Herausforderungen für die Praxis

Für die Verwaltungen bedeutet die Umstellung auf die neue Rechtslage in der Praxis eine große Herausforderung. So korrespondiert die abstrakte Beschreibung der Sicherheit personenbezogener Daten in Art. 32 mit der konkret durchzuführenden Datenschutzfolgeabschätzung nach Art. 35, deren Ergebnisse nach Erwägungsgrund 84 bei der Auswahl geeigneter Maßnahmen zu berücksichtigen sind.

Voraussetzung für die Notwendigkeit einer Datenschutzfolgeabschätzung ist zunächst die Durchführung einer Schwellwertanalyse der Risiken, die von der beabsichtigten Datenverarbeitung ausgehen. Nur bei einem „hohen“ Risiko muss die Datenschutzfolgeabschätzung durchgeführt werden. In der Praxis haben Nachfragen zu Programmen, die seitens des Landes zentral zur Verfügung gestellt werden, ein solches Risiko bisher nicht ergeben, so dass das Land stets die Notwendigkeit einer Datenschutzfolgeabschätzung verneint hat. Nach § 9 des Landesdatenschutzgesetzes ist es außerdem möglich auf die Erstellung zu verzichten, wenn u. a. bereits ein Ministerium oder eine andere öffentliche Stelle eine Datenschutzfolgeabschätzung durchgeführt hat. Damit sollte im Vollzug ein arbeitsteiliges Vorgehen unter den Verwaltungen angestrebt werden. Aktuell erstellen die Aufsichtsbehörden eine Liste von Datenverarbeitungsvorgängen, die nach ihrer Auffassung zwingend eine Datenschutzfolgeabschätzung erfordern. Diese und andere praktische Umsetzungshinweise finden sich auch auf der Homepage des Landesbeauftragten für den Datenschutz und die Informationsfreiheit.

In zwei weiteren Bereichen müssen die Verwaltungen konkret tätig werden. So müssen Sie die Verträge zur Auftragsverarbeitung nach Art. 28 (vorher: Auftragsdatenverarbeitung) der aktuellen Rechtslage anpassen und ein Verfahrensverzeichnis nach Art. 30 führen. In Bezug auf die Vertragsgestaltung für Auftragsverarbeitung regelt Art. 28 Abs. 3 DS-GVO detailliert einen zu beachtenden Mindestumfang, der in einem entsprechenden Vertrag zu regeln ist. Hinsichtlich der Form wird ein elektronisches Format als ausreichend erachtet (Art. 28 Abs.9). Der mit diesen Änderungen verbundene bürokratische Aufwand war enorm, dürfte ein Jahr nach dem Wirksamwerden der DSGVO aber weitgehend abgearbeitet sein.

Dabei hat es sich bewährt, die im kommunalen Umfeld tätigen Dienstleister zur Vorlage angepasster Verträge aufzufordern, da diese erfahrungsgemäß nicht bereit sein dürften, mit unterschiedlichen Verträgen zu einem inhaltlich gleichen Auftrag zu arbeiten. Eine Aufzeichnung über Programme, mit denen personenbezogene Daten verarbeitet werden, sollte eigentlich schon im Sinne der Führung eines „Inventars“ selbstverständlich sein. Auch hatte das bisherige Datenschutzrecht bereits ein „Verfahrensverzeichnis“ vorgesehen; dieses hat die Datenschutzgrundverordnung abgelöst, modifiziert und erweitert um nichtautomatisierte Verarbeitung, wenn die Verarbeitungsergebnisse in einem Dateisystem gespeichert werden. Inhaltlich muss das Verfahrensverzeichnis einen Verantwortlichen benennen und wesentliche Angaben zur Verarbeitung dokumentieren, wozu insbesondere der Zweck der Verarbeitung zählt.

Eine breite Diskussion  hat die DSGVO im Zusammenhang mit der Öffentlichkeitsarbeit der kommunalen Gebietskörperschaften und deren Einrichtungen gebracht. Für die Internetpräsenz mussten neue Datenschutzerklärungen implementiert werden, die Aufklärung darüber vermitteln, welche Daten bei einem Besuch der Homepage erfasst und gespeichert werden. Noch mehr Unsicherheit entstand im Zusammenhang mit der Veröffentlichung von Bildern, auf denen einzelne Personen erkennbar sind. Im Kern gilt auch hier das Recht am eigenen Bild, dem nur mit der Einwilligung Genüge getan werden kann; die Ausnahme bilden hier Großveranstaltungen bei denen mit „Bildberichterstattung“ gerechnet werden muss. Der kommunale Veranstalter ist dabei gut beraten, wenn er bei der Veranstaltung und bei der Einladung hierauf besonders hinweist.

Zu guter Letzt soll noch auf die zu bestellenden Datenschutzbeauftragten hingewiesen, die nach dem neuen Recht eine neue „Rolle“ übernehmen müssen. Dieser Wechsel lässt sich mit mehr Kontrolle und nicht nur Beratung auf den Punkt bringen.

Allein durch die parallel zu berücksichtigen Rechtsquellen – DSGVU, Landes- und Bundesdatenschutzgesetze, sowie bereichsspezifische Regelungen – sind die Aufgaben des Datenschutzes insgesamt deutlich gewachsen. Interkommunaler Austausch und Zusammenarbeit sind daher auch in diesem Bereich das Gebot der Stunde.

Autor: Dr. Daniela Franke, Harald Pitzer Drucken voriges Kapitel