DSGVO in Kommunen und Behörden

Praxisgespräch mit Daniela Duda, Geschäftsführerin der rehm-Datenschutz GmbH und seit mehr als 20 Jahren in unterschiedlichen Bereichen des Datenschutzes tätig.

 

Frau Duda, in welchen Bereichen arbeiten Sie mit Kommunen und Behörden zusammen?
Daniela Duda: Neben Aus- und Fortbildungen für kommunale Beschäftigte legen wir gerade die Grundsteine, um künftig auch Mandate als benannte externe Datenschutzbeauftragte (DSB) anzunehmen. Eine große Änderung, die mit der Datenschutz-Grundverordnung (DSGVO) einhergeht, ist sicher die Zulässigkeit der Benennung externer Datenschutzbeauftragter auch im Bereich der öffentlichen Stellen. Früher musste der behördliche DSB zwingend mit einem Beschäftigten des öffentlichen Dienstes besetzt sein, seit 25. Mai 2018 dürfen auch Kommunen und Behörden auf externe Dienstleister zurückgreifen.

 

Welche Erfahrung sammeln Sie im behördlichen Umfeld?
DD: Zum einen, dass ganz viel Wille da ist. Und wenn einmal das Wissen in einer Kommune oder Behörde mittels eines Workshops aufgebaut und ein Fahrplan zur Umsetzung der Anforderungen erstellt wurde, läuft der Aufbau einer Datenschutzorganisation meist reibungslos. Das ist dann ganz unabhängig von der Größe der öffentlichen Stelle.

Zum andern stellen wir natürlich auch fest, dass teilweise Ungewissheit herrscht, wie der eine oder andere Sachverhalt nun ganz konkret anzugehen ist. Das halte ich aber für ganz normal im Rahmen einer solch großen Gesetzesreform. In der Beratungspraxis stelle ich fest, dass gerade die Erfahrungen, die ich in der betreffenden Arbeitsgruppe des Ministeriums sammeln darf, ungeheuer wertvoll sind. Doch selbst dort können nicht alle Fragen abschließend beantwortet werden.

 

Was sind die größten Herausforderungen bei der Umsetzung der Anforderungen der DSGVO?
DD: Öffentliche Stellen kommen zum Beispiel bei der Dokumentation für das Verzeichnis von Verarbeitungstätigkeiten (VVT) häufig von der Beschreibung von Systemen. Das ist meiner Meinung nach eine gute Basis aber vielleicht nicht die beste Vorgehensweise, um das VVT an die DSGVO anzupassen. Wenn man sowieso ein ganz neues VVT aufsetzen möchte, sollte man bei der Dokumentation auf jeden Fall beim Zweck der jeweiligen Verarbeitungstätigkeit ansetzen.

 

Was heißt das konkret?
DD: Im Gesetz ist nicht genau definiert, wie eng umrissen oder wie weit gefasst eine einzelne Verarbeitungstätigkeit zu dokumentieren ist. Jedenfalls ist eine Bündelung von Zwecken möglich, und für einige Beschreibungen bietet es sich an, mehrere Zwecke zu einer Verarbeitungstätigkeit zusammenzufassen. Ganz konkret heißt das für die Kommunen, dass sie sich Gedanken machen sollten, welche Formulare und Eingabemasken sie wozu verwenden. Wenn sie sich dann überlegen, welcher Zweck damit verfolgt werden soll, ergibt sich häufig schon eine sinnvolle Struktur. Anschließend gilt es nur noch, den Datenfluss von Anfang bis Ende zu beschreiben, also von der Erhebung bis zur Löschung. Ein Softwareprodukt ist nur ein unterstützendes Werkzeug in einer solchen Verarbeitungstätigkeit. Ohnehin sind mit der DSGVO auch die meisten „analogen“ Datenverarbeitungen in das VVT aufzunehmen.

 

Bedeutet das einen großen Aufwand für die Kommunen?
DD: Initial kommt natürlich ein gewisser Mehraufwand auf die Kommunen zu; insbesondere dann, wenn noch größere Nacharbeiten anstehen, weil das frühere Verfahrensverzeichnis bisweilen vernachlässigt wurde. Ein ordentlich geführtes VVT dient aber als Basis für alle Datenschutzbeauftragten – und erleichtert seine Arbeit ungemein.

 

Wie kommt das?
DD: Die Inhalte des VVT sind in der DSGVO gesetzlich geregelt. Darüber hinaus verlangt die DSGVO aber im Rahmen der Nachweispflicht auch Angaben zu Datenverarbeitungen, die über die Inhalte des Artikel 30 DSGVO hinausgehen. Um die erforderlichen Nachweise erbringen zu können, halte ich das VVT für ideal. Dies dient dann als Grundlage zum Beispiel für die Erbringung der Informationspflichten und für die Erfüllung von Auskunftsersuchen durch Bürger oder Beschäftigte.

 

Das klingt zunehmend komplex, wie soll eine kleine Kommune das meistern?
DD: Wir empfehlen auf jeden Fall, die Aufgaben auf mehrere Schultern zu verteilen. Die Kommunen sollten ihre Beschäftigten schulen oder schulen lassen. Nach einem Tag Workshop ist das Kernteam so fit, dass es mithilfe von Sachgebietskollegen die Dokumentation zügig angehen kann. Zudem zeigt die Dokumentation für das VVT oftmals auch Verbesserungspotenzial für die internen Verwaltungsabläufe auf, erhöht die Sicherheit, und hilft nicht zuletzt auch bei der transparenten Information für die Bürger.

 

Haben auch Sie Fragen, wie Sie die genannten Themen konkret in Ihrer Behörde umsetzen? Wir bieten Ihnen praktische Beratung  in allen weiteren datenschutzrechtlichen Belangen.  Informieren Sie sich über unser Portfolio oder nehmen Sie direkt Kontakt mit uns auf.