​Die Rechte der Bürger schützen, dann ins All funken

 

Experten im Dialog: Jürgen Wiegand, Datenschutzbeauftragter bei der ekom21


Jürgen Wiegand, Datenschutzbeauftragter und stv. Leiter Stab LD - Innenrevision / Compliance / Datenschutz bei der ekom21

2,3 Milliarden Euro jährlich sollen Unternehmen allein durch die Vereinheitlichung der Aufsichtsbehörden sparen können. Und auch der Aufwand der Verwaltung soll insgesamt europaweit signifikant sinken. Die Rede ist von der Europäischen Datenschutz-Grundverordnung (EU DS-GVO). Was kommt auf die hessischen Kommunen zu? Wie sollten Bürgermeister und Behördenleitungen vorgehen? Was haben die Bürger davon? Jürgen Wiegand kennt alle Facetten der Reform und ihrer Umsetzung. Als Datenschutzexperte und Datenschutzbeauftragter der ekom21 kennt er die Praxis seit vielen Jahren. Derzeit berät er als TÜV-zertifizierter Datenschutz-Auditor und Mitglied des Berufsverbands der Datenschutzbeauftragten Deutschlands e.V. (BvD) die Umsetzung der Verordnung bei der ekom21. einfo21 digital hat Jürgen Wiegand und die Projektleiterin Almut Fuchs interviewt. Wenn Jürgen Wiegand Zeit findet, funkt er übrigens ins All. Warum? Das lesen Sie hier.

einfo21 digital: DS-GVO – die Abkürzung hört man derzeit oft in den Kommunen, manchmal verbunden mit ziemlich fragenden Gesichtern. Was hat es damit genau auf sich?
Jürgen Wiegand: DS-GVO steht für Datenschutz-Grundverordnung. Hierbei handelt es sich um eine Verordnung der Europäischen Union, welche die alte EU-Richtlinie zum Datenschutz (95/46/EG) vom 24.10.1995 ablösen wird und grundsätzliche Regelungen zum Datenschutz enthält. Die EU-Verordnung wirkt direkt in allen Mitgliedstaaten der europäischen Union. Sie soll ein gleichmäßiges Datenschutzniveau in allen Mitgliedsstaaten bewirken.

einfo21 digital: Wann tritt die DS-GVO in Kraft und welche Auswirkung hat sie auf die nationale Gesetzgebung?
Jürgen Wiegand: Die EU DS-GVO ist bereits am 25.05.2016 in Kraft getreten und wird ab dem 25.05.2018 zur direkten Anwendung kommen. Wir befinden uns also jetzt in einer Art Übergangsphase, um die neuen rechtlichen Anforderungen umzusetzen. Am 25.05.2018 wird dann nur noch der Schalter umgelegt.

einfo21 digital: Und wie sind die hessischen Kommunen betroffen?
Jürgen Wiegand: Nun, die EU DS-GVO wird auch auf hessische Kommunen erhebliche Auswirkungen haben, da sich der gesamte rechtliche Rahmen im Datenschutz ändern wird. Das betrifft die allgemeinen Datenschutzgesetze, etwa das Hessische Datenschutzgesetz, genauso wie die speziellen datenschutzrechtlichen Vorschriften, beispielsweise das Meldegesetz. Aber das ist lange noch nicht alles.

Almut Fuchs: In mehr als einer Hinsicht! Die hessischen Kommunen müssen ihre Auftragsverarbeitungsverträge anpassen, ihre Datenschutzdokumentation auf den neuesten Stand bringen, ihre Mitarbeiter neu schulen, die eingesetzten Verfahren auf DS-GVO-Konformität untersuchen, die internen Datenschutzregelungen überprüfen und die neue Rolle des Datenschutzbeauftragten ausfüllen. Eigentlich braucht jede Kommune ein Projekt „Umsetzung der EU-DS-GVO“.

Almut Fuchs, Leiterin Stab LD Innenrevision, Compliance, Datenschutz bei der ekom21​

einfo21 digital: Sie trennen Datenschutz und IT-Sicherheit, wie stehen die beiden Begriffe zueinander?
Jürgen Wiegand: Unter dem Begriff Datenschutz könnte man tatsächlich verstehen, hier handelt es sich um Maßnahmen, um „Daten zu schützen“. Dem ist aber nicht so. Beim Datenschutz geht es um rechtliche Inhalte, die Bürgern verschiedene Rechte zugestehen – etwa das Recht auf Auskunft. Beim Datenschutz werden also die Rechte der Bürger geschützt.

