Datenschutz und IT-Compliance im Kommunalbereich

Wie sicher ist die kommunale IT? Wer Vertrauen zugebilligt bekommt, steht auch in einer besonderen Verantwortung, es zu rechtfertigen: Von allen staatlichen Ebenen wird den Kommunen von den Bürgerinnen und Bürgern mit Abstand das größte Maß an Vertrauen entgegengebracht. Nun stehen die Verantwortlichen im Kommunalbereich in der Verantwortung, ihr gutes Bild zu bestätigen und die Erwartungen der Bevölkerung gerade im Hinblick auf Datenschutz und Datensicherheit zu erfüllen. Aber nicht erst seit der Corona-Pandemie ist anhand von Hacker-Angriffen und Datenlecks im Kommunalbereich deutlich geworden, dass alle Verwaltungen von Datenbeständen massiven Angriffen von außen und schwer wiegenden Datenlecks ausgesetzt sein können. Die zunehmende Komplexität der Dienstleistungen im EGovernment-Bereich macht, nicht zuletzt auch mit Blick auf die Datensicherheit, neue Strategien bei der Entwicklung von Services und Produkten erforderlich. Da bislang viele IT-Modernisierungen aus der Verwaltung selbst entstanden sind, ist dies ursächlich für die große Zahl an Sonder- und Einzellösungen. Die digitale Verwaltung wird auch durch die zunehmende Vernetzung von Daten zunehmend komplexer. Die Bedrohung für IT-Systeme steigt gleichzeitig an. Gerade die Anforderungen an die IT-Sicherheit verlangen ein hohes Maß an Kompetenz, auch in kleineren und mittleren Kommunen. Welche Risiken gibt es? Z.B.:• Frei oder leicht zugängliche Administrations-Bereiche;• öffentlich zugängliche Internet-Terminals mit Verbindung zum internen Datennetz oder zu weiteren Behörden;• Phishing-Angriffe auf Login-Daten;• Anbringung von W-Lan-Routern Welche Bereiche sind besonders sensibel?• kommunale Konten;• Personenregister;• Daten der Sozial-, Gesundheits- und Ordnungsbehörden;• interne vertrauliche Verwaltungsinformationen (z.B.Personaldaten) etc. Datenschutzgrundverordnung (DSGVO) Was habe ich damit zu tun? Wann hafte ich für Datenschutzverstöße? Verantwortlich für das gesamte Verwaltungshandeln und damit auch für das Handeln aller Mitarbeitenden ist zunächst der Hauptverwaltungsbeamte. Damit ist der Hauptverwaltungsbeamte auch verantwortlich für den Datenschutz im Sinne des Art. 4 Nr. 7 DSGVO: Verantwortlich für den Datenschutz ist hiernach die natürliche oder juristische Person, Behörde oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Soweit die Gemeinde als Behörde personenbezogene Daten verarbeitet, ist der Behördenbegriff funktionsbezogen zu verstehen. Fachbereiche, Ämter, Personalvertretung etc. sind daher ebenso wie Eigenbetriebe und eigenbetriebsähnlich geführte Einrichtungen jeweils eigene verantwortliche Stellen. Für die Einschaltung eines Auftragnehmers zur Datenverarbeitung ist wiederum der Auftraggeber verantwortlich. Allgemein gilt u.a. für die Aktenführung der Grundsatz der Datenminimierung, wonach nur relevante Daten erhoben und verarbeitet werden dürfen. Datenschutz ist auch dadurch zu gewährleisten, dass der Zugriff zu den Daten nur den Personen gewährt wird, die tatsächlich mit den Verwaltungsvorgängen befasst sind. In Bereichen mit Publikumsverkehr ist ebenso wie bei Gesprächen und Telefonaten auf Diskretion zu achten. Besonders sensible Bereiche der Kommunalverwaltung In Einzelbereichen der Kommunalverwaltung sind exemplarisch weiterhin die nachfolgend aufgeführten Problembereiche zu beachten. a) Sozialrecht (Sozialämter, Jugendämter, Arge) Wie in allen Bereichen gilt der Grundsatz der Direkterhebung, d.h. grundsätzlich dürfen Daten nur bei den Betroffenen selbst erhoben und nicht von Dritten eingeholt werden. Ansonsten besteht gemäß Art. 14 DSGVO die Pflicht, die Betroffenen über die Datenerhebung zu informieren. Der Datenschutz ist weiter z.B. durch die (Teil-) Schwärzung von Unterlagen zu wirtschaftlichen Verhältnissen (Kontoauszüge u.a.) zu gewährleisten, soweit diese Daten nicht vollständig für die verfolgten Zwecke benötigt werden. Datenschutzrechtlich problematisch ist auch die Kennzeichnung einer Überweisung als „Sozialleistung“. Im Falle von Hausbesuchen ist besonders auf Diskretion zu achten. Anvertraute Sozialdaten in der Jugendhilfe müssen ggf. außerhalb der Hauptakte gespeichert werden. b) Gesundheitsdaten Gesundheitsdaten gehören zu den sehr sensiblen personenbezogenen Daten, die nach Art. 9 DSGVO einem besonderen Schutz unterliegen. Sie dürfen nun unter besonderen Voraussetzungen verarbeitet werden, was im öffentlichen Gesundheitswesen z.B. im Infektionsschutzgesetz geregelt ist. Aber auch z.B. im öffentlichen Rettungsdienst ist die besondere Geheimhaltungsbedürftigkeit von Gesundheitsdaten zu beachten. c) Schulwesen Auch im Schulwesen gibt es aktuell besondere Problemfelder. Zu nennen sind hier wiederum als Beispiele die Geheimhaltungsbedürftigkeit der Bekanntgabe von Noten, Auskünfte an die Eltern Volljähriger, der Umgang mit einsehbaren Namenslisten z.B. bei Elternsprechtagen, die Datenverarbeitung durch Lehrkräfte gerade in Zeiten des Distanzunterrichts auf Geräten oder in Räumlichkeiten, die nicht zur Schule