1386/2023
Mitteilung über die Verwendung von personenbezogenen Daten in der Rechnungsprüfung
KI-Zusammenfassung
Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.
KI-Analyse läuft...
vergangen
Was passiert gerade?
- 📄 Dokumente werden analysiert...
- 🤔 KI denkt nach (Reasoning-Modell)...
- ✍️ Zusammenfassung wird geschrieben...
- ⏳ Das dauert etwas länger bei komplexen Dokumenten...
Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.
Dokumentation zur Datenauswertung
8185 Zeichen
Rechnungsprüfungsamt der Stadt Köln 1 Rechnungsprüfungsamt Dokumentation zur Massenauswertung personenbezogener Daten im Rahmen einer Prüfung Es wird auf das Arbeitspapier „Datenschutz beim RPA“ (G:\14ALW\02-Wissen\00-Regelun- gen\Aktuell\Datenschutz\Arbeitspapier Datenschutz in der Rechnungsprüfung.pdf) verwie- sen. Die geltenden Bestimmungen zum Datenschutz sind bei einer Verarbeitung personenbezoge- ner Daten immer zu beachten. Diese ergeben sich insbesondere aus folgenden Rechtsvor- schriften: • Datenschutz-Grundverordnung (DSGVO) • Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) • Sozialgesetzbuch (§§ 67 – 85 SGB X) • Bundesdatenschutzgesetz (BDSG) Ist eine Datenauswertung, bei der personenbezogene Daten aus unterschiedlichen Quellen mit einer Software, z. B. ACL, SAP, Excel, usw. abgeglichen werden, vorgesehen, ist in diesem Fall dieser Vordruck zu verwenden, um die Rechenschaftspflicht nach Art. 5 DSGVO zu erfül- len. Die Dokumentation ist entbehrlich, wenn • die zur verarbeitenden Daten keinen Bezug zu identifizierbaren Personen haben, • stichprobenartig und nacheinander eine Abfrage von Einzelfällen erfolgt, • oder eine vorhandene Menge an personenbezogenen Daten händisch und ohne die o.g. Programme verarbeitet wird. 1 Angaben zum Verantwortlichen gem. Art. 4 Nr. 7 DSGVO 1.1 Name Ralf Jülich 1.2 Organisationseinheit 14 - Rechnungsprüfungsamt 2 Angaben zu der/den die Verarbeitung durchführenden Person/Personen 2.1 Name(n) 2.2 Organisationseinheit 14 - Rechnungsprüfungsamt 3 Angaben zur Prüfung 3.1 Namen der Prüferinnen und Prüfer 3.2 Gliederungsziffer 3.3 Gegenstand der Prüfung Dokumentation zur Datenauswertung im Rahmen einer Prüfung Rechnungsprüfungsamt der Stadt Köln 2 3.4 Prüfungsanlass 3.5 Prüfkonzept ☐ Ist beigefügt ☐ In Prüfakte abgelegt 3.6 Analyseprogramm ☐ ACL ☐ SAP ☐ Excel ☐ Sonstige: 4 Angaben zu Datenherkunft und -art 4.1 Aus welchen Verfahren stammen die Daten? 4.2 Um welche Daten handelt es sich konk- ret? Bitte Datenarten so konkret wie möglich benennen, z.B. Name, Adresse, Bank- verbindung, etc.! 4.3 Handelt es sich (auch) um personenbe- zogene Daten i.S.d. Art. 4, Ziff. 1 DSGVO (Daten di e auf die physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Personen hindeuten)? Hinweis: Die Verarbeitung personenbe- zogener Daten besonderer Kategorie ist grundsätzlich untersagt. Für Ausnahmen vgl. Abschnitt 6. (vgl. Art. 9 Abs. 1 DSGVO). ☐ Nein ☐ Ja (bitte angeben) ☐ Daten zur rassischen und ethnischen Herkunft ☐ Daten zur politischen Meinung ☐ Daten zu religiösen oder weltanschauli- chen Überzeugungen ☐ Daten zur Gewerkschaftszugehörigkeit ☐ Genetische Daten ☐ Biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person ☐ Gesundheitsdaten ☐ Daten zum Sexualleben oder der sexu- ellen Orientierung einer natürlichen Per- son Dokumentation zur Datenauswertung im Rahmen einer Prüfung Rechnungsprüfungsamt der Stadt Köln 3 ☐ Sonstige: 4.4 Handelt es sich um Sozialdaten, die von einer in § 35 SGB I genannten Stelle im Hinblick auf ihre Aufgaben nach dem Sozialgesetzbuch verarbeitet werden? (vgl. § 67 Abs. 2 SGB X) ☐ Nein ☐ Ja (bitte Abschnitt 7 beachten) 5 Angaben zur Rechtmäßigkeit der Verarbeitung 5.1 Zweckbindung: Welchem Zweck im Rahmen der Rechnungsprüfung dient die Verarbeitung? Bitte ebenfalls die Rechtsgrundlage angeben. (vgl. Art. 5 Abs. 1b DSGVO) 5.2 Geeignetheit: Ist die Verarbeitung ge- eignet, um die Erreichung des Zwecks kausal zu bewirken oder zumindest zu fördern? ☐ Nein ☐ Ja 5.3 Erforderlichkeit: Ist die Verarbeitung er- forderlich? Eine Maßnahme ist erforder- lich, wenn kein anderes Mittel verfügbar ist, das in gleicher (oder sogar besse- rer) Weise geeignet ist, den Zweck zu erreichen. (vgl. Art. 6 DSGVO; Erwägungsgrund 39 DSGVO) ☐ Nein ☐ Ja 5.4 Angemessenheit: Ist die Verarbeitung angemessen? Eine Maßnahme ist an- gemessen, wenn die Nachteile, die mit der Maßnahme verbunden sind, nicht völlig außer Verhältnis zu den Vorteilen stehen, die sie bewirkt. In diesem Zu- sammenhang ist eine Abwägung der Vor- und Nachteile der beschriebenen Maßnahmen vorzunehmen. ☐ Nein ☐ Ja 6 Angaben zur Verarbeitung personenbezogener Daten besonderer Kategorie (falls nicht zutreffend bitte überspringen) 6.1 Ist die Verarbeitung auf der Grundlage des Unionsrechts oder des Rechts ei- nes Mitgliedstaats, das in angemesse- nem Verhältnis zu dem verfolgten Ziel (vgl. Art. 9 Abs. 2g DSGVO) ☐ Nein ☐ Ja 6.2 Ist die Verarbeitung für die Verwaltung von Systemen und Diensten im Ge- sundheits- oder Sozialbereich auf der ☐ Nein ☐ Ja Dokumentation zur Datenauswertung im Rahmen einer