3863/2023
Zweiter Bericht des behördlichen Datenschutzbeauftragten der Stadt Köln
KI-Zusammenfassung
Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.
KI-Analyse läuft...
vergangen
Was passiert gerade?
- 📄 Dokumente werden analysiert...
- 🤔 KI denkt nach (Reasoning-Modell)...
- ✍️ Zusammenfassung wird geschrieben...
- ⏳ Das dauert etwas länger bei komplexen Dokumenten...
Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.
Anlage_1_Zweiter Datenschutzbericht
56678 Zeichen
1 2. Datenschutzbericht für die Stadt Köln (Stand 09/2023) 2. Datenschutzbericht für die Stadt Köln Einleitung I. Entwicklung des Datenschutzes bei der Stadt Köln (seit 2017) 1. Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) 2. Erhebung des Qualitätsstands für die Stadt Köln 3. Datenschutzaudits in den städtischen Dienststellen 4. Aufgabenstruktur und Leistungsdaten des Datenschutzbeauftragten (I/1) II. Aufgabenwahrnehmung und Ressourcenbedarf im Bereich des behördlichen Datenschutzbeauftragten (Stabsstelle I/1) 1. Organisationsentwicklung 2. Aufgabenphilosophie 3. Ressourcenstand und -bedarf III. Entwicklung und Herausforderungen 1. Entwicklung des Datenschutzes bei der Stadt Köln 2. Digitalisierung 3. Datenschutzauditierung der Stadt Köln (extern) Fazit/ Ausblick 2. Datenschutzbericht für die Stadt Köln / 3 Einleitung Ein erster „Sachstandsbericht Datenschutz“ wurde erstellt und dem Stadtvorstand (heute Verwal- tungsvorstand) am 21.02.2017 zur Befassung und Kenntnisnahme vorgelegt (s. Session 0404/2017). Zielrichtung seinerzeit war es, den Ist-Zustand des Datenschutzes bei der Stadtverwaltung Köln unter anderem anhand der geregelten Organisationstruktur, der Verteilung der Verantwortlichkei- ten sowie einer Übersicht über den Aufgabenbestand darzustellen. Besonderes Augenmerk wurde dabei auf die Regelungen der ab Mai 2018 verbindlich anzuwendenden Datenschutzgrundverord- nung der Europäischen Union (DSGVO) und deren Auswirkungen auf die Stadtverwaltung Köln gelegt, verbunden mit einem Vorschlag zur operativen Umsetzung dieser neuen Regelungen. Nach dieser ersten Bestandsaufnahme incl. Ausblick aus dem Jahr 2017 folgt nunmehr der 2. Da- tenschutzbericht für die Stadt Köln, der Auskunft über den „Ist-Zustand“ der Datenschutzorganisa- tion gibt. Die Ausführungen des 2. Datenschutzberichtes knüpfen dabei im zeitlichen Ablauf an den vorbe- nannten Sachstandbericht an und beschreiben die Aufgabenentwicklung ab 2017 bis heute (s. Ziff. I), zeigen auf in welcher Art und Weise die Aufgaben des behördlichen Datenschutzbeauf- tragten quantitativ und qualitativ erledigt werden sowie welche Ressourcen hierfür notwendig sind (s. Ziff. II). Darüber hinaus geht der Bericht auf die bestehenden Herausforderungen, die sich für die städtischen Dienststellen und den Datenschutz aus den Digitalisierungsnotwendigkeiten als die entscheidende Zukunftsaufgabe ergeben, ein (s. Ziff. III). Damit richtet sich dieser Bericht, im Gegensatz zu den regelmäßig veröffentlichten Jahresberichten der Datenschutzaufsichtsbehörden, die sich ganz überwiegend auf fachinhaltliche (Einzel-) Fallge- staltungen und entsprechende datenschutzrechtliche Bewertungen sowie übertragbare Empfehlun- gen dieser in der Praxis durch Unternehmen und die öffentlichen Institutionen konzentriert, auf die organisatorischen Strukturen, die Qualität der Aufgabenwahrnehmung und die innovative Fortent- wicklung des Datenschutzes bei der Stadt Köln. An dieser Stelle wird auf die im Anlagenverzeichnis hinterlegten Anlagen 1 bis 9 aufmerksam ge- macht, auf die im Laufe des Berichtes verwiesen wird. Ebenfalls sind teilweise Links zu vorhande- nen Informationsquellen hinterlegt. 2. Datenschutzbericht für die Stadt Köln / 4 I. Entwicklung des Datenschutzes bei der Stadt Köln (seit 2017) 1. Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) Die Verwaltung hat im Jahr 2016 mit einem NRW- und bundesweit beachteten struktu- rierten Prozess die Umsetzung der seit Mai 2018 verbindlich anzuwendenden neuen Regelungen, die sich aus der DSGVO ergeben, durchgeführt. Auf der Grundlage eines inhaltlichen, durch den Datenschutzbeauftragten vorgegebe- nen Vorgehensmodells, das die relevanten datenschutzrechtlichen Tatbestände be- rücksichtigte, um die Anforderungen der DSGVO erfüllen zu können, wurden alle städ- tischen Dienststellen in den Umsetzungsprozess geführt. Zur Dokumentation der er- griffenen Umsetzungsmaßnahmen stand eine stadtintern entwickelte Datenbank zur Verfügung, die zum einen die einheitliche und vollständige Abwicklung gewährleistete und zum anderen ein kontinuierliches Controlling sicherstellte (Ablaufdarstellung s. Anlage 1). Begleitet wurde der Transformationsprozess durch eine interdisziplinäre Projekt- gruppe unter Leitung des Büros der Oberbürgermeisterin und sachinhaltlicher Feder- führung des Datenschutzbeauftragten. Beteiligt hierbei waren u. a. Vertreter*innen al- ler Fachdezernate und dezentrale Datenschutzkoordinatoren*innen (in deren operati- ven Umsetzungsverantwortung), 11 zur organisatorischen Begleitung sowie die Per- sonalvertretung (zur Organisation der Projektgruppe s. Anlage 2). Während des gesamten Umsetzungszeitraumes wurden die Beschäftigten und Füh- rungskräfte über Ablauf und Stand des Projektes mit allgemeinen Beiträgen und den veröffentlichten Protokollen der Projektgruppensitzungen informiert. Im Zeitraum bis einschließlich Mitte 2018 wurden insgesamt 10 Mitteilungen zum Thema in verschie- denen Fachausschüssen des Rates vorgelegt. Der Verwaltungsvorstand erhielt im Mai 2018 einen Sachstands- und schließlich im Dezember 2019 den Abschlussbericht zur Umsetzung der DSGVO bei der Stadt Köln (Session 1681/2018 bzw. 4102/2019). Hierbei wurde unter anderem darauf hingewiesen, dass die im Rahmen des Umset- zungsprozesses identifizierten, noch nicht durchgeführten datenschutzrechtlichen Zu- lässigkeitsverfahren zu IT-Fachanwendungen, Auftragsverarbeitungen und Videoüber- wachungen sukzessive unter Einbeziehung des Datenschutzbeauftragten durch die jeweils zuständigen Dienststellen nachzuholen sind. Darüber hinaus hat sich im Nachgang zur Transformation auf die DSGVO herausge- stellt, dass die im Vorgehensmodell obligatorisch vorgesehene Überprüfung der Um- setzung der Informationspflichten (nach Art. 13, 14 DSGVO) nicht umfassend in allen Fällen durch die Dienststellen erfolgt ist. Sukzessive fallen Verwaltungsprozesse auf, in denen zum Zeitpunkt der Erhebung der personenbezogenen Daten von Bürger*in- nen entweder keine oder fehlerhafte Informationen zum Datenschutz nach den vorbe- nannten Regelungen zur Verfügung gestellt werden. In Absprache mit dem Daten- schutzbeauftragten erfolgt dann die entsprechende Nachbesserung. Weitere Maßnah- men zur Abhilfe werden in den folgenden Ausführungen dargestellt. 2. Datenschutzbericht für die Stadt Köln / 5 Neben der operativen Umsetzung der Anforderungen der DSGVO in den städtischen Dienststellen ist die Erstellung des Datenschutzmanagementkonzeptes zur Erfüllung der Rechenschaftspflichten (nach Art. 5 Abs. 2 und 24 Abs. 1 DSGVO, s. hier) sowie der Dienstanweisung Datenschutz und Informationsfreiheit (s. hier) als operatives Re- gelwerk zur Umsetzung des Datenschutzes bei der Stadt Köln zu erwähnen. Beide für verantwortliche Stellen wie die Stadt Köln obligatorisch notwendigen Datenschutzdo- kumente wurden mit Beschluss des Verwaltungsvorstandes vom 11.12.2018 für alle städtischen Dienststellen und die dort Beschäftigten als verbindlich umzusetzen er- klärt (Session 3767/2018). Die Stadt Köln war zu diesem Zeitpunkt die erste Kommune, die NRW- und bundes- weit den Umstellungsprozess in dieser strukturierten Weise und mit den zur regelkon- formen Umsetzung erforderlichen vorbenannten Datenschutzdokumenten durchlaufen hat. Eine Vielzahl von Anfragen zur Darstellung des Etablierungsverfahrens sowohl von kommunalen Spitzenverbänden und interessenvertretenden Institutionen als auch aus anderen Bundesländern bzw. international war die Folge. Bei einer überörtlichen Prüfung der Gemeindeprüfungsanstalt zur Umsetzung der DSGVO in kreisfreien Städten des Landes NRW im Jahr 2019 hat die Stadt Köln dem- zufolge auch mit Bestbewertung abgeschnitten (s. hierzu auch VV-Vorlage Session 0332/2020). Fazit: Die Umsetzung der Regelungen der DSGVO bei der Stadt Köln konnte mittels der praktizierten Projektorganisation erfolgreich gestaltet werden – die für ein regelbasier- tes Handeln notwendigen innerstädtischen Vorgaben liegen mit dem Datenschutzma- nagementkonzept zur Erfüllung der Rechenschaftspflichten sowie der Dienstanwei- sung Datenschutz und Informationsfreiheit vor. Im Nachgang zum Umsetzungspro- zess anstehende bzw. auffallende und in einer großen Organisationsstruktur erfah- rungsgemäß nicht auszuschließende Versäumnisse (s. insbesondere die Informati- onspflichten) werden nachgebessert. 