gehören, die Verwertung von Fotoaufnahmen u.a. d) Ratsarbeit Die Ratsarbeit steht im Spannungsverhältnis zwischen dem Transparenzbedürfnis der Öffentlichkeit und dem Datenschutzrecht individuell Betroffener. So werden Tagesordnungen, Vorlagen und amtliche öffentlicher Sitzungen im Rahmen der gesetzlichen Vorgaben von den Kommunen veröffentlicht, wobei viele Kommunen mit Rats- und Bürgerinformationssystemen arbeiten. Bei den Ratsinformationssysteme handelt es sich normalerweise um geschlossene Systeme, auf die nur die Rats- bzw. Ausschussmitglieder zugreifen können. Unter Einhaltung der Identifikations- und Geheimhaltungsvorgaben ist ihre Nutzung daher datenschutzrechtlich relativ unproblematisch. Auf öffentliche Bürgerinformationssysteme kann hingegen jedermann online zugreifen. Die dort eingestellten Unterlagen dürfen daher grundsätzlich keine personenbezogenen Daten enthalten und müssen ggf. geschwärzt oder anderweitig anonymisiert werden. Auch hierbei sind die Verantwortlichkeiten zu beachten: Soweit ein Ratsmitglied personenbezogene Daten im Rahmen der Ratstätigkeit verarbeitet, wird diese Datenverarbeitung dem Rat und somit der Kommune zugerechnet. Die Kommune ist also verantwortlich für die Einhaltung der Datenschutzvorschriften. Etwas anders liegt der Fall, wenn ein Ratsmitglied offensichtlich privat oder im Zusammenhang mit seiner Tätigkeit als Parteimitglied (z.B. im Wahlkampf) personenbezogene Daten verarbeitet. In solchen Fällen wird die Datenverarbeitung und damit ein möglicher Verstoß nicht der Kommune zugerechnet, sondern dem Ratsmitglied als Privatperson. Beschäftigtendatenschutz Nicht zuletzt ist auch im Kommunalbereich der Beschäftigtendatenschutz zu beachten, der sowohl gegenüber den Beamten als auch den Angestellten gilt. Hier ist die Generalklausel des § 26 Bundesdatenschutz (BDSG) zu beachten. Personenbezogene Daten von Beschäftigten (einschließlich Bewerbern und ehemaligen Beschäftigten) dürfen hiernach nur erhoben, verarbeitet und genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung oder zur Erfüllung gesetzlicher oder tariflicher Rechtspflichten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten im Beschäftigungsverhältnis nur verwendet werden, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten am Ausschluss dieser Verwendung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. Im Unterschied zu Datenverarbeitungen allgemeiner Art kann für die Rechtfertigung im Beschäftigungsverhältnis auch nicht ohne Weiteres auf eine Einwilligung der Betroffenen zurückgegriffen werden. Allgemeine Wirksamkeitsvoraussetzungen einer datenschutzrechtlichen Einwilligung sind nach Art. 7 DSGVO, dass der Betroffene frei entscheiden kann, dass er über den Inhalt und Umfang der Einwilligung hinreichend und deutlich informiert ist und dass die Zwecke der Datenverarbeitung, in die eingewilligt wird, klar beschrieben sind. Nach § 26 Abs. 2 BDSG ist bei einer datenschutzrechtlichen Einwilligung im Beschäftigungsverhältnis aber besonders die „Freiwilligkeit“ der Einwilligung zu prüfen: Praktisch kommt sie nur in Betracht, wenn es um die Inanspruchnahme freiwilliger Leistungen des Arbeitgebers oder z.B. die private Nutzung der IT-Infrastruktur des Arbeitgebers (Mail, Internet) geht. Für alle sonstigen dienstlichen Belange wird eine freiwillige Einwilligung regelmäßig nicht abgegeben werden können. Um bei der Überprüfung der arbeitsrechtlichen Pflichten der Beschäftigten in den Kommunen auch datenschutzrechtlich keine Verstöße zu begehen, bedarf es daher klarer Regelungen: So muss die private Nutzung von Internet und E-Mail-Programmen eindeutig untersagt und dieses Verbot auch kontrolliert werden, damit die Tätigkeit ggf. auf dienstliche Relevanz geprüft werden darf. Wenn die Privatnutzung (wie meistens) gestattet oder zumindest geduldet wird, ist die Einsichtnahme in die Computer der Beschäftigten ohne deren Einverständnis und ohne konkreten Verdacht auf begangene Straftaten meistens unzulässig. Gleichwohl dürfen und müssen technische Schutzmaßnahmen wie z.B. Internet-Filterprogramme installiert werden, um die IT-Sicherheit zu gewährleisten. Außerdem ist es dringend geboten, Administratorenrechte zu beschränken und zu kontrollieren. Schließlich stellen sich Fragen des Datenschutzes und der Datensicherheit, wenn Beschäftigte (z.B. im Home oder Mobile Office) eigene IT-Geräte wie Smartphones oder Laptops für den dienstlichen Gebrauch verwenden. Auch hier empfehlen sich klare Richtlinien und Vereinbarungen: eine Mitwirkungspflicht des Beschäftigten an Sicherheitseinrichtungen (z.B. Remote-Zugang für IT-Administratoren), Änderungsverbot oder technische Änderungssperre bezüglich bestimmter Konfigurationen, Zugriffsrechte von Vorgesetzten und Kollegen für Vertretungsfälle (Urlaub, Krankheit), Rückabwicklung/Rückgabe bei einer längeren Unterbrechung oder bei der Beendigung des Dienstverhältnisses. Erschienen in:Kommunal.POLITIK Ausgabe 4-5/ 2022 Der Beitrag Datenschutz und IT-Compliance im Kommunalbereich erschien zuerst auf Baum Reiter & Collegen.

