Herausforderung Digitalisierung – erfolgreich gestaltet mit „guter Datenschutzpraxis“!
Ein Beispiel aus der Kommunalverwaltung anhand der Stadt Köln
Ausgangslage – Was hat Digitalisierung überhaupt mit Datenschutz zu tun?
Mehr als 90 Prozent aller Aufgaben einer Kommunalverwaltung, so auch in der Stadtverwaltung Köln, sind verbunden mit der Verarbeitung von personenbezogenen Daten der Bürger*innen. Die Digitalisierungsbestrebungen, vorangetrieben insbesondere durch die Vorgaben des Onlinezugangsgesetzes, sind insoweit neben den technischen Umsetzungsaspekten über Onlineportale und IT-Fachanwendungen ganz überwiegend datenschutzrelevant, das heißt, die rechtlichen Rahmenbedingungen der EU-Datenschutzgrundverordnung (DSGVO), der Landesdatenschutzgesetze und spezialgesetzlicher Fachregelungen sind zu beachten.
Die in diesem Zusammenhang zu treffenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten sind nicht nur rechtlich obligatorisch vorgeschrieben, sondern werden von den Bürger*innen ausdrücklich erwartet. Erfahrungen hierzu zeigen, dass potentielle Nutzer*innen angebotener kommunaler Dienstleistungen, auch wenn sie ihre personenbezogenen Daten zum Beispiel in sozialen Netzwerken umfassend und teilweise bedenkenlos offenbaren, gegenüber staatlichen Institutionen jedoch deutlich kritischer eingestellt sind und der Verlust von Privatsphäre und selbstbestimmtem Handeln befürchtet wird.
Das bedeutet, dass nachvollziehbar gestalteter Datenschutz das Vertrauen der Bürger*innen in die Verwaltung und damit in die von ihr angebotenen Produkte stärkt und die Nutzung kommunaler Dienstleistungen deutlich erhöhen wird. Dies nach dem Motto: „Datenschutz darf nicht nur draufstehen, sondern muss auch drinstecken".
Der Datenschutzbeauftragte als Garant für die erfolgreiche Digitalisierung von Verwaltungsleistungen
Bei der Umsetzung des Onlinezugangsgesetzes stehen die Nutzer*innen im Mittelpunkt. Betrachtet werden ebenjene Verwaltungsleistungen, die Auswirkungen auf Bürger*innen und Bürger sowie Unternehmen haben. Daraus begründet sich der Anspruch der Stadt Köln, die digitalisierten Verwaltungsleistungen transparent, anwenderfreundlich, funktional und qualitätsvoll zu gestalten.
Die Technisierung von Verwaltungsvorgängen als Online-Angebote, IT-Fachanwendungen oder durch externe Dienstleister zu erbringende Auftragsverarbeitungen haben auch unübersehbar Auswirkungen auf den Datenschutz. Insbesondere nach Etablierung des informationellen Selbstbestimmungsrechtes durch das Bundesverfassungsgericht im Zusammenhang mit der Volkszählung 1983, die Einführung des Landesdatenschutzgesetzes in NRW 2001 sowie die Einführung der DSGVO zum Mai 2018 haben die Anforderungen an den Datenschutz – sowohl innerhalb der verantwortlichen Stellen, bezogen auf regelbasiertes Verhalten, als auch durch die Bürger*innen, bezogen auf ihre verbrieften Rechte zum Beispiel auf Information oder Auskunft – deutlich erhöht.
Aufgabe des Datenschutzbeauftragten einer Kommunalverwaltung ist hierbei die Beratung und Kontrolle der verantwortlichen Stelle, hier der Stadtverwaltung Köln. Eine quantitative Einschätzung für die Stadt Köln aus August 2021 kommt zu dem Ergebnis, dass rund 35 Prozent der vorhandenen Ressourcen im Team des Datenschutzbeauftragten für die Beratung von Beschäftigten und Dienststellen sowie Bürger*innen aufgewendet werden. Auf die datenschutzrechtliche Konsultation der Fachdienststellen, insbesondere im Rahmen von Datenschutzfolgenabschätzungen, entfallen als sogenannte prozessabhängige Überwachungen 30 Prozent, auf Tätigkeiten im Zusammenhang mit Datenschutzverstößen innerhalb der Verwaltung und auf die Kommunikation mit der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) als prozessunabhängige Überwachungen ebenfalls 20 Prozent der vorhandenen Ressourcen.
