Ergebnisse der Datenschutz-Umfrage bei allen Gemeinden in Baden-Württemberg

Version 1.0 vom 4. November 2019
 

Informationen zur Auswertung der Datenschutz-Umfrage

Zwischen dem 5. Juni und 1. Juli 2019, mit Verlängerung bis zum 25. Juli 2019, waren alle 1101 Gemeinden in Baden-Württemberg aufgerufen, an einer umfangreichen Online-Umfrage zum Stand des Datenschutzes und der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) in ihrer Gemeinde teilzunehmen. Es handelte sich eine reine Online-Umfrage. Die Umfrage umfasste 50 Fragen und erforderte einen Bearbeitungsaufwand von ca. 90 Minuten.

Jede der Gemeinden erhielt einen individuellen Teilnahme-Link per E-Mail. Damit war es möglich, die Antworten zwischenzuspeichern und freizugeben (z.B. nach Prüfung durch die Bürgermeisterin oder den Bürgermeister). 968 Gemeinden (knapp 88 %) haben an der Umfrage teilgenommen und 918 Gemeinden (gut 83 %) haben die Eingaben freigegeben. Rund 12 % der Gemeinden (133) haben sich trotz mehrfacher Aufforderung nicht beteiligt, 6 % (68) haben den Umfrage-Link nie aufgerufen. Im Folgenden finden Sie eine Zusammenfassung der wichtigsten Erkenntnisse sowie alle Ergebnisse im Detail. Für die Auswertung wurden alle Antworten berücksichtigt, die bis zum 30. Oktober 2019 eingegangen sind. Bitte beachten Sie bei den absoluten Zahlen beim Filtern nach Gemeindegröße, dass nicht alle Gemeinden die Anzahl der Einwohner angegeben haben.

Wenn sie dieses Dokument drucken möchten: Bitte benutzen Sie die Druckbare PDF-Version unter der Adresse
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/11/Ergebnisse-Kommunalumfrage.pdf
.

Herausgeber:
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Königstraße 10a
70173 Stuttgart
Telefon: (07 11) 61 55 41-0
E-Mail: poststelle@lfdi.bwl.de
Homepage: https://www.baden-wuerttemberg.datenschutz.de/

Zusammenfassung

Insgesamt fühlen die Gemeinden sich durch die Anforderungen der Datenschutz-Grundverordnung stark belastet. Es stehen ihnen nur mangelnde personelle und zeitliche Ressourcen für den Bereich Datenschutz (insbesondere für interne wie externe Datenschutzbeauftragte) zur Verfügung.
 Wesentliche Neuerungen der DS-GVO sind die Bestellpflicht für Datenschutzbeauftragte, erweiterte Informationspflichten, gestärkte Betroffenenrechte und erweiterte Dokumentationspflichten.

Wesentliche Ergebnisse der Umfrage
  • Die Kommunikation LfDI und Gemeinden funktioniert und 
die Kooperationsbereitschaft ist erfreulich hoch.

  • Die Kommunen sind bereit und willig, sich der „Herausforderung EU-DSGVO“ zu stellen, aber es fehlt an Know How, Personal und Unterstützung – gerade bei den kleinen Gemeinden.
  • Der bislang erreichte Stand in Sachen Datenschutz und Datensicherheit ist in vielen Bereichen ungenügend.

Warum haben einige Gemeinden nicht teilgenommen? Rückmeldungen:

  • „Nach 30 Minuten aufgegeben. Frage 1 – 50 KEINE ANGABE“
  • „die umfrage ist genauso sinnlos, wie der ganze Datenschutzquatsch. Wir verwalten uns zu tode.“
Sechs zentrale Schlussfolgerungen aus der Umfrage
Noch mehr Unterstützung vom LfDI gefordert

Der von den Gemeinden gegenüber dem LfDI geltend gemachte Unterstützungsbedarf ist sehr hoch. Es werden mehr Beratungs- und Unterstützungsleistungen, zum Beispiel in Form von weiteren Schulungsmaßnahmen, Mustervorlagen oder Handreichungen, gefordert (siehe zum Beispiel Frage 42).
Unzureichende Betreuung durch externe Datenschutzbeauftragte


78 % der Gemeinden in Baden-Württemberg haben einen externen Datenschutzbeauftragten. Davon ist die weit überwiegende Mehrheit beim gleichen Anbieter. Die Betreuung und Unterstützung durch externe Datenschutzbeauftragte wird oft als nicht zufriedenstellend bezeichnet. Entsprechende Rückmeldungen gibt es auch von Bürgern. Hauptgrund hierfür dürfte der Betreuungsschlüssel sein: 
ein hauptamtlicher externer Datenschutzbeauftragter sollte nicht mehr als 15 bis 20 Gemeinden betreuen!
Bedenkliche Entwicklung: Einwilligungen zur Datenverarbeitung im behördlichen Bereich nehmen zu
Weit verbreitet besteht Unsicherheit im kommunalen Bereich bezüglich der Rechtsgrundlagen von Datenverarbeitungen. 

Deshalb werden entgegen dem klaren Wortlaut der Datenschutz-Grundverordnung vermehrt Einwilligungen beim Bürger eingeholt, um darauf die Verarbeitung personenbezogener Daten zu stützen.
Fachministerien bei bundes-/landeseinheitlichen Verfahren gefordert
Bei bundes- und landeseinheitlichen Verfahren (Pflichtaufgaben) sollten die zuständigen Fachministerien die bestehenden Musterformulare um einschlägige Datenschutzerklärungen (im Sinne von Artikel 13, 14 DS-GVO) ergänzen. Im Moment muss jede noch so kleine Gemeinde im Bereich der Pflichtaufgaben selbst tätig werden.
Digitalisierung: Mehr Sicherheit der Datenverarbeitung nötig
Ohne Digitalisierung kommt eine Gemeindeverwaltung heute nicht mehr aus. Der Sicherheit der Verarbeitung (Artikel 32 DS-GVO) kommt dabei ein hoher Stellenwert zu. Vor diesem Hintergrund sind das Wissen und die Maßnahmen bei vielen Gemeinden ungenügend (siehe zum Beispiel Frage 41).
Weitergabe von Online-Nutzungsdaten
Fast jede Gemeinde hat eine Website, und über die Hälfte binden Inhalte oder Elemente von Dritten (z.B. Google/Facebook) in die Seite ein. Dies hat oftmals zur Folge, dass das gesamte Nutzungsverhalten von Website-Besuchern an Dritte – darunter Google und Facebook – weitergegeben wird. Dafür gibt es keine Rechtsgrundlage (siehe Frage 31).

Aufgrund der Erkenntnisse aus der Umfragen ist auch die Broschüre Datenschutz bei Gemeinden (PDF, verfügbar ab 4. November 2019) entstanden.

https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/11/Broschüre-Gemeinden-November-2019.pdf

Alle Ergebnisse im Detail

Abschnitt 1: Umsetzungsstand und Evaluierung DS-GVO

1. Wie beurteilen Sie den Sachstand bei der Umsetzung der DS-GVO in Ihrer Gemeinde?

Je größer die Gemeinden, desto weiter ist der Umsetzungsstand der DS-GVO.