Die IT-Sicherheit hingegen beschäftigt sich tatsächlich mit der Fragestellung, wie macht man IT-Systeme sicherer. Dabei kommen dann technische und organisatorische Maßnahmen zum Tragen. Der Datenschutz ist also der Auslöser für konkrete Maßnahmen in der IT-Sicherheit, wenn es um den physikalischen Schutz von personenbezogenen Daten geht.

einfo21 digital: Konzentrieren wir uns auf die rechtlichen Aspekte – was ändert sich aus rechtlicher Sicht?
Jürgen Wiegand: Eine ganze Menge. Das alles aufzuzählen, würde den Rahmen hier komplett sprengen. Nur so viel: Es wird eine direkt geltende EU-Verordnung (EU DS-GVO) geben, es wird ein neues Bundesdatenschutzgesetz (BDSG) und ein neues Hessisches Datenschutzgesetz (HDSG) geben und alle Spezialgesetze – rund 350 – werden an die EU DS-GVO angepasst werden müssen. Zum Teil ist das schon passiert. Auf Details möchte ich nicht eingehen, sonst sitzen wir nächste Woche noch hier beisammen (lacht herzlich).

einfo21 digital: Was sind die wichtigsten Handlungsfelder?
Jürgen Wiegand: Der Datenschutzbeauftragte, den muss jede Kommune jetzt haben! Dann ist die Auftragsverarbeitung ein wichtiges Thema, Verträge mit Dienstleistern, aber auch Datenschutz-Dokumentation, Datenschutz-Folgenabschätzungen, Meldepflichten, Transparenz, Auskunftspflichten und noch einiges mehr.

einfo21 digital: Datenschutz-Folgenabschätzung? Das klingt kompliziert. Was bedeutet das?
Jürgen Wiegand: Die Datenschutz-Folgenabschätzung (DSFA) ist eine Untersuchung, die vor der Inbetriebnahme zum Beispiel eines neuen IT Verfahrens durch den Verantwortlichen – in der Regel ist das die Kommune – durchgeführt werden muss.

Dabei wird aus Sicht der Betroffenen, also der Bürger, untersucht, ob ihnen durch diese Datenverarbeitung ein zusätzliches Risiko entsteht und wie man dieses Risiko mit technischen und organisatorischen Maßnahmen minimieren kann. Im Ergebnis betrachtet man dann, ob dieses Ziel erreicht wurde.

einfo21 digital: Was sind Meldepflichten?
Jürgen Wiegand: Die Meldepflichten bei Datenpannen haben sich deutlich verschärft. Auch hier müssen Prozesse generiert werden, um die Rechte der Betroffenen, also der Bürger, sicherzustellen. Wenn einer Kommune beispielweise Steuerdaten abhandenkommen, ist das in Zukunft ganz sicher ein meldepflichtiger Vorgang. Gemeldet wird in Hessen an den Hessischen Datenschutzbeauftragten (HDSB) in Wiesbaden.

einfo21 digital: Welche Aufgaben hat der Datenschutzbeauftragte konkret?
Jürgen Wiegand: Der Datenschutzbeauftragte wird sich zukünftig mehr in der Rolle des „Prüfers und Beraters“ wiederfinden. Er soll den Verantwortlichen und die dort beschäftigten Personen bei der Anwendung der datenschutzrechtlichen Vorgaben beraten und schulen. Dazu kommt die Aufgabe zu prüfen, ob die Vorschriften zum Datenschutz auch eingehalten werden. In einem Rechenzentrum wie der ekom21, eine sehr komplexe Aufgabe.

einfo21 digital: Wie weit ist die ekom21 bei der Umsetzung der DS-GVO?
Jürgen Wiegand: Wir haben bereits Anfang 2016 die notwendigen Schritte in Form eines Projekts eingeleitet. Für ein kommunales Rechenzentrum versteht es sich von selbst, dass wir diese Aufgabe vordringlich angehen. Schließlich arbeiten wir ausschließlich mit personenbezogenen Daten und das in großem Umfang.

einfo21 digital: Und was kommt auf Bürgermeister und Behördenleitungen zu? Können Sie Beispiele nennen?
Jürgen Wiegand: Die Behördenleitungen müssen sicherstellen, dass die Anforderungen an die EU DS-GVO bis zum 25.05.2018 umgesetzt sind. Im Grunde genommen muss man alles unter die Lupe nehmen, was irgendwie im Zusammenhang mit personenbezogenen Daten steht. Wieviel das in einer Kommunalverwaltung ist, kann sich jeder bestimmt vorstellen.