Um den oben genannten Anforderungen gerecht werden zu können, ist neben der notwendigen datenschutzrechtlichen Sach- und Fachkenntnis die Absolvierung einer entsprechend umfassenden Zertifizierungsschulung für die Datenschutzbeauftragten empfehlenswert. Strukturell sind die Gewährleistung der Weisungsfreiheit, die organisatorische Anbindung an die Hauptverwaltungsbeamten oder deren Vertretung sowie eine ausreichende Ressourcenausstattung entscheidende Erfolgsfaktoren.
Bei der Stadt Köln wird dies gewährleistet durch die Anbindung des behördlichen Datenschutzbeauftragten als Stabsstelle bei der Stadtdirektorin, hier in deren Funktion als ständige Stellvertreterin der Oberbürgermeisterin. Insgesamt werden in der Millionenstadt Köln mindestens drei Vollzeitäquivalente für die Sicherstellung des Datenschutzauftrages zur Verfügung stehen. Darüber hinaus verfügt jede der circa 85 Dienststellen über eine dezentrale Datenschutzkoordination. Deren Aufgabe ist es als erster Ansprechpartner sowohl für die Bürger*innen als auch die Beschäftigten in Fragen des Datenschutzes zur Verfügung zu stehen und den Datenschutzbeauftragten bei der Wahrnehmung der Aufgaben operativ vor Ort zu unterstützen.
Aufgabe des Datenschutzbeauftragten einer Kommunalverwaltung ist hierbei die Beratung und Kontrolle der verantwortlichen Stelle.
Umsetzung der DSGVO als Grundvoraussetzung für einen funktionierenden Datenschutz
Die Umsetzung der DSGVO zum Mai 2018 und die damit verbundenen Anforderungen an das europäische Regelungsniveau sind Voraussetzung für einen funktionsfähigen Datenschutz, sowohl bezogen auf die durch den Datenschutzbeauftragten wahrzunehmenden Aufgaben als auch auf die Übernahme der Verantwortlichkeiten der sogenannten verantwortlichen Stelle Stadt Köln.
Die Stadt Köln hat diese Transformation in einem strukturierten Prozess im Zeitraum von Mai 2016 bis Mai 2018 für alle städtischen Fachdienststellen durchgeführt. Näheres zu Umsetzungsinhalten und Organisationsstruktur kann man im Fachbeitrag in EUROPA kommunal nachlesen (siehe Dokument am Ende des Artikels). Mit Vorliegen eines Datenschutzmanagementkonzeptes sowie einer operativen Dienstanweisung Datenschutz und Informationsfreiheit, die unter anderem auch die Zulässigkeitsprozesse zur Durchführung von Datenschutzfolgenabschätzungen sowie die Dokumentation in Verarbeitungsverzeichnissen definiert, wurde Ende 2019 die Umsetzung der DSGVO für die Stadt Köln erfolgreich abgeschlossen.
Der Datenschutz der Stadt Köln ist zwischenzeitlich als Teilbaustein über den Informationsverbund Basisdienste des Rechenzentrums der Stadt Köln durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach der ISO 27001 zertifiziert und hat mit Bestbewertungen die Prüfung der DSGVO-Umsetzung durch die Gemeindeprüfungsanstalt NRW durchlaufen.
Derzeit wird mit Blick auf den Überwachungsauftrag des Datenschutzbeauftragten ein Fragenkatalog für die Fachdienststellen der Stadt Köln konzipiert, mit dem der Stand des Datenschutzes im Sinne eines Qualitätsmanagements erhoben und gegebenenfalls bestehende Informations- und Vollzugsdefizite erkannt werden sollen.
Rechtssichere, ganzheitlich-interdisziplinäre Aufgabenwahrnehmung des Datenschutzbeauftragten mit dem Ziel pragmatischer Lösungen
Für die operative Aufgabenwahrnehmung des Datenschutzbeauftragten, sowohl bezogen auf die Überwachungs- als auch die Beratungstätigkeiten, hat sich als zielführend und akzeptanzfördernd erwiesen, nicht nur rechtssicher, sondern auch fachübergreifend an datenschutzrechtliche Fragestellungen heranzugehen. Demnach auch darauf hinzuweisen, dass zum Beispiel durch eine bestimmte Lösung oder ein Vorgehen fachliche Konsequenzen bei anderen Aufgabenträgern ausgelöst werden oder die Beteiligung der Personalvertretung vorgenommen werden sollte, mithin sogar verpflichtend ist.