Häufige Rückmeldung in den Freifeldtextern:

  • Überforderung der (internen) Mitarbeiter,
  • wenig zeitliche Ressourcen werden von der Verwaltungsspitze für das Thema bereitgestellt.
  • Unzufriedenheit über Unterstützung externer behördlicher DSB.
  • Selten: DSB des Gemeindeverwaltungsverbands oder Landkreises betreut kleinere Kommunen mit.

Nicht zufriedenstellend ist es, dass 18 Monate nach Inkrafttreten der DS-GVO 38% der baden-württembergischen Gemeinden gerade erst mit der Umsetzung begonnen haben.

Es hat den Anschein, dass viele Kommunen ihre Pflichten nach der DS-GVO mit der Bestellung eines (überwiegend externen) DSB erledigt sehen.

In den wenigsten Fällen werden die Aufgaben bzgl. der Umsetzung klar zwischen Verantwortlichem und DSB getrennt.

Gerade was kleinere Kommunen betrifft, bedarf es einer besseren interkommunalen Zusammenarbeit im Bereich Datenschutz. Auch die Landkreise können in der Fläche des Landes eine Koordinierungsfunktion für kleine Kommunen im Bereich Datenschutz innehaben.

2. Die Umsetzung welcher Bereiche wurde noch nicht angegangen?

Unabhängig von der Größe der Gemeinden wurde die Datenschutz-Folgenabschätzung mit Abstand am häufigsten noch nicht angegangen. Das Erstellen des Verarbeitungsverzeichnisses ist bei rund 30% der kleinen bis mittelgroßen Gemeinden noch nicht angegangen worden.

Kritisch ist zu sehen, dass 229 Kommunen in Baden-Württemberg mit der Erstellung des Verarbeitungsverzeichnisses noch gar nicht begonnen haben und damit auch keine Übersicht über die Datenverarbeitungstätigkeiten in ihrem Bereich haben.

3. In welchen Bereichen gibt es welche Probleme bei der Umsetzung der DS-GVO?

Auffällig ist, dass 182 Gemeinden angegeben haben, dass sie Probleme mit der Erstellung des Verarbeitungsverzeichnisses haben, obwohl diese Gemeinden bei Frage 2 angegeben haben, dass sie mit der Erstellung des Verzeichnisses noch gar nicht begonnen haben. Ebenso auffällig ist, dass viele Gemeinden angegeben haben, Probleme mit Datenschutz-Folgenabschätzungen zu haben.

Die Erklärung für beides könnte sein, dass die „Ausfüllhilfen für die Datenschutzumfrage des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg“ von ITEOS, dem zentralen IT-Dienstleister der baden-württembergischen Kommunen, der häufig auch den externen Datenschutzbeauftragten stellt, genau diese beiden Punkte vorgeschlagen haben.

4. Gibt es Abgrenzungsprobleme zwischen der Gemeinde als Gebietskörperschaft und juristischen Personen, an denen die Gemeinde beteiligt ist (wie z.B. Stiftungen oder kommunalen Wirtschaftsbetriebe)?
5. Bei anderen verantwortlichen Stellen, an denen Gemeinden beteiligt sind, kann es unter Umständen zu unterschiedlichen Rechtsregimen kommen (Anwendung BSDG oder LDSG). Sind damit in der kommunalen Praxis Probleme verbunden?
6. Welchen Stellen innerhalb Ihrer Gemeinde (Personen, Organisationseinheiten) obliegen die strategischen und operativen Umsetzungsaufgaben im Bereich des Datenschutzes?

Diese Frage bestand nur aus einem Freitextfeld. Die häufigsten Nennungen sind: ITEOS/Datenschutzkoordinator, Hauptamt, Amtsleiter

7. Wurden die an den Verarbeitungsvorgängen beteiligten Beschäftigten über das neue Datenschutzrecht informiert?

Erfreulich ist der hohe Informationsfluß bezüglich des neuen Datenschutzrechts durchgehend auch bei kleineren Gemeinden (alle im Schnitt bei 90%).

Bei diesen Werten ist zu beachten, dass bei der Musterbeantwortung von ITEOS, dem zentralen IT-Dienstleister der baden-württembergischen Kommunen, genau dies vorgeschlagen wurde.

Falls ja, in welcher Form?
Durch wen wurde informiert?

Abschnitt 2: Behördlicher Datenschutzbeauftragter

Die zeitlichen Ressourcen, die dem DSB (ob extern oder intern) zur Verfügung gestellt werden, sind überwiegend nicht ausreichend. Was die externen DSB betrifft, bestimmt ITEOS mit rund 700 betreuten Gemeinden das Bild.

Interne DSB: wenn Verwaltungen die Notwendigkeit der personellen Ausstattung beim Thema Datenschutz erkannt haben, der Gemeinderat einen entsprechenden Antrag auf Erhöhung des Personals aber ablehnt, ist dies kritisch zu sehen.

Externe DSB: bei einem Betreuungsschlüssel von rund 1:50 (ITEOS-DSB:Kommunen) ist die ordnungsgemäße Aufgabenwahrnehmung gem. Art. 39 DS-GVO nicht garantiert.

Die Kommunen als verantwortliche Stellen tragen die Verantwortung für eine ausreichende Ressourcenausstattung ihres (internen wie externen) DSB.

8. Wie häufig wird der behördlicher Datenschutzbeauftragte (DSB) in die Bewertung datenschutzrechtlicher Fragestellungen eingebunden?

Erfreulich ist, dass der DSB so häufig „standardmäßig immer“ hinzugezogen wird, wenn datenschutzrechtliche Fragen bestehen. Eine Einbindung des DSB in die Prozesse der Kommunalverwaltung wird häufig über Dienstanweisungen geregelt (insbesondere: Datenpannenmeldung, Verarbeitungsverzeichnis, DSFA).

9. Wurden dem DSB über die Mindestaufgaben nach der DS-GVO hinaus (Artikel 38 Absatz 4 und Artikel 39 DS-GVO) weitere Aufgaben übertragen?

Eine Übertragung weiterer Aufgaben über die Mindestaufgaben wird weit häufiger bei internen als bei externen DSB vorgenommen.

Falls ja, welche?
In welcher Form erfolgte die Aufgabenübertragung?
10. Haben Sie einen externen oder internen DSB?

78% der Kommunen in Baden-Württemberg haben einen externen DSB. Davon ist die weit überwiegende Mehrheit beim gleichen Anbieter (ITEOS). Interne DSB haben v.a. die größeren Städte.

Die Unterstützungsleistung durch den externen DSB bei ITEOS wird folgendermaßen lt. Vertrag geregelt: Es wurde keine Vereinbarung über Unterstützungsleistungen in Wochenstunden getroffen, die Einbeziehung des externen Datenschutzbeauftragten erfolgt vielmehr nach Bedarf.

Mehrere Gemeinden haben in den Freitextfeldern angegeben, dass pro Gemeinde und Jahr nur wenige Stunden bis Tage von ITEOS kalkuliert werden.

Wenn interner DSB: Beschäftigungsumfang für die Aufgabe als DSB
Wenn Externer DSB: Bitte vertraglich vereinbarte Unterstützungsleistung in Wochenstunden angegeben
11. Wird der DSB standardmäßig bei Neuanschaffungen von IT-Systemen hinzugezogen?

