3 Fragen an ...

Herr Kuhrau, "alles halb so wild?" – Sie haben viele Kommunen rund um die DSGVO begleitet: Ist dies das Zwischenfazit kurz nach Anwendungsstart der DSGVO?
Mehr oder weniger, ja. Natürlich hat die DSGVO sehr viel Unruhe in den kommunalen Bereich, aber natürlich auch bei Unternehmen gebracht. Für diese Unruhe gibt es sicherlich unterschiedliche Ursachen. Einerseits herrschen oftmals noch Lücken in den Datenschutz-Grundlagen aus dem bisherigen BayDSG, das bereits seit 1993 Anforderungen an Verfahrensweisen und Dokumentation im Datenschutz an die Einrichtungen gestellt hat. Je weniger diese erfüllt waren, umso höher war der Aufwand, diese Lücken zu schließen.
Dabei handelte es sich jedoch größtenteils um Punkte, die so oder in ähnlicher Form auch im Rahmen der DSGVO fortzuführen waren, wenn auch teilweise unter neuen Bezeichnungen (Verfahrensverzeichnis = Verzeichnis der Verarbeitungstätigkeiten kurz VVT, Auftragsdatenverarbeitung = Auftragsverarbeitung etc.). Da diese Grundlagen von früher die Basis für einige neue Anforderungen aus der DSGVO gebildet haben, musste die eine oder andere Einrichtung schon einiges an Zeit und Ressourcen in das Thema investieren. So sind die Angaben aus den Informationspflichten nach Art. 13 bzw. 14 DSGVO eigentlich nur sauber zu erfüllen, wenn das VVT aktuell vorliegt. Da baute also eins auf das andere auf.
Was die Sache nicht einfacher machte, sind die teilweise noch unklaren Umsetzungsempfehlungen seitens der Aufsichtsbehörden. Die DSGVO selbst gibt in vielen Fällen lediglich einen auszufüllenden Rahmen vor. Eine reine Wiederholung der DSGVO-Formulierungen versetzt für gewöhnlich niemanden in die Lage, pragmatische Umsetzungsmöglichkeiten zu entwickeln und einzuführen. Und auch die Praxisvorschläge sind nicht immer sehr realitätsnah ausgestaltet. Denken Sie nur an die Empfehlung, die Informationspflichten nach Art. 13 DSGVO am Telefon durch eine Bandansage erledigen zu lassen. Welcher Bürger wird nach 5-6 Minuten Bandansage noch in der Leitung sein? Solche Empfehlungen tragen nicht unbedingt zu einer Akzeptanz des Themas bei den Mitarbeitern vor Ort bei.
Dies führt – nicht zu Unrecht – zu Verunsicherungen, die im Zweifel mit sich bringen, dass Dinge gemacht werden, die so gar nicht von den Machern der DSGVO vorgesehen waren bzw. sind. Es werden an Bürger Datenschutzerklärungen versandt oder Newsletter-Empfänger um eine neue Einwilligung gebeten, obwohl diese schon seit Jahren den Newsletter zur eigenen Zufriedenheit beziehen. Da die Datenschutzverantwortlichen in den Organisationen, allen voran die Datenschutzbeauftragten auch nicht überall gleichzeitig agieren können bzw. teilweise in die internen Organisationsabläufe noch nicht eingebunden sind, ist das auch nicht immer rechtzeitig abzufangen gewesen. Die mediale Berichterstattung hat es auch nicht unbedingt erleichtert. Überall war von Abmahnrisiko zu lesen bzw. Bußgeldrisiken bis 20 Mio. Euro (obwohl letztere öffentliche Stellen in Bayern gar nicht treffen). Das verunsichert die Anwender vor Ort erheblich und führte in dem einen oder anderen Fall auch zu Panikreaktionen, wie das Abschalten von Webseiten oder auch nur das teilweise Deaktivieren aller Kontaktformulare.
Und wer die aus der Vergangenheit geschätzte und qualitativ hochwertige Unterstützung der Aufsichtsbehörden sucht, muss Glück haben. "Um den Geschäftsbetrieb weiter aufrecht erhalten zu können haben wir aufgrund der immensen Anfragen zur Datenschutzgrundverordnung die Gesprächszeiten begrenzt", hallt es einem immer wieder mal aus dem Telefonhörer als Bandansage. Einerseits erhöht die Verunsicherung die Zahl der Nachfragen bei den Aufsichtsbehörden, da niemand etwas falsch machen will und um Rat bitten möchte. Anderseits hat sich auch die Zahl der Beschwerde-Eingaben seitens Betroffener erhöht. Dabei wird, wie früher auch, ein Anteil an "missbräuchlichen" Anfragen dabei sein. Also Anfragen im Rahmen der Betroffenenrechte, die mit dem Thema Datenschutz nichts zu tun haben, aber dieses als Vehikel für den Frust z.B. über einen unerwünschten Bescheid oder einen in der Servicequalität nicht so überzeugenden Behördengang missbraucht wird. Andererseits sind die Bürger heute informierter als noch vor ein paar Monaten und wissen ihre neuen Rechte im Rahmen der DSGVO zu nutzen.
