4. Herausforderungen für die Praxis
Die Digitalisierung der Kommunalverwaltungen nimmt immer stärker zu und damit auch die Zahl der datenschutzrechtlichen Herausforderungen in der alltäglichen Praxis. Auch bei der Umsetzung des Onlinezugangsgesetzes gibt es noch unbeantwortete datenschutzrechtliche Fragen. Bei der konkreten Nachnutzung von Einer-für-Alle (EfA)-Leistungen kommen praktische Fragestellungen auf, ob das abgebende Bundesland z. B. die Risiken beabsichtigten Datenverarbeitung geprüft hat oder welche technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO initiiert wurden.
Zudem beschäftigt viele Kommunalverwaltungen die Prüfung der datenschutzkonformen Anwendung des Produktes Microsoft 365, die nicht On-Premise[1] in der Kommunalverwaltung eingesetzt, sondern in der Cloud genutzt werden. Die Feststellung der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) im November 2022 war, dass der Standardauftragsverarbeitungsvertrag von Microsoft nicht den Anforderungen des Art. 28 Abs. 3 DSGVO entspricht. Es gibt zwei verschiedene Arten von Datenverarbeitungen: Zum einen die auf Weisung des Kunden zu verarbeitenden Daten zu Zwecken des Kunden und die Datenverarbeitung zu eigenen Zwecken seitens Microsoft (internes Reporting, Telemetrie- und Diagnosedaten). Telemetriedaten sind automatisch erhobene und übertragene Daten (z. B. Zeitstempel), die mitunter auch personenbezogene Daten enthalten können.
Verantwortliche i. S. d. DSGVO können daher derzeit nicht den Nachweis führen, Microsoft 365 in der Cloud datenschutzkonform zu nutzen, weil der derzeitige Standardauftragsverarbeitungsvertrag von Microsoft nicht konkret darauf hinweist, wie personenbezogene Daten von Microsoft für eigene Zwecke verarbeitet werden. Der Standardauftragsverarbeitungsvertrag muss i. S. d. DSGVO allerdings in Bezug darauf transparent sein, dass Microsoft darstellt, welche personenbezogene Daten für eigene Zwecke verarbeitet werden und auf welcher Rechtsgrundlage dies geschieht.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit hat eine Handreichung für die Verantwortlichen zum Abschluss eines Auftragsverarbeitungsvertrages gem. Art. 28 Abs. 3 DSGVO mit Microsoft für den Einsatz von „Microsoft 365“ auf seiner Homepage veröffentlicht. Hier werden verschiedene Handlungsempfehlungen zur Unterstützung für die Kommunen formuliert, z. B. in Bezug auf die gebotenen vertraglichen Zusatzvereinbarungen zum Standardauftragsverarbeitungsvertrag oder auf technische und organisatorische Maßnahmen, um die Weitergabe von personenbezogenen Daten an Microsoft durch eigene technische Maßnahmen zu unterbinden. Es bleibt hier offen, wie sich Microsoft hinsichtlich der vertraglichen Zusatzvereinbarungen für eine datenschutzkonformere Nutzung weiter positioniert und den öffentlichen und nicht-öffentlichen Stellen entgegenkommt.
Das Datenschutzverständnis außerhalb der Europäischen Union differiert erheblich. Ungeachtet des Standardauftragsverarbeitungsvertrages bleibt die Problematik der Übermittlung von personenbezogenen Daten in sogenannte Drittländer offen. In seinem sogenannten Schrems II-Urteil (C-311/18) hat der EuGH klargestellt, dass personenbezogene Daten nur an Drittländer übermittelt werden dürfen, wenn in diesem Drittland ein im Wesentlichen gleichwertiger Datenschutz gewährleistet ist, wie innerhalb der Europäischen Union.
Die kommunalen Datenschutzbeauftragten stehen insgesamt vor großen Herausforderungen, was die zentralen Zukunftsthemen Künstliche Intelligenz (KI) und Cloud-Infrastruktur angeht. Der Datenschutz wird z. B. im Zusammenhang mit KI noch gefordert werden, denn die Verwendung von KI-Software kann Vorteile für die Kommunen bringen, gerade aufgrund des Fachkräftemangels, aber eben auch Nachteile, wie nachstehend thematisiert wird. Die erste Frage ist, ob die Datenverarbeitung personenbezogener Daten in KI-Software rechtmäßig aufgrund einer Ermächtigungsgrundlage erfolgt. Die zweite Fragestellung ist, ob die in der KI verarbeiteten Daten geschützt sind. Sobald KI auf personenbezogene Daten zugreift, besteht die Gefahr des Datenmissbrauchs und des Datendiebstahls. Dies kann zu einem erheblichen Schaden und Vertrauensverlust bei den betroffenen Personen führen. Erste Schritte zur Entwicklung von vertrauenswürdiger KI durch private und öffentliche Akteure wurden durch den Rat und das EU-Parlament durch den sogenannten Artificial Intelligence Act (AI Act) auf europäischer Ebene eingeleitet. Der EU-Verordnungsentwurf soll sicherstellen, dass die KI-Systeme, die auf dem europäischen Markt und in der EU eingesetzt werden, auch sicher sind und die Grundrechte und EU-Werte respektieren. Als erster Legislativvorschlag seiner Art in der Welt kann er laut der EU-Kommission einen globalen Standard für die KI-Regulierung in anderen Jurisdiktionen setzen, so wie es die DSGVO getan hat. Sofern der AI Act förmlich verabschiedet ist, wird er voraussichtlich im Mai 2024 in Kraft treten. Für den Einsatz von KI auch im öffentlichen Bereich der Verwaltung muss es daher klare Regeln und Standards geben, sodass die Technologie verantwortungsvoll und ethisch eingesetzt sowie der Datenschutz stets im Blick behalten wird
Aber auch das Thema Cybersicherheit darf nicht außer Acht gelassen werden, denn die Datensicherheit ist in Zeiten von steigenden Cyberangriffen besonders wichtig. Hier sei auch betont, wie eng die kommunalen Datenschutzbeauftragten aufgrund der Querschnittsthemen mit den Fachbereichen, der jeweiligen IT-Abteilung und den kommunalen Informationssicherheitsbeauftragten oder Verantwortlichen für Informationssicherheit zusammenarbeiten müssen.
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz organisiert durch das Netzwerktreffen der behördlichen Datenschutzbeauftragten einen regen Informationsaustausch zwischen den Kommunen. Auf der Homepage des Landesbeauftragten für den Datenschutz und die Informationsfreiheit finden sich eine Reihe praktischer Umsetzungshinweise für die kommunale Praxis.
[1] On-Premise bedeutet die lokale Nutzung bzw. die Lizenzierung für die lokale Nutzung von Software.