AKDB aktuell Juni 2018

DSGVO: Kommunen brauchen immer noch Unterstützung

Gut drei Wochen nachdem die Datenschutz-Grundverordnung zur Anwendung gekommen ist, sind noch viele Fragen offen. Eine Stichprobenumfrage hat ergeben, wie weit Kommunen bei der Einführung aller nötigen Maßnahmen sind. Und wo sie noch Unterstützung brauchen. Hier die Ergebnisse.

Eines kann man mit Sicherheit sagen: Der große Ansturm von Bürgern ist ausgeblieben. Die meisten Kommunen in Bayern haben keine Anrufe von Bürgern oder Firmen erhalten. Und der Großteil der Bürger war auch nicht besonders an Aufklärungsunterlagen interessiert. Elisabeth Mayer, Datenschutzbeauftragte des Landratsamts Regensburg und damit auch der meisten Städte und Gemeinden im Landkreis, stellt fest: "Viele Bürger lesen die Informationsblätter zur Verarbeitung ihrer Daten gar nicht erst. Die Kommunen bedauern das. Sie würden sich auf Bürgerseite mehr Sensibilität für dieses Thema wünschen."

Das Nötigste ist getan – wie geht es jetzt weiter?

In einem sind sich alle einig: Das Nötigste ist getan, fast alle sind ihrer wichtigsten Auskunftspflicht nachgekommen und haben einen aktualisierten Datenschutzhinweis auf die Website genommen. Und größtenteils Informationspflichten für den Bürger schriftlich aufbereitet. Darüber hinaus tappen viele aber noch im Dunkeln. Datenschutz, das ist allen klar, ist – genau wie IT-Sicherheit – ein stetiger Prozess, der aus vielen Bausteinen besteht. Und für diesen Prozess fehlen vielen Kommunen die personellen Ressourcen. Ganz unabhängig von ihrer Größe. Der zertifizierte Datenschutzbeauftragte Rainer Mattern, der Kommunen im Auftrag der GKDS – der Gesellschaft für kommunalen Datenschutz – berät, bestätigt: "Die meisten haben unterschätzt, dass es mit einem Hinweis auf der Website nicht getan ist. Vielmehr muss ein gesamtheitliches Datenschutz-Managementsystem aufgestellt werden: Informationspflichten nachzukommen, ist nur ein Baustein. Dann kommen die Verarbeitungsverzeichnisse für sämtliche Verfahren hinzu. Und die Datenschutz-Folgeabschätzungen. Und nicht zuletzt die Auftragsverarbeitung, wenn Subunternehmen Daten von Bürgern weiterverarbeiten ... Es ist uferlos. Und die meisten Kommunen haben einfach keine Zeit, all das zu meistern."

Der Bedarf an externen Datenschutzbeauftragten ist groß

Andreas Gutsell, externer Datenschutzbeauftragter im Allgäu, bestätigt: "Leider sehe ich, dass die Zuständigkeiten in Kommunen noch nicht geklärt sind. Irgendwie landet alles auf dem Tisch des IT-Administrators. Größere Kommunen haben bereits gute Arbeitsprozesse angestoßen, kleinere brauchen noch viel Unterstützung beim prozessorientierten Denken und bei der systematischen Umsetzung der DSGVO."

Das ist der Grund, weswegen die GKDS alle Hände voll zu tun hat. Sie wird in Bayern als zentrale Anlaufstelle zum Thema Datenschutz-Grundverordnung angesehen, so Geschäftsführerin Regina Reitenhardt. Täglich bekommen sie und ihre Mitarbeiter an die zehn Anrufe – und zwar nicht nur von AKDB-Kunden. Mindestens 200 Aufträge sind in der Pipeline. Sie kommen direkt über die Website, über die AKDB-Veranstaltungsreihe "Techniktage" oder sie haben sich bei der Nachbargemeinde umgehört. Es sind Kommunen, Zweckverbände, Stiftungen, Stadtwerke, aber auch kommunale Bildungseinrichtungen.

Prozesse definieren – strukturiert vorgehen

Kunden der AKDB haben bereits im Vorfeld die Änderung zur Auftragsverarbeitung und Verzeichniseinträge von Verarbeitungstätigkeiten (VVT) für die AKDB-Fachverfahren erhalten. Aber die meisten Anrufer wollen wissen, ob sie alles richtig machen im Alltag: Wo müssen Daten gespeichert werden? An wen soll man sich wenden bei Datenschutzpannen? Was müssen sie beachten, wenn sie Daten von Bürgern erheben? Entspricht der Text auf der Website den Anforderungen?

"Momentan bewältigen die Verwaltungen die Vorgaben der DSGVO nach bestem Wissen und Gewissen, zumal es ja auch noch keine Rechtsprechung gibt“, meint Elisabeth Mayer. „Spannend wird erst der Umgang mit Datenpannen, dabei liegt ja noch keinerlei Erfahrung vor. Das wird in jedem Fall die Sensibilität für den Datenschutz schärfen."

Umso wichtiger, findet Rainer Mattern, dass kommunale Verwaltungen strukturiert an die Sache herangehen. Die GKDS zum Beispiel hat ein Drei-Phasen-Angebot aufgestellt: Einer umfassenden Bestandsanalyse folgt die Definition von Aufgaben. Und in einem dritten Schritt kann man entweder einen externen Datenschutzbeauftragten buchen oder einen behördlichen benennen. Die Mehrzahl der hilfesuchenden Kommunen wünscht sich nach der Bestandsanalyse tatsächlich auch ein Folgeangebot, so Regina Reitenhardt.