Knapp 60% der Gemeinden ziehen standardmäßig den DSB hinzu bei Neuanschaffungen von IT-Systemen.

Diese hohe Prozentzahl ist erfreulich, jedoch vor dem Hintergrund zu bewerten, dass die Ausfüllhilfe von ITEOS diese Antwort vorgab.

Abschnitt 3: Pflichten der verantwortlichen Stelle

Es bestehen signifikante Unterschiede bei der Übertragung von einzelnen Pflichten von der Verwaltung auf DSB je nachdem ob ein interner oder externe DSB bestellt wurde. Den internen DSB wird sehr häufig das Erstellen des Verarbeitungsverzeichnisses und die Meldung der Datenpannen übertragen. Wenn ein externer DSB bestellt wurde, geschieht dies nur im Schnitt in 15% der Fälle.

12. Wer führt das gemeindliche Verarbeitungsverzeichnis?

Wenn es einen internen DSB gibt, liegt das Führen des Verarbeitungsverzeichnisses zu 65% bei diesem.

Wenn es einen externen DSB gibt, nur zu 12%.

13. Wer meldet Datenpannen?
Wie beim Verarbeitungsverzeichnis: Wenn es einen internen DSB gibt, so hat dieser zu 68% der Fälle die Aufgabe, Datenpannen an die Aufsichtsbehörde zu melden.
Die externen DSB haben nur in 20% der Fälle die Aufgabe der Datenpannenmeldungen.
14. Wer organisiert Schulungen zum Datenschutzrecht?

In den meisten Fällen organisiert der DSB die Schulungen zum Datenschutzrecht.

Abschnitt 4: Einwilligungen

Über 60% der befragten Kommunen haben angegeben, dass die Einwilligung als Rechtsgrundlage zugenommen hat seit Inkrafttreten der DS-GVO, Probleme damit seien jedoch überwiegend nicht aufgetreten. Es besteht wenig Problembewusstsein in der Abgrenzung zwischen der Einwilligung und anderen gesetzlichen Rechtgrundlagen (v.a. freiwillige Aufgaben der Kommune und Vertrag).

Diese Entwicklung halten wir wegen der klaren Formulierung des Erwägungsgrundes 43 DS-GVO für problematisch. Im Verhältnis Behörde-Bürger liegt ein strukturelles Ungleichgewicht, das die Freiwilligkeit der Einwilligung per se in Frage stellt.

Offenbar ist wenig Problembewusstsein in diesem Zusammenhang vorhanden. Selbst bei Pflichtaufgaben und klaren vertraglichen Konstellationen wird häufig die Einwilligung als Rechtsgrundlage herangezogen.

Nach dem klaren Wortlaut der DS-GVO sollte im behördlichen Bereich die Einwilligung als Rechtsgrundlage die Ausnahme sein, was in baden-württembergischen Kommunen flächendeckend offenbar nicht der Fall ist. Bei den meisten Datenverarbeitungen durch die Kommunen ist eine gesetzliche Rechtsgrundlage (Art. 6 Abs. 1 Buchst. b-e DS-GVO) einschlägig. Dies muss in dem Bewusstsein der Kommunen klarer werden.

15. Hat sich Ihrer Einschätzung nach die Zahl der Einwilligungen als Rechtsgrundlage einer Datenverarbeitung seit Wirksamwerden der DS-GVO (in etwa)

Signifikante Unterschiede je nachdem ob interne oder externe DSB vorhanden sind (wenn interne DSB: 43% sagen "erhöht"; wenn externe DSB: 67%). Die Ausfüllhilfe von ITEOS wird die Erklärung dafür sein, die "erhöht" als Angabe vorsieht.

Die Zunahme der Einwilligungen als Rechtsgrundlage im behördlichen Bereich ist vor dem Hintergrund des EG 43 S.1 als kritisch zu sehen.

16. Welche Datenverarbeitungen stützen Sie standardmäßig auf Einwilligungen?

Ganz häufige Nennung:

  • Kinderferienprogramm
  • Veröffentlichung Fotos
  • Textbaustein von ITEOS aus der Ausfüllhilfe: „Erforderliche Datenverarbeitungen, die nicht ausdrücklich in Spezialgesetzen geregelt sind, werden durch Einwilligungen abgedeckt. Hierbei handelt es sich vor allem um Leistungen, die die Gemeinde freiwillig erbringt( z.B. Ferienprogramm) oder um Dokumentationen durch Foto- und Videoaufzeichnungen (z.B. Hauptprobe der örtlichen Feuerwehr, Entwicklungsdokumentation im Kindergarten).“
  • genannt werden aber auch fachgesetzliche geregelte Verarbeitungssituationen: Liegenschaftswesen, Gewerbe, besonders sensible Daten, Bewerberdaten, Personalgewinnung, Meldewesen, Jugendsozialarbeit, Schule.

Es ist bedenklich, dass das falsche Verständnis verbreitet ist, dass nur Datenverarbeitungen im Rahmen von Pflichtaufgaben eine gesetzliche Grundlage für Datenverarbeitungen darstellen können. Wir haben mehrfach darauf hingewiesen, dass auch freiwillige Aufgaben der Kommune von der Rechtsgrundlage der § 4 LDSG umfasst sind.

Wir empfehlen den Kommunen dringend, ihr Verständnis von § 4 LDSG als Rechtsgrundlage in Abgrenzung zu der Einwilligung zu berichtigen.

17. Aus welchen Gründen arbeiten Sie mit Einwilligungen?

„Mangels anderer Rechtsgrundlagen“ ist der mit Abstand am häufigsten angegebene Grund.

Zitate zu der Antwort „bei Unsicherheit, ob eine andere Rechtsgrundlage einschlägig ist“:

  • „zur Sicherheit der Gemeinde“
  • „Die Beteiligung der Betroffenen durch die Einwilligung ist persönlicher und erzeugt mehr Verständnis.“

Diese Antworten sind zwar datenschutzrechtlich zutreffend. Jedoch ist die Aussagekraft dieser Antwort vor dem Hintergrund der Antworten von Frage 16, wonach sehr viele Kommunen bei den Datenverarbeitungen im Rahmen von freiwilligen Aufgaben keine gesetzliche Rechtsgrundlage in § 4 LDSG sehen, sondern die Einwilligung als Rechtsgrundlage heranziehen, eingeschränkt positiv zu sehen.

18. Treten im Umgang mit Einwilligungserklärungen Schwierigkeiten auf?

Bei den Ja-Antworten wird die jederzeitige Widerrufbarkeit und damit die Unsicherheit für die Kommune öfter erwähnt.

Zitate:

  • „Ohne Einwilligung können bestimmte Vertragsverhältnisse gar nicht entstehen.“
  • „Unverständnis der Betroffenen, warum schon wieder eine Einwilligung notwendig ist.“

Subjektiv treten überwiegend keine Probleme auf. Allerdings wird in weiten Teilen verkannt, dass die Einwilligung als Rechtsgrundlage im Bereich Behörde-Bürger nur in Ausnahmefällen zur Anwendung kommen sollte (EG 43).

Die Abgrenzung zwischen gesetzlichen Rechtsgrundlagen (v.a. freiwillige Aufgaben und Vertrag) und der Einwilligung muss in das Problembewusstsein der Kommunen rücken.

