Zum Umgang mit der DSGVO – ein Leitfaden
Vorbemerkungen
Der Schutz persönlicher Daten soll in der Europäischen Union massiv gestärkt und vereinheitlicht werden. Die neue Datenschutz-Grundverordnung (DSGVO) trat bereits am 24. Mai 2016 in Kraft und gilt am 25. Mai in allen 28 EU-Mitgliedsstaaten weitgehend einheitlich und ersetzt ggf. vorhanden Landesdatenschutzgesetze. Die Mitgliedstaaten konnten jedoch eigene Ergänzungen und Konkretisierungen vornehmen. Dies wurde durch die Bundesregierung durch das BDSG-Neu, welches selbigen Stichtag – 25. Mai 2018 in Kraft trat vorgenommen. Auch der Thüringer Landtag hat das Landesrecht an den neuen EU-Datenschutz angepasst. Am 24.05.18 wurde das überarbeitete Landesdatenschutzgesetz im Parlament verabschiedet.
Was bedeutet dies konkret und wie kann vorgegangen werden?
Für jeden, der sich mit der Thematik Datenschutz und Datensicherheit in Vergangenheit beschäftigt hat und diese Themen auch wirklich „lebt“, fallen die Anpassungen innerhalb seiner Organisation moderat aus, auf alle anderen kommen u.U. umfangreiche Anpassungen der Organisation zu.
Der Fokus der DSGVO liegt auf dem Schutz der Daten der Betroffenen. Hierfür kann das in der Vergangenheit erstellte IT-Sicherheitskonzept herangezogen und ergänzt werden. Die Verordnung zielt hierbei vor allem auf die innerhalb der Organisation gelebten Prozesse zur Datenverarbeitung. Das IT-Sicherheitskonzept zielt mehr auf die technische Ausrichtung der Organisation zur Datenverarbeitung.
Welche Themen sollten Sie in welcher Reihenfolge angehen? Wie haben versucht, Ihnen einzelne Schritte aufzuzeigen, um die Komplexität und die zeitliche Umsetzung etwas zu vereinfachen – hier unser kleiner Leitfaden:
Grundlage schaffen – Benennung des Datenschutzbeauftragten, IT-Sicherheitsbeauftragten
Nach DSGVO Art.37 prüfen Sie bitte die Aktualität zur Benennung Ihres Datenschutzbeauftragten. So können Sie ab sofort auch einen externen Datenschutzbeauftragten benennen, welcher dann eng mit Ihrem schon berufenen IT-Sicherheitsbeauftragten zusammen arbeiten kann. Denkbar sind hier auch interkommunale Lösungen, d.h. mehrere Kommunen bzw. Organisationen schließen sich zusammen und benennen diesen gemeinsam. Gerne können Sie auch auf uns zukommen und die KIV als Datenschutzbeauftragten benennen.
Schritt 1: Sicherstellen der Außenwirksamkeit der DSGVO gegenüber Ihren Kunden bzw. dem Bürger
- Bitte melden Sie ihren Datenschutzbeauftragten, nach Art.37(7) DSGVO, an den Landesdatenschutzbeauftragten.
Nutzen Sie bitte folgenden Links :Formblatt zur Meldung Datenschutzbeauftragte(r) in Thüringen (externer Link)
Information zu Meldung Datenschutzbeauftragte(r) in Thüringen (externer Link)Formblatt zur Meldung Datenschutzbeauftragte(r) in Bayern (externer Link)
Formblatt zu Meldung Datenschutzbeauftragte(r) in Sachsen (externer Link) - Nachkommen der Informationspflicht nach Art.13, Art.14 DSGVO.
