DSGVO – Aspekte für Kommunen
Am 25.05.2018 wird die europäische Datenschutz-Grundverordnung wirksam (DSGVO). Die DSGVO trifft Regelungen zur Sicherheit der Datenverarbeitung und ersetzt zum Teil bisher geltende Vorgaben des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze. Die folgenden Punkte der DSGVO sind von besonderer Relevanz für öffentliche Stellen und Kommunalverwaltungen, wie z.B. ein Landkreis, eine Stadt, Gemeinde oder Verbandsgemeinde:
- Rechenschaftspflicht: Art. 5 und 24 der DSGVO verpflichten datenverarbeitende Stellen, jederzeit nachweisen zu können, dass die Verarbeitung persönlicher Daten gemäß der DSGVO erfolgt (=Rechenschaftspflicht). In der Neufassung des Landesdatenschutzgesetzes Rheinland-Pfalz ist vorgesehen, dass bei einer Verletzung der Rechenschaftspflicht keine Geldbußen verhängt werden dürfen, sofern öffentliche Stellen nicht mit eigener Rechtspersönlichkeit am Wettbewerb teilnehmen. Eine Anstalt des öffentlichen Rechts , die z.B. als Stromanbieter am Wettbewerb teilnimmt ist davon jedoch nicht befreit.
. - Datenschutzbeauftragter: Nach Art. 37 der DSGVO ist jede Behörde oder öffentliche Stelle verpflicht einen Datenschutzbeauftragten zu bestellen. Nach der neuen Rechtslage sind daher künftig auch die Ortsgemeinden verpflichtet, einen Datenschutzbeauftragten zu benennen. Dem Datenschutzbeauftragten müssen die erforderlichen Ressourcen (u.a. angemessener Stellenanteil, Fortbildungsbudget) zur Verfügung gestellt werden. Dabei ist es möglich, dass ein Datenschutzbeauftragter für mehrere Kommunen tätig wird oder ein externer Dienstleister beauftragt wird.
. - Verzeichnis von Verarbeitungstätigkeiten: Nach Art. 30 besteht die Pflicht ein Verzeichnis aller Datenverarbeitungstätigkeiten zu erstellen (u.a. mit Angabe des Verantwortlichen, Zweck der Verarbeitung, betroffener Personenkreis sowie ggf. technische und organisatorische Sicherheitsmaßnahmen und eine Risikoabschätzung). Dieses Verzeichniss ist eine Erweiterung des bisherigen Verfahrensverzeichnisses nach dem LDSG, welches jedoch nur auf automatisierte Datenverarbeitung bezogen war. Die Pflicht zur Führung eines solchen Verzeichnisses gilt für alle öffentlichen Stellen. Das Verzeichnis ist kein öffentliches Verzeichnis, ein Einsichtsrecht für Bürger kann jedoch ggf. aus einem Transparenzgesetz abgeleitet werden. Eine Excel-Liste des Personalrats mit Geburtstagen von Mitarbeitern fällt beispielsweise unter die Pflicht zur Aufnahme in das Verzeichniss von Verarbeitungstätigkeiten. Um der Rechenschaftspflicht nachzukommen, müssen auch die Ermächtigung bzw., das Vorhandensein von Einwilligungen zur Datenverarbeitung dokumentiert werden.
. - Datenschutzmanagement: Nach Art 24 DSGVO müssen technische und organisatorische Maßnahmen ergriffen werden, damit die Verarbeitung der Daten gem. der DSGVO erfolgt. Weiterhin wird in Art 32 der DSGVO konkretisiert, dass für mögliche ernsthafte Gefährdungen adäquate Gegenmaßnahmen vorgesehen werden müssen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es wird eine Orientierung am BSI Grundschutzkatalog empfohlen.
. - Datenschutzfolgeabschätzung: Art 35 DSGVO fordert die Erstellung einer Datenschutzfolgeabschätzung bei der Verarbeitung von Daten mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen. Die Mindestbestandteile sind: Liste der Vorgänge, Zweck, berechtigte Interessen der Betroffenen, Bewertung der Notwendigkeit des Verfahrens in Bezug auf Zweck und berechtigtem Interessen der Betroffenen sowie Einschätzung der Risiken für diese. Auf dieser Analyse aufbauend sollen geeignete Sicherheitsvorkehrungen getroffen werden. Eine Konkretisierung dieser speziellen Verarbeitungsvorgänge mit „hohem Risiko“ ist noch zu konkretisieren, evtl. soll von der jeweiligen Datenschutzaufsichtsbehörde eine Liste mit in Frage kommenden den Vorgängen zur Verfügung gestellt werden. In vielen kommunalen Verfahren, die oftmals den höchst persönlichen Lebensbereich betreffen, z.B. Meldewesen, Steuerwesen ist die Datenschutzfolgeabschätzung voraussichtlich erforderlich.
