Verstärkter Datenschutz notwendig

EU Datenschutzgrundverordnung verändert auch kommunalen Datenschutz komplett

Am 25. Mai 2018 gilt die EU-Datenschutz Grundverordnung auch für Kommunen  uneingeschränkt, da  sie als EU-Verordnung verbindlich für alle Mitgliedsstaaten ist und nicht durch nationales Recht eingeschränkt werden kann.  Die am 24. Mai 2016 in Kraft getretene Verordnung zur Neugestaltung des Datenschutzes in Europa räumte den Betroffenen eine Zeit von 2 Jahren zur Umsetzung der Bestimmungen in praktisches Handeln ein.  Ob die Kommunen diese Frist genutzt haben, wird sich zeigen. Es wäre jedoch fatal, wenn sie dies nicht getan hätten. In diesem Fall gehen die Kreise, Städte und Gemeinden ein erhebliches Risiko ein, da die Strafen wesentlich erhöht wurden und ein präventiver Datenschutz, wie er aufgebaut werden muss,  auch überprüfbar ist. Daraus folgt, dass die Kommunen sich dem  Nachweis der Umsetzung nicht entziehen können. Da  das Strafmaß auf bis zu 20 Mio. € erhöht wurde, besteht ein erhebliches ökonomisches Risiko neben dem etwaigen Imageverlust bei einem lückenhaften Datenschutz.

Insgesamt kann man von einer erheblichen Verschärfung des Datenschutzes und damit von einem weitgehend verbesserten Schutz der Daten der Bürger, der ansässigen Unternehmen  und der Mitarbeiter einer Kommune oder Kreises ausgehen. Nicht zuletzt haben die Ereignisse um den Facebook-Datenskandal gezeigt,  wie wichtig ein verstärkter Datenschutz ist. Denn durch die Zunahme der Datenmenge weltweit wachsen die Begehrlichkeiten, diese Datenmenge ökonomisch zu nutzen. Das Datensammeln, die Datenanalyse und die Datenweitergabe sind längst zu einem lukrativen Geschäftsmodell geworden. Durch die verstärkte Digitalisierung der Kommunen und dem Wandel zu smartCities steigen die potentiellen Datenmengen, die eine Kommune zur Verfügung hat,  unermesslich. Selbst einfache und heute weitgehend realisierte  Einrichtungen, wie Sensortechnik bei Automobilen, Videoüberwachung, freies WLAN, smarte Stromzähler,  führen stetig zu neuen Datensammlungen. Wenn man berücksichtigt, dass die Kernverwaltungen der Kommunen, wie die Bauaufsichtsbehörden, Sozialämter, Kindergärten, Kassen usw. besonders sensible Daten vorhalten und noch die Daten der kommunalen Beteiligungen, wie Kliniken, Stadtwerke oder Verkehrsbetriebe, hinzuaddiert, kommt man auf ein erhebliches Volumen sensibler Daten, das nicht nur eine enorme Informationsfülle enthält, sondern auch einen hohen Wert aufweist. Dadurch entstehen sowohl externe als auch interne Begehrlichkeiten, diese Daten auch zu vermarkten und so neue Finanzquellen zu erschließen. Kommunen werden aber auch deswegen zum Ziel von kriminellen Cyberattacken. Deshalb  erhält der Datenschutz eine verstärkte Bedeutung für die kommunale Verwaltung und die Umsetzung der EU Datenschutz Grundverordnung eine Legitimation. Erschwerend kommt noch hinzu, dass es sich im Gegensatz zu Facebook bei den kommunalen Datenbeständen um „Zwangsdaten“ handelt, die der Bürger, das Unternehmen oder der Mitarbeiter zur Verfügung stellen muss, um Leistungen zu empfangen. Er kann sie zum großen Teil überhaupt nicht verwehren.