2. Erhebung des Qualitätsstands für die Stadt Köln Die Frage nach der Qualität, also der Gesamtheit von Merkmalen einer Einheit bezüg- lich ihrer Eignung, festgelegte und vorausgesetzte Erfordernisse zu erfüllen, lässt sich für den Datenschutz als regelbasierte Aufgabe, die sowohl für Behörden / Institutionen im öffentlichen als auch für Unternehmen im nicht-öffentlichen Sektor obligatorisch ist, anhand von Kriterien ermitteln, die sich ganz wesentlich aus der DSGVO ergeben. Bei diesen Kriterien handelt es sich um gesetzliche Anforderungen, die eine Behörde wie die Stadt Köln in jedem Fall erfüllen muss, um entsprechend der einschlägigen Complianceregelungen – also im wahrsten Sinne – datenschutzkonform aufgestellt zu sein und orientiert an diesen zu handeln. 2. Datenschutzbericht für die Stadt Köln / 6 Zur Feststellung der Qualität des Datenschutzes wurden in diesem Zusammenhang seitens des Beauftragten für den Datenschutz insgesamt 15 Kriterien definiert (s. An- lage 3), die bei Beantwortung der nachfolgenden Fragestellungen deutliche Anhalts- punkte geben, wie die Stadt Köln in Sachen Datenschutz strukturell aufgestellt ist und operativ durch ihre Beschäftigten gegenüber den Bürgern*innen handelt: a) Sind die gesetzlichen Anforderungen durch entsprechende technische, organi- satorische Maßnahmen (TOM) oder innerregulatorische Vorgaben bei der Stadt Köln gewährleistet? b) Sind die vorhandenen Vorgaben (TOM, städtische Regelungen) den Dienststel- len, also den Leitungskräften und Beschäftigten bekannt und werden von diesen umgesetzt? In einem ersten Schritt erfolgt die Beantwortung dieser Fragen durch den behördlichen Datenschutzbeauftragten und dessen Team. Die Bewertung der 15 Einzelkriterien er- folgt hierbei nach dem jeweiligen Erfüllungsgrad in Bezug auf die Fragestellung zwi- schen 0 (nicht erfüllt) und 100% (vollständig erfüllt). Als Mindesterfüllung ist ein Umset- zungsgrad von 80% definiert, Abweichungen unterhalb dieser Marke sind vorrangig zu analysieren und Nachbesserungen zu veranlassen. In einem zweiten Schritt soll die Befragung durch die in den Dienststellen eingesetzten dezentralen Datenschutzkoordinatoren*innen erfolgen, um hier ggf. unterschiedliche Einschätzungen erkennen und zusätzlichen Handlungsbedarf ableiten zu können. Nach der Corona-Krise sollen wieder, wie in der Vergangenheit bis 2019 praktiziert, regelmä- ßige Treffen der Datenschutzkoordinatoren*innen mit dem Team des Datenschutzbe- auftragten zum fachlichen Informationsaustausch stattfinden. In einem parallelen Schritt erfolgt die Einbeziehung der Leitungskräfte der Dienststellen im Wege flächendeckender Datenschutzaudits (s. Ziff. I.3). Als Ergebnis der Beantwortung der vorbenannten Fragen durch das Team des Daten- schutzbeauftragten ist Folgendes festzuhalten: Die notwendigen Regelungen zur Umsetzung der DSGVO (s. o. Frage zu a) sind sei- tens der Stadt Köln mit den zentralen Dokumenten, dem Datenschutzmanagementkon- zept sowie der Dienstanweisung Datenschutz und Informationsfreiheit, im Zielkorridor zwischen 80 und 100% Umsetzungsgrad getroffen (s. Anlage 4). Die Bewertung der Qualitätskriterien bezüglich der Bekanntheit und Beachtung seitens der Führungskräfte und Beschäftigten (s. o. Frage zu b) fällt zum Teil unter die Marke der Mindesterfüllung von 80% (s. Anlage 5). Die diesbezüglichen Einschätzungen sei- tens des Datenschutzbeauftragten gründet auf der Tatsache, dass die entsprechenden Regelungen zwar getroffen, aber das Wissen um diese in der Fläche der Stadtverwal- tungsstruktur noch nicht im notwendigen Umfang angekommen ist. 2. Datenschutzbericht für die Stadt Köln / 7 Im Einzelnen ist zu den Kriterien mit der Zielerreichung unter 80% Folgendes auszufüh- ren: Umsetzung der Informationspflichten (nach Art. 13, 14 DSGVO) Die bei der Erhebung personenbezogener Daten zur Verfügung zu stellenden Datenschutzinformationen waren bereits Prüfbestandteil im Rahmen der DSGVO-Transformation (s. Ziff. I.1), wobei bis heute in geringer werdendem Umfang Verwaltungsprozesse auffallen, bei denen keine oder eine fehlerhafte Information zur Verfügung gestellt wird. Die Regelungen im Datenschutzmanagementkonzept (s. dort Ziff. VII) und der Dienstanweisung Datenschutz und Informationsfreiheit (s. dort § 15) sowie der Intranet-Hinweis incl. Generator zur Erstellung entsprechender Formulare (s. hier) reichen offenbar nicht aus. Dies wird zum Anlass genommen, die Thematik bei der nächsten Runde der de- zentralen Datenschutzkoordinatoren*innen anzusprechen (im 4. Quartal 2023). Darüber hinaus erfolgt die Behandlung auch als Teil der Datenschutzaudits, die ab Mai diesen Jahres flächendeckend in den Dienststellen durchgeführt werden (s. Ziff. I.3). Datenübermittlung an andere öffentliche und nicht-öffentliche Stellen Aufgrund der sehr unterschiedlichen Fallkonstellationen zu inhaltlichen Übermitt- lungsanfragen und anfragenden Stellen wird es erfahrungsgemäß immer Unsi- cherheiten bei den zuständigen Beschäftigten und entsprechende Nachfragen beim Team des Datenschutzbeauftragten geben. In diesem Zusammenhang wird durch den Datenschutzbeauftragten auf die Re- gelung in der Dienstanweisung Datenschutz und Informationsfreiheit (s. dort § 12) sowie einen die Thematik im Sinne von Handlungshinweisen behandeln- den Informationsbeitrag im Intranet (s. hier) verwiesen. Nachfragen erfolgen re- gelmäßig hierzu auch in durch den Datenschutzbeauftragten durchgeführten all- gemeinen Informationsterminen auf Anfrage der Dienststellen oder die regelmä- ßig durch den Datenschutzbeauftragten angebotenen Informationsterminen für neue Führungskräfte (Beigeordnete und Amtsleitungen) und dezentralen Daten- schutzkoordinatoren*innen. Sicherstellung der Betroffenenrechte Die Regelungen hierzu ergeben sich aus dem Datenschutzmanagementkonzept (s. dort Ziff. VII) und der Dienstanweisung Datenschutz und Informationsfreiheit (s. dort §§ 14 sowie 28 und 29). Ergänzende Ausführungshinweise zu Aus- kunfts- und Informationspflichten z. B. nach dem Informationsfreiheitsgesetz NRW (s. hier und hier) befinden sich ebenfalls im Intranet-Auftritt des Daten- schutzbeauftragten. 2. Datenschutzbericht für die Stadt Köln / 8 Auch hier gibt es vielfach weitergehende Informationen durch das Team des Da- tenschutzbeauftragten in Informationsterminen bei den Dienststellen und der Vorstellung des Datenschutzbeauftragten bei neuen Führungskräften (Beigeord- nete und Amtsleitungen). Darüber hinaus soll die Thematik auch in der anvisier- ten nächsten Runde mit den dezentralen Datenschutzkoordinatoren*innen aus den Dienststellen angesprochen werden. Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnah- men Die Verpflichtung der Beschäftigten auf Verschwiegenheit und Datenschutz er- folgt immer zu Beginn des Anstellungsverhältnisses und stellt insoweit formal kein Problem dar. Die regelmäßige Schulung und Sensibilisierung der Kollegen*innen in den Dienststellen wurde in der Vergangenheit durch Fortbildungsangebote des Da- tenschutzbeauftragten umgesetzt, wobei die dort im Rahmen der bestehenden Ressourcen lediglich 3 bis 4 Halbtagesseminare jährlich den tatsächlichen Be- darf nicht decken konnten. Auf Initiative des Datenschutzbeauftragten (I/1) und des IT-Sicherheitsverant- wortlichen (12/1) hat das Personal- und Verwaltungsmanagement (11/ 111) als insoweit verantwortliche Stelle für die Fortbildung und Sensibilisierung der Be- schäftigten die Aufgabe übernommen, ein eLearning-Programm auszuschreiben und zu betreiben, mit dem alle Beschäftigten, die über einen IT-Arbeitsplatz ver- fügen, mindestens einmal jährlich zu den Themen Datenschutz und IT-Sicher- heit verbindlich informiert werden. Die Arbeitgeberin Stadt Köln kommt hiermit ihren Sensibilisierungspflichten nach (s. Art. 39 Abs. 1 lit. b DSGVO). Die sachinhaltlichen Aspekte für die dann vo- raussichtlich ab 2024 laufenden Schulungen werden von dem Datenschutzbe- auftragten und IT-Sicherheitsverantwortlichen zugeliefert. Für Beschäftigte ohne IT-Arbeitsplatz sind, orientiert am Risiko dort zu verarbei- tender personenbezogener Daten, andere Formen der Sensibilisierung zum Thema Datenschutz, z. B. durch entsprechende Informationsveranstaltungen, zu entwickeln. Fazit: Festzustellen ist, dass die Stadt Köln bezogen auf die zu treffenden notwendigen Bin- nenregelungen zum Datenschutz gut aufgestellt ist. Das Datenschutzmanagementkon- zept und die Dienstanweisung Datenschutz bilden hier das grundlegende Regelungs- werk für datenschutzkonformes Handeln der Verwaltung. 