Mandari Insight

3863/2023

Zweiter Bericht des behördlichen Datenschutzbeauftragten der Stadt Köln

Mitteilung Ausschuss 15.01.2024

KI-Zusammenfassung

Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.

KI-Analyse läuft...

vergangen

Was passiert gerade?

  • 📄 Dokumente werden analysiert...
  • 🤔 KI denkt nach (Reasoning-Modell)...
  • ✍️ Zusammenfassung wird geschrieben...
  • ⏳ Das dauert etwas länger bei komplexen Dokumenten...

Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.

Nächste Beratung: Digitalisierungsausschuss, Sitzung am 22.01.2024, TOP 2.2

Anlage_1_Zweiter Datenschutzbericht

· application/pdf

Ansehen

Mitteilung Ausschuss

· application/pdf

Ansehen

Anlage_2_Anlagen zum Zweiten Datenschutzbericht

· application/pdf

Ansehen

Anlage_1_Zweiter Datenschutzbericht

56678 Zeichen

1 
 
 
 
 
 
2. Datenschutzbericht  
für die Stadt Köln (Stand 09/2023)

2. Datenschutzbericht für die Stadt Köln 
 
 
 
Einleitung 
 
I. Entwicklung des Datenschutzes bei der Stadt Köln (seit 2017) 
1. Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) 
 
2. Erhebung des Qualitätsstands für die Stadt Köln 
 
3. Datenschutzaudits in den städtischen Dienststellen 
 
4. Aufgabenstruktur und Leistungsdaten des Datenschutzbeauftragten (I/1) 
 
II. Aufgabenwahrnehmung und Ressourcenbedarf im Bereich des behördlichen  
Datenschutzbeauftragten (Stabsstelle I/1) 
1. Organisationsentwicklung 
 
2. Aufgabenphilosophie 
 
3. Ressourcenstand und -bedarf 
 
 
III. Entwicklung und Herausforderungen 
1. Entwicklung des Datenschutzes bei der Stadt Köln 
 
2. Digitalisierung 
 
3. Datenschutzauditierung der Stadt Köln (extern) 
 
Fazit/ Ausblick

2. Datenschutzbericht für die Stadt Köln 
/ 3 
Einleitung 
Ein erster „Sachstandsbericht Datenschutz“ wurde erstellt und dem Stadtvorstand (heute Verwal-
tungsvorstand) am 21.02.2017 zur Befassung und Kenntnisnahme vorgelegt (s. Session 
0404/2017). 
Zielrichtung seinerzeit war es, den Ist-Zustand des Datenschutzes bei der Stadtverwaltung Köln 
unter anderem anhand der geregelten Organisationstruktur, der Verteilung der Verantwortlichkei-
ten sowie einer Übersicht über den Aufgabenbestand darzustellen. Besonderes Augenmerk wurde 
dabei auf die Regelungen der ab Mai 2018 verbindlich anzuwendenden Datenschutzgrundverord-
nung der Europäischen Union (DSGVO) und deren Auswirkungen auf die Stadtverwaltung Köln 
gelegt, verbunden mit einem Vorschlag zur operativen Umsetzung dieser neuen Regelungen. 
Nach dieser ersten Bestandsaufnahme incl. Ausblick aus dem Jahr 2017 folgt nunmehr der 2. Da-
tenschutzbericht für die Stadt Köln, der Auskunft über den „Ist-Zustand“ der Datenschutzorganisa-
tion gibt. 
Die Ausführungen des 2. Datenschutzberichtes knüpfen dabei im zeitlichen Ablauf an den vorbe-
nannten Sachstandbericht an und beschreiben die Aufgabenentwicklung ab 2017 bis heute  
(s. Ziff. I), zeigen auf in welcher Art und Weise die Aufgaben des behördlichen Datenschutzbeauf-
tragten quantitativ und qualitativ erledigt werden sowie welche Ressourcen hierfür notwendig sind 
(s. Ziff. II). Darüber hinaus geht der Bericht auf die bestehenden Herausforderungen, die sich für 
die städtischen Dienststellen und den Datenschutz aus den Digitalisierungsnotwendigkeiten als die 
entscheidende Zukunftsaufgabe ergeben, ein (s. Ziff. III). 
Damit richtet sich dieser Bericht, im Gegensatz zu den regelmäßig veröffentlichten Jahresberichten 
der Datenschutzaufsichtsbehörden, die sich ganz überwiegend auf fachinhaltliche (Einzel-) Fallge-
staltungen und entsprechende datenschutzrechtliche Bewertungen sowie übertragbare Empfehlun-
gen dieser in der Praxis durch Unternehmen und die öffentlichen Institutionen konzentriert, auf die 
organisatorischen Strukturen, die Qualität der Aufgabenwahrnehmung und die innovative Fortent-
wicklung des Datenschutzes bei der Stadt Köln. 
An dieser Stelle wird auf die im Anlagenverzeichnis hinterlegten Anlagen 1 bis 9 aufmerksam ge-
macht, auf die im Laufe des Berichtes verwiesen wird. Ebenfalls sind teilweise Links zu vorhande-
nen Informationsquellen hinterlegt.

2. Datenschutzbericht für die Stadt Köln 
/ 4 
I. Entwicklung des Datenschutzes bei der Stadt Köln (seit 2017) 
1. Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) 
 
Die Verwaltung hat im Jahr 2016 mit einem NRW- und bundesweit beachteten struktu-
rierten Prozess die Umsetzung der seit Mai 2018 verbindlich anzuwendenden neuen 
Regelungen, die sich aus der DSGVO ergeben, durchgeführt. 
 
Auf der Grundlage eines inhaltlichen, durch den Datenschutzbeauftragten vorgegebe-
nen Vorgehensmodells, das die relevanten datenschutzrechtlichen Tatbestände be-
rücksichtigte, um die Anforderungen der DSGVO erfüllen zu können, wurden alle städ-
tischen Dienststellen in den Umsetzungsprozess geführt. Zur Dokumentation der er-
griffenen Umsetzungsmaßnahmen stand eine stadtintern entwickelte Datenbank zur 
Verfügung, die zum einen die einheitliche und vollständige Abwicklung gewährleistete 
und zum anderen ein kontinuierliches Controlling sicherstellte (Ablaufdarstellung s. 
Anlage 1). 
 
Begleitet wurde der Transformationsprozess durch eine interdisziplinäre Projekt-
gruppe unter Leitung des Büros der Oberbürgermeisterin und sachinhaltlicher Feder-
führung des Datenschutzbeauftragten. Beteiligt hierbei waren u. a. Vertreter*innen al-
ler Fachdezernate und dezentrale Datenschutzkoordinatoren*innen (in deren operati-
ven Umsetzungsverantwortung), 11 zur organisatorischen Begleitung sowie die Per-
sonalvertretung (zur Organisation der Projektgruppe s. Anlage 2). 
 
Während des gesamten Umsetzungszeitraumes wurden die Beschäftigten und Füh-
rungskräfte über Ablauf und Stand des Projektes mit allgemeinen Beiträgen und den 
veröffentlichten Protokollen der Projektgruppensitzungen informiert. Im Zeitraum bis 
einschließlich Mitte 2018 wurden insgesamt 10 Mitteilungen zum Thema in verschie-
denen Fachausschüssen des Rates vorgelegt. 
 
Der Verwaltungsvorstand erhielt im Mai 2018 einen Sachstands- und schließlich im 
Dezember 2019 den Abschlussbericht zur Umsetzung der DSGVO bei der Stadt Köln 
(Session 1681/2018 bzw. 4102/2019). 
 
Hierbei wurde unter anderem darauf hingewiesen, dass die im Rahmen des Umset-
zungsprozesses identifizierten, noch nicht durchgeführten datenschutzrechtlichen Zu-
lässigkeitsverfahren zu IT-Fachanwendungen, Auftragsverarbeitungen und Videoüber-
wachungen sukzessive unter Einbeziehung des Datenschutzbeauftragten durch die 
jeweils zuständigen Dienststellen nachzuholen sind. 
 
Darüber hinaus hat sich im Nachgang zur Transformation auf die DSGVO herausge-
stellt, dass die im Vorgehensmodell obligatorisch vorgesehene Überprüfung der Um-
setzung der Informationspflichten (nach Art. 13, 14 DSGVO) nicht umfassend in allen 
Fällen durch die Dienststellen erfolgt ist. Sukzessive fallen Verwaltungsprozesse auf, 
in denen zum Zeitpunkt der Erhebung der personenbezogenen Daten von Bürger*in-
nen entweder keine oder fehlerhafte Informationen zum Datenschutz nach den vorbe-
nannten Regelungen zur Verfügung gestellt werden. In Absprache mit dem Daten-
schutzbeauftragten erfolgt dann die entsprechende Nachbesserung. Weitere Maßnah-
men zur Abhilfe werden in den folgenden Ausführungen dargestellt.

2. Datenschutzbericht für die Stadt Köln 
/ 5 
 
Neben der operativen Umsetzung der Anforderungen der DSGVO in den städtischen 
Dienststellen ist die Erstellung des Datenschutzmanagementkonzeptes zur Erfüllung 
der Rechenschaftspflichten (nach Art. 5 Abs. 2 und 24 Abs. 1 DSGVO, s. hier) sowie 
der Dienstanweisung Datenschutz und Informationsfreiheit (s. hier) als operatives Re-
gelwerk zur Umsetzung des Datenschutzes bei der Stadt Köln zu erwähnen. Beide für 
verantwortliche Stellen wie die Stadt Köln obligatorisch notwendigen Datenschutzdo-
kumente wurden mit Beschluss des Verwaltungsvorstandes vom 11.12.2018 für alle 
städtischen Dienststellen und die dort Beschäftigten als verbindlich umzusetzen er-
klärt (Session 3767/2018). 
 
Die Stadt Köln war zu diesem Zeitpunkt die erste Kommune, die NRW- und bundes-
weit den Umstellungsprozess in dieser strukturierten Weise und mit den zur regelkon-
formen Umsetzung erforderlichen vorbenannten Datenschutzdokumenten durchlaufen 
hat. Eine Vielzahl von Anfragen zur Darstellung des Etablierungsverfahrens sowohl 
von kommunalen Spitzenverbänden und interessenvertretenden Institutionen als auch 
aus anderen Bundesländern bzw. international war die Folge. 
 
