Behörden und öffentliche Stellen haben kraft Gesetzes einen Datenschutzbeauftragten inklusive Stellvertreterregelung zu bestellen. Derzeit wird der Datenschutzbeauftragte extern durch die Firma insidas GmbH & Co.KG gestellt. Die Bestellung erfolgte mit Gemeinderatsbeschluss vom 19.09.2019 (TOP 4 der Sitzung). Gleiches gilt für den extern bestellten Informationssicherheitsbeauftragten.
Aufgrund des Zusammenschlusses der insidas GmbH & Co.KG mit der actago GmbH und der diesbezüglichen Änderungen zum 01.01.2026 bedarf es der Anpassung der jeweiligen Bestellungen.
Zur Funktion des Datenschutzbeauftragten ist folgendes auszuführen:
Der Datenschutzbeauftragte achtet darauf, dass Bestimmungen zum Datenschutz eingehalten und umgesetzt werden (z.B. Datenschutzgrundverordnung, Bayerisches Datenschutzgesetz, Bundesdatenschutzgesetz und datenschutzrechtliche Bestimmungen in den Fachgesetzen). Der Datenschutzbeauftragte ist hierbei unabdingbare Anlaufstelle zu Datenschutzfragen für die Verwaltungsführung, für die Beschäftigten und auch Bürgerinnen und Bürger. Dabei ist er der verantwortlichen Führungskraft direkt unterstellt, jedoch in seiner Funktion unabhängig und weisungsfrei. Bei begründeten Fällen kann er sich durch das Büro des Landesbeauftragten für Datenschutz beraten lassen.
Der Datenschutzbeauftragte kann nicht mit Aufgaben betraut werden, welche zu Interessenkonflikten in seiner Funktion als Datenschutzbeauftragter führen. Er darf daher nicht gleichzeitig Aufgaben in den Bereichen Amtsleitung, Personal, EDV, Einwohnermeldeamt, Gemeindekasse, Steuerstelle oder in vergleichbaren Bereichen wahrnehmen.
Die Verwaltung empfiehlt daher (weiterhin) die Bestellung eines externen Datenschutzbeauftragten, ab 01.01.2026 durch die Umfirmierung durch die actago GmbH, da die mit der Aufgabe verbundenen Kenntnisse und Kapazitäten in der Verwaltung nicht im erforderlichen Maß vorhanden sind.
Zur Funktion des Informationssicherheitsbeauftragten ist folgendes auszuführen:
Für die Planung, Umsetzung und Begleitung von normgerechten Informationssicherheitskonzepten und -standards (z.B. VdS 1000, BSI-Standard 200-2, ISIS 12, ISO-270001) ist ein bestellter Informationssicherheitsbeauftragter Regel-Bestandteil. Diese Rolle des Informationssicherheitsbeauftragten bedingt nicht nur die Ablegung entsprechender Prüfungen, sondern setzt auch sehr umfangreiches Wissen im kompletten IT-Umfeld voraus. Neben grundlegenden organisatorischen Erfahrungswerten sind auch fundierte Kenntnisse in den Bereichen Serververwaltung, Datenverfügbarkeit, Mehrgenerationen- Sicherungskonzepte, gesicherte Fernanbindungen, DMZ-Verwaltung und vieles mehr unabdingbar.
Grundsätzlich gilt: Datenschutz und Informationssicherheit gehen Hand in Hand. Der Datenschutz betrifft vorrangig den Schutz personenbezogener Daten, sowie das organisatorische Umfeld. Die Informationssicherheit dagegen betrachtet hauptsächlich die technische Umsetzung bei Hard- und Software inkl. der (auch präventiv) zu berücksichtigenden Schutzmaßnahmen, dies speziell im Bereich der IT-Sicherheit.
Zwischen diesen gibt es sinnvolle und auch wichtige Schnittmengen und Wechselwirkungen.
Art. 43 Abs. 1 des Bayerischen Digitalgesetzes (BayDiG) verpflichtet die Behörden wie folgt:
Die Sicherheit der informationstechnischen Systeme der Behörden ist im Rahmen der Verhältnismäßigkeit sicherzustellen. Die Behörden treffen zu diesem Zweck angemessene technische, operative und organisatorische Maßnahmen und erstellen die hierzu erforderlichen Informationssicherheitskonzepte.
Auch das Bundesamt für Sicherheit und Informationstechnologie sieht einen Informationssicherheitsbeauftragten als unbedingt erforderlich und empfiehlt hierzu entsprechende Schulungsmaßnahmen.
Die Verwaltung empfiehlt daher auch hier (weiterhin) die Bestellung eines externen Sicherheitsbeauftragten, ab 01.01.2026 durch die Umfirmierung durch die actago GmbH, da das Knowhow verwaltungsseits nicht vollumfänglich vorhanden und auf aktuellem Stand gehalten werden kann.
Die Zuständigkeit des Gemeinderats ergibt sich aus § 2 Nr. 14 der Geschäftsordnung.
