Datenschutzgrundverordnung ante portas Eine neue Zeitrechnung!

Autor / Redakteur: Prof. Dr. Wilfried Bernhardt, Staatssekretär a.D. / Manfred Klein

Die im Mai 2016 in Kraft getretene Datenschutzgrundverordnung (DSGVO) und das neu gefasste Bundesdatenschutzgesetz (BDSG 2018), und auch neu formulierte Landesdatenschutzgesetze – die Arbeiten der Landesgesetzgeber dauern noch an – sehen ab dem 25. Mai 2018 erweiterte Pflichten vor und richten höhere technische und organisatorische Anforderungen nicht nur an die Unternehmen, sondern auch an die Kommunen.

Firmen zum Thema

Auch Behörden auf staatlicher und kommunaler Ebene stehen mit der DSGVO-Einführung vor besonderen organisatorischen Herausforderungen
Auch Behörden auf staatlicher und kommunaler Ebene stehen mit der DSGVO-Einführung vor besonderen organisatorischen Herausforderungen
(Bild: © Oliver Boehmer / bluedesign – AdobeStock.com)

Viel ist in der Vergangenheit geschrieben und gesprochen worden über „Highlights“ der DSGVO wie das Recht auf Vergessenwerden, den Anspruch auf Datenportabilität, die Grundsätze Privacy by Design und Privacy by Default, die neuen erweiterten Regelungen für die Einholung einer informierten Einwilligung des Betroffenen oder die erheblich verschärften Sanktionsregelungen, die nach Art. 83 DSGVO bis zu 4 Prozent des weltweiten Konzernumsatzes im Falle von Verletzungen der Datenschutzregelungen erreichen können.

Herausforderungen für Behörden

Dabei kam in den öffentlichen Diskussionen manchmal zu kurz, dass auch Behörden auf staatlicher und kommunaler Ebene vor besonderen organisatorischen Herausforderungen stehen. Denn gerade Behörden müssen häufig eine große Menge personenbezogener Daten verarbeiten. Deshalb haben sie in besonderem Maße für einen hohen Schutz ihrer Systeme vor Datenverlust und Datenmissbrauch zu sorgen.

Die wesentlichen bei der Datenverarbeitung zu beachtenden Grundsätze sind in Art. 5 Abs.1 DSGVO festgehalten. Sie gleichen stark den Prinzipien, die bereits aus dem traditionellen deutschen Datenschutzrecht bekannt sind: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

Für die Einhaltung dieser Grundsätze ist der „Verantwortliche“ im Rahmen einer Rechenschaftspflicht (Art. 24 DSGVO) verantwortlich. Diese – also auch die Erbringung der „Nachweise“ – wird vor allem auf der Basis des Verarbeitungsverzeichnisses (Art. 30 DSGVO) wahrgenommen. Verpflichtet ist insoweit „die Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ (Art. 4 Nr. 7 DSGVO).

In der Behörde steht zunächst die Leitungsebene in der Pflicht, die diese Aufgabe aber delegieren kann. Die Verantwortlichkeit für das Führen des Verarbeitungsverzeichnisses ist transparent festzulegen. Der Datenschutzbeauftragte ist insoweit nicht „verantwortlich“, vielmehr kommt ihm eine Beratungs- und Überwachungsaufgabe zu (vgl. Art. 39 Abs. 1 DSGVO).

Die Verfahren sind so einzurichten, dass Änderungen der Verarbeitungen oder neue Verarbeitungen im Verarbeitungsverzeichnis Berücksichtigung finden. Denn IT-Infrastrukturen und Datenverarbeitungen unterliegen einem kontinuierlichen Veränderungsprozess. Es ist zu empfehlen, die Verfahren zur Pflege des Verarbeitungsverzeichnisses möglichst zu automatisieren, um sie effizienter und fehlerfrei zu halten. Das Verzeichnis muss unter Berücksichtigung der Rahmenbedingungen und Risiken der Datenverarbeitung „geeignete technische und organisatorische Maßnahmen“ umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung DSGVO-konform erfolgt.