Bei einer überörtlichen Prüfung der Gemeindeprüfungsanstalt zur Umsetzung der 
DSGVO in kreisfreien Städten des Landes NRW im Jahr 2019 hat die Stadt Köln dem-
zufolge auch mit Bestbewertung abgeschnitten (s. hierzu auch VV-Vorlage Session 
0332/2020). 
 
Fazit: 
 
Die Umsetzung der Regelungen der DSGVO bei der Stadt Köln konnte mittels der 
praktizierten Projektorganisation erfolgreich gestaltet werden – die für ein regelbasier-
tes Handeln notwendigen innerstädtischen Vorgaben liegen mit dem Datenschutzma-
nagementkonzept zur Erfüllung der Rechenschaftspflichten sowie der Dienstanwei-
sung Datenschutz und Informationsfreiheit vor. Im Nachgang zum Umsetzungspro-
zess anstehende bzw. auffallende und in einer großen Organisationsstruktur erfah-
rungsgemäß nicht auszuschließende Versäumnisse (s. insbesondere die Informati-
onspflichten) werden nachgebessert. 
 
 
2. Erhebung des Qualitätsstands für die Stadt Köln 
 
Die Frage nach der Qualität, also der Gesamtheit von Merkmalen einer Einheit bezüg-
lich ihrer Eignung, festgelegte und vorausgesetzte Erfordernisse zu erfüllen, lässt sich 
für den Datenschutz als regelbasierte Aufgabe, die sowohl für Behörden / Institutionen 
im öffentlichen als auch für Unternehmen im nicht-öffentlichen Sektor obligatorisch ist, 
anhand von Kriterien ermitteln, die sich ganz wesentlich aus der DSGVO ergeben. 
 
Bei diesen Kriterien handelt es sich um gesetzliche Anforderungen, die eine Behörde 
wie die Stadt Köln in jedem Fall erfüllen muss, um entsprechend der einschlägigen 
Complianceregelungen – also im wahrsten Sinne – datenschutzkonform aufgestellt zu 
sein und orientiert an diesen zu handeln.

2. Datenschutzbericht für die Stadt Köln 
/ 6 
 
Zur Feststellung der Qualität des Datenschutzes wurden in diesem Zusammenhang 
seitens des Beauftragten für den Datenschutz insgesamt 15 Kriterien definiert (s. An-
lage 3), die bei Beantwortung der nachfolgenden Fragestellungen deutliche Anhalts-
punkte geben, wie die Stadt Köln in Sachen Datenschutz strukturell aufgestellt ist und 
operativ durch ihre Beschäftigten gegenüber den Bürgern*innen handelt: 
a) Sind die gesetzlichen Anforderungen durch entsprechende technische, organi-
satorische Maßnahmen (TOM) oder innerregulatorische Vorgaben bei der Stadt 
Köln gewährleistet? 
 
 
b) Sind die vorhandenen Vorgaben (TOM, städtische Regelungen) den Dienststel-
len, also den Leitungskräften und Beschäftigten bekannt und werden von diesen 
umgesetzt? 
 
In einem ersten Schritt erfolgt die Beantwortung dieser Fragen durch den behördlichen 
Datenschutzbeauftragten und dessen Team. Die Bewertung der 15 Einzelkriterien er-
folgt hierbei nach dem jeweiligen Erfüllungsgrad in Bezug auf die Fragestellung zwi-
schen 0 (nicht erfüllt) und 100% (vollständig erfüllt). Als Mindesterfüllung ist ein Umset-
zungsgrad von 80% definiert, Abweichungen unterhalb dieser Marke sind vorrangig zu 
analysieren und Nachbesserungen zu veranlassen. 
 
In einem zweiten Schritt soll die Befragung durch die in den Dienststellen eingesetzten 
dezentralen Datenschutzkoordinatoren*innen erfolgen, um hier ggf. unterschiedliche 
Einschätzungen erkennen und zusätzlichen Handlungsbedarf ableiten zu können. Nach 
der Corona-Krise sollen wieder, wie in der Vergangenheit bis 2019 praktiziert, regelmä-
ßige Treffen der Datenschutzkoordinatoren*innen mit dem Team des Datenschutzbe-
auftragten zum fachlichen Informationsaustausch stattfinden. 
 
In einem parallelen Schritt erfolgt die Einbeziehung der Leitungskräfte der Dienststellen 
im Wege flächendeckender Datenschutzaudits (s. Ziff. I.3). 
 
Als Ergebnis der Beantwortung der vorbenannten Fragen durch das Team des Daten-
schutzbeauftragten ist Folgendes festzuhalten: 
 
Die notwendigen Regelungen zur Umsetzung der DSGVO (s. o. Frage zu a) sind sei-
tens der Stadt Köln mit den zentralen Dokumenten, dem Datenschutzmanagementkon-
zept sowie der Dienstanweisung Datenschutz und Informationsfreiheit, im Zielkorridor 
zwischen 80 und 100% Umsetzungsgrad getroffen (s. Anlage 4). 
 
Die Bewertung der Qualitätskriterien bezüglich der Bekanntheit und Beachtung seitens 
der Führungskräfte und Beschäftigten (s. o. Frage zu b) fällt zum Teil unter die Marke 
der Mindesterfüllung von 80% (s. Anlage 5). Die diesbezüglichen Einschätzungen sei-
tens des Datenschutzbeauftragten gründet auf der Tatsache, dass die entsprechenden 
Regelungen zwar getroffen, aber das Wissen um diese in der Fläche der Stadtverwal-
tungsstruktur noch nicht im notwendigen Umfang angekommen ist.

2. Datenschutzbericht für die Stadt Köln 
/ 7 
 
Im Einzelnen ist zu den Kriterien mit der Zielerreichung unter 80% Folgendes auszufüh-
ren: 
 Umsetzung der Informationspflichten (nach Art. 13, 14 DSGVO) 
 
Die bei der Erhebung personenbezogener Daten zur Verfügung zu stellenden 
Datenschutzinformationen waren bereits Prüfbestandteil im Rahmen der  
DSGVO-Transformation (s. Ziff. I.1), wobei bis heute in geringer werdendem 
Umfang Verwaltungsprozesse auffallen, bei denen keine oder eine fehlerhafte 
Information zur Verfügung gestellt wird. 
 
Die Regelungen im Datenschutzmanagementkonzept (s. dort Ziff. VII) und der 
Dienstanweisung Datenschutz und Informationsfreiheit (s. dort § 15) sowie der 
Intranet-Hinweis incl. Generator zur Erstellung entsprechender Formulare (s. 
hier) reichen offenbar nicht aus. 
 
Dies wird zum Anlass genommen, die Thematik bei der nächsten Runde der de-
zentralen Datenschutzkoordinatoren*innen anzusprechen (im 4. Quartal 2023). 
Darüber hinaus erfolgt die Behandlung auch als Teil der Datenschutzaudits, die 
ab Mai diesen Jahres flächendeckend in den Dienststellen durchgeführt werden 
(s. Ziff. I.3). 
 
 Datenübermittlung an andere öffentliche und nicht-öffentliche Stellen 
 
Aufgrund der sehr unterschiedlichen Fallkonstellationen zu inhaltlichen Übermitt-
lungsanfragen und anfragenden Stellen wird es erfahrungsgemäß immer Unsi-
cherheiten bei den zuständigen Beschäftigten und entsprechende Nachfragen 
beim Team des Datenschutzbeauftragten geben. 
 
In diesem Zusammenhang wird durch den Datenschutzbeauftragten auf die Re-
gelung in der Dienstanweisung Datenschutz und Informationsfreiheit (s. dort  
§ 12) sowie einen die Thematik im Sinne von Handlungshinweisen behandeln-
den Informationsbeitrag im Intranet (s. hier) verwiesen. Nachfragen erfolgen re-
gelmäßig hierzu auch in durch den Datenschutzbeauftragten durchgeführten all-
gemeinen Informationsterminen auf Anfrage der Dienststellen oder die regelmä-
ßig durch den Datenschutzbeauftragten angebotenen Informationsterminen für 
neue Führungskräfte (Beigeordnete und Amtsleitungen) und dezentralen Daten-
schutzkoordinatoren*innen. 
 
 
 Sicherstellung der Betroffenenrechte 
 
Die Regelungen hierzu ergeben sich aus dem Datenschutzmanagementkonzept 
(s. dort Ziff. VII) und der Dienstanweisung Datenschutz und Informationsfreiheit 
(s. dort §§ 14 sowie 28 und 29). Ergänzende Ausführungshinweise zu Aus-
kunfts- und Informationspflichten z. B. nach dem Informationsfreiheitsgesetz 
NRW (s. hier und hier) befinden sich ebenfalls im Intranet-Auftritt des Daten-
schutzbeauftragten.

2. Datenschutzbericht für die Stadt Köln 
/ 8 
 
Auch hier gibt es vielfach weitergehende Informationen durch das Team des Da-
tenschutzbeauftragten in Informationsterminen bei den Dienststellen und der 
Vorstellung des Datenschutzbeauftragten bei neuen Führungskräften (Beigeord-
nete und Amtsleitungen). Darüber hinaus soll die Thematik auch in der anvisier-
ten nächsten Runde mit den dezentralen Datenschutzkoordinatoren*innen aus 
den Dienststellen angesprochen werden. 
 
 
 Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnah-
men 
 
Die Verpflichtung der Beschäftigten auf Verschwiegenheit und Datenschutz er-
folgt immer zu Beginn des Anstellungsverhältnisses und stellt insoweit formal 
kein Problem dar. 
 
Die regelmäßige Schulung und Sensibilisierung der Kollegen*innen in den 
Dienststellen wurde in der Vergangenheit durch Fortbildungsangebote des Da-
tenschutzbeauftragten umgesetzt, wobei die dort im Rahmen der bestehenden 
Ressourcen lediglich 3 bis 4 Halbtagesseminare jährlich den tatsächlichen Be-
darf nicht decken konnten. 
 
Auf Initiative des Datenschutzbeauftragten (I/1) und des IT-Sicherheitsverant-
wortlichen (12/1) hat das Personal- und Verwaltungsmanagement (11/ 111) als 
insoweit verantwortliche Stelle für die Fortbildung und Sensibilisierung der Be-
schäftigten die Aufgabe übernommen, ein eLearning-Programm auszuschreiben 
und zu betreiben, mit dem alle Beschäftigten, die über einen IT-Arbeitsplatz ver-
fügen, mindestens einmal jährlich zu den Themen Datenschutz und IT-Sicher-
heit verbindlich informiert werden. 
 
