Datenschutzgrundverordnung ante portas

Eine neue Zeitrechnung!

| Autor / Redakteur: Prof. Dr. Wilfried Bernhardt, Staatssekretär a.D. / Manfred Klein

Folgeabschätzung

In bestimmten Fällen ist bereits vor Einführung der Datenverarbeitung eine Risikoabschätzung vorzunehmen. Die Datenschutz-Folgeabschätzung (DSFA) ist bisher im Datenschutzrecht als Vorabkontrolle (§ 4d Abs. 5 BDSG alt) bekannt. Nunmehr ist eine DSFA durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat (Art. 35).

Dabei sind die geplanten Verarbeitungsvorgänge und Verarbeitungszwecke zu beschreiben, die berechtigten Interessen, die der Verarbeitung zugrunde liegen, das Erfordernis und die Verhältnismäßigkeit der Vorgänge im Hinblick auf den Verarbeitungszeck und die Bewertung der Risiken für Rechte und Freiheiten der betroffenen Personen. Schließlich muss sich die DSFA auch zu den Maßnahmen äußern, die zur Risikobewältigung getroffen werden.

Wenn die Behörde die Datenverarbeitung an ein Unternehmen im Wege des Outsourcings übergibt – etwa durch Beauftragung von Rechenzentren oder durch Überlassung des Internet­auftritts an einen Webhoster, dann unterliegt auch die Auftragsverarbeitung (früher: Auftragsdatenverarbeitung) teilweise neuen Vorschriften. Dies sollte Anlass geben, die Verträge mit den Dienstleistungsunternehmen einer Prüfung zu unterziehen, ob sie noch den neuen Anforderungen Stand halten. Der Auftragsverarbeiter ist zur Führung des Verarbeitungsverzeichnisses verpflichtet. Dabei schreibt Art. 30 Abs. 2 DSGVO den genauen Inhalt des Verarbeitungsverzeichnisses vor.

Ferner sind Datenschutzerklärungen auf der Website und der Kontakt mit den Behördenkunden (verschlüsselte Kommunikation! Vorsicht bei der Speicherung von IP-Adressen oder Trackingfunktionen!) anzupassen.

Pflichten bei Datenschutzpannen

Sollte eine Datenschutzpanne eintreten, dann sieht die DSGVO laut Art. 33 eine Pflicht zur Meldung an die Aufsichtsbehörde „unverzüglich und möglichst binnen 72 Stunden“ vor. Die Pflicht zur Meldung ist nicht mehr wie bisher auf Fälle mit drohenden schwerwiegenden Beeinträchtigungen begrenzt. Auch eine Benachrichtigung bei voraussichtlich hohem Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen an die betroffene Person ist Pflicht (Art. 34). Diese Fristen können sehr knapp werden, wenn die Verantwortlichkeiten in der Datenschutzorganisation nicht zuvor klar geregelt und die Meldeprozesse sorgfältig definiert sind.

Ernennung eines Datenschutzbeauftragten

Schließlich sind die Behörden verpflichtet, einen Datenschutzbeauftragten zu ernennen (Art. 37). Allerdings können mehrere Behörden „unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe“ auch einen gemeinsamen Datenschutzbeauftragten nutzen (Art. 37 Abs. 3). Sowohl Beschäftigte der Behörde als auch Externe auf der Grundlage eines Dienstleistungsvertrages können zu Datenschutzbeauftragten bestellt werden; es sollten nur Personen bestellt werden, bei denen keine Interessenskollisionen mit ihren behördeninternen anderweitigen Aufgaben entstehen könnten.

Weitreichende Folgen

Wenn die Datenschutzgrundverordnung umgesetzt ist, sind dann alle rechtlichen und organisatorischen Fragen rund um die Datenverarbeitung geklärt? Leider muss die Antwort lauten: Beileibe nicht!

Wer in diesen Monaten Konferenzen und andere Veranstaltungen zum Digitalisierungsthema besucht, spürt, was auch auf die Verwaltungen zukommt: Big Data, Blockchain, Internet of Things (IoT) in der Verwaltung, automatisierte Verwaltungsverfahren bis hin zum automatisierten Verwaltungsakt, Nutzung von Analytik und künstlicher Intelligenz, die geplante ePrivacy-Verordnung, modernes Datenrecht – alle diese Fragen werden in naher Zukunft auch die Kommunalverwaltung betreffen beziehungsweise berühren sie jetzt schon.

So verpflichtet das Onlinezugangsgesetz (OZG) auch Landes- und Kommunalbehörden, alle Verwaltungsleistungen zu digitalisieren und über Servicekonten im Portalverbund abrufbar zu halten. Etliche datenschutzrechtliche Fragen im Zusammenhang mit der Umsetzung des sogenannten Once-Only-Prinzips sind auch nach Inkrafttreten der DSGVO noch zu klären. So sollen Bürger und Unternehmen künftig Standardinformationen der Verwaltung nur noch einmal mitteilen müssen, damit diese die Informationen intern austauscht. Wie dies geregelt werden soll – die DSVGO hält an einer strikten Zweckbindung bei der ­Datenübermittlung fest – ist noch völlig offen.

Anmerkung der Redaktion: Dieser Artikel ist die gekürzte Fassung einer Erstveröffentlichung des Autors in Der Landkreis, Ausgabe 5/2018.

Inhalt des Artikels:

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45230827 / Projekte & Initiativen)