Experten im Dialog

Herausforderung Datenschutz in der Verwaltung und im öffentlichen Bereich

In der breiten öffentlichen Wahrnehmung wird das Thema Datenschutz Grundverordnung in Deutschland zum Teil auch mit Unverständnis wahrgenommen. Verordnungen, Strafen bei Nichteinhaltung und unverständliche Regelungen leisten diesem Eindruck Vorschub. Was spricht ihrer Meinung nach für die neue Datenschutz Grundverordnung?

Björn Bausch: Meiner Meinung nach spricht für die neue Datenschutzgrundverordnung eine Vereinheitlichung des europäischen Datenschutzrechts und damit einhergehend ein einheitlicher Schutz der personenbezogenen Daten im europäischen Wirtschaftsraum. Das bedeutet, dass EU-Bürger, egal in welchem Land ihre Daten erfasst und verarbeitet worden sind, mit einem grundgleichen Datenschutzrecht behandelt werden.

Darüber hinaus hat die Europäische Datenschutz-Grundverordnung (EU-DSGVO) sogenannte Öffnungsklauseln: In diesen können die einzelnen Länder des europäischen Wirtschaftsraums bzw. der EU noch eigene Datenschutzregeln definieren. Dies hat Deutschland mit dem sogenannten Bundesdatenschutzgesetz-Neu (BDSG-Neu) auch getan und dadurch müssen wir weitere 85 Paragraphen berücksichtigen, die für den Umgang mit personenbezogenen Daten in Deutschland zusätzlich zur DSGVO gelten. Hinzu kommen noch je Bundesland weitere anzuwendenden Datenschutzgesetze, wie zum Beispiel in Hessen das HDSIG. Ganz abgesehen von anderen in Deutschland gültigen Gesetzen, die ebenfalls berücksichtigt werden müssen.

Der öffentliche Sektor unterlag hierzulande bislang eigenen datenschutzrechtlichen Regularien. Was ist jetzt neu für die Verwaltung und worin liegen tatsächlich die größten Herausforderungen?

Björn Bausch: Die Verwaltungen unterliegen nach wie vor zum größten Teil dem BDSG-Neu und den bundeslandspezifischen Gesetzen. Wenn wir über den öffentlichen Bereich sprechen, müssen wir in Betracht ziehen, in welchen Bundesländern die Verwaltungen ihren Sitz haben und dazu auch die entsprechenden Datenschutzgesetze der einzelnen Bundesländer beachten. Hier in Hessen ist dies das Hessische Datenschutz- und Informationsfreiheitsgesetz (HDSIG). Dieses Gesetz muss berücksichtigt werden, wenn es bei Behörden um den Umgang mit personenbezogenen Daten geht, wobei Behörden bzw. der öffentliche Sektor noch einmal gesondert betrachtet werden müssen, da hier auch andere Gesetze eine Rolle spielen, die den Umgang mit personenbezogenen Daten regeln.

Um den öffentlichen Sektor und insbesondere den kommunalen Bereich mit deren Anforderungen umfassend zu bedienen, arbeitet die b-pi sec mit der ekom21 zusammen. Die ekom21 ist der größte kommunale IT-Dienstleister in Hessen und kann so ihre jahrelange Erfahrung im kommunalen Sektor mit dem Beratungsansatz der b-pi sec vereinen und Kommunen auf diesem Wege speziell auf deren Bedürfnisse zugeschnittene Leistungen anbieten.

Welche Erfahrungen machen Sie ganz persönlich in den Gesprächen mit Verantwortlichen aus dem Bereich Kommune und Verwaltung?

Björn Bausch: Die Kommunen und die einzelnen Verwaltungen stehen vor einer großen Herausforderung die Gesetze bzw. die Projekte der Gesetze entsprechend umzusetzen. Dies liegt zum einen an der personellen Besetzung und zum anderen an fehlendem fachlichen Know-how. Hier bieten wir gemeinsam mit der ekom21 für die Kommunen und die einzelnen Verwaltungen verschiedene Bausteine an, um entsprechend gesetzeskonform zu werden. Es geht in erster Regel darum im ersten Schritt, einen Workshop mit den Kommunen durchzuführen, um zu identifizieren welche Gesetze neben der EU-DSGVO und dem BDSG-Neu noch eine Rolle spielen, wie z.B. das Hessische Archivierungsgesetz, welches für das Thema Löschfristen wichtig ist. Dies erörtern wir mit den Kommunen vorerst in einem Datenschutz-Checkup-Workshop, um den Bedarf und das Datenschutzniveau zu identifizieren. Daraus werden entsprechende Soll-Ist-Analysen abgeleitet, um in einem weiteren Projekt die Datenschutzkonformität zu erreichen.

