Unzählige Daten werden in bayerischen Kommunen tagtäglich erfasst, verarbeitet und gespeichert: Namen, Wohnadressen, Personenstand, Alter, Steuerdaten, Fahrzeugdaten… Doch wie erfolgt die Verarbeitung dieser personenbezogenen Daten zukünftig auch DSGVO-konform? Welche Verantwortung genau tragen Bürgermeister und IT-Leiter? Welche Maßnahmen müssen sie bis zum 25. Mai konkret ergreifen? Diese Fragen zu klären war das Ziel der Veranstaltung, die am 19. März in den Räumlichkeiten des Süddeutschen Verlags in München stattfand. Der Titel: "EU Datenschutzreform – Datenschutz in der kommunalen Praxis in Bayern".
Knapp 400 Teilnehmer aus allen bayerischen Regierungsbezirken folgten der Einladung. Denn es ging nicht nur um rechtliche Themen, sondern ganz konkret um Lösungen. Dr. Eugen Ehmann, Regierungspräsident von Mittelfranken und Experte in Sachen Datenschutz, begrüßte die versammelten Bürgermeister, Geschäftsleiter, Datenschutzbeauftragten, IuK-Leiter und Kämmerer mit den Worten "Sie haben verstanden, dass Datenschutz alle in der Kommune angeht". Ehmann erklärte anschaulich, welche Maßnahmen Behörden noch vor dem 25. Mai ergreifen müssen: angefangen bei der Ernennung eines Datenschutzbeauftragten samt Stellvertreter über die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten (Was passiert mit personenbezogenen Daten? Wo werden sie gespeichert oder wo sind sie abgelegt? Wer hat Zugriff?) bis hin zu einem effektiven Datenschutzmanagement-Prozess. Nicht zu vergessen die prompte Meldung von Schutzverletzungen, wie im Falle einer Cyberattacke, durch eine verantwortliche Person, sprich die Behördenleitung.
Ehmann wies im Kontext des zukünftig zu führenden Verzeichnisses der Verarbeitungstätigkeiten auf dessen Besonderheit hinsichtlich "manueller" Verarbeitung personenbezogener Daten hin, beispielsweise in Gestalt von Karteikarten und Hängeregistraturen: "Die EU Datenschutz-Grundverordnung erfasst Daten auf Papier sehr wohl. Was aber ist, wenn ich Berge von Papier herumliegen habe, die hätten längst gelöscht werden müssen?" Löschen hieße in diesem Falle Zerstören. Was dies nun für die vielen Registraturen in den Verwaltungen bedeute, fragte Ehmann in die Runde, um den Betroffenen nach einer kurzen rhetorischen Pause auch gleich die Antwort zu geben: "Viel Spaß beim Aufräumen!"
Prof. Dr. Thomas Petri, Bayerischer Landesbeauftragter für den Datenschutz, erklärte, in welchem Umfang Bürger Auskunft über bearbeitete Daten einfordern können, welche Pflichten und Aufgaben ein Datenschutzbeauftragter gemäß DSGVO hat, nämlich zu beraten und zu überwachen, und wie er sicherstellen kann, dass angewandte Verfahren nach datenschutzrechtlichen Kriterien einwandfrei eingesetzt werden. Petri verwies in diesem Zusammenhang darauf, dass die DSGVO im Prinzip "wie ein Datenschutzgrundsatz in Form eines Managementprozesses" konzipiert sei. Aus dem in Art. 5 Abs. 2 definierten Grundsatz von Transparenz und Fairness resultierten zum einen die Betroffenenrechte wie Information und Auskunftspflichten, zum anderen die Handlungspflichten der Datenverarbeiter einschließlich notwendiger technisch-organisatorischer Maßnahmen: "Wenn Sie technisch-organisatorische Regeln nicht beachten, schlägt das durch auf die Rechtmäßigkeit der Datenverarbeitung," so Petri.
Michael Will, Ministerialrat im Bayerischen Innenministerium, erläuterte, inwieweit das neue Bayerische Datenschutzgesetz sich der DSGVO anpasst und welche Unterschiede es gibt. Ergänzend verwies er auf "kochrezepthafte Arbeitshilfen" seines Ministeriums zur praktischen Umsetzung. Mit Blick auf das BayDSG 2018, dessen zweite Lesung für den 22. März angesetzt ist und das am 25. Mai in Kraft tritt, riet Will den Teilnehmern den Blick eher auf die vorrangige EU Datenschutz-Grundverordnung zu richten: "Dort finden Sie die wesentlichen Neuerungen." Will gab auch einen Ausblick auf weitere geplante Unterstützungsleistungen, die bis hin zu einem Musterimpressum für Behörden-Webauftritte reichten.
Gudrun Aschenbrenner, Vorstandsmitglied der AKDB, ging in ihrem Vortrag einleitend auf den besonderen Stellenwert des Datenschutzes bei der AKDB ein, der bereits in ihrer Satzung verankert sei. Die AKDB gewährleiste die Sicherheit der Datenverarbeitung und die Einhaltung der Datenschutzgrundsätze zum einen durch datenschutzfreundliche Technikgestaltung und Voreinstellungen in ihren Produkten, zum anderen durch das Hosting im BSI-zertifizierten Rechenzentrum, das höchsten Sicherheitsansprüchen entspreche. Als Auftragsverarbeiter beschäftige sich die AKDB intensiv mit den Anforderungen der DSGVO und werde ihre Kunden bei ihrer Umsetzung unterstützen.
Zusätzlich dazu bietet die AKDB Kommunen eine neue Software an: ein Datenschutz Management System. Es führt Schritt für Schritt durch das gesamte Verzeichnis von Verarbeitungstätigkeiten. Zum Beispiel: Zu welchem Zweck wurde der Datensatz verarbeitet? Wie wurden die Daten erhoben? Wessen Daten wurden erhoben? Wo werden die Daten gespeichert? Der Anwender muss sukzessive Fragen beantworten und wird übersichtlich durch Prozesse gelotst, bevor seine Datenverarbeitung als datenschutzrechtlich einwandfrei eingestuft wird. Die Lösung ist mandantenfähig, wird browserbasiert über das BSI-zertifizierte Rechenzentrum der AKDB angeboten und ist damit sofort vor Ort einsatzfähig.
Aschenbrenner unterstrich die Tatsache, dass die AKDB neben Produktlösungen für Kommunen auch zahlreiche Dienstleistungen anbiete: in IT-Sicherheitsfragen über ihre Tochterfirma LivingData GmbH und in Datenschutzfragen über die neu gegründete GKDS Gesellschaft für kommunalen Datenschutz mbH. An diese könnten sich kommunale Entscheider bei der Einführung des Datenschutz Management Systems wenden, aber auch wenn sie einen externen Datenschutzbeauftragten bräuchten.
Die GKDS organisiert außerdem Schulungen zum Thema Datenschutz und berät kommunale Verwaltungen umfassend zum Thema.
Mit einer abschließenden Podiumsdiskussion der Referenten einschließlich vieler konkreter Fragestellungen aus dem Publikum endete die Info-Veranstaltung zur DSGVO. Den Teilnehmern der Veranstaltung stehen die Fachvorträge und Präsentationen der Referenten als Download auf der Webseite der AKDB kostenfrei zur Verfügung.
