Datenschutz-Grundverordnung mit Blick auf den Öffentlichen Sektor

Die EU-Datenschutzgrundverordnung tritt am 25. Mai 2018 in Kraft und es ergeht die Vermutung, dass der Zeitraum für den Gesetz­geber, die Einzelgesetze anzupassen und der Zeitraum für die Behörden, sie umzusetzen, knapp wird.

Die EU-Daten­schutz­grund­verordnung (EU-DSGVO) wird Behörden und weitere öffentliche Stellen betreffen. Nach Artikel 2 Absatz 2 Satz d der EU- DSGVO sind aus dem sachlichen Anwendungs­bereich lediglich Behörden ausgenommen, die zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit personen­bezogene Daten verarbeiten. Umgekehrt gilt die EU-DSGVO generell für alle bundes-, landes- und kommunal­rechtlichen Auf­gaben­bereiche, bei denen personenbezogenen Daten verarbeitet werden. An nicht wenigen Stellen innerhalb der EU-DSGVO werden jedoch Ausnahmen in der Gestalt formuliert, dass die Mitgliedstaaten spezifischere Bestimmungen zur Anpassung der Anwendung der Vorschriften der Verordnung einführen. So fällt Artikel 6 Absatz 1 Satz e darunter, der die Rechtmäßigkeit der Verarbeitung für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt, erklärt.

Solche Ausnahmen sind auch nachvollziehbar. Sind doch in unzähligen Rechts­vorschriften besondere datenschutz- und informations­sicherheits­spezifische Regelungen heute schon vorhanden. Dazu zählen neben den landes­spezifischen Daten­schutz­gesetzen (BayDSG, DSG NRW, LDSG RLP, etc.) z. B. auch das Sozialgesetzbuch, Bundes­melde­gesetz u.v.m. sowie die nun schrittweise entstehenden Gesetze zum e-Government.

Generell kann davon ausgegangen werden, dass die spezifischen Gesetze sowie natürlich die landes­spezifischen Datenschutzgesetze alle bis zur Umsetzungsfrist eine mehr oder weniger umfangreiche Anpassung benötigen. Bis dahin gelten sie aber weiter und finden Anwendung.

Umfeld oder „Warum ist Datenschutz im Öffentlichen Sektor so wichtig?”

Die Novellierung des Datenschutzes mit der EU-DSGVO ist nur ein Baustein. Durch die zu­neh­mende Digitalisierung der behördlichen Verwaltungs­prozesse sowie durch die enorm gestiegene Cyber-Kriminalität steht der Öffentliche Sektor vor einer enormen Herausforderung. Die Einführung eines wirksamen Datenschutzes ist kein Selbstzweck. Der Datenschutz ist gedanklich „eingebettet” in ein wirksames Informationssicherheitsmanagement – ein wesentliches Instrument, damit künftig die Behörden überhaupt in der Lage sein werden, auf stabile Verwaltungsprozesse zu vertrauen.

Gerade vor dem Hintergrund einer immer komplexer werdenden Struktur von IT-Serviceleistern (eigene IT, IT im nahen behördlichen Umfeld, zentrale IT im Rechenzentrum, externe Dritte als IT-Serviceleister) ist es geboten, dass der Gesetzgeber auch dem Öffentlichen Sektor durch die EU-DSGVO konkrete Anforderungen zum Schutz personenbezogener Daten mit auf dem Weg gibt. Dabei treffen die Anforderung in der realen Umsetzung nicht immer nur auf die personen­bezogenen Daten.

Sie betreffen vielmehr den Umgang von Daten und Informationen einer Behörde insgesamt (Organisation, technische Infrastruktur, behördliche Anwendungsprogramme, behördliche Verwaltungsprozesse, etc.).

Herausforderung für öffentliche Stellen

• Informationssicherheitsmanagementsystem (alle schutzbedürftigen Daten und Informationen)
• Datenschutzmanagementsystem (alle personenbezogenen Daten)

• Ein System erfordert einen geschlossenen und wiederkehrendenProzess (IST-Aufnahme, Analyse, Planung, Umsetzung, Kontrolle);
• Das System muss Verantwortlichkeiten klar definieren (Verantwortlich für die Umsetzung, Verantwortlich für die Kontrolle);
• Im System müssen interne Kontrollen verankert sein, sodass die Prozesse nicht einer Zufälligkeit unterworfen sind und bei Abweichung rechtzeitig eingegriffen werden kann
• Die Prozesse und Kontrollen müssen beschrieben und diese müssen  nachweisbar sein.

