"Eigentlich ist die Durchführung der DSGVO kein Hexenwerk", sagt Regina Reitenhardt. Und sie muss es schließlich wissen: Viele Kommunen haben seit ihrer Gründung im März 2018 die GKDS beauftragt, Anforderungen der DSGVO umzusetzen. Die Nachfrage nach Angeboten bleibt stabil. Der Bedarf ist weiterhin groß. Und seitdem der Bayerische Landesbeauftragte für den Datenschutz Prof. Dr. Thomas Petri angekündigt hat, dass der Umsetzungsgrad der DSGVO sowohl für Unternehmen als auch Kommunen vermehrt geprüft wird, wächst die Sorge. Vor allem stellen sich viele Kommunen die Frage, wer in der Lage ist, sie bei der Durchführung der Datenschutzmaßnahmen optimal zu begleiten. Denn es gibt mittlerweile einen Wildwuchs an Anwaltskanzleien und mehr oder minder seriösen Beratungsunternehmen, die ihre Dienste zum Thema Datenschutz anbieten. "Es gibt drei wichtige Kriterien, um festzustellen, ob ein Anbieter der richtige ist: absolute Transparenz bei den Kosten, Bereitstellung einer Vielzahl bereits ausgefüllter Muster und schließlich die Garantie, dass bei Fragen zu jeder Zeit ein Ansprechpartner mit kommunaler Berufserfahrung zur Verfügung steht." Genau aus diesem Grund entscheiden sich immer mehr Kommunen für die GKDS. Als Tochterunternehmen der AKDB ist sie nicht nur bestens qualifiziert und bestens vertraut mit den Arbeitsprozessen in Kommunen, sie steht ihren Kunden auch rund um die Uhr zur Verfügung. "Jede Kommune hat ihren ganz persönlichen Ansprechpartner, kennt dessen Handynummer und kann ihn oder sie im Notfall auch am Wochenende erreichen", so Reitenhardt. "Schließlich muss man eine Datenpanne innerhalb von 72 Stunden beim Bayerischen Landesdatenschutzbeauftragten melden. Egal ob gerade Freitagnachmittag oder Feiertag ist oder nicht."
Schrittweise Umsetzung der DSGVO in der Kommune
Phase 1: die Bestandsanalyse - Auch bei der Umsetzung der DSGVO achtet die GKDS auf absolute Transparenz und eine gut durchdachte Vorgehensweise. In einem ersten Schritt macht die GKDS eine Bestandsaufnahme der Situation in der Kommune. Es werden Fragen geklärt wie: Gibt es ein Schulungskonzept für Mitarbeiter zum Thema Datenschutz? Ist ein Prozess definiert worden, der bei einer Datenpanne greift? Haben alle Mitarbeiter eine Vertraulichkeitserklärung unterschrieben? Gibt es ein vollständiges Verzeichnis von Verarbeitungstätigkeiten? "Nach dieser Bestandsaufnahme vor Ort, an der idealerweise IT-Leiter, Bürgermeister, Geschäftsleiter und der interne Datenschutzbeauftragte teilnehmen, geht es an die konkrete Umsetzung der DSGVO-Anforderungen", so Reitenhardt. "Dabei achten wir darauf, dass die Kommune nur das zahlt, was sie tatsächlich in Anspruch nimmt: Hat sie bereits Bereiche der DSGVO umgesetzt - etwa Infoblätter für Bürger angefertigt oder schon die Mitarbeitersensibilisierung durchgeführt -, dann wird diese Leistung im Folgeangebot nicht berechnet. Am Ende dieser Phase bekommt die Kommune einen Empfehlungsbericht mit allen Punkten, die noch umgesetzt werden müssen. Maßgeschneidert."
