Die Gemeinde muss wissen, was sie mit den Daten tut
Wo lauern die größten Gefahren, werde ich immer wieder gefragt. Ich sage: zuerst beim Menschen. Daher: Schulung, Information, Verständnis, Vorbeugen, Mind Setting. Verwaltung und Politik müssen in Umkehrung so mancher Gepflogenheiten an Datenminimierung denken und daran, dass der Datenschutz ein ureigenstes Recht der Menschen ist", so Reinhard Haider, Amtsleiter von Kremsmünster und einer der IT-Zampanos der österreichischen Kommunalverwaltung, im Gespräch mit KOMMUNAL.
Natürlich gibt es ein öffentliches Interesse und Gesetze, aber darüber hinaus heißt es in Zukunft: Stopp. Haider: „Keine Datenweitergabe in Form von Jahrgangslisten an den Sportverein, keine Übernahme von Mail-Adressen der Buchhaltung in die Newsletterdatei, Opt-in-Verfahren als Standardprozess, Überdenken der WLAN-Lösungen etc."
Recht auf Löschung von Daten seit der DSGVO
Herausfordernd wird das Recht auf Löschung von Daten, was mit tiefen Eingriffen in die IT-Prozesse verbunden ist. Hier ist die Unterscheidung zwischen berechtigtem Interesse und überwiegendem Interesse zu treffen. Und wie die Datenschutzbehörde zu vielen Themen steht, ist noch nicht bekannt. Auch mehrere Anfragen von KOMMUNAL an die Leitung der Datenschutzbehörde mit dem Ersuchen um ein Interview, in dem wir hofften, offene Fragen klären oder zumindest ansprechen zu können, wurden schlicht ignoriert.
Innerhalb der Verwaltung ist, so Haider, ein weiteres großes Thema die bessere Absicherung der (mobilen) Hardware wie verschlüsselte USB-Sticks und Festplatten oder bitlocker-gesicherte Notebooks sowie das Abschalten von Messenger-Diensten wie WhatsApp in der heutigen Form oder das heute doch sehr übliche „Bring your own Device". Es sei gut gemeint, wenn der arbeitsame Mitarbeiter auf seinem privaten Notebook seinen beruflichen Mail-Account abrufen kann, aber die entstehende Sicherheitslücke ist in Zukunft nicht mehr tolerierbar. „Der gesetzlich geforderte Datenschutzbeauftragte kann aus Ressourcengründen nur von großen Verwaltungen gestellt werden, hier heißt es auslagern, was jedoch wieder externe Kosten mit sich bringt. Wichtig ist, dass gemeindeintern ein geschulter Datenschutzkoordinator zur Verfügung steht, der im Bedarfsfall zwischen der Behördenleitung und dem Datenschutzbeauftragten vermittelt."
Die Gemeinden Österreichs haben den Vorteil, dass in einem einzigartigen Projekt der Österreichische Gemeindebund, der Städtebund und das Bundeskanzleramt ein Sonderprojekt an die Security-Abteilung der FH Hagenberg beauftragt haben. Die Aufgabe war es, „Arbeitsbehelfe zu erarbeiten, die es den Gemeinden (Gemeindeverbänden) ermöglichen, in strukturierten und angeleiteten Schritten die für die Umsetzung von Datenschutzmaßnahmen erforderlichen organisatorischen und technischen Maßnahmen mit möglichst geringem Aufwand umzusetzen und damit die Vorgaben des neuen Datenschutzrechts zu erfüllen."
Dieses Datenschutzprojekt ist seit 12. März 2018 abgeschlossen. Haider: „Einzeln hätten die Gemeinden die Anforderungen der DSGVO nicht stemmen können. Konkret erhält nun jede der 2100 Gemeinden in Österreich einen Self-Assessment-Fragebogen, ein vorausgefülltes Muster-Verarbeitungsverzeichnis für 95 Prozent aller Fälle im Gemeindedienst, einen Maßnahmenkatalog und einen Leitfaden über Betroffenenrechte. Bis zum 25. Mai ist noch viel zu tun." Was genau, erzählt Projektleiter Kolmhofer.
Ein Kernthema der DSGVO: Die Gemeinde muss wissen, was sie mit den Daten der Bürger tut
„Die größte Herausforderung war es, einen Katalog zu entwickeln, der gleichermaßen für alle 2100 Städte und Gemeinden anwendbar ist, denn die Strukturen sind ja sehr unterschiedlich", erzählt der Hagenberger FH-Prof. DI Robert Kolmhofer, Leiter des Departments Sichere Informationssysteme, der maßgeblich an der Entstehung des Leitfadens und der Checkliste beteiligt war.
„Ein Problem war auch, dass die Datenschutz-Grundverordnung ja erst ab 25. Mai in Kraft ist und die Datenschutzbehörde bisher noch keine Aussagen gemacht hat, wie sie etwa die Qualität eines Arbeitsverzeichnisses bewerten wird. Klarerweise gibt es zu dem Thema auch noch keine Judikatur, sodass man sich nicht an Präzedenzfällen orientieren kann.
