(GZ-10-2021) |
► GZ-Interview mit Ludwig Atzberger, Gründer und freier Berater der insidas GmbH & Co. KG: |
3 Jahre DSGVO: Was ist in Bayerns Gemeinden passiert? |
GZ: Am 4. Mai 2016 wurde die EU-Datenschutzgrundverordnung (DSGVO) veröffentlicht und am 25. Mai 2018 ist sie in Kraft getreten. Wie sieht es heute mit dem Datenschutz in bayerischen Kommunen aus? Atzberger: Die meisten Kommunen sind bemüht, sich im Datenschutz gut aufzustellen und manche davon sind sehr erfolgreich unterwegs. Andere sind immer noch in der Entscheidungsphase der Bestellung eines Datenschutzbeauftragten, sind unentschlossen oder warten eine Lösung auf Landkreisebene ab. Als Beispiel für eine geradezu mustergültige Kreislösung gilt der Landkreis Nürnberger Land. Und das vollkommen zurecht, wie ich meine. Leider gibt es aber auch gegenteilige Beispiele, die ich lieber nicht namentlich nenne. Da wird nur eine einzige Planstelle geschaffen, für das Landratsamt sowie alle kreisangehörigen Kommunen. Hier ist die Überlastung vorprogrammiert. Es gibt auch Planstellen, die gar nicht besetzt sind, weil die betreffenden Mitarbeiter in andere Behörden abgeordnet wurden. Eine Kommune auf aktuellen Stand zu bringen, damit diese DSGVO-konform aufgestellt ist, das hat sich nicht allein mit der formalen Bestellung eines Datenschutzbeauftragten erledigt. Alles umzusetzen ist ein Projekt und stellt daher für manche Kommune einen Kraftakt dar. GZ: Wie ist die politische Leitung in den Kommunen zum Thema aufgestellt? Atzberger: Manche BürgermeisterInnen sind sich der eigenen Verantwortung beim Thema Datenschutz nicht voll umfänglich bewusst. Seit der DSGVO kann sich keine Behördenleitung mehr „wegducken“, denn sie ist und bleibt die verantwortliche Stelle. Für die BürgermeisterIn bringt es also wenig, einen Datenschutzbeauftragten als „Feigenblattfunktion“ zu berufen. Viele übersehen auch, dass nach dem Bay. Datenschutzgesetz (BayDSG) in der neuen Fassung jede öffentlich-rechtliche Körperschaft einen Datenschutzbeauftragten bestellen und die Vorgaben umsetzen muss. Das trifft auch kleine Zweckverbände, die oft in der Kommunalverwaltung mit verwaltet werden. Die verantwortliche Stelle ist die oder der Verbandsvorsitzende, also oft wieder die Bürgermeisterin oder der Bürgermeister. GZ: Werden die gesetzlichen Anforderungen also gar nicht umgesetzt? Atzberger: Die bayerischen Kommunen setzen die Anforderungen durchaus unterschiedlich gut um. Die einen versuchen es aus eigener Kraft und mit eigenem Personal zu stemmen. Andere lassen sich helfen und beauftragen einen externen behördlichen Datenschutzbeauftragten. Nicht zu vergessen sind die Anforderungen aus dem Bayerischen E-Government-Gesetz in Bezug auf die Informations- und IT-Sicherheit. Die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sind in den Bereichen gleich. Es macht also durchaus Sinn, beide Projekte parallel voranzutreiben. Ideal ist es, wenn ein Berater beide Bereiche abdecken kann, dann arbeiten die Verantwortlichen Hand in Hand. GZ: 2018 hatten alle Angst vor einer Flut von Auskunftsersuchen und einer Überforderung durch die Datenschutzvorschriften. Ist das eingetreten? Atzberger: Die 2018 befürchtete große Welle von Auskunftsersuchen ist gottlob ausgeblieben. Obwohl es Einzelfälle gibt, bei denen eine schlecht vorbereitete Gemeinde schon mal für längere Zeit lahmgelegt wurde. „Solange nichts passiert, passiert auch nichts“, so lässt sich die Haltung zum Datenschutz in Kommunen häufig zusammenfassen. Nach meiner Erfahrung interessiert sich nur 1 Prozent der Bürger dafür, wie die Kommune mit seinen persönlichen Daten umgeht. Probleme gibt es immer dann, wenn ein Bürger das Thema Datenschutz entdeckt, um seine Kommune zu „quälen“. Kommunen sollten unbedingt vorbauen und die Datenschutzvorschriften