Wenn ja, wo?

Abschnitt 5: Verarbeitungsverzeichnis

Aus den z.T. beachtlichen Schwankungen bei der Anzahl der angegebenen Datenverarbeitungen bei vergleichbarer Gemeindegröße und den Rückmeldungen aus den Freifeldtextern ist festzustellen, dass eine hohe Unsicherheit bei der Umsetzung des Verarbeitungsverzeichnisses besteht. Auch wird immer noch zu häufig auf die eingesetzten Verfahren bzw. Prozesse abgestellt und nicht auf die Verarbeitungstätigkeiten.

Zwar bestehen Musterformulare und Ausfüllhilfen zum Verarbeitungsverzeichnis auf der Homepage des LfDI, diese scheinen jedoch nicht wahrgenommen worden zu sein. Wir haben in der neuen Broschüre nochmal die Unterschiede zwischen altem Verfahrensverzeichnis und neuem Verarbeitungsverzeichnis beleuchtet und ein Einzelverzeichnis als Beispiel ausgefüllt.

19. Haben Sie ein Verarbeitungsverzeichnis nach Art. 30 DS-GVO erstellt?
Hier ist ein Widerspruch zu den Antworten in Frage 2 festzustellen: dort haben 28% der von ITEOS betreuten Gemeinden angegeben, dass sie das Verarbeitungsverzeichnis noch nicht angegangen sind, bei der Frage hier nur 15%.
z.T. wird auch fälschlicherweise davon ausgegangen, dass der Ausnahmetatbestand des Art. 30 Abs. 5 DS-GVO für kleinere Kommunen gilt.
20. Wie viele unterschiedliche Verarbeitungstätigkeiten wurden für Ihre Verwaltung identifiziert?

Hier fiel auf, dass es z.T. bei ähnlich großen Städten die Anzahl der geschätzten Verarbeitungstätigkeiten extrem schwankt (430 Tätigkeiten in der einen Großstadt, 79 in der quasi gleich großen; auch bei kleineren Gemeinden ist dies festzustellen.

„Wir haben groß geschätzt und rund 200 verschiedende EDV-Programme im Einsatz.“ – Auch diese Empfehlung kommt von ITEOS.

Es scheint eine große Unsicherheit zu geben, was genau in das Verarbeitungsverzeichnis aufzunehmen ist. Auch die Unterschiede zum alten Verfahrensverzeichnis sind häufig unklar. Es wird immer noch sehr in den Kategorien gedacht, welcher Verfahren bzw. Prozesse man sich bei den Datenverarbeitungen bedient. Wir haben in unserer Broschüre nochmal diesen Punkt stärker beleuchtet und mit vielen Beispielen unterlegt.

Die Unterschiede zwischen dem alten Verfahrensverzeichnis und dem nun zu führenden Verarbeitungsverzeichnis müssen in das Bewusstsein der Kommunen verankert werden.

21. In welcher Form wird das Verarbeitungsverzeichnis geführt?

Die großen Städte geben häufiger als die kleineren Kommunen an, dass sie ihr Verarbeitungsverzeichnis elektronisch führen.

Abschnitt 6: Informationspflichten

Das häufigste Probleme bei der Umsetzung der Informationspflichten nach Art. 13, 14 DS-GVO ist die schiere Masse der anzupassenden Formulare.

Aber auch das Finden der ganz konkreten (fachgesetzlichen) Rechtsgrundlage stellt offenbar eine Herausforderung dar.

Wir beobachten im Bereich der Pflichtaufgaben, dass jede Gemeinde auf „eigene Faust“ Informationspflichten formuliert. Dies führt zu einer Überforderung allein aufgrund der Masse der anzupassenden Formularen und zu einem Flickenteppich an unterschiedlich gestalteten Informationen iSv Art. 13 und 14 DS-GVO.

Bei einheitlichen Verfahren in Erfüllung der Pflichtaufgaben sollten die zuständigen Fachministerien die bestehenden Musterformulare ergänzen um die Informationspflichten.

Der behördlichen Einheit, der die Erstellung der Informationspflichten übertragen wurde (häufig der/die DSB) muss aus den Fachabteilungen zugearbeitet werden.

22. Haben Sie hinreichend identifizieren können, bei welchen Sachverhalten Informationspflichten bestehen?

Probleme wurden v.a. bei der schieren Masse der anzupassenden Formularen angegeben. Aber auch die Suche nach der gesetzlichen Grundlage stellt für viele Gemeinden eine Herausforderung dar.

Folgende Punkte sind nochmal klarzustellen:
  • „Nur“ das Erheben von personenbezogenen Daten löst eine Informationspflicht nach Art. 13 bzw. 14 DS-GVO aus.
  • Eine schriftliche Bestätigung des Erhalts der Informationen nach Art. 13, 14 DS-GVO ist nicht erforderlich.
  • Der sog. Medienbruch ist grundsätzlich zulässig.

Selbst wenn die Umsetzung der Informationspflichten dem/der DSB übertragen wurde, ist die Erfüllung dieser Aufgabe ohne die Zuarbeit aus den Fachabteilungen (v.a. hinsichtlich der Rechtsgrundlage der Datenverarbeitung aus den einschlägigen Fachgesetzen) nicht möglich.

23. Treten bei der Erfüllung der Informationspflichten Schwierigkeiten auf?
Zitat: „Es ist unverständlich, warum zu Landes- und Bundeseinheitlichen Verfahren keine Muster vom Land zur Verfügung gestellt werden. Es kann nicht sein, dass sich jede Kommune zu einheitlichen Vorgängen Gedanken machen muss. Dieses Nichtstun frustriert die Basis!“

Wir haben auch in anderen Zusammenhängen das Unverständnis der baden-württembergischen Gemeinden wahrgenommen, warum bei Datenerhebungen im Rahmen von Pflichtaufgaben keine Mustervorlagen nach Art. 13 und 14 DS-GVO von den Fachministerien zur Verfügung gestellt werden.

Es würde zu einer erheblichen Entlastung und Rechtssicherheit bei den Kommunen in Baden-Württemberg führen, wenn zu bestehenden (analogen und digitalen) Formularvorlagen im Rahmen von fachgesetzlichen Pflichtaufgaben die zuständigen Fachministerien auch die Mustervorlagen nach Art. 13 und 14 DS-GVO zur Verfügung stellen würden.

Falls ja, welche?

Abschnitt 7: Videoüberwachung

Je größer die Gemeinde ist, umso häufiger wird Videoüberwachung eingesetzt. Meistens zum Zwecke der Prävention von Vandalismus oder zur Sicherheit von Mitarbeitern der Gemeinde. Am häufigsten wird Videobüberwachung im Bereich Schulhöfe, Schwimmbäder, Parkhäuser und Feuerwehren eingesetzt.

Kritische Bereiche können Schulhöfe und Schwimmbäder darstellen, weil dort die Eingriffe in die Persönlichkeitsrechte intensiver ausfallen können.

Insbesondere in den Bereichen Schulhöfe und Schwimmbäder muss grundsätzlich aufgrund der Möglichkeit eines tieferen Eingriffs in die Persönlichkeitsrechte geprüft werden, ob eine Datenschutz-Folgenabschätzung vorgenommen werden muss. Die Prüfung muss dokumentiert werden.

