DSGVO: Neue Herausforderung für die Kommunen?
Seit Monaten gibt es in Unternehmen, Behörden und anderen öffentlichen Stellen kaum ein anderes Thema: Die neue Datenschutzgrundverordnung wirft viele Fragen auf und verändert grundlegend die Art, wie mit personenbezogenen Daten umgegangen wird. Auch die Praxis der Kommunalverwaltungen ist von der neuen Verordnung massiv betroffen. Was die DSGVO von Kommunen verlangt und worauf man jetzt besonders achten muss, erklärt unser Rechtsexperte Ralf Heine.
Text: Ralf Heine im KOMMUNAL-Gastbeitrag
Nun ist sie da: Die neue, viel diskutierte Datenschutzgrundverordnung. Am 25.05.2016 ist die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in Kraft getreten. Die DSGVO verfolgt mit der neuen Verordnung drei miteinander verbundene Ziele: die Stärkung und Präzisierung der Rechte der betroffenen Personen, die Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten, sowie die Befugnisse der Mitgliedsstaaten bei der Überwachung und Sanktionierung der Datenverarbeitung. An diese Anforderungen haben sich – wegen des Anwendungsvorrangs des Unionsrechts – künftig auch die Kommunen zu halten.
Die DSGVO enthält eine Vielzahl von Rechten, die Personen, deren personenbezogene Daten verarbeitet werden, gegenüber den verarbeitenden Stellen geltend machen können. Daneben regelt sie ebenfalls die Pflicht des Verantwortlichen, Datenverarbeitungsvorgänge transparent zu dokumentieren und darüber hinaus Maßnahmen zur Datensicherheit zu beschreiben (Datenschutz-Managementsystem). Auch der Einsatz Dritter bei der Verarbeitung personenbezogener Daten, beispielsweise eines externen Rechenzentrums, ist abzusichern und zu dokumentieren.
Kommunen dürfen nur dann die Daten ihrer Bürger verarbeiten, wenn sie hierfür eine entsprechende Rechtsgrundlage vorweisen können."
DSGVO erhöht die Dokumentationspflichten
Hinsichtlich der Verarbeitung personenbezogener Daten gilt der Grundsatz des „Verbots mit Erlaubnisvorbehalt“. Dies bedeutet, dass auch Kommunen nur dann die Daten ihrer Bürger verarbeiten dürfen, wenn sie hierfür eine entsprechende Rechtsgrundlage vorweisen können. Diese kann sich entweder aus anderweitigen gesetzlichen Regelungen, einem berechtigten Interesse oder auch einer Einwilligung des Betroffenen in die Verarbeitung ergeben. In allen Fällen ist dies jedoch – gegliedert nach gleichartigen Verarbeitungsvorgängen – im Verzeichnis der Verarbeitungstätigkeiten (vgl. Art. 30 DSGVO) zu dokumentieren. Beruht der Verarbeitungsvorgang dabei auf einer Einwilligung, so ist diese Einwilligung in jedem Einzelfall auf Anforderung nachzuweisen. Das führt zu einer nicht unerheblichen Dokumentationspflicht. Ebenfalls zu beachten ist, dass eine einmal erteilte Einwilligung jederzeit widerrufen werden kann (Art. 7 Abs. 3 DSGVO). Das bedeutet: Die Datenverarbeitung, die auf dieser Einwilligung beruhte, darf in Zukunft nicht mehr fortgeführt werden. Den Bürgern, deren Daten von der Kommune verarbeitet werden, stehen nach der DSGVO vielfältige Rechte im Zusammenhang mit der Datenverarbeitung zu. So können sie unter anderem Auskunft über ihre verarbeiteten personenbezogenen Daten verlangen (Art. 15 DSGVO). Insbesondere Auskunft verlangen können sie über: die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts sowie die Herkunft ihrer Daten, sofern diese nicht bei der Kommune erhoben wurden. Prinzipiell kann die Löschung der bei der Kommune gespeicherten personenbezogenen Daten verlangt werden. Verweigern kann die Kommune eine Löschung soweit die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 DSGVO). Unrichtige oder unvollständige personenbezogene Daten sind unverzüglich zu korrigieren beziehungsweise zu vervollständigen (Art. 16 DSGVO). Die Kommunen haben die entsprechenden – technischen und organisatorischen – Maßnahmen zu treffen, um diese Rechte der Bürger umzusetzen und zu erfüllen.
