Die Digitalisierung schreitet nun auch in Behörden voran. Das Thema steht weit oben auf der Agenda u.a. des Wirtschaftsministeriums, vgl. https://www.bmwi.de/Redaktion/DE/Pressemitteilungen/2021/04/20210413-wissenschaftlicher-beirat-veroeffentlicht-gutachten.html.
Vieles spricht dafür, das in den nächsten Jahren der große Nachholbedarf im öffentlichen Bereich gedeckt werden muss, vgl. https://www.bmwi.de/Redaktion/DE/Publikationen/Ministerium/Veroeffentlichung-Wissenschaftlicher-Beirat/gutachten-digitalisierung-in-deutschland.html.Dies führt zwangsläufig zu vielen datenschutzrechtlichen Fragestellungen. Zwar ist das Bundesdatenschutzgesetz im öffentlichen Bereich nicht anwendbar. Dies bedeutet jedoch nicht, dass der Datenschutz keine Relevanz entfaltet. Im Zuge der Umsetzung von Digitalisierungsmaßnahmen stehen wir öffentlichen Stellen, insbesondere den behördlichen Datenschutzbeauftragten, mit Rat und Tat zur Seite.
Grundsätzlich brauchen auch Behörden zur Verarbeitung von Daten eine Rechtsgrundlage. An das Verbot mit Erlaubnisvorbehalt ist zu erinnern. Aus Art. 6 DSGVO lassen sich sechs Konstellationen ableiten, die eine solche Erlaubnis begründen:
Bezüglich der Einwilligung ist zu beachten, dass diese dem Wesen nach freiwillig ist. In einem unfreiwilligen Verhältnis scheidet eine Einwilligung von vorne hinein aus.
Die Beziehungen zwischen dem Staat und den Bürger unterliegen jedoch einem Überordnungsverhältnis, welches eine Einwilligung meist nicht freiwillig erscheinen lässt, vgl. Art. 4 Nr. 11 DSGVO. Zwar sind in Situationen, in denen sich der Staat und der Bürger quasi auf Augenhöhe begegnen, freiwillige Einwilligungen denkbar. Dies dürfte aus datenschutzrechtlicher Sicht aber nicht die Mehrzahl der Fälle betreffen. Es kann somit festgehalten werden, dass die Einwilligung in der datenschutzrechtlichen Praxis von Behörden eine untergeordnete Rolle spielt.
Auch der Schutz lebenswichtiger Interessen, Buchstabe d), und Verträge mit Betroffenen, Buchstabe b), dürften jedenfalls nicht die Regel darstellen.
Die Verarbeitung zur Erfüllung rechtlicher Pflichten (c) dürfte hingegen häufiger vorkommen. Es spricht dennoch viel dafür, dass diese Norm die Behörden in der datenschutzrechtlichen Praxis vor nicht allzu große Probleme stellt. Die Anzahl der spezialgesetzlichen Regelungen ist durchaus überschaubar.
Komplizierter gestaltet sich die Auslegung des Buchstaben e. Dieser wird in Nordrhein-Westfalen durch § 3 Abs. 1 DSG NRW konkretisiert. Öffentliche Stellen ( Behörden) dürfen Daten zulässigerweise verarbeiten, wenn dies für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt. Der Anwendungsbereich des DSG NRW erstreckt sich auch auf die Weitergabe personenbezogener Daten innerhalb eines Verantwortlichen. Hierunter fallen etwa Datenweitergaben zwischen zwei Ämtern einer Kommune.
Zu beachten ist jeweils das Kriterium der Erforderlichkeit. Dieses folgt den Geboten der Datensparsamkeit und Datenminimierung und verhindert eine unbeschränkte Weitergabe innerhalb öffentlicher Stellen.
Abschließend ist festzustellen, dass der Buchstabe f) bzw. die Wahrung berechtigter Interessen für Behörden keine Regelung entfaltet.
