Es sind nur noch gute zwei Monate Zeit, am 25. Mai 2018 ist der Stichtag. Dann gilt die neue europäische Datenschutzgrundverordnung (EU-DSGVO). Sie wird für die Kommunen eine große Herausforderungen in der Umsetzung mit sich bringen – und es stellt sich die Frage, wie gut die Behörden eigentlich für die neuen Anforderungen gewappnet sind.
Ariane Berger: „Wir stehen erst am Anfang“
Nicht alle Kommunen werden auf die neue Rechtslage von Anfang komplett vorbereitet sein, glaubt Ariane Berger, Referentin für eGovernment und Verwaltungsorganisation des Deutschen Landkreistags. „Bis zum 25. Mai können wir uns nur annähern“, sagt Berger in Berlin beim Branchentreffen Digitaler Staat des Behördenspiegels. Sie weist allerdings darauf hin, dass es auch nach dem alten Datenschutzrecht Verzeichnispflichten seitens der Kommunen gab. "Also die Kommunen, die sich bisher datenschutzkonform verhalten haben, können ihre bisherigen Prozesse anpassen. Da kann viel über Softwareanpassungen laufen - das ist sicherlich leichter machbar.“ Schwerer werden es die Kommunen haben, die noch nichts vorzuweisen haben. Aber das sei sicherlich nur der kleinere Teil, glaubt Berger.
Die Expertin stützt ihre Meinung auf eine Umfrage, die der Deutsche Landkreistag zusammen mit Fraunhofer durchgeführt hat zum Stand der Digitalisierung in Landkreisen. Gegenstand dieser Umfrage war unter anderem auch die Datenschutzgrundverordnung. „Wir haben ein recht positives Feedback bekommen“, resümiert Ariane Berger. Über die Hälfte der Landkreise sei dabei, ihre Prozesse an die neuen Datenschutzrechtlichen Anforderungen anzupassen, sagte Berger. „Aber wir stehen erst ganz am Anfang“ stellt sie klar.
Folgen der DSGVO für die kommunale Praxis
Die Rechtsnorm hat Folgen für Praktiker in den Kommunen. Die gesamte öffentliche Verwaltung muss nachweisen, dass sie die Pflichten der Datenschutzgrundverordnung einhält: „Diese allgemeine Rechenschaftspflicht zieht sich wie ein roter Faden durch die gesamte Datenschutzgrundverordnung. Der Staat und die Kommunen müssen also transparent sein und die umfangreichen Datenverarbeitungsprozesse offenlegen“, sagte die Expertin. Auch die Rechtmäßigkeit der Verarbeitung von Daten sei etwas anders ausgestaltet worden, „als wir es bislang kennen“, macht Berger deutlich.
Erfüllung einer Rechtspflicht oder Einwilligung des Bürgers
Es gibt einen „zentralen Rechtssatzvorbehalt“: Grundsätzlich, geht Berger mehr ins Detail, müsse die Verarbeitung wegen der Erfüllung einer rechtlichen Pflicht erforderlich sein. „Wenn sie keinen entsprechenden Rechtssatz haben, kann man sich mit einer Einwilligung behelfen“, erklärt Berger. Aber sie warnt: Aus kommunaler Sicht sei diese Einwilligung ein zweischneidiges Schwert. Die Kommune muss die Freiwilligkeit der erklärten Einwilligung nachweisen. Das heiß, sie sollte schriftlich erfolgen. Außerdem, könne man nicht mehr mit vorausgefüllten Kästchen arbeiten; sondern man müsse sich für die so genannte „opt-in-Lösung“ entscheiden. „Das heißt, der Bürger ist aktiv zu einer Einwilligungserklärung anzuregen“, betonte Berger.
Auf ein Kernstück der DSGVO weist Berger ebenfalls hin: das Verarbeitungsverzeichnis. Es hat die Funktion, den Prozess der Datenverarbeitung transparent zu machen. Das heißt, es müssen wesentliche Angaben zur Verarbeitung personenbezogener Daten gemacht werden. Neu ist auch, dass Maßnahmen zur Datensicherheit beschrieben werden müssen (Datensicherheitsmanagement).
Datensicherheitsmanagement fortlaufend auf dem neuesten Stand halten
Auf eine Ausnahme von der umfangreichen Verzeichnispflicht geht Ariane Berger in ihrem Vortrag auch ein: „Unternehmen, Einrichtungen und Stellen mit weniger als 250 Mitarbeitern können sich von dieser aufwendigen Pflicht befreien. Es sei denn, schränkt sie die Ausnahme wieder ein, die Datenverarbeitung berge „ein Risiko für Rechte und Freiheiten der betroffenen Personen.“ Hier sei nicht von einem besonders hohen oder intensiven Risiko die Rede. Auch der Begriff des Risikos ziehe sich wie ein roter Faden durch die Datenschutzgrundverordnung. Ein Risiko sei die Gefahr eines Schadenseintritts, etwa durch Berufsschädigung, Identitätsdiebstahl, Profilbildung, um einige nicht abschließende Beispiele zu nennen.
Die Datenschutzgrundverordnung nennt auch die klassischen Schutzziele der IT-Sicherheit: Vertraulichkeit, Integrität, und Verfügbarkeit sowie Belastbarkeit. „Der Datenschutzverantwortliche in den Kommunen muss diese Schutzziele auf einem angemessenen Schutzniveau realisieren.“ Das Datensicherheitsmanagement muss fortlaufend eingerichtet eingerichtet werden und die Software den Anforderungen genügen. „Die Kommunen müssen personelle und organisatorische Vorkehrungen schaffen, um fortlaufend diese unterste Schutzebene der Datensicherheit herzustellen.“ „Sie müssen dafür sorgen, dass ihre Technik von vorneherein diese Anforderungen einhält, Sie müssen auf datenschutzfreundliche Voreinstellungen achten“, mahnt Berger.