Antrag der Verwaltung

1. Der Kreistag nimmt Kenntnis von den für die Verwaltungspraxis relevanten Inhalten der EU-Datenschutz-Grundverordnung (VO EU 2016/679) und von deren Umsetzung in der Landkreisverwaltung.

2. Die Verwaltung wird beauftragt, die Stelle der/des Datenschutzbeauftragten des
   Ostalbkreises auszuschreiben. Die Stelle ist im Stellenplan 2019 entsprechend auszuweisen.

Sachverhalt/Begründung

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) tritt als unmittelbar anzuwendendes Recht am 25. Mai 2018 in allen EU-Mitgliedstaaten in Kraft. Die Datenschutzgesetze des Bundes (Bundesdatenschutzgesetz) und des Landes (Landesdatenschutzgesetz) haben dann nur noch ergänzende Funktion. Grundsätzlich ist festzuhalten, dass bereits heute für deutsche Behörden hohe Datenschutzstandards bestehen, so dass sich aus der EU-DSGVO keine fundamental neuen oder gar unerfüllbaren Anforderungen ergeben. Die Änderungen gegenüber der bisherigen Rechtslage sind als recht überschaubar zu bewerten. Einige wichtige Punkte sind jedoch zu beachten.

Die EU-Datenschutz-Grundverordnung ist sehr detailliert abgefasst und nur für Personen verständlich, die über Kenntnisse im EU-Recht sowie im Datenschutzrecht verfügen. Daraus resultiert eine fast nicht mehr zu überblickende Informationsflut (auch in den Medien); es wurden mehr Irritationen und Fragen ausgelöst als eigentlich erforderlich. Erschwerend kommt hinzu, dass die Neufassung des Landesdatenschutzgesetzes noch nicht vom Landtag verabschiedet ist - auch aus diesem Grund sind noch Sachverhalte unklar. In jedem Fall werden zu vielen Punkten des neuen Datenschutzrechts sowie zum Umgang mit dem Datenschutz in der Verwaltungspraxis fachliche Standards erst im Laufe der Zeit entwickelt werden können. „Perfektion von Anfang an“ ist hier nicht möglich.

Im folgenden werden daher die wichtigsten Punkte und Auswirkungen des neuen Datenschutzrechts in möglichst verständlicher Form dargestellt.

Grundlegendes zur EU-Datenschutz-Grundverordnung (EU-DSGVO):

Die EU-DSGVO gilt unmittelbar sowohl für die automatisierte als auch für die nicht-automatisierte Verarbeitung personenbezogener Daten (erfasst sind also sowohl die EDV als auch Papierakten). Verantwortlich gem. Art. 4 Nr. 7 EU-DSGVO für den Datenschutz sind in Städten und Gemeinden die Oberbürgermeisterinnen/Bürgermeisterinnen bzw. der Oberbürgermeister/Bürgermeister als Leitung der Stadt-/Gemeindeverwaltung, bei Landkreisen die Landrätin/der Landrat als Leitung der Landkreisverwaltung.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, z. B. Name, Geburtsdatum, Körpergröße, körperliche Merkmale, aber auch Online-Kennungen, IT-Adressen, kulturelle Identität und viele Merkmale mehr, die eine Identifizierung erlauben, zählen dazu. Der Begriff „Personenbezogene Daten“ ist also sehr weitgehend auszulegen.

Mit „Verarbeitung personenbezogener Daten“ wird jeder Vorgang beschrieben, der im Zusammenhang mit personenbezogenen Daten steht, egal ob dieser mit Computer, Papier, mündlich, handschriftlich, über Mail, SMS, WhatsApp o.ä. erfolgt. Insbesondere betroffen sind hier das Erfassen, Abfragen, Ordnen, Speichern, Ändern, Weitergeben, Löschen und Vernichten von Daten.

Der Datenschutzbeauftragte (Art. 37 FF-EU-DSGVO):

Im Gegensatz zur bisherigen Rechtslage ist für öffentliche Stellen und Behörden zwingend ein Datenschutzbeauftragter zu bestellen. Die Bestellung ist von der Behördenleitung direkt vorzunehmen und muss bis spätestens 25. Mai 2018 erfolgen. In der EU-DSGVO sind bestimmte fachliche und persönliche Voraussetzungen an die Person des Datenschutzbeauftragten formuliert.

Hierzu zählen insbesondere eine entsprechende berufliche Qualifikation mit Fachwissen auf den Gebieten des Datenschutzrechts und der Datenschutzpraxis. Hinzu kommen persönliche Fähigkeiten und Sozialkompetenzen, z.B. die Fähigkeit, Führungskräfte und Mitarbeiter zu beraten und zu schulen, Kenntnisse in strategischer Planung, aber auch Durchsetzungsfähigkeit (z.B. bei Mängeln und Beschwerden).

