laut neuer Datenschutzgrundverordnung müssen Kommunen künftig zügig Auskunft über gespeicherte Daten geben!

Datenschutzgrundverordnung: Das müssen Kommunen jetzt wissen!

Mo, 09.04.2018

Die „Datenschutz-Grundverordnung“ (DSGVO) ist eines der aufwändigsten und komplexesten Projekte, das Kommunen je zu bewältigen hatten. Wir zeigen auf, was zu tun ist, wie die Verordnung umzusetzen ist und welche Hilfestellungen es gibt.

Text: Helmut Reindl, Redakteur KOMMUNAL-Österreich
„Wo lauern die größten Gefahren, werde ich immer wieder gefragt. Ich sage: zuerst beim Menschen. Daher: Schulung, Information, Verständnis, Vorbeugen, Mind Setting. Verwaltung und Politik müssen in Umkehrung so mancher Gepflogenheiten an Datenminimierung denken und daran, dass der Datenschutz ein ureigenstes Recht der Menschen ist", so Reinhard Haider, Amtsleiter von Kremsmünster und einer der IT-Zampanos der österreichischen Kommunalverwaltung, im Gespräch mit unserer KOMMUNAL-Redaktion in Österreich.
Natürlich gibt es ein öffentliches Interesse und Gesetze, aber darüber hinaus heißt es in Zukunft: Stopp. Haider: „Keine Datenweitergabe in Form von Jahrgangslisten an den Sportverein, keine Übernahme von Mail-Adressen der Buchhaltung in die Newsletterdatei, Opt-in-Verfahren als Standardprozess, Überdenken der WLAN-Lösungen etc."

Datenschutzgrundverordnung regelt Recht auf Löschung von Daten

Herausfordernd wird das Recht auf Löschung von Daten, was mit tiefen Eingriffen in die IT-Prozesse verbunden ist. Hier ist die Unterscheidung zwischen berechtigtem Interesse und überwiegendem Interesse zu treffen.
Innerhalb der Verwaltung ist, so Haider, ein weiteres großes Thema die bessere Absicherung der (mobilen) Hardware wie verschlüsselte USB-Sticks und Festplatten oder bitlocker-gesicherte Notebooks sowie das Abschalten von Messenger-Diensten wie WhatsApp in der heutigen Form oder das heute doch sehr übliche „Bring your own Device". Es sei gut gemeint, wenn der arbeitsame Mitarbeiter auf seinem privaten Notebook seinen beruflichen Mail-Account abrufen kann, aber die entstehende Sicherheitslücke ist in Zukunft nicht mehr tolerierbar. „Der gesetzlich geforderte Datenschutzbeauftragte kann aus Ressourcengründen nur von großen Verwaltungen gestellt werden, hier heißt es auslagern, was jedoch wieder externe Kosten mit sich bringt. Wichtig ist, dass gemeindeintern ein geschulter Datenschutzkoordinator zur Verfügung steht, der im Bedarfsfall zwischen der Behördenleitung und dem Datenschutzbeauftragten vermittelt."

Die Gemeinde muss wissen, was sie mit den Daten der Bürger tut

Kleine Gemeinden haben meist keine eigene IT-Abteilung und damit auch kein Personal, das sich um den Datenschutz kümmern kann. Und es ist meist auch kein Geld da, um jemand Fachkundigen mit dieser Aufgabe zu betrauen oder um die Dienstleistung zuzukaufen.
In Wahrheit ändert sich durch die neue Gesetzeslage kaum etwas, denn das Datenschutzgesetz aus dem Jahr 2000 sieht den Großteil der jetzt anstehenden Maßnahmen bereits vor. Das betrifft etwa den Schutz personenbezogener Daten, die sichere Verwahrung oder das Verbot der Übertragung von Daten ohne Zustimmung. Lediglich der Strafrahmen erhöht sich drastisch.

Auch eine Videoüberwachung hätte schon bisher von der Datenschutzbehörde genehmigt werden müssen. In Zukunft muss für den Fall, dass eine systematische umfangreiche Überwachung voraussichtlich ein hohes Risiko zu Folge hätte und keine Maßnahmen zur Eindämmung dieses Risikos getroffen werden, die Datenschutzbehörde konsultiert werden.
Bisher mussten die Gemeinden eine Datenverarbeitungsregistermeldung machen. Jetzt müssen sie selbst das Verarbeitungsverzeichnis führen. Die Gemeinden müssen wissen, welche Daten sie verarbeiten, zu welchem Zweck und an wen die Daten weitergegeben werden. Man muss also wissen, was man mit den Daten der Bürger tut.

Verarbeitungen selbst erheben

Für Standard- und Musteranwendungen – etwa Personalverwaltung oder Lohnverrechnung – musste man bisher keine Meldung machen. Man musste die Daten nur schützen. Jetzt muss man jede dieser Verarbeitungen selbst erheben und in das eigene Verarbeitungsverzeichnis aufnehmen. Wenn ab dem 25. Mai ein Bürger wissen will, welche seiner Daten gespeichert sind, dann muss die Gemeinde innerhalb eines Monats eine Antwort geben können.
Ein wichtiger Punkt sind auch die Datenminimierung und die Zweckbindung. Das heißt, dass man keine Daten erheben darf, die man nicht braucht. Wenn man beispielsweise online einen Fahrschein kauft, dann darf das Verkehrsunternehmen nicht auch die Adresse oder das Geburtsdatum verlangen. Denn wenn man das gleiche Ticket beim Automaten kauft, muss man die Daten auch nicht bekannt geben. Wenn man Daten erhebt, muss man auch bekanntgeben, wozu sie verwendet werden. Wenn man das nicht macht, kann man Schwierigkeiten bekommen.
Neu ist auch, dass man explizit beschreiben muss, welche Schutzmaßnahmen man ergriffen hat.
So ist z. B. wichtig, dass man eine Passwortrichtlinie hat oder dass keine fremden Personen Zugang zu Informationen erhalten. Bisher waren diese Regeln nur sehr allgemein formuliert, jetzt sind sie verbindlicher.
Es geht auch nicht, dass man ohne vorhergehende Zustimmung Newsletter verschickt. Und man kann auch nicht vorher einfach eine E-Mail schicken und fragen, ob die Person Interesse an dem Newsletter hat.
Verboten ist künftig auch, im Kindergarten eine Liste aufzuhängen, aus der ersichtlich ist, welche Kinder Lebensmittelunverträglichkeiten haben. Das sind Gesundheitsdaten, die streng geschützt sind. Da kann es zivilrechtliche Klagen gegen die Gemeinde geben.
Wenn ab 25. Mai jemand wissen will, welche Daten über ihn gespeichert sind, dann muss die Gemeinde darüber Auskunft geben können, natürlich müssen die Daten grundsätzlich auch gelöscht werden können, soweit nicht ein besonderer Hinderungsgrund vorliegt.
Wenn man etwa keine Clean-Desk-Policy machen kann, dann muss man eben dafür sorgen, dass die Türen versperrt sind.

Weitere Gastbeiträge

Neuester Inhalt

Immer informiert bleiben!

Jetzt für KOMMUNE.HEUTE anmelden und die Neuigkeiten der kommunalen Welt kommen direkt in Ihr Postfach.
 Ja, ich habe die Datenschutzerklärung verstanden und akzeptiere sie.*

Ja, ich möchte im Newsletter persönlich angesprochen werden! (optional)