Prüfung Rechnungsprüfungsamt der Stadt Köln 4 Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder auf- grund eines Vertrags mit einem Ange- hörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforder- lich? (vgl. Art. 9 Abs. 2h DSGVO) 6.3 Ist die Verarbeitung aus einem der in § 16 Abs. 1 DSG NRW genannten Gründe erforderlich? (vgl. § 16 Abs. 1 DSG NRW) ☐ Nein ☐ Ja 7 Angaben zu Sozialdaten (falls nicht zutreffend bitte überspringen) 7.1 Ist die Speicherung, Veränderung oder Nutzung der Sozialdaten für die Wahr- nehmung der Rechnungsprüfung erfor- derlich? (vgl. § 67c Abs. 3 SGB X) ☐ Nein ☐ Ja 7.2 Ist zur Wahrung des Sozialgeheimnis- ses sichergestellt, dass die Sozialdaten nur Befugten zugänglich sind oder nur an diese weitergegeben werden? (vgl. § 35 Abs. 1 SGB I) ☐ Nein ☐ Ja 7.3 Ist eine Übermittlung von biometri- schen, genetischen oder Gesundheits- daten erforderlich? Wenn ja: Liegt eine gesetzliche Übermittlungsbefugnis nach §§ 68 bis 77 GB X oder nach einer an- deren Rechtsvorschrift des Sozialge- setzbuches vor? (vgl. § 67b Abs. 1 SGB X) ☐ Nein ☐ Ja Die Daten werden ausschließlich nach den Grundsätzen für die Verarbeitung personenbezo- gener Daten (Art. 5 DSGVO) verarbeitet. Dies umfasst insbesondere, • die Verarbeitung der personenbezogenen Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise durchzuführen (Abs. 1a) • nur dem Zweck angemessene sowie erhebliche personenbezogene Daten zu verarbeiten; die Daten müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein (Abs. 1c) • die personenbezogenen Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand zu halten; es sind alle a ngemessenen Maßnahmen zu treffen, damit personenbezo- gene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Abs. 1d) • die personenbezogenen Daten in einer Form zu speichern, die die Ident ifizierung der be- troffenen Person nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezo- genen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen verarbeitet werden, welche von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden (Abs. 1e) Dokumentation zur Datenauswertung im Rahmen einer Prüfung Rechnungsprüfungsamt der Stadt Köln 5 • die personenbezogenen Daten in einer Weise zu verarbeiten, welche eine ang emessene Sicherheit der Daten gewährleistet (Schutz vor unbefugter oder unrechtmäßiger Verarbei- tung, unbeabsichtigter Verlust, unbeabsichtigte Zerstörung, unbeabsichtigte Schädigung) (Abs. 1f) Köln, den ________________________________________________________________________ (Unterschrift des/der Prüfers/Prüferin, der Prüfer*innen) Die vorgesehene Datenauswertung wird ☐ genehmigt. ☐ nicht genehmigt Köln, den ________________________________ (Unterschrift der Amtsleitung) Ausfertigung erhält: ab: Dezentraler Datenschutzkoordinator 142- Herr Kennien mit der Bitte um Kenntnisnahme
Arbeitspapier Datenschutz in der Rechnungsprüfung
29105 Zeichen
Rechnungsprüfungsamt der Stadt Köln 1
Rechnungsprüfungsamt
14 28.03.2022
142/2 Herr Kennien
23816
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Inhalt:
1. Ausgangslage
2. Grundsätze der Verarbeitung personenbezogener Daten in der Rechnungsprüfung
a. Rechtmäßigkeit
b. Zweckbindung
c. Datenminimierung/-sparsamkeit
d. Richtigkeit
e. Speicherbegrenzung (Löschung/Sperrung)
f. Integrität und Vertraulichkeit
g. Rechenschaftspflicht (Dokumentation)
3. Verhältnismäßigkeit (von Massendatenauswertungen)
4. Dokumentation zur Massendatenauswertung
5. Prüfberichte im Sinne der DSGVO
6. Informationspflichten nach Art. 13 und 14 DSGVO
6.1 Informationspflichten der geprüften Stelle
6.2 Informationspflichten des RPA
1. Ausgangslage
Die Rechnungsprüfung nutzt zur Aufgabenerledigung eine Vielzahl von Akten, Dokumen-
ten und Dateien. Solche Informationsbestände enthalten oftmals personenbezogene Da-
ten von Bürgerinnen und Bürgern oder von Beschäftigten. Gemäß § 104 Abs. 5 S. 1 GO
NRW i. V. m. § 6 Abs. 1 RPO erhält das RPA personenbezogene Daten zur Verarbeitung
nicht von den betroffenen Personen, sondern von den g eprüften Dienststellen oder von
externen Vertragspartnern. Eine Unterscheidung zwischen einer stichprobenartigen oder
einer vollumfänglichen sowie zwischen einer manuell oder einer maschinell durchgeführ-
ten Datenverarbeitung wird in Bezug auf das Auskunfts recht des RPA nicht gemacht.
Ebenso wenig gibt es Einschränkungen hinsichtlich Zeitpunkt oder Zeitdauer der Prü-
fungshandlungen.
Zudem gelangt das RPA oftmals an personenbezogene Daten, die „nebenbei“ zur Kennt-
nis genommen werden oder auch gerade Gegenstand einer Prüfung sind.
Beispiel 1: Das RPA sichtet ausgewählte Akten über Vergabeverfahren zur B eschaffung
von Bauleistungen. Es möchte feststellen, ob die Vorgaben des Vergaberechts eingehal-
ten werden. Dabei erfährt das RPA die Namen der für die Beteiligten handelnden Perso-
nen, denen bestimmte Verfahrenshandlungen zugeordnet werden können. Es gelangt so
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Rechnungsprüfungsamt der Stadt Köln 2
an personenbezogene Daten, auch wenn es für die Prüfung auf diese Daten nicht an-
kommt.
