EU-DSGVO für Kommunen: Welche Änderungen die EU-DSGVO erzwingt

Mit der Daten­schutz­grund­verordnung (DSGVO) hat die EU 2016 eine ein­heit­liche Rechts­grund­lage ge­schaf­fen. Sie gilt ab dem 25. Mai 2018. Mehr und mehr Ver­ant­wort­liche in den Be­hörden fra­gen sich nun: Welche Pro­zesse muss ich in Gang setzen, wie sieht ein DSGVO-kon­formes Daten­schutz­management aus?

Was ändert sich für Behörden durch die DSGVO?

Von Thomas Hofer, Leiter des Rechtsinformatikzentrums der Ludwig-Maximilians-Universität München

Es mag beruhigen, dass viele der datenschutzrechtlichen Konzepte und Prinzipien der EU-DSGVO im Großen und Ganzen bereits unter der EU-Datenschutzrichtlinie (Richtlinie 95/46/EG) bekannt sind, deren Vorgaben in Deutschland mit den Datenschutzgesetzen des Bundes und der Länder umgesetzt wurden. Für eine rechtmäßige Verarbeitung personenbezogener Daten muss mindestens eine der in Art. 6 Abs. 1 DSGVO genannten Bedingungen vorliegen. Die Datenschutzgrundverordnung führt somit den bekannten Grundsatz fort, dass die Verarbeitung personenbezogener Daten verboten ist, sofern nicht ein entsprechender Erlaubnistatbestand vorliegt (sogenanntes „Verbot mit Erlaubnisvorbehalt“).

Ein Datenschutzrecht für alles und alle?

Der Anwendungsbereich der DSGVO umfasst nach Art. 2 Abs. 1 DSGVO die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Nicht hiervon erfasst sind nach Erwägungsgrund (ErwGr) 15 DSGVO lediglich „Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind“. Strukturierte Behördenakten – gleich, ob sie elektronisch oder in Papierform geführt werden – fallen daher vollumfänglich unter die Regelungen der DSGVO.

KITK1703 ID106-Thomas-Hofer.JPG

Thomas Hofer ist Volljurist und Leiter des Rechtsinformatikzentrums der Ludwig-Maximilians-Universität München, außerdem ein langjähriger Referent und Dozent mit Spezialisierung auf IT-Compliance-Recht.


Akad. Dir. Thomas Hofer, riz@jura.uni-muenchen.de, www.jura.uni-muenchen.de/fakultaet/riz/index.html

Vom Anwendungsbereich der DSGVO sind lediglich Behörden ausgenommen, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit personenbezogene Daten verarbeiten. An nicht wenigen Stellen innerhalb der EU-DSGVO werden Ausnahmen formuliert, die den Mitgliedstaaten spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften der Verordnung erlauben. Neben den landesspezifischen Datenschutzgesetzen (BayDSG, DSG NRW, LDSG RLP etc.) enthalten bisher beispielsweise auch das Sozialgesetzbuch oder das Bundesmeldegesetz sowie die bereits vorhandenen und entstehenden Gesetze zum E-Government bereichsspezifische Datenschutzvorgaben. Über die Öffnungsklauseln in der DSGVO sind hier insbesondere im öffentlichen Sektor Anpassungen an die Spezifika der Mitgliedsländer möglich.

Was passiert mit den vorhandenen Datenschutzgesetzen?

Generell bedürfen alle landesspezifischen Datenschutzgesetze sowie Fachgesetze mit datenschutzbezogenen Normen bis zur Umsetzungsfrist einer mehr oder weniger umfangreichen Anpassung. Bis dahin gelten sie aber weiter und finden Anwendung. Die diesbezüglichen Gesetzgebungsverfahren auf Bundes- und Länderebene sind noch nicht abgeschlossen. Auch die Selbstverwaltungskörperschaften – insbesondere die Kommunen – sind aufgefordert, ihr Satzungsrecht auf eventuellen Anpassungsbedarf hin zu prüfen und gegebenenfalls mit der DSGVO in Einklang zu bringen.