Sanktionen bei Verstoß gegen DSGVO haben sich erhöht
Werden Dritte bei der Verarbeitung personenbezogener Daten, beispielsweise ein Rechenzentrum, im Wege der Auftragsverarbeitung (Art. 28 DSGVO) eingesetzt, so ist das Verhältnis zwischen Kommune und Dritten durch entsprechende Vereinbarungen abzusichern. Bereits bestehende Vereinbarungen sind an die neue Rechtslage anzupassen, um den geänderten Anforderungen gerecht zu werden. Nach Artikel 32 DSGVO werden Kommunen verpflichtet, diejenigen technischen und organisatorischen Maßnahmen zu treffen, um ein dem Risiko für die Rechte und Freiheiten der Betroffenen angemessenes Schutzniveau zu erreichen. Hierbei sind der jeweils aktuelle Stand der Technik, die Implementierungskosten, die Art, die Umstände und der Zweck der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der Betroffenen zu berücksichtigen. Organisatorisch sind von der Kommune Maßnahmen zu treffen, auf deren Basis den Mitarbeitern der Umgang mit unterschiedlichen Situationen bei der Verarbeitung personenbezogener Daten deutlich gemacht wird. Wie ist zu reagieren, wenn ein Bürger die zuvor beschriebenen Rechte geltend macht? Welche Fristen gelten? Bestehen Meldepflichten gegenüber der Aufsichtsbehörde? Auch sind die Mitarbeiter regelmäßig in Bezug auf datenschutzrechtliche Belange zu sensibilisieren beziehungsweise zu schulen. Auch diese Maßnahmen sind allesamt zu dokumentieren und im Rahmen eines Datenschutz-Managementsystems zusammenzufassen. Mit Geltung der DSGVO kommt es außerdem zu einer erheblichen Verschärfung der Sanktionen bei Verstößen gegen die datenschutzrechtlichen Bestimmungen. Diese reichen nun bis zu einem Betrag von 20 Millionen Euro, in Abhängigkeit von dem Verstoß.
Wann gilt das Bundesdatenschutzgesetz für Kommunen?
Auch wenn Paragraph 43 Absatz 3 Bundesdatenschutzgesetz (neu) die Verhängung von Bußgeldern gegen Behörden und sonstige öffentlichen Stellen (Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes oder sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform, vgl. Paragraph 2 Absatz 2 Bundesdatenschutzgesetz) grundsätzlich ausschließt, müssen Kommunen dennoch eins beachten: Das Bundesdatenschutzgesetz (neu) ist auf Landesbehörden dann anwendbar, wenn diese Bundesrecht ausüben oder es an einer landesrechtlichen Regelung mangelt. Soweit ersichtlich, werden jedoch alle Bundesländer eine entsprechende gesetzliche Regelung zur Umsetzung der DSGVO auf den Weg bringen, so dass im Einzelfall zu prüfen ist. Die bislang veröffentlichten Entwürfe zeigen durchaus die Tendenz auf, dass in bestimmten Fällen die Verhängung von Bußgeldern gegen Behörden möglich ist. Dies gilt insbesondere dann, wenn es sich um eine wirtschaftliche Betätigung handelt. Die DSGVO wird neben den nicht-öffentlichen Stellen auch die Kommunen vor eine nicht unerhebliche Aufgabe stellen, wenn es um die Umsetzung ihrer Vorgaben geht. Diese Herausforderung gilt es so schnell wie möglich anzugehen und die Umsetzungsaufgaben zu beginnen. Auch wenn die Sanktionsandrohungen die Kommunen nicht umfassend treffen werden, so sind sie hiervon auch nicht vollumfänglich befreit.