Beispiel 2: Das RPA möchte herausfinden, ob die städtische Musikschule Beitragsermä-
ßigungen bei Bedürftigkeit nur satzungsgemäß bewilligt hat. Es lässt sich zu diesem
Zweck alle einschlägigen Vorgänge eines Haushaltsjahres vorlegen und überprüft, ob ent-
sprechende Anträge vorliegen sowie über diese ordnungsgemäß entschieden wurde. Das
RPA erlangt hier Informationen über die Identität der antragstellenden Personen und die
von ihnen vorgebrachten, für eine Bedürftigkeit sprechenden Argumente. Das geschieht
nicht „beiläufig“; es geht bei der Prüfung gerade darum, was die Verwaltung bei der Ent-
scheidung über die Beitragsermäßigung aus diesen personenbezogenen Daten gemacht
hat.
Vor diesem Hintergrund stellt sich die grundsätzliche Frage nach dem Umgang mit perso-
nenbezogenen Daten beim RPA, der Rechtsgrundlage der Verarbeitung bzw. Auswertung
der personenbezogenen Daten sowie die Informations - und Rechenschaftspflichten des
RPA gegenüber der betroffenen Personen, den Dokumentationspflichten und der Prüfer-
tätigkeit i. S. d. DSGVO.
2. Grundsätze der Verarbeitung personenbezogener Daten in der Rechnungsprüfung
a. Rechtmäßigkeit, Art. 5 Abs. 1 lit. a DSGVO
Das RPA benötigt für die Anforderung, die geprüfte Stelle für eine entsprechende Of-
fenlegung von personenbezogenen Daten an das RPA eine Verarbeitungsbefugnis.
Unionsrechtlich ergibt sich die Befugnis aus Art. 6 Abs. 1 DSGVO, Rechtmäßigkeit der
Verarbeitung. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten in
der Rechnungsprüfung findet sich in § 9 Abs. 1 DSG NRW und § 67c Abs. 3 SGB X.
Es dürfen also personenbezogene Daten durch öffentliche Stellen auch zur Wahrneh-
mung von Aufsichts- und Kontrollbefugnissen, zur Rechnungsprüfung oder zur Durch-
führung von Organisationsuntersuchungen verarbeitet werden. Dies gilt auch für die
Verarbeitung zu Ausbildungs - und Prüfungszwecken, sofern berechtigte Interessen
der betroffenen Person an der Geheimhaltung der Daten nicht offensichtlich überwie-
gen.
Fazit: Sofern also eine Dienststelle die Herausgabe oder Einsichtnahme von Doku-
menten und Dateien mit personenbezogenen Daten mit dem Argument der Zweckbin-
dung oder der fehlenden Rechtsgrundlage in ihrem Spezialgesetz verweigert, gilt Art.
6 Abs. 1 lit. c, e DSGVO in Verbindung mit § 9 Abs. 1 DSG NRW als Rechtsgrundlage
für die Dienststelle zur Weitergabe personenbezogener Daten an das RPA. Die Über-
mittlung (Weitergabe) von Daten an das RPA zum Zwecke der Rechnungsprüfung ist
demnach ausdrücklich zugelassen. Hierzu zählt auch die Zugangsberechtigung zu
elektronischen Verfahren, sofern dieser für die Prüfung erforderlich ist. Es genügt zum
Zweck der Prüfung der rein lesende Zugriff. Auch um sicherzustellen, dass Prüfung
und Verwaltungshandeln getrennt sind, ist ein schreibender Zugriff grundsätzlich un-
zulässig.
b. Zweckbindung, Art. 5 Abs. 1 lit. b DSGVO
Demnach dürfen personenbezogene Daten nur für festgelegte, eindeutige und legi-
time Zwecke erhoben werden und nicht in einer mit diesen Zwecken nicht zu verein-
barenden Weise weiterverarbeitet werden . D. h. jede Dienststelle verfügt über ihre
eigene Rechtsgrundlage zur Verarbeitung personenbezogener Daten, z. B. MeldeG
NRW, SGB, Abgabenordnung, KWahlG NRW, etc. Die Rechnungsprüfung findet dort
keine Erwähnung. Durch die in Ziff. 2 a genannte Rechtsgrund lage § 9 Abs. 1 DSG
NRW erweitert sich der ursprüngliche Zweck der Verarbeitung auf die Rechnungsprü-
fung. Insofern erfüllt die Rechnungsprüfung im Rahmen ihrer Prüfung auch den in den
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Rechnungsprüfungsamt der Stadt Köln 3
Spezialgesetzen angeführten ursprünglichen Zweck. Eine andere Verarbeitung als zu
Prüfzwecken ist für das RPA allerdings nicht zulässig.
c. Datenminimierung, -sparsamkeit, Art. 5 Abs. 1 lit. c DSGVO
Personenbezogene Daten müssen für den (Prüf)Zweck angemessen und erheblich
sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Dies
erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das
unbedingt erforderliche Mindestmaß beschränkt bleibt. Das heißt, dass nicht mehr
personenbezogene Daten verarbeitet werden dürfen als unbedingt erfo rderlich. So-
bald der Zweck erfüllt ist, sind die personenbezogenen Daten zu löschen. Um sicher-
zustellen, dass die personenbezogenen Daten nicht länger als nötig gespeichert wer-
den, sollen Fristen für ihre Löschung oder regelmäßige Überprüfung definiert werden.
Die Fristen können, je nach Prüfauftrag, variieren.
d. Richtigkeit, Art. 5 Abs. 1 lit. d DSGVO
Personenbezogene Daten müssen sachlich richtig sein und auf dem neuesten Stand
sein. Sollten personenbezogene Daten im Hinblick auf die Verarbeitung beim RPA
unrichtig sein, sind diese unverzüglich zu löschen, z. B. es wurden die falschen Daten
zur Prüfung zur Verfügung gestellt. Wird festgestellt, dass die personenbezogenen
Daten schon auch bei der übermittelnden Dienststelle nicht richtig waren, ist diese zu
informieren, dass sie die Daten in Eigenverantwortung korrigieren kann (z. B. falsches
Geburtsdatum, falsche Adresse, o.ä.).
e. Speicherbegrenzung (Löschung/Sperrung), Art. 5 Abs. 1 lit. e DSGVO
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifi-
zierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für
die sie verarbeitet werden, erforderlich ist . Ist die Speicherung der personenbezoge-
nen Daten nicht mehr erforderlich, sind diese zu löschen. Ist die Identifizierbarkeit der
natürlichen Person/en nicht mehr erforderlich, können die personenbezogenen Daten
z. B. anonymisiert werden.