Die Arbeitgeberin Stadt Köln kommt hiermit ihren Sensibilisierungspflichten nach 
(s. Art. 39 Abs. 1 lit. b DSGVO). Die sachinhaltlichen Aspekte für die dann vo-
raussichtlich ab 2024 laufenden Schulungen werden von dem Datenschutzbe-
auftragten und IT-Sicherheitsverantwortlichen zugeliefert. 
 
Für Beschäftigte ohne IT-Arbeitsplatz sind, orientiert am Risiko dort zu verarbei-
tender personenbezogener Daten, andere Formen der Sensibilisierung zum 
Thema Datenschutz, z. B. durch entsprechende Informationsveranstaltungen, 
zu entwickeln. 
 
Fazit: 
 
Festzustellen ist, dass die Stadt Köln bezogen auf die zu treffenden notwendigen Bin-
nenregelungen zum Datenschutz gut aufgestellt ist. Das Datenschutzmanagementkon-
zept und die Dienstanweisung Datenschutz bilden hier das grundlegende Regelungs-
werk für datenschutzkonformes Handeln der Verwaltung.

2. Datenschutzbericht für die Stadt Köln 
/ 9 
 
Noch ist Bedarf bei dem Vollzug der vorhandenen Datenschutzvorgaben gegeben. Ent-
sprechende Informationslücken bei der Regelanwendung werden durch weiterhin ver-
stärkte Aktivitäten aus dem Team des Datenschutzbeauftragten in Form von Informati-
onsveranstaltungen bei den Dienststellen und im Kreis der dezentralen Datenschutzko-
ordinatoren*innen sowie weiteren Ausführungshinweisen im Intranet geschlossen. Dar-
über hinaus erfolgt eine Sensibilisierung der Führungskräfte im Rahmen der aktuell 
durchgeführten Datenschutzaudits in den Dienststellen (s. Ziff. I.3). 
 
Insgesamt ist festzuhalten, dass die Stadt Köln mit dieser Aufstellung im interkommuna-
len Vergleich weiterhin einen Spitzenplatz in Sachen Datenschutz einnimmt. Dies aus-
weislich auch mit Blick auf die Vielzahl der Anfragen zu konkretem Vorgehen aus der 
kommunalen Familie, anderen Akteuren wie dem Fraunhofer Institut oder der Universi-
tät Tilburg sowie Seminar-/ Vortragstätigkeiten des Datenschutzbeauftragten z. B. bei 
der Europäischen Akademie für Steuern, Wirtschaft & Recht in Berlin oder Anfragen zu 
gemeinsamen Veranstaltungen mit dem Bundesbeauftragten für den Datenschutz und 
die Informationsfreiheit (BfDI). 
 
3. Datenschutzaudits in den städtischen Dienststellen 
 
Zu den Aufgaben des behördlichen Datenschutzbeauftragten gehört, neben der laufen-
den Beratung der Oberbürgermeisterin, aller städtischen Dienststellen und Beschäftig-
ten zu Fragen des Datenschutzes, explizit auch, die Einhaltung der Datenschutzvor-
schriften zu überwachen (s. Art. 39 Abs. 1 lit. b DSGVO). Die Funktion der Kontrollen 
und Wirksamkeitsprüfungen ist in der Umsetzung der vorgenannten Vorschrift im Da-
tenschutzmanagementkonzept der Stadt Köln geregelt (s. dort Ziff. XI, s. hier). 
 
Neben prozessabhängigen Kontrollen insbesondere im Rahmen datenschutzrechtlicher 
Zulässigkeitsverfahren z. B. bei der Einführung neuer IT-Fachverfahren oder Maßnah-
men der Videoüberwachung (hier in Form der Konsultation des Datenschutzbeauftrag-
ten) sind in regelmäßigen Abständen prozessunabhängige Prüfungen zur Umsetzung 
des Datenschutzes, also der Einhaltung von entsprechenden Regelungen und Stan-
dards, bei den Dienststellen durchzuführen (Datenschutzaudit). 
 
Das Audit ist im Sinne eines Qualitätsmanagements darauf angelegt, in einem ersten 
Schritt die Leitungskräfte (Führungsebene I, also Amts- und Abteilungsleitungen) noch-
mals über die vorhandenen Regelungen zum Datenschutz bei der Stadt Köln zu infor-
mieren und gleichzeitig die Gelegenheit zu geben, die Situation in der eigenen Dienst-
stelle zu bewerten. Ziel ist es hierbei, die Dienststellen zum Thema Datenschutz weiter 
zu sensibilisieren, mögliche Schwierigkeiten bei der Umsetzung zu identifizieren und so 
Verstöße, z. B. in der Form von Datenschutzverletzungen, zu vermeiden. 
 
Die Umfrage mit rund 20 Fragen zum Wissen und zur Aufstellung bezüglich des Daten-
schutzes in der Dienststelle basieren auf den Regelungen des Datenschutzmanage-
mentkonzeptes sowie der Dienstanweisung Datenschutz und Informationsfreiheit. Die 
Beantwortung der Fragen erfolgt über eine Onlineanwendung. Auf der Grundlage der 
Antworten erfolgt dann ein Auswertungsgespräch mit der zuständigen Amtsleitung 
durch den Datenschutzbeauftragten. Im Anschluss wird abhängig vom Ergebnis und 
dem Wunsch der Amtsleitung ein Informationstermin rund um das Thema Datenschutz 
für die gesamte Führungsebene der Dienststelle, z. B. im Rahmen einer Amtsleitungs-
runde angeboten, in dessen Verlauf auch aktuelle datenschutzrechtliche Fragen und 
Themen angesprochen werden können.

2. Datenschutzbericht für die Stadt Köln 
/ 10 
 
Die flächendeckende Durchführung von Datenschutzaudits in der beschriebenen Form 
ist durch den Verwaltungsvorstand am 18.04.23 beraten und zur Kenntnis genommen 
worden, wobei alle Dienststellen um konstruktive Mitarbeit gebeten wurden (s. Session 
0561/2023). 
 
Die Abwicklung der Audits soll voraussichtlich 18 Monate in Anspruch nehmen. Im An-
schluss wird der Datenschutzbeauftragte dem Verwaltungsvorstand einen Auswer-
tungsbericht zu dem Gesamtergebnis der Umfrage vorlegen.  
 
Nach Durchlauf aller Dienststellen mit der Sensibilisierung der Führungsebene ist in ei-
nem zweiten Schritt die Konzipierung eines Datenschutzaudits für die Ebene der Be-
schäftigten vorgesehen, um auch hier in der Fläche die weitere Sensibilisierung zu da-
tenschutzrechtlichen Themen voranzutreiben. 
 
Fazit: 
 
Das Datenschutzaudit in dieser Form führt zu einer Sensibilisierung der Dienststellen-
leitungen und Verbesserung der Aufgabenqualität durch Vermeidung von Datenschutz-
verstößen. Gleichzeitig wird gewährleistet, dass der Datenschutzbeauftragte, neben 
seinem Beratungsauftrag, mit den prozessunabhängigen Prüfungen auch den obligato-
rischen Kontrollaufgaben nach der DSGVO nachkommen kann. 
 
Bei den Datenschutzaudits innerhalb der Stadtverwaltung Köln handelt es sich in der 
vorliegenden Form sowohl NRW- als auch bundesweit um die erstmalige strukturierte 
Umsetzung der Kontroll- und Überwachungsaufgaben auf kommunaler Ebene. 
 
 
4. Aufgabenstruktur und Leistungsdaten des Datenschutzbeauftragten (I/1) 
 
Dem behördlichen Datenschutzbeauftragten obliegt die Beratung und Überwachung der 
Dienststellen und Beschäftigten der im datenschutzrechtlichen Sinne verantwortlichen 
Stelle Stadt Köln (vgl. Art. 39 Abs. 1 DSGVO). 
 
Der Datenschutzbeauftragte übernimmt hier eine Wächterfunktion in der Form als Be-
schützer- und Überwachungsgarant (vgl. Art. 39 Abs. 2 DSGVO). In dieser Funktion ist 
der / die bestellte Stelleninhaber*in weisungsfrei und organisatorisch an die oberste 
Managementebene anzubinden (vgl. Art. 38 Abs. 3 DSGVO). 
 
Die operative Verantwortung für den Datenschutz bei der Stadt Köln obliegt der / dem 
Hauptverwaltungsbeamten*in (Oberbürgermeister*in) sowie den Leitungen der Dienst-
stellen. 
 
Das beigefügte Schaubild (s. Anlage 6) veranschaulicht die Umsetzung dieser Regelun-
gen bei der Stadt Köln. 
 
Die verantwortliche Stelle (Stadt Köln) stellt auf dieser Grundlage dem Datenschutzbe-
auftragten die für die Erfüllung der Aufgaben erforderlichen Ressourcen zur Verfügung 
(vgl. Art. 38 Abs. 2 DSGVO).

2. Datenschutzbericht für die Stadt Köln 
/ 11 
 
Auf der Grundlage der dem Datenschutzbeauftragten gesetzlich übertragenen Aufga-
ben und dem für die Stadt Köln zugrundeliegenden Regelwerk (Datenschutzmanage-
mentkonzept und Dienstanweisung Datenschutz und Informationsfreiheit) ist die Vertei-
lung zu einzelnen operativen Aufgabenfeldern der beigefügten Anlage 7 zu entnehmen. 
Diese Verteilung beruht auf der qualifizierten Einschätzung des Datenschutzbeauftrag-
ten und des Stellvertreters (aus 05/2021) und soll einen Überblick über die quantitative 
Aufgabenstruktur im Aufgabengebiet des behördlichen Datenschutzbeauftragten bieten. 
Die vorhandenen Prozentzahlen zeigen die Verteilung der vorhandenen Arbeitszeit auf 
der Grundlage von insgesamt seinerzeit vorhandenen zwei Vollzeitstellen auf. 
 
Zu den dargestellten Aufgabenfeldern ist erläuternd Folgendes auszuführen: 
a) Datenschutzrechtliche Zulässigkeitsprozesse (30%) 
 
Einleitend ist festzustellen, dass grundsätzlich jeder Prozess der Verarbeitung 
personenbezogener Daten in einer Dienststelle mittels eines sog. Verarbei-
tungsverzeichnisses zu dokumentieren ist. Dieses zwingende Erfordernis und 
die obligatorischen Inhalte des Verarbeitungsverzeichnisses ergeben sich aus 
den Regelungen des Art. 30 DSGVO. Die operative Umsetzung spiegelt sich 
wieder in den Festlegungen des Datenschutzmanagementkonzeptes sowie der 
Dienstanweisung Datenschutz und Informationsfreiheit (s. dort §§ 19 bis 21). 
 
