1. Die/der Datenschutzbeauftragte sowie ihre/seine Stellvertretung werden in dieser Funktion ab 01.05.2018 direkt dem Oberbürgermeister zugeordnet.
2. Die Informationen zur Umsetzung der Europäischen Datenschutzgrundverordnung (DGSVO) werden zur Kenntnis genommen.
1. Ergebnis/Wirkungen
(Welche Ergebnisse bzw. Wirkungen sollen erzielt
werden?)
Am 25.05.2016 ist die DGSVO in Kraft getreten. Nach einer zweijährigen Übergangszeit ist sie ab 25.05.2018 unmittelbar europaweit anzuwenden. Aufgrund dieser unmittelbar geltenden DSGVO sind Anpassungen im Bund und in Bayern bei einer Vielzahl von Gesetzen mit speziellen datenschutzrechtlichen Regelungen erforderlich. Teilweise wurden die Anpassungen bereits vorgenommen, teilweise liegen erst Entwürfe vor; auch ein Gesetzentwurf für das neue Bayerische Datenschutzgesetz (BayDSG) samt Änderungen von 23 (bayerischen) Fachgesetzen liegt vor.
Neben der neuen Zuordnung der Datenschutzbeauftragten sind in der Verwaltung eine Vielzahl von organisatorischen Regelungen und Maßnahmen erforderlich, über die in diesem Sachbericht gleichzeitig informiert wird.
Die wichtigsten Änderungen der DSGVO im Überblick:
1. Bestellung einer/s behördlichen Datenschutzbeauftragten und einer
Stellvertretung:
Nach Art. 37 Abs. 1 Buchstabe a DSGVO ist in jedem Fall ein/e Datenschutzbeauftragte/r und ein/e Stellvertreter/in zu bestellen. Der unmittelbare Zugang und das Vortragsrecht zur höchsten Managementebene erfordert, dass Datenschutzbeauftragte in dieser Funktion direkt der Behördenleitung zugeordnet werden (Art. 38 Abs. 3 Satz 3 DSGVO).
2. Führung eines Verzeichnisses der Verarbeitungstätigkeiten:
Statt des bisherigen datenschutzrechtlichen Freigabeverfahrens ist die Führung eines „Verzeichnisses der Verarbeitungstätigkeiten“ nach Art. 30 DSGVO vorgeschrieben. In das neue „Verzeichnis der Verarbeitungstätigkeiten“ sind – anders als bisher beim Verfahrens-verzeichnis - auch nichtautomatisierte Verfahren aufzunehmen, soweit dabei personenbezogene Daten in einer nach bestimmten Kriterien zugänglichen Sammlung gespeichert sind oder gespeichert werden sollen. Damit sind auch strukturierte Behördenakten – gleich, ob sie elektronisch oder in Papierform geführt werden – in das Verzeichnis aufzunehmen (Beispiel: Personalakten, Bauakten).
Für dieses Verzeichnis ist vom jeweiligen Fachbereich die jeweilige Verarbeitung personenbezogener Daten anhand bestimmter Kriterien in einem Formular genau zu beschreiben und der/dem Datenschutzbeauftragten zur Prüfung vorzulegen.
3. Datenschutzfolgeabschätzung:
Nach Art. 35 und 36 DSGVO ist für Formen der Verarbeitung, die „insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben, vorab eine Datenschutz-Folgeabschätzung durchzuführen. Voraussetzungen und Durchführung der Datenschutz-Folgeabschätzung unterscheiden sich erheblich von der bisherigen datenschutzrechtlichen Freigabe. In einer bis 25.05.2021 laufenden Übergangszeit ist für bereits laufende Verarbeitungen, die ohne wesentliche Änderung fortgeführt werden und für die grundsätzlich eine Datenschutz-Folgeabschätzung durchzuführen wäre, in der in das „Verzeichnis der Verarbeitungstätigkeiten“ aufzunehmenden Beschreibung anzugeben, ob von der Verarbeitung möglicherweise ein hohes Risiko für die Betroffenen ausgeht.
