Zum 25. Mai verlieren die bisherigen datenschutzrechtlichen Freigaben für Verwaltungssoftware ihre Gültigkeit. An ihre Stelle treten gemäß DSGVO Datenschutz-Folgenabschätzungen (DSFA). Was dies für Kommunen bedeutet, erklärt die Innovationsstiftung Bayerische Kommune in einem kostenlosen Webinar.
Artikel 35 DSGVO besagt: Besteht bei einer Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person, so muss der für diese Datenverarbeitung Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) durchführen.
Dies gilt nicht nur für künftig geplante Datenverarbeitungen, sondern auch für bereits vorhandene. Bei diesen Bestandsverfahren löst die DSFA die bisherige datenschutzrechtliche Freigabe ab. Bis zum 25. Mai 2021 müssen öffentliche Stellen in Bayern daher prüfen, ob für ihre Bestandsverfahren eine DSFA erforderlich ist, und diese gegebenenfalls nachholen.
Orientierungshilfe des Landesbeauftragten für den Datenschutz
Auf seiner Website stellt der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) Unterlagen und Formblätter zur Verfügung, um Kommunen bei der Durchführung einer DSFA und der vorausgehenden Erforderlichkeitsprüfung zu unterstützen: www.datenschutz-bayern.de/dsfa/.
In einer Orientierungshilfe schildert der BayLfD beispielsweise, wie eine Erforderlichkeitsprüfung durchzuführen und zu dokumentieren ist. Eine wichtige Rolle spielen dabei die 21 Fallgruppen der bayerischen Blacklist. Für die Durchführung der eigentlichen DSFA, die bei positivem Ergebnis der Erforderlichkeitsprüfung zu erstellen ist, gibt es das Dokument "DSFA - Methodik und Fallstudie“. Darin wird anhand des Beispiels der Großstadt „Fiktivia“ eine DSFA für die Personalverwaltung durchgespielt.
Die Rolle der AKDB
Setzt eine öffentliche Stelle ein AKDB-Verfahren, etwa OK.EWO im Einwohnermeldeamt ein, so muss sie nach Art. 14 (2) BayDSG (neu) keine eigene DSFA durchführen, sondern kann die Folgenabschätzung der AKDB übernehmen.
Die AKDB-Verfahren sind datenschutzgerecht voreingestellt. Jedoch muss die Kommune, die das Verfahren vor Ort einsetzt, zusätzliche Maßnahmen zum Datenschutz treffen, wie zum Beispiel zur Gebäudesicherheit oder zur Umsetzung der Betroffenenrechte. Diese Vor-Ort-Maßnahmen listet die AKDB in einem Beiblatt zum DSFA-Bericht auf, das die Kommunen ausfüllen, ergänzen und mit dem sie eine wirksame Umsetzung der Schutzmaßnahmen bestätigen. Das Beiblatt fügen Kommunen den relevanten Datenschutzdokumenten bei und legen es bei einer Prüfung der Aufsichtsbehörde vor.
Beim Betrieb der AKDB-Verfahren gibt es zwei Varianten:
- Verfahren, die im zertifizierten Rechenzentrum der AKDB (ISO 27001-Zertifikat auf Basis von IT-Grundschutz) betrieben werden,
- Verfahren, die autonom in der Kommune im eigenen Serverraum vor Ort oder im eigenen Rechenzentrum betrieben werden.
Für beide Varianten stellt die AKDB ihren Kunden unterschiedliche DSFA-Berichte und Beiblätter zur Verfügung. Beim autonomen Betrieb ist die Liste der Maßnahmen im Beiblatt deutlich länger als bei AKDB-Rechenzentrumskunden. Denn in ihrem eigenen Rechenzentrum trifft die AKDB betriebstechnische Maßnahmen zum Schutz der Datenverarbeitung, während Kommunen mit autonomem IT-Betrieb diese Maßnahmen selbst treffen müssen.
Webinar zur DSFA
Das Webinar gibt einen Einblick in die ab Mai geltende Rechtslage, in die Anforderungen, die an die Durchführung einer DSFA gestellt werden sowie in die Maßnahmen, die Verwaltungen treffen müssen. Es richtet sich sowohl an Nutzer von AKDB-Fachverfahren als auch an Anwender von Verfahren anderer Hersteller. Des Weiteren wird zwischen Outsourcing-Verfahren und autonomer Installation unterschieden. Dadurch richtet sich die Veranstaltung an jede Kommunalverwaltung. Zudem haben Teilnehmer die Möglichkeit, im Chat Fragen zu stellen, die im Webinar beantwortet werden.
Mit der Durchführung des Webinars hat die Innovationsstiftung Bayerische Kommune die GKDS, die Gesellschaft für kommunalen Datenschutz mbH beauftragt. Die GKDS ist ein Tochterunternehmen der AKDB und ein Dienstleister im Bereich Datenschutz und Informationssicherheit, der auf den kommunalen Sektor spezialisiert ist.
Das Webinar findet am Mittwoch, den 14. April 2021 von 14:00 Uhr bis 15:00 Uhr statt. Wie alle Projekte der Innovationsstiftung Bayerische Kommune ist auch dieses Angebot kostenlos für Sie. Melden Sie sich am besten gleich heute über das Webinar-Angebot der AKDB online an https://register.gotowebinar.com/register/5202390257717421327
.