1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG)

Transkript

1 Datenschutzrechtliche Anforderungen an Kommunen Die Bestimmungen des ThürDSG gelten für die Verarbeitung und Nutzung personenbezogener Daten durch die Behörden, die Gerichte und die sonstigen öffentlichen Stellen des Landes, der Gemeinden und Gemeindeverbände und die sonstigen der Aufsicht des Landes unterstehenden juristischen Personen des öffentlichen Rechts, 2 Abs. 1 ThürDSG. Die folgenden Hinweise spiegeln nur einen Teil der Problemlagen der kommunalen Praxis bei der Einhaltung der datenschutzrechtlichen Anforderungen wider und erheben somit keinen Anspruch auf Vollständigkeit. Auch können an dieser Stelle die gesetzlichen Bestimmungen nur verkürzt widergegeben werden. Insofern wird auf den Wortlaut des Thüringer Datenschutzgesetzes (ThürDSG) verwiesen. Die Nichtbefolgung einer der genannten Anforderungen stellt einen Gesetzesverstoß dar, der ggf. vom Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) gemäß 39 Thüringer Datenschutzgesetz (ThürDSG) beanstandet werden kann. Gegebenenfalls wird die Aufsichtsbehörde um Abhilfe gebeten sowie der Landtag und die Landesregierung verständigt. Auf die Ordnungswidrigkeitstatbestände und das Strafantragsrecht des TLfDI wird hingewiesen ( 43 ThürDSG). Schließlich werden Rechtsverstöße im Tätigkeitsbericht des TLfDI unter Nennung von Ross und Reiter dargestellt. 1. Bestellung eines behördeninternen Datenschutzbeauftragten ( 10a ThürDSG) Grundsätzlich hat jede öffentliche Stelle, die personenbezogene Daten mit Hilfe automatisierter Verfahren verarbeitet oder nutzt, gem. 10a ThürDSG einen ihrer Beschäftigten als internen Beauftragten für den Datenschutz schriftlich zu bestellen. Auch haben mehrere Daten verarbeitende Stellen die Möglichkeit, einen ihrer Beschäftigten als gemeinsamen Beauftragten für den Datenschutz zu bestellen. Bestellt werden darf nur, wer die nötigen Fachkenntnisse in Fragen des Datenschutzes und der Datensicherheit hat und durch diese Tätigkeit keinem unüberwindbaren Interessenkonflikt mit sonstigen dienstlichen Aufgaben

2 ausgesetzt wird. Der Beauftragte für den Datenschutz ist in dieser Funktion dem Leiter der Stelle unmittelbar zu unterstellen. Er hat auf die Einhaltung der Datenschutzbestimmungen hinzuwirken und steht den Beschäftigten als Ansprechpartner in Fragen des Datenschutzes zur Verfügung. 2. Verfahrensverzeichnis ( 10 ThürDSG) Jedes automatisierte Verfahren, mit dem personenbezogene Daten verarbeitet werden, ist gemäß 10 ThürDSG im Verfahrensverzeichnis zu dokumentieren. Das Verfahrensverzeichnis dient dabei der Transparenz und Nachvollziehbarkeit der Datenverarbeitung und der Datenerfassung öffentlicher Stellen für den Bürger und der Eigenkontrolle. Auch getroffene Maßnahmen zum Schutz vor fremden Einsichtnahmen sind in das Verzeichnis der einzelnen Verfahren aufzunehmen, wenn diese für den Mitarbeiter verbindlich vorgeschrieben sind (z. B. Bildschirmschoner mit Passwortschutz, Verschlüsselungen). Die Formblätter zum Verzeichnis sind jeweils von den zuständigen Fachabteilungen mit Unterstützung des behördlichen Datenschutzbeauftragten und ggf. unter Hinzuziehung der EDV-Fachkräfte zu erstellen. Die Führung des Verfahrensverzeichnisses obliegt nach 10a Abs. 2 Nr. 2 ThürDSG dem behördlichen Beauftragten für den Datenschutz. Entsprechend dem Transparenzgebot sind z. B. für,,programmpakete" von Softwarefirmen getrennte Verfahrensverzeichnisse für die einzelnen Verfahren nach sachlichen Gesichtspunkten zu führen (z. B. für die Bereiche Melderegister, Passregister, Personalausweisregister). Es wird empfohlen, die Formblätter zu 10 ThürDSG (Quelle: Internetseite des TLfDI - Wir über uns Informationsmaterial Mustervordrucke ) zu verwenden. 3. Freigabe der Verfahren ( 34 Abs. 2 ThürDSG) Vor dem ersten Einsatz automatisierter Verfahren, mit denen personenbezogene Daten verarbeitet werden, ist die Rechtsmäßigkeit der Datenverarbeitung zu prüfen und festzustellen. Diese Kontrolle der Zulässigkeit der automatisierten Verarbeitung der personenbezogenen Daten im Vorfeld dient der vom Gesetzgeber vorgeschriebenen Freigabe des Verfahrens. Durch geeignete

3 organisatorische Regelungen ist sicherzustellen, dass die automatisierten Verfahren erst nach der vorherigen schriftlichen Freigabe zum Einsatz gelangen. An die Freigaben sind nur insoweit Formvorschriften gestellt, als sie durch den Bürgermeister bzw. Landrat oder dem von ihm damit ausdrücklich Beauftragten in schriftlicher Form erfolgt. 4. Vertragliche Regelungen zur Datenverarbeitung im Auftrag ( 8 ThürDSG) Werden personenbezogene Daten im Auftrag der Kommune durch andere Personen oder Stellen verarbeitet oder genutzt, bleibt gemäß 8 ThürDSG die Kommune für die Einhaltung der Bestimmungen des ThürDSG und anderer Vorschriften über den Datenschutz verantwortlich. Sie hat den Auftragnehmer unter besonderer Berücksichtigung der Eignung für die jeweils zum Einsatz kommenden technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei die Datenverarbeitung oder -nutzung, die technischen und organisatorischen Maßnahmen und erforderlichenfalls Unterauftragsverhältnisse im Einzelnen festzulegen sind. Entsprechendes gilt auch für die Wartung oder Fernwartung automatisierter Datenverarbeitungsanlagen und für die Entsorgung von Datenträgern, soweit ein Zugriff auf personenbezogene Daten dabei nicht ausgeschlossen werden kann. Die verantwortliche Stelle hat daher alle bestehenden Vertragsbeziehungen und eingesetzten Verfahren auf die Einhaltung der Vorgaben des 8 ThürDSG zu überprüfen und ggf. die Verträge entsprechend zu ändern oder zu ergänzen. Hierzu wird auf den in Anlage 23 des 5. Tätigkeitsberichts des TLfD veröffentlichten Mustervertrag zur Auftragsdatenverarbeitung verwiesen. 5. Sicherheitskonzept ( 9 ThürDSG) Nach 9 Abs. 1 und 2 ThürDSG haben Kommunen auf der Grundlage eines Sicherheitskonzepts technische und organisatorische Maßnahmen zum Datenschutz und der Datensicherheit zu ermitteln und umzusetzen. Dabei geht es insbesondere darum, die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Revisionsfähigkeit der von der Behörde erhobenen, verarbeiteten und genutzten personenbezogenen Daten zu gewährleisten. In den zum Sicherheitskonzept gehörenden Dokumentationen (dazu gehören z. B. auch

4 Dienstanweisungen) sind insbesondere auch solche Schutzmaßnahmen aufzunehmen, die der Absicherung des internen lokalen Netzes (z. B. Firewall, Schutzsoftware vor Schaden stiftenden Programmen, sicherheitstechnische Einstellungen der Software etc.) dienen. Des Weiteren sind Aussagen zu Protokollierungen, zur Datensicherung oder Analysen und Festlegungen zur Wartung und Fernwartung von Fremdfirmen erforderlich. Dabei sollte das Konzept so gestaltet sein, dass es jederzeit, insbesondere bei Änderungen und Weiterentwicklungen der IT-Infrastruktur und der Verfahren dem Stand der Technik und den aktuellen Gegebenheiten angepasst werden kann. Weiterführende Hinweise zu dieser Thematik finden sich in den Grundschutzkatalogen des Bundesamtes für Sicherheit in der Informationstechnik unter der Adresse und unter Regelungen zu Datenschutz und Datensicherheit Mittels der zum IT-Sicherheitskonzept gehörigen Regelungen zu Datenschutz und Datensicherheit ist sicherzustellen, dass die Maßnahmen der aktuellen Organisationsstruktur und dem jeweiligen Stand der Technik entsprechen. Zu diesem Zweck sind die Maßnahmen und Festlegungen zum Datenschutz und der Datensicherheit in regelmäßigen Abständen auf ihre Aktualität und Wirksamkeit zu überprüfen und ggf. zu überarbeiten und zu ergänzen. Zur Gewährleistung einer einheitlichen datenschutzkonformen Verfahrensweise sind die entsprechenden Festlegungen als für alle Mitarbeiter verbindliche und jederzeit nachvollziehbare Handlungsanweisungen schriftlich vorzugeben. Dabei sind die Vorgaben nicht nur auf den Umgang mit personenbezogenen Daten in automatisierten Verfahren zu beschränken. Notwendig sind gleichfalls schriftliche Festlegungen zum Umgang mit personenbezogenen Daten in Akten. Soweit der Gesetzgeber hierbei für bestimmte Daten konkrete Verfahrensweisen vorgegeben hat, sind diese auch zu beachten. Empfohlen werden insbesondere Regelungen zu folgenden Sachverhalten: Allgemeine Dienstanweisung zum Datenschutz Dienstanweisung zur Nutzung der Arbeitsplätze im IT-Unterstützung

5 Dienstanweisung Umgang mit Telefon, und Internet, insbesondere zu deren privater Nutzung Berechtigungs-/Zugriffsregelungen für Fachanwendungen Regelungen zur Gestaltung von Passwörtern Regelungen zur Datensicherung IT-Notfallkonzept Regelung zur Entsorgung von Akten und Datenträgern Zugangsregelung für die verschiedenen Diensträume Schlüsselordnung Archivierungsordnung Serverraum Nach 9 Abs. 2 Nr. 1 bis 3 ThürDSG hat die verantwortliche Stelle auch zu gewährleisten, dass nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit), personenbezogene Daten während der Verarbeitung unversehrt, vollständig und ordnungsgemäß verarbeitet werden können (Integrität) und diese zeitgerecht und ordnungsgemäß verarbeitet werden können (Verfügbarkeit).Hieraus ergeben sich insbesondere folgende Einzelforderungen bezüglich des Serverraums. Der Kreis der zutrittsberechtigten Personen ist exakt festzulegen. Auch sollte der Serverraum, entsprechend der örtlichen Bedingungen, z.b. über eine brandschutztaugliche Tür (T30), einen Feuerlöscher, einen Rauchmelder sowie ggf. über eine Klimaanlage verfügen und frei von wasserführenden Leitungen sein. Die Sicherungskopien sollten nicht im Serverraum, sondern in einem separaten Brandabschnitt aufbewahrt werden. So kann bei einem Schadensfall ein zeitiger Wiederanlauf des IT-Systems gewährleistet werden. Auch kann es erforderlich sein, die Fenster des Serverraums zu vergittern. 6. Internetpräsentation Eine Veröffentlichung personenbezogener Daten im Internet stellt wegen der weltweiten Abrufbarkeit des Mediums immer eine Datenübermittlung an Stellen außerhalb des Geltungsbereichs des Grundgesetzes im Sinne von 23

6 ThürDSG dar, weshalb hierfür hohe Anforderungen gelten. Nach einem Beschluss des Bundesverwaltungsgerichts vom , Az. BVerwG 2B31/07 ist eine Veröffentlichung von Mitarbeiterdaten im Internet, auch ohne Einwilligung der Betroffenen zulässig, soweit der betreffende Mitarbeiter dem außen stehenden Publikum zur Verfügung stehen soll. Eine darüberhinausgehende Veröffentlichung personenbezogener Daten von Mitarbeitern und Dritten auf der Internetseite der Daten verarbeitenden Stelle ist grundsätzlich nicht zulässig.