Gegenstand von entsprechenden Zulässigkeitsprozessen sind IT-Fachanwen-
dungen bzw. Online-Verfahren – hier z. B. das digitale Baugenehmigungsver-
fahren –, die in einem geregelten und strukturierten Verfahren auf der Grund-
lage einer Gefährdungsabschätzung zur Sensibilität der personenbezogenen 
Daten (Datenklassifizierung) auf ihre Vereinbarkeit mit den datenschutzrechtli-
chen Regelungen bewertet und eingerichtet sowie abschließend in einem ent-
sprechenden Verarbeitungsverzeichnis dokumentiert werden. 
 
Diese datenschutzrechtliche Zulässigkeitsprüfung ist elementarer Bestandteil 
des sog. Inbetriebnahmeprozesses für IT-Fachanwendungen bei 12 (Change-
prozess). Anwendungen, die besonders sensible personenbezogene Daten ver-
arbeiten, z. B. Gesundheitsdaten oder biometrische Personeninformationen, 
werden im Wege einer sog. Datenschutzfolgenabschätzung geprüft (s. Art. 35 
DSGVO). Für diese Verfahren ist die Konsultation des Datenschutzbeauftragten 
obligatorisch. 
 
Weitere Zulässigkeitsprozesse sind geregelt für Auftragsverarbeitungen (ex-
terne Dienstleister verarbeiten im Auftrag einer Dienststelle deren personenbe-
zogene Daten, z. B. Scandienstleister, Beratungsportale, Online-Dienstleister 
etc.), den Betrieb von Videokameras sowie allgemeine Verwaltungsprozesse, 
die nicht unter die vorbenannten Kategorien fallen. Auch diese Maßnahmen 
werden regelkonform in entsprechenden Verarbeitungsverzeichnissen doku-
mentiert. 
 
Die Zulässigkeitsprozesse werden zu den sog. prozessabhängigen Überwa-
chungsaufgaben des Datenschutzbeauftragten gezählt, da zumindest bei den 
Datenschutzfolgenabschätzungen die Einbindung des Datenschutzbeauftragten 
obligatorisch ist und die Einhaltung der Datenschutzregelungen auf diese Weise 
gewährleistet werden kann.

2. Datenschutzbericht für die Stadt Köln 
/ 12 
Folgende Leistungsdaten in diesem Zusammenhang liegen für den Zeitraum 
2019 bis einschließlich 06/2023 vor: 
Kategorie Fallzahlen Bemerkung 
 
Risikobewertungen mit Daten-
klassifizierungsbögen (DKB) 
 
(* Die Risikobewertung in Schutzstufen be-
deutet in aufsteigender Reihenfolge, dass 
immer sensiblere personenbezogenen Da-
ten verarbeitet werden; Schutzstufe „0“ be-
deutet als qualitative Bewertung, dass keine 
personenbezogenen Daten verarbeitet wer-
den) 
600 davon nach Schutz-
stufen*: 
„0“: 118 
„A/B“: 235 
„C“: 126 
„D“: 121 
IT-Fachanwendungen  
(schlussgezeichnet) 
45  
Auftragsverarbeitungen nach 
Art. 28 DSGVO  
(schlussgezeichnet) 
52  
Videoüberwachungen nach 
§ 20 DSG NRW 
(schlussgezeichnet) 
8  
Allgemeine Verarbeitungsver-
zeichnisse (schlussgezeichnet) 
32  
 
b) Überwachungsaufgaben (20%) 
 
Hierbei handelt es sich um Tätigkeiten, die dem Bereich der prozessunabhängi-
gen Überwachungstätigkeiten des Datenschutzbeauftragten zuzuordnen sind. 
Es handelt sich um Fallkonstellationen außerhalb der geregelten Zulässigkeits-
prozesse, die regelmäßig datenschutzrechtliche Einzelfälle aus den Dienststel-
len betreffen. Hierunter zählt die Einbindung des Datenschutzbeauftragten in 
die Prüfung von Datenschutzverletzungen (nach Art. 4 Ziff. 12 und 33 DSGVO) 
sowie Maßnahmen bei der Ausübung der Überwachungs- und Kontrollaufgaben 
durch die Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI 
NRW) als Aufsichtsbehörde. Diese weist hierbei regelmäßig darauf hin, den be-
hördlichen Datenschutzbeauftragten einzubeziehen.

2. Datenschutzbericht für die Stadt Köln 
/ 13 
 
Folgende Leistungsdaten in diesem Zusammenhang liegen für den Zeitraum 
2019 bis einschließlich 06/2023 vor: 
 
Kategorie 
 
Anzahl Prüffälle 
Prüfung von Datenschutzverletzungen  
(nach Art. 33 DSGVO) 
 gesamt: 109 
 davon meldepflich-
tig ggü. der LDI 
NRW: 38  
(= 35%) 
 
Maßnahmen i. d. R. Untersuchungs-/ Auf-
sichtsbefugnisse der LDI NRW  
(nach Art. 27, 58, 60 DSGVO) 
gesamt: 47 
Zu den Überwachungsaufgaben des behördlichen Datenschutzbeauftragten 
zählen darüber hinaus auch die Datenschutzaudits für die städtischen Dienst-
stellen (s. Ziff. I.3), die sowohl als Kontroll- und Wirksamkeitsprüfungen als 
gleichzeitig auch im Sinne eines Qualitätsmanagements durchgeführt werden. 
 
c) Beratung städtischer Dienststellen (30%) 
 
Hierbei handelt es sich um Anfragen der Dienststellen bzw. von dort Beschäftig-
ten zu datenschutzrechtlichen Fragen im Rahmen der jeweiligen Aufgabenerle-
digung. Diese kommen beim Datenschutzbeauftragten sowohl telefonisch als 
auch per Mail an. 
 
Statistische Aufzeichnungen hierzu liegen derzeit nicht vor, sollen aber in Zu-
kunft in einem Erfassungssystem quantifiziert werden. 
 
 
d) Eingaben der Bürger*innen (5%) 
 
Bürger und Bürgerinnen haben im Rahmen der Verarbeitung ihrer personenbe-
zogenen Daten das Recht, sich unmittelbar an den Datenschutzbeauftragten 
der Behörde zu wenden. Eingaben werden dabei sowohl in telefonischer als 
auch in Form von Mails an den behördlichen Datenschutzbeauftragten gerich-
tet.

2. Datenschutzbericht für die Stadt Köln 
/ 14 
 
Folgende Leistungsdaten in diesem Zusammenhang liegen für den Zeitraum 
2019 bis einschließlich 06/2023 vor: 
 
Kategorie 
 
2019 2020 2021 2022 2023 
(bis 06) 
Eingaben (Beschwerden und 
Hinweise) von extern 
127 173 183 116 41 
Eingaben (Beschwerden und 
Hinweise) stadt-intern 
21 10 14 11 6 
Qualifizierte Antworten wegen 
Unzuständigkeit 
33 50 28 5 8 
 
e) Durchführung von Beschäftigtenschulungen (5%) 
 
Neben den konkreten Überlegungen zur Einführung von regelmäßigen Online-
schulungen der Beschäftigten mit IT-Arbeitsplätzen für die Bereiche Daten-
schutz und IT-Sicherheit finden Präsenzschulungen zum allgemeinen Daten-
schutz sowie für den fachspezifischen Sozialdatenschutz statt. 
 
Folgende Leistungsdaten in diesem Zusammenhang liegen für den Zeitraum 
2019 bis einschließlich 06/2023 vor: 
Kategorie 
 
2019 2020 2021 2022 2023 
(06) 
Allgemeine Datenschutz-
schulungen 
3 4 6 1 0 
Sozialdatenschutzschu-
lungen 
2 1 1 1 2 
 
 
Fazit: 
 
Die beschriebene Aufgabenstruktur soll das Tätigkeitsspektrum des Datenschutzbeauf-
tragten, nämlich dessen gesetzlich geregelten Beratungs- und Überwachungsauftrag 
für die Stadtverwaltung, nachvollziehbar darlegen und Transparenz herstellen. Die 
quantitativen Fallzahlen vermitteln hierbei einen umfassenden Eindruck über die ge-
leistete Arbeit in diesem Zusammenhang.

2. Datenschutzbericht für die Stadt Köln 
/ 15 
 
Die Steuerungsfähigkeit für diese Aufgaben ist seitens des Datenschutzbeauftragten 
eingeschränkt: Welche und wie viele IT-Fachanwendungen oder Maßnahmen zur Auf-
tragsverarbeitung in die Zulässigkeitsprozesse eingehen (s. Ziff. 4a) hängt ausschließ-
lich von den zuständigen Dienststellen ab. Die Einbindung des Datenschutzbeauftrag-
ten bei Überwachungs- und Kontrollaufgaben der Landesbeauftragten für Datenschutz 
und Informationsfreiheit (LDI NRW) ist ebenfalls seitens I/1 nicht zu beeinflussen, da 
diese auf Beschwerden der Bürger*innen zurückgeht. 
 
Gleiches gilt für die Bewertung von Datenschutzverletzungen durch die städtischen 
Dienststellen und Beschäftigten sowie den Datenschutzbeauftragten. Hierbei ist zu 
dem Ergebnis festzustellen, dass allein die Tatsache der strukturierten Prüfung, Fest-
stellung und ggf. Meldung von Datenschutzverletzungen an die LDI NRW ein wichtiges 
Merkmal für die Qualität des gestalteten Datenschutzes bei der Stadt Köln ist. Jedes so 
aufgefallene und in einer Großorganisation wie der Stadt Köln nicht zu 100% zu verhin-
dernde Fehlverhalten, führt in der Konsequenz dazu, das die Sensibilität für ein daten-
schutzkonformes Verhalten zumindest im Nahumfeld der betroffenen Kollegen*innen 
bzw. der Organisationseinheit wächst, ggf. auch bei übergreifenden oder wiederkeh-
renden Problemen z. B. zu einem Informationsartikel des Datenschutzbeauftragten im 
Intranet führt (s. Informations-Beiträge auf der Intranet-Seite des Datenschutzbeauf-
tragten hier). 
 
