feld aufgeführt. „In einigen Fällen wurde eine bis zu dreistelliger Zahl von E-Mail-Adressen allen anderen Mail-Empfängern bekannt“, sagt Hartge. „Und durch die Nutzung realer Namen konnten dann Rückschlüsse auf Arbeitgeber, organisatorische Zuordnungen oder private Interessen gezogen werden.“ Die Datenschutzbeauftragte erreichten dazu immer wieder Beschwerden.
Hessens Datenschutzbeauftragter: Vorsicht bei Wahlwerbung
Der hessische Datenschutzbeauftragte Alexander Roßnagel nennt als häufigste Themen im Umgang mit Kommunen das Melderecht und die Anforderungen des Datenschutzes bei der Wahlwerbung – etwa, wenn Kandidaten Bewerber per Brief anschreiben wollen. Er verweist auf die Datenverarbeitung etwa in Ratsinformationssystemen, die auch Hartge für eine wichtige Fehlerquelle hält.
Niedersachsen überprüfte kommunale Bürgerbüros
Positiver bewerten die dort zuständigen Landesdatenschutzbeauftragten die Situation in Niedersachsen. „Dank des sehr guten Austauschs zwischen den kommunalen Spitzenverbänden und unserer Behörde sind die Kommunen in Niedersachsen allgemein gut aufgestellt in Sachen Datenschutz“, sagt Achim Barczok, Sprecher des Landesbeauftragten für den Datenschutz. So hat der Landesbeauftragte erst 2024 eine Prüfung von kommunalen Bürgerbüros durchgeführt. Die zentralen Fragen damals: „Ist ein gesonderter Wartebereich vorhanden?“, „Sind die Bildschirme der Beschäftigten vor der Einsicht durch Dritte geschützt?“, „Ist ein ausreichender Abstand zwischen den Beratungsplätzen und somit eine Diskretion sichergestellt?“ und „Können Gespräche bei Bedarf in einem gesonderten Büro geführt werden?“
Schwärzungen professionell ausführen
Das Ergebnis überraschte auch die Datenschützer: Es gab nichts zu beanstanden. Dazu hat möglicherweise auch beigetragen, dass der niedersächsische Datenschutzbeauftragte auf seiner Website auch umfangreiche Handreichungen für Kommunen veröffentlicht hat. „Häufig begegnet uns die Frage, worauf man beim Veröffentlichen von Dokumenten - etwa im Rahmen von Bauleitverfahren - achten sollte“, sagt Barczok. Das gelte etwa für notwendige Schwärzungen.
Der Datenschutzbeauftragte hat dazu sogar ein eigenes Hinweisblatt erstellt – denn das einfache Übermalen eines Namens bei einem Papierdokument oder das bloße Verpixeln eines Autokennzeichens im Internet reichen im Zweifel eben nicht aus: Wer das Papier gegen das Licht hält, oder künstliche Intelligenz benutzt, hat gute Chancen, die originalen Daten wieder lesen zu können.
Regelmäßige Backups und Schulungen
„Achten sollten Kommunen in jedem Fall darauf, sich ausreichend auf Hackerangriffe vorzubereiten und technisch-organisatorische Maßnahmen zu ergreifen, etwa regelmäßige Updates, Backup-Strategien und eine Schulung der Mitarbeitenden“, sagt Barczok. Denn auch in Niedersachsen gebe es immer wieder Meldungen von Kommunen, die während Hackerangriffen den Zugang zu Daten ihrer Bürger verlieren und bei denen im schlimmsten Fall sensible Daten abfließen. In Brandenburg rät Hartge dazu, dass die Kommunen ihre eigenen Datenschutzbeauftragten mit den nötigen Kompetenzen und Zeitanteilen ausstatten und auch in alle Prozesse und Verfahren rund um die Verarbeitung personenbezogener Daten frühzeitig einbeziehen sollten. Und: „Die Verwaltungen sollten dafür sorgen, dass es regelmäßige Schulungs- und Sensibilisierungsveranstaltungen für alle Beschäftigten zum Umgang mit personenbezogenen Daten gibt“, sagt Hartge. Denn wer sich regelmäßig mit dem Thema beschäftigt, macht auch weniger Fehler.
Kann man es mit dem Datenschutz auch übertreiben? „Die datenschutzrechtlichen Anforderungen, die die Kommunen einzuhalten haben, sind gesetzlich vorgegeben“, sagt Brandenburgs Datenschutzbeauftragte Hartge. „Allerdings sind die Herausforderungen, die sich durch Digitalisierung, E-Government und KI-Einsatz ergeben, für die Umsetzung des Schutzes personenbezogener Daten so groß, dass Kommunalverwaltungen eher mit einem Zuwenig als Zuviel zu kämpfen haben.“ Es fehlten vielfach die personellen Ressourcen dafür, alle Vorgaben zu beachten.