24. Wird von Ihrer Verwaltung Videoüberwachung eingesetzt?

Je größer die Gemeinde, desto häufiger wird Videoüberwachung eingesetzt (bei den kleinen Kommunen im Schnitt rund 9%, bei den großen im Schnitt rund 58%).

Am häufigsten in den Bereichen:

  • Schulhöfe (außerhalb der Schulzeit),
  • Parkhäuser/ Tiefgaragen,
  • Freibäder (Schwimmbeckenbereich),
  • Bauhof/ Wertstoffhof,
  • Feuerwehr,
  • Eingang Rathaus.

Als Gründe werden v.a. Vandalismus, Sicherheit der Mitarbeiter/ Schutz vor Belästigungen angegeben.

Kritische Bereiche können Schulhöfe und Schwimmbäder darstellen, weil dort die Eingriffe in die Persönlichkeitsrechte intensiver ausfallen können.

Insbesondere in den Bereichen Schulhöfe und Schwimmbäder muss grundsätzlich aufgrund der Möglichkeit eines tieferen Eingriffs in die Persönlichkeitsrechte eine Datenschutz-Folgenabschätzung vorgenommen werden.

25. Treten bei der Erfüllung der Informationspflichten im Bereich der Videoüberwachung Schwierigkeiten auf?

Fast alle Kommunen, die Videoüberwachung einsetzen, geben an, keine Probleme mit der Erfüllung der Informationspflichten zu haben.

26. Zu welchen Zwecken nehmen Sie eine Videoüberwachung vor und auf welche Rechtsgrundlage stützen Sie diese?

Am häufigsten wird genannt: - Vandalismus/ Schutz des Eigentums, - Sicherheit der Mitarbeiter

Als Rechtsgrundlage wird überwiegend § 18 LDSG genannt, aber auch Art. 6 Abs. 1 Buchst. f DS-GVO, § 20a LDSG, Art. 6 Abs. 1 Buchst. e DS-GVO iVm Gemeinderatsbeschluss.

Überwiegend ist die Rechtsgrundlage klar, dies ist sehr erfreulich.

Vereinzelt kam jedoch auch die Rückmeldung, dass es keine Übersicht gebe, wo im Gemeindegebiet Videoüberwachung eingesetzt werde. Angesichts eines möglichen tieferen Eingriffs in die Persönlichkeitsrechte ist eine solche Situation nicht zu akzeptieren.

Abschnitt 8: Digitalisierung der Verwaltung

Ohne Digitalisierung kommt eine Gemeindeverwaltung heute nicht mehr aus. Der Sicherheit der Verarbeitung (Art. 32 DS-GVO) kommt dabei ein hoher Stellenwert zu.

Vor diesem Hintergrund sind das Wissen und die Maßnahmen bei vielen Gemeinden ungenügend.

27. Wo sehen Sie die wesentlichen Herausforderungen bei der Digitalisierung im Zusammenhang mit dem Datenschutz?

Diese Frage beinhaltete ein Freitextfeld. Die meisten Gemeinden haben die Gelegenheit genutzt, hier Angaben zu machen. Viele Gemeinden bemängeln, dass sie zu wenig (qualifiziertes) Personal haben.

Weitere häufige Antworten sprechen die folgenden Themen an:

  • Datensicherheit, IT-Sicherheit und Hackerangriffe.
  • rechtssichere Löschung, Löschfristen
  • Verschlüsselung
  • Fehlendes landesweites System
  • Aufwand für Dokumentation
  • Verständlichkeit der Normen
  • Wunsch der Bürger, Behördengänge online zu erledigen
  • sicherer E-Mail-Verkehr

Einige Gemeinden bemängeln, Datenschutz würde den Fortschritt bremsen.

Klares Hauptthema ist fehlendes Personal und die Qualifikation. Hier liegt es an den Gemeinden, genügend Personal bereit zu stellen.

28. Hat Ihre Gemeinde ein oder mehrere Internetangebote (Webseiten)?

Wie zu erwarten haben fast alle Gemeinden eigene Internetangebote, viele auch mehrere. Der Anteil der Gemeinden ohne eigene Internetangebote ist dabei bei den kleinsten 5 % (unter 1030 Einwohner) höher.

29. Findet die Kommunikation mit den Webseiten verschlüsselt über HTTPS statt?

Insgesamt geben 83 % der Gemeinden an, dass ihre Webseiten per HTTPS verschlüsselt erreichbar sind. Dabei steigt der Wert mit der Größe der Gemeinden an: Während die kleinsten Gemeinden nur zu knapp 60 % die Datenübertragung zu ihrem Internet-Angebot verschlüsseln, ist dies bei den größten Gemeinden zu 95 % der Fall.

Diese Entwicklung ist insgesamt sehr erfreulich, auch wenn insbesondere bei den kleinen Gemeinden noch Nachholbedarf besteht.

Heutzutage sollten Webseiten stets verschlüsselt per HTTPS erreichbar sein. Dies ist auch nicht mehr mit hohen Kosten und Aufwand verbunden, seit Initiativen wie Let's Encrypt automatisierbar kostenlose Zertifikate anbieten.

Die IT-Dienstleister der Kommunen sollten daher verschlüsselte Websites grundsätzlich standardmäßig aktivieren.

30. Betreibt Ihre Gemeinde ein Bürgerportal oder ähnliches, auf denen Bürger Online-Dienstleistungen (abseits der reinen Kontaktaufnahme) in Anspruch nehmen können (z. B. Antragstellungen)?

Insgesamt betreiben knapp 25 % der Gemeinden ein Bürgerportal, auf dem Bürger Online-Dienstleistungen in Anspruch nehmen können. Dabei schwankt dies sehr stark mit der Größe der Gemeinde: Von den größten 43 Gemeinden ab 35000 betreiben 72 % ein Bürgerportal, bei den kleinsten 42 (unter 1030 Einwohner) sind es nur knapp 5 %.

31. Nutzt Ihre Gemeinde Tools zur Reichweitenanalyse der Internetangebote (Web-Analytics)?

Rund die Hälfte der Gemeinden nutzt Werkzeuge zur Reichweitenanalyse. Die Nutzung ist stark abhängig von der Gemeindegröße: Nur knapp 5 % der kleinsten Gemeinden nutzen entsprechende Werkzeuge, bei den größten hingegen 93 %.

Den größten Marktanteil hat dabei der Dienst Google Analytics, knapp vor dem üblicherweise datensparsamen Open-Source-Produkt Matomo.

Die Nutzung von Tools zur Reichweitenanalyse ist aus Perspektive des Datenschutzes nicht per se problematisch, sondern es kommt auf die Methode an – unter anderem, ob dabei die Nutzungsdaten an Dritte weitergegeben werden.

Der Einsatz von Google Analytics ist mit der Weitergabe personenbezogener Daten und des gesamten Nutzungsverhaltens der Nutzer an Google verbunden. Google verwendet diese Daten auch für eigene Zwecke und verlangt daher vom Seitenbetreiber, eine rechtskonforme Einwilligung der Nutzer einzuholen. Die Einholung einer freiwilligen, informierten, aktiven, vorherigen, separat erklärten und widerruflichen Einwilligung ist für nicht-öffentliche Stellen i.d.R. die einzige rechtskonforme Möglichkeit, diesen Dienst zu nutzen (vgl. Tracking-FAQ des LfDI).