Sicherlich gibt es einige Besonderheiten im behördlichen Datenschutz zu beachten. Dennoch hält die DSGVO grds. am Prinzip des Schutzes der Betroffenen fest. Für Behörden ist es daher essentiell zu beachten, das Betroffene verschiedene Rechte geltend machen können. Hierzu zählen:
Dieses gibt den Betroffenen die Möglichkeit, Auskunft zu verlangen, ob und in welcher Form personenbezogene Daten von ihnen verarbeitet werden, vgl. Art 15 DSGVO.
Ferner darf der Betroffene Informationen zu
Weitere bedeutende Rechte des Bürgers sind das
Eine weitere große Hürde für Behörden stellen Meldepflichten für öffentliche Stellen dar. Diese betreffen Fälle der Verletzung des Schutzes personenbezogener Daten. Die gesetzliche Definition der Verletzung des Schutzes personenbezogener Daten in Artikel 4 Nr. 12 DSGVO ist für juristische Laien kompliziert formuliert. Grob zusammengefasst lässt sich sagen, dass darunter eine Verletzung der Sicherheit zu verstehen ist, die zur Vernichtung, zum Verlust, zur Veränderung, zur Offenlegung oder zu unbefugtem Zugang führt. Als Folge ist je nach Schweregrad nur die Landesdatenschutzbeauftragte oder auch der Betroffene selbst zu informieren.
Dr. Taheri Datenschutz bietet verschiedene Beratungsleistungen für Behörden an, um den behördlichen Datenschutz für die Zukunft zu gewährleisten.
In Zusammenarbeit mit Behördenleitungen und Datenschutzbeauftragten sollten Mitarbeiter der Behörde für die Anforderungen des Datenschutzes sensibilisiert werden. Vergleichen Sie dazu auch unser Angebot bezüglich Datenschutzschulungen, welches auf die spezifischen Bedürfnisse der Behörde abgestimmt wird.
Um Problemstellen und Verbesserungsbedarf zu lokalisieren, sollten zudem Audits durchgeführt werden. Im Rahmen einer solchen Unternehmensanalyse werden die Datenschutzprozesse beleuchtet und das Verfahrensverzeichnis untersucht. Die unterschiedlichen Unternehmensegmente werden dabei eingebunden.
Wie bereits ausgeführt spielen die Rechtsgrundlagen gerade im behördlichen Datenschutz eine besondere Rolle. Es ist wichtig, hinsichtlich aller datenschutzrechtlicher Vorgänge zu prüfen, ob eine ausreichende Rechtsgrundlage vorliegt. Auch dies wird im Rahmen eines Audits gewährleistet.
Neben dem Fokus auf rechtliche Grundlagen sollte der Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gewährleistet sein. Die DSGVO sieht hier bestimmte Rahmenbedingungen hinsichtlich der Art und Weise der Ausgestaltung vor, vgl. Art. 25 DSGVO.
Die bestehenden Verträge zur Auftragsdatenverarbeitung sollten im Sinne der Art. 26 – 28 DSGVO überprüft und gegebenenfalls überarbeitet werden.
Die Datenschutz-Folgenabschätzung hat die früher übliche Vorabkontrolle abgelöst. An diese knüpfen sich häufig Konsultationen mit der zuständigen Aufsichtsbehörde an, Art. 36 DSGVO. Hierzu sollten Prozesse definiert werden und Verantwortliche benannt werden.
Auch bezüglich der dargestellten Melde- und Benachrichtigungspflichten müssen organisatorische Abläufe definiert werden. Dies gilt insbesondere auch für die Kommunikation mit Aufsichtsbehörden.
Ein ähnliches Aufgabenfeld betrifft die Einbindung der betroffenenrechte in die organisatorischen Abläufe der Behörden. Wir helfen Ihnen gerne bei der Planung über die Verteilung der Zuständigkeiten.
Schließlich sind wir beratend bei der Planung der Dokumentationen, die die DSGVO an verschiedenen Stellen verlangt, beteiligt. Auf diese Weise wird der Nachweispflicht Genüge getan, vgl. Art. 24 Abs. 1 DSGVO.
