Was ist das Ziel der EU-Datenschutzgrundverordnung?
Das Ziel der DSGVO ist es, die rechtlichen Rahmenbedingungen für die Verarbeitung personenbezogener Daten sowohl für private Unternehmen, als auch für öffentliche Stellen EU-weit zu vereinheitlichen. So soll ein freier Datenverkehr innerhalb der EU und die transparente Verarbeitung personenbezogener Daten garantiert werden.
Reichen das Bundesdatenschutzgesetz und das Bayerische Datenschutzgesetz nicht aus?
Mit Erlass der europäischen Verordnung ist eine nationale Umsetzung nicht mehr erforderlich. Die Regelung gilt unmittelbar, auch in der Bundesrepublik. Das Bundesdatenschutzgesetz und das Bayerische Datenschutzgesetz werden zwar angepasst, stellen aber keine nationalen Umsetzungsgesetze dar, sondern konkretisieren die DSGVO an einigen Stellen "nur". Das heißt, maßgebliches Regelwerk für Wirtschaft und öffentlichen Sektor in Deutschland wie in Bayern ist die DSGVO.
Ab wann tritt die DSGVO in Kraft?
Die DSGVO trat am 25.5.2016 in Kraft. Am 24.05.2018 endet die Übergangsfrist zur Umsetzung der DSGVO. Die Neugestaltung des Datenschutzes wird damit erstmals auf einen europäisch einheitlichen Standard gehoben.
Worum geht es im Kern der DSGVO?
Im Mittelpunkt stehen künftig die Sicherstellung des Schutzes der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten*. Sind die Daten besonders sensibel und werden sie in großer Anzahl verarbeitet, ist eine besondere Risikoabschätzung notwendig, welche Auswirkungen die Datenverarbeitung auf die einzelne, betroffene Person hat.
Was müssen Kommunen jetzt tun?
Auf öffentliche Stellen – und damit auch auf Kommunen – kommen unabhängig von ihrer Größe** neue und geänderte Aufgaben zu. Die wichtigsten sind:
- weitreichende Informationspflichten bei Datenerhebung gegenüber betroffenen Personen
- die Einhaltung von fristgebundenen Auskunftsansprüchen betroffener Personen
- das Melden von Verletzungen des Schutzes personenbezogener Daten an die zuständige Aufsichtsbehörde und die betroffene Person
- das Erstellen und Führen eines Verzeichnisses von Verarbeitungstätigkeiten, das das bisherige behördliche Verfahrensverzeichnis ablöst
- die Durchführung einer Datenschutz-Folgenabschätzung.
Auch unterliegen Kommunen einer Rechenschafts- und Dokumentationspflicht, nicht zuletzt gegenüber der zuständigen Aufsichtsbehörde, deren Befugnisse künftig erweitert werden. Zuständig für bayerische öffentliche Stellen bleibt der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri. Dieser übt zukünftig nicht nur die Aufsicht aus, sondern kann auch Sanktionen bei Verstößen gegen Datenschutzvorschriften verhängen.
Was ist, wenn Kommunen sich nicht an die DSGVO halten?
In der EU-Datenschutzgrundverordnung sind Abhilfebefugnisse vorgesehen, bis hin zur Untersagung der Verarbeitung von Daten.
Was tut die AKDB schon jetzt für Kommunen?
Die Anpassung der Datenschutzprozesse in den Fachverfahren genießt in der AKDB höchste Priorität. Derzeit prüft die AKDB, welche neuen Produkte und Dienstleistungen geeignet sein könnten, damit Kommunen die DSGVO rechtskonform und mit vertretbarem Aufwand in ihren Behörden umsetzen können. Weitere, vor allem organisatorische und behördenspezifische Maßnahmen (siehe nächste Frage) müssen jedoch von den Kommunen selbst erbracht bzw. in die Wege geleitet werden. In AKDB-Report und Newsletter halten wir Sie selbstverständlich auf dem Laufenden. Schon heute möchten wir Sie auf eine wichtige Informationsveranstaltung hinweisen, die die AKDB gemeinsam mit der Verlagsgruppe Hüthig Jehle Rehm und der rehm Datenschutz GmbH ausrichtet:
"EU-Datenschutzreform – Datenschutz in der kommunalen Praxis in Bayern" am 19. März 2018 im Verlagsgebäude der Süddeutschen Zeitung in München. Hier geht es zum Veranstaltungsprogramm und zur Anmeldung.
Was können Kommunen schon jetzt tun?
- Verschaffen Sie sich einen Überblick, in welchen ihrer sämtlichen Verfahren (egal, ob Fachverfahren oder intern genutzte Verfahren, elektronisch oder in Papierform) personenbezogene Daten verarbeitet werden.
- Die Aufgaben des behördlichen Datenschutzbeauftragten werden ausgeweitet. Machen Sie sich hierzu Gedanken aus organisatorischen Gesichtspunkten: Welche Kapazitäten stehen zeitlich und personell zur Verfügung? Beauftragen Sie einen internen oder externen Datenschutzbeauftragten?
- Die Meldung von Verletzungen des Schutzes personenbezogener Daten hat innerhalb von 72 Stunden nach Bekanntwerden zu erfolgen. Beraten Sie in Ihrer Organisation, welche Personen hier in verschiedene Entscheidungen eingebunden werden sollen. Wer meldet an die Aufsichtsbehörde und gegebenenfalls an die betroffene Person? Wer trifft die letztendliche Entscheidung, ob ein relevanter Datenschutzvorfall vorliegt und ob eine Meldung erfolgen muss oder nicht?
- Informieren und sensibilisieren Sie alle Ihre Mitarbeiter frühzeitig! Die Veränderungen werden die gesamte Organisation und unterschiedliche Abläufe betreffen.
___________________________________________
* Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt insbesondere mittels Zuordnung zu einer Kennung wie einen Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind identifiziert werden kann. (Art. 4 Abs. 1 EU-DSGVO)
** Der Ausnahmebereich des Art. 30 Abs. 5 EU-DSGVO findet im öffentlichen Bereich keine Anwendung.