2. Datenschutzbericht für die Stadt Köln / 9 Noch ist Bedarf bei dem Vollzug der vorhandenen Datenschutzvorgaben gegeben. Ent- sprechende Informationslücken bei der Regelanwendung werden durch weiterhin ver- stärkte Aktivitäten aus dem Team des Datenschutzbeauftragten in Form von Informati- onsveranstaltungen bei den Dienststellen und im Kreis der dezentralen Datenschutzko- ordinatoren*innen sowie weiteren Ausführungshinweisen im Intranet geschlossen. Dar- über hinaus erfolgt eine Sensibilisierung der Führungskräfte im Rahmen der aktuell durchgeführten Datenschutzaudits in den Dienststellen (s. Ziff. I.3). Insgesamt ist festzuhalten, dass die Stadt Köln mit dieser Aufstellung im interkommuna- len Vergleich weiterhin einen Spitzenplatz in Sachen Datenschutz einnimmt. Dies aus- weislich auch mit Blick auf die Vielzahl der Anfragen zu konkretem Vorgehen aus der kommunalen Familie, anderen Akteuren wie dem Fraunhofer Institut oder der Universi- tät Tilburg sowie Seminar-/ Vortragstätigkeiten des Datenschutzbeauftragten z. B. bei der Europäischen Akademie für Steuern, Wirtschaft & Recht in Berlin oder Anfragen zu gemeinsamen Veranstaltungen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). 3. Datenschutzaudits in den städtischen Dienststellen Zu den Aufgaben des behördlichen Datenschutzbeauftragten gehört, neben der laufen- den Beratung der Oberbürgermeisterin, aller städtischen Dienststellen und Beschäftig- ten zu Fragen des Datenschutzes, explizit auch, die Einhaltung der Datenschutzvor- schriften zu überwachen (s. Art. 39 Abs. 1 lit. b DSGVO). Die Funktion der Kontrollen und Wirksamkeitsprüfungen ist in der Umsetzung der vorgenannten Vorschrift im Da- tenschutzmanagementkonzept der Stadt Köln geregelt (s. dort Ziff. XI, s. hier). Neben prozessabhängigen Kontrollen insbesondere im Rahmen datenschutzrechtlicher Zulässigkeitsverfahren z. B. bei der Einführung neuer IT-Fachverfahren oder Maßnah- men der Videoüberwachung (hier in Form der Konsultation des Datenschutzbeauftrag- ten) sind in regelmäßigen Abständen prozessunabhängige Prüfungen zur Umsetzung des Datenschutzes, also der Einhaltung von entsprechenden Regelungen und Stan- dards, bei den Dienststellen durchzuführen (Datenschutzaudit). Das Audit ist im Sinne eines Qualitätsmanagements darauf angelegt, in einem ersten Schritt die Leitungskräfte (Führungsebene I, also Amts- und Abteilungsleitungen) noch- mals über die vorhandenen Regelungen zum Datenschutz bei der Stadt Köln zu infor- mieren und gleichzeitig die Gelegenheit zu geben, die Situation in der eigenen Dienst- stelle zu bewerten. Ziel ist es hierbei, die Dienststellen zum Thema Datenschutz weiter zu sensibilisieren, mögliche Schwierigkeiten bei der Umsetzung zu identifizieren und so Verstöße, z. B. in der Form von Datenschutzverletzungen, zu vermeiden. Die Umfrage mit rund 20 Fragen zum Wissen und zur Aufstellung bezüglich des Daten- schutzes in der Dienststelle basieren auf den Regelungen des Datenschutzmanage- mentkonzeptes sowie der Dienstanweisung Datenschutz und Informationsfreiheit. Die Beantwortung der Fragen erfolgt über eine Onlineanwendung. Auf der Grundlage der Antworten erfolgt dann ein Auswertungsgespräch mit der zuständigen Amtsleitung durch den Datenschutzbeauftragten. Im Anschluss wird abhängig vom Ergebnis und dem Wunsch der Amtsleitung ein Informationstermin rund um das Thema Datenschutz für die gesamte Führungsebene der Dienststelle, z. B. im Rahmen einer Amtsleitungs- runde angeboten, in dessen Verlauf auch aktuelle datenschutzrechtliche Fragen und Themen angesprochen werden können. 2. Datenschutzbericht für die Stadt Köln / 10 Die flächendeckende Durchführung von Datenschutzaudits in der beschriebenen Form ist durch den Verwaltungsvorstand am 18.04.23 beraten und zur Kenntnis genommen worden, wobei alle Dienststellen um konstruktive Mitarbeit gebeten wurden (s. Session 0561/2023). Die Abwicklung der Audits soll voraussichtlich 18 Monate in Anspruch nehmen. Im An- schluss wird der Datenschutzbeauftragte dem Verwaltungsvorstand einen Auswer- tungsbericht zu dem Gesamtergebnis der Umfrage vorlegen. Nach Durchlauf aller Dienststellen mit der Sensibilisierung der Führungsebene ist in ei- nem zweiten Schritt die Konzipierung eines Datenschutzaudits für die Ebene der Be- schäftigten vorgesehen, um auch hier in der Fläche die weitere Sensibilisierung zu da- tenschutzrechtlichen Themen voranzutreiben. Fazit: Das Datenschutzaudit in dieser Form führt zu einer Sensibilisierung der Dienststellen- leitungen und Verbesserung der Aufgabenqualität durch Vermeidung von Datenschutz- verstößen. Gleichzeitig wird gewährleistet, dass der Datenschutzbeauftragte, neben seinem Beratungsauftrag, mit den prozessunabhängigen Prüfungen auch den obligato- rischen Kontrollaufgaben nach der DSGVO nachkommen kann. Bei den Datenschutzaudits innerhalb der Stadtverwaltung Köln handelt es sich in der vorliegenden Form sowohl NRW- als auch bundesweit um die erstmalige strukturierte Umsetzung der Kontroll- und Überwachungsaufgaben auf kommunaler Ebene. 4. Aufgabenstruktur und Leistungsdaten des Datenschutzbeauftragten (I/1) Dem behördlichen Datenschutzbeauftragten obliegt die Beratung und Überwachung der Dienststellen und Beschäftigten der im datenschutzrechtlichen Sinne verantwortlichen Stelle Stadt Köln (vgl. Art. 39 Abs. 1 DSGVO). Der Datenschutzbeauftragte übernimmt hier eine Wächterfunktion in der Form als Be- schützer- und Überwachungsgarant (vgl. Art. 39 Abs. 2 DSGVO). In dieser Funktion ist der / die bestellte Stelleninhaber*in weisungsfrei und organisatorisch an die oberste Managementebene anzubinden (vgl. Art. 38 Abs. 3 DSGVO). Die operative Verantwortung für den Datenschutz bei der Stadt Köln obliegt der / dem Hauptverwaltungsbeamten*in (Oberbürgermeister*in) sowie den Leitungen der Dienst- stellen. Das beigefügte Schaubild (s. Anlage 6) veranschaulicht die Umsetzung dieser Regelun- gen bei der Stadt Köln. Die verantwortliche Stelle (Stadt Köln) stellt auf dieser Grundlage dem Datenschutzbe- auftragten die für die Erfüllung der Aufgaben erforderlichen Ressourcen zur Verfügung (vgl. Art. 38 Abs. 2 DSGVO). 2. Datenschutzbericht für die Stadt Köln / 11 Auf der Grundlage der dem Datenschutzbeauftragten gesetzlich übertragenen Aufga- ben und dem für die Stadt Köln zugrundeliegenden Regelwerk (Datenschutzmanage- mentkonzept und Dienstanweisung Datenschutz und Informationsfreiheit) ist die Vertei- lung zu einzelnen operativen Aufgabenfeldern der beigefügten Anlage 7 zu entnehmen. Diese Verteilung beruht auf der qualifizierten Einschätzung des Datenschutzbeauftrag- ten und des Stellvertreters (aus 05/2021) und soll einen Überblick über die quantitative Aufgabenstruktur im Aufgabengebiet des behördlichen Datenschutzbeauftragten bieten. Die vorhandenen Prozentzahlen zeigen die Verteilung der vorhandenen Arbeitszeit auf der Grundlage von insgesamt seinerzeit vorhandenen zwei Vollzeitstellen auf. Zu den dargestellten Aufgabenfeldern ist erläuternd Folgendes auszuführen: a) Datenschutzrechtliche Zulässigkeitsprozesse (30%) Einleitend ist festzustellen, dass grundsätzlich jeder Prozess der Verarbeitung personenbezogener Daten in einer Dienststelle mittels eines sog. Verarbei- tungsverzeichnisses zu dokumentieren ist. Dieses zwingende Erfordernis und die obligatorischen Inhalte des Verarbeitungsverzeichnisses ergeben sich aus den Regelungen des Art. 30 DSGVO. Die