20. Januar 2023
Wer Vertrauen zugebilligt bekommt, steht auch in einer besonderen Verantwortung, es zu rechtfertigen: Von allen staatlichen Ebenen wird den Kommunen von den Bürgerinnen und Bürgern mit Abstand das größte Maß an Vertrauen entgegengebracht. Nun stehen die Verantwortlichen im Kommunalbereich in der Verantwortung, ihr gutes Bild zu bestätigen und die Erwartungen der Bevölkerung gerade im Hinblick auf Datenschutz und Datensicherheit zu erfüllen. Aber nicht erst seit der Corona-Pandemie ist anhand von Hacker-Angriffen und Datenlecks im Kommunalbereich deutlich geworden, dass alle Verwaltungen von Datenbeständen massiven Angriffen von außen und schwer wiegenden Datenlecks ausgesetzt sein können.
Die zunehmende Komplexität der Dienstleistungen im EGovernment-Bereich macht, nicht zuletzt auch mit Blick auf die Datensicherheit, neue Strategien bei der Entwicklung von Services und Produkten erforderlich. Da bislang viele IT-Modernisierungen aus der Verwaltung selbst entstanden sind, ist dies ursächlich für die große Zahl an Sonder- und Einzellösungen. Die digitale Verwaltung wird auch durch die zunehmende Vernetzung von Daten zunehmend komplexer. Die Bedrohung für IT-Systeme steigt gleichzeitig an. Gerade die Anforderungen an die IT-Sicherheit verlangen ein hohes Maß an Kompetenz, auch in kleineren und mittleren Kommunen.
Welche Risiken gibt es? Z.B.:
• Frei oder leicht zugängliche Administrations-Bereiche;
• öffentlich zugängliche Internet-Terminals mit Verbindung zum internen Datennetz oder zu weiteren Behörden;
• Phishing-Angriffe auf Login-Daten;
• Anbringung von W-Lan-Routern
Welche Bereiche sind besonders sensibel?
• kommunale Konten;
• Personenregister;
• Daten der Sozial-, Gesundheits- und Ordnungsbehörden;
• interne vertrauliche Verwaltungsinformationen (z.B.
Personaldaten) etc.
Verantwortlich für das gesamte Verwaltungshandeln und damit auch für das Handeln aller Mitarbeitenden ist zunächst der Hauptverwaltungsbeamte.
Damit ist der Hauptverwaltungsbeamte auch verantwortlich für den Datenschutz im Sinne des Art. 4 Nr. 7 DSGVO: Verantwortlich für den Datenschutz ist hiernach die natürliche oder juristische Person, Behörde oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Soweit die Gemeinde als Behörde personenbezogene Daten verarbeitet, ist der Behördenbegriff funktionsbezogen zu verstehen. Fachbereiche, Ämter, Personalvertretung etc. sind daher ebenso wie Eigenbetriebe und eigenbetriebsähnlich geführte Einrichtungen jeweils eigene verantwortliche Stellen. Für die Einschaltung eines Auftragnehmers zur Datenverarbeitung ist wiederum der Auftraggeber verantwortlich.
Allgemein gilt u.a. für die Aktenführung der Grundsatz der Datenminimierung, wonach nur relevante Daten erhoben und verarbeitet werden dürfen. Datenschutz ist auch dadurch zu gewährleisten, dass der Zugriff zu den Daten nur den Personen gewährt wird, die tatsächlich mit den Verwaltungsvorgängen befasst sind. In Bereichen mit Publikumsverkehr ist ebenso wie bei Gesprächen und Telefonaten auf Diskretion zu achten.
In Einzelbereichen der Kommunalverwaltung sind exemplarisch weiterhin die nachfolgend aufgeführten Problembereiche zu beachten.
a) Sozialrecht (Sozialämter, Jugendämter, Arge)
b) Gesundheitsdaten
Gesundheitsdaten gehören zu den sehr sensiblen personenbezogenen Daten, die nach Art. 9 DSGVO einem besonderen Schutz unterliegen. Sie dürfen nun unter besonderen Voraussetzungen verarbeitet werden, was im öffentlichen Gesundheitswesen z.B. im Infektionsschutzgesetz geregelt ist. Aber auch z.B. im öffentlichen Rettungsdienst ist die besondere Geheimhaltungsbedürftigkeit von Gesundheitsdaten zu beachten.
c) Schulwesen
Auch im Schulwesen gibt es aktuell besondere Problemfelder. Zu nennen sind hier wiederum als Beispiele die Geheimhaltungsbedürftigkeit der Bekanntgabe von Noten, Auskünfte an die Eltern Volljähriger, der Umgang mit einsehbaren Namenslisten z.B. bei Elternsprechtagen, die Datenverarbeitung durch Lehrkräfte gerade in Zeiten des Distanzunterrichts auf Geräten oder in Räumlichkeiten, die nicht zur Schule gehören, die Verwertung von Fotoaufnahmen u.a.
