Die Datenschutzgrundverordnung (DS-GVO), das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG) und weitere Spezialregelungen stellen umfangreiche datenschutzrechtliche Anforderungen auf. Die nachfolgenden Hinweise sollen eine erste Hilfestellung und Orientierung insbesondere für kleinere Kommunen bieten.
I. Verarbeitung personenbezogener Daten
Verarbeitung personenbezogener Daten (d. h. alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie etwa Name, Anschrift und E-Mail-Adresse, vgl. Art. 4 Nr. 1 DS-GVO) meint jeden Umgang mit solchen Daten, z. B. die Erhebung, die Speicherung, die Verwendung in dem jeweiligen (Fach-)Verfahren und die Übermittlung, vgl. Art. 4 Nr. 2 DS-GVO.
Nach dem Grundsatz der Rechtmäßigkeit der Verarbeitung, vgl. Art. 5 Abs. 1 Buchstabe a DS-GVO, verlangt jede Datenverarbeitung eine Rechtsgrundlage i. S. d. Art. 6 DS-GVO. Diese kann für öffentliche Stellen insbesondere die Erfüllung einer rechtlichen Verpflichtung, vgl. Art. 6 Abs. 1 Buchstabe c, Abs. 2 und 3 DS-GVO, sowie die Erfüllung der in der Zuständigkeit der Kommune liegenden Aufgabe, vgl. Art. 6 Abs. 1 Buchstabe e, Abs. 2 und 3 DS-GVO, sein. Rechtsgrundlagen i. S. d. Art. 6 Abs. 2 und 3 DS-GVO zu der Datenverarbeitung finden sich regelmäßig in dem jeweiligen Fachrecht (Melderecht, Kommunalrecht etc.). Ggf. kann auch ein Tatbestand des § 22 HDSIG einschlägig sein. Auf die Generalklausel des § 3 Abs. 1 HDSIG sollte aufgrund deren Unbestimmtheit und fraglichen Europarechtskonformität nur ausnahmsweise zurückgegriffen werden. Die jeweilige Rechtsgrundlage ist entsprechend zu dokumentieren (z. B. Art. 6 Abs. 1 Buchstabe c DS-GVO i. V. m. – jeweils entsprechend anzupassen – der Rechtsgrundlage aus dem Fachrecht).
Sonderregelungen bestehen bei der Verarbeitung besonderer Kategorien personenbezogener Daten nach Art. 9 DS-GVO (etwa Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen hervorgehen, und Gesundheitsdaten, siehe DSK-Kurzpapier Nr. 17Öffnet sich in einem neuen Fenster). Deren Verarbeitung ist grundsätzlich untersagt, sofern kein Ausnahmetatbestand i. S. d. Art. 9 Abs. 2 DS-GVO, § 20 HDSIG einschlägig ist.
Bei der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses sind die Maßgaben des § 23 HDSIG (bei der Personaldatenverarbeitung diejenigen der §§ 86 ff. des Hessischen Beamtengesetzes, HBG) zu berücksichtigen.
II. Datenschutzbeauftragte, Art. 37 ff. DS-GVO, §§ 5 ff. HDSIG
Kommunen müssen stets einen Datenschutzbeauftragten und dessen Vertreter benennen, Art. 37 Abs. 1 Buchstabe a DS-GVO, § 5 Abs. 1 HDSIG. Möglich ist gemäß Art. 37 Abs. 6 DS-GVO, § 5 Abs. 4 HDSIG auch die Benennung eines externen Datenschutzbeauftragten auf der Grundlage eines Dienstleistungsvertrages. Insbesondere kleinere Kommunen können einen gemeinsamen Datenschutzbeauftragten benennen, Art. 37 Abs. 3 DS-GVO, § 5 Abs. 2 HDSIG. Der Datenschutzbeauftragte muss über hinreichende Qualifikationen verfügen, vgl. Art. 37 Abs. 5 DS-GVO, § 5 Abs. 3 HDSIG, und mit entsprechenden (insbesondere zeitlichen und materiellen) Ressourcen ausgestattet werden, vgl. Art. 38 Abs. 2 DS-GVO, § 6 Abs. 2 HDSIG. ( Weiterführende Informationen zum DatenschutzbeauftragtenÖffnet sich in einem neuen Fenster)
Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen (Webseite etc.) und meiner Behörde mitzuteilen, Art. 37 Abs. 7 DS-GVO, § 5 Abs. 5 HDSIG. Die Meldung des Datenschutzbeauftragten ist mittels des Formulars auf meiner WebseiteÖffnet sich in einem neuen Fenster möglich.