4. Meldung von Datenpannen:
Nach Art 33 DSGVO ist eine Verletzung des Schutzes personenbezogener Daten grundsätzlich dem Landesbeauftragten für Datenschutz unverzüglich, d. h. möglichst binnen 72 Stunden nachdem die Verletzung bekannt wurde, zu melden (z. B. bei Abhandenkommen eines USB-Sticks, auf dem sich personenbezogene Daten befinden). Außerdem ist umgehend die Behebung der Datenpanne bzw. die Vermeidung vergleichbarer zukünftiger Datenpannen zu organisieren.
Unter bestimmten Voraussetzungen müssen auch die von einer Datenpanne betroffenen Personen unverzüglich davon benachrichtigt werden (Art. 34 DSGVO).
5. Erfüllung von Informationspflichten:
Zur Erfüllung der Grundsätze einer fairen und transparenten Verarbeitung von personenbezogenen Daten sehen Art. 13 und 14 DSGVO umfangreiche Informationspflichten bei der Erhebung personenbezogener Daten vor.
Daher müssen alle Datenschutzhinweise der städtischen Internetseiten sowie die Daten-schutzhinweise in allen städtischen Formularen (elektronische Formulare und Formulare auf Papier) überprüft und an die Informationspflichten der DSGVO angepasst werden.
Aufgrund der wesentlich umfangreicheren Informationspflichten nach DSGVO dürfen alte Formulare nicht weiterverwendet werden, wenn der in dem Formular enthaltene Datenschutzhinweis geändert werden muss.
6. Stärkung der Rechte der Betroffenen:
Nach Art. 15 DSGVO haben Betroffene das Recht, vom Verantwortlichen (= die Stadt) eine Auskunft zu verlangen, ob sie betreffende Daten verarbeitet werden. Die Auskünfte müssen bestimmte Angaben enthalten und sie müssen unverzüglich, d. h. binnen eines Monats (Art. 12 Abs. 3 Satz 1 DSGVO) erteilt werden.
Weitere Rechte der Betroffenen
sind das Recht auf Benachrichtigung, das Recht auf
Löschung, das Recht auf Einschränkung der Verarbeitung seiner personenbezogenen
Daten, das Recht auf Datenübertragbarkeit und das Recht, der Verarbeitung sie
betreffender personenbezogener Daten zu widersprechen (Art. 16 bis 21 DSGVO).
Beim Recht auf Löschung ist zu beachten, dass dieses Recht nicht nur für Daten in automatisierten Verfahren, sondern auch bei Daten in anderen Verarbeitungsformen, z. B. für Daten in Papierakten, gilt.
Die entsprechenden Anträge der Betroffenen sind unverzüglich, d. h. binnen eines Monats (Art. 12 Abs. 3 Satz 1 DSGVO) zu bearbeiten.
7. Schulung der städtischen Mitarbeiterinnen und Mitarbeiter:
Künftig ist die Schulung aller an der Verarbeitung personenbezogener Daten beteiligten Mitarbeiterinnen und Mitarbeiter Pflicht und vom Datenschutzbeauftragten ist zu überprüfen, ob Schulungen erfolgen.
8. Geänderte Aufgaben der/des Datenschutzbeauftragten:
Die Aufgaben und die Stellung der/des behördlichen Datenschutzbeauftragten nach Art. 37 bis 39 DSGVO unterscheiden sich wesentlich von dessen Aufgaben und der Stellung nach bisherigem Recht. Durch die DSGVO ist nunmehr ganz konkret festgelegt welche Aufgaben der behördliche Datenschutzbeauftragte hat.
Hierbei ist insbesondere zu erwähnen, dass die DSGVO dem behördlichen Datenschutz-beauftragten eine Überwachungs- und Kontrollpflicht auferlegt (Art. 39 Abs. 1 Buchst. b DSGVO).
