Sachvortrag
Beim Markt ist bisher der Geschäftsleiter … zum behördlichen Datenschutzbeauftragten bestellt. Gemäß dem Prüfbericht des Bayerischen Kommunalen Prüfungsverbandes ist dies nicht zulässig.
Beim behördlichen Datenschutzbeauftragten ist darauf zu achten, dass kein Interessenkonflikt oder Abhängigkeiten entstehen, die seine Aufgabenerfüllung gefährden. Interessenkonflikte können insbesondere dann auftreten, wenn der behördlichen Datenschutzbeauftrage gleichzeitig Aufgaben in den Bereichen Personal, Informationstechnik oder in Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten wahrnimmt.
Auf Grund der neuen Europäischen Datenschutzgrundverordnung, die ab dem 25. Mai 2018 gilt, kommen auf die Verwaltung nun zahlreiche neue Aufgaben dazu. Ein kleiner Auszug von Aufgaben sind:
- Bestellung eines Datenschutzbeauftragten, sowie einen Stellvertreter
- Risikoanalyse und ggf. Datenschutzfolgenabschätzung statt der bisherigen datenschutzrechtlichen Freigaben
- Aufsetzen wirksamer Meldewege bei Datenschutzverletzungen
- Etablieren effektiver Prozesse im Bereich der Informations- und Auskunftspflichten
- Neue Verträge mit Dienstleistern zur Auftragsverarbeitung (bisher: Auftragsdatenverarbeitung)
- Erstellen eines Verzeichnisses der Verarbeitungstätigkeiten
Um der Verwaltung diesen Mehraufwand zu ersparen, gibt es die Möglichkeit zu einem gemeinsamen Datenschutzbeauftragten im Landkreis Augsburg.
Eine Umfrage des Landratsamtes Augsburg zu einem gemeinsamen Datenschutzbeauftragten hat ergeben, dass von 46 Kommunen des Landkreises Augsburg 39 Interesse an einem zentralen Datenschutzbeauftragten haben, 6 haben kein Interesse und eine Kommune konnte keine Aussage treffen.
Von den 39 Interessenten wollen 26 einer Zweckvereinbarung sofort beitreten und 8 zu einem späteren Zeitpunkt. 5 Kommunen haben zu einem späteren Beitritt keine Aussage getroffen. Aufgrund des großen Interesses an einem zentralen Datenschutzbeauftragten wird der Landkreis Augsburg hierfür eine Stelle ausschreiben und besetzen, sobald die Unterzeichnung der Zweckvereinbarung erfolgt ist.
Bei einem sofortigen Beitritt ergeben sich Kosten von insgesamt 1.750,58 € und bei einem späteren Beitritt belaufen sich die Kosten auf 1.510,35 € für einen gemeinsamen Datenschutzbeauftragten.
Die Verwaltung hat sich auch ein Angebot von der Gesellschaft für kommunalen Datenschutz mbH, einem Tochterunternehmen der AKDB, unterbreiten lassen. Allein für eine Bestandsanalyse fallen hier Kosten in Höhe von ca. 3.000,-- € an. Erst dann kann ein Folgeangebot für die weiteren Arbeiten vorgelegt werden.
Zum Vergleich kann auch der Stundensatz der Fa. Living Data herangezogen werden. Dieser liegt zwischen 180,-- und 230,-- €. Der Markt hat mit Living Data einen Systembetreuungsvertrag für die Programme der AKDB mit einem bestimmten Stundenkontingent abgeschlossen.
Diskussionsverlauf
3. Bgm. Vogg wundert sich, warum dieser Tagesordnungspunkt nicht schon früher behandelt wurde. Die Übergangsfrist sei zwischenzeitlich verstrichen, nachdem die Datenschutzverordnung mit Wirkung zum 25.05.2018 in Kraft tritt. Er erkundigt sich zudem, ob die Stelle des Datenschutzbeauftragten durch das Landratsamt Augsburg schon besetzt wurde bzw. wer im Rathaus als Ansprechpartner tätig sein wird.
Als künftige Ansprechpartnerin im Rathaus wird Frau … fungieren, so Bgm. Uhl. Zur weiteren Umsetzung wurde im Landratsamt Augsburg eine Projektgruppe eingesetzt.
Frau … sei zur fachlichen Qualifikation bereits für diverse Lehrgänge vorgesehen. Besetzt wurde die Stelle des gemeinsamen Datenschutzbeauftragten im Landratsamt Augsburg allerdings noch nicht, gibt GL … bekannt.
MR Sapper befürwortet den Abschluss einer Zweckvereinbarung zur Bestellung eines gemeinsamen Datenschutzbeauftragten. Insbesondere für die Verwaltung sei ein Zusammenschluss eine große Entlastung.