Hier erwartet der Bürger, Ihr Kunde, dass Sie ihn bei Abwicklung von Geschäftsprozessen (z.B. Mietvertrag) bzw. Verwaltungsakten (z.B. Beantragung Personalausweis) darüber informieren, was mit seinen Daten während und nach der Datenerhebung geschieht. Hierzu müssen Sie Ihn während der Erfassung oder Änderung entsprechend informieren. Bitte händigen Sie dem Kunden bzw. Bürger ein „Informationsblatt nach Art.13, Art.14 DSGVO“ aus, oder übermitteln dieses bei elektronischer Kommunikation, per Mail als Anlage. Denken Sie in diesem Zusammenhang immer daran, dass Sie keine personenbezogenen Daten per Mail übermitteln sollten, da dieser Kommunikationskanal unsicher ist und die Absenderidentität nicht nachgewiesen werden kann. Hier lauern Gefahren, welche u.U. schnell zu einer Beschwerde beim Landesdatenschutzbeauftragten führen können. Wir haben Ihnen weiter unten die entsprechenden Schritte zum Erstellen des „Informationsblatt nach Art.13, Art.14 DSGVO“ dargestellt. - Anpassen Ihrer Webseite
Ihre Webseite muss u. a. ab sofort darauf hinweisen, wenn Sie z.B. Cookies oder Analyse-Tools einsetzen. Wenn Sie wollen, können Sie sich gerne an unseren Datenschutzklauseln orientieren. Sofern Daten direkt innerhalb von Formularen eingegeben und anschließend auf dem System gespeichert werden, müssen Sie hier ebenfalls ein „Informationsblatt nach Art.13, Art.14 DSGVO“ beifügen bzw. die Verfahrensweise in der Datenschutzerklärung beschreiben. Weiterhin müssen Sie darlegen, welche technischen und organisatorischen Maßnahmen (TOMs) Sie zur Sicherstellung der Datenverarbeitung und -speicherung innerhalb Ihrer Organisation getroffen haben. Diese können individuell sehr verschieden sein, und gestalten sich je nach Art und Weise Ihrer IT-Organisation. Gerne unterstützen wir Sie hier.
Generell empfehlen wir Ihnen, nicht die Formulare zur „Betroffenheitsauskunft nach Art.15 DSGVO“ (siehe weiter unten) auf der Webseite zu hinterlegen. Diese haben Sie u. U. von Ihren Fachverfahrensherstellern bekommen. Die Formulare sind viel zu detailliert, sodass die Aktualität nur mit sehr großem Aufwand sicher gestellt werden kann. Darüber hinaus setzen Sie auch eine Vielzahl von Programme ein (FiBu, SFIRM usw.) und müssten die Formulare dann für alle Anwendungen entsprechend formulieren. Dargestellt aber werden muss, wer Auskunft nach Art.15 DSGVO erteilt (siehe auch weiter unten „Betroffenheitsauskunft nach Art.15 DSGVO“). - Vorbereitung einer „Betroffenheitsauskunft nach Art.15 DSGVO“
Mit der Betroffenheitsauskunft erhält der Bürger oder Kunde die Möglichkeit abzufragen, welche Daten die Organisation über ihn derzeit aktuell speichert. Für jede Datenverarbeitende Stelle (siehe Schritt 2 (1) müssen Sie dies vorbereiten. Unter Umständen kann der Auskunftsersuchende verlangen, dass Sie ihm die gespeicherten Daten sogar elektronisch aushändigen. - Festlegen, welcher Personenkreis Auskunft zum Thema DSGVO und Datenschutz erteilt.
Im „Alltagsgeschäft“ erhalten Sie vielleicht Anfragen zum Thema DSGVO und Datenschutz. Generell sollten Sie im Haus festlegen, wer gegenüber dem Auskunftsstellenden Informationen nach außen geben darf. Wie empfehlen, dass Ihre Mitarbeiter auf den Datenschutzbeauftragten bzw. den „Verantwortlichen für die Datenverarbeitende Stelle“ (siehe unten) verweisen. Dies betrifft vor allem die Thematik „Betroffenheitsauskunft nach Art.15 DSGVO“.
Schritt 2: Schaffung der Innenwirksamkeit der DSGVO
Dieser Schritt ist der aufwändigste, da er im Schritt 4 fortgeführt werden muss. Sie müssen alle organisatorischen und technischen Maßnahmen ergreifen, welche die Datenverarbeitung im Sinne der DSGVO und des ThürDSG sicherstellt. Dafür müssen Sie ein sogenanntes Informations- und Sicherheitsmanagementsystem (ISMS) implementieren, welches Ihre Organisation auf ein prüfungssicheres Niveau hebt.