Die wichtigsten Aufgaben des Datenschutzbeauftragten nach Art. 39 EU-DSGVO sind die Unterrichtung und Beratung der Verantwortlichen und Beschäftigten sowie Unterstützung in der täglichen Verwaltungspraxis (z. B. Schulungen und Infoveranstaltungen abhalten, Unterstützung bei der Anfertigung von Einwilligungserklärungen und Verfahrensverzeichnissen, Wahrnehmung der Aufgabe als Anlaufstelle für Fragen und Beschwerden). Natürlich obliegt dem Datenschutzbeauftragten auch die Überwachung der Einhaltung der Datenschutzvorschriften in der Verwaltung. Außerdem hat er mit der Aufsichtsbehörde (Landesbeauftragten für den Datenschutz) zusammenzuarbeiten.

Der Datenschutzbeauftragte darf bei der Erfüllung seiner Aufgaben keine Anweisungen im Bereich des Datenschutzes erhalten. Er darf auch wegen der Erfüllung seiner Aufgaben weder abberufen oder in irgendeiner Form benachteiligt werden. Er berichtet in Angelegenheiten des Datenschutzes unmittelbar der höchsten Verwaltungsebene des Verantwortlichen (bei Landkreisen also direkt dem Landrat) und kann in seiner Verwaltung (sofern der Datenschutzbeauftragte aus der Verwaltung heraus bestellt wird) auch andere Aufgaben und Pflichten wahrnehmen, wobei sicherzustellen ist, das diese nicht zu einem Interessenkonflikt führen (er kann also zum Beispiel nicht Leiter der IT-Abteilung sein).

Möglich ist die Einstellung/Ernennung eines „eigenen“ Mitarbeiters oder ein externer „Einkauf“ über einen Dienstleistungsvertrag bei einem Spezialanbieter (z. B. Rechenzentrum). Bei Behörden/öffentlichen Stellen ist auch die Bestellung eines gemeinsamen Datenschutzbeauftragten möglich (z. B. für Landkreis und Gemeinden). Beide Varianten haben Vor- und Nachteile.

Rechtmäßigkeit der Verarbeitung personenbezogener Daten (Art. 6 EU-DSGVO):

Öffentliche Stellen dürfen personenbezogene Daten nur verarbeiten, wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in der Ausübung der öffentlichen Gewalt erfolgt, die dem Verantwortlichen übertragen wurde. Diese Vorschrift ist der zentrale Erlaubnistatbestand für die öffentliche Verwaltung (Art. 6 Nr. 1e EU-DSGVO). Hiervon sind alle Weisungs- und Pflichtaufgaben der Kommunen erfasst.

Verarbeiten jedoch öffentliche Stellen personenbezogene Daten bei freiwilligen Aufgaben, ist im Einzelfall das öffentliche Interesse an der Aufgabenerfüllung zu prüfen. Hierzu ist die Einwilligung der betroffenen Personen in die Datenverarbeitung zwingend erforderlich (Art. 6 Nr. 1a EU-DSGVO). Dies ist beispielsweise der Fall, wenn Mitarbeiter ihre Kinder in den Sommerferien zur betrieblichen Ferienbetreuung anmelden.

Informationspflicht (Art. 13 EU-DSGVO) und Auskunftsrecht (Art. 15 EU-DSGVO):

Werden personenbezogene Daten erhoben, hat in jedem Fall die Behörde dem Antragsteller als Information auf dem Antragsformular bestimmte Informationen mitzuteilen (z.B. in Form eines „Info-Kastens“). Pflicht sind insbesondere Namen und Kontaktdaten des Verantwortlichen/der Behörde und des Datenschutzbeauftragten, die Nennung der Zwecke der Datenverarbeitung sowie die Rechtsgrundlage hierfür (Fachgesetz, z. B. § 55 LBO, § 20 AbfG,…), die Angabe, ob eine Datenweitergabe an andere Behörden oder Dritte erfolgt, Information zur Dauer der Speicherung bzw. Aufbewahrung und die Information über Auskunftsrechte/Beschwerderechte bei der Aufsichtsbehörde. Des weiteren bestehen Auskunftsrechte betroffener Personen bei der Behörde.

Führen von Verfahrensverzeichnissen (Art. 30 EU-DSGVO):

Für jedes Verwaltungsverfahren, in dessen Rahmen personenbezogene Daten erhoben und verarbeitet werden, ist ein „Verzeichnis von Verarbeitungstätigkeiten“ zu führen, mit dessen Hilfe der Verlauf der Datenflüsse von der erstmaligen Antragstellung bis zur Datenlöschung zu dokumentieren ist. Hierbei handelt es sich um standardisierte, mehrseitige Erfassungsbögen, in denen ausführlich die Zwecke der Datenverarbeitung in konkreten Verfahren (Verfahrensbeschreibung, Beschreibung der Kategorien betroffener personenbezogener Daten, der Personenkreis bei der Behörde, der Einsicht in diese Daten hat, Beschreibung der technischen und organisatorischen Maßnahmen zur Datensicherheit sowie die Frist für die Löschung der personenbezogenen Daten) zu dokumentieren sind.

Datenschutz bei Vereinen (z. B. Forstwirtschaftliche Vereinigung Schwäbischer Limes, Landschaftserhaltungsverband, Kreisjugendring,…):

Auch Vereine werden (wie Behörden und Unternehmen) unmittelbar von der EU-DSGVO erfasst, wenn personenbezogene Daten von Vereinsmitgliedern oder sonstigen Personen in einem Dateisystem (EDV oder Papierakten) gespeichert werden. Somit müssen auch Vereine den o.g. Informations-, Einwilligungs- und Dokumentationspflichten voll nachkommen.