operative Umsetzung spiegelt sich wieder in den Festlegungen des Datenschutzmanagementkonzeptes sowie der Dienstanweisung Datenschutz und Informationsfreiheit (s. dort §§ 19 bis 21). Gegenstand von entsprechenden Zulässigkeitsprozessen sind IT-Fachanwen- dungen bzw. Online-Verfahren – hier z. B. das digitale Baugenehmigungsver- fahren –, die in einem geregelten und strukturierten Verfahren auf der Grund- lage einer Gefährdungsabschätzung zur Sensibilität der personenbezogenen Daten (Datenklassifizierung) auf ihre Vereinbarkeit mit den datenschutzrechtli- chen Regelungen bewertet und eingerichtet sowie abschließend in einem ent- sprechenden Verarbeitungsverzeichnis dokumentiert werden. Diese datenschutzrechtliche Zulässigkeitsprüfung ist elementarer Bestandteil des sog. Inbetriebnahmeprozesses für IT-Fachanwendungen bei 12 (Change- prozess). Anwendungen, die besonders sensible personenbezogene Daten ver- arbeiten, z. B. Gesundheitsdaten oder biometrische Personeninformationen, werden im Wege einer sog. Datenschutzfolgenabschätzung geprüft (s. Art. 35 DSGVO). Für diese Verfahren ist die Konsultation des Datenschutzbeauftragten obligatorisch. Weitere Zulässigkeitsprozesse sind geregelt für Auftragsverarbeitungen (ex- terne Dienstleister verarbeiten im Auftrag einer Dienststelle deren personenbe- zogene Daten, z. B. Scandienstleister, Beratungsportale, Online-Dienstleister etc.), den Betrieb von Videokameras sowie allgemeine Verwaltungsprozesse, die nicht unter die vorbenannten Kategorien fallen. Auch diese Maßnahmen werden regelkonform in entsprechenden Verarbeitungsverzeichnissen doku- mentiert. Die Zulässigkeitsprozesse werden zu den sog. prozessabhängigen Überwa- chungsaufgaben des Datenschutzbeauftragten gezählt, da zumindest bei den Datenschutzfolgenabschätzungen die Einbindung des Datenschutzbeauftragten obligatorisch ist und die Einhaltung der Datenschutzregelungen auf diese Weise gewährleistet werden kann. 2. Datenschutzbericht für die Stadt Köln / 12 Folgende Leistungsdaten in diesem Zusammenhang liegen für den Zeitraum 2019 bis einschließlich 06/2023 vor: Kategorie Fallzahlen Bemerkung Risikobewertungen mit Daten- klassifizierungsbögen (DKB) (* Die Risikobewertung in Schutzstufen be- deutet in aufsteigender Reihenfolge, dass immer sensiblere personenbezogenen Da- ten verarbeitet werden; Schutzstufe „0“ be- deutet als qualitative Bewertung, dass keine personenbezogenen Daten verarbeitet wer- den) 600 davon nach Schutz- stufen*: „0“: 118 „A/B“: 235 „C“: 126 „D“: 121 IT-Fachanwendungen (schlussgezeichnet) 45 Auftragsverarbeitungen nach Art. 28 DSGVO (schlussgezeichnet) 52 Videoüberwachungen nach § 20 DSG NRW (schlussgezeichnet) 8 Allgemeine Verarbeitungsver- zeichnisse (schlussgezeichnet) 32 b) Überwachungsaufgaben (20%) Hierbei handelt es sich um Tätigkeiten, die dem Bereich der prozessunabhängi- gen Überwachungstätigkeiten des Datenschutzbeauftragten zuzuordnen sind. Es handelt sich um Fallkonstellationen außerhalb der geregelten Zulässigkeits- prozesse, die regelmäßig datenschutzrechtliche Einzelfälle aus den Dienststel- len betreffen. Hierunter zählt die Einbindung des Datenschutzbeauftragten in die Prüfung von Datenschutzverletzungen (nach Art. 4 Ziff. 12 und 33 DSGVO) sowie Maßnahmen bei der Ausübung der Überwachungs- und Kontrollaufgaben durch die Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI NRW) als Aufsichtsbehörde. Diese weist hierbei regelmäßig darauf hin, den be- hördlichen Datenschutzbeauftragten einzubeziehen. 2. Datenschutzbericht für die Stadt Köln / 13 Folgende Leistungsdaten in diesem Zusammenhang liegen für den Zeitraum 2019 bis einschließlich 06/2023 vor: Kategorie Anzahl Prüffälle Prüfung von Datenschutzverletzungen (nach Art. 33 DSGVO) gesamt: 109 davon meldepflich- tig ggü. der LDI NRW: 38 (= 35%) Maßnahmen i. d. R. Untersuchungs-/ Auf- sichtsbefugnisse der LDI NRW (nach Art. 27, 58, 60 DSGVO) gesamt: 47 Zu den Überwachungsaufgaben des behördlichen Datenschutzbeauftragten zählen darüber hinaus auch die Datenschutzaudits für die städtischen Dienst- stellen (s. Ziff. I.3), die sowohl als Kontroll- und Wirksamkeitsprüfungen als gleichzeitig auch im Sinne eines Qualitätsmanagements durchgeführt werden. c) Beratung städtischer Dienststellen (30%) Hierbei handelt es sich um Anfragen der Dienststellen bzw. von dort Beschäftig- ten zu datenschutzrechtlichen Fragen im Rahmen der jeweiligen Aufgabenerle- digung. Diese kommen beim Datenschutzbeauftragten sowohl telefonisch als auch per Mail an. Statistische Aufzeichnungen hierzu liegen derzeit nicht vor, sollen aber in Zu- kunft in einem Erfassungssystem quantifiziert werden. d) Eingaben der Bürger*innen (5%) Bürger und Bürgerinnen haben im Rahmen der Verarbeitung ihrer personenbe- zogenen Daten das Recht, sich unmittelbar an den Datenschutzbeauftragten der Behörde zu wenden. Eingaben werden dabei sowohl in telefonischer als auch in Form von Mails an den behördlichen Datenschutzbeauftragten gerich- tet. 2. Datenschutzbericht für die Stadt Köln / 14 Folgende Leistungsdaten in diesem Zusammenhang liegen für den Zeitraum 2019 bis einschließlich 06/2023 vor: Kategorie 2019 2020 2021 2022 2023 (bis 06) Eingaben (Beschwerden und Hinweise) von extern 127 173 183 116 41 Eingaben (Beschwerden und Hinweise) stadt-intern 21 10 14 11 6 Qualifizierte Antworten wegen Unzuständigkeit 33 50 28 5 8 e) Durchführung von Beschäftigtenschulungen (5%) Neben den konkreten Überlegungen zur Einführung von regelmäßigen Online- schulungen der Beschäftigten mit IT-Arbeitsplätzen für die Bereiche Daten- schutz und IT-Sicherheit finden Präsenzschulungen zum allgemeinen Daten- schutz sowie für den fachspezifischen Sozialdatenschutz statt. Folgende Leistungsdaten in diesem Zusammenhang liegen für den Zeitraum 2019 bis einschließlich 06/2023 vor: Kategorie 2019 2020 2021 2022 2023 (06) Allgemeine Datenschutz- schulungen 3 4 6 1 0 Sozialdatenschutzschu- lungen 2 1 1 1 2 Fazit: Die beschriebene Aufgabenstruktur soll das Tätigkeitsspektrum des Datenschutzbeauf- tragten, nämlich dessen gesetzlich geregelten Beratungs- und Überwachungsauftrag für die Stadtverwaltung, nachvollziehbar darlegen und Transparenz herstellen. Die quantitativen Fallzahlen vermitteln hierbei einen umfassenden Eindruck über die ge- leistete Arbeit in diesem Zusammenhang. 2. Datenschutzbericht für die Stadt Köln / 15 Die Steuerungsfähigkeit für diese Aufgaben ist seitens des Datenschutzbeauftragten eingeschränkt: Welche und wie viele IT-Fachanwendungen oder Maßnahmen zur Auf- tragsverarbeitung in die Zulässigkeitsprozesse eingehen (s. Ziff. 4a) hängt ausschließ- lich von den zuständigen Dienststellen ab. Die Einbindung des Datenschutzbeauftrag- ten bei Überwachungs- und Kontrollaufgaben der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI NRW) ist ebenfalls seitens I/1 nicht zu beeinflussen, da diese auf Beschwerden der Bürger*innen zurückgeht. Gleiches gilt für die Bewertung von Datenschutzverletzungen durch die städtischen Dienststellen und Beschäftigten sowie den Datenschutzbeauftragten. Hierbei ist zu dem Ergebnis festzustellen, dass allein die Tatsache der strukturierten Prüfung, Fest- stellung und ggf. Meldung von Datenschutzverletzungen an die LDI NRW ein wichtiges Merkmal für die Qualität des gestalteten Datenschutzes bei der Stadt Köln ist. Jedes so aufgefallene und in einer Großorganisation wie der Stadt Köln nicht zu 100% zu verhin- dernde Fehlverhalten, führt in der Konsequenz dazu, das die Sensibilität für ein daten- schutzkonformes Verhalten zumindest im Nahumfeld der betroffenen Kollegen*innen bzw. der Organisationseinheit wächst, ggf. auch bei übergreifenden oder wiederkeh- renden Problemen z. B. zu einem Informationsartikel des Datenschutzbeauftragten im Intranet führt (s. Informations-Beiträge auf der Intranet-Seite des Datenschutzbeauf- tragten hier). II. Aufgabenwahrnehmung und Ressourcenbedarf im Bereich des behördlichen Daten- schutzbeauftragten (Stabsstelle I/1) 1. Organisationsentwicklung Nach Etablierung des informationellen Selbstbestimmungsrechtes als Grundrecht auf der Basis des Bundesverfassungsgerichtsurteils zur Volkszählung im Jahr 1983 wurde bei der Stadt Köln im Zuge der Einführung des Datenschutzgesetzes für Nordrhein- Westfalen (DSG NRW) im Jahr 2001 erstmals die Funktion des Datenschutzbeauftrag- ten eingerichtet. Im Jahr 2018 erfolgte die Zusetzung einer Vollzeitstelle als stellvertre- tender Datenschutzbeauftragter. Die Anbindung des behördlichen Datenschutzbeauftragten erfolgte bis 06/2019 unmit- telbar im Dezernatsbereich des*der Oberbürgermeisters*in. Seit 09/2021 ist das Team des Datenschutzbeauftragten als Stabsstelle I/1 im Dezernatsgeschäftsbereich der Stadtdirektorin angesiedelt. Beide Anbindungsvarianten entsprechen der gesetzlichen Anforderung, den Daten- schutzbeauftragten an der „obersten Managementebene“ anzugliedern und gewähr- leisten dadurch dessen weisungsfreie Aufgabenwahrnehmung sowie die notwendige unmittelbare Berichtslinie innerhalb der Verwaltung bis zur Oberbürgermeisterin (vgl. Art. 38 Abs. 3 DSGVO). 