Newsletter Transferkompakt Juli 2018
Thema: Die neue EU-Datenschutzgrundverordnung im DKBM.
In den Kommunen stehen unter anderem die Bildungsmonitorer/-innen vor der Herausforderung, Daten und Informationen aus unterschiedlichsten Bereichen anzufordern, zu verschneiden und auszuwerten. An vielen Stellen scheitern sie jedoch bereits an der Datenlieferung mit dem Argument „Datenschutz“. Entsprechend groß war das Interesse am Monitoring-Workshop der Transferagentur, in den die Teilnehmer/-innen unterschiedlichste Fragen und Problemstellungen aus ihrem Arbeitsalltag, auch in Bezug auf die neue EU-Datenschutzgrundverordnung (EU-DSGVO), mitbrachten. Neben der Diskussion dieser Fragestellungen erfolgte eine grundlegende Einführung in das Themenfeld Datenschutz mit Bezug zu den aktuellen Änderungen in der Datenschutzgesetzgebung im Jahr 2018.
Ziele der neuen Verordnung
Die DSGVO verfolgt mit der neuen Verordnung drei miteinander verbundene Ziele: die Stärkung und Präzisierung der Rechte der betroffenen Personen, die Verschärfung der Auflagen für diejenigen, die personenbezogene Daten verarbeiten, sowie die Klärung der Befugnisse der Mitgliedsstaaten bei der Überwachung und Sanktionierung der Datenverarbeitung. An diese Anforderungen haben sich – wegen des Anwendungsvorrangs des Unionsrechts – künftig auch die kommunalen Verwaltungen zu halten.
Charta der Grundrechte der Europäischen Union
Artikel 8: Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden.
Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.
Relevante Artikel der DSGVO fürs Bildungsmonitoring
Jeder kommunale Mitarbeitende, der sich mit Daten beschäftigt, sollte die Grundlagen der neuen Verordnung so gut es geht verinnerlichen. Folgende Artikel der EU-DSGVO sind für den Umgang mit Daten in Kommunen – insbesondere im Bildungsmonitoring – relevant und unbedingt zu beachten:
- Artikel 2: Sachlicher Anwendungsbereich
- Artikel 4: Begriffsbestimmungen – personenbezogene Daten
- Artikel 5: Grundsätze für die Verarbeitung personengebundener Daten => mit Hinweis auf Artikel 89 Absatz 1
- Artikel 6: Rechtmäßigkeit der Verarbeitung
- Artikel 7: Bedingungen für die Einwilligung
- Artikel 9: Verarbeitung besonderer Kategorien personenbezogener Daten
Wichtig ist hier zu wissen, dass die EU-DSGVO nicht allein für sich steht, sondern spezialgesetzliche Vorschriften und Landesdatenschutzgesetze weiterhin Anwendung finden.
Personenbezogene Daten? Das ist zu prüfen.
Beim kommunalen Bildungsmonitoring werden zwar überwiegend aggregierte Daten verarbeitet. Wenn dennoch personenbezogene Daten (Daten, die sich einer bestimmten oder bestimmbaren natürlichen Person eindeutig zuordnen lassen, wie zum Beispiel Name, E-Mail-Adresse, aber auch Kennnummern und physische Merkmale) hinzugezogen werden, ist folgendes zu prüfen:
- Gibt es eine Rechtsgrundlage?
- Ist eine Zweckänderung notwendig und möglich?
- Gibt es eine gesetzliche Erlaubnis für die Datenübermittlung zwischen Behörden oder auch innerhalb einer Behörde? Datenübermittlung in Amtshilfe ist ansonsten immer unzulässig.
- Ist eine Einwilligung der Betroffenen möglich?
- Sind Eigenerhebungen auf Basis der Einwilligung der Betroffenen möglich?
Grundlegende Fragen und Tipps
Verantwortlichkeiten festlegen: Wer verarbeitet die Daten und ist verantwortlich für die Datenverarbeitung? Wessen Aufgabe dient die Erfüllung der Datenverarbeitung? Wichtig ist hier immer die gesetzlich definierte Aufgabe der jeweiligen Stelle, die die Daten erstmalig erhebt oder erhoben hat.
Zweck klären: Welche Art personenbezogener Daten werden verarbeitet und zu welchem Zweck? Beides muss bereits vor Beginn festgelegt werden, denn Kommunen dürfen nur dann die Daten ihrer Bürger verarbeiten, wenn sie hierfür eine entsprechende Rechtsgrundlage (Art. 2) vorweisen können. Eventuell wird im Vorfeld der Datenerhebung und -verarbeitung auch eine Datenschutzfolgeabschätzung erforderlich.
Dokumentation nicht vergessen: Neben der Rechtsgrundlage müssen Kommunen der erhöhten Dokumentationspflicht nachkommen, um Daten ihrer Bürger/-innen verarbeiten zu dürfen. Einwilligung, Umsetzung und Kontrolle sollten also so abgelegt werden, dass sie im Zweifelsfall schnell verfügbar sind.
Kommunizieren und sensibilisieren: Wer Daten aus anderen kommunalen Bereichen anfordert, tut gut daran, mit den betreffen Stellen zu reden und möglichst klar den konkreten Nutzen zu verdeutlichen. So wird Transparenz hergestellt und Kolleginnen und Kollegen werden für die Relevanz des Themas sensibilisiert.
Unterstützung holen: Im Zweifel ist es auf jeden Fall ratsam, den kommunalen Datenschutzbeauftragten mit ins Boot zu holen. Auch die Unterstützung durch die strategische Ebene kann dazu beitragen, das eigene Anliegen voranzutreiben. Im Web gibt es darüber hinaus zahlreiche Angebote und Materialien wie Checklisten und Mustervorlagen.