Wenn sich eine Kommune dem Thema sachlich rational und dazu mit ausreichenden Ressourcen genähert hat, dann ist die DSGVO wirklich „halb so wild“. Wer zu viele „Altlasten“ vor sich hergeschoben hat, sich von der Lawine hat überrollen oder von der Panik anstecken lassen, für den wird die Umsetzung der DSGVO sicher noch einig Hürden bereithalten. Zu den meisten Themen der DSGVO gibt es mittlerweile gute Vorlagen und Handlungsanweisungen. Durch die Harmonisierung des Datenschutzrechts sind die Kommunen hier nun auch nicht mehr so sehr auf „regionale“ Anpassungen angewiesen. Zu weit über 90% gelten die Spielregeln der DSGVO und somit können die vorhandenen Materialien ohne weitere Änderung übernommen werden. Generell bleibt festzustellen, die DSGVO wirkt. Die Sensibilität in den Kommunen für das Thema Datenschutz hat zugenommen. Auch wenn deswegen keine Begeisterung für das Thema aufkommt, es wird ernst genommen und großflächig umgesetzt. Ein Erfolg der DSGVO, für die Betroffenen und am Ende des Tages auch für die Kommunen.
Wie werden Bürger in verschiedenen Kontaktsituationen über die Datenverarbeitung informiert?
Dieser Punkt sorgt in der Tat noch für sehr viel Verunsicherung. Ausgelöst von Art. 13 und 14 DSGVO sind hier gelegentlich die abenteuerlichsten Interpretationen und Umsetzung vor Ort zu finden. Bürgerbüros, die neuerdings am Ausgang eine zusätzliche Papiertonne aufstellen, damit die Bürger die am Schalter ausgehändigten Faltblätter mit den Angaben zu den Informationspflichten beim Hinausgehen direkt entsorgen können. Doch in den meisten Fällen wurde das Thema mit Augenmaß bearbeitet. Am Telefon wird der Bürger gefragt, ob die Detailinformationen verlesen werden sollen oder sich dieser die Pflichtangaben in dem eigens dafür eingerichteten Unterpunkt auf der kommunalen Webseite selbst anlesen möchte. Steht kein Online-Zugang zur Verfügung, werden die Angaben postalisch nachgereicht.
Die meisten Anbieter von Papierformularen haben bereits reagiert und die notwendigen Angaben auf die Rückseiten aufgedruckt. Online-Formulare sind durch entsprechende Beiblätter ergänzt. Im Bürgerbüro oder auf der Zulassungsstelle werden die Pflichtangaben ausgehängt und der Bürger im Rahmen der Datenerhebung auf die Aushänge verweisen. Auch hier wird meist zusätzlich die Webseite als weitere Informationsmöglichkeit genannt. Bei Postversand bzw. analoger Kommunikation werden die Angaben aus den Informationspflichten in gedruckter Form beigelegt und zusätzlich ebenfalls auf die Webseite verwiesen. Durch interne Arbeitsanweisungen, teilweise sogar kompletten Prozessbeschreibungen in Verbindung mit Schulungen haben die Kommunen sichergestellt, dass alle Mitarbeiter für das Thema sensibilisiert sind und die Informationen den Betroffenen auch wirklich erreichen. Alles in allem hat der Bürger wenig Gelegenheit, den Angaben aus den Informationspflichten "zu entkommen", um es überspitzt zu formulieren.
Wie sollten kommunale Verantwortliche mit Auskunftsansprüchen verfahren?
Auf jeden Fall von vornherein ernst nehmen. Das Recht aus Auskunft ist nichts Neues durch die DSGVO, wir kannten dieses Recht bereits aus den alten Datenschutzgesetzen. Doch die Bürger sind sensibler geworden und nutzen das Recht auf Auskunft jetzt häufiger, als es bisher der Fall war. Jede Organisation sollte klare Abläufe festgelegt haben, wie mit Auskunftsanfragen umgegangen wird. Das beginnt bei der Kenntnisnahme über die zeitnahe Weiterleitung an den Datenschutzbeauftragten, geht über die Legitimationsprüfung weiter bis hin zur erteilenden Auskunft.
Formalisierte Prozesse helfen, dieses und auch die anderen Betroffenenrechte im Sinne der DSGVO zeitnah und fehlerfrei zu bearbeiten. Nicht vergessen sollte man dabei jedoch die Mitarbeiter-Sensibilisierung für das Thema. Denn Datenschutz wird nicht vom Datenschutzbeauftragten gemacht, sondern ist Aufgabe der gesamten Organisation. Auch das musste die eine oder andere kommunale Einrichtung erst lernen.