Definition: Anonymisierung ist die Verarbeitung personenbezogener Daten in einer
Weise, dass die personenbezogenen Daten endgült ig nicht mehr einer spezifischen
betroffenen Person zugeordnet werden können. Im Gegensatz zur Pseudonymisie-
rung: Hier ist die Zuordnung zu realen Personen über Hinzuziehung von weiteren In-
formationen möglich. Die „weiteren Informationen“ dürfen nicht beim RPA sein.
Sowohl pseudonyme als auch anonyme Daten sind daher für das RPA keiner spezifi-
schen betroffenen Person zuordenbar. Der Unterschied zwischen anonymen und
pseudonymen Daten liegt darin, dass bei pseudonymen Daten außerhalb der Zugriffs-
möglichkeiten des RPA grundsätzlich eine Zuordnungsmöglichkeit besteht oder be-
stehen könnte, bei anonymen Daten hingegen für niemanden eine Zuordnungsmög-
lichkeit vorhanden ist.
f. Integrität und Vertraulichkeit, Art. 5 Abs. 1 lit. f DSGVO
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine ange-
messene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich
Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem
Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeig-
nete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).
Beim RPA wird das durch ein Berechtigungskonzept bei der Zugriffsberechtigung der
gemeinsamen Dateiablage (Laufwerke ALW und BLW) sichergestellt.
g. Rechenschaftspflicht (Dokumentation), Art. 5 Abs. 2 DSGVO
Das RPA ist für die Einhaltung der unter Ziffer 2 a bis f genannten Schutzziele verant-
wortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“).
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Rechnungsprüfungsamt der Stadt Köln 4
Als Dokumentation dient u. a. diese Arbeitsrichtlinie, das Prüfhandbuch, die ausgefüll-
ten Prüfkonzepte zu Programm- und Schwerpunktprüfungen, alle relevanten Arbeits-
und Prüfanleitungen (diese können sich auch aus Niederschriften der DB AL ergeben),
sowie der speziellen Dokumentation bei der Datenauswertung mittels Software (siehe
Ziffer 3).
3. Verhältnismäßigkeit (von Massendatenauswertungen)
Das RPA ist, wie jede andere Dienststelle der Stadt Köln, aus dem Rechtsstaatsprinzip
folgend, dem Grundsatz der Verhältnismäßigkeit verpflichte t. Das bedeutet, dass jede
Maßnahme, die in Grundrechte eingreift, einen legitimen öffentlichen Zweck verfolgt und
überdies geeignet, erforderlich und verhältnismäßig im engeren Sinne angemessen ist.
Im Falle einer Verarbeitung personenbezogener Daten sind zusätzlich die Grundrechte
und Grundfreiheiten natürlicher Personen und deren Recht auf Schutz personenbezoge-
ner Daten zu berücksichtigen. Die dabei zu maßgeblichen Grundsätze der DSGVO sind
in Ziff. 2 beschrieben.
Zur Betrachtung der Verhältnismäßigkeit von Massendatenanalysen durch das RPA sol-
len im Folgenden zwei Maßnahmen betrachtet werden:
a. Eine maschinelle Verarbeitung und Analyse großer Datenmengen im Rahmen einer
konkret durchzuführenden Prüfung durch das RPA. Die Verarbeitung findet einmalig in
Bezug auf die in dem Prüfkonzept beschriebenen Fragestellungen und nicht kontinuierlich
statt.
b. Eine andauernde und automatisierte Verarbeitung bzw. Überwachung von großen Da-
tenbeständen und deren Transaktionen mithilfe von kontinuierlich laufenden Programmen
und Algorithmen (Stichwort „Continuous Auditing“). Die Verarbeitung findet maschinell,
regelmäßig oder sogar fortlaufend und n icht im Rahmen einer konkreten Prüfungshand-
lung statt.
Zur Feststellung der Verhältnismäßigkeit dieser Maßnahmen sind gemäß der obigen De-
finition folgende Kriterien zu erläutern:
1. Verfolgung eines legitimen öffentlichen Zwecks: Die beschriebenen Maßnahmen des
RPA müssen zu jedem Zeitpunkt einen legitimen öffentlichen Zweck verfolgen. Bei
der Verarbeitung personenbezogener Daten ergibt sich die Zweckbindung insbeson-
dere aus Art. 5 Abs. 1b DSGVO, welcher die Verarbeitung personenbezogener Daten
zu festgelegten, eindeutigen und legitimen Zwecken vorschreibt. Das RPA darf daher
eine Datenverarbeitung nur zur Erledigung der in §§ 102 – 104 GO sowie in der RPO
bzw. in anderen Rechtsvorschriften beschriebenen Aufgaben durchführen. Diese um-
fassen unter anderem
1.1. Die Prüfung des Jahresabschlusses und des Gesamtabschlusses
1.2. Die laufende Prüfung der Vorgänge in der Finanzbuchhaltung zur Vorbereitung
der Prüfung des Jahresabschlusses
1.3. Die dauernde Überwachung der Zahlungsabwicklung der Gemeinde und ihrer
Sondervermögen sowie die Vornahme der Prüfungen
1.4. Die Prüfung von Programmen vor ihrer Anwendung zur automatisierten Daten-
verarbeitung in der Finanzbuchhaltung
1.5. Die Wirksamkeit interner Kontrollen im Rahmen des internen Kontrollsystems
1.6. Die Prüfung der Zweckmäßigkeit und der Wirtschaftlichkeit der Verwaltung
1.7. Die Prüfung der Wirtschaftsführung und des Rechnungswesens der Einrichtun-
gen der Gemeinde nach § 107 Abs. 2 GO
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Rechnungsprüfungsamt der Stadt Köln 5
Die in Punkt 1.2 und 1.3 verwendeten Begrifflichkeiten „laufende Prüfung“ sowie „dau-
ernde Überwachung“ legen nahe, dass die durch das RPA durchgeführten Prüfungs-
handlungen nicht nur im Rahmen einer konkreten Prüfung, sondern auch kontinuier-
lich und fortwährend, also ohne einen konkreten Prüfungsanlass durchgeführt werden
sollen. Die laufende Prüfung (1.2) dient insbesondere der zeitnahen Kontrolle der Ge-
schäftsvorfälle im Ablauf des Haushaltjahres. Hierbei sollen Mängel und Fehler soweit
wie möglich bereits unterjährig festgestellt und behoben werden. Die oben aufgeführ-
ten Maßnahmen (a, b) sind somit beide für die Verfolgung der in der GO und RPO
beschriebenen öffentlichen Zwecke heranzuziehen.