III. Verzeichnis von Verarbeitungstätigkeiten, Art. 30 DS-GVO
Kommunen müssen regelmäßig ein Verzeichnis von Verarbeitungstätigkeiten führen, vgl. Art. 30 Abs. 5 DS-GVO (siehe DSK-Kurzpapier Nr. 1Öffnet sich in einem neuen Fenster). Dabei sind die Verarbeitungstätigkeiten der einzelnen Ämter, Verwaltungsstellen, Eigenbetriebe etc. zu dokumentieren. Das Verzeichnis dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und als Nachweis, dass die datenschutzrechtlichen Vorgaben eingehalten werden („Rechenschaftspflicht“ gemäß Art. 5 Abs. 2 DS-GVO). Die Anforderungen an die ordnungsgemäße Erstellung und kontinuierliche Pflege des Verzeichnisses sollten nicht unterschätzt werden. Dieses kann von meiner Behörde angefordert werden, vgl. Art. 30 Abs. 4 DS-GVO. ( MusterverzeichnisÖffnet sich in einem neuen Fenster)
IV. Informationspflichten, Art. 13 und 14 DS-GVO
Die betroffenen Personen sind grundsätzlich bereits bei der Datenerhebung zu informieren (siehe DSK-Kurpapier Nr. 10Öffnet sich in einem neuen Fenster und Guidelines on Transparency under Regulation 2016/679Öffnet sich in einem neuen Fenster). Die inhaltlichen Anforderungen ergeben sich aus Art. 13 Abs. 1 und Abs. 2 bzw. Art. 14 Abs. 1 und Abs. 2 DS-GVO. Die Informationen sind transparent, verständlich und leicht zugänglich zu erteilen, vgl. Art. 12 DS-GVO.
Die Informationen können etwa auf kommunalen Schreiben, Aushängen vor Ort sowie auf der Webseite abgebildet werden. Dies kann auch in abgestufter Form geschehen: Zunächst genügen verkürzte Informationen, sofern an anderer Stelle (Webseite, Informationsblatt o. ä.) alle notwendigen Informationen des Art. 13 bzw. Art. 14 DS-GVO bereitgehalten werden und darauf hingewiesen wird.
Die Informationen sind seitens der Kommune lediglich zu erteilen. Eine „Zustimmung“, „Einwilligung“ o. ä. durch die betroffenen Personen ist dagegen nicht einzuholen.
V. Rechte der betroffenen Personen, Art. 15 ff. DS-GVO
Betroffene Personen haben nach Art. 15 ff. DS-GVO mehrere Rechte. Neben dem Auskunftsrecht nach Art. 15 DS-GVO (siehe DSK-Kurzpapier Nr. 6Öffnet sich in einem neuen Fenster und Guidelines 01/2022 on data subject rights – Right of access (EDSA)Öffnet sich in einem neuen Fenster) als zentralem Betroffenenrecht stehen ihnen insbesondere folgende Rechte zu:
- Recht auf Berichtigung (Art. 16 DS-GVO),
- Recht auf Löschung (Art. 17 DS-GVO, siehe DSK-Kurzpapier Nr. 11Öffnet sich in einem neuen Fenster),
- Recht auf Einschränkung der Verarbeitung (Art. 18 DS-GVO),
- Widerspruchsrecht (Art. 21 DS-GVO).
Sofern eine betroffene Person von ihrem Auskunftsanspruch nach Art. 15 DS-GVO Gebrauch macht, ist die Datenauskunft vollständig zu erteilen (vgl. die einzelnen Punkte des Absatzes 1 und 2). Sofern eine große Menge von Informationen über die betroffene Person verarbeitet wird, kann zunächst eine allgemein gehaltene Auskunft erteilt werden. Sodann kann die betroffene Person ihr Auskunftsrecht konkretisieren, vgl. Erwägungsgrund 63 S. 7 DS-GVO. Auch die Herausgabe von Kopien einzelner Dokumente, Unterlagen etc. kann geschuldet sein. Das Recht auf Erhalt einer Kopie darf aber die Rechte und Freiheiten anderer Personen nicht beeinträchtigen. Kopien sind daher gegebenenfalls entsprechend zu schwärzen.
Der Antrag ist grundsätzlich auf dem Kommunikationskanal zu erfüllen, auf dem er gestellt worden ist (vgl. zu der elektronischen Antragstellung Art. 15 Abs. 3 DS-GVO). Dies gilt jedoch nur, sofern die Identität des Antragsstellers bzw. dessen (alleinige) Verfügungsgewalt über erhaltene Nachrichten sichergestellt ist. Eine Auskunft per E-Mail ist etwa nicht zu erteilen, wenn nicht verifiziert ist, dass die E-Mail-Adresse zu dem Antragsteller gehört. Der Antrag ist grundsätzlich spätestens innerhalb eines Monats nach Eingang des Antrages zu erfüllen, vgl. Art. 12 Abs. 3 DS-GVO.