d) Ratsarbeit
Die Ratsarbeit steht im Spannungsverhältnis zwischen dem Transparenzbedürfnis der Öffentlichkeit und dem Datenschutzrecht individuell Betroffener. So werden Tagesordnungen, Vorlagen und amtliche öffentlicher Sitzungen im Rahmen der gesetzlichen Vorgaben von den Kommunen veröffentlicht, wobei viele Kommunen mit Rats- und Bürgerinformationssystemen arbeiten. Bei den Ratsinformationssysteme handelt es sich normalerweise um geschlossene Systeme, auf die nur die Rats- bzw. Ausschussmitglieder zugreifen können. Unter Einhaltung der Identifikations- und Geheimhaltungsvorgaben ist ihre Nutzung daher datenschutzrechtlich relativ unproblematisch. Auf öffentliche Bürgerinformationssysteme kann hingegen jedermann online zugreifen. Die dort eingestellten Unterlagen dürfen daher grundsätzlich keine personenbezogenen Daten enthalten und müssen ggf. geschwärzt oder anderweitig anonymisiert werden.
Auch hierbei sind die Verantwortlichkeiten zu beachten: Soweit ein Ratsmitglied personenbezogene Daten im Rahmen der Ratstätigkeit verarbeitet, wird diese Datenverarbeitung dem Rat und somit der Kommune zugerechnet. Die Kommune ist also verantwortlich für die Einhaltung der Datenschutzvorschriften. Etwas anders liegt der Fall, wenn ein Ratsmitglied offensichtlich privat oder im Zusammenhang mit seiner Tätigkeit als Parteimitglied (z.B. im Wahlkampf) personenbezogene Daten verarbeitet. In solchen Fällen wird die Datenverarbeitung und damit ein möglicher Verstoß nicht der Kommune zugerechnet, sondern dem Ratsmitglied als Privatperson.
Nicht zuletzt ist auch im Kommunalbereich der Beschäftigtendatenschutz zu beachten, der sowohl gegenüber den Beamten als auch den Angestellten gilt.
Hier ist die Generalklausel des § 26 Bundesdatenschutz (BDSG) zu beachten. Personenbezogene Daten von Beschäftigten (einschließlich Bewerbern und ehemaligen Beschäftigten) dürfen hiernach nur erhoben, verarbeitet und genutzt werden, wenn dies
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten im Beschäftigungsverhältnis nur verwendet werden, wenn
Im Unterschied zu Datenverarbeitungen allgemeiner Art kann für die Rechtfertigung im Beschäftigungsverhältnis auch nicht ohne Weiteres auf eine Einwilligung der Betroffenen zurückgegriffen werden.
Allgemeine Wirksamkeitsvoraussetzungen einer datenschutzrechtlichen Einwilligung sind nach Art. 7 DSGVO, dass der Betroffene frei entscheiden kann, dass er über den Inhalt und Umfang der Einwilligung hinreichend und deutlich informiert ist und dass die Zwecke der Datenverarbeitung, in die eingewilligt wird, klar beschrieben sind.
Nach § 26 Abs. 2 BDSG ist bei einer datenschutzrechtlichen Einwilligung im Beschäftigungsverhältnis aber besonders die „Freiwilligkeit“ der Einwilligung zu prüfen: Praktisch kommt sie nur in Betracht, wenn es um die Inanspruchnahme freiwilliger Leistungen des Arbeitgebers oder z.B. die private Nutzung der IT-Infrastruktur des Arbeitgebers (Mail, Internet) geht. Für alle sonstigen dienstlichen Belange wird eine freiwillige Einwilligung regelmäßig nicht abgegeben werden können.
Um bei der Überprüfung der arbeitsrechtlichen Pflichten der Beschäftigten in den Kommunen auch datenschutzrechtlich keine Verstöße zu begehen, bedarf es daher klarer Regelungen: So muss die private Nutzung von Internet und E-Mail-Programmen eindeutig untersagt und dieses Verbot auch kontrolliert werden, damit die Tätigkeit ggf. auf dienstliche Relevanz geprüft werden darf. Wenn die Privatnutzung (wie meistens) gestattet oder zumindest geduldet wird, ist die Einsichtnahme in die Computer der Beschäftigten ohne deren Einverständnis und ohne konkreten Verdacht auf begangene Straftaten meistens unzulässig.
Gleichwohl dürfen und müssen technische Schutzmaßnahmen wie z.B. Internet-Filterprogramme installiert werden, um die IT-Sicherheit zu gewährleisten. Außerdem ist es dringend geboten, Administratorenrechte zu beschränken und zu kontrollieren.
Schließlich stellen sich Fragen des Datenschutzes und der Datensicherheit, wenn Beschäftigte (z.B. im Home oder Mobile Office) eigene IT-Geräte wie Smartphones oder Laptops für den dienstlichen Gebrauch verwenden. Auch hier empfehlen sich klare Richtlinien und Vereinbarungen:
Erschienen in:
Kommunal.POLITIK
Ausgabe 4-5/ 2022