Denken Sie daran: Sollte ein Betroffener sich an den Landesdatenschutzbeauftragten wenden, wird dieser aktiv und überprüft alle Aktivitäten und Regelungen, welche innerhalb Ihrer Organisation wirken.
Ein schon vorhandenes IT-Sicherheitskonzept, welches auf den technischen Bereich ausgerichtet ist, ist eine gute Basis um die zusätzlich notwendigen Prozesse zu implementieren. Da in viele Behörden und Unternehmen ein entsprechendes ISMS noch nicht nach einem Standard wie ISO27001 oder ISIS12 wirkt, sollten Sie mit folgenden Punkten beginnen um Schaden und Imageverlust abzuwenden:
- Festlegen der „Datenverarbeitenden Stelle“
Viele denken, der Bereich IT ist die datenverarbeitende Stelle. Dies ist nicht so, denn die IT stellt innerhalb Ihrer Organisation nur die Ressourcen zur Datenhaltung bereit. Ausgehend von Ihrer Organisationsstruktur müssen Sie ALLE Geschäftsprozesse untersuchen, welche Daten erheben, speichern und verarbeiten. Diese Prozesse werden mittels Hard- und Software abgewickelt (z.B. Ordnungswidrigkeit – Fachanwendung und Mobile Datenerfassungsgeräte, Bereich Liegenschaften – Mietverträge, Meldewesen – Erteilen Personalausweis etc.). Die Datenverarbeitende Stelle kann hierbei ein Amt, Bereich oder übergreifend dargestellt werden. - Festlegen des Verantwortlichen der „Datenverarbeitenden Stelle“
Nach der Definition, welcher Bereich bzw. welches Amt die Datenverarbeitende Stelle für den jeweiligen Geschäftsprozess darstellt, legen Sie bitte deren Verantwortlichen fest. Dies ist wiederum nicht der Bereich IT! Es muss ein Person mit der ihr übertragenen Verantwortung, z.B. Bereichs- oder Amtsleiter sein. Der Verantwortliche ist dann im „Informationsblatt nach Art.13, Art.14 DSGVO“ einzutragen (siehe oben und unten). - Schaffung einer DSGVO- und ThürDSG-konformen Verarbeitung der Daten
Hierzu gehört die Implementierung von grundlegenden Prozessen, welche der Nachweisbarkeit der Anwendung von Datenschutz und Datensicherheit dienen. Diese Prozesse sind so zu dokumentieren, dass sie einer Prüfbehörde dargestellt werden können. Zur ordnungsgemäßen Anwendung eines ISMS gehören eine Vielzahl von Prozessen, wie Meldeprozesse bei Vorkommnissen, Dokumentation von Ereignissen, richtiger Umgang mit Daten und datenverarbeitenden Einrichtungen, Festlegung und Reflektion von Überwachungsprozessen zur Wirksamkeit des ISMS in der Organisation, Risikoermittlung und -behandlung, Lieferanten und Dritte, Dokumentation von Rechten und Zugängen in einem Antragswesen, Maßnahmen zur Qualitätssicherung u.v.m. Als erstes konzentrieren Sie sich bitte auf die Implementation eines entsprechenden Antragswesens- um klar nachweisen zu können, welcher Personenkreis mit den Bürger- bzw. Kundendaten arbeiten kann. Hierfür müssen Sie analysieren, welche Rechte welche Person in Ihrem IT-System und vor allem in welcher Fachanwendung hat. Hierfür erstellen Sie für jede Fachanwendung ein Berechtigungskonzept. Die im Berechtigungskonzept hinterlegten Rechte, z.B. in Form von Rollen oder Gruppen müssen Sie dann in einem Antrag zusammenfassen, welcher durch den Mitarbeiter und dem Verantwortlichen der „Datenverarbeitenden Stelle“ gezeichnet wird. Auch sollten Sie, um den Verantwortlichen der „Datenverarbeitenden Stelle“ nicht zu überlasten, die praktische Umsetzung innerhalb der Fachanwendungen an einen sogenannten „Verfahrensverantwortlichen“ delegieren. Dies kann eine Person sein, welche sich im Programm auskennt und dieses inhaltlich administriert.Vorsicht. Nach DSGVO und ThürDSG müssen Sie sicherstellen, dass eine Aufgaben- und Funktionstrennung eingehalten wird, d.h. der IT-Administrator darf auf keinen Fall das Fachverfahren inhaltlich administrieren – das Vieraugenprinzip muss gewahrt sein.