2. Geeignetheit: Eine Maßnahme ist geeignet, wenn sie die Erreichung des Zwecks kau-
sal bewirkt oder zumindest fördert. Dies ist bei der Durchführung von Massendaten-
analysen zu Prüfungszwecken (a) offensichtlich der Fall, da durch die vollumfängliche
Prüfung der Datenbestände die Prüfungsqualität und Aussagekraft der P rüfung er-
höht wird. Durch die maschinelle Verarbeitung und mögliche Erkennung von Datena-
nomalien werden die Prüferinnen und Prüfer zudem bei der Auswahl der zu betrach-
tenden Einzelfälle unterstützt und somit zeitlich entlastet. In Bezug auf die fortlau-
fende Überwachung stellt die automatisierte Verarbeitung (b) die einzige geeignete
Maßnahme dar, da bei großen Datenmen gen, wie sie typischerweise bei der Stadt
Köln vorliegen, eine manuelle und kontinuierlich stattfindende Verarbeitung mit einem
zu großen zeitlichen oder personellen Aufwand verbunden wäre.
3. Erforderlichkeit: Eine Maßnahme ist erforderlich, wenn kein milderes Mittel gleicher
Eignung zur Verfügung steht, also kein anderes Mittel verfügbar ist, das in gleicher
(oder sogar besserer) Weise geeignet ist, den Zweck zu erreichen. Im Falle der prü-
fungsbezogenen Massendatenanalyse (a) steht der maschinellen Vollprüfung – zu-
mindest bei großen Datenbeständen – eine manuelle, stichprobenbasierte Prüfung
durch die Prüferinnen und Prüfer gegenüber. Die stich probenbasierte Prüfungsme-
thode stellt in diesem Zusammenhang zwar das mildere Mittel dar, da nicht alle vor-
handenen Daten ausgewertet werden, ist jedoch aufgrund der oben aufgeführten
Nachteile (geringere Aussagekraft, zum Teil größerer Personal - und Zeitaufwand)
nicht in gleicher Weise geeignet, die Zwecke der örtlichen Rechnungsprüfung zu er-
füllen. Im Falle einer kontinuierlich stattfindenden Verarbeitung (b) stellt die maschi-
nelle und automatisierte Verarbeitung die einzige Möglichkeit dar, um eine wie in Ord-
nungspunkt 1.2 und 1.3 aufgeführte laufende und andauernde Prüfung und Überwa-
chung zu gewährleisten. Beide dargelegten Maßnahmen erfüllen somit das Kriterium
der Erforderlichkeit.
4. Angemessenheit: Eine Maßnahme ist verhältnismäßig, wenn die Nachteile, die mit der
Maßnahme verbunden sind, nicht völlig außer Verhältnis zu den Vorteilen stehen, die
sie bewirkt. In diesem Zusammenhang ist eine Abwägung der Vor- und Nachteile der
beschriebenen Maßnahmen vorzunehmen. Vorteile der maschinell durchgeführten o-
der zumindest maschinell unterstützten Prüfung (a) sind die höhere Validität (Gültig-
keit) als auch Reliabilität (Zuverlässigkeit) der Prüfungsergebnisse. Bei einer kontinu-
ierlich und automatisiert durchgeführten Prüfung (b) liegt ein weiterer großer Vorteil in
der zeitnahen, eventuell sogar in Echtzeit stattfindenden Evaluierung von Daten und
Transaktionen. Auftretende Mängel innerhalb des internen Kontrollsystems und sons-
tige Auffälligkeiten können so unmittelbar erkannt werden – und nicht erst im Abstand
von einigen Wochen oder Monaten.
Da es sich be i den für die Prüfungen des RPA relevanten personenbezogenen Daten
typischerweise um in einem Dateisystem gespeicherte Daten handelt, ist der Automatisie-
rungsgrad der Verarbeitung datenschutzrechtlich nicht relevant. Ebenso wenig ist mit Hin-
blick auf den Datenschutz der Stichprobenumfang der Verarbeitung von Relevanz. In je-
dem Fall sind bei einer Verarbeitung personenbezogener Daten die Grundsätze gemäß
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Rechnungsprüfungsamt der Stadt Köln 6
Art. 5 DSGVO zu beachten sowie geeignete technische und organisatorische Maßnah-
men zum Datenschutz, wie zum Beispiel die Pseudonymisierung und Verschlüsselung
von Daten, zu ergreifen. Das Grundrecht auf Datenschutz ist unter diesen Voraussetzun-
gen bei einer Massendatenanalyse personenbezogener Daten ausreichend gewahrt, so-
dass die oben beschriebenen Maßnahmen auch im engeren Sinne als grundsätzlich ver-
hältnismäßig betrachtet werden können. Zusätzlich zur grundsätzlichen Betrachtung sollte
bei der Verarbeitung personenbezogener Daten die Angemessenheit in jedem Einzelfall,
also im Kontext der jeweiligen Prüfung, geprüft werden. Zu diesem Zweck hat das RPA
eine Checkliste mit dem Titel „ Dokumentation zur Massendatenauswertung“
(G:\14ALW\01-Berichte\00-Vordrucke\Dokumentation zur Datenauswertung.docx ) erar-
beitet, in der die Notwendigkeit, die Rechtsgrundlage und der Umfang einer Verarbeitung
personenbezogener Daten im Rahmen einer Prüfung dargelegt werden muss.
4. Dokumentation zur Massendatenauswertung
Die maschinelle Verarbeitung großer Datenmengen zu Analysezwecken stellt eine viel-
versprechende Methode dar, um die Qualität und Aussagekraft der durchgeführten Prü-
fungen zu erhöhen und die Prüferinnen und Prüfer bei ihrer Arbeit zu unterstützen.