Almut Fuchs: Wenn ich ergänzen darf – der Bürgermeister ist letztlich der zentrale Verantwortliche. Hierzu stellt die DS-GVO klar, dass er und nicht der Datenschutzbeauftragte seiner Verwaltung geradestehen muss. Weil die Aufgaben der DS-GVO sich aber auf alle Ämter verteilen, sind Bürgermeister gut beraten, ein Projekt dafür als Chefsache ins Leben zu rufen.

einfo21 digital: Wo müssen Kommunen jetzt unbedingt aktiv werden? Können Sie ein Vorgehen beispielhaft skizzieren?
Jürgen Wiegand: Betroffen sind natürlich alle Vorgänge und Prozesse, bei denen personenbezogene Daten verarbeitet werden. In einer modernen Kommunalverwaltung ist das in fast allen Bereichen der Fall. Im Grunde genommen geht kein Weg an einem Projekt vorbei. Also: Bestandsaufnahme, Änderungsbedarf, Aktionsplan.

Almut Fuchs: In der Tat, die Auftragsverarbeitungsverhältnisse müssen alle auf den Prüfstand, da muss eine echte Inventur her: Sind die Auftragnehmer geeignet? Können sie ihre Eignung belegen? Es müssen unter Umständen neue Verträge geschlossen werden, wenn es nicht – wie bei der ekom21 – über Mitgliedschaft und Benutzungsordnung/Leistungs- und Entgeltverzeichnis eine Neuregelung gibt. Außerdem muss die Datenschutzdokumentation angepasst werden. Das Verfahrensverzeichnis muss zum Verzeichnis der Verarbeitungstätigkeiten ausgeweitet werden. Die bestehenden Vorabkontrollen müssen als Datenschutzfolgeabschätzungen wieder auferstehen. Für die Bürger müssen in den betroffenen Verfahren die Informationsblätter nach Artikel 13 vorbereitet werden. Die eingesetzten Verfahren müssen darauf überprüft werden, ob sie rechtskonform sind. Kommunen sollten sich fragen, ob sie im Mai 2018 alle Informationen zu einer betroffenen Person binnen vier Wochen liefern können. Es ist viel Arbeit und viel zu wenig Zeit.

einfo21 digital: Was haben die Bürger von der Reform des europäischen Datenschutzes? Können Sie Beispiele nennen?
Jürgen Wiegand: Für die Bürger in den europäischen Mitgliedsstaaten wird sich einiges, nicht alles, angleichen. In Zukunft wird es für die Bürger einfacher sein, datenschutzrechtliche Ansprüche zu verstehen und durchzusetzen. Dabei ist es egal, ob man Spanier oder Niederländer ist, weil in beiden Staaten die gleichen Vorgaben in Form der EU DS-GVO gelten und wirken. Ein Beispiel: In Zukunft könnte sich ein deutscher Bürger über eine Datenpanne in Frankreich bei der deutschen Aufsichtsbehörde beschweren und von dort seine Rechte in Frankreich durchsetzen lassen.

einfo21 digital: Wie kann ein IT-Dienstleister wie die ekom21 Kommunen unterstützen?
Jürgen Wiegand: Wir werden für unsere Auftraggeber verschiedene Informationsveranstaltungen, bei denen das Thema EU DS-GVO beleuchtet wird, anbieten. Im Oktober ging es mit unserem „Hessischen kommunalen Datenschutztag 2017“ los. Im November gab es zusätzliche Informationsveranstaltungen für behördliche Datenschutzbeauftragte aus den Verwaltungen. Darüber hinaus steht natürlich auch der Hessische Datenschutzbeauftragte in Wiesbaden für Auskünfte und Unterstützung zur Verfügung.

einfo21 digital: Und wenn der Arbeitstag vorbei ist, was begeistert Sie privat?
Jürgen Wiegand: Oh, mich begeistert alles, was mit Outdoor, Wissenschaft und Technik zu tun hat:  Astronomie beispielweise, vor allem aber die Teilnahme am Amateurfunkdienst als Funkamateur unter dem internationalen Amateurfunkrufzeichen DL6WAB.

Es ist immer wieder faszinierend, unterschiedlichste Menschen auf der ganzen Welt über Funk zu kontaktieren und sich auszutauschen. Da trifft man auf die Rentnerin in den USA oder den Beamten in Brasilien genauso wie auf die russische Expedition in der sibirischen Steppe. Aber auch auf Nobelpreisträger, wie Joseph Hooton Taylor, Jr. z.B. (Rufzeichen K1JT), der 1993 den Nobelpreis in Physik erhalten hat, oder auf Wissenschaftler, die in der Neumayer III Forschungsstation (DP1POL) am Südpol arbeiten oder die in 400 km Höhe mit 28.000 km/h um die Erde rasen – nämlich in der Raumstation ISS (RS0ISS). Es ist ein absolut spannendes und kommunikatives Hobby und es macht den Kopf frei.
 


Und nach der Arbeit wird gefunkt - etwa mit der ISS

 

Weiterführende Informationen: