zurück
 
 
Betreff: Anfrage der PIRATENundPARTEI: "Strategie zur Umsetzung der europäischen Datenschutzgrundverordnung"
Status:öffentlichVorlage-Art:Beschlussvorlage/sonstige Vorlage
Federführend:11-Fachbereich Personal und Organisation Beteiligt:11-Verwaltungsstellen
Beratungsfolge:
Ausschuss für Personal, Gleichstellung und Inklusion Vorberatung
20.11.2017 
9. öffentliche/nichtöffentliche Sitzung des Ausschusses für Personal,Gleichstellung und Inklusion vertagt (zurückgestellt)   

Beschlussvorschlag
Anlage/n

Antwort der Verwaltung:

Ziel der EU-Datenschutz-Grundverordnung (EU-DSGVO) ist die weitgehende Vereinheitlichung europäischen Datenschutzrechtes und damit die Erreichung eines gleichhohen Datenschutzniveaus. Während bislang durch nationale Gesetzgebungen auf Grundlage der EU-Datenschutzrichtlinie erhebliche Unterschiede bestanden, wird die EU-DSGVO direkt geltendes Recht in allen Mitgliedsstaaten sein. 

Viele der EU-Regelungen sind an das deutsche Recht angelehnt, so dass es in Deutschland im Vergleich zu anderen EU-Staaten nur wenige neue Anforderungen gibt, die jedoch einen deutlichen Mehraufwand mit sich bringen.

 

Hinsichtlich der Umsetzung der neuen Anforderungen ist die Stadt Göttingen in Kontakt mit der KDG, die seit Mai 2016 als Dienstleistende federführend die Umsetzung der EU-DSGVO koordiniert sowie erforderliche Lösungsansätze erarbeitet und umsetzt.

 

Zu den Fragen:

1.    Welche der neuen Pflichten sowie technischen Anforderungen wurden in dieser Zeitspanne bereits von der Stadt Göttingen umgesetzt?

Grundsätzlich gibt es neue Vorgaben zur Datensicherheit und Dokumentationspflicht, zu denen die zuständigen Mitarbeitenden des Fachdienstes IT-Service geschult wurden/werden und die der Datenschutzbeauftragte bei seinen Prüfungen künftig berücksichtigen wird.

 

Deutlicher Mehraufwand entsteht insbesondere durch die Rechenschaftspflicht für den Umgang mit Daten, wonach je nach Art der Daten geeignete technische und organisatorische Maßnahmen ergriffen werden müssen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass personenbezogene Daten in Übereinstimmung mit den neuen EU-Regelungen verarbeitet werden. Künftig müssen daher Verfahren nicht nur einmalig beschrieben, sondern die Verarbeitungstätigkeiten regelmäßig überprüft und die Beschreibung angepasst werden.

Diesen Anforderungen kommt die Stadt Göttingen mit den an die KDG vergebenen Aufgaben zur Führung und ständigen Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten (Verfahrensbeschreibungen), der Datenschutz-Folgeabschätzungen und der Erstellung eines jährlichen Datenschutzberichtes sukzessive nach.

Die Ersterfassung der Verfahrensbeschreibungen ist jedoch noch nicht abgeschlossen und wird auch bis zum 25.05.2018 nicht abgeschlossen sein. Das gleiche gilt für die (deutlich weniger aufwändigen) Datenschutz-Folgeabschätzungen, die sich in der konkreten Vorbereitung befinden.

 

2.    Welche Aufgaben stehen noch zur Umsetzung an?

s. 1.

 

3.    Wurden bestehende Verträge mit Rechenzentrumsbetreibern auf ihre DSGVO-Konformität hin geprüft bzw. entsprechend neu abgeschlossen?

Die Leistungsbeziehung zwischen der Stadt Göttingen und ihrer kommunalen Anstalt KDG ist per Satzung geregelt. Es handelt sich somit nicht um eine vertragliche Auftragserteilung sondern um eine Funktionsübertragung, die eine gesonderte Vereinbarung entbehrlich macht.

 

4. Dem Bürger steht nach dem 24.5.2018 ein zivilrechtliches Klagerecht bei Verstößen zu. [5] Da ein externer Dienstleister die Aufsicht zum Thema führt, stellt sich die Frage: Wer haftet, wenn die Stadt Göttingen, ab dem 25. Mai 2018 die neuen Anforderungen nicht erfüllt und Schadenersatz leisten muss?

Sofern es um die Verarbeitung von personenbezogenen Daten im technischen Einflussbereich der KDG geht, haften diese und die Stadt Göttingen im Außenverhältnis gesamtschuldnerisch. Im Innenverhältnis haftet diejenige, der das Verschulden konkret zuzurechnen ist. Handelt es sich um einen Fall, bei dem die Stadt Göttingen die Verarbeitung personenbezogener Daten autonom vornimmt, haftet sie alleinig und ausschließlich.

 

5. Liegen der Stadt Göttingen Mängelberichte vor?

Etwaige Mängel werden jährlich im Datenschutzbericht aufgeführt.

 

5a) Existieren Anforderungen, die die Stadt nicht wird umsetzen können?

Nein, die Anforderungen werden sukzessive im Wesentlichen durch die KDG umgesetzt. Allerdings werden sie nicht in Gänze bis zum 25.05.2018 erfüllt sein.

 

6. Sind in der Verwaltung Schulungen zu den neuen Aufgaben und Verfahren durchgeführt wor­den oder sind solche in Kürze vorgesehen?

Die wesentlichen Aufgaben fallen in den Bereich des Datenschutzbeauftragten bei der KDG. Die Verantwortlichen im Fachdienst IT-Service sind geschult bzw. werden zeitnahe geschult werden. Darüber hinausgehende Schulungen sind in der Planung.

 

6a)             Wenn ja, für wie viele Mitarbeiter in welchen Fachbereichen?

s.6.

 

6b)             Wenn nein, warum nicht?

s.6

 

7. Wurde ein neues Informations- und Dokumentationssystem aufgebaut?

Die KDG implementiert derzeit ein solches System ( DocSetMinder“). Die Stadt Göttingen wird sich an dieses System nach Fertigstellung unverzüglich anschließen.

 

7a) Wird das dann von der Kommune geforderte "Verzeichnis zu Verarbeitungstätigkeiten" vom DS-Beauftragten geprüft und fristgerecht fertiggestellt?

Die Führung dieses Verzeichnisses ist ein dynamischer Prozess, die „Fertigstellung“ des Verzeichnisses damit nicht möglich. Die Verarbeitungstätigkeiten sind regelmäßig zu überprüfen, zu ändern oder zu erweitern.

Allerdings ist die Ersterfassung der Verfahrensbeschreibungen noch nicht abgeschlossen. Bei der Stadt Göttingen gibt es weit über 200 zu beschreibende Verfahren, wovon derzeit die 36 Umfangreichsten und Komplexesten beschrieben sind.

 

8) Wann wird im Personalausschuss der Bericht zum Status der DSGVO vorgestellt?

Der Status zur Umsetzung des EU-DSGVO wird künftig im Rahmen des jährlichen Datenschutzberichtes vom Datenschutzbeauftragten vorgetragen werden.

 

Anlagen:

 

Anfrage der PIRATENundPARTEI vom 28.09.2017

Anlagen:  
  Nr. Status Name    
Anlage 1 1 öffentlich PPGr-16-10-2017-Anfrage_DSGVO (192 KB)      
 
 

zurück