Leitfaden zur Datenschutz-Grundverordnung kommt

Ab Mai 2018 wird’s ernst: Die Datenschutz-Grundverordnung (DSGVO) tritt in Kraft. Die Umsetzung der DSGVO und des Datenschutz-Anpassungsgesetzes (DSG 2018) stellen die Städte und Gemeinden aber vor große Herausforderungen. Schließlich werden gerade im kommunalen Bereich umfassend personenbezogene, datenschutzrechtlich relevante Daten verarbeitet.



Neben der DSGVO und dem DSG 2018 gilt es auch die EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) im Auge zu behalten, die für Betreiber wesentlicher Dienste, wie Unternehmen im Energie– oder Verkehrsbereich oder aber im Zusammenhang mit der Trinkwasserversorgung Sicherheitsanforderungen und Meldepflichten vorsieht.

Noch keine dezidierten Handlungsanleitungen

Die Datenschutz-Grundverordnung bildet einen rechtlichen Rahmen ab, der mit konkreten organisatorischen und technischen Informationssicherheitsmaßnahmen erfüllt werden muss, für die es aber bis dato keine dezidierten Vorgaben bzw. Handlungsanleitungen gibt.

Handlungsleitfaden bis Februar

Um die Städte und Gemeinden bei der praktischen Umsetzung der Vorgaben aus der DSGVO zu unterstützen, haben der Österreichische Gemeindebund und der Österreichische Städtebund nun in Kooperation mit dem Bundeskanzleramt, der Research Group Sichere Informationssysteme der FH OÖ (Forschungs & Entwicklungs GmbH) den Auftrag erteilt, bis Februar 2018 einen entsprechenden Handlungsleitfaden auszuarbeiten. Dieser wird den Kommunen anschließend zur Verfügung gestellt und eine klare Anleitung für die Identifikation der notwendigen Maßnahmen inkl. der damit verbundenen Tätigkeiten beinhalten.



Konkret werden im Rahmen des Projekts folgende Leistungen erbracht:

• Fragebogen zur Erfassung des IST-Zustandes (Self-Assessment-Fragebogen) mit einfachen Ja/Nein-Fragen zur eindeutigen Feststellung, ob es sich bei der Gemeinde um einen „Standard-Fall“ handelt, bei der der (ebenfalls ausgearbeitete) Best-Practice-Katalog angewendet werden kann, oder ob ergänzend zum Katalog eine Individualanalyse erforderlich ist.




• Best-Practice-Maßnahmenkatalog im Sinne von Datenschutz- und Informationssicherheit auf Basis DSGVO/DSG 2018/NIS-RL gemäß dem aktuellen Stand der Technik. Dieser Maßnahmenkatalog wird auf Grundlage einer Analyse von zwei ausgewählten Kommunen unter Beiziehung deren IT-Dienstleister erstellt, um daraus abgeleitet konkrete Handlungsempfehlungen für notwendige Vorgaben/Maßnahmen/Auflagen für die Gemeinden aufzubereiten.
  
  Der Maßnahmenkatalog wird dem entsprechend direkt zugeschnittene, fertige Handlungsempfehlungen, Unterlagen und Arbeitsbehelfe enthalten wie z. B. Passwortrichtlinie, IT-Benutzungsordnung, Backup-Konzept, Richtlinie zum Umgang mit Daten/Vernichtung/Wechseldatenträger etc.. Enthalten werden weiters auch die Standardformulare für die Festlegung des Datenschutzbeauftragten (DSB), Infostellenfestlegung, Verarbeitungsverzeichnisvorlage etc. sein.




• Ein Schulungsprogramm wird helfen, den Self-Assessment-Fragebogen und den Best-Prac-tice-Maßnahmenkatalog korrekt anwenden zu können. Dieses Schulungsprogramm wird eine Struktur sowie Mindestinhalte umfassen, damit Städte und Gemeinden entweder intern Schulungen durchführen oder diese von ihren IT-Dienstleistern oder anderen lokalen Schulungsanbietern durchführen lassen können.









 

•  
•  

Das Kooperationsprojekt mit der FH OÖ wurde bereits gestartet und soll Ende Februar 2018 mit einer Lieferung der drei Leistungspakete abgeschlossen werden. Die Ergebnisse stehen sodann allen Mitgliedsgemeinden kostenlos zur Verfügung.



Mit dem Projekt soll gewährleistet werden, dass in der Mehrzahl der Städte und Gemeinden Österreichs eine einheitliche, zeitgerechte und rechtlich korrekte Abbildung der Vorgaben aus DSG 2018 und DSGVO auf Grundlage von fachlich kompetent erarbeiteten Mustervorgaben erfolgen kann, ohne dass in hohem Ausmaß individuelle Beratungsdienstleistungen zugekauft werden müssen.