Aufgrund ihrer unmittelbaren Geltung hat die DSGVO einen Anwendungsvorrang gegenüber dem nationalen Recht. Dies bedeutet, dass nationales Recht, welches in Widerspruch zur Datenschutzgrundverordnung steht, ab deren Geltungsbeginn nicht mehr zur Anwendung kommen darf.

Kommunale ITK 2017-10.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Reihe „Kommunale ITK“ zur CeBIT 2017. Einen Über­blick mit freien Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Wer leistet Hilfestellung bei der Auslegung?

Wenn etwas neu ist, ist es für alle neu. Die Auslegung der vielfach unbestimmten Rechtsbegriffe und neuen Instrumente ist daher für die Praxis eine der größten Herausforderungen. Die DSGVO hat die einheitliche Auslegung dem „Europäischen Datenschutzausschuss“ übertragen, der zukünftig das zentrale Datenschutzgremium in Europa bildet.

Die Erwägungsgründe, die in der DSGVO vor den Artikeln stehen, stellen zwar selbst keine Regelungen dar, sondern beinhalten die Motive und Gründe für die Einführung der entsprechenden Normen. Damit helfen die Erwägungsgründe nicht nur bei der Auslegung der DSGVO, sondern müssen sogar mit herangezogen werden.

Die Aufsichtsbehörden befassen sich zurzeit intensiv mit dem neuen Datenschutzrecht. Gemeinsam erarbeitete Auslegungshilfen werden von der Datenschutzkonferenz des Bundes und der Länder (DSK) bereits als Kurzpapiere veröffentlicht. Sie beantworten auch aktuelle Auslegungsfragen.

Was ändert sich in der Datenschutzpraxis?

  1. Das Verfahrensverzeichnis stellt in der bisherigen Datenschutzpraxis das wichtigste Arbeitswerkzeug des behördlichen Datenschutzbeauftragten dar. Mit der DSGVO wird es zum „Verzeichnis der Verarbeitungstätigkeiten“ (Art. 30 DSGVO). Während das alte Verfahrensverzeichnis in weiten Teilen noch auf Antrag jedermann zugänglich zu machen war, besteht diese Pflicht bei den Verzeichnissen von Verarbeitungstätigkeiten nur noch gegenüber den Aufsichtsbehörden. Es wird also nicht mehr zwischen internen und öffentlichen Verzeichnissen unterschieden.
  2. Die DSGVO sieht für alle öffentlichen Stellen die Pflicht zur Bestellung von Datenschutzbeauftragten vor. Sie erlaubt es dem nationalen Gesetzgeber aber, weitere Bedingungen für die Bestellung zu treffen oder zu behalten. Die bisherigen Landesdatenschutzgesetze sehen für den behördlichen Bereich fast ausschließlich interne Datenschutzbeauftragte vor. Dies hat nicht immer zur Effizienz im behördlichen Datenschutz beigetragen. Einzelne Bundesländer haben bereits signalisiert, in den novellierten Landesgesetzen auch die Bestellung externer behördlicher Datenschutzbeauftragter zuzulassen. Dies wird einen weiteren Markt für private Dienstleister eröffnen.
  3. Die DSGVO führt mit Art. 25 erstmals europaweit die Konzepte eines Datenschutzes durch „Technikgestaltung“ sowie durch „datenschutzfreundliche Voreinstellungen“ ein. Diese Grundsätze werden künftig bei der Entwicklung und dem Einsatz von datenverarbeitenden Systemen erhebliche praktische Bedeutung haben. Ein wirksamer Datenschutz setzt i.d.R. bereits bei der Programmierung bzw. Konzipierung datenverarbeitender Systeme an. Aus behördlicher Sicht sind die Vorgaben künftig vor allem bei der Ausschreibung von IT-Projekten zu beachten, beispielsweise zur Erstellung von Fachanwendungen oder Apps.
  4. Nachweis des geforderten Schutzniveaus: Die DSGVO rückt die Verantwortlichkeit der verarbeitenden Behörde in den Vordergrund und führt in Art. 5 Abs. 2 DSGVO erstmalig die Rechenschaftspflicht als zentralen Grundsatz der Datenverarbeitung auf. Technische Standards und damit ein „datenschutzrechtliches Lastenheft“ gibt die DSGVO jedoch nicht vor. Der Verantwortliche muss sich also fortlaufend informieren, etwa darüber, ob die von ihm eingesetzten Verschlüsselungsmaßnahmen noch dem aktuellen Stand der Technik entsprechen, und jeweils entscheiden, welche Maßnahmen er in seiner Abwägung für geeignet, erforderlich und verhältnismäßig hält. In der Praxis werden insoweit aller Voraussicht nach die in Art. 25 Abs. 3 DSGVO genannten Zertifizierungsverfahren nach Art. 42 DSGVO wie auch genehmigte Verhaltensregeln nach Art. 40 DSGVO eine wichtige Rolle spielen.