Schon alleine deshalb, müssen die Datenverantwortliche, die über den Zweck und die Mittel der Verarbeitung personenbezogener Daten entscheiden, kommunale und private Rechenzentren, die im Auftrag der Kommunen als Auftragsdatenverarbeiter tätig sind, die neuen Regelungen der EU Datenschutz Grundverordnung insbesondere  umsetzen.

Im Grunde genommen, findet ein Paradigmenwechsel  des Datenschutzes statt, da dieser nun nicht nur  präventiv sondern auch  vollumfänglich betrieben und dokumentiert werden muss

Zur besseren Veranschaulichung kann man den Datenschutz in eine Hierarchie einteilen. Am oberen Ende befindet sich die Erstellung eines Datenschutz-Leitbildes. Dieses sollte durch den Gemeindevorstand (Magistrat) und die Gemeindevertretung (Stadtverordnetenversammlung)  beschlossen werden. Im Falle, es sind Beteiligungen vorhanden, sollte das Leitbild auch in den Aufsichtsräten beschlossen werden.  Wesentlich ist der Aufbau eines Datenschutzmanagementsystems.  Das  DSMS überprüft die Rechtsmäßigkeit der Verarbeitung, wendet die Datengrundsätze, die im Artikel 5 der Verordnung näher definiert sind, an und stellt die Rechte der Betroffenen sicher. Alle Überprüfungen und  Maßnahmen werden dokumentiert. Durch die Dokumentationspflicht wird erreicht, dass schon im Vorfeld klargestellt wird, welche Maßnahmen ergriffen werden und diese nicht erst im Schadensfall aufgelistet werden.  Die Neuregelung enthält im Grundsatz die Schaffung von mehr Transparenz.

Die Verordnung gilt nach Art 2 Abs. 1 für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Damit wird ein erheblicher Teil der Verfahren und Prozesse einer Kommune involviert. Alle Verfahren, die involviert sind, sollten in einem Verzeichnis für Verarbeitungstätigkeiten nach Artikel 30  aufgelistet werden.  In diesem Verzeichnis werden auch die Regeln und Verfahrenshinweise, die den Mitarbeitern bekannt sein müssen, aufgeführt. Da natürlich Datenverarbeitung etwas mit technischen und organisatorischen Rahmenbedingungen zu tun hat, ist eine Auflistung der technisch-organisatorischen Maßnahmen (TOM) unumgänglich. Die Verantwortung zur Einhaltung der Grundverordnung beschränkt sich aber nicht nur auf die eigene Verarbeitung, sondern gilt auch für Auftragsdatenverarbeiter. Deswegen müssen nach Artikel 28 auch die Auftragsverarbeitungsverträge (AVV) dokumentiert werden.  Insgesamt werden die Maßnahmen noch abgerundet, in dem eine Datenschutzfolgeabschätzung (DSFA) vorgenommen werden muss, falls eine Überprüfung diese als relevant ansieht. Die DSFA ist in den Artikeln 35 und 36 festgelegt worden.

Da der Datenschutz aktiv und präventiv betrieben werden soll, müssen Schwachstellenanalysen permanent durchgeführt werden. Die Datenschutzmaßnahmen sind deswegen auch nicht einmalig festzulegen, sondern müssen sich einem kybernetischen Regelkreis unterziehen. Nur so kann gewährleistet werden, dass die Grundgedanken der Leitlinie in der Praxis konsequent, effektiv und effizient durchgesetzt werden. Der Datenschutzbeauftragte erhält eine andere Aufgabe. Er wird stärker die Rolle eines Compliance Beauftragten  für den Datenschutz übernehmen und die Einhaltung der Regelungen und Weisungen übernehmen. Seine rechtliche und organisatorische Stellung innerhalb der Kommune wird darüber hinaus gestärkt. Da die EU-Datenschutz-Grundverordnung einen Konzerndatenschutzbeauftragten zulässt, ist zu überprüfen, ob man nicht einen zentralen Datenschutzbeauftragten für den gesamten Konzern Stadt installiert.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.