Ziel ist in jedem Fall – im Rahmen der rechtlichen Vorgaben – pragmatische und für die Verwaltung leistbare Lösungen für datenschutzrechtliche Tatbestände zu entwickeln. Das bedeutet, dass weniger ein kategorisches „Nein“ des Datenschutzbeauftragten zu einer Fragestellung vorkommt als das Votum „das geht so“ oder „das geht so nicht, aber so könnt ihr es machen“.
Wichtig ist in diesem Zusammenhang die enge und vertrauensvolle Zusammenarbeit mit der IT-Sicherheit – bei der Stadt Köln in einem eigenem Fachamt für Informationsverarbeitung – als auch mit dem IT-Sicherheitsverantwortlichen. Datenschutz und IT-Sicherheit sind hier für die Entwicklung guter Digitalisierungslösungen unabdingbare Bestandteile, buchstäblich also die zwei Seiten derselben Medaille.
Die Vielzahl der Anfragen und Beteiligungen des Datenschutzbeauftragten, zum Beispiel auch im Rahmen von datenschutzrechtlichen Konsultationen, zeigen hier einerseits das Bewusstsein aller Hierarchieebenen der verantwortlichen Stadt Köln, von den Beschäftigten, über die Dezernats- und Amtsleitungen bis hin zur Oberbürgermeisterin, im Sinne des Datenschutzes rechtssicher zu handeln. Andererseits zeigen die Anfragen auch das Vertrauen in die Aufgabenwahrnehmung des Datenschutzbeauftragten, lösungsorientiert rechtskonforme Maßnahmen zu entwickeln und umzusetzen.
Gut aufgestellt für die anstehenden Digitalisierungsanstrengungen
Für einen erfolgreichen und wie anstehend umfassenden Digitalisierungsprozess, werden konstruktiv zusammenarbeitende Akteure benötigt: Ein verantwortlicher Treiber in der Führungsebene, engagierte Leitungskräfte und Umsetzer*innen in den Fachdienststellen, ein kompetenter IT-Dienstleister sowie regelbasiert und lösungsorientiert aufgestellte Beauftragte für die IT-Sicherheit und den Datenschutz.
In Köln wurde in diesem Zusammenhang ein neues Dezernat ausgewiesen, in dem unter anderem das Thema Digitalisierung ressortiert wird und damit ausdrücklich ausgewiesen im Stadtvorstand vertreten ist. Ein eigenes Amt für Informationsverarbeitung entwickelt strategische Vorgaben für den Einsatz von Hard- und Software in der Stadtverwaltung, gewährleistet die Sicherheit des städtischen IT-Netzes und unterstützt die Fachdienststellen bei der Inbetriebnahme von neuen Technologien sowie Online- und Fachanwendungen.
Der Umgang mit personenbezogenen Daten ist für die Stadtverwaltung Köln mit dem vorhandenen Datenschutzmanagementkonzept beschrieben und operativ durch die Dienstanweisung Datenschutz und Informationsfreiheit geregelt. Diese Regelungen sind für alle Beschäftigten und Führungskräften verbindlich und durch Intranet-Veröffentlichungen des Datenschutzbeauftragten umfassend und jederzeit zugänglich. Vorhanden sind hierzu Ausführungshinweise und Datenschutzdokumente zur Umsetzung. Eine funktionierende und akzeptierte Aufgabenwahrnehmung durch den Beauftragten für Datenschutz ist etabliert.
Die laufenden Digitalisierungsanstrengungen stellen höchste Herausforderungen an die Reformwilligkeit und -fähigkeit des öffentlichen Bereiches, also auch der Kommunalverwaltungen. Neben den elementaren Anforderungen an fachinhaltliche und IT-technische Kenntnisse bei der Modernisierung von Verwaltungsprozessen, ist der Datenschutz ein wichtiger Erfolgsfaktor, der entscheidende Auswirkungen auf das Vertrauen und die Akzeptanz der Nutzer*innen in die angebotenen Dienstleistungen hat.