Wie können sich Behörden und Verwaltungen auf die DSGVO vorbereiten?

In der verbleibenden Zeit ist es für Behörden wichtig, Lücken zu identifizieren und wichtige Prozesse anzustoßen. Sie sollten ein effektives Datenschutzmanagement integrieren und vor allem die einzelnen Schritte dokumentieren. Dabei können unter anderem die folgenden Fragestellungen helfen:

  • Habe ich eine vollständige und aktuelle Dokumentation der Datenverarbeitungsprozesse?
  • Welche Daten wurden in welchem Kontext erhoben und auf welcher Grundlage (Gesetz, Vertragsbeziehung oder Einwilligung/Opt-in)? Sind diese aktuell und vollständig?
  • Habe ich klare Verantwortlichkeiten für die Berechtigungen für Zugriff, Korrektur und Löschung von Daten?
  • Habe ich klare Speicherstrukturen? Kann ich (berechtigte) Löschungsverlangen einzelner Daten nachhaltig umsetzen, also aus allen Datenbanken, ggf. auch Backups?
  • Unterliege ich zusätzlichen Dokumentationserfordernissen für „Risk und Privacy Impact Assessment“?
  • Passen die bestehenden Vereinbarungen zur Auftragsverarbeitung noch (Haftungsregelung, Dokumentation)?
  • Habe ich einen definierten Prozess bei Datenpannen und kann ich meine Meldepflichten erfüllen?

Die Verarbeitung personenbezogener Daten aufgrund von Einwilligungen hat für öffentliche Stellen (weiterhin) untergeordnete Bedeutung. Dennoch ist zu prüfen,

  • ob betroffene Personen hinreichend klar über die geplante Verarbeitung und über das Recht unterrichtet sind, eine erteilte Einwilligung jederzeit zu widerrufen,
  • ob bereits vorliegende Einwilligungen auch unter der Datenschutzgrundverordnung wirksam bleiben oder nach Maßgabe des neuen Rechts nochmals einzuholen sind,
  • ob es einen Prozess für den Widerruf der Einwilligung gibt, und
  • ob die Inhalte bestehender Dienstevereinbarungen noch kompatibel sind.

Der Weg zum Informationssicherheitskonzept

Der Aufwand wird von Behörde zu Behörde variieren, je nachdem, wie viele relevante Datenverarbeitungsprozesse und Verträge zu prüfen sind und welche Relevanz geänderte Vorschriften für die Behördenprozesse haben. Er hängt auch von Umfang und Stand der bisherigen Dokumentation der Datenverarbeitungsprozesse ab.

Die Novellierung des Datenschutzes mit der DSGVO ist nur ein Baustein. Durch die zunehmende Digitalisierung der behördlichen Verwaltungsprozesse sowie durch die enorm gestiegene Cyberkriminalität steht der öffentliche Sektor vor einer enormen Herausforderung. Wirksamer Datenschutz ist gedanklich eingebettet in ein wirksames Informationssicherheitskonzept – ein wesentliches Instrument, damit Behörden künftig vor dem Hintergrund einer immer komplexer werdenden Struktur von IT-Serviceleistern überhaupt in der Lage sein werden, auf verlässliche und rechtskonforme Verwaltungsprozesse zu vertrauen.

Nützliche Links