II. Aufgabenwahrnehmung und Ressourcenbedarf im Bereich des behördlichen Daten-
schutzbeauftragten (Stabsstelle I/1) 
 
1. Organisationsentwicklung 
 
Nach Etablierung des informationellen Selbstbestimmungsrechtes als Grundrecht auf 
der Basis des Bundesverfassungsgerichtsurteils zur Volkszählung im Jahr 1983 wurde 
bei der Stadt Köln im Zuge der Einführung des Datenschutzgesetzes für Nordrhein-
Westfalen (DSG NRW) im Jahr 2001 erstmals die Funktion des Datenschutzbeauftrag-
ten eingerichtet. Im Jahr 2018 erfolgte die Zusetzung einer Vollzeitstelle als stellvertre-
tender Datenschutzbeauftragter. 
 
Die Anbindung des behördlichen Datenschutzbeauftragten erfolgte bis 06/2019 unmit-
telbar im Dezernatsbereich des*der Oberbürgermeisters*in. Seit 09/2021 ist das Team 
des Datenschutzbeauftragten als Stabsstelle I/1 im Dezernatsgeschäftsbereich der 
Stadtdirektorin angesiedelt. 
 
Beide Anbindungsvarianten entsprechen der gesetzlichen Anforderung, den Daten-
schutzbeauftragten an der „obersten Managementebene“ anzugliedern und gewähr-
leisten dadurch dessen weisungsfreie Aufgabenwahrnehmung sowie die notwendige 
unmittelbare Berichtslinie innerhalb der Verwaltung bis zur Oberbürgermeisterin (vgl. 
Art. 38 Abs. 3 DSGVO).

2. Datenschutzbericht für die Stadt Köln 
/ 16 
 
Koordiniert durch den Europäischen Datenschutzausschuss (EDSA) haben die europä-
ischen Datenschutzbehörden in 2023 mit einer koordinierten Prüfung zu Stellung und 
Aufgaben von Datenschutzbeauftragten begonnen. An der gemeinsamen europawei-
ten Prüfaktion beteiligen sich auch die deutschen Datenschutzbehörden. Im Rahmen 
der Prüfung sollen die Datenschutzbehörden insbesondere feststellen, ob die Daten-
schutzbeauftragten in ihren Organisationen gemäß der DSGVO die gesetzlich gefor-
derte Stellung haben und über die notwendigen Ressourcen zur Erfüllung ihrer Aufga-
ben verfügen. Hierzu sollen die Datenschutzbeauftragten zunächst Fragebögen erhal-
ten. Auf Grundlage der Antworten sollen ggf. weitere förmliche behördliche Untersu-
chungen eingeleitet werden. 
 
In Deutschland hat zunächst das Bayerische Landesamt für Datenschutzaufsicht 
(BayLDA) für den nicht-öffentlichen Sektor, also marktwirtschaftliche Unternehmen, mit 
der Prüfung zur jeweiligen Ausgestaltung des Datenschutzes begonnen. Eine Ausdeh-
nung auf die öffentlichen Institutionen durch Prüfung aller bundesdeutschen Aufsichts-
behörden und des Bundesdatenschutzbeauftragten ist hierbei nur eine Frage der Zeit. 
 
Für eine solche Prüfung ist die Stadt Köln bei der vorliegenden Organisationsstruktur 
gut aufgestellt. 
 
 
2. Aufgabenphilosophie  
 
Auf der Grundlage des Beratungs- und Überwachungsauftrages für die Stadtverwal-
tung verfolgt das Team des Datenschutzbeauftragten die Strategie eines offen zugäng-
lichen, rechtssicheren sowie disziplinübergreifenden und gleichzeitig jederzeit pragma-
tisch und lösungsorientierten Datenschutzes bei der Stadt Köln. 
 
Offen zugänglich bedeutet hierbei eine jederzeitige Bereitschaft mit Bürger*innen oder 
den städtischen Dienststellen / Beschäftigten über deren Fragen, Anregungen oder Be-
schwerden zu reden und hierbei rechtssichere Auskünfte, Bewertungen und Hand-
lungshinweise zu geben. Die Kontaktdaten des Datenschutzbeauftragten und seines 
Teams sind sowohl extern als auch stadt-intern veröffentlicht und erreichbar. 
 
Rechtssicherheit in Sachen Datenschutz wohnt der Aufgabenwahrnehmung immanent 
inne. Die Kollegen*innen im Team des Datenschutzbeauftragten werden intern fundiert 
eingearbeitet, mit entsprechenden fachbezogenen Zertifizierungsschulungen weiter 
qualifiziert und erhalten regelmäßige Fortbildungen. 
 
Die Beratung durch das Team des Datenschutzbeauftragten macht an den themati-
schen Grenzen des Datenschutzes nicht halt, sondern bewertet ganzheitlich und inter-
disziplinär, also „über den Tellerrand hinaus“, zu anstehenden Maßnahmen mit Daten-
schutzrelevanz. Erkannte Einflüsse auf andere Aufgaben- und Zuständigkeitsbereiche 
werden beschrieben, z. B. werden erkannte Beteiligungstatbestände anderer Dienst-
stellen oder der Personalvertretung aufgezeigt. 
 
Neben der rechtssicheren Beratung ist dem Team des Datenschutzbeauftragten die 
pragmatische und lösungsorientierte Aufgabenwahrnehmung wichtig. Zu Themenstel-
lungen, die sich innerhalb der rechtlichen Leitplanken des Datenschutzes bewegen, 
wurden und werden Wege zur Realisierung ausgelotet und regelmäßig gefunden.

2. Datenschutzbericht für die Stadt Köln 
/ 17 
Das beigefügte Schaubild (s. Anlage 8) veranschaulicht die beschriebene Art und 
Weise der Aufgabenerledigung des behördlichen Datenschutzbeauftragten gegenüber 
den Dienststellen sowie der Datenschutzaufsichtsbehörde (LDI NRW) gegenüber der 
Stadt Köln. Sowohl der Datenschutzbeauftragte als auch die Aufsichtsbehörde handeln 
hierbei im Rahmen des übertragenen Beratungs- und Überwachungsauftrages. 
 
 
3. Ressourcenstand und -bedarf 
 
Das Dezernat Allgemeine Verwaltung und Ordnung und der behördliche Datenschutz-
beauftragte (I/1) sind regelmäßig im Dialog bezüglich angezeigter organisatorischer 
Optimierungen. Die Organisatorischen Anforderungen sind durch nachfolgende Punkte 
geprägt:  
a. Laufende Zulässigkeitsprozesse 
 
Derzeit befinden sich Zulässigkeitsverfahren als laufende Maßnahmen in der 
Prüfung. Hierbei handelt es sich wesentlich um die bekannten Maßnahmen für 
IT-Fachanwendungen, Auftragsverarbeitungen (nach Art. 28 DSGVO) sowie 
Videoüberwachungen. 
 
Eine Übersicht hierzu liegt nicht vor, da die Maßnahmen regelmäßig erst doku-
mentiert werden, wenn die Schlusszeichnung der Datenschutzdokumente durch 
die zuständigen Amtsleitungen erfolgt ist. Geschätzt werden sich hier rd. 100 
bis 150 Maßnahmen im laufenden Prüfprozess befinden. 
 
 
b. Digitalisierungsanforderungen nach dem Onlinezugangsgesetz (OZG) 
 
Das „Gesetz zur Verbesserung des Onlinezugangs zu Verwaltungsleistungen“ 
(OZG) (Erlass vom 14.08.2017, Inkrafttreten am 18.08.2017) verpflichtet Bund 
und Länder ihre Verwaltungsleistungen bis Ende 2022 elektronisch über Ver-
waltungsportale anzubieten. Dabei wurden mehr als 6.000 Verwaltungsleistun-
gen zu 575 OZG-Leistungsbündeln zusammengefasst, von denen für 115 die 
Regelungs- und Vollzugskompetenz beim Bund liegt und bei weiteren 90 Leis-
tungen Länder und Kommunen zuständig sind. Bei 370 Leistungsbündeln liegt 
die Regelungskompetenz zwar beim Bund, der Vollzug aber bei den Ländern 
und Kommunen. Diese Zahlen verdeutlichen, dass die Digitalisierung der Ver-
waltung der ebenenübergreifenden Zusammenarbeit von Bund, den 16 Bundes-
ländern und den 11.000 Kommunen bedarf. 
 
Die Stadt Köln hat entsprechend konsequenterweise im November 2018 das 
Digitalisierungsprogramm 2019 - 2022 mit dem Schwerpunkt „Dienstleistungen 
für Bürger*innen und Unternehmen“ nach umfangreichen verwaltungsinternen 
Abstimmungen mit vier Teilprogrammen („Soziales und Familie“, „Bürgerdienste 
der Zukunft“, „Bürokratieabbau für Unternehmen“ und „Stärkung der Arbeitge-
bermarke“ aufgesetzt, die datenschutzrechtliche Relevanz haben, da mit diesen 
personenbezogene Daten verarbeitet werden. 
 
Bei der Umsetzung der Digitalisierungsprojekte wurde seitens der Stabsstelle 
Digitalisierung von Anfang an großer Wert auf eine durchgängige Digitalisierung 
der Verwaltungsprozesse gelegt. Eine reine Bereitstellung digitaler Antragsfor-
mulare ohne die erforderlichen Schnittstellen zur weiteren digitalen Bearbeitung

2. Datenschutzbericht für die Stadt Köln 
/ 18 
in Fachverfahren war aus strategischer Sicht nicht zielführend. In den Jahren 
2019-2022 wurden trotz Pandemie und Krisenmanagement 105 Projekte erfolg-
reich umgesetzt. 50 weitere Projekte werden in 2023 abgeschlossen und 14 
Projekte sind in der Umsetzung für 2024 und die Folgejahre. Das Digitalisie-
rungsprogramm umfasst dabei nicht nur Projekte unterschiedlicher Laufzeit und 
Komplexität, sondern wird auch kontinuierlich erweitert. Es umfasst u. a. Pro-
jekte, die auch neue gesetzliche Anforderungen wie zum Beispiel die „Einfüh-
rung der eID-Karte für Unionsbürger*innen“ oder den „Führerscheinpflichtum-
tausch“ abbilden. 
 