Hier wird es wahrscheinlich u.U. bei vielen Anwendern zu Problemen kommen, da über eine generelle Neuaufstellung der IT-Organisation nachgedacht werden muss! Die Rollen und Funktionen des Verantwortlichen der „Datenverarbeitenden Stelle“ und des Verfahrensverantwortlichen sollten Sie in einer Richtlinie zur Rollendefinition dokumentieren. Die Personen sind anschließend schriftlich zu berufen. - Erstellen der „Verzeichnisse der Verarbeitungstätigkeiten“
Die vorhandenen Verfahrensverzeichnisse müssen angepasst werden. Im Ergebnis entstehen die „Verzeichnisse der Verarbeitungstätigkeiten“. Hier müssen Sie eine sogenannte „Risikofolgeabschätzung“ durchführen. Dies gelingt Ihnen i.d.R. erst dann, wenn Sie ein ISMS eingeführt haben oder dies aktiv anwenden – siehe unten. - Erstellen und Anpassen der Technischen und Organisatorischen Maßnahmen (TOMs)
Die TOMs legen dar, wie und in welcher Form Sie die Daten innerhalb Ihrer Organisation verarbeiten. Diese können für jede „Datenverarbeitende Stelle“ unterschiedlich sein. Die TOMs müssen Sie für entsprechende „Betroffenheitsauskünfte nach Art.15“ (siehe unten) parat haben. - Schulungen
Als Behörde und Unternehmen sind Sie verpflichtet, Ihre Mitarbeiter zu den aktuellen Themen zu schulen. Dies empfiehlt sich insbesondere, da Sie im Rahmen der Außenwirksamkeit Ihren Mitarbeiter vermitteln müssen, wie mit Auskünften nach Schritt 1 umzugehen ist und wer ab sofort nach Schritt 2 die Verantwortung im Haus trägt.
Dokumentieren Sie die Schulungen zur Vorlage bei einer Prüfung! - Datenschutzrechtliche Belehrung
Bitte überarbeiten Sie Ihre datenschutzrechtlichen Belehrungen. Aktualisieren Sie die entsprechenden Verweise auf die neuen Gesetzlichkeiten der DSGVO und des ThürDSG, ggf. des BDSG. Belehren Sie Ihre Mitarbeiter und händigen Sie die Belehrung gegen Unterschrift aus. Gleiches gilt für Dritte, wie z.B. Reinigungspersonal.
Schritt 3: DSGVO konformer Umgang mit Dritten und Zulieferer
Ihre Organisation sollte mit allen Zulieferern und Dritten „Vereinbarungen zur Auftragsverarbeitung“ abgeschlossen haben, welche festlegen, wie der Dienstleister mit den Daten umgeht. Sofern eine Rechtsgrundlage für eine Weiterverarbeitung besteht und Sie im Rahmen dieser Daten übermitteln (z.B. Krankenkassen, Lohn, Finanzamt, Clearingstellen im Einwohnerbereich, Personenstandsregister Land Thüringen etc.) müssen Sie hier keine expliziten Vereinbarungen abschließen.
- Bitte prüfen Sie daher, wer Sie bei der Verarbeitung unterstützt.