Öffentliche Stellen haben allerdings hinsichtlich der Freiwilligkeit der Einwilligung stets das Ober-/Unterordnungsverhältnis mit Blick auf ihre Eigenschaft als Hoheitsträger zu betrachten. Daher scheidet eine Einwilligung im Bereich des Trackings bzw. der Weitergabe von Nutzungsdaten an Dritte grundsätzlich aus.

Gemeinden sollten daher auf andere Werkzeuge zur Reichweitenanalyse ausweichen, z.B. auf datensparsam konfiguriertes und lokal betriebenes Matomo oder die Analyse von Logfiles.

Falls ja, welche?
32. Binden die Internetangebote Ihrer Gemeinde Elemente bzw. Angebote Dritter mit ein?

Rund die Hälfte der Gemeinden bindet externe Elemente von Dritten in die eigenen Internetangebote ein. Am häufigsten werden dabei Karten und Videos eingebunden. Gut 13 % binden aber auch Plug-Ins bzw. Share- und Like-Buttons von Facebook, Twitter, Instagram oder anderen Plattformanbietern ein.

Die Einbindung von Elementen Dritter ist oftmals problematisch, da der Seitenbetreiber als datenschutzrechtlich Verantwortlicher meist nicht alle Datenflüsse kontrollieren kann.

Dies betrifft insbesondere die Einbindung von Plug-Ins bzw. Share- und Like-Buttons von Facebook, Twitter, Instagram oder anderen Plattformanbietern, denn diese hat in der Regel die Weitergabe des kompletten Nutzungsverhaltens der Nutzer an die Plattform zur Folge (siehe auch vorherige Frage 31). Ähnliches gilt oft auch für die Einbindung von Videos oder Kartendiensten.

Für Share- und Like-Buttons, die Einbindung von Videos usw. gibt es auch datensparsame Alternativen, vgl. Tracking-FAQ des LfDI.

Für die Einbindung von Karten sollten nach Möglichkeit Angebote der Vermessungsämter genutzt werden. Ist dies nicht möglich, bieten sich auch Dienste wie OpenStreetmap an.

Falls ja, welche?
33. Haben die Webseiten Ihrer Kommune Formulare, auf denen personenbezogene Daten verarbeitet werden (z.B. Kontaktformular)?

Die meisten Gemeinden bieten den Bürgern Kontaktformulare oder ähnliches an. Dabei haben die meisten bei Frage 29 angegeben, dass das Internetangebot verschlüsselt übertragen wird. Aber bei 51 Gemeinden fehlt laut eigener Angabe die Verschlüsselung, obwohl personenbezogene Daten per Kontaktformular o.ä. verarbeitet werden.

Wenn ein datenschutzrechtlich Verantwortlicher auf seinem Internetangebot Kontaktformulare oder ähnliches zur Verarbeitung von personenbezogenen Daten anbietet, ist stets die verschlüsselte Übertragung per HTTPS erforderlich. Alle Gemeinden sollten daher ihre Webseiten entsprechend prüfen.

34. Besteht in Ihrer Gemeinde ein Ratsinformationssystem?

Über 40 % der Gemeinden haben ein Ratsinformationssystem. Dabei gibt es deutliche Unterschiede zwischen den kleinsten und größten 5 % der baden-württembergischen Gemeinden: während die kleinen durchgängig kein Ratsinformationssystem betreiben, setzen alle großen Gemeinden ab 35000 Einwohner eines ein.

35. Bieten Sie Smartphone-Apps für Bürger an?

Nur relativ wenige Gemeinden bieten Smartphone-Apps für Bürger an. Der Anteil steigt mit der Größe der Gemeinden.

36. Binden diese Apps Dienste Dritter ein?

Rund ein Drittel der Gemeinden, die ihren Bürgern Smartphone-Apps anbieten, binden Dienste Dritter ein. Fast immer handelt es sich dabei um Dienste von Google wie Google Analytics for Apps und Google Maps.

Dienste oder Software-Development-Kits (SDKs) Dritter erheben häufig personenbezogene Daten der Nutzer. Oftmals werden Geräte- oder Werbe-IDs erfasst, die Daten an die Hersteller weitergegeben und die Nutzer geräteübergreifend überwacht.

Wie auch bei Websites (siehe Fragen 31 und 32) fehlt dabei häufig die Rechtsgrundlage für die Datenerhebung und -Weitergabe. Verantwortlichen ist oft nicht bewusst, welche Verarbeitungen stattfinden oder an wen welche Daten weitergegeben werden.

Mehrere Gemeinden haben angegeben, dass ihnen keine Informationen über die Einbindung von Diensten Dritter vorliegen, da sie die Apps nicht selbst programmiert haben. Dennoch sind Gemeinden, die Apps anbieten, grundsätzlich für die Verarbeitung personenbezogener Daten dieser Apps verantwortlich, da sie üblicherweise allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden (Artikel 4 Nummer 7 DS-GVO).

Gemeinden sollten grundsätzlich darauf verzichten, an Dritte Informationen über das Nutzungsverhalten der Bürger weiterzugeben. Datenflüsse beim Einsatz von SDKs oder Diensten Dritter müssen sorgfältig kontrolliert werden.

Falls ja, welche?
37. Ist Ihre Gemeinde auf den folgenden Social-Media-Angeboten vertreten bzw. erreichbar?

Facebook ist das beliebteste Socal-Media-Angebot bei baden-württembergischen Gemeinden: Gut 37 % der Gemeinden sind dort vertreten. Hinzu kommen mit Instagram und WhatsApp weitere Dienste des Unternehmens. Auch hier ist wieder ein deutlicher Unterschied zwischen kleinen und großen Gemeinden zu beobachten.

Nach einer Entscheidung des Europäischen Gerichtshofes (Rechtssache C-210/16) sind Betreiber von Facebook-Seiten gemeinsam mit Facebook für die Verarbeitung personenbezogener Daten verantwortlich.

Gemeinden, die auf Social-Media-Angeboten vertreten sind, sollten die gemeinsame Verantwortlichkeit mit dem Plattformbetreiber regeln. Auf unserer Website bieten wir Vorlagen für die Verträge zur gemeinsamen Verantwortung nach Artikel 26 DS-GVO.

38. Bietet Ihre Gemeinde Bürgern für die E-Mail-Kommunikation eine Form der Ende-zu-Ende Verschlüsselung an?

Nur wenige Gemeinden bieten den Bürgern die Möglichkeit, sicher per Ende-zu-Ende-Verschlüsselung mittels E-Mail zu kommunizieren. Am häufigsten kommt dabei der Dienst De-Mail zum Einsatz, der für Landesbehörden mit Zugang zu dem zentral für die Landesverwaltung angebotenen IT-Verfahren verpflichtend ist.

Vier Gemeinden haben angegeben, dass sie ihren Bürgern ermöglichen, mittels des offenen Internet-Standards OpenPGP (RFC 4880) per E-Mail Ende-zu-Ende verschlüsselt zu kommunizieren. Auf den jeweiligen Webseiten der Gemeinden sowie öffentlichen Schlüsselservern konnten wir keinen öffentlichen Schlüssel finden.