2. Datenschutzbericht für die Stadt Köln / 16 Koordiniert durch den Europäischen Datenschutzausschuss (EDSA) haben die europä- ischen Datenschutzbehörden in 2023 mit einer koordinierten Prüfung zu Stellung und Aufgaben von Datenschutzbeauftragten begonnen. An der gemeinsamen europawei- ten Prüfaktion beteiligen sich auch die deutschen Datenschutzbehörden. Im Rahmen der Prüfung sollen die Datenschutzbehörden insbesondere feststellen, ob die Daten- schutzbeauftragten in ihren Organisationen gemäß der DSGVO die gesetzlich gefor- derte Stellung haben und über die notwendigen Ressourcen zur Erfüllung ihrer Aufga- ben verfügen. Hierzu sollen die Datenschutzbeauftragten zunächst Fragebögen erhal- ten. Auf Grundlage der Antworten sollen ggf. weitere förmliche behördliche Untersu- chungen eingeleitet werden. In Deutschland hat zunächst das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) für den nicht-öffentlichen Sektor, also marktwirtschaftliche Unternehmen, mit der Prüfung zur jeweiligen Ausgestaltung des Datenschutzes begonnen. Eine Ausdeh- nung auf die öffentlichen Institutionen durch Prüfung aller bundesdeutschen Aufsichts- behörden und des Bundesdatenschutzbeauftragten ist hierbei nur eine Frage der Zeit. Für eine solche Prüfung ist die Stadt Köln bei der vorliegenden Organisationsstruktur gut aufgestellt. 2. Aufgabenphilosophie Auf der Grundlage des Beratungs- und Überwachungsauftrages für die Stadtverwal- tung verfolgt das Team des Datenschutzbeauftragten die Strategie eines offen zugäng- lichen, rechtssicheren sowie disziplinübergreifenden und gleichzeitig jederzeit pragma- tisch und lösungsorientierten Datenschutzes bei der Stadt Köln. Offen zugänglich bedeutet hierbei eine jederzeitige Bereitschaft mit Bürger*innen oder den städtischen Dienststellen / Beschäftigten über deren Fragen, Anregungen oder Be- schwerden zu reden und hierbei rechtssichere Auskünfte, Bewertungen und Hand- lungshinweise zu geben. Die Kontaktdaten des Datenschutzbeauftragten und seines Teams sind sowohl extern als auch stadt-intern veröffentlicht und erreichbar. Rechtssicherheit in Sachen Datenschutz wohnt der Aufgabenwahrnehmung immanent inne. Die Kollegen*innen im Team des Datenschutzbeauftragten werden intern fundiert eingearbeitet, mit entsprechenden fachbezogenen Zertifizierungsschulungen weiter qualifiziert und erhalten regelmäßige Fortbildungen. Die Beratung durch das Team des Datenschutzbeauftragten macht an den themati- schen Grenzen des Datenschutzes nicht halt, sondern bewertet ganzheitlich und inter- disziplinär, also „über den Tellerrand hinaus“, zu anstehenden Maßnahmen mit Daten- schutzrelevanz. Erkannte Einflüsse auf andere Aufgaben- und Zuständigkeitsbereiche werden beschrieben, z. B. werden erkannte Beteiligungstatbestände anderer Dienst- stellen oder der Personalvertretung aufgezeigt. Neben der rechtssicheren Beratung ist dem Team des Datenschutzbeauftragten die pragmatische und lösungsorientierte Aufgabenwahrnehmung wichtig. Zu Themenstel- lungen, die sich innerhalb der rechtlichen Leitplanken des Datenschutzes bewegen, wurden und werden Wege zur Realisierung ausgelotet und regelmäßig gefunden. 2. Datenschutzbericht für die Stadt Köln / 17 Das beigefügte Schaubild (s. Anlage 8) veranschaulicht die beschriebene Art und Weise der Aufgabenerledigung des behördlichen Datenschutzbeauftragten gegenüber den Dienststellen sowie der Datenschutzaufsichtsbehörde (LDI NRW) gegenüber der Stadt Köln. Sowohl der Datenschutzbeauftragte als auch die Aufsichtsbehörde handeln hierbei im Rahmen des übertragenen Beratungs- und Überwachungsauftrages. 3. Ressourcenstand und -bedarf Das Dezernat Allgemeine Verwaltung und Ordnung und der behördliche Datenschutz- beauftragte (I/1) sind regelmäßig im Dialog bezüglich angezeigter organisatorischer Optimierungen. Die Organisatorischen Anforderungen sind durch nachfolgende Punkte geprägt: a. Laufende Zulässigkeitsprozesse Derzeit befinden sich Zulässigkeitsverfahren als laufende Maßnahmen in der Prüfung. Hierbei handelt es sich wesentlich um die bekannten Maßnahmen für IT-Fachanwendungen, Auftragsverarbeitungen (nach Art. 28 DSGVO) sowie Videoüberwachungen. Eine Übersicht hierzu liegt nicht vor, da die Maßnahmen regelmäßig erst doku- mentiert werden, wenn die Schlusszeichnung der Datenschutzdokumente durch die zuständigen Amtsleitungen erfolgt ist. Geschätzt werden sich hier rd. 100 bis 150 Maßnahmen im laufenden Prüfprozess befinden. b. Digitalisierungsanforderungen nach dem Onlinezugangsgesetz (OZG) Das „Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen“ (OZG) (Erlass vom 14.08.2017, Inkrafttreten am 18.08.2017) verpflichtet Bund und Länder ihre Verwaltungsleistungen bis Ende 2022 elektronisch über Ver- waltungsportale anzubieten. Dabei wurden mehr als 6.000 Verwaltungsleistun- gen zu 575 OZG-Leistungsbündeln zusammengefasst, von denen für 115 die Regelungs- und Vollzugskompetenz beim Bund liegt und bei weiteren 90 Leis- tungen Länder und Kommunen zuständig sind. Bei 370 Leistungsbündeln liegt die Regelungskompetenz zwar beim Bund, der Vollzug aber bei den Ländern und Kommunen. Diese Zahlen verdeutlichen, dass die Digitalisierung der Ver- waltung der ebenenübergreifenden Zusammenarbeit von Bund, den 16 Bundes- ländern und den 11.000 Kommunen bedarf. Die Stadt Köln hat entsprechend konsequenterweise im November 2018 das Digitalisierungsprogramm 2019 - 2022 mit dem Schwerpunkt „Dienstleistungen für Bürger*innen und Unternehmen“ nach umfangreichen verwaltungsinternen Abstimmungen mit vier Teilprogrammen („Soziales und Familie“, „Bürgerdienste der Zukunft“, „Bürokratieabbau für Unternehmen“ und „Stärkung der Arbeitge- bermarke“ aufgesetzt, die datenschutzrechtliche Relevanz haben, da mit diesen personenbezogene Daten verarbeitet werden. Bei der Umsetzung der Digitalisierungsprojekte wurde seitens der Stabsstelle Digitalisierung von Anfang an großer Wert auf eine durchgängige Digitalisierung der Verwaltungsprozesse gelegt. Eine reine Bereitstellung digitaler Antragsfor- mulare ohne die erforderlichen Schnittstellen zur weiteren digitalen Bearbeitung 2. Datenschutzbericht für die Stadt Köln / 18 in Fachverfahren war aus strategischer Sicht nicht zielführend. In den Jahren 2019-2022 wurden trotz Pandemie und Krisenmanagement 105 Projekte erfolg- reich umgesetzt. 