Im Gegensatz zu dem bisher im alten BDSG vorgesehenen „öffentlichen Verfahrensverzeichnis“ ist das Verarbeitungsverzeichnis nicht mehr öffentlich und muss gemäß Art. 30 Abs. 4 DSGVO nur noch auf Anfrage an die Aufsichtsbehörden übergeben werden, sollte also exportierbar sein – elektronisch oder schriftlich per Ausdruck (eine Zusammenstellung von Hyperlinks reicht also nicht). Es dient vor allem als Instrument der internen Kontrolle und zur Erleichterung der Erfüllung weiterer Pflichten. Im neuen Verzeichnis sind wesentliche Angaben zur Verarbeitung personenbezogener Daten und Maßnahmen zur Datensicherheit festzuhalten und auch aufzulisten, welche Dritte potenziell Zugriff auf Daten erhalten. Einzelheiten des Inhalts des Verarbeitungsverzeichnisses ergeben sich aus Art. 30: Zu erfassen sind u.a. der Name und die Kontaktdaten des Verantwortlichen beziehungsweise des Vertreters sowie des Datenschutzbeauftragten, die Zwecke der Verarbeitung, die Kategorien betroffener Personen, die Kategorien von Empfängern von offengelegten oder offenzulegenden Daten, gegebenenfalls Übermittlungen von personenbezogenen Daten an ein konkret zu benennendes Drittland oder an eine internationale Organisation.

Die Behörde sollte zudem entscheiden, ob es sinnvoll ist, weitere Angaben in das Verarbeitungsverzeichnis aufzunehmen, wie etwa Rechtfertigungen zur Datenverarbeitung. Das Verarbeitungsverzeichnis ist auch wichtig, um die Betroffenenrechte bedienen zu können: das Recht auf Information (Art. 13), das Recht auf Auskunft (Art. 15), das Recht auf Berichtigung (Art. 16), das Recht auf Löschung (Art. 17 ), das Recht auf Einschränkung der Datenverarbeitung (Art. 18), das Recht auf Datenübertragbarkeit (Art. 20), das Recht auf Widerspruch gegen die Datenverarbeitung (Art. 21) sowie das Recht auf Einzelfallprüfung bei automatisierten Entscheidungen (Art. 22).

Zwar schreibt die DSGVO ein Verarbeitungsverzeichnis erst ab einer Zahl von 250 Mitarbeitern vor. Allerdings ist auch von kleineren Behörden ein solches Verzeichnis zu führen, wenn die Verarbeitung nicht nur gelegentlich erfolgt oder die Verarbeitung sensible Daten einschließt. In Behörden dürften solche Datenverarbeitungen regelmäßig erfolgen, sodass dort ein Verarbeitungsverzeichnis zu führen ist.

Folgeabschätzung

In bestimmten Fällen ist bereits vor Einführung der Datenverarbeitung eine Risikoabschätzung vorzunehmen. Die Datenschutz-Folgeabschätzung (DSFA) ist bisher im Datenschutzrecht als Vorabkontrolle (§ 4d Abs. 5 BDSG alt) bekannt. Nunmehr ist eine DSFA durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat (Art. 35).

Dabei sind die geplanten Verarbeitungsvorgänge und Verarbeitungszwecke zu beschreiben, die berechtigten Interessen, die der Verarbeitung zugrunde liegen, das Erfordernis und die Verhältnismäßigkeit der Vorgänge im Hinblick auf den Verarbeitungszeck und die Bewertung der Risiken für Rechte und Freiheiten der betroffenen Personen. Schließlich muss sich die DSFA auch zu den Maßnahmen äußern, die zur Risikobewältigung getroffen werden.