Bezüglich der Einwilligung ist zu beachten, dass diese dem Wesen nach freiwillig ist. In einem unfreiwilligen Verhältnis scheidet eine Einwilligung von vorne hinein aus.
Die Beziehungen zwischen dem Staat und den Bürger unterliegen jedoch einem Übe- Unterordnungsverhältnis, welches eine Einwilligung meist nicht freiwillig erscheinen lässt, vgl. Art. 4 Nr. 11 DSGVO. Zwar sind in Situationen, in denen sich der Staat und der Bürger quasi auf Augenhöhe begegnen, freiwillige Einwilligungen denkbar. Dies dürfte aus datenschutzrechtlicher Sicht aber nicht die Mehrzahl der Fälle betreffen. Es kann somit festgehalten werden, dass die Einwilligung in der datenschutzrechtlichen Praxis von Behörden eine untergeordnete Rolle spielt.
Auch der Schutz lebenswichtiger Interessen, Buchstabe d), und Verträge mit Betroffenen, Buchstabe b), dürften jedenfalls nicht die Regel darstellen.
Die Verarbeitung zur Erfüllung rechtlicher Pflichten (c) dürfte hingegen häufiger vorkommen. Es spricht dennoch viel dafür, dass diese Norm die Behörden in der datenschutzrechtlichen Praxis vor nicht allzu große Probleme stellt. Die Anzahl der spezialgesetzlichen Regelungen ist durchaus überschaubar.
Komplizierter gestaltet sich die Auslegung des Buchstaben e. Dieser wird in Nordrhein-Westfalen durch § 3 Abs. 1 DSG NRW konkretisiert. Öffentliche Stellen ( Behörden) dürfen Daten zulässigerweise verarbeiten, wenn dies für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder in Ausübung öffentlicher Gewalt erfolgt. Der Anwendungsbereich das DSG NRW erstreckt sich auch auf die Weitergabe personenbezogener Daten innerhalb eines Verantwortlichen. Hierunter fallen etwa Datenweitergaben zwischen zwei Ämtern einer Kommune.
Zu beachten ist jeweils das Kriterium der Erforderlichkeit. Dieses folgt den Geboten der Datensparsamkeit und Datenminimierung und verhindert eine unbeschränkte Weitergabe innerhalb öffentlicher Stellen.
Abschließend ist festzustellen, dass der Buchstabe f) bzw. die Wahrung berechtigter Interessen für Behörden keine Regelung entfaltet.
Wenngleich es einige Besonderheiten im behördlichen Datenschutz zu beachten gibt, hält die DSGVO am Prinzip des Schutzes der Betroffenen fest. Für Behörden ist es daher essentiell zu beachten, das Betroffene verschiedene Rechte geltend machen können. Hierzu zählen:
Dieses gibt den Betroffenen die Möglichkeit, Auskunft zu verlangen, ob und in welcher Form personenbezogene Daten von ihnen verarbeitet werden, vgl. Art 15 DSGVO.
Ferner darf der Betroffene Informationen zu
Weitere bedeutende Rechte des Bürgers sind das Berichtigungsrecht, das Löschungsrecht, das Recht auf Einschränkung der Verarbeitung, Mitteilungspflichten im Zusammenhang mit der Berichtigung oder Löschung, das Recht auf Datenübertragbarkeit und das Widerspruchsrecht.
Eine weitere große Hürde für Behörden stellen Meldepflichten für öffentliche Stellen dar. Diese betreffen Fälle der Verletzung des Schutzes personenbezogener Daten. Die gesetzliche Definition der Verletzung des Schutzes personenbezogener Daten in Artikel 4 Nr. 12 DSGVO ist für juristische Laien kompliziert formuliert. Grob zusammengefasst lässt sich sagen, dass darunter eine Verletzung der Sicherheit zu verstehen ist, die zur Vernichtung, zum Verlust, zur Veränderung, zur Offenlegung oder zu unbefugtem Zugang führt. Als Folge ist je nach Schweregrad nur die Landesdatenschutzbeauftragte oder auch der Betroffene selbst zu informieren.