EU-Datenschutz-Grundverordnung

Die DSGVO und ihre Bedeutung für öffentliche Institutionen

| Autor / Redakteur: Henning Brüstle* / Susanne Ehneß

Bei der EU-Datenschutz-Grundverordnung verlieren Behörden einen Großteil ihrer Sonderregularien
Bei der EU-Datenschutz-Grundverordnung verlieren Behörden einen Großteil ihrer Sonderregularien (© n8aktiver - stock.adobe.com)

Die Regelungen der Datenschutz-Grundverordnung (DSGVO) beziehen neben natürlichen oder juristischen Personen auch Behörden und Einrichtungen mit ein. Ein Überblick von Henning Brüstle von OpenText.

In der digitalen und vernetzten Welt hat der Datenschutz eine völlig neue Bedeutung bekommen. Das zieht gesetzliche Veränderungen nach sich: Mit der EU-Datenschutz-Grundverordnung werden neue Information-Governance-­Regularien für personenbezogenen Daten eingeführt, um die ­Persönlichkeitsrechte und die ­Privatsphäre von Bürgern zu schützen. Die neue Gesetzesinitiative umfasst beispielsweise das Recht auf Vergessen, das Recht zur Überprüfung von Daten und das Recht, diese zu ändern oder zu übertragen. Darüber hinaus beinhaltet die DSGVO erweiterte Informations- und Reaktionspflichten bei Datenlecks, um beispielsweise die Betroffenen im Fall eines Hacker-­Angriffs schnell und umfassend zu informieren.

Keine Sonderstellung mehr

Der öffentliche Sektor unterlag hierzulande bislang eigenen datenschutzrechtlichen Regularien. So unterscheidet das Bundesdatenschutzgesetz zwischen öffentlichen und nichtöffentlichen Stellen und enthält – neben den für beide gültigen Bestimmungen – auch gesonderte Abschnitte. Dazu kommen primär anwendbare bereichsspezifische Normen und bei öffentlichen Stellen der Länder die jeweils vorrangigen Landesdatenschutzgesetze. Der Grund hierfür liegt in anderen Interessenslagen und Strukturen von öffentlichen Einrichtungen und privatwirtschaftlichen Unternehmen.

Die Regelungen der DSGVO gelten nun für beide Stellen gleichermaßen und beziehen neben natürlichen oder juristischen Personen auch Behörden und Einrichtungen mit ein. Eine Aufteilung in gesonderte Regelungsabschnitte existiert nicht. Lediglich einzelne ­Normen enthalten Spezialvorschriften und Ausnahmeregelungen. So sind unter anderem nach Artikel 2 Absatz 2 (d) DSGVO diejenigen Behörden ausgenommen, die personenbezogene Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten verarbeiten. Das schließt auch die Strafvollstreckung inklusive des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit mit ein.

Artikel 83 Absatz 7 DSGVO enthält zudem eine Öffnungsklausel für die nationalen Vorschriften, wenn es um Geldbußen gegen öffentliche Stellen geht. Auch sollen im Allgemeinen bereichsspezifische Regelungen für den öffentlichen Bereich weiterhin möglich bleiben.

Vor dem Hintergrund, dass es bereits einige datenschutz- und informationssicherheitsspezifische Regelungen gibt, sind diese Ausnahmen durchaus sinnvoll. Dazu zählen unter anderem landesspezifische Datenschutzgesetze, das Bundesmeldegesetz oder die Gesetze zum eGovernment.

Die Rolle der IT

Mit der zunehmenden Digitalisierung von Verwaltungsprozessen und der wachsenden Cyberkriminalität steht der öffentliche Sektor vor neuen Herausforderungen. Die DSGVO sorgt hier für ein gesteigertes Daten- und Informationssicherheitsniveau. Zu diesem Zweck benötigen Behörden aber auch ein wirksames Informations- und Datenschutzmanagement, das Verwaltungsprozesse, die technische Infrastruktur, das Management und behördliche Anwendungsprozesse miteinschließt.

Die Hauptaufgabe der IT liegt vor allem darin, nachzuvollziehen, wie und wo personenbezogene Daten genutzt werden. Mit speziellen Tools lassen sich Dokumente suchen, zuordnen, kategorisieren und kennzeichnen. Mit Hilfe von Data Discovery und maschinellem ­Lernen können Dokumente mit standardisierten, personenbezogenen Daten schnell identifiziert werden. Dazu zählen zum Beispiel Kreditkarten, Führerscheine oder Krankenakten.

Nachdem personenbezogene Daten kontextabhängig sind, untersuchen intelligente Algorithmen, welche Worte gemeinsam auftreten und fasst sie ohne menschliches Eingreifen entsprechend ihrer kontextuellen Themenbereiche zusammen. Diese Werkzeuge unterscheiden genau zwischen verschiedenen Zusammenhängen, die die Interpretation von bestimmten Wörtern beeinflussen. Sie arbei­ten sogar themenspezifisch, eine wichtige Eigenschaft, da die DSGVO zwischen personenbezogenen und sensiblen personenbezogenen Daten unterscheidet. Je mehr Dokumente geprüft werden, desto mehr lernen die Algorithmen im Hintergrund dazu.

Datenschutzbeauftragte

Die DSGVO verlangt ebenfalls Datenschutzbeauftragte in öffentlichen Einrichtungen, welche bei der Landesdatenschutzbehörde gemeldet werden müssen. Das kann ein eigener Mitarbeiter oder ein extern beauftragter Spezialist sein. Gerade externe Beauftragte entlasten kleine Kommunen, die oftmals nur über geringe Personalressourcen verfügen. Meist fehlen auch der zeitliche Spielraum zur Ausübung der Tätigkeit, das Know-how oder die Übung im Umgang mit alltäglichen Datenschutzfragen.

Henning Brüstle
Henning Brüstle (© Opentext)

Zur Umsetzung eines wirksamen Systems kann es außerdem hilfreich sein, dass laut Artikel 37 ­Absatz 3 mehrere Behörden oder öffentliche Stellen einen gemeinsamen Datenschutzbeauftragten ernennen. Das ermöglicht breite Organisationsstrukturen.

Auf IT-Verantwortliche und Datenschutzbeauftragte in Behörden wartet folglich noch eine Menge Arbeit, um ihre Organisation bereit für die neuen Datenschutz­regularien zu machen. Welche Auswirkungen die DSGVO tatsächlich hat, wird sich in den nächsten Jahren zeigen. Behörden können aber bereits jetzt die notwendigen Schritte einleiten, um sich für die kommende Zeit zu wappnen.

Der Autor: Henning Brüstle, Senior Director Sales, OpenText

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45125270 / Standards & Technologie)