Weitere datenschutzrelevante Digitalisierungsprojekte sind nach Aussage der 
Stabsstelle Digitalisierung u. a.: 
 Maßnahmen und Projekte im Bereich „Digitale Bildung“ 
 
 Digitalisierungsprojekte in den Bereichen, Gesundheit (Digitalisierung 
der Basiskomponenten für den Gesundheitsbereich), Kultur oder Mobili-
tät und  
 
 Maßnahmen aus dem interkommunalen Projekt „EfA“, nämlich die Über-
nahme von Digitalisierungslösungen anderer Kommunen („Einer-für-
Alle“) 
 
Insbesondere im Bereich der „Einer-für-alle“ („EfA“-) Projekte zeigt die gemein-
same Erfahrung der Stabsstelle Digitalisierung und des Datenschutzbeauftrag-
ten, dass zwar technische Lösungen für die Digitalisierung von Verwaltungspro-
zessen durch Best-Practice-Beispiele angeboten werden, diese regelmäßig 
aber nicht durch die notwendigen Datenschutzfolgenabschätzungen abgesi-
chert werden. Auch sind solche Projekte immer wieder durch die qualitativ an-
spruchsvolle Verschachtelung von verschiedenen datenschutzrechtlichen Maß-
nahmen, z. B. als IT- oder Online-Anwendung unter gleichzeitiger Beauftragung 
externer Dienstleister für bestimmte Teildienstleistungen (Auftragsverarbeitung) 
gekennzeichnet. 
 
Seitens der Stabsstelle Digitalisierung wird im Rahmen der weiteren Fortfüh-
rung des Digitalisierungsprogramms signalisiert, dass zu den bisher bestehen-
den Maßnahmen eine weitere Anzahl – derzeit noch nicht quantifizierbarer – 
Projekte hinzukommen. 
Insgesamt ergibt sich die Notwendigkeit die anstehenden Projekte für die Stadt 
Köln datenschutzrechtlich abzusichern, indem die vorgeschriebenen Zulässig-
keitsprozesse nach der Dienstanweisung Datenschutz und Informationsfreiheit 
– unter Einbindung des Amts für Informationsverarbeitung (12)– und Beteiligung 
des Datenschutzbeauftragten bei Maßnahmen ab der Schutzstufe „C“ (als Da-
tenschutzfolgenabschätzungen) durchzuführen sind. 
 
Hierbei wird nicht nur den obligatorischen Regelungen zum Datenschutz Rech-
nung getragen, sondern den Bürger*innen auch seitens der Stadt Köln authen-
tisch signalisiert, dass die städtischen Dienstleistungen datenschutzkonform 
etabliert wurden. Anders sind die zu erzielenden Annahmequoten der städti-
schen IT-Angebote nicht erreichbar, da insbesondere der digitalskeptische An-
teil der Bevölkerung diese ggf. nicht im erforderlichen Umfang nutzen wird.

2. Datenschutzbericht für die Stadt Köln 
/ 19 
 
Im Abschlussbericht der „Transparenzkommission zum weiteren Bürokratieab-
bau und zur Standard-Überprüfung“ im Auftrag der Landesregierung NRW wird 
im Nov. 2021 zur Umsetzungsperspektive festgestellt, dass eine vollständige 
Digitalisierung des öffentlichen Bereiches in NRW noch 15 Jahre dauern wird. 
Auch hieran lässt sich der Umfang der Aufgabe, mit den damit in den Kommu-
nen anfallenden digitalen Transformationsaufwänden, abschätzen. 
 
c. Datenschutzaudits für die städtischen Dienststellen  
(Durchführung wurde bereits durch den Verwaltungsvorstand beschlossen, s. 
Ziff. I.3) 
 
III. Entwicklung und Herausforderungen 
 
1. Entwicklung des Datenschutzes 
 
Die Entwicklung des Datenschutzes bei der Stadt Köln unter Berücksichtigung u. a. der 
Einführung der DSGVO und der anstehenden Digitalisierungsanforderungen sowie des 
wachsenden Beratungsbedarfes durch die Bürger*innen, die Dienststellen und städti-
schen Beschäftigten ist der schematischen Darstellung in der Anlage 9 zu entnehmen. 
 
Nach Entwicklung des Datenschutzschutzes als bürgerlicher Rechtsanspruch mit Ver-
ankerung im Grundgesetz durch das Bundesverfassungsgericht im Jahr 1983 im Rah-
men des sogenannten Volkzählungsurteils hat sich der Beratungsbedarf innerhalb der 
Stadtverwaltung und auch das Bewusstsein der Bürger*innen bezüglich ihrer Rechte 
erst langsam und stufenweise entwickelt. Die Einflussmöglichkeiten des behördlichen 
Datenschutzbeauftragten, Impulse zur Umsetzung datenschutzrechtlicher Vorgaben in 
die Verwaltung zu geben, haben sich erst spürbar mit der Einführung des Landesda-
tenschutzgesetzes NRW (DSG NRW) im Jahr 2001 ergeben. 
 
Deutlich erkennbar ist eine nochmals signifikant anwachsende Sensibilität seit Erlass 
bzw. finaler Anwendbarkeit der DSGVO (in 2016 bzw. 2018) sowohl bei den Kolle-
gen*innen, sich datenschutzkonform zu verhalten, als auch bei den Bürger*innen, die 
ihre Rechte aus der DSGVO kennen und vermehrt ausüben. Auf der Basis der regelba-
sierten Ordnung (extern: insbesondere DSGVO und DSG NRW – stadtintern: Daten-
schutzmanagementkonzept und Dienstanweisung Datenschutz und Informationsfrei-
heit) waren auch wachsend Impulse des Datenschutzbeauftragten in die Verwaltung 
hinein notwendig, mit dem Ziel, die Aufgabenwahrnehmung der städtischen Dienststel-
len und Beschäftigten für die Bürger*innen datenschutzkonform zu gestalten und Re-
gelverstöße zu vermeiden. Die Ausführungen zur Aufgabenstruktur und den Leistungs-
daten des Datenschutzbeauftragten unter Ziff. I.4 beschreiben die Art und Weise dieser 
operativen Impulsarbeit. 
 
Die laufende digitale Transformation stellt hierbei die Verwaltung und das Team des 
Datenschutzbeauftragten vor weitere erhebliche quantitative und qualitative Herausfor-
derungen (s. Ziff. III.2).

2. Datenschutzbericht für die Stadt Köln 
/ 20 
2. Digitalisierung 
 
Die Transformation der bestehenden Verwaltungsprozesse in eine möglichst weitest-
gehend digitalisierte Form ist die vordringlichste Aufgabe unserer Zeit. Alle Beteiligten 
an diesem, die Verwaltungen elementar verändernden Prozess, sind hierbei gefordert 
sich mit ihren Kompetenzen und Ressourcen einzubringen: 
 Dez. IX und die Stabsstelle Digitalisierung verwaltungspolitisch und koordinie-
rend, 
 
 das Amt für Informationsverarbeitung (12) in beratender/ realisierender Funk-
tion sowie bei der operativen Durchführung der Vorhaben und als zentraler IT-
Dienstleister der Stadt Köln, 
 
 der/ die IT-Sicherheitsverantwortliche (12/1), 
 
 die Dienststellen in operativ-inhaltlicher Aufgabenverantwortung und 
 
 der/ die behördliche Datenschutzbeauftragte (I/1) zum Schutz der personenbe-
zogenen Daten der Bürger*innen sowie der Beschäftigten. 
 
Substanzieller Datenschutz ist hierbei von mitentscheidender Bedeutung, denn: Nach-
vollziehbar beachteter Datenschutz stärkt das Vertrauen der Bürger*innen in die öffent-
liche Verwaltung und damit auch die notwendige Annahmebereitschaft in die angebote-
nen digitalen Produkte / Dienstleistungen der Stadtverwaltung Köln. Diese Erkenntnis 
ist auch zwischenzeitlich in den Datenschutzaufsichtsbehörden angekommen – die 
Berliner Beauftragte für Datenschutz und Informationsfreiheit, Frau Meike Kamp, äu-
ßerte sich jüngst wie folgt dazu: „Das Vertrauen der Menschen ist ausschlaggebend 
dafür, dass die Verwaltungsdigitalisierung erfolgreich ist.“ (TAGESSPIEGEL vom 
23.05.23). 
 
Darüber hinaus führen digitalisierte Verwaltungsprozesse, die datenschutzkonform de-
signt und in Betrieb genommen werden, dazu, Verstöße gegen datenschutzrechtliche 
Regelungen zu vermeiden, z. B. fehlende Datenschutzinformationen, Verarbeitung von 
zu vielen personenbezogenen Daten oder fehlende bzw. unangemessene Löschfristen. 
Entsprechende Verstöße fallen hierbei regelmäßig auf, wenn sich betroffene Bürger*in-
nen entweder direkt bei der Stadt Köln oder über die Landesbeauftragte für Daten-
schutz und Informationsfreiheit (LDI NRW) beschweren. Neben dann bestehenden 
Nachbesserungsbedarf entstehen zum Teil erhebliche Aufwände für die ggf. erforderli-
chen Stellungnahmen an die Aufsichtsbehörde. Hier drohen auch potentielle Reputati-
onsverluste einer ggf. immer wieder strukturell auffälligen Verwaltung bei der LDI 
NRW. 
 
Auf die besonderen Digitalisierungsanforderungen, die sich aus dem Onlinezugangs-
gesetz (OZG) für die Stadt Köln und die Prozessbeteiligten ergeben, wird an dieser 
Stelle verwiesen (s. Ziff. II.3.d)

2. Datenschutzbericht für die Stadt Köln 
/ 21 
3. Datenschutzauditierung der Stadt Köln (extern) 
 
Neben der im Rahmen der Überwachungsaufgaben des Datenschutzbeauftragten 
durchzuführenden Audits der städtischen Dienststellen als prozessunabhängige Prü-
fung des Datenschutzumsetzungsstandes (s. Ziff. I.3) wird auch die externe Zertifizie-
rung des Datenschutzes der Stadt Köln nach Art. 42 DSGVO angestrebt. 
 
Hierbei sind genormte und standardisierte Auditierungsverfahren vorgesehen, die aus-
schließlich von akkreditierten Zertifizierungsstellen durchgeführt werden können. Ein 
DSGVO-Zertifikat stellt hierbei ein Element dar, wie Unternehmen oder Behörden den 
Nachweis erbringen, dass die Organisationseinheiten DSGVO-konform arbeiten. 
 
