2 Jahre Datenschutzgrundverordnung
DSGVO: Datenschutz ist kein einmaliges Event
Regina Reitenhardt ist Geschäftsführerin der Gesellschaft für kommunalen Datenschutz mbH. Aus ihrer Sicht wird das Thema Datenschutz zunehmend spannender: „Auch der Corona-Virus und seine Folgen werden ein Impuls in Sachen Datenschutz und Informationssicherheit sein, wenn man zum Beispiel an das Thema Homeoffice oder digitales Klassenzimmer oder das Onlinezugangsgesetz denkt“, so die Expertin.
Dokumentationen und Folgenabschätzungen sind die großen Herausforderungen beim Datenschutz
Ob große Stadt oder kleine Gemeinde: alle haben laut der Beraterin mit der Umsetzung der DSGVO zu kämpfen. Die größten Herausforderungen seien meist die Dokumentationen, die erstellt werden müssten, ebenso wie die Datenschutz-Folgenabschätzungen mit der Erforderlichkeitsprüfung und der Risikoanalyse. Das verlange Fachwissen, das der normale Behördenmitarbeiter sich erst erarbeiten müsse - sofern er die Zeit dazu hat. „Sich nebenbei in das Thema einzuarbeiten, geht gar nicht, denn der Zeitaufwand ist hoch und man muss sich ständig fortbilden. Gerade die kleineren Kommunen brauchen da personell Unterstützung“, sagt Reitenhardt. Wird der Datenschutz-Beauftrage intern besetzt, so sollte er laut Reitenhardt über langjährige Erfahrung im kommunalen Bereich verfügen und die Behördenstruktur und die Spezialgesetzgebungen im öffentlichen Dienst genau kennen, um die Anfragen der Bürger und Behördenmitarbeiter kompetent beantworten zu können. Ähnlich sieht das auch Stefan Brink, der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg. Eine interne Besetzung des Datenschutz-Beauftragten sei grundsätzlich natürlich wünschenswert, weil dieser wisse, was im Haus läuft und er vor Ort ansprechbar ist. In der Realität seien die Mitarbeiter aber oft nicht gut vorbereitet und fortgebildet und hätten meist diverse andere Aufgabengebiete. „Da fällt der Datenschutz oft hinten runter“, so Brink, und dann sei ein externer Beauftragter mit fachlicher Expertise die bessere Lösung. Bewährt haben sich neben dem Hauptbeauftragten zudem gut qualifizierte Mitarbeiter und Datenschutz-Koordinatoren für die einzelnen Fachbereiche.
Welche Probleme gibt es bei der Umsetzung der DSGVO?
Um zu evaluieren, wie es den Kommunen bislang ergangen ist mit der Umsetzung der DSGVO, wurden im Sommer 2019 alle 1101 Gemeinden in Baden-Württemberg aufgerufen, an einer umfangreichen Online-Umfrage zum Stand in ihrer Gemeinde teilzunehmen. Die Ergebnisse sind aufschlussreich: So ist die Umsetzung nach Erfahrung von Brink für die Kommunen in erster Linie ein Personalproblem. „Das Thema ist sehr komplex und herausfordernd“, so Brink. „Große Kommunen tun sich da definitiv leichter, sie arbeiten arbeitsteilig und haben oft bereits gewachsene Datenschutz-Strukturen“. Hinter der Personalfrage steht allerdings meist die Frage der Finanzierung. Denn, so Brink: „Das Knowhow kann man sich aneignen, das ist im Kern nicht das Problem – allerdings braucht das natürlich Zeit und man muss sich eine Beratung erstmal leisten können.“ Dies sei aber nicht zuletzt auch eine Frage der Prioritäten-Setzung. Als ein gutes Mittel, um die Kosten im Rahmen zu halten und Synergieeffekte zu nutzen, hat sich laut Brink die Kooperation von mehreren Kommunen in Sachen Datenschutz erwiesen. „Interkommunale Zusammenarbeit bewährt sich sehr, gerade für kleinere Kommunen“, so Brink. „Da wird alles leichter, man muss nicht drei Mitarbeiter auf eine Fortbildung schicken, sondern nur einen, und kann enorm von den Erfahrungswerten der anderen profitieren.“
Datenschutz und Nutzung von sozialen Medien müssen in Kommunen abgewägt werden
Ein besonders heikles Thema in Sachen Datenschutz ist die Nutzung sozialer Medien wie Facebook, Twitter oder Whatsapp für kommunale Zwecke. Dabei seien direktdemokratische Elemente und der Datenschutz zwar per se kein Widerspruch, aber durchaus ein Balanceakt, wie Brink sagt. Im Gegensatz zur Homepage, zur Bürgersprechstunde oder zum Emailverkehr bewertet Brink die Nutzung der gängigen sozialen Medien aktuell als problematisch. „Eine Kommune, die Facebook hat, akzeptiert, dass sie einen Dienstleister nutzt, der die Rechte der Bürger verletzt“, so Brink klar. Die Kommunen müssten Verantwortung für ihre Öffentlichkeitsarbeit übernehmen und nicht nur den Reiz der großen Verbreitung sehen, sondern auch die Gefährdung der Bürger.