. - Auftragsdatenverarbeitung: Bei der Beauftragung von dritten zur Verarbeitung von Daten muss gewährleistet sein, dass diese die DSGVO einhalten. Diese Verpflichtung hierzu sollte vertraglich vereinbart werden. In Art. 28 DSGVO werden die Anforderungen an die Auftragsdatenverarbeitung konkretisiert.
Informationspflicht bei Datenschutzverstößen: Neben dem ständigen Vorhalten der Dokumentationen und Anweisungen zur Sicherstellung der Einhaltung der DSGVO sind Verletzungen des Schutzes persönlicher Daten nach Art 33 DS GVO der Aufsichtsbehörde unverzüglich mitzuteilen; Dies ist beispielsweise der Fall, wenn durch einen Windzug die Geburtstagsliste der Mitarbeiter aus dem geöffneten Fenster fliegt, auf der Ladefläche eines vorbeifahrenden Kleintransporters landet und sich mit dem Fahrzeugs aus dem Zugriffsbereich der Kommune bewegt. In der Mitteilung an die Aufsichtsbehörde soll auch mitgeteilt werden, welche Gegenmaßnahmen getroffen werden/wurden, um eine erneute Verletzung auszuschließen. Bei einem hohen Risiko für die persönlichen Rechte und Freiheiten von natürlichen Personen, sind auch diese nach Art 34 DSGVO unverzüglich über die Datenschutzverletzung zu informieren.
. - Datenverarbeitung mit Einwilligung: Die Verarbeitung oder Nutzung persönlicher Daten ohne Ermächtigungsgrundlage kann wie bisher nur mit Einwilligung der Betroffenen erfolgen. In Art 7 Abs. 4 DSGVO neu hinzugekommen ist jedoch ein Kopplungsverbot. Hiernach ist eine Einwilligung ggf. keine rechtmäßige Grundlage, wenn zwischen den Vertragspartnern ein weiteres Abhängigkeitsverhältnis mit einem klaren Ungleichgewicht besteht und die Einwilligung nicht für die Erbringung der vertraglich geschuldeten Leistung erforderlich ist. Für die Einwilligung besteht nicht die Pflicht einer schriftlichen Erklärung, jedoch muss die Einwilligung nachweisbar sein.
. - Verarbeitung von Mitarbeiterdaten: Nach § 26 Abs. 1 und Abs. 4 BDSG dürfen personenbezogene Daten von Beschäftigten für den Zweck der Beschäftigung verarbeitet werden. Zudem wird die Möglichkeit von Kollektivvereinbarungen (Tarifvertrag, Betriebs- und Dienstvereinbarung) zur Verarbeitung von Beschäftigtendaten eröffnet. Eine darüberhinausgehende Verarbeitung bedarf der Einwilligung der Betroffenen. Bei der Bewertung der Freiwilligkeit der Einwilligung ist jedoch das Abhängigkeitsverhältnis des Beschäftigten zum Arbeitgeber zu berücksichtigen. Dies ist bedingt durch das Kopplungsverbot nach Art 7 Abs. 4 DSGVO. Eine Freiwilligkeit kann vorliegen, wenn dem Beschäftigten durch die Einwilligung Vorteile entstehen ( z.B. Nutzung dienstlicher Fahrzeuge oder EDV-Geräte).
Die DSGVO enthält Öffnungsklauseln, die durch Bundes und Landesrecht ausgeschöpft werden können. Hierbei sind auch Vereinfachungen für öffentliche Stellen und Kommunen möglich. Aufgrund der unklaren Situation sind viele Muster und Vorlagen noch in der Entwurfsphase.
Weitere Informationen finden Sie bei den Landesdatenschutzbeauftragten. Für einen Kurzvortrag der Änderungen in politischen Gremien oder einen Workshop zur Umsetzung von Maßnahmen zur DSGVO für Führungskräfte oder Mitarbeiter können Sie sich gerne an uns wenden.