Dies sind alle Firmen, welche Daten in Ihrem Auftrag weiter verarbeiten oder auf Technik zur Datenverarbeitung in Ihrem Haus Zugriff haben (z.B. Rechenzentren, IT-Dienstleister, Firmen zur Wartung von Kopiertechnik, Softwarelieferanten etc.). - Überarbeitung und Anpassung der vorhanden „Vereinbarungen zur Auftragsdatenverarbeitung“
Die bestehenden Verträge behalten Ihre Gültigkeit. Sie sollten zeitnah die Firmen kontaktieren und angepasste Verträge anfordern. Seit der Verabschiedung des ThürDSG am 24.05.18 sind wir dabei, die „Vereinbarung zur Auftragsverarbeitung“ mit den entsprechenden Verweisen auf die neuen Paragraphen zu überarbeiten. Diese gehen Ihnen in den nächsten Tagen zeitnah zu. Bitte unterschreiben Sie nicht ungeprüft Vereinbarungen, welche Ihnen zugesandt wurden. So haben wir nach unseren Prüfungen festgestellt, dass diese teilweise widersprüchliche und nicht rechtskonforme Klauseln enthalten. Wichtig ist, dass der „Verantwortliche der Datenverarbeitenden Stelle“ diese ebenfalls zeichnet – siehe Schritt 2.
Schritt 4: Einführung eines ISMS
Die Punkte oben stellen den Beginn der Einführung eines ISMS dar. Der Prozess muss im Weiteren geplant und fortgeführt werden, um vor allem bei einem datenschutzrechtlichen Verstoß der Prüfbehörde nachzuweisen, welche Aktivitäten Sie hier unternommen haben. Für die Initiierung und Fortführung des Prozesses ist nicht der Datenschutzbeauftragte oder IT-Sicherheitsbeauftragte, sondern der Bürgermeister, Landrat, Geschäftsführer etc. verantwortlich.
Im Detail:
Erstellen des „Informationsblatt nach Art.13, Art.14 DSGVO“
- Ermitteln der betroffenen Fachanwendungen
Ermitteln Sie als erstes, welche Fachanwendungen und welche Datenhaltung in sonstigen Dokumenten im Haus durch die einzelnen Mitarbeiter durchgeführt werden. Sie werden hier neben Datenbanken auch auf Excel-Tabellen und Worddokumente stoßen. Listen Sie diese in einem Verzeichnis auf.
Ergänzen Sie dieses Verzeichnis um den Punkt „Name der Datenverarbeitende Stelle“ und „Verantwortlich innerhalb der Datenverarbeitenden Stelle“. - Erstellen der „Informationsblätter nach Art.14 DSGVO“
Für alle Datenerhebungen, mit denen Sie Informationen des Bürgers / Kunden sammeln, müssen Sie diesen darüber informieren. Folgender Inhalt muss auf dem Informationsblatt vermerkt sein:
a. | Verantwortung für die „Datenverarbeitende Stelle“ – Name, Vorname, Kontakt (nicht der Datenschutzbeauftragte ist hier verantwortlich !!) |
b. | Zweck und Rechtsgrundlage der Datenerhebung mit Art und Form der erhobenen Daten. Sollte keine Rechtsgrundlage vorhanden sein, müssen Sie die Datenerhebung und -verarbeitung begründen |
c. | Beschreibung der erhobenen Daten in Kategorien, nicht jedes einzelne Attribut (z.B. Steuerdaten als Kategorie, nicht einzeln Steuernummer, Finanzamt, Finanzamtsnummer etc.) |
d. | Beschreibung der erhobenen Daten in Kategorien, nicht jedes einzelne Attribut (z.B. Steuerdaten als Kategorie, nicht einzeln Steuernummer, Finanzamt, Finanzamtsnummer etc.) |
e. | Angabe, welche Daten an Dritte übermittelt werden (Offenlegung) – Empfänger, Kategorie, Rechtsgrundlage |
f. | Dauer der Speicherung |
Erstellen der „Betroffenheitsauskunft nach Art.15 DSGVO“
Der Kunde / Bürger kann darüber Auskunft verlangen, welche Daten im Detail über ihn gespeichert sind. Darüber hinaus kann er ebenfalls verlangen, dass ihm alle über ihn gespeicherten Daten elektronisch in einem gängigen Format übergeben werden. Hier müssen Sie wirklich aus ALLEN Fachanwendungen und sonstigen Dokumenten die Informationen zusammenstellen – was eigentlich kaum leistbar ist. Um Problemen aus dem Weg zu gehen empfehlen wir daher folgende Schritte:
- Definieren Sie eine Schnittstelle bzw. Anlaufpunkt, welcher diese Tätigkeit leisten.