Eine entsprechende Zertifizierung bietet folgende Vorteile für die Stadt Köln: 
 Umsetzung von Rechenschaftspflichten / Compliance 
 
Unternehmen und Behörden müssen Rechenschaft darüber ablegen, ob sie in 
ihren Datenverarbeitungen den Datenschutz einhalten (nach Art. 5 Abs. 2 
DSGVO). Ein DSGVO-Zertifikat belegt, dass eine eigenständige Prüfung rege-
lungskonform durchgeführt wurde. 
 
 
 Besserer Datenschutz 
 
Durch eine unabhängige Begutachtung steigt das Datenschutzniveau insge-
samt. Ebenso verstärkt sich intern die Motivation bei allen Beteiligten (Verwal-
tungsspitze, Leitungskräfte, Beschäftigte, Datenschutzbeauftragte*r), Daten-
schutzthemen umzusetzen, wenn davon eine Zertifizierung abhängt. 
 
 
 Besseres Image 
 
Bürger*innen legen vermehrt den Fokus auf Datenschutz – durch ein DSGVO-
Zertifikat ergibt sich ein erhöhtes Vertrauen in den Umgang mit den personenbe-
zogenen Daten sowie eine verbesserte Annahmebereitschaft städtischer IT-un-
terstützter Dienstleistungsangebote. 
 
In Deutschland entscheidet die jeweils zuständige Aufsichtsbehörde auf Grundlage 
einer Akkreditierung durch die Deutsche Akkreditierungsstelle (DAkkS), ob jemand 
als Zertifizierungsstelle agieren darf und welche Inhalte für eine erfolgreiche Auditie-
rung vorzuweisen sind. Die Aufsichtsbehörden des Bundes und der Länder sind 
derzeit intensiv mit der Definition dieser Vorgaben in der Form von „Leitlinien an das 
Akkreditierungsverfahren“ beschäftigt. 
 
Sobald die entsprechenden Rahmenbedingungen geschaffen sind, wird ein solche 
Akkreditierungsprozesses angestrebt. Grundlage hierfür wird eine entsprechende 
Befassung und Befürwortung durch den Verwaltungsvorstand sein.

2. Datenschutzbericht für die Stadt Köln 
/ 22 
Fazit/ Ausblick 
In der Gesamtschau ist sowohl auf der Grundlage des seinerzeitigen ersten Datenschutzberichtes 
(in 2017) als auch der zwischenzeitlichen Entwicklung festzustellen, dass sich der Datenschutz bei 
der Stadtverwaltung Köln insgesamt in einem werthaltigen und funktionierenden Zustand befindet. 
Verantwortlichkeiten und Prozesse zu datenschutzrechtlichen und IT-sicherheitstechnischen Erfor-
dernissen, die dem Schutz der personenbezogenen Daten der Bürger*innen sowie der Beschäftig-
ten der Stadt Köln dienen, sind definiert, eingeübt und werden umgesetzt. 
Grundlage für den hohen datenschutzrechtlichen Umsetzungstand sind aus Sicht des behördlichen 
Datenschutzbeauftragten hierbei insbesondere: 
 die Entscheidungen der Stadtspitze (Verwaltungsvorstand) die städtischen Basisdoku-
mente, nämlich das Datenschutzmanagementkonzept sowie die Dienstanweisung Daten-
schutz und Informationsfreiheit, für die Stadtverwaltung Köln als verbindlich umzusetzen zu 
erklären, 
 
 die konstruktive Zusammen- und Mitarbeit des Amtes für Informationsverarbeitung (12) bei 
der Umsetzung der datenschutzrechtlichen Vorgaben insbesondere im Rahmen der Inbe-
triebnahmeprozesse für IT-Fachanwendungen und der Realisierung von Maßnahmen der 
Auftragsverarbeitung (nach Art. 28 DSGVO), 
 
 die fachlich enge und vertrauensvolle Zusammenarbeit mit dem IT-Sicherheitsverantwortli-
chen (12/1), 
 
 das jederzeit konstruktive Zusammenwirken mit dem Dezernat Stadtentwicklung, Wirt-
schaft, Digitalisierung und Regionales (Dez. IX) und insbesondere auch der dortigen Stabs-
stelle Digitalisierung (IX/2) 
 
 die gute und vertrauliche Zusammenarbeit mit den für die datenschutzrechtliche Umset-
zung verantwortlichen Leitungen der Dienststellen, 
 
 den Kollegen*innen in der Funktion der dezentralen Datenschutzkoordination bei den 
Dienststellen und  
 
 nicht zuletzt allen städtischen Kollegen*innen in den Dienststellen, die im Rahmen ihrer 
Aufgabenwahrnehmung jederzeit auch den Blick für die datenschutzrechtlichen Anforde-
rungen beweisen und in aufwachsender Intensität Fragen zu korrektem Verhalten an das 
Team des Datenschutzbeauftragten richten. 
Trotzdem ist keine Organisation zu 100% vor Datenschutzverstößen bzw. Datenschutzverletzun-
gen geschützt – Fehler der handelnden Menschen passieren und können auch mit noch so viel 
Regelungen und Vorgaben nicht gänzlich vermieden werden. Entscheidend ist die lernende Reak-
tion aus diesen Fehlern, nämlich der regelkonforme Umgang z.B. mit Datenschutzverletzungen 
(Dokumentation und ggf. Meldung an die Datenschutzaufsicht), die Heilung ggf. strukturell fehler-
hafter Prozesse und Sensibilisierung der unmittelbar betroffenen Beschäftigten und Informationen 
für alle Kollegen*innen über Intranet-Beiträge. 
Festgestellte Informationslücken bei der Regelanwendung in der Fläche werden durch die bei der 
Qualitätsstanderhebung (s. Ziff. I.2) beschriebenen Maßnahmen sukzessive geschlossen. Insbe-

2. Datenschutzbericht für die Stadt Köln 
/ 23 
sondere erfolgt in einem ersten Schritt die Sensibilisierung der Führungskräfte im Rahmen der ak-
tuell durchgeführten Datenschutzaudits in den Dienststellen (s. Ziff. I.3). In einem zweiten Schritt 
sollen dann flächendeckend auch die Beschäftigten in den Dienststellen einbezogen werden. 
Der angelaufene Transformationsprozess zu einer weitestgehend digitalisierten Verwaltung ist für 
alle Beteiligten, vom Amt für Informationsverarbeitung, der Stabsstelle Digitalisierung, den Dienst-
stellen und dem Team des Datenschutzbeauftragten, sowohl aus quantitativer Sicht, also mit Blick 
auf die Vielzahl der umzustellenden Verwaltungsvorgänge als auch aus qualitativer Sicht, also das 
Bewerten und Umsetzen neuer Arbeitsstrukturen wie z. B. der sog. Einer-für-alle-Leistungen, Por-
tallösungen und hiermit zusammenhängende Dienstleistungen in der Form von Auftragsverarbei-
tungen, incl. Verhandlungen mit externen Dienstleistern zu Beratungs-, Wartungs- oder Cloud-
Leistungen, eine enorme, ressourcenintensive Herausforderung. Immer wieder tritt hier die Stadt 
Köln auf als Wegbereiterin datenschutzkonformer Maßnahmenrealisierung. 
Derzeit ist durch den Bundesgesetzgeber ein Änderungsgesetz zum Onlinezugangsgesetz (OZG) 
in Vorbereitung, das weitere ambitionierte Ziele für den Digitalisierungsprozess der Verwaltung mit 
sich bringen wird und geht über die bisher definierten 575 Verwaltungsdienstleistungen weit hin-
aus. Insgesamt gehen Experten, auch mit Blick darauf, dass die ersten Ziele des OZG nicht von 
allen Verwaltungseinheiten erreicht wurden, davon aus, dass die Digitalisierung auf absehbare Zeit 
eine Daueraufgabe sein wird und damit die vor beschriebenen Anstrengungen aller Beteiligten bei 
der Stadtverwaltung Köln auch weiterhin fordert. 
Der Datenschutzbeauftragte bedankt sich an dieser Stelle bei allen beteiligten Führungskräften für 
die konstruktive Übernahme der Verantwortung in Sachen Datenschutz und allen städtischen Kol-
legen*innen für die gezeigte Sensibilität und den Willen, sich datenschutzkonform zu verhalten so-
wie das Vertrauen, das dem Team des Datenschutzbeauftragten, ausgedrückt auch durch die Viel-
zahl der Anfragen, entgegengebracht wird.

2. Datenschutzbericht für die Stadt Köln 
/ 24 
 
Beauftragter für den Datenschutz der Stadt Köln (I/1) 
Stadthaus Deutz - Westgebäude 
Willy-Brandt-Platz 2, 50679 Köln 
 
Frank Fricke 
Telefon: 0221/ 221-22457 
Datenschutzbeauftragter@Stadt-Koeln.de  
www.stadt-koeln.de

Mitteilung Ausschuss

2416 Zeichen

Dezernat, Dienststelle  
I/I 
 
Vorlagen-Nummer 15.01.2024 
 3863/2023 
Mitteilung 
öffentlicher Teil 
Gremium Datum 
Digitalisierungsausschuss 22.01.2024 
 
Zweiter Bericht des behördlichen Datenschutzbeauftragten der Stadt Köln 
Die EU-Datenschutzgrundverordnung (DSGVO) sieht keine ausdrückliche Verpflichtung zur 
Erstellung regelmäßiger Berichte über den Datenschutz vor. Dennoch besteht aufgrund von 
erheblich gesteigerten Rechenschafts- und Kontrollpflichten zur Einhaltung des Datenschut-
zes hohes Interesse seitens der Verantwortlichen bei der Stadt Köln sowie des Datenschutz-
beauftragten an einem zusammenfassenden Bericht über einen angemessenen Zeitraum. 
 
Erstmals wurde im Jahr 2016 ein solcher Bericht vorgelegt. Zielrichtung seinerzeit war es, den 
Ist-Zustand des Datenschutzes bei der Stadtverwaltung Köln unter anderem anhand der gere-
gelten Organisationstruktur, der Verteilung der Verantwortlichkeiten sowie einer Übersicht 
über den Aufgabenbestand darzustellen. Besonderes Augenmerk wurde dabei auf die Rege-
lungen der ab Mai 2018 verbindlich anzuwendenden Datenschutzgrundverordnung der Euro-
päischen Union (DSGVO) und deren Auswirkungen auf die Stadtverwaltung Köln gelegt, ver-
bunden mit einem Vorschlag zur operativen Umsetzung dieser neuen Regelungen. 
 
