Wie bereits im vorhergehenden Tagesordnungspunkt behandelt, besteht die Daten- und Informationssicherheit aller Gemeinden und Behörden aus zwei Säulen:
Datenschutz und Informationssicherheit. Der Datenschutz betrifft vorrangig den Schutz personenbezogener Daten sowie das organisatorische Umfeld. Die Informationssicherheit dagegen betrachtet hauptsächlich die technische Umsetzung bei Hard- und Software inkl. der (auch präventiv) zu berücksichtigenden Schutzmaßnahmen. Zwischen beiden Bereichen gibt es sinnvolle und auch wichtige Schnittmengen und Wechselwirkungen.
Die Gemeinde Oberaudorf hat kraft Gesetzes einen Datenschutzbeauftragten (DSB) zu bestellen. Derzeit ist die Aufgabe des Datenschutzbeauftragten an den Geschäftsleiter übertragen, welcher beratend und überwachend tätig sein sollte. In konkreten Fällen werden Handlungsempfehlungen ausgesprochen und Datenschutzkonzepte entwickelt und umgesetzt. Diese Regelung kann nun aber nicht weiter beibehalten werden, da die Umsetzung, Begleitung und Prüfung aller geforderten Schritte und Maßnahmen weder zeitlich, inhaltlich noch rechtssicher intern umfänglich darstellbar sind.
Die Einhaltung und Umsetzung der DSGVO mit ihren neuen Regelungen und neuem Datenschutzbewusstsein bringt einen deutlich höheren zeitlichen Aufwand mit sich, welcher intern meist sehr schwer oder gar nicht mehr aufzubringen ist.
Nach einhelliger Einschätzung unter Experten sollten für Gemeinden unserer Größenordnung ca. 20 Prozent einer Vollzeitstelle „nur“ für die Aufgaben eines Datenschutzbeauftragten verwendet werden. In jedem Fall ist es sicherlich nicht mehr möglich, dass die Koordination und Begleitung der Umsetzung des Datenschutzes noch "nebenbei" erledigt werden. Es müsste zusätzliches Fachpersonal eingestellt werden.
Die Gemeinde Oberaudorf hat ohne Gemeindewerke ca. 90 Mitarbeiter mit den verschiedensten Aufgaben in unterschiedlichen Bereichen. Viele davon sind als absolut kritisch einzustufen und somit folgerichtig datenschutzrechtlich als sehr relevant zu betrachten. Ein DSB kann nicht mit Aufgaben betraut werden, welche zu Interessenskonflikten in seiner Funktion als Datenschutzbeauftragter führen. Er darf daher nicht gleichzeitig Aufgaben in den Bereichen Amtsleitung, Personal, EDV, Einwohnermeldeamt, Gemeindekasse, Steuerstelle oder in vergleichbaren Bereichen
wahrnehmen.
Die Geschäftsleitung, die Personalverwaltung und die IT-Abteilung haben nach umfangreicher Recherche und Erkundigungen bei anderen Behörden zwei geeignete Unternehmen ermittelt, die den gestellten Anforderungen des Datenschutzes gerecht werden. Beide Unternehmen haben sich ausführlich mit hausinternen Präsentationen vorgestellt.
Nach eingehenden Beratungen hat sich herausgestellt, dass auch beim Thema Datenschutz die Firma CyberTecc GmbH (Neustadt) das wirtschaftlich günstigste Angebot abgegeben hat und die von uns gestellten Forderungen in Relation zum Kostenfaktor am nachhaltigsten erfüllen kann. Bei der Entscheidung wurden mehrere Referenzen geprüft. Die Gemeinde Kiefersfelden kommt zum gleichen Ergebnis
Die CyberTecc GmbH gewährleistet durch nachweisliche Zertifizierung und ihre bereits bestehende Tätigkeit im kommunalen Umfeld umfassendes Wissen zum Thema Datenschutz und haftet zudem eigenverantwortlich für Schäden bis zu 3 Millionen Euro.
Tätigkeitsspektrum und Aufgaben
Die Bereitstellung von Vorlagen und Erstellung betrieblicher Anweisungen und Richtlinien zum datenschutzkonformen Umgang mit personenbezogenen Daten,
etwa hinsichtlich:
- Umgangs mit E-Mail und Internet am Arbeitsplatz;
- Die Wahrnehmung von Besprechungen und anderen Terminen, die weder am Sitz des Auftraggebers noch des Auftragnehmers stattfinden;
- Die Durchführung von Vor- Ort- Prüfungen („Audits“) bei Subunternehmern,
Vorlieferanten oder anderen für den Auftraggeber tätigen Dienstleistern;
- Alle Tätigkeiten im Zusammenhang mit meldepflichtigen Sachverhalten
betreffend Verletzungen des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DS-GVO, Art. 33 DS-GVO), einschließlich vorbeugender Maßnahmen zur
Verhinderung und vorbereitender Maßnahmen im Hinblick auf adäquate
Reaktionen;
- Die Beantwortung konkreter Anfragen von Beschäftigten oder der
Unternehmensleitung zum Datenschutz jenseits des Tagesgeschäfts (z.B.
datenschutzrechtliche Machbarkeit neuer Geschäftsmodelle);
- Der Aufbau, die Bewertung oder Fortentwicklung eines etwaig vorhandenen, umfassenden Datenschutzmanagementsystems oder Teile desselben z.B. nach den Empfehlungen des IT-Grundschutz-Katalog des BSI
- Die kontinuierliche Kontrolle und Führung des Auftragsdatenverzeichnisses
- Die kontinuierliche Kontrolle und Führung des Verzeichnisses für Verarbeitungstätigkeiten
- Die Erstellung und Überprüfung des Datensicherungskonzeptes
- Die Erstellung von Dienstanweisungen
- Die kontinuierliche Überprüfung der Homepages
- Erstellung einer DSFA (Datenschutzfolgeabschätzung)
- Erstellung eines jährlichen Datenschutzberichtes
- E-Learning zur kontinuierlichen Sensibilisierung der Mitarbeiter
- Hilfestellung und Beratung bei IT-Themen nach Bedarf bsp. Backupkonzept
- Hilfestellung und Beratung bei der Umsetzung und Einrichtung der technischen und organisatorischen Maßnahmen
- Stellungnahme vor dem erstmaligen Einsatz eines automatisierten Verfahrens
- Zugriff auf die firmeneigene Cloud samt Datenmanagement System
- Datenschutz- Flatrate
- Reaktions- Antwortzeit innerhalb zweier Werktage zu den üblichen Geschäftszeiten
- Schlüsselfertiges Datenschutzkonzept auf Basis des LSI - BSI zur Entlastung der Verwaltung
Anwendungsbereich Gemeinde Oberaudorf
- Rathausverwaltung
- Bauhof
- Wertstoffhof
- Friedhöfe
- Tourist-Info
- Kläranlage
- Sachaufwandsträger für eine Grundschule mit Mittagsbetreuung
- Museum
- Bücherei
- Kindertagesstätte mit Kindergarten und Kinderkrippe
