0345/2020
Ergebnis der überörtlichen Prüfung der Gemeindeprüfungsanstalt zur Umsetzung der DSGVO bei der Stadt Köln im Jahr 2019
KI-Zusammenfassung
Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.
KI-Analyse läuft...
vergangen
Was passiert gerade?
- 📄 Dokumente werden analysiert...
- 🤔 KI denkt nach (Reasoning-Modell)...
- ✍️ Zusammenfassung wird geschrieben...
- ⏳ Das dauert etwas länger bei komplexen Dokumenten...
Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.
Mitteilung Ausschuss
3286 Zeichen
Die Oberbürgermeisterin Dezernat, Dienststelle I/ 30/1 (bDSB) Vorlagen-Nummer 0345/2020 Mitteilung öffentlicher Teil Gremium Datum Unterausschuss Digitale Kommunikation und Organisation 09.03.2020 Ergebnis der überörtlichen Prüfung der Gemeindeprüfungsanstalt zur Umsetzung der DSGVO bei der Stadt Köln im Jahr 2019 Der Verwaltungsvorstand hat in seiner Sitzung am 17.12.19 u.a. beschlossen, den Transformations- prozess zur Umsetzung der EU-Datenschutzgrundverordnung (DSGVO) für die Stadt Köln als erfolg- reich abgeschlossen anzusehen (s. hierzu Mitteilung 0337/2020). Unabhängig davon erfolgte zum Ende 2019 eine überörtliche Prüfung der Gemeindeprüfungsanstalt NRW (GPA NRW) u.a. zum Stand der Umsetzung der DSGVO in den kreisfreien Städten des Lan- des, so auch bei der Stadt Köln. Über das Ergebnis der Prüfung der GPA NRW bei der Stadt Köln soll dieses Gremium informiert wer- den (Bericht s. Anlage): Im Rahmen eines ausführlichen Informationstermins des behördlichen Datenschutzbeauftragten und seines Stellvertreters am 14.11.19 vor Vertretern der GPA NRW wurden folgende für den Umset- zungsprozess der DSGVO wesentliche Themenbereiche evaluiert: Die Behördenleitung als verantwortliche Stelle i.S.