50 weitere Projekte werden in 2023 abgeschlossen und 14 Projekte sind in der Umsetzung für 2024 und die Folgejahre. Das Digitalisie- rungsprogramm umfasst dabei nicht nur Projekte unterschiedlicher Laufzeit und Komplexität, sondern wird auch kontinuierlich erweitert. Es umfasst u. a. Pro- jekte, die auch neue gesetzliche Anforderungen wie zum Beispiel die „Einfüh- rung der eID-Karte für Unionsbürger*innen“ oder den „Führerscheinpflichtum- tausch“ abbilden. Weitere datenschutzrelevante Digitalisierungsprojekte sind nach Aussage der Stabsstelle Digitalisierung u. a.: Maßnahmen und Projekte im Bereich „Digitale Bildung“ Digitalisierungsprojekte in den Bereichen, Gesundheit (Digitalisierung der Basiskomponenten für den Gesundheitsbereich), Kultur oder Mobili- tät und Maßnahmen aus dem interkommunalen Projekt „EfA“, nämlich die Über- nahme von Digitalisierungslösungen anderer Kommunen („Einer-für- Alle“) Insbesondere im Bereich der „Einer-für-alle“ („EfA“-) Projekte zeigt die gemein- same Erfahrung der Stabsstelle Digitalisierung und des Datenschutzbeauftrag- ten, dass zwar technische Lösungen für die Digitalisierung von Verwaltungspro- zessen durch Best-Practice-Beispiele angeboten werden, diese regelmäßig aber nicht durch die notwendigen Datenschutzfolgenabschätzungen abgesi- chert werden. Auch sind solche Projekte immer wieder durch die qualitativ an- spruchsvolle Verschachtelung von verschiedenen datenschutzrechtlichen Maß- nahmen, z. B. als IT- oder Online-Anwendung unter gleichzeitiger Beauftragung externer Dienstleister für bestimmte Teildienstleistungen (Auftragsverarbeitung) gekennzeichnet. Seitens der Stabsstelle Digitalisierung wird im Rahmen der weiteren Fortfüh- rung des Digitalisierungsprogramms signalisiert, dass zu den bisher bestehen- den Maßnahmen eine weitere Anzahl – derzeit noch nicht quantifizierbarer – Projekte hinzukommen. Insgesamt ergibt sich die Notwendigkeit die anstehenden Projekte für die Stadt Köln datenschutzrechtlich abzusichern, indem die vorgeschriebenen Zulässig- keitsprozesse nach der Dienstanweisung Datenschutz und Informationsfreiheit – unter Einbindung des Amts für Informationsverarbeitung (12)– und Beteiligung des Datenschutzbeauftragten bei Maßnahmen ab der Schutzstufe „C“ (als Da- tenschutzfolgenabschätzungen) durchzuführen sind. Hierbei wird nicht nur den obligatorischen Regelungen zum Datenschutz Rech- nung getragen, sondern den Bürger*innen auch seitens der Stadt Köln authen- tisch signalisiert, dass die städtischen Dienstleistungen datenschutzkonform etabliert wurden. Anders sind die zu erzielenden Annahmequoten der städti- schen IT-Angebote nicht erreichbar, da insbesondere der digitalskeptische An- teil der Bevölkerung diese ggf. nicht im erforderlichen Umfang nutzen wird. 2. Datenschutzbericht für die Stadt Köln / 19 Im Abschlussbericht der „Transparenzkommission zum weiteren Bürokratieab- bau und zur Standard-Überprüfung“ im Auftrag der Landesregierung NRW wird im Nov. 2021 zur Umsetzungsperspektive festgestellt, dass eine vollständige Digitalisierung des öffentlichen Bereiches in NRW noch 15 Jahre dauern wird. Auch hieran lässt sich der Umfang der Aufgabe, mit den damit in den Kommu- nen anfallenden digitalen Transformationsaufwänden, abschätzen. c. Datenschutzaudits für die städtischen Dienststellen (Durchführung wurde bereits durch den Verwaltungsvorstand beschlossen, s. Ziff. I.3) III. Entwicklung und Herausforderungen 1. Entwicklung des Datenschutzes Die Entwicklung des Datenschutzes bei der Stadt Köln unter Berücksichtigung u. a. der Einführung der DSGVO und der anstehenden Digitalisierungsanforderungen sowie des wachsenden Beratungsbedarfes durch die Bürger*innen, die Dienststellen und städti- schen Beschäftigten ist der schematischen Darstellung in der Anlage 9 zu entnehmen. Nach Entwicklung des Datenschutzschutzes als bürgerlicher Rechtsanspruch mit Ver- ankerung im Grundgesetz durch das Bundesverfassungsgericht im Jahr 1983 im Rah- men des sogenannten Volkzählungsurteils hat sich der Beratungsbedarf innerhalb der Stadtverwaltung und auch das Bewusstsein der Bürger*innen bezüglich ihrer Rechte erst langsam und stufenweise entwickelt. Die Einflussmöglichkeiten des behördlichen Datenschutzbeauftragten, Impulse zur Umsetzung datenschutzrechtlicher Vorgaben in die Verwaltung zu geben, haben sich erst spürbar mit der Einführung des Landesda- tenschutzgesetzes NRW (DSG NRW) im Jahr 2001 ergeben. Deutlich erkennbar ist eine nochmals signifikant anwachsende Sensibilität seit Erlass bzw. finaler Anwendbarkeit der DSGVO (in 2016 bzw. 2018) sowohl bei den Kolle- gen*innen, sich datenschutzkonform zu verhalten, als auch bei den Bürger*innen, die ihre Rechte aus der DSGVO kennen und vermehrt ausüben. Auf der Basis der regelba- sierten Ordnung (extern: insbesondere DSGVO und DSG NRW – stadtintern: Daten- schutzmanagementkonzept und Dienstanweisung Datenschutz und Informationsfrei- heit) waren auch wachsend Impulse des Datenschutzbeauftragten in die Verwaltung hinein notwendig, mit dem Ziel, die Aufgabenwahrnehmung der städtischen Dienststel- len und Beschäftigten für die Bürger*innen datenschutzkonform zu gestalten und Re- gelverstöße zu vermeiden. Die Ausführungen zur Aufgabenstruktur und den Leistungs- daten des Datenschutzbeauftragten unter Ziff. I.4 beschreiben die Art und Weise dieser operativen Impulsarbeit. Die laufende digitale Transformation stellt hierbei die Verwaltung und das Team des Datenschutzbeauftragten vor weitere erhebliche quantitative und qualitative Herausfor- derungen (s. Ziff. III.2). 2. Datenschutzbericht für die Stadt Köln / 20 2. Digitalisierung Die Transformation der bestehenden Verwaltungsprozesse in eine möglichst weitest- gehend digitalisierte Form ist die vordringlichste Aufgabe unserer Zeit. Alle Beteiligten an diesem, die Verwaltungen elementar verändernden Prozess, sind hierbei gefordert sich mit ihren Kompetenzen und Ressourcen einzubringen: Dez. IX und die Stabsstelle Digitalisierung verwaltungspolitisch und koordinie- rend, das Amt für Informationsverarbeitung (12) in beratender/ realisierender Funk- tion sowie bei der operativen Durchführung der Vorhaben und als zentraler IT- Dienstleister der Stadt Köln, der/ die IT-Sicherheitsverantwortliche (12/1), die Dienststellen in operativ-inhaltlicher Aufgabenverantwortung und der/ die behördliche Datenschutzbeauftragte (I/1) zum Schutz der personenbe- zogenen Daten der Bürger*innen sowie der Beschäftigten. Substanzieller Datenschutz ist hierbei von mitentscheidender Bedeutung, denn: Nach- vollziehbar beachteter Datenschutz stärkt das Vertrauen der Bürger*innen in die öffent- liche Verwaltung und damit auch die notwendige Annahmebereitschaft in die angebote- nen digitalen Produkte / Dienstleistungen der Stadtverwaltung Köln. Diese Erkenntnis ist auch zwischenzeitlich in den Datenschutzaufsichtsbehörden angekommen – die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Frau Meike Kamp, äu- ßerte sich jüngst wie folgt dazu: „Das Vertrauen der Menschen ist ausschlaggebend dafür, dass die Verwaltungsdigitalisierung erfolgreich ist.“ (TAGESSPIEGEL vom 23.05.23). Darüber hinaus führen digitalisierte Verwaltungsprozesse, die datenschutzkonform de- signt und in Betrieb genommen werden, dazu, Verstöße gegen datenschutzrechtliche Regelungen zu vermeiden, z. B. fehlende Datenschutzinformationen, Verarbeitung von zu vielen personenbezogenen Daten oder fehlende bzw. unangemessene Löschfristen. Entsprechende Verstöße fallen hierbei regelmäßig auf, wenn sich betroffene Bürger*in- nen entweder direkt bei der Stadt Köln oder über die Landesbeauftragte für Daten- schutz und Informationsfreiheit (LDI NRW) beschweren. Neben dann bestehenden Nachbesserungsbedarf entstehen zum Teil erhebliche Aufwände für die ggf. erforderli- chen Stellungnahmen an die Aufsichtsbehörde. Hier drohen auch potentielle Reputati- onsverluste einer ggf. immer wieder strukturell auffälligen Verwaltung bei der LDI NRW. Auf die besonderen Digitalisierungsanforderungen, die sich aus dem Onlinezugangs- gesetz (OZG) für die Stadt Köln und die Prozessbeteiligten ergeben, wird an dieser Stelle verwiesen (s. Ziff. II.3.d) 2. Datenschutzbericht für die Stadt Köln / 21 3. Datenschutzauditierung der Stadt Köln (extern) Neben der im Rahmen der Überwachungsaufgaben des Datenschutzbeauftragten durchzuführenden Audits der städtischen Dienststellen als prozessunabhängige Prü- fung des Datenschutzumsetzungsstandes (s. Ziff. I.3) wird auch die externe Zertifizie- rung des Datenschutzes der Stadt Köln nach Art. 42 DSGVO angestrebt. Hierbei sind genormte und standardisierte Auditierungsverfahren vorgesehen, die aus- schließlich von akkreditierten Zertifizierungsstellen durchgeführt werden können. Ein DSGVO-Zertifikat stellt hierbei ein Element dar, wie Unternehmen oder Behörden den Nachweis erbringen, dass die Organisationseinheiten DSGVO-konform arbeiten. Eine entsprechende Zertifizierung bietet folgende Vorteile für die Stadt Köln: Umsetzung von Rechenschaftspflichten / Compliance Unternehmen und Behörden müssen Rechenschaft darüber ablegen, ob sie in ihren Datenverarbeitungen den Datenschutz einhalten (nach Art. 5 Abs. 2 DSGVO). Ein DSGVO-Zertifikat belegt, dass eine eigenständige Prüfung rege- lungskonform durchgeführt wurde. Besserer Datenschutz Durch eine unabhängige Begutachtung steigt das Datenschutzniveau insge- samt. Ebenso verstärkt