Sofern Gemeinden sensible personenbezogene Daten nach Artikel 9 DS-VO wie Gesundheitsdaten oder Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen empfangen oder verschicken, sind diese grundsätzlich per Ende-zu-Ende-Verschlüsselung vor Zugriff Unbefugter zu schützen.

Gemeinden sollten sich daher befähigen, eine oder mehrere Methoden der Ende-zu-Ende-Verschlüsselung einsetzen zu können.

Bei der Verwendung von verschlüsselten Container-Daten und PDF-Dokumenten ist Vorsicht geboten, da die – je nach genauem Verfahren – nur eine geringe Sicherheit bieten. Zudem ist das Passwort stets über einen gesicherten Kanal zu übertragen. Ähnliches gilt für Web-Portale, zudem bieten viele keine echte Ende-zu-Ende-Verschlüsselung nach dem Stand der Technik sondern nur eine Transportverschlüsselung.

Falls ja, welche?
39. Verfügt Ihre Gemeinde über die Möglichkeit, mit anderen Gemeinden, Behörden, Unternehmen oder Bürgern verschlüsselt per E-Mail zu kommunizieren?

Ähnlich wie bei Frage 38 ist die Situation bei dieser Frage. In der Auswahl kam als weitere Option die „Kommunikation über gesichertes Behördennetz“ sowie die „Transportverschlüsselung (TLS) bei SMTP“.

Über 50 % der Gemeinden haben angegeben, über ein gesichertes Behördennetz „Ende-zu-Ende“-verschlüsselt kommunizieren zu können, während nur gut 9 % angaben, Transportverschlüsselung nutzen zu können. Ersteres liegt vermutlich daran, dass in der Ausfüllhilfe von ITEOS diese Auswahl vorgeschlagen wurde.

Die Kommunikation über ein gesichertes Behördennetz ist (ebenso wie Transportverschlüsselung) keine Ende-zu-Ende-Verschlüsselung. Die Daten werden dabei nur während der Übertragung, nicht aber auf den beteiligten Servern verschlüsselt gespeichert. Dadurch ist grundsätzlich kein Schutzniveau erreicht, das für die regelmäßige Übertragung von Artikel-9-Daten ausreichend ist.

Die geringe Verbreitung von Transportverschlüsselung (TLS) ist erstaunlich. Alle Gemeinden sollten dies unterstützen. TLS bietet zwar nur einen Schutz während der Übertragung, ist aber einfach einzurichten und eine Mindestvoraussetzung für sichere Kommunikation.

E-Mail-Diensteanbieter haben die Technische Richtlinie „Sicherer E-Mail-Transport (BSI TR-03108)“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI) einzuhalten. Dazu gehört auch der Einsatz von Transportverschlüsselung.

Verantwortliche haben darauf zu achten, dass die ausgewählten Dienstleister die datenschutzrechtlichen Anforderungen erfüllen.

Falls ja, welche?
40. Den Einsatz welcher Verfahren für eine Ende-zu-Ende-Verschlüsselung von E-Mails hat Ihre Gemeinde geprüft?

Diese Frage beleuchtet, wie viele Gemeinden die verschiedenen Verfahren zur Ende-zu-Ende-Verschlüsselung geprüft haben.

Dabei zeigt sich, dass nicht nur wenige Gemeinden ein Verfahren zur Ende-zu-Ende-Verschlüsselung (siehe Fragen 38 und 39) anbieten, sondern deren Einsatz auch nicht geprüft haben.

41. Welche Datenträger (Festplatten, SSDs) werden in Ihrer Gemeinde verschlüsselt?

Jeweils rund die Hälfte der Gemeinden verschlüsseln die Datenträger ihrer Desktop-Computer, Laptops und Server sowie mobile Datenträger nicht. Die Daten liegen damit im Klartext vor und können z.B. bei Diebstahl oder Verlust von unberechtigten Dritten eingesehen werden. Kleine Gemeinden sind jeweils schlechter aufgestellt

Die häufigste eingesetze Verschlüsselungssoftware ist Bitlocker, gefolgt von VeraCrypt und dessen veraltetem Vorgänger TrueCrypt.

Mangelndes Wissen und fehlende Maßnahmen zur IT-Sicherheit zeigt sich insbesondere bei der viel zu geringen Verbreitung von Datenträgerverschlüsselung. Einige Gemeinden haben die Frage auch offensichtlich nicht verstanden. Antworten wie diese kamen mehrfach vor:

„Alle Datenträger befinden sich in mit Schlüsseln abschließbaren Räumen. Zudem wird der Eingang des Rathauses mit einem Zugangscode gesichert.“

Verschlüsselung bedeutet nicht, dass Räume abgeschlossen werden, sondern dass die Daten mittels Kryptographie quasi in Geheimschrift verwandelt werden, so dass nur jemand mit dem passenden Schlüssel die Daten wieder lesen kann.

Auch die Vermutung mehrerer Gemeinde, dass ein RAID-System Verschlüsselung ersetzen kann („Rekonstruktion der Daten nach Diebstahl und Auflösung des RAID Verbunds ist quasi ausgeschlossen.“) zeugt von mangelndem Sachverstand: Zwar ist nicht möglich, aus einer einzelnen Festplatte das komplette Dateisystem zu rekonstruieren. Dennoch lassen sich mit einfachen Mitteln Teile der Daten im Klartext extrahieren. Liegen dem Angreifer ausreichend viele Festplatten vor, lassen sich auch alle Daten rekonstruieren. Ein RAID-System kann daher keine Verschlüsselung ersetzen, sondern ist ein Verfahren, um die Ausfallwahrscheinlichkeit zu senken.

In mobilen Geräten sind Datenträger, auf denen personenbezogene Daten gespeichert werden, stets zu verschlüsseln. Auch in Desktop- und Server-Systemen sollten die Festplatten verschlüsselt werden. Jedes aktuelle Betriebssystem bringt entsprechende Funktionalität bereits mit. Ansonsten besteht nicht nur im Falle von Diebstahl ein unkalkulierbares Risiko, sondern auch bei der Entsorgung von Altgeräten.

Auf Online-Plattformen für gebrauchte Geräte tauchen immer wieder Datenträger mit sensiblen Daten auf. Datenträgerverschlüsselung ist eine einfache Maßnahme, um das Risiko signifikant zu senken.

Gemeinden, die noch auf TrueCrypt setzen, sollten dies baldmöglichst durch dessen Nachfolger VeraCrypt ersetzen.

Datenträger der Server
Datenträger in Laptops
Datenträger in Desktop-Computern
Mobile Datenträger (z.B. USB-Sticks)
Welche Verfahren bzw. Software verwendet Ihre Gemeinde für Datenträger-Verschlüsselung?

Abschnitt 9: Unterstützungs- und Beratungsleistungen des LfDI

30% der Gemeinden geben an, dass sie noch nie auf das Internetangebot des LfDI (und die dort vorgehaltenen Handreichungen, Musterformularen, FAQs etc.) zugegriffen haben. Bei diesen Gemeinden handelt es sich überwiegend um kleinere Gemeinden. Der Wunsch nach einer intensiveren Beratung kommt überwiegend von den größeren Gemeinden in Baden-Württemberg.