Ein Datenschutzbeauftragter ist jedoch nicht erforderlich, wenn im Verein weniger als 10 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind und der Verein als „nicht-öffentliche Stelle“ gilt (§ 38 Bundesdatenschutzgesetz (BDSG)).

Aufsichtsbehörde und Aufsichts-/Strafmaßnahmen:

Aufsichtsbehörde ist immer der Landesbeauftragte für den Datenschutz. Ihm sind auf Verlangen Unterlagen wie Einwilligungen, Verfahrensverzeichnisse, Informationstexte u.ä. vorzulegen.

Gem. § 27 LDSG (Entwurf) ist vorgesehen, dass gegen öffentliche Stellen keine Geldbußen verhängt werden dürfen, wenn sie gegen Vorschriften des Datenschutzes verstoßen (es sei denn, sie nehmen als Unternehmen mit eigener Rechtspersönlichkeit am Wettbewerb teil, z.B. durch Eigengesellschaften). Auch wenn keine Geldbußen verhängt werden, sind jedoch aufsichtsrechtliche Konsequenzen denkbar. Der Landesdatenschutzbeauftragte kann also z. B. Verletzungen des Datenschutzes rügen, im Einzelfall auch Anweisungen erteilen oder Verstöße im jährlichen Datenschutzbericht (mit entsprechendem negativem Medienecho) veröffentlichen.

Umsetzung der EU-DSGVO in der Landkreisverwaltung:

a.) Inhaltlich

Alle Formulare der Landkreisverwaltung, in denen personenbezogene Daten erhoben werden, sind auf Vereinbarkeit mit den Vorgaben der EU-DSGVO zu überprüfen, ob ggf. Einwilligungserklärungen, Informationsinhalte etc. zu ändern sind. Falls keine Änderungen notwendig sind, gelten bereits erteilte Einwilligungen weiter. Falls Änderungsbedarf besteht, sind Einwilligungen neu einzuholen.

Im Fall von Auskunftsbegehren ist ein interner Verfahrensablauf vorzubereiten.

Für die Erstellung der Verfahrensverzeichnisse liegt ein Musterformular des Landesbeauftragten für den Datenschutz vor. Die Erstellung dieser Verzeichnisse muss sukzessive erfolgen und muss vom Datenschutzbeauftragten der Behörde koordiniert werden. Werden Fachverfahren verwendet oder werden Verfahren über das Rechenzentrum abgewickelt, liegen die Verfahrensverzeichnisse in der Regel bereits standardisiert als Muster vor, sie sind jedoch auf die jeweilige Behörde anzupassen. In jedem Fall sind hier Schulungen von Beauftragten in den einzelnen Geschäftsbereichen erforderlich.

Bei Vereinen, die in engeren Beziehungen zur Landkreisverwaltung stehen, wird im Einzelfall geklärt, ob sie als nichtöffentliche Stellen im Sinne des BDSG gelten. In jedem Fall ist es seitens der Landkreisverwaltung möglich, diese Vereine genauso wie die Geschäftsbereiche hinsichtlich der o.g. Pflichten aus der EU-DSGVO zu betreuen.

b.) Personell

Das Thema „Datenschutz“ ist durch die EU-DSGVO jetzt gesetzlich so verankert und normiert, dass die daraus resultierenden Verpflichtungen zwingend einzuhalten sind. Der Arbeitsumfang bei der Landkreisverwaltung wird so groß, dass eine Person benötigt wird, die sich nur dieser Aufgabe widmen kann. Die Landkreisverwaltung wird daher die Stelle der/des Datenschutzbeauftragten ausschreiben und adäquat mit einer geeigneten Person besetzen, wobei eine Vollzeitstelle in A13/EG12 vorgesehen ist. Die/der Datenschutzbeauftragte soll organisatorisch dem Fachbereich Organisation im Dezernat I zugeordnet werden.

Da das Stellenbesetzungsverfahren nicht bis zum Stichtag 25. Mai 2018 abgeschlossen werden kann, soll für eine Übergangszeit der Leiter des Fachbereichs Organisation, Herr Brandt, die Aufgabe des Datenschutzbeauftragten des Ostalbkreises wahrnehmen. Sobald die Funktion dann mit dem „endgültigen“ Datenschutzbeauftragten besetzt und dieser eingearbeitet ist, wird vorgeschlagen, dass auch die Städte und Gemeinden im Ostalbkreis ihn gegen entsprechenden Kostenersatz in Anspruch nehmen können.

Da intern auf Grund der den dargestellten Handlungsbedarfe bereits jetzt Maßnahmen ergriffen werden müssen, werden diese unabhängig von der Besetzung der Stelle in die Wege geleitet.

Finanzierung und Folgekosten

Die Personalkosten für die Stelle des Datenschutzbeauftragten werden über den Personalhaushalt abgewickelt.

Anlagen

---

Sichtvermerke