Auf die Haltung des Bürgermeisters beim Datenschutz kommt es an
Wie bei nahezu allen kommunalen Themen ist auch beim Datenschutz entscheidend, mit welcher Haltung der Bürgermeister hinter der Umsetzung steht. „Man merkt ganz deutlich, ob hier eine Affinität zum Thema vorliegt“, so Brink, und je motivierter der Gemeindeleiter, desto erfolgreicher auch die Verankerung der DSGVO in der Verwaltung. Dabei habe das Thema Datenschutz ja erst einmal einen recht technischen und bürokratischen Beigeschmack. Es dürfe aber auf keinen Fall in Vergessenheit geraten: „Datenschutz ist vor allem ein Freiheits- und Bürgerrechtsthema! Dabei geht es nicht nur um Verwaltung der Bürger, sondern um respektvolle Bürgernähe, um Transparenz und Bürgerfreundlichkeit. Die Leitung ist gefragt, für Offenheit zu sorgen. Dies ist natürlich mit viel Arbeit verbunden, aber es bewährt sich“.
Datenschutz ist nicht nur ein technisches Thema – aber auch. Ein Experte für die konkrete Umsetzung der DSGVO in den Verwaltungen ist Stefan Eigler, der bei der i-sec GmbH des TÜV Rheinland arbeitet und regelmäßig kommunale Betriebe bei einer „gleichermaßen effizienten wie sinnvollen Implementierung“ unterstützt. Zwar laute die grundsätzliche Anforderung, die nach dem aktuellen Stand der Technik notwendigen Schutzmaßnahmen zu treffen, aber gerade bei kleineren Gemeinden ginge das oft über die Budgetgrenzen hinaus. „Eine Firewall für einen fünfstelligen Betrag ist gerade für kleinere Kommunen oft nicht machbar finanziell“, so Eigler. Allerdings gelte immer das Gebot der Verhältnismäßigkeit: „Die Maßnahmen müssen in Relation zum Schutzzweck liegen und das ist durchaus leistbar“. Letztlich gehe es immer um die Frage, mit welchem Aufwand die Daten verschlüsselt werden müssten, so Eigler, und das sei je nach Bereich sehr unterschiedlich. Ein großes Thema ist hier angesichts von regelmäßigen Angriffen die Cyber-Security. „Das ist ein kontinuierlicher Wettlauf, der alle betrifft, die das Internet nutzen und vernetzt arbeiten“, so Eigler.
Das Thema Datenschutz ist mit der DSGVO sichtbarer geworden
Grundsätzlich ist die Sensibilisierung für den Datenschutz nach Eiglers Erfahrung mit Einführung der DSGVO deutlich gestiegen. „Das Thema Datenschutz ist sichtbarer geworden, es wird genauer hingeschaut und die Betroffenenrechte werden kommuniziert und deutlich ausdifferenziert“. Letztlich ist laut Eigler wichtig zu verstehen, dass der Schutz der Daten ein kontinuierlich fordernder Prozess ist: „Datenschutz ist kein einmaliges Event. Es macht keinen Sinn, sich einmal um den Datenschutz zu kümmern und sich dann wieder beruhigt zurück zu lehnen, sondern man muss ständig dran bleiben. Aber es geht auch nicht darum, irgendwelche Angstszenarien zu entwickeln. Wenn man als Kommune für einen vernünftigen Datenschutz gesorgt hat, hat man eine gute strukturelle Basis für die IT-Sicherheit und dann geht es vor allem darum, Schritt zu halten mit den sich ständig verändernden Faktoren“.