einhalten und umsetzen. Nicht nur beim Datenschutz, auch beim Thema Informationssicherheit sieht man ja derzeit gerade wieder, dass die Strategie „aussitzen und abwarten“ nicht funktioniert. GZ: Ist Datenschutz unnötige Beschäftigungstherapie oder reiner Selbstzweck? Atzberger: Diesem gängigen Vorurteil möchte ich vehement widersprechen. Ich bin überzeugter Datenschützer. Es geht um ein unveräußerliches Grundrecht, das wir wirklich schätzen und schützen sollten. Zugegeben: Die Umsetzung der Vorschriften ist nicht immer pragmatisch und praktisch. Leider wird der Datenschutz häufig als Sündenbock missbraucht. Immer wenn jemand etwas nicht machen will oder kann, dann wird der Datenschutz vorgeschoben, um die Aufgabe abzuwenden. GZ: Was ist in Ihren Augen am wichtigsten oder schwierigsten für die Kommunen umzusetzen? Atzberger: Das Verzeichnis der Verarbeitungstätigkeiten (VVT) ist das zentrale Dokument im Datenschutz. Wer das vollständig und richtig erfasst hat, kann daraus vieles ableiten. Aber gerade da-ran scheitern leider viele. Man braucht ein gutes Maß an Kommunalwissen und -erfahrung, um die Komplexität zu überblicken. Berater mit wenig Kommunalerfahrung stoßen da an ihre Grenzen. Orientiert man sich an Organisationsgutachten des BayKPV, dann findet man schnell mehr als 230 betroffene kommunale Aufgaben. Und wenn man sich dann noch mit den gesetzlichen Grundlagen auseinandersetzt, dann bewegt man sich in mehr als 100 Gesetzen. Eine gute und regelmäßige Schulung der Bediensteten ist nicht nur vorgeschrieben, sondern bringt den größten Fortschritt für Datenschutz und Informationssicherheit. Persönlich habe ich sehr gute Erfahrungen gemacht mit Schulungen für die Kernverwaltung, aber auch für Beschäftigte der Kindertagesstätten. GZ: Können externe Anbieter den Kommunen helfen und die Arbeit abnehmen? Atzberger: 2018 wurden durch öffentlich-rechtliche Anbieter, Fachverlage und klassische Softwareanbieter spezialisierte Tochterunternehmen gegründet. Leider haben auch einige Glücksritter den kommunalen Bedarf für sich entdeckt, ohne das nötige Branchen-Knowhow mitzubringen. Es ist sehr wichtig, sich mit Blick auf die eigenen Mitwirkungspflichten den richtigen Dienstleister zu suchen, der dann auch die gewünschte Entlastung bringt. GZ: Was sollte eine Kommune beachten, wenn sie sich externe Hilfe holt? Atzberger: Wichtig wäre, dass der Anbieter über kommunale Erfahrung und Wissen verfügt. Die Umsetzung der DSGVO in einer Kommune unterscheidet sich schon erheblich vom Vorgehen in einem Unternehmen. Viele Kommunen haben bisher das vermeintlich günstigste Angebot gewählt. Erst nach einiger Zeit fällt dann auf, wenn der Anbieter als Gegenwert nur Standarddokumente bieten kann. GZ: Was wünschen Sie sich für die nächsten 3 Jahre DSGVO? Atzberger: Dass das Thema Datenschutz nicht missbraucht wird, dass die Kommunen die Vorschriften pragmatisch umsetzen, dass sich alle Verwaltungen den Themen stellen und dass wir alle nicht mehr ganz so leichtfertig mit unseren Daten umgehen.
Ludwig Atzberger ist Gründer und heute freier Berater der insidas GmbH & Co. KG, die ihr Angebot in den Bereichen Datenschutz und Informationssicherheit passgenau auf kommunale Gebietskörperschaften und Zweckverbände sowie deren IT-Dienstleister ausgerichtet hat. Bereits vor der Gründung der insidas prägte Atzberger über 30 Jahre lang den kommunalen Markt in Bayern als Gründungsgesellschafter und Geschäftsführer eines renommierten Anbieters von IT-Lösungen für Kommunen. Seit zehn Jahren ist er zudem für den DATABUND – Verband der mittelständischen IT-Dienstleister und Softwarehersteller für den öffentlichen Sektor e.V. tätig und dadurch über den bayerischen Markt hinaus auf seinem Fachgebiet auch bundesweit vernetzt.
Dieser Artikel hat Ihnen weitergeholfen? |