Nach dieser ersten Bestandsaufnahme erfolgt nunmehr der insoweit 2. Datenschutzbericht für 
die Stadt Köln, der Auskunft über den „Ist-Zustand“ der Datenschutzorganisation gibt. 
 
Die Ausführungen des 2. Datenschutzberichtes knüpfen im zeitlichen Ablauf an den „Sach-
standsbericht Datenschutz“ an und beschreiben die Aufgabenentwicklung ab 2017 bis heute 
(s. Ziff. I), zeigen auf in welcher Art und Weise die Aufgaben des behördlichen Datenschutz-
beauftragten quantitativ und qualitativ erledigt werden sowie welche Faktoren den Ressour-
cenbedarf beeinflussen (s. Ziff. II). Darüber hinaus geht der Bericht auf die bestehenden Her-
ausforderungen, die sich für die städtischen Dienststellen und den Datenschutz aus den Digi-
talisierungsnotwendigkeiten als entscheidende Zukunftsaufgabe ergeben, ein (s. Ziff. III). 
 
Damit richtet sich dieser Bericht auf die organisatorischen Strukturen, die Qualität der Aufga-
benwahrnehmung und die innovative Fortentwicklung des Datenschutzes bei der Stadt Köln. 
 
Gez. Blome 
 
 
Anlagen: 
Anlage 1: Zweiter Datenschutzbericht  
Anlage 2: Anlagen zum Zweiten Datenschutzbericht

Anlage_2_Anlagen zum Zweiten Datenschutzbericht

7455 Zeichen

Beauftragter für den Datenschutz
2. Datenschutzbericht
________________________________________________________________________
Folie 1
Anlagenverzeichnis:
Anlage 1: Ablaufdarstellung zur DSGVO-Umsetzung
Anlage 2: Interdisziplinäre Projektgruppe DSGVO
Anlage 3: Bewertungskriterien zur Qualitätsstanderhebung
Anlage 4: Bewertungsmatrix „DS-Regelungen vorhanden“
Anlage 5: Bewertungsmatrix „DS-Regelungen bekannt“
Anlage 6: Organisation und Verantwortlichkeiten zum Datenschutz
Anlage 7: Aufgabenstruktur im Bereich des Datenschutzbeauftragten (I/1)
Anlage 8: Aufgabenphilosophie der Stabsstelle I/1
Anlage 9: Quantitative und qualitative Entwicklung des Datenschutzes im Zeitverlauf

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 1)
________________________________________________________________________
Folie 2
Ablaufdarstellung zur DSGVO-Umsetzung
interdisziplinäre
Projektgruppe
Beschluss
Verwaltungsvorstand
. 
Umsetzungsphasen
Vorgehensmodell
Datenbank-/Formularlösung
Umsetzung
im Fachamt
Initiative des behördlichen
Datenschutzbeauftragten

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 2)
________________________________________________________________________
Folie 3
Interdisziplinäre Projektgruppe DSGVO
Projektgruppe 
zur 
Umsetzung 
der EU-
DSGVO bei 
der Stadt Köln
12 /
13
bDSB
12/1
(IT-Si.)
Büro 
OBGPR
11
Dez./
Dst.
(dez. 
DSK)
Umsetzungsverantwortung
obliegt verantwortlicher
Stelle bzw. Verantwortlichen fach-/ inhaltliche
Koordination
IT-sicherheitstechn.
Umsetzung
Federführung als Verantwortlicher
Dienstvereinb.
aktualisieren
operationale 
Verantwortung
organisatorische
Begleitung
IT-technische
Umsetzung

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 3)
________________________________________________________________________
Folie 4
Kriterien zur Erfüllung der Regelungen nach der 
DSGVO 
Inhaltliche Fragestellung
Datenschutzmanagementkonzept zur Erfüllung der 
Rechenschaftspflichten
Ist das Datenschutzmanagementkonzept bekannt und werden 
die Inhalte umgesetzt?
Verantwortlichkeiten im Datenschutz Sind die Verantwortlichkeiten (verantwortliche Stelle, dez. DS-
Koordinatoren, bDSB) bekannt und werden diese umgesetzt?
Beachtung des Prinzips der Datenminimierung (insb. 
Erforderlichkeit)
Werden nur die für die Aufgabenwahrnehmung notwendigen 
personenbezogenen Daten erhoben?
datenschutzrechtliche und IT-sicherheitstechnische 
Zulässigkeitsverfahren
Sind die verschiedenen Prüfprozesse z. B. für die 
Inbetriebnahme von IT-Fachanwendungen, Videoüberwachung 
bekannt?
technisch-organisatorische Maßnahmen (TOM) im Fachamt 
/ in dem Unternehmen entsprechend dem Stand der 
Technik
Sind die eingesetzten IT-Fachanwendungen auf dem neuesten 
Stand und werden entsprechend der Schutzstufe sichere TOM 
eingesetzt?
Verpflichtung der Beschäftigten auf den Datenschutz und 
Schulungsmaßnahmen
Sind die Beschäftigten sensibilisiert auf den Datenschutz und 
ausreichend geschult?
Sicherstellung der Rechte der Betroffenen Werden insb. Auskunfts- und Löschbegehren zeitnah geprüft und 
umgesetzt?
Bewertungskriterien zur Qualitätsstanderhebung (1)

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 3)
________________________________________________________________________
Folie 5
Bewertungskriterien zur Qualitätsstanderhebung (2)
Kriterien zur Erfüllung der Regelungen nach der 
DSGVO 
Inhaltliche Fragestellung
Sicherstellung der Meldepflichten bei 
Datenschutzverletzungen
Werden Datenschutzverstöße erkannt und ist bekannt, was 
darauf hin zu veranlassen ist?
Prüfung der Maßnahmen bei Auftragsverarbeitung 
(Vertragsmanagement)
Werden Maßnahmen zur Auftragsverarbeitung erkannt und sind 
die entsprechenden Prüfschritte bekannt?
Datenübermittlung an andere öffentliche und nicht-
öffentliche Stellen
Wird bei der Datenübermittlung an andere datenschutzrechtliche 
Aspekte berücksichtigt? 
(Frage: "Darf ich die personenbezogenen Daten 
weitergeben…?")
Umsetzung der Informationspflichten nach Art. 13, 14 
DSGVO (Datenschutzerklärungen)
Werden die Bürger*innen bei Erhebung der personenbezogenen
Daten entsprechend und gesetzeskonform über den Umgang mit 
dem Datenschutz durch die verantwortliche Dienststelle 
informiert?

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 3)
________________________________________________________________________
Folie 6
Bewertungskriterien zur Qualitätsstanderhebung (3)
Kriterien zur Erfüllung der Regelungen nach der 
DSGVO 
Inhaltliche Fragestellung
Erhebung von Daten für festgelegte, eindeutige und 
legitime Zwecke (Zweckbindung)
Werden die erhobenen personenbezogenen Daten nur für 
den ursprünglichen Zweck verwendet und werden bei 
Zweckänderungen die gesetzlichen Vorschriften 
berücksichtigt?
Erfüllung der Dokumentationspflichten (insb. 
Verarbeitungsverzeichnisse)
Wird für jede Verarbeitung personenbezogener Daten ein 
Verarbeitungsverzeichnis geführt?
Gewährleistung der Datenschutzkontrolle durch den 
bDSB
Sind Kontrollen (prozessabhängige bzw. 
prozessunabhängige) der Aufgabenwahrnehmung der 
Dienststellen durch den bDSB geregelt und werden diese 
durchgeführt?
Umsetzung der Löschfristen (Speicherbegrenzung) Werden Löschfristen festgelegt und umgesetzt? Werden 
personenbezogene Daten nur solange gespeichert, wie 
erforderlich?

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 4)
________________________________________________________________________
Folie 7
Bewertungsmatrix „DS-Regelungen vorhanden“

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 5)
________________________________________________________________________
Folie 8
Bewertungsmatrix „DS-Regelungen bekannt“

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 6)
________________________________________________________________________
Folie 9
Organisation und Verantwortlichkeiten zum Datenschutz

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 7)
________________________________________________________________________
Folie 10
Aufgabenstruktur: Verteilung zu einzelnen operativen Aufgabenfeldern 
Beratung städt. 
Fachdienststellen
30%
Beratung Bürger*innen
5%
DSFA/ Zulässigkeitsprozesse (IT-
Fachanw./ AVV/ Videoüberw.)
30%
Überwachungsaufgaben (incl. 
DS-Verletzungen, Audits, LDI-
Kommunikation)
20%
Restaufgaben 
(Schulung MA, AK etc.)
15%

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 8)
________________________________________________________________________
Folie 11
Aufgabenphilosophie: Rechtssichere, praxis- und lösungsorientierte Aufgabenwahrnehmung
Überwachung durch die Aufsichtsbehörde (LDI NRW)
Beratung durch die Aufsichtsbehörde (LDI NRW)
Beratung durch den Datenschutzbeauftragten
(Ziel: rechtssicher, interdisziplinär, pragmatische Umsetzbarkeit)
Überwachung durch den Datenschutzbeauftragten 
(ausgerichtet auf Rechtssicherheit)
Verantwortliche Stelle Stadt Köln:
Dezernate und Dienststellen
(bei Verarbeitung personenbezogener Daten)

Beauftragter für den Datenschutz
2. Datenschutzbericht (Anlage 9)
________________________________________________________________________
Folie 12
Sensibilität/ Beratungsdarf
Zeit/ Ereignisse
BVerfG-Urteil 1983
DSG NRW 2001
DSGVO
Mai 2018
Impulse durch bDSB (-/0)
Impulse durch bDSB (+) Impulse durch 
bDSB (++)
DSGVO
Mai 2016
Impulse durch
bDSB (++/+)
Bürger*innen
Beschäftigte
Auftragsverarbeiter
Quantitative und qualitative Entwicklung des Datenschutzes im Zeitverlauf

Beratungsverlauf (1)

22.01.2024 Digitalisierungsausschuss
TOP 2.2 Kenntnisnahme (Mitteilung) Entscheidung

Beschluss: Kenntnis genommen

Zur Sitzung

Details

Aktenzeichen
3863/2023
Typ
Mitteilung Ausschuss
Datum
15.01.2024
Erstellt
21.11.2023 14:46