Phase 2: die Umsetzung der DSGVO-Anforderungen - In einem zweiten Schritt werden die Anforderungen der DSGVO umgesetzt. Das Herzstück dabei ist die webbasierte Kommunikationsplattform der GKDS. Hier findet die Kommune alles, was sie zur Umsetzung braucht. Inklusive Präsentationen, PDFs, Schulungsunterlagen. "Es ist ein wenig wie eine Liste von Hausaufgaben", so Reitenhardt. "Schön verpackt in Arbeitspakete. Diese muss die Kommune nicht selbst abarbeiten, sondern ein Mitarbeiter der GKDS nimmt den Kunden dazu an die Hand und setzt mit der Kommune die einzelnen Arbeitsschritte um." Dazu gehört etwa die Erarbeitung einer Datenschutzleitlinie, die Umsetzung der Betroffenenrechte oder die Aufgabe, Mitarbeiter zu sensibilisieren: mit Power-Point-Präsentationen oder einem E-Learning-Programm. Dazu gehört aber auch das Erstellen des Verzeichnisses von Verarbeitungstätigkeiten. "Der Vorteil für die Kommune: Die GKDS hat bereits die Dokumente zu den Verarbeitungstätigkeiten vorausgefüllt. Die Kommune muss nur noch ihre Ansprechpartner ergänzen." Für die einzelnen Arbeitsschritte innerhalb eines Arbeitspakets können Zuständigkeiten und Termine vergeben werden. Eine Terminübersicht ist ebenfalls vorhanden und es gibt eine Anzeige, die den jeweiligen Umsetzungsstand der Arbeitspakete erkennen lässt. Hinzukommt, dass jedes Dokument, das zu einem Arbeitspaket in die Plattform eingestellt bzw. bearbeitet wird, eine neue Version erhält. Dazu erhält der Kunden bzw. die GKDS eine Nachricht per Email und erspart ein ständiges Nachsehen. Ist dagegen das Paket vollständig abgearbeitet, so kann man es per Drag-and-Drop in den Ordner "erledigt" verschieben und die finalen Dokumente für die Aufsichtsbehörde schließlich in einen virtuellen Aktenschrank. Hier ist alles sauber versioniert und strukturiert zentral abgelegt. "Sollte also die Aufsichtsbehörde Einsicht wünschen, ist alles perfekt dokumentiert", erklärt Regina Reitenhardt. In dieser zweiten Phase ist die Kommune selbstverständlich nie ganz auf sich allein gestellt. Der persönliche Ansprechpartner bei der GKDS hat jederzeit Einblick in die Tätigkeiten auf der Plattform. Er prüft die einzelnen Schritte. Und kann über eine Chatfunktion jederzeit mit dem Kommunalvertreter kommunizieren. Das macht eine Anwesenheit vor Ort überflüssig. Und erlaubt eine schnelle Bearbeitung.
Phase 3: die Bereitstellung eines externen Datenschutzbeauftragten - Viele kleinere Kommunen wünschen sich überdies auch einen externen Datenschutzbeauftragten. Das ist dann der dritte Implementierungs-Schritt. "Viele unserer Auftraggeber sind kleine oder mittlere Gemeinden bis 25.000 Einwohner", so Reitenhardt. "Außerdem: Altenheime, Stiftungen, Zweckverbände. Sie haben nicht die personellen Kapazitäten, einen eigenen Datenschutzbeauftragten zu beauftragen. Wir übernehmen das gerne für sie. Sollte aber ein behördlicher Datenschutzbeauftragter vorhanden sein, der Unterstützung benötigt, beraten wir ihn. Außerdem besteht die Möglichkeit, dass sich die Kommunen zusammenschließen und einen gemeinsamen externen Datenschutzbeauftragten beauftragen." Sollten die Kommunen Datenschutzanfragen von Mitarbeitern oder Bürgern haben, können sie diese in die Plattform einstellen und ein Mitarbeiter der GKDS beantwortet sie je nach Umgang sofort oder innerhalb weniger Tage.
Für Kommunen ab einer Größe von 25.000 Einwohnern übrigens bietet die AKDB eine leicht bedienbare und browserbasierte Software an: privacy kommunal.
Informationssicherheit-Sicherheit und Datenschutz aus einer Hand
Datenschutz und Informationssicherheit in Kommunen sind zwei Themenbereiche, die eng miteinander verzahnt sind: Informationssicherheit gewährleistet schließlich den Schutz aller Informationen in einer Organisation und damit auch den wirkungsvollen Schutz persönlicher Daten. "Datenschutz ohne Informationssicherheit funktioniert nicht", stellt Regina Reitenhardt fest. Aus diesem Grund bietet die GKDS neuerdings auch Unterstützung bei der Erstellung eines Informationssicherheitskonzepts. Das ist nämlich für alle Kommunen ab 1. Januar 2020 nach Art. 11 des BayEGovG Pflicht. Die Prozessdurchführung und -dokumentation aller Maßnahmen erfolgt ebenfalls über die bewährte Kommunikationsplattform. Dabei stützt sich das Informationssicherheitskonzept auf die Arbeitshilfe der Innovationsstiftung Bayerische Kommune. Neu ist, dass das Landesamt für Sicherheit in der Informationstechnik (LSI), auf Basis einer Selbstauskunft das Siegel "Kommunale IT-Sicherheit" an die Kommunen kostenfrei verleiht. Es handelt sich um den Nachweis einer Mindestabsicherung in der Informationssicherheit. Dieses Siegel ist eine perfekte Ergänzung zu dem Angebot der GKDS.
Regina Reitenhardt zieht eine positive Bilanz nach einem Jahr DSGVO. Sowohl Datenschutz, als auch Informationssicherheit haben in den Kommunen einen höheren Stellenwert erhalten. "Das Wichtigste ist, dass eine Kommune sich mit der Thematik auseinandersetzt und mit der Umsetzung der Anforderungen zumindest beginnt." Sie ist zuversichtlich, dass bald ein Großteil ihre "Hausaufgaben" gemacht haben wird. Von Vorteil ist auch, dass der Freistaat eine interkommunale Zusammenarbeit der Kommunen für beide Bereiche finanziell fördert. Vor allem kann Regina Reitenhardt eines nicht oft genug wiederholen: "Die DSGVO ist kein Hexenwerk. Fängt man erst einmal an, dann verliert sie schnell ihren Schrecken!"
