Anfrage:
Ab dem 25. Mai 2018 gilt mit der Datenschutz-Grundverordnung (DS-GVO) in der Europäischen Union ein einheitliches Datenschutzrecht. Die DS-GVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Hierzu fragen wir:
- Welche Auswirkungen hat die DS-GVO auf die Arbeitsabläufe in der Verwaltung der Stadt Leipzig?
- Welche Kosten sind mit der Umsetzung der DS-GVO in der Stadtverwaltung der Stadt Leipzig verbunden (technische Anpassung, Mitarbeiterschulungen, etc.)?
Antwort:
1. Welche Auswirkungen hat die EU-Datenschutzgrundverordnung (DSGVO) auf die Arbeitsabläufe in der Verwaltung der Stadt Leipzig?
Wesentliche Datenschutzgrundsätze (Verbot mit Erlaubnisvorbehalt, die Zweckbindung, Datenminimierung und Speicherbegrenzung, Richtigkeit, Transparenz sowie der technisch-organisatorische Datenschutz) und bekannte Regelungen bleiben auch mit der DSGVO bestehen. Insofern wird es keine zwingenden unmittelbaren Auswirkungen auf die Arbeitsabläufe geben, gleichwohl im Einzelfall Anpassung möglich sein können. Bei der öffentlichen Aufgabenerfüllung ermöglichen Öffnungsklauseln in der DSGVO die weitgehende Beibehaltung der bisherigen vorrangigen datenschutzrechtlichen Vorschriften im Fachrecht. Derzeit werden Fachgesetze angepasst.
Im Kern wird durch die DSGVO das Betroffenenrecht gestärkt, insbesondere bei Informationspflichten.
Das neu eingeführte Recht auf Datenübertragbarkeit besteht nicht bei Verarbeitungen, die für die Wahrnehmung von Aufgaben erforderlich sind, die im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen, die der Stadt Leipzig übertragen wurde.
Zur Anpassung an die DSGVO wurde im Bereich des Dezernats Allgemeine Verwaltung ein Projekt eingerichtet, das die erforderlichen organisatorischen, rechtlichen und technischen Maßnahmen trifft bzw. veranlasst. Im Rahmen des Projekts wurden Dokumentationsvorgaben sowie Umsetzungs- und Anwendungshilfen erarbeitet und verteilt sowie Einweisungen durchgeführt.
Das betrifft v.a.
- die Ablösung des Verzeichnisses automatisierter Verfahren, durch ein Verzeichnis aller Verarbeitungstätigkeiten,
- die Umsetzung der künftig erweiterten Informationspflichten bei der Datenerhebung,
- die Benachrichtigung der Datenschutzaufsichtsbehörde und der betroffenen Personen bei „Datenschutzpannen“,
- die Prüfung und Anpassung von Auftragsverarbeitungsverträgen,
- die Durchführung von Datenschutz-Folgenabschätzungen, die vor der Einführung von Verarbeitungen mit einem voraussichtlich hohen Risiko für die Rechte und Freiheiten betroffener Personen durchzuführen ist.
Der technisch-organisatorische Datenschutz und die Informationssicherheit werden im Rahmen eines Informationssicherheitsprozesses gewährleistet, der gerade eingeführt und durch den Informationssicherheitsbeauftragten gesteuert wird.
Die Organisationsbereiche werden im Rahmen ihrer Aufgabenzuständigkeit wie bisher die Rechtmäßigkeit der Datenverarbeitung gewährleisten, die dann erweiterten Informationspflichten bei der Datenerhebung umsetzen, das Verzeichnis von Verarbeitungstätigkeiten führen und den betroffenen Personen die Wahrnehmung ihrer Rechte ermöglichen.
2. Welche Kosten sind mit der Umsetzung der DS-GVO in der Stadtverwaltung der Stadt Leipzig verbunden (technische Anpassung, Mitarbeiterschulungen, etc.)?
Das Projekt zur Anpassung an die DSGVO arbeitet mit vorhandenen Ressourcen.
Geprüft wird aktuell die Beschaffung einer marktüblichen Software zur Unterstützung des Informationssicherheits- und Datenschutzmanagements, insbesondere bei der Planung, Umsetzung und Überwachung von Datensicherheitsmaßnahmen, der Führung des Verzeichnisses von Verarbeitungstätigkeiten, der Regelung von Auftragsverarbeitungen und der Datenschutz-Folgenabschätzung. Dazu gab es bereits einen Austausch mit anderen Stellen.
Auch ohne die DSGVO wäre eine Softwarebeschaffung zur Unterstützung des Informationssicherheits- und Datenschutzmanagements erforderlich.