Bei „begründeten Zweifeln“ an der Identität des Antragstellers können zusätzliche Informationen angefordert werden, vgl. Art. 12 Abs. 6 DS-GVO. Es kann etwa die Kopie des Personalausweises (versehen mit dem Hinweis auf die Möglichkeit von Schwärzungen nicht erforderlicher Angaben) verlangt werden. Eine voraussetzungslose Anforderung weiterer Informationen ist jedoch nicht zulässig.
Das Recht auf und die Pflicht zur Löschung nach Art. 17 Abs. 1 DS-GVO besteht nicht voraussetzungslos, sondern unterliegt den Einschränkungen des Absatzes 3. Eine Datenlöschung muss regelmäßig nicht erfolgen, sofern die Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich sind oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde, Art. 17 Abs. 3 Buchstabe b DS-GVO.
VI. Auftragsverarbeitung, Art. 28 DS-GVO, und gemeinsame Verantwortlichkeit, Art. 26 DSGVO
Die Abgrenzung zwischen (eigenständiger) Verantwortlichkeit, Auftragsverarbeitung und gemeinsamer Verantwortlichkeit ist in der Praxis häufig schwierig und muss für jeden Verarbeitungsvorgang gesondert geprüft werden (siehe DSK-Kurzpapier Nr. 13 Öffnet sich in einem neuen Fensterund Nr. 16Öffnet sich in einem neuen Fenster sowie Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVOÖffnet sich in einem neuen Fenster).
„Verantwortlicher“ ist gemäß Art. 4 Nr. 7 DS-GVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sofern zwei oder mehr Verantwortliche gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, sind sie gemeinsam Verantwortliche, vgl. Art. 4 Nr. 7, Art. 26 DS-GVO. „Auftragsverarbeiter“ ist nach Art. 4 Nr. 8, Art. 28 DS-GVO eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Sofern eine Kommune externe Dienstleistungen (z. B. Hosting der Webseite, Einscannen und Archivierung von Dokumenten) in Anspruch nimmt, um personenbezogene Daten im Auftrag durch andere Dienstleister verarbeiten zu lassen, ist mit diesen ein Auftragsverarbeitungsvertrag abzuschließen, vgl. Art. 28 Abs. 3 DS-GVO. ( Formulierungshilfe für einen AuftragsverarbeitungsvertragÖffnet sich in einem neuen Fenster)
Der Vertrag mit dem Dienstleister unterliegt nur insoweit den datenschutzrechtlichen Anforderungen an die Auftragsverarbeitung, als der Vertrag tatsächlich Elemente der Auftragsverarbeitung betrifft. Darüber hinaus kann der Vertrag auch weitere Bestandteile (etwa Werk- oder Dienstleistungen) enthalten. Hinsichtlich der Auftragsverarbeitung genügen häufig kurz gehaltene Regelungen.
Sofern zwei (oder mehr) Kommunen (oder Kommunen und andere Stellen, etwa private Unternehmen) gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen, sind sie „gemeinsam Verantwortliche“ i. S. d. Art. 26 DS-GVO und müssen eine entsprechende Vereinbarung abschließen. Eine besondere Schwierigkeit stellt sich bei der Nutzung von sozialen Medien durch KommunenÖffnet sich in einem neuen Fenster. Insbesondere in diesen Fällen ist auch die Problematik von DrittstaatentransfersÖffnet sich in einem neuen Fenster zu berücksichtigen.
VII. Sicherheit der Verarbeitung, Art. 32 DS-GVO
Kommunen haben geeignete technische und organisatorische Maßnahmen zu der Gewährleistung eines angemessenen Schutzniveaus für personenbezogene Daten zu ergreifen, vgl. Art. 32 DS-GVO (siehe DSK-Kurzpapier Nr. 18Öffnet sich in einem neuen Fenster). Hierzu muss zunächst das Risiko für die Rechte und Freiheiten der von der Verarbeitung ihrer Daten betroffenen Personen ermittelt werden. Hierauf aufbauend müssen unter Berücksichtigung der übrigen Aspekte des Art. 32 Abs. 1 DS-GVO geeignete technische und organisatorische Maßnahmen konzipiert und umgesetzt werden. Diese Maßnahmen sind regelmäßig sowie anlassbezogen zu überprüfen und bei Bedarf anzupassen. Als Grundlage sind in jedem Fall Basismaßnahmen zu ergreifen. Hierzu zählen insbesondere auch zeitnah mit Sicherheits-Updates aktuell gehaltene Betriebssysteme und Anwendungen, eine einheitliche durchgehend umgesetzte Passwortrichtlinie, regelmäßige Backups, aktuelle Anti-Virus-Software und ein durchgehendes Benutzer-Rollen-Konzept. Dokumente in Papierform sind unbedingt ordnungsgemäß zu vernichten (Papierschredder, Aktenvernichter o. ä.).