zum Artikel gehen

Rechtstipps für Online-Händler: Die Entscheidungen aus dem März 2022

Der Monat März hielt eine ganze Reihe an unterschiedlichen Rechtsnews bereit. Dabei ging es etwa um die Zulässigkeit von E-Mail-Werbung, die Buchpreisbindung und den Datenschutz.Weiterlesen

zum Artikel gehen

Ethische Aspekte der Nutzung von Künstlicher Intelligenz in Unternehmen 

Künstliche Intelligenz hat das Potenzial, die Geschäftswelt zu revolutionieren. Sie kann Prozesse optimieren, Entscheidungen verbessern und neue Möglichkeiten eröffnen. Doch während wir die Vorteile der KI nutzen, müssen wir auch die ethischen Aspekte ihr

zum Artikel gehen

#UseCaseTuesday: Pincvision reagiert auf die Veränderungen durch den Brexit!

Pincvision, Nr. 1 Partner bei der Übernahme von Trade-Compliance-Prozessen von multinationalen Unternehmen, ist voll und ganz auf die Veränderungen durch den Brexit ausgerichtet. Über eine OutSystems-Anwendung, die zusammen mit unserem Partner Transfer So

zum Artikel gehen

Globale Digitalstrategie: Worauf es jetzt ankommt

Das Bundesministerium für Digitales und Verkehr entwickelt derzeit federführend für die Bundesregierung eine internationale Digitalstrategie. Das ist wichtig, weil China vehement versucht, globale Tech-Standards zu prägen. So hat das Xi-Jinping-Regime sei

zum Artikel gehen

TenX Kartenausstellung in Asien (jetzt doch) angekündigt

Angekündigt, durch alle Crypto-Medien geschleust und damit den Pay-Token Kurs gepushed: TenX hat nach den sehr negativen Rückmeldungen der vergangenen Meldung (gerade einmal 4 Wochen her), dass sich die Kartenausstellung der Krypto-Karten auf ungewisse Z

zum Artikel gehen