sich intern die Motivation bei allen Beteiligten (Verwal- tungsspitze, Leitungskräfte, Beschäftigte, Datenschutzbeauftragte*r), Daten- schutzthemen umzusetzen, wenn davon eine Zertifizierung abhängt. Besseres Image Bürger*innen legen vermehrt den Fokus auf Datenschutz – durch ein DSGVO- Zertifikat ergibt sich ein erhöhtes Vertrauen in den Umgang mit den personenbe- zogenen Daten sowie eine verbesserte Annahmebereitschaft städtischer IT-un- terstützter Dienstleistungsangebote. In Deutschland entscheidet die jeweils zuständige Aufsichtsbehörde auf Grundlage einer Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS), ob jemand als Zertifizierungsstelle agieren darf und welche Inhalte für eine erfolgreiche Auditie- rung vorzuweisen sind. Die Aufsichtsbehörden des Bundes und der Länder sind derzeit intensiv mit der Definition dieser Vorgaben in der Form von „Leitlinien an das Akkreditierungsverfahren“ beschäftigt. Sobald die entsprechenden Rahmenbedingungen geschaffen sind, wird ein solche Akkreditierungsprozesses angestrebt. Grundlage hierfür wird eine entsprechende Befassung und Befürwortung durch den Verwaltungsvorstand sein. 2. Datenschutzbericht für die Stadt Köln / 22 Fazit/ Ausblick In der Gesamtschau ist sowohl auf der Grundlage des seinerzeitigen ersten Datenschutzberichtes (in 2017) als auch der zwischenzeitlichen Entwicklung festzustellen, dass sich der Datenschutz bei der Stadtverwaltung Köln insgesamt in einem werthaltigen und funktionierenden Zustand befindet. Verantwortlichkeiten und Prozesse zu datenschutzrechtlichen und IT-sicherheitstechnischen Erfor- dernissen, die dem Schutz der personenbezogenen Daten der Bürger*innen sowie der Beschäftig- ten der Stadt Köln dienen, sind definiert, eingeübt und werden umgesetzt. Grundlage für den hohen datenschutzrechtlichen Umsetzungstand sind aus Sicht des behördlichen Datenschutzbeauftragten hierbei insbesondere: die Entscheidungen der Stadtspitze (Verwaltungsvorstand) die städtischen Basisdoku- mente, nämlich das Datenschutzmanagementkonzept sowie die Dienstanweisung Daten- schutz und Informationsfreiheit, für die Stadtverwaltung Köln als verbindlich umzusetzen zu erklären, die konstruktive Zusammen- und Mitarbeit des Amtes für Informationsverarbeitung (12) bei der Umsetzung der datenschutzrechtlichen Vorgaben insbesondere im Rahmen der Inbe- triebnahmeprozesse für IT-Fachanwendungen und der Realisierung von Maßnahmen der Auftragsverarbeitung (nach Art. 28 DSGVO), die fachlich enge und vertrauensvolle Zusammenarbeit mit dem IT-Sicherheitsverantwortli- chen (12/1), das jederzeit konstruktive Zusammenwirken mit dem Dezernat Stadtentwicklung, Wirt- schaft, Digitalisierung und Regionales (Dez. IX) und insbesondere auch der dortigen Stabs- stelle Digitalisierung (IX/2) die gute und vertrauliche Zusammenarbeit mit den für die datenschutzrechtliche Umset- zung verantwortlichen Leitungen der Dienststellen, den Kollegen*innen in der Funktion der dezentralen Datenschutzkoordination bei den Dienststellen und nicht zuletzt allen städtischen Kollegen*innen in den Dienststellen, die im Rahmen ihrer Aufgabenwahrnehmung jederzeit auch den Blick für die datenschutzrechtlichen Anforde- rungen beweisen und in aufwachsender Intensität Fragen zu korrektem Verhalten an das Team des Datenschutzbeauftragten richten. Trotzdem ist keine Organisation zu 100% vor Datenschutzverstößen bzw. Datenschutzverletzun- gen geschützt – Fehler der handelnden Menschen passieren und können auch mit noch so viel Regelungen und Vorgaben nicht gänzlich vermieden werden. Entscheidend ist die lernende Reak- tion aus diesen Fehlern, nämlich der regelkonforme Umgang z.B. mit Datenschutzverletzungen (Dokumentation und ggf. Meldung an die Datenschutzaufsicht), die Heilung ggf. strukturell fehler- hafter Prozesse und Sensibilisierung der unmittelbar betroffenen Beschäftigten und Informationen für alle Kollegen*innen über Intranet-Beiträge. Festgestellte Informationslücken bei der Regelanwendung in der Fläche werden durch die bei der Qualitätsstanderhebung (s. Ziff. I.2) beschriebenen Maßnahmen sukzessive geschlossen. Insbe- 2. Datenschutzbericht für die Stadt Köln / 23 sondere erfolgt in einem ersten Schritt die Sensibilisierung der Führungskräfte im Rahmen der ak- tuell durchgeführten Datenschutzaudits in den Dienststellen (s. Ziff. I.3). In einem zweiten Schritt sollen dann flächendeckend auch die Beschäftigten in den Dienststellen einbezogen werden. Der angelaufene Transformationsprozess zu einer weitestgehend digitalisierten Verwaltung ist für alle Beteiligten, vom Amt für Informationsverarbeitung, der Stabsstelle Digitalisierung, den Dienst- stellen und dem Team des Datenschutzbeauftragten, sowohl aus quantitativer Sicht, also mit Blick auf die Vielzahl der umzustellenden Verwaltungsvorgänge als auch aus qualitativer Sicht, also das Bewerten und Umsetzen neuer Arbeitsstrukturen wie z. B. der sog. Einer-für-alle-Leistungen, Por- tallösungen und hiermit zusammenhängende Dienstleistungen in der Form von Auftragsverarbei- tungen, incl. Verhandlungen mit externen Dienstleistern zu Beratungs-, Wartungs- oder Cloud- Leistungen, eine enorme, ressourcenintensive Herausforderung. Immer wieder tritt hier die Stadt Köln auf als Wegbereiterin datenschutzkonformer Maßnahmenrealisierung. Derzeit ist durch den Bundesgesetzgeber ein Änderungsgesetz zum Onlinezugangsgesetz (OZG) in Vorbereitung, das weitere ambitionierte Ziele für den Digitalisierungsprozess der Verwaltung mit sich bringen wird und geht über die bisher definierten 575 Verwaltungsdienstleistungen weit hin- aus. Insgesamt gehen Experten, auch mit Blick darauf, dass die ersten Ziele des OZG nicht von allen Verwaltungseinheiten erreicht wurden, davon aus, dass die Digitalisierung auf absehbare Zeit eine Daueraufgabe sein wird und damit die vor beschriebenen Anstrengungen aller Beteiligten bei der Stadtverwaltung Köln auch weiterhin fordert. Der Datenschutzbeauftragte bedankt sich an dieser Stelle bei allen beteiligten Führungskräften für die konstruktive Übernahme der Verantwortung in Sachen Datenschutz und allen städtischen Kol- legen*innen für die gezeigte Sensibilität und den Willen, sich datenschutzkonform zu verhalten so- wie das Vertrauen, das dem Team des Datenschutzbeauftragten, ausgedrückt auch durch die Viel- zahl der Anfragen, entgegengebracht wird. 2. Datenschutzbericht für die Stadt Köln / 24 Beauftragter für den Datenschutz der Stadt Köln (I/1) Stadthaus Deutz - Westgebäude Willy-Brandt-Platz 2, 50679 Köln Frank Fricke Telefon: 0221/ 221-22457 Datenschutzbeauftragter@Stadt-Koeln.de www.stadt-koeln.de
Mitteilung Ausschuss
2416 Zeichen
Dezernat, Dienststelle I/I Vorlagen-Nummer 15.01.2024 3863/2023 Mitteilung öffentlicher Teil Gremium Datum Digitalisierungsausschuss 22.01.2024 Zweiter Bericht des behördlichen Datenschutzbeauftragten der Stadt Köln Die EU-Datenschutzgrundverordnung (DSGVO) sieht keine ausdrückliche Verpflichtung zur Erstellung regelmäßiger Berichte über den Datenschutz vor. Dennoch besteht aufgrund von erheblich gesteigerten Rechenschafts- und Kontrollpflichten zur Einhaltung des Datenschut- zes hohes Interesse seitens der Verantwortlichen bei der Stadt Köln sowie des Datenschutz- beauftragten an einem zusammenfassenden Bericht über einen angemessenen Zeitraum. Erstmals wurde im Jahr 2016 ein solcher Bericht vorgelegt. Zielrichtung seinerzeit war es, den Ist-Zustand des Datenschutzes bei der Stadtverwaltung Köln unter anderem anhand der gere- gelten Organisationstruktur, der Verteilung der Verantwortlichkeiten sowie einer Übersicht über den Aufgabenbestand darzustellen. Besonderes Augenmerk wurde dabei auf die Rege- lungen der ab Mai 2018 verbindlich anzuwendenden Datenschutzgrundverordnung der Euro- päischen Union (DSGVO) und deren Auswirkungen auf die Stadtverwaltung Köln gelegt, ver- bunden mit einem Vorschlag zur operativen Umsetzung dieser neuen Regelungen. Nach dieser ersten Bestandsaufnahme erfolgt nunmehr der insoweit 2. Datenschutzbericht für die Stadt Köln, der Auskunft über den „Ist-Zustand“ der Datenschutzorganisation gibt. Die Ausführungen des 2. Datenschutzberichtes knüpfen im zeitlichen Ablauf an den „Sach- standsbericht Datenschutz“ an und beschreiben die Aufgabenentwicklung ab 2017 bis heute (s. Ziff. I), zeigen auf in welcher Art und Weise die Aufgaben des behördlichen Datenschutz- beauftragten quantitativ und qualitativ erledigt werden sowie welche Faktoren den Ressour- cenbedarf beeinflussen (s. Ziff. II). Darüber hinaus geht der Bericht auf die bestehenden Her- ausforderungen, die sich für die städtischen Dienststellen und den Datenschutz aus den Digi- talisierungsnotwendigkeiten als entscheidende Zukunftsaufgabe ergeben, ein (s. Ziff. III). Damit richtet sich dieser Bericht auf die organisatorischen Strukturen, die Qualität der Aufga- benwahrnehmung und die innovative Fortentwicklung des Datenschutzes bei der Stadt Köln. Gez. Blome Anlagen: Anlage 1: Zweiter Datenschutzbericht Anlage 2: Anlagen zum Zweiten Datenschutzbericht