Kleine Gemeinden haben meist keine eigene IT-Abteilung und damit auch kein Personal, das sich um den Datenschutz kümmern kann. Und es ist meist auch kein Geld da, um jemand Fachkundigen mit dieser Aufgabe zu betrauen oder um die Dienstleistung zuzukaufen. Das war auch der Grund, warum das Bundeskanzleramt unser Projekt gefördert hat, weil man wollte, dass alle Gemeinden den Leitfaden verwenden dürfen.
In Wahrheit ändert sich durch die neue Gesetzeslage kaum etwas, denn das Datenschutzgesetz aus dem Jahr 2000 sieht den Großteil der jetzt anstehenden Maßnahmen bereits vor. Das betrifft etwa den Schutz personenbezogener Daten, die sichere Verwahrung oder das Verbot der Übertragung von Daten ohne Zustimmung. Lediglich der Strafrahmen erhöht sich drastisch.
Auch eine Videoüberwachung hätte schon bisher von der Datenschutzbehörde genehmigt werden müssen. In Zukunft muss für den Fall, dass eine systematische umfangreiche Überwachung voraussichtlich ein hohes Risiko zu Folge hätte und keine Maßnahmen zur Eindämmung dieses Risikos getroffen werden, die Datenschutzbehörde konsultiert werden.
Bisher mussten die Gemeinden eine Datenverarbeitungsregistermeldung machen. Jetzt müssen sie selbst das Verarbeitungsverzeichnis führen. Die Gemeinden müssen wissen, welche Daten sie verarbeiten, zu welchem Zweck und an wen die Daten weitergegeben werden. Man muss also wissen, was man mit den Daten der Bürger tut.
Verarbeitungen selbst erheben
Für Standard- und Musteranwendungen – etwa Personalverwaltung oder Lohnverrechnung – musste man bisher keine Meldung machen. Man musste die Daten nur schützen. Jetzt muss man jede dieser Verarbeitungen selbst erheben und in das eigene Verarbeitungsverzeichnis aufnehmen. Daher ist auch das Musterverarbeitungsverzeichnis, das wir erstellt haben, fast hundert Seiten stark.
Das ist wichtig, denn wenn ab 25. Mai ein Bürger wissen will, welche seiner Daten gespeichert sind, dann muss die Gemeinde innerhalb eines Monats eine Antwort geben können.
Ein wichtiger Punkt sind auch die Datenminimierung und die Zweckbindung. Das heißt, dass man keine Daten erheben darf, die man nicht braucht. Wenn man beispielsweise online einen Fahrschein kauft, dann darf das Verkehrsunternehmen nicht auch die Adresse oder das Geburtsdatum verlangen. Denn wenn man das gleiche Ticket beim Automaten kauft, muss man die Daten auch nicht bekannt geben. Wenn man Daten erhebt, muss man auch bekanntgeben, wozu sie verwendet werden. Wenn man das nicht macht, kann man Schwierigkeiten bekommen.
Neu ist auch, dass man explizit beschreiben muss, welche Schutzmaßnahmen man ergriffen hat. Was in diesem Bereich zu tun ist, haben wir im Maßnahmenkatalog niedergeschrieben. So ist z. B. wichtig, dass man eine Passwortrichtlinie hat oder dass keine fremden Personen Zugang zu Informationen erhalten. Bisher waren diese Regeln nur sehr allgemein formuliert, jetzt sind sie verbindlicher.
Es geht auch nicht, dass man ohne vorhergehende Zustimmung Newsletter verschickt. Und man kann auch nicht vorher einfach eine E-Mail schicken und fragen, ob die Person Interesse an dem Newsletter hat.
Verboten ist künftig auch, im Kindergarten eine Liste aufzuhängen, aus der ersichtlich ist, welche Kinder Lebensmittelunverträglichkeiten haben. Das sind Gesundheitsdaten, die streng geschützt sind. Da kann es zivilrechtliche Klagen gegen die Gemeinde geben.
Was jetzt in Sachen DSGVO zu tun ist?
Gemeinden, die sich bis jetzt mit dem Thema noch wenig beschäftigt haben, sollten unbedingt das Selfassessment machen, um beurteilen zu können, ob sie das Musterverarbeitungsverzeichnis eins zu eins übernehmen können oder ob sie es adaptieren müssen. Wenn das Musterverarbeitungsverzeichnis zum Großteil passt, dann sollte man es einmal übernehmen und bei Punkten, die geändert werden müssen, nacharbeiten.
Der zweite wichtige Punkt sind die Betroffenenrechte. Wenn ab 25. Mai jemand wissen will, welche Daten über ihn gespeichert sind, dann muss die Gemeinde darüber Auskunft geben können, natürlich müssen die Daten grundsätzlich auch gelöscht werden können, soweit nicht ein besonderer Hinderungsgrund vorliegt.
Aus dem Verarbeitungsverzeichnis ergeben sich, welche Schutzmaßnahmen zu treffen sind. Diese sollten auch wirklich umgesetzt werden. Wenn man etwa keine Clean-Desk-Policy machen kann, dann muss man eben dafür sorgen, dass die Türen versperrt sind.