MR Hubert Kraus schließt sich der Meinung an. Über dieses Thema wurde in der CSU Fraktionssitzung bereits ausführlich diskutiert und man sei zum Entschluss gekommen, dass ein Beitritt zu einer erheblichen Entlastung der Verwaltung führen wird.
Für MR Juraschek bestehen bei der Bestellung eines gemeinsamen Datenschutzbeauftragten gewisse Interessenskonflikte, die er in der folgenden Stellungnahme genauer ausführt:
„Der bisherige Datenschutzbeauftragte aus Zusmarshausen ist vom Prinzip her nach EU Recht unzulässig, weil bei der Bestellung eines Datenschutzbeauftragten Interessenskonflikte auszuschließen sind. Interessenskonflikte können allgemein beschrieben werden als „Kontrolle der Verwaltung“ gegenüber „Tätigkeit innerhalb der Verwaltung“.
Jetzt soll ein neuer, aus Kostengründen gemeinsamer Datenschutzbeauftragter bestellt werden. Dieser soll im Landratsamt, der Kreisverwaltung angestellt werden und alle sich anschließenden Gemeinden des Landkreises betreuen.
Damit erfolgt jedoch nur eine Verschiebung des Datenschutzbeauftragten weg aus der Kommunalverwaltungsebene hinein in die Kreisverwaltungsebene. Diese Änderung ist keine Änderung des Systems „Kontrolle der Verwaltung“ gegenüber „Tätigkeit innerhalb der Verwaltung“. Welches doch den Anlass zu Interessenskonflikten gibt und deshalb nach EU-Recht geändert werden muss.
So kann EU Recht nicht gemeint sein! Es ist deshalb vor jeglichem Beschluss ein Rechtsbehelf einzuholen. Sollte dies vermeintlich bereits anderweitig erfolgt sein, so ist Ross und Reiter zu nennen. Wer hat das Gutachten erstellt und was steht konkret drin. Und wann wird dies dem MGR vorgelegt.
Abgesehen von diesem Grundsatzaspekt gilt auch Folgendes:
Wie wirkungsvoll kann eine solche Person sein? Urlaube, Krankheiten, Fahrzeiten und eigenen Ausarbeitungen von Untersuchungen führt zu rechnerisch ca. 4 Tage / Jahr / Gemeinde, im Mittel. Der kommunale Prüfungsverband taucht mit mehreren Leuten auf und benötigt rund 2 – 3 Wochen für Gemeinden der Größe Zusmarshausen, um nur das Nötigste zu finden.
Als Angestellter innerhalb einer Verwaltung ist man weisungsunterstellt, auch in einer Stabstelle. Ein wesentliches Kennzeichen eines Datenschutzbeauftragten ist aber seine Unabhängigkeit von zu prüfenden Verwaltungen. Dem widerspricht seine Position innerhalb der Verwaltung: eine Verwaltung kontrolliert sich selber und damit wird Kontrolle zur Farce!
Weshalb ist das vorgesehene System nicht transparent? Es ist nicht vorgesehen, dass der Datenschutzbeauftragte an die Gemeinde-, Markt-, Stadt-, Kreis-, Räte berichtet, es sind lediglich Berichte an die Bürgermeister der betroffenen Gemeinden vorgesehen.
Es ist also Auskunfts-/ Informations- und / oder Nachfrage Recht für die Gemeinde-, Markt-, Stadt-, Kreis-, Räte nicht vorgesehen.
Sollen wir im Zusmarshausener MGR heute diesem nicht transparenten System eines Datenschutzbeauftragten wirklich zustimmen? Wir organisieren dann doch nur einen Feigenblatt-Datenschutzbeauftragten! Zudem ist er dann genau so intransparent wie die bereits im Landratsamt / Kreisverwaltung angesiedelte Kommunalaufsicht.
OK, es gibt natürlich externe, von Verwaltungen unabhängige Datenschutzprüfer. OK, die sind auch deutlich teurer. Die Frage die sich in diesem Zusammenhang jedoch stellen, sind:
- Was sind uns Verwaltungs- und Bürgerdaten und der sorgfältige und verantwortungsvolle Umgang damit wert?! Und dies in einer Informationsgesellschaft, in welcher Informationen immer mehr an Bedeutung und Wert gewinnen?!
- Was ist uns unser demokratisches System wert, welches nur aufgrund von Transparenz, Informationsfluss und Gewaltentrennung dauerhaft lebensfähig ist?!
Dass ein Datenschutzbeauftragter nötig ist, ist unstrittig – aber – bitte nicht so undemokratisch, intransparent und widersinnig.
Ich bitte den MGR, heute als ersten Schritt, der Zweckvereinbarung nicht zuzustimmen und sich die angeblich bereits durchgeführten und damit vorhandenen Rechtsbehelfe in einer der nächsten Sitzungen zur Prüfung vorlegen zu lassen.“