Anlage_2_Anlagen zum Zweiten Datenschutzbericht
7455 Zeichen
Beauftragter für den Datenschutz 2. Datenschutzbericht ________________________________________________________________________ Folie 1 Anlagenverzeichnis: Anlage 1: Ablaufdarstellung zur DSGVO-Umsetzung Anlage 2: Interdisziplinäre Projektgruppe DSGVO Anlage 3: Bewertungskriterien zur Qualitätsstanderhebung Anlage 4: Bewertungsmatrix „DS-Regelungen vorhanden“ Anlage 5: Bewertungsmatrix „DS-Regelungen bekannt“ Anlage 6: Organisation und Verantwortlichkeiten zum Datenschutz Anlage 7: Aufgabenstruktur im Bereich des Datenschutzbeauftragten (I/1) Anlage 8: Aufgabenphilosophie der Stabsstelle I/1 Anlage 9: Quantitative und qualitative Entwicklung des Datenschutzes im Zeitverlauf Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 1) ________________________________________________________________________ Folie 2 Ablaufdarstellung zur DSGVO-Umsetzung interdisziplinäre Projektgruppe Beschluss Verwaltungsvorstand . Umsetzungsphasen Vorgehensmodell Datenbank-/Formularlösung Umsetzung im Fachamt Initiative des behördlichen Datenschutzbeauftragten Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 2) ________________________________________________________________________ Folie 3 Interdisziplinäre Projektgruppe DSGVO Projektgruppe zur Umsetzung der EU- DSGVO bei der Stadt Köln 12 / 13 bDSB 12/1 (IT-Si.) Büro OBGPR 11 Dez./ Dst. (dez. DSK) Umsetzungsverantwortung obliegt verantwortlicher Stelle bzw. Verantwortlichen fach-/ inhaltliche Koordination IT-sicherheitstechn. Umsetzung Federführung als Verantwortlicher Dienstvereinb. aktualisieren operationale Verantwortung organisatorische Begleitung IT-technische Umsetzung Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 3) ________________________________________________________________________ Folie 4 Kriterien zur Erfüllung der Regelungen nach der DSGVO Inhaltliche Fragestellung Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten Ist das Datenschutzmanagementkonzept bekannt und werden die Inhalte umgesetzt? Verantwortlichkeiten im Datenschutz Sind die Verantwortlichkeiten (verantwortliche Stelle, dez. DS- Koordinatoren, bDSB) bekannt und werden diese umgesetzt? Beachtung des Prinzips der Datenminimierung (insb. Erforderlichkeit) Werden nur die für die Aufgabenwahrnehmung notwendigen personenbezogenen Daten erhoben? datenschutzrechtliche und IT-sicherheitstechnische Zulässigkeitsverfahren Sind die verschiedenen Prüfprozesse z. B. für die Inbetriebnahme von IT-Fachanwendungen, Videoüberwachung bekannt? technisch-organisatorische Maßnahmen (TOM) im Fachamt / in dem Unternehmen entsprechend dem Stand der Technik Sind die eingesetzten IT-Fachanwendungen auf dem neuesten Stand und werden entsprechend der Schutzstufe sichere TOM eingesetzt? Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnahmen Sind die Beschäftigten sensibilisiert auf den Datenschutz und ausreichend geschult? Sicherstellung der Rechte der Betroffenen Werden insb. Auskunfts- und Löschbegehren zeitnah geprüft und umgesetzt? Bewertungskriterien zur Qualitätsstanderhebung (1) Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 3) ________________________________________________________________________ Folie 5 Bewertungskriterien zur Qualitätsstanderhebung (2) Kriterien zur Erfüllung der Regelungen nach der DSGVO Inhaltliche Fragestellung Sicherstellung der Meldepflichten bei Datenschutzverletzungen Werden Datenschutzverstöße erkannt und ist bekannt, was darauf hin zu veranlassen ist? Prüfung der Maßnahmen bei Auftragsverarbeitung (Vertragsmanagement) Werden Maßnahmen zur Auftragsverarbeitung erkannt und sind die entsprechenden Prüfschritte bekannt? Datenübermittlung an andere öffentliche und nicht- öffentliche Stellen Wird bei der Datenübermittlung an andere datenschutzrechtliche Aspekte berücksichtigt? (Frage: "Darf ich die personenbezogenen Daten weitergeben…?") Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO (Datenschutzerklärungen) Werden die Bürger*innen bei Erhebung der personenbezogenen Daten entsprechend und gesetzeskonform über den Umgang mit dem Datenschutz durch die verantwortliche Dienststelle informiert? Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 3) ________________________________________________________________________ Folie 6 Bewertungskriterien zur Qualitätsstanderhebung (3) Kriterien zur Erfüllung der Regelungen nach der DSGVO Inhaltliche Fragestellung Erhebung von Daten für festgelegte, eindeutige und legitime Zwecke (Zweckbindung) Werden die erhobenen personenbezogenen Daten nur für den ursprünglichen Zweck verwendet und werden bei Zweckänderungen die gesetzlichen Vorschriften berücksichtigt? Erfüllung der Dokumentationspflichten (insb. Verarbeitungsverzeichnisse) Wird für jede Verarbeitung personenbezogener Daten ein Verarbeitungsverzeichnis geführt? Gewährleistung der Datenschutzkontrolle durch den bDSB Sind Kontrollen (prozessabhängige bzw. prozessunabhängige) der Aufgabenwahrnehmung der Dienststellen durch den bDSB geregelt und werden diese durchgeführt? Umsetzung der Löschfristen (Speicherbegrenzung) Werden Löschfristen festgelegt und umgesetzt? Werden personenbezogene Daten nur solange gespeichert, wie erforderlich? Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 4) ________________________________________________________________________ Folie 7 Bewertungsmatrix „DS-Regelungen vorhanden“ Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 5) ________________________________________________________________________ Folie 8 Bewertungsmatrix „DS-Regelungen bekannt“ Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 6) ________________________________________________________________________ Folie 9 Organisation und Verantwortlichkeiten zum Datenschutz Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 7) ________________________________________________________________________ Folie 10 Aufgabenstruktur: Verteilung zu einzelnen operativen Aufgabenfeldern Beratung städt. Fachdienststellen 30% Beratung Bürger*innen 5% DSFA/ Zulässigkeitsprozesse (IT- Fachanw./ AVV/ Videoüberw.) 30% Überwachungsaufgaben (incl. DS-Verletzungen, Audits, LDI- Kommunikation) 20% Restaufgaben (Schulung MA, AK etc.) 15% Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 8) ________________________________________________________________________ Folie 11 Aufgabenphilosophie: Rechtssichere, praxis- und lösungsorientierte Aufgabenwahrnehmung Überwachung durch die Aufsichtsbehörde (LDI NRW) Beratung durch die Aufsichtsbehörde (LDI NRW) Beratung durch den Datenschutzbeauftragten (Ziel: rechtssicher, interdisziplinär, pragmatische Umsetzbarkeit) Überwachung durch den Datenschutzbeauftragten (ausgerichtet auf Rechtssicherheit) Verantwortliche Stelle Stadt Köln: Dezernate und Dienststellen (bei Verarbeitung personenbezogener Daten) Beauftragter für den Datenschutz 2. Datenschutzbericht (Anlage 9) ________________________________________________________________________ Folie 12 Sensibilität/ Beratungsdarf Zeit/ Ereignisse BVerfG-Urteil 1983 DSG NRW 2001 DSGVO Mai 2018 Impulse durch bDSB (-/0) Impulse durch bDSB (+) Impulse durch bDSB (++) DSGVO Mai 2016 Impulse durch bDSB (++/+) Bürger*innen Beschäftigte Auftragsverarbeiter Quantitative und qualitative Entwicklung des Datenschutzes im Zeitverlauf
Beratungsverlauf (1)
Beschluss: Kenntnis genommen
Zur SitzungDetails
- Aktenzeichen
- 3863/2023
- Typ
- Mitteilung Ausschuss
- Datum
- 15.01.2024
- Erstellt
- 21.11.2023 14:46