Prüfungshandlungen, die bei großen Datenbeständen aufgrund des unverhältnismäßigen
Zeitaufwands bislang manuell und auf eine Stichprobe begrenzt durchgeführt wurden,
können durch den Einsatz von angepassten Algorithmen und maschinellen Auswertetools
– zumindest bei gewissen Fragestellungen – auf den gesamten Datenbestand ausgewei-
tet werden. Insbesondere kann eine Massendatenanalyse dazu dienen, Unregelmäßig-
keiten in großen Datenbeständen zu entdecken und den Prüfenden Hinweise auf notwen-
dige tiefergehende Prüfungshandlungen zu geben.
Sofern im Rahmen einer Prüfung personenbezogene Daten aus unterschiedlichen Quel-
len mit einer Software, z. B. ACL abgeglichen werden, ist in dies em Fall dieser Vordruck
zu verwenden, um die Dokumentationspflicht nach Art. 5 DSGVO zu erfüllen.
5. Prüfberichte im Sinne der DSGVO
Wie beschrieben dürfen und müssen personenbezogene Daten vom RPA verarbeitet wer-
den. In der Regel münden die Prüfergebnisse in Prüfberichte. In den Prüfberichten soll
mithilfe von Anonymisierungen/Pseudonymisierungen (vgl. Pkt. 2 e) der Grundsatz der
Datensparsamkeit beachtet werden.
Nach den Vorschriften der GO NRW ist das RPA dem Rat gegenüber unmittelbar verant-
wortlich. Daraus ergibt sich, dass die Prüfberichte an sie weitergegeben werden müssen.
Gemäß § 43 i. V. m. § 30 GO sind die Ratsmitglieder zwar ihrerseits zur Verschwiegenheit
auch über die personenbezogenen Daten aus den Berichten verpflichtet . Es gilt jedoch,
insbesondere für das RPA, der Grundsatz der Datenminimierung ( Art. 5 Abs. 1 lit. c
DSGVO): Wann immer die Erwähnung, bzw. die Weitergabe personenbezogener Daten
entbehrlich ist, muss darauf verzichtet werden.
Werden Berichte (das gilt auch für Entwürfe) an die geprüfte Stelle gegeben, ist zu beach-
ten, dass die Daten nicht über den Personenkreis hinaus bekannt werden, der ohnehin
Zugriff auf die jeweils dargestellten Informationen hat. Es muss in jedem Fall ausgeschlos-
sen werden, dass durch die Zirkulation der Berichte unbefugte Personen Kenntnis von
Personaldaten bzw. personenbezogenen Daten erhalten. Das RPA soll auf diesen Um-
stand hinweisen, wenn es die Berichte an die geprüfte Stelle weitergeben.
6. Informationspflichten nach Art. 13 und 14 DSGVO
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Rechnungsprüfungsamt der Stadt Köln 7
Aus den Art. 13 und 14 DSGVO ergibt sich die Pflicht zur Information gegenüber der be-
troffenen Person wer, wann, was und warum mit seinen personenbezogenen Daten
macht. Der Umfang dieser Information ist abschließend beschrieben.
6.1. Informationspflichten der geprüften Stelle
Die geprüfte Stelle könnte sich von dem RPA zu einem Verstoß gegen die DSGVO
gezwungen sehen, da sie im Nachhinein die Informationspflicht über die Weiter-
gabe von personenbezogenen Daten an das RPA verletzt.
Art. 13 Abs. 1 lit. e und Art. 14. Abs. 1 lit. e DSGVO: Die geprüfte Stelle hat bei der
Erhebung der Daten bei der betroffenen Person immer die Pflicht der Information
über die Weitergabe der Daten an das RPA als „regelmäßigen Empfänger“. Wenn
diese Information im Vorfeld bei der Datenerhebung unterbleibt, liegt ein Daten-
schutzverstoß seitens der geprüften Stelle vor.
Art. 13 Abs. 3 DSGVO: Die geprüfte Stelle hätte eine Informationspflicht über die
Weiterverarbeitung für einen anderen Zweck. Waren die Daten ursprünglich für
einen bestimmten Verarbeitungszweck erhoben, werden sie im Rahmen der Rech-
nungsprüfung auf den ersten Blick für einen anderen Zweck verwendet. Durch § 9
Abs. 1 DSG NRW wurde der ursprünglichen Zweck der Datenverarbeitung auf eine
Datenverarbeitung im Rahmen der Rechnungsprüfung erweitert. Die Weiterverar-
beitung durch Offenlegung an das RPA ist nicht als zweckändernd anzusehen. Art.
13 Abs. 3 DSGVO begründet insofern keine Informationspflicht der geprüften
Stelle.
Art. 14 Abs. 1 DSGVO: Im Gegensatz zu Art. 13 Abs. 1 DSGVO sieht Art. 14 Abs.
1 DSGVO eine Info rmationspflicht vor, wenn personenbezogene Daten nicht bei
der betroffenen Person erhoben werden, sondern die öffentliche Stelle die Daten
auf anderem Wege erlangt. Hat die geprüfte Stelle die personenbezogenen Daten
ursprünglich etwa bei einem Dritten erhoben, so wird sie regelmäßig nach Art. 14
Abs. 1 DSGVO informationspflichtig gewesen sein. Die Offenlegung gegenüber
dem RPA führt bei ihr aber nicht dazu, dass sie die Daten ein weiteres Mal erlangt,
sodass Art. 14 Abs. 1 DSGVO keine Informationspflicht begründet.
Art. 14 Abs. 4 DSGVO regelt eine Informationspflicht für den Fall, dass der Verant-
wortliche die personenbezogenen Daten für einen anderen Zweck weiterzuverar-
beiten beabsichtigt als den, für den er die personenbezogenen Daten erlangt hat.
Einer Informationspflicht der geprüften Stelle nach Art. 14 Abs. 4 DSGVO für den
Fall, dass die Daten nicht bei der betroffenen Person erhoben wurden, steht aller-
dings wie bei Art. 13 Abs. 3 DSGVO die Fiktion der Identität von ursprünglichem
Verarbeitungszweck und Rechnungsprüfungszweck entgegen. Weil § 9 Abs. 1
DSG NRW und § 83 Abs. 2 LBG NRW den ursprüng lichen Verarbeitungszweck
und den Zweck „Rechnungsprüfung“ verknüpfen, fehlt es an der von Art. 14 Abs.
4 DSGVO geforderten Zweckänderung.
Fazit: Nur nach Art. 13 Abs. 1 lit. e und Art. 14. Abs. 1 lit. e DSGVO hat die geprüfte
Stelle die Informationspflicht über die Offenlegung oder Weitergabe von personen-
bezogenen Daten an das RPA.
6.2. Informationspflichten des RPA
Die Frage, ob das RPA Informationspflichten gegenüber betroffenen Personen er-
füllen muss, ist ebenfalls anhand der Art. 13 und 14 DSGVO zu beantworten. An-
satzpunkt ist hier die Erhebung der Daten bei der geprüften Stelle und die Weiter-
verwendung im Rahmen der Prüfungstätigkeit.
Informationspflicht nach Art 13 DSGVO
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Rechnungsprüfungsamt der Stadt Köln 8
Wie die geprüfte Stelle trifft grundsätzlich auch das RPA keine Informationspflicht
nach Art. 13 Abs. 1 DSGVO. Es erhebt regelmäßig keine personenbezogenen Da-
ten bei einer betroffenen Person, wenn es sich personenbezogene Daten von der
geprüften Stelle offenlegen lässt oder sonst - etwa durch automatisierten Abruf -
bei dieser auf per sonenbezogene Daten zugreift. Ebenso scheidet dann eine In-
formationspflicht des RPA nach Art. 13 Abs. 3 DSGVO aus, weil es an einer
„Ersterhebung“ fehlt.
Gleichwohl kann es bei Prüfungshandlungen ausnahmsweise erforderlich werden,
die Informationspflicht nach Art. 13 Abs. 1 DSGVO zu erfüllen
Das RPA stößt im Zuge der Sachverhaltsermittlung bei einer geprüften Stelle auf
eine „Missstandszeugin“ oder einen „Missstandszeugen“. Zur Wahrnehmung sei-
ner Prüfungsaufgaben ist das RPA auf eine Vielzahl von Informationen angewie-
sen. Diese Informationen erhält es zu einem Gutteil in der Kommunikation mit Be-
schäftigten der geprüften Stelle. Im Regelfall wird dadurch nicht die Infor mations-
pflicht nach Art. 13 Abs. 1 DSGVO ausgelöst, weil die Beschäftigten „für“ ihre
Dienststelle sprechen und nicht für sich selbst. Diese Rolle können die Beschäftig-
ten im Einzelfall aber insbesondere dann verlassen, wenn sie – in Hinblick auf
einen intern nicht abstellbaren Rechtsbruch – über persönliche Wahrnehmungen
berichten oder persönliche Bewertungen abgeben, die mit der „offiziellen Linie“ der
geprüften Stelle nicht in Einklang stehen.
Beispiel 1: Das RPA gewinnt im Zuge einer Prüfung Anhaltspunkte dafür, dass bei
einer Vergabe von Bauleistungen nicht alles „mit rechten Dingen zugegangen“ ist.
Es identifiziert einen Beschäftigten, dessen Bedenken „beiseite geschoben“ wor-
den waren. Dem RPA gelingt es, den Beschäftigten davon zu überzeugen, nicht in
den Akten dokumentierte Informationen offenzulegen, die den „Anfangsverdacht“
erhärten.
Beispiel 2: Eine Beschäftigte hat Manipulationen in einem anderen Vergabever-
fahren beobachtet und zunächst für sich behalten, weil Vorgesetzte in den Sach-
verhalt verwickelt sind. Als das Vergabeverfahren Gegenstand der Rechnungsprü-
fung wird, gibt sie aus eigener Initiative eine persönliche Erklärung ab, welche von
ihr bemerkte Manipulationen umfassend offenlegt. Das RPA beabsichtigt, diese
Informationen im Prüfungsbericht unter Namensnennung zu verwerten.
Fazit: In beiden Fällen hätte das RPA die „Missstandszeugen“ nach Art. 13 Abs. 1
DSGVO zu informieren. Da aber das RPA die Namensnennung in Prüfberichten
ausgeschlossen hat (vgl. Ziff. 6.1.9 Prüfhandbuch), ist die Informationspflicht nach
Art. 13 DSGVO nicht gegeben.
Informationspflicht nach Art 14 DSGVO
Da das RPA die personenbezogenen Daten nicht bei der betroffenen Person er-
hebt, sondern von der überprüften Stelle erhält, ist Art. 14 Abs. 1 DSGVO grund-
sätzlich einschlägig. Das RPA muss sich nach Abwägung auf Art. 14 Abs. 5 lit b
DSGVO berufen, wonach die Erteilung der in Art. 14 DSGVO genannten Informa-
tionen als unmöglich oder einen unverhältnismäßigen Aufwand erfordern würde.
Dies ist regelmäßig anzunehmen.
Fazit: Das RPA wird sich in vielen Fällen auf den Ausschluss der Informations-
pflicht gemäß Art. 14 Abs. 5 Buchst. b DSGVO berufen können, ist aber dazu an-
gehalten, entsprechende Schutzmaßnahmen sowie Dokumentationspflichten ein-
zuhalten. Voraussetzung ist immer, dass die Daten nur für den Zweck der Rech-
nungsprüfung verarbeitet werden. Ist eine (Weiter-)Verarbeitung zu anderen Zwe-
cken beabsichtigt, müssen neben der Zulässigkeit der Weiterverarbeitung auch
wieder etwaige Informationspflichten geprüft werden.
Arbeitspapier „Datenschutz in der Rechnungsprüfung“
Rechnungsprüfungsamt der Stadt Köln 9
Im Übrigen gelten die Dienstanweisung Datenschutz und das dazugehörige Datenschutz-
managementkonzept.
