Ende Mai steht die vorgeschriebene Umsetzung der Datenschutzgrundverordnung (DSGVO) vor der Tür – sie gilt auch für Ämter und Behörden. Die Verordnung ist nicht ganz unerheblich: festgeschrieben ist hierin u.a. das „Recht auf Vergessen“. Ab dem 25. Mai entfaltet sie Wirkung für alle Mitgliedstaaten in der EU – auch für Deutschland.
Mit der EU-Datenschutz-Grundverordnung ist ein einheitlicher Rechtsrahmen für die Datenschutzvorgaben in allen Mitgliedsstaaten geschaffen. Bereits im Entstehungsprozess um die Vereinheitlichung war erkennbar, dass das Datenschutzniveau in Deutschland unter die bisher hohe Messlatte rutschen könnte. Insbesondere die Öffnungsklauseln gaben Datenschützern und Verbraucherschützern Anlass zur Sorge. Bei den Verbraucherschützern geriet insbesondere die Bonitätsprüfung in den Fokus, weil Geo-Scoring-Verfahren bestimmte Wohnorte und damit ihre Bewohner als weniger kreditwürdig einstufen könnten.
Die Verordnung bringt einige Änderungen auch für die Menschen in ihrer Rolle als „Bürger“ mit sich. Neben dem Recht auf Vergessen, also das Löschen von veralteten Daten oder auch von falschen Daten und ihrer Meinung nach zu Unrecht erhobene Daten stellt sich die Frag nach Transparenz: Um so konkret mündig handeln zu können, bedarf es der absoluten Transparenz über die Datenerhebung, die Weiterverarbeitung der Daten. Die Frage muss beantwortbar sein, bei wem sich welche personenbezogenen Daten befinden und wie diese genutzt und weitergegeben wurden.
Die Frage ist, wie sich Kommunen darauf vorbereiten. Es erfordert den Einsatz behördlicher Datenschutzbeauftragter in den Kommunen. Bisher ist in der Regel wenig über deren Arbeit bekannt, weder über ihr bisheriges Wirken noch über Maßnahmen, die sich jetzt durch das Inkrafttreten der DSGVO ergeben. Viele Kommunen kommunizieren darüber nicht.
Spannend aber wäre es zu erfahren, was auch die den Kommunen angeschlossenen Rechenzentren für diesen Neuschub an Datenschutz unternehmen, denn es geht auch darum, wie der Umgang mit diesen Daten durch die Dienstleister gewährleistet wird, die solche Daten bearbeiten und speichern. Welche technisch und organisatorische Maßnahmen werden angewendet, die dem Datenschutz dienen? Hier wird auch das Thema „Meldung von Datenschutzverstößen“ angesprochen.
Hier zeigt sich ein schneller Überblick über die einzelnen Paragraphen der DSGVO:
Spannend ist das Kapitel 3 mit den Rechten der Betroffenen. Hier besonders die Artikel 12 bis 23, die sich entlang hangeln an den Themen transparente Information, Informationspflicht, Auskunftsrecht der betroffenen Person, Recht auf Berichtigung und Recht auf Löschung. Hier finden sich Sätze wie „Beabsichtigt der Verantwortliche, die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den die personenbezogenen Daten erhoben wurden, so stellt er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gemäß Absatz 2 zur Verfügung.“ Auch Kapitel 5 hält einiges bereit, denn hier geht es um die Übermittlung von Daten an Drittländer oder an internationale Organisationen. Nicht ganz unerheblich für jeden Einzelnen, dies in einer globalisierten Welt.
Auf der Seite des Datenschutzbeauftragten findet sich:
Informationspflichten bei Datenerhebung und -verarbeitung sind fester Bestandteil des Datenschutzrechts. Unter der DSGVO vervielfachen sich jedoch die von Unternehmen und Verantwortlichen zu berücksichtigenden Pflichten in Bezug auf die Information von Betroffenen. Maßgebliche Normen sind hier Art. 13 und 14 DSGVO. Nach Art. 13 DSGVO sind insbesondere die folgenden Informationen dem Betroffenen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu erteilen:
- Identität des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten
- Verarbeitungszwecke und Rechtsgrundlagen
- Berechtigtes Interesse
- Empfänger
- Übermittlung der Daten in Drittstaaten
- Dauer der Speicherung
- Betroffenenrechte
- Widerrufbarkeit von Einwilligungen
- Beschwerderecht bei der Aufsichtsbehörde
- Verpflichtung zur Bereitstellung personenbezogener Daten
- Automatisierte Entscheidungsfindung und Profiling
Interessant ist auch der Umstand, dass Schadensersatz bei Verstößen gegen Datenschutzverordnung möglich ist. Wahrscheinlich ist damit zu rechnen, dass künftig mehr Bürgerinnen und Bürger davon Gebrauch machen werden, weil Datenschutz sehr stark in den Fokus rückt und immer mehr Menschen wissen, wie sie sich wehren können.
Mit Blick auf die eigene Kommune und die Frage, was macht eigentlich der kommunale Datenschutzbeauftragte und wie werde ich über diese Änderungen informiert, empfiehlt sich auch nochmal die Lektüre des Landesrechtes für den Einsatz von Datenschutzbeauftragten, ihrer Einsetzung, ihrer Pflichten, Stellung, ihrem Anforderungsprofil sowie auch deren Nicht-Einsatz in kommunalen Eigenbetrieben. Hier mal ein Blick in das Landesrecht NRW.
Einige Kommunen haben bezüglich des Maitermins der DSGVO eine eigene Projektgruppe ins Leben gerufen, die sich um die Auswirkungen kümmern. Jetzt bleibt die Frage, wie das an die Bürger kommuniziert wird. Insbesondere dann, wenn dahinter auch ein Rechenzentrum steht, welches in der Regel den Bürgern in seiner Arbeit nicht transparent ist. In Gütersloh etwa steht dahinter die RegioIT – kürzlich aufgefallen durch ein Datenleck in ihrem Angebot zu Vote IT – welches auf dem 34C3 in Leipzig massiv kritisiert wurde – und erst dann Reaktion folgte.
Wie läuft die Vorbereitung auf und die Information über DSGVO in Ihrer Kommune?