Hier können Sie den Verantwortlichen der „Datenverarbeitenden Stelle“ oder den Datenschutzbeauftragten festlegen. - Veröffentlichen Sie diese Information auf Ihrer Webseite und informieren Ihre Mitarbeiter
Stellen Sie unbedingt klar, dass keinerlei fernmündliche Aussagen erteilt werden und Informationen ausschließlich über ein gesicherten Kommunikationskanal (wie z.B. De-Mail) elektronisch übermittelt werden können. - Etablieren Sie eine Richtlinie innerhalb der Organisation
Diese legen fest, wie mit Auskunftsersuchen umgegangen wird. So sollten Sie definieren, dass über die Verantwortlichen der „Datenverarbeitenden Stellen“ zuerst die Daten zur Person zusammengetragen werden und dann gesammelt, aufbereitet und übermittelt werden. Senden Sie auf keinen Fall per Email Daten, dieser Kommunikationsweg ist unsicher und stellt schon bei Nutzung einen Rechtsverstoß gegen das Datenschutzrecht dar. Nur De-Mail oder die Nutzung von Portalen mit Authentifizierung per eID des Personalausweises garantieren die Identität des Antragsstellers. Weiterhin regeln Sie in der Richtlinie, wie diese Identität bei Antragsstellung und Übermittlung geprüft wird. So kann persönliches Erscheinen bei „Betroffenheitsauskunft“, sofern der Antragsteller keine DE-Mail hat, vorgeschrieben werden um die Identität zu überprüfen. Generell werden fernmündlich keine Auskünfte erteilt - Inkraftsetzung und Schulung
Verabschieden Sie die Richtlinie durch den Leiter der Organisation und schulen Ihre Mitarbeiter im Umgang. - Erstellen Sie die Betroffenheitsauskunft
Als Basis können Sie die Zuarbeiten Ihrer Verfahrenshersteller nutzen oder die „Informationsblätter nach Art.14 DSGVO“, mit dem Unterschied, dass dann alle Attribute detaillierter ausgeführt werden müssen (Kategorien reichen nicht mehr aus). Da die Daten des Antragstellers in mehreren Fachanwendungen oder Dokumenten enthalten sein können, müssen Sie den Antrag entsprechend der Richtlinie auch durch alle Ihre „Datenverarbeitenden Stellen“ „laufen“ lassen (z.B. Standesamt, Meldeamt, Bauamt, Kämmerei). Somit werden sie unter Umständen mehrere Betroffenheitsauskünfte erhalten. - Erteilen einer Betroffenheitsauskunft
Bei Erteilen der Auskunft gegenüber dem Antragsteller übermitteln Sie nur die Informationen, welche wirklich angefordert sind und unterscheiden am besten:
a. | Antragsteller will nur Auskunft, welche Daten gespeichert sind: – Rückübermittlung der einzelnen Betroffenheitsauskünfte |
b. | Zusätzlich will der Antragsteller die Technisch Organisatorische Maßnahmen einsehen: – Rückübermittlung der TOMs |
c. | Zusätzlich will der Antragsteller alle Daten: – Auszug aller Daten aus allen Datenverarbeitenden Stellen. Dokumente und Mails sind nach unserer Auffassung hierbei nicht zu berücksichtigen – Speicherung und Übermittlung – siehe oben |
Zusammenfassung
Wir hoffen, dass Sie mittels des Leitfadens die komplexe Thematik besser bewältigen können. Der Thüringer Gemeinde- und Städtebund e.V. stellt im Mitgliederportal auch entsprechende Unterlagen bereit, welche als Handreichung dienen.
Gerne unterstützen wir Sie hier – nehmen Sie hierzu Kontakt mit unserem Vertrieb auf.
© Vervielfältigung, Nachdruck nur mit Genehmigung der KIV Thüringen GmbH