Schlussendlich sei darauf hingewiesen, dass das RPA gemäß § 101 Abs. 2 GO bei der
Erfüllung der ihr zugewiesenen Prüfungsaufgaben unabhängig und nicht an Weisungen
gebunden ist. Es ist daher nicht verpflichtet, bei der Durchführung der ihr obliegenden
Aufgaben das Einverständnis der zu prüfenden Stelle oder Dritter einzuholen. Nichtdes-
totrotz ist, m it Bezug auf die Leitlinien für die Zusammenarbeit des RPA mit anderen
Dienststellen, die Transparenz von Prüfungshandlungen, eine kooperative Zusammenar-
beit und eine offene Kommunikation mit den geprüften Stellen selbstverständlich der be-
vorzugte Weg.
gez. Ralf Jülich
Quellen:
Dr. Philip Roedig: Über die Rechtmäßigkeit der Durchführung von Massendatenanalysen
BayLD: Arbeitspapier Informationspflichten in der Rechnungsprüfung
Mitteilung Ausschuss
3453 Zeichen
Dezernat, Dienststelle OB/14/142/2 Vorlagen-Nummer 02.06.2023 1386/2023 Mitteilung öffentlicher Teil Gremium Datum Rechnungsprüfungsausschuss 13.06.2023 Digitalisierungsausschuss 21.08.2023 Mitteilung über die Verwendung von personenbezogenen Daten in der Rechnungsprüfung Die Datenschutz-Grundverordnung (DSGVO) ist die europäische Datenschutzverordnung, die am 25. Mai 2016 in Kraft getreten ist. Die DSGVO schützt das Grundrecht auf informationelle Selbstbestimmung von natürlichen Personen in dem sie die Verarbeitung von personenbezo- genen Daten durch natürliche Personen, Unternehmen und Behörden in der EU regelt. Das betrifft insofern auch die Rechnungsprüfung. Im Rahmen der Prüfungen des Rechnungsprüfungsamtes werden regelmäßig personenbezo- gene Daten verarbeitet. Personenbezogene Daten umfassen Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, wie zum Beispiel Namen, Kon- taktdaten, Sozialversicherungsnummern, finanzielle Informationen und andere sensible Daten. Diese Daten können in den zu prüfenden Dokumenten enthalten sein, z. B. in Personalakten, Rechnungen von Lieferanten oder Verträgen. Die Verarbeitung personenbezogener Daten ist für Rechnungsprüfungsämter erforderlich, um ihre Aufgaben effektiv zu erfüllen. Sie ermöglicht es ihnen, die Rechtmäßigkeit, Genauigkeit und Zuverlässigkeit der finanziellen Transaktionen und Aufzeichnungen zu überprüfen. Durch den Zugriff auf personenbezogene Daten können potenzielle finanzielle Unregelmäßigkeiten oder Untreuefälle aufgedeckt werden. Allerdings ist es wichtig zu betonen, dass die Verarbeitung personenbezogener Daten durch ein Rechnungsprüfungsamt ebenso strengen rechtlichen und ethischen Standards unterliegen muss. Gemäß der DSGVO müssen die Grundsätze der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbe- grenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht beachtet werden. Die Da- ten müssen sicher und geschützt aufbewahrt werden, und der Zugriff darauf muss auf autori- sierte Personen beschränkt sein. Zusammenfassend lässt sich sagen, dass die Verarbeitung personenbezogener Daten nach der DSGVO für Rechnungsprüfungsämter unerlässlich ist, um ihre Aufgaben der Überprüfung von finanziellen Transaktionen und der Einhaltung von Vorschriften zu erfüllen. Es ist jedoch wichtig, dass diese Verarbeitung im Einklang mit den geltenden Datenschutzbestimmungen steht und der Schutz der Privatsphäre und der Rechte der Einzelpersonen gewährleistet wird. Die DSGVO schützt die Rechte betroffener Personen und regelt grund sätzlich die Verarbei- tung personenbezogener Daten. 2 In einem internen Arbeitspapier werden die Rechtsgrundlagen, der Umgang mit personenbe- zogenen Daten sowie die Informations- und Rechenschaftspflicht dargestellt und die besonde- re Rechtsstellung des Rechnungsprüfungsamtes erläutert. Hierbei wird insbesondere der Umgang mit digital unterstützen Massendatenauswertungen beleuchtet, da diese einen größeren und weitreichenderen Eingriff als die manuelle stichpro- benartige Prüfung darstellen. Dabei ist dem Re chnungsprüfungsamt eine hohe Transparenz gegenüber Politik und Verwal- tung wichtig. Daher sind das „Arbeitspapier Datenschutz in der Rechnungsprüfung“ und die „Dokumentation zur Datenauswertung“ als Anlage beigefügt. gez. Jülich
RPAu (2023-06-13)_Auszug aus der Niederschrift_TOP 6.1
1315 Zeichen
Geschäftsführung Rechnungsprüfungsausschuss Naiga Ngawanzu Telefon: (0221) 221 22928 Fax: (0221) 221 25501 E-Mail: naiga.ngawanzu@stadt- koeln.de Datum: 12.07.2023 Auszug aus der Niederschrift der Sitzung des Rechnungsprüfungsausschusses vom 13.06.2023 öffentlich 6.1 Mitteilung über die Verwendung von personenbezogenen Daten in der Rechnungsprüfung 1386/2023 Das Rechnungsprüfungsamt berücksichtige bei der Arbeit mit personenbezogenen Daten, laut Jörg Detjen, ein mit dem Datenschutzbeauftragten abgestimmtes „Arbeits- papier Datenschutz in der Rechnungsprüfung“. Hans Schwanitz hebt positiv hervor, dass die Verwendung von personenbezogenen Daten vom Rechnungsprüfungsamt systematisch beachtet wird. Er regt an die Vor- lage in den Digitalisierungsausschuss zu verweisen, um ein Beispiel zu geben, wie die Thematik gut aufgearbeitet und dargestellt sowie bei anderen Dienststellen eingefor- dert werden könnte. Jörg Detjen weist darauf hin, dass es sich um eine interne Arbeitsanweisung des Rechnungsamtes handelt. Als Hinweis des Rechnungsprüfungsausschusses wie Ar- beitsabläufe bezüglich Datenschutz und Digitalisierung gut verbunden werden kön- nen, wird die Vorlage in den Digitalisierungsausschuss verwiesen. Der Rechnungsprüfungsausschuss nimmt die Mitteilung zur Kenntnis.
Beratungsverlauf (2)
Beschluss: Kenntnis genommen
Zur SitzungBeschluss: Kenntnis genommen
Zur SitzungDetails
- Aktenzeichen
- 1386/2023
- Typ
- Mitteilung Ausschuss
- Datum
- 13.07.2023
- Erstellt
- 25.04.2023 12:26