Wenn die Behörde die Datenverarbeitung an ein Unternehmen im Wege des Outsourcings übergibt – etwa durch Beauftragung von Rechenzentren oder durch Überlassung des Internet­auftritts an einen Webhoster, dann unterliegt auch die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) teilweise neuen Vorschriften. Dies sollte Anlass geben, die Verträge mit den Dienstleistungsunternehmen einer Prüfung zu unterziehen, ob sie noch den neuen Anforderungen Stand halten. Der Auftragsverarbeiter ist zur Führung des Verarbeitungsverzeichnisses verpflichtet. Dabei schreibt Art. 30 Abs. 2 DSGVO den genauen Inhalt des Verarbeitungsverzeichnisses vor.

Ferner sind Datenschutzerklärungen auf der Website und der Kontakt mit den Behördenkunden (verschlüsselte Kommunikation! Vorsicht bei der Speicherung von IP-Adressen oder Trackingfunktionen!) anzupassen.

Pflichten bei Datenschutzpannen

Sollte eine Datenschutzpanne eintreten, dann sieht die DSGVO laut Art. 33 eine Pflicht zur Meldung an die Aufsichtsbehörde „unverzüglich und möglichst binnen 72 Stunden“ vor. Die Pflicht zur Meldung ist nicht mehr wie bisher auf Fälle mit drohenden schwerwiegenden Beeinträchtigungen begrenzt. Auch eine Benachrichtigung bei voraussichtlich hohem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen an die betroffene Person ist Pflicht (Art. 34). Diese Fristen können sehr knapp werden, wenn die Verantwortlichkeiten in der Datenschutzorganisation nicht zuvor klar geregelt und die Meldeprozesse sorgfältig definiert sind.

Ernennung eines Datenschutzbeauftragten

Schließlich sind die Behörden verpflichtet, einen Datenschutzbeauftragten zu ernennen (Art. 37). Allerdings können mehrere Behörden „unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe“ auch einen gemeinsamen Datenschutzbeauftragten nutzen (Art. 37 Abs. 3). Sowohl Beschäftigte der Behörde als auch Externe auf der Grundlage eines Dienstleistungsvertrages können zu Datenschutzbeauftragten bestellt werden; es sollten nur Personen bestellt werden, bei denen keine Interessenskollisionen mit ihren behördeninternen anderweitigen Aufgaben entstehen könnten.

Weitreichende Folgen

Wenn die Datenschutzgrundverordnung umgesetzt ist, sind dann alle rechtlichen und organisatorischen Fragen rund um die Datenverarbeitung geklärt? Leider muss die Antwort lauten: Beileibe nicht!

Wer in diesen Monaten Konferenzen und andere Veranstaltungen zum Digitalisierungsthema besucht, spürt, was auch auf die Verwaltungen zukommt: Big Data, Blockchain, Internet of Things (IoT) in der Verwaltung, automatisierte Verwaltungsverfahren bis hin zum automatisierten Verwaltungsakt, Nutzung von Analytik und künstlicher Intelligenz, die geplante ePrivacy-Verordnung, modernes Datenrecht – alle diese Fragen werden in naher Zukunft auch die Kommunalverwaltung betreffen beziehungsweise berühren sie jetzt schon.

So verpflichtet das Onlinezugangsgesetz (OZG) auch Landes- und Kommunalbehörden, alle Verwaltungsleistungen zu digitalisieren und über Servicekonten im Portalverbund abrufbar zu halten. Etliche datenschutzrechtliche Fragen im Zusammenhang mit der Umsetzung des sogenannten Once-Only-Prinzips sind auch nach Inkrafttreten der DSGVO noch zu klären. So sollen Bürger und Unternehmen künftig Standardinformationen der Verwaltung nur noch einmal mitteilen müssen, damit diese die Informationen intern austauscht. Wie dies geregelt werden soll – die DSVGO hält an einer strikten Zweckbindung bei der ­Datenübermittlung fest – ist noch völlig offen.

Anmerkung der Redaktion: Dieser Artikel ist die gekürzte Fassung einer Erstveröffentlichung des Autors in Der Landkreis, Ausgabe 5/2018.

(ID:45230827)