Besondere Schwierigkeiten – nicht nur hinsichtlich der Sicherheit der Verarbeitung – stellen sich bei der Nutzung von VideokonferenzsystemenÖffnet sich in einem neuen Fenster sowie bei der Übermittlung personenbezogener Daten per FaxÖffnet sich in einem neuen Fenster.
VIII. Datenschutz-Folgenabschätzung, Art. 35 DS-GVO
Sofern eine Datenverarbeitung voraussichtlich ein hohes Risiko für betroffene Personen zur Folge hat, ist vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durchzuführen (siehe DSK-Kurzpapier Nr. 5Öffnet sich in einem neuen Fenster). Eine solche ist insbesondere in den Art. 35 Abs. 3 DS-GVO festgelegten Fällen erforderlich (umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 DS-GVO, systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche etc.). Eine - nicht abschließende – Liste der VerarbeitungstätigkeitenÖffnet sich in einem neuen Fenster, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, stellt der HBDI zur Verfügung.
IX. Datenschutzverletzungen, Art. 33 und 34 DS-GVO
Im Falle einer Verletzung des Schutzes personenbezogener Daten (etwa Diebstahl oder Verlust von Smartphone, Laptop o. ä.; Fehlversand von Unterlagen; Hacking, Phishing o. ä.) bestehen gesetzliche Meldepflichten gemäß Art. 33 und 34 DS-GVO.
Eine Meldung an die Aufsichtsbehörde nach Art. 33 DS-GVO muss i. d. R. erfolgen. Eine Bagatellgrenze besteht nicht. Eine Meldung ist nur dann nicht erforderlich, wenn kein Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Ein Risiko i. S. d. DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, das selbst einen Schaden (einschließlich ungerechtfertigter Beeinträchtigung von Rechten und Freiheiten natürlicher Personen) darstellt oder zu einem weiteren Schaden für eine oder mehrere natürliche Personen führen kann. Das Risiko hat zwei Dimensionen: die Schwere des voraussichtlichen Schadens sowie die Wahrscheinlichkeit, dass das Ereignis und die Folgeschäden eintreten . Die Einschätzung ist zum Zeitpunkt der Entscheidung über die Meldung vorzunehmen und muss im weiteren Verlauf bei Bedarf angepasst werden. Bei der Meldung gegenüber meiner Behörde sollte der Sachstand zu dem Vorfall derart ausführlich beschrieben werden, dass der Vorfall und dessen Kontext möglichst vollständig nachvollziehbar ist.
Der Prozess und die Zuständigkeit für die Meldung ist innerhalb der Gemeinde festzulegen. Die 72-Stunden-Frist ab Bekanntwerden der Verletzung muss eingehalten werden. Hierbei sieht Art. 33 Abs. 4 DS-GVO auch die Abgabe einer Meldung mit unvollständigen Informationen vor. Fehlende Informationen können ohne unangemessene Verzögerungen nachgereicht werden. ( Weitere InformationenÖffnet sich in einem neuen Fenster)
Nach Art. 33 Abs. 5 DS-GVO sind Verletzungen des Schutzes personenbezogener Daten einschließlich aller im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zu dokumentieren. Diese Dokumentation muss der Aufsichtsbehörde die Überprüfung der Einhaltung der Bestimmungen des Art. 33 DS-GVO ermöglichen. Eine Benachrichtigung der betroffenen Personen gemäß Art. 34 DS-GVO muss dagegen nur bei einem „hohen Risiko“ erfolgen.
X. Umsetzung des Datenschutzes in IT-Projekten, Art. 25 und 32 DS-GVO
Im Rahmen von IT-Projekten sollten datenschutzrechtliche Anforderungen von Beginn an, umfassend und durchgängig berücksichtigt und umgesetzt werden. Insbesondere in den frühen Phasen von Projekten wird das Fundament für den Projekterfolg gelegt. Umgekehrt können Versäumnisse in späteren Phasen häufig, wenn überhaupt, nur unter erheblichem Ressourceneinsatz korrigiert werden. Eine frühzeitige Berücksichtigung datenschutzrechtlicher Anforderungen trägt somit zu der Vermeidung von Projektrisiken wie Projektverzögerungen, Budgetüberschreitungen oder gar Projektabbrüchen und somit zum Projekterfolg bei.
Nach Abschluss eines IT-Projektes und der Inbetriebnahme der Projektergebnisse müssen für deren Betrieb, Wartung, etwaige Weiterentwicklung und schließlich deren Außerbetriebnahme ebenfalls die Anforderungen des Datenschutzes erfüllt werden. Dies sollte im Rahmen eines ganzheitlichen Datenschutzmanagements erfolgen, bei welchem insbesondere die Anforderungen aus den vorangegangenen Abschnitten umgesetzt werden.