Für Kommunen von besonderem Interesse ist eine sogenannte IKZ-Lösung - eine interkommunale Zusammenarbeit. Hierbei können sich unter entsprechenden Voraussetzungen hessische Kommunen mit maximal 5 Kommunen zusammenschließen und die oben genannten Workshops mit uns gemeinsam durchführen. Somit können die Kommunen Zeit sowie Kosten sparen. Nächster Schritt ist die Umsetzung des Projekts zur EU-DSGVO, bei dem wir die einzelnen Verfahren, Verarbeitungstätigkeiten und Prozesse in den Kommunen anpassen, um gesetzeskonform zu arbeiten. Der dritte Schritt ist die Besetzung des Mandats des externen behördlichen Datenschutzbeauftragten. Hierzu sind unsere Berater entsprechend qualifiziert und zertifiziert, um nicht nur den betrieblichen Datenschutzbeauftragten, sondern auch den behördlichen Datenschutzbeauftragten in den einzelnen Kommunen stellen zu können.

Viele mittelständische Unternehmen führen derzeit ein wirksames Informations- und Datenschutzmanagement ein, das die technische Infrastruktur, das Anwendungsprozesse miteinschließt. Wie sieht es hier im öffentlichen Sektor aus?

Björn Bausch: Der öffentliche Sektor ist leider in diesem Bereich noch nicht so weit wie die mittelständischen oder sonstigen Unternehmen. Hier sind wir momentan dabei, entsprechende Prozesse (Informationssicherheitssysteme und Datenschutzmanagementsysteme, sogenannte ISMS und DSMS), bei den Behörden einzuführen, um die Abläufe für Datenschutz und Informationssicherheit zu implementieren, Awareness zu schaffen und natürlich auch entsprechende Incidents (Vorfälle) über diese Tools abbilden zu können.

Nicht allzu weit entfernt von der Kommunalverwaltung sind auch Krankenhäuser und die gesamte Branche Gesundheitssektor. Gerade in diesem Bereich fallen ja sehr sensible personenbezogene Daten an. Welche Empfehlung geben Sie diesem Sektor?

Björn Bausch: Hier reden wir von besonders schützenswerten personenbezogenen Daten, die meiner Meinung nach, noch spezieller geschützt werden müssen als die „normalen“ personenbezogenen Daten. Ein Beispiel wären die Gesundheitsdaten der einzelnen Bürger bzw. der Betroffenen (beim Datenschutz sprechen wir immer von Betroffenen), welche besonders zu schützen sind. Wir raten diesem Sektor, die Mitarbeiter nochmals für das Thema zu sensibilisieren, sie zu schulen und entsprechende Awarenessmaßnahmen einzuführen. Das fängt bei Kleinigkeiten an, z.B. sollte in einer Arztpraxis eine Patientenakte nicht offen herumliegen, sondern verschlossen sein, damit kein Dritter Zugriff darauf hat. Ein weiteres Beispiel in einer Arztpraxis: Wenn Sie in einem Behandlungszimmer sitzen, sollten Sie idealerweise keine Sicht auf den Bildschirm am PC nehmen können bzw. nur Einblick auf die eigenen Daten und nicht auf die, des vorherigen Patienten haben. Leider ist dies auch in der heutigen Zeit noch gang und gäbe. Man sieht also, dass der Datenschutz schon auf kleinster Ebene beginnt!

Vielleicht abschließend noch eine Frage zu den grundsätzlichen Unterschieden zwischen Mittelstand und Verwaltung. Meine Frage zielte insbesondere auf die Unterschiede zwischen Geschäftsführer und oberstem Verwaltungschef, Bürgermeister oder Oberbürgermeister.

Björn Bausch: Hier gibt es den großen Unterschied, dass wir über das Thema Haftung und über das Thema Strafen bzw. Sanktionen sprechen. Die Geschäftsführer von Unternehmen haften persönlich für Verstöße mit den entsprechenden im EU-DSGVO und dem BDSG-Neu festgelegten Strafen, die von 2% des weltweiten Unternehmensumsatzes bis hin zu 10 Mio. oder mit 4% des weltweiten Unternehmensumsatzes bis hin zu 20 Mio. geahndet werden können. Bürgermeister oder sonstige Verwaltungsorgane sind zur Zeit noch von dieser Haftung ausgeschlossen. Allerdings sehe ich hier ein größeres Problem: nicht das der Haftung, sondern eher ein Reputationsproblem. Stellen sie sich vor, sie stehen vor der Neuwahl als Bürgermeister und in ihrer Kommune sind Daten abhanden gekommen, bzw. sie haben eine Datenpanne. Sie sind verpflichtet eine Meldung (nach Artikel 33 der EU-DSGVO) an die Aufsichtsbehörde zu tätigen, bei der sie möglicherweise noch verpflichtet werden, veröffentlichen zu müssen, dass sie eine Datenschutzverletzung in ihrer Kommune haben. Ich könnte mir vorstellen, dass die Neuwahl des Bürgermeisters in diesem Fall ein anderes Ergebnis - als das gewünschte - haben wird.

Ganz herzlichen Dank für dieses Gespräch.

(Quelle: Digital Future Congress)