Es ist aus unserer Sicht nicht verständlich, warum so viele Gemeinde die bestehenden Unterstützungsangebote duch den LfDI nicht abrufen. Überwiegend handelt es sich dabei um kleinere Gemeinden, die sich doch nach eigenen Angaben stark von den Anforderungen der DS-GVO belastet fühlen. Die größeren Gemeinden, die häufig bereits gut vernetzt sind im Thema Datenschutz, werden konkreter in ihren Beratungswünschen an den LfDI als kleinere Gemeinden.

42. Besteht in Ihrer Gemeinde Bedarf an Unterstützungs- und Beratungsleistungen durch den LfDI?

Der angegebene Unterstützungsbedarf steigt mit der Größe der Gemeinden: die größten Städte geben den größten Unterstützungsbedarf an! Bei allen: Handreichungen und Musterformulare am dringendsten gewünscht.

Ausgewählte Rückmeldungen:

  • „Hilfreich wären speziell für kleine Kommunen angepasste Schulungen, wie genau die einzelnen Maßnahmen umgesetzt werden“.
  • „Derzeit bestehen noch große Unsicherheiten.“
  • „Besonders für kleine Kommunen wäre eine individuelle Hilfestellung (Beratung) hilfreich.“
  • „Generelle Schulungen zu den einzelnen relevanten Themenbereiche wären sinnvoll.“

Das bei den größeren Kommunen weiter entwickelte Problembewusstsein veranlasst sie, öfter nach weiterer Unterstützung durch den LfDI zu fordern als die kleineren Gemeinden. Diesen durchgehend geäußerten Wunsch nach verständlichen Handreichungen kommen wir mit der praxisorientierten Broschüre für Kommunen nach.

Falls ja, welche?
43. Kennen Sie unser Internetangebot zum Thema DS-GVO (Handreichungen, Informationsschriften, Musterformulare, FAQ)?

Der Bekanntheitsgrad des Internetangebots für Kommunen ist bei den größeren Städten über 35.000 Einwohner bei 100%. Er nimmt leicht ab, je kleiner die Kommunen werden, liegt bei den kleinsten Gemeinden immer noch bei knapp 60%.

Obwohl die kleinen Gemeinden sich am stärksten über die Anforderungen der DS-GVO beschweren, kennen rund 20% das Internetangebot des LfDI nicht!

44. Haben Sie schon auf dieses Informationsangebot zugegriffen?

Auch beim Verwenden des Informationsangebots liegt die Quote bei Gemeinden über 35.000 Einwohner bei 100%.

Unklar ist, warum die kleineren Gemeinden, die häufig über mangelnde Unterstützung klagen, auf das Informationsangebot nicht zugreifen, zum Teil wird der Zeitmangel angegeben.

V.a. die kleinen Gemeinden sollten auch das Angebot des LfDI annehmen und die Hilfestellungen, die inhaltlich auf der HP bereitgestellt werden, in Anspruch nehmen!

45. Wie bewerten Sie qualitativ die Unterstützungs- und Beratungsleistungen des LfDI (in Schulnoten)?

Noten werden tendenziell besser, je größer die Gemeinde. Allerdings nicht schlechter, je kleiner die Gemeinde wird, sondern bei den kleineren Gemeinden wird häufiger "keine Angabe" gemacht.

Die Beratungsleistungen werden zeitnaher gewünscht, mehr Musterformulare sollten zur Verfügung gestellt werden.

46. Wie bewerten Sie quantitativ die Unterstützungs- und Beratungsleistungen des LfDI? Wurden die Unterstützungs- und Beratungsleistungen in ausreichendem Maße erbracht?
Auch hier die Tendenz: je größer die Gemeinden werden, desto höher ist der Anteil, der sich dauerhafte Beratungsleistungen wünscht (mit einer leichten Abnahme bei den größten Gemeinden ab 35000 Einwohnern).
47. Ist eine Ausweitung des Beratungsangebots durch den LfDI erforderlich?
Auch hier die gleiche Tendenz: die großen Städte, die nach den obigen Fragen, sowieso schon am stärksten die Beratungen des LfDI in Anspruch nimmt, wünschen in höherem Maße eine Ausweitung als die kleinen Gemeinden.
Wobei die kleinen Gemeinden im Umkehrschluss nicht sagen, sie wollen dies nicht, sondern geben im Schnitt zu 55% "keine Angabe" an.

Abschnitt 10: Unterstützungs- und Beratungsleistungen von anderen Stellen

Unabhängig von der Größe der Gemeinden wird die geringe Unterstützung von den Ministerien bemängelt.

Dass ITEOS als beratende dritte Stelle angegeben wird, erklärt sich aus den Vorschlägen in der Ausfüllhilfe.

Im Rahmen der Erfüllung der Pflichtaufgaben verarbeiten die Kommunen in BW in großem Umfang personenbezogene Daten. Hilfreich wäre insofern eine Unterstützung der Fachministerien insbesondere im Rahmen von Art. 13, 14 DS-GVO.

48. Werden Sie von anderen Stellen beraten und unterstützt bei der Umsetzung der DS-GVO?

Unter „externe Berater“ wird ITEOS genannt, der den behördlichsten DSB stellt. Dies entspricht den Vorschlägen in der Ausfüllhilfe von ITEOS.

Im Rahmen der Erfüllung der Pflichtaufgaben verarbeiten die Kommunen in BW in großem Umfang personenbezogene Daten. Hilfreich wäre insofern eine Unterstützung z.B. im Rahmen von Art. 13 DS-GVO.

Falls ja, welche?
49. Welche Themen sind in einer Datenschutz-Broschüre des LfDI für Sie von besonderem Interesse?

Bei allen Gemeinden ist die

  • Digitalisierung der Verwaltung,
  • das Thema Verarbeitungsverzeichnis und
  • Datenschutz-Folgenabschätzung von durchgehend hohem Interesse. Bei den kleineren Gemeinden sind auch die Betroffenenrechte von erhöhtem Interesse.

Darauf gehen wir in unserer Broschüre ein.

Abschnitt 11: Anmerkungen

50. Haben Sie allgemeine Anmerkungen und Hinweise für uns?

Wiederholt wird der Mangel an personellen Kapazitäten und die Komplexität des neuen Datenschutzrechts vorgebracht.

„Alle Mitarbeiter sind mit ihrer normalen Arbeit ausgelastet und können keine zusätzlichen Aufgaben mehr übernehmen.“

Außerdem wird ein vom LfDI initiiertes Kommunikationsforum für behördliche DSB zum Informationsaustausch angeregt.

Wir können die Schwierigkeiten vor Ort bei der Umsetzung der DS-GVO aus personellen und finanziellen Gründen nachvollziehen. Allerdings müssen wir darauf hinweisen, dass Datenschutz nach der Gesetzeslage keine freiwillige Aufgabe der Kommune ist, sondern dass die Gemeinden per Gesetz verpflichtet sind, Ressourcen bereitzustellen (und damit auch Geld in die Hand zu nehmen), um ihre Verpflichtungen aus der DS-GVO zu erfüllen.

Wir finden die Idee eines Kommunikationsforums zum Informationsaustausch für beh. DSB sehr interessant und prüfen diese auf Möglichkeiten der Umsetzung.