Blickt man nun auf Behörden, so muss aufgrund von Erfahrungswerten festgehalten werden, dass sowohl im Hinblick auf ein Informations­sicherheits-, als auch auf ein Datenschutzmanagementsystem die Behörden zu obigen Sachverhalten zum Teil erheblichen Nachholbedarf haben. Und das schon vor dem Hinter­grund der aktuellen Gesetzgebung.

Was ändert sich nun wesentlich?

Sicher ist, dass durch die EU-DSGVO die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) flächig greifen wird (Artikel 37 Absatz 1 Satz a). Das wird zumindest in den Bundes­ländern, die bislang nur eine „Kann-Bestimmung” im jeweiligen Datenschutzgesetz verankert haben (Baden-Württemberg, Schleswig-Holstein, Niedersachsen, Saarland und Sachsen), eine erhebliche Veränderung bringen.

Durch den steigenden Bedarf an systematisierter Informationssicherheit (u.a. gestützt durch die entsprechenden e-Governmentgesetze) wird zunehmend die Rolle des Informations­sicher­heits­be­auf­tragten (ISBe) mit jener des DSB zu kombinieren sein. Da insbesondere in kleineren und mittleren Behörden die Personen, die den DSB / ISBe stellen, auch noch andere Aufgaben innehaben, sollten die Aufgaben zumindest nicht im Konflikt zueinander stehen. Das wäre etwa dann der Fall, wenn der DSB / ISBe aus den Reihen der IT kommt.

Aus dieser Ableitung wird auch deutlich, dass der DSB / ISBe ein besonderes Kompetenzprofil mitbringen muss, um diese Rolle wahrzunehmen. Die EU-DSGVO fordert entsprechend, dass bei einem DSB nicht nur datenschutzrechtliche Expertise, sondern auch datenschutzpraktische (IT-)Erfahrung entscheidend ist.     

Zur Umsetzung eines wirksamen Systems kann es hilfreich sein, dass laut Artikel 37 Absatz (3) mehrere Behörden oder öffentliche Stellen einen gemeinsamen DSB benennen können. Das ermöglicht breite Organisationsstrukturen. 
 
Die EU-DSGVO sieht generell Datenschutzfolgeabschätzungen (Artikel 35) vor. In diesen muss der Verantwortliche vorab die Folgen, die sich aus den Risiken einer Verarbeitung ergeben, gegen den Zweck abwägen. Sollte die Verarbeitung auf einer Rechtsgrundlage beruhen, bei der eine entsprechende Folgeabschätzung vorab z.B. durch den Gesetzgeber bereits erfolgte, kann sie bei dem Verantwortlichen entfallen (Artikel 35 Absatz 10).
 
Interessant ist in Artikel 40 die Ausarbeitung von „genehmigten Verhaltensregeln” und in Artikel 42 die Erlangung von Zertifizierungen. Gemeint ist, dass sich eine Behörde an Verhaltensregeln (z.B. entwickelt vom Städtetag und genehmigt von einer Aufsichtsbehörde) hält oder externe Zertifizierungen vorweisen könnte. Sollte es im Rahmen von Überprüfungen durch die Aufsicht trotzdem zu Feststellungen kommen, würde das die Verhaltensregeln bzw. das Zertifikat würdigen. Gerade vor dem Hintergrund, dass über die einzelnen e-Governmentgesetze zunehmend angemessene Informationssicherheitskonzepte und -managementsystem ein­ge­fordert werden und sie i.d.R. durch Dritte zertifiziert werden, sind hier Synergien zu vermuten.

Zudem sind die Ausführungen zum „gemeinsamen Verantwortlichen” nach Artikel 26 interessant. Demnach können 2 oder mehrere Verantwortliche, die gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, gemeinsam verantwortlich sein. Das kann z.B. in verbindlichen Rechenzentrumsstrukturen in interkommunaler Zusammenarbeit Geltung erlangen und ein Datenschutzmanagementsystem in vielen Dingen vereinfachen.

Was muss jetzt getan werden?

Erfahrungsgemäß stehen viele Behörden und öffentliche Stellen im Reifegrad zum Datenschutz und zur Informationssicherheit noch ziemlich am Anfang. Daher lassen sich 2 Stoßrichtungen sofort formulieren:

1. Aufbau oder Weiterentwicklung eines Datenschutzmanagements nach aktuellem Recht ist sinnvoll, nutzt die verbleibende Zeit und hilft das Sicherheitsniveau zu steigern.
2. Organisation eines Projekts „Anpassungsnotwendigkeiten im Rahmen der EU-DSGVO”.