2. Prozesse und Strukturen
(Wie sollen die Programme / Leistungsangebote erbracht
werden?)
Im Hinblick auf die ab 25.05.2018 unmittelbar geltende DSGVO sind neben der geänderten Zu-ordnung der/des behördlichen Datenschutzbeauftragten noch folgende Maßnahmen zur Um-setzung der DSGVO zu ergreifen:
• Anpassung des Aufgabenbereiches der/des behördlichen Datenschutzbeauftragten ein-schließlich Festlegung welche zusätzlichen Aufgaben der/dem behördlichen Datenschutz-beauftragten übertragen werden.
• Erlass einer Dienstanweisung zum Datenschutz, die an die Regelungen der DSGVO angepasst ist.
• Festlegung der Verantwortlichen und der Verwaltungsabläufe hinsichtlich der Meldung von Datenpannen.
• Festlegung der Verantwortlichen und der Verwaltungsabläufe für
- die Führung des Verzeichnisses der Verarbeitungstätigkeiten,
- die Durchführung evtl. erforderlicher Datenschutz-Folgeabschätzungen,
- die Erfüllung von Auskunftsansprüchen,
- die Erfüllung der Informationspflichten.
• Überprüfung und Anpassung der bestehenden Verträge zur Auftragsverarbeitung (Art. 28 DSGVO). Hierbei sind insbesondere die mit KommunalBIT bestehende Vereinbarung zur Datenverarbeitung im Auftrag und die Fernwartungsvereinbarung an die Vorgaben des Art. 28 DSGVO anzupassen.
• Überprüfung aller kommunaler Satzungen oder Verordnungen, sowie von Dienstvereinbarungen und Dienstanweisungen, ob sie mit der DSGVO vereinbar sind.
Die Umsetzung der DSGVO und die damit u.a. verbundene Pflicht zu datenschutzgerechten Voreinstellungen (Art. 24 DSGVO), die zu überprüfen und zu aktualisieren sind, erfordert eine verstärkte Zusammenarbeit der/des behördlichen Datenschutzbeauftragten mit dem städtischen IT-Sicherheitsbeauftragten, dem städtischen Informationssicherheitsbeauftragten und dem für Organisationsfragen zuständigen Personal- und Organisationsamt sowie mit KommunalBIT als dem IT-Dienstleister der Stadt Erlangen. Es muss daher noch festgelegt werden, ob hierfür die Einrichtung einer internen Arbeitsgruppe ausreicht oder ob die Einrichtung einer Stabsstelle erforderlich ist.
Außerdem ist im Zusammenhang mit der Festlegung von Verwaltungsabläufen zu bestimmen, ob in den einzelnen Fachbereichen Mitarbeiterinnen oder Mitarbeiter als Ansprechpartner/innen der/des behördlichen Datenschutzbeauftragten benannt werden (z. B. die/der DV-Beauftragte und/oder Fachadministratorinnen/Fachadministratoren).
3. Ressourcen
(Welche Ressourcen sind zur Realisierung des
Leistungsangebotes erforderlich?)
Für die zu fassenden Beschlüsse dieser Vorlage sind keine
zusätzlichen Ressourcen erforderlich.
Welche zusätzlichen Ressourcen für die aufgezeigten
sonstigen Maßnahmen evtl. erforderlich sind, kann zurzeit nicht beurteilt
werden.
Bei den Städten werden durch die DSGVO erhebliche
Mehraufwände erwartet. Diese können auch einen Stellenmehraufwand nach sich
ziehen.
Allerdings will die Verwaltung zunächst beobachten, ob und
ggf. in welchem Umfang Stellen-mehrbedarfe erforderlich sind.
Außerdem wird zurzeit geprüft, ob für die Erstellung und
Führung des Verzeichnisses der Verarbeitungstätigkeiten eine Software mit
Workflow genutzt werden kann. Auch für die Durchführung der notwendigen
Schulungen wird der Einsatz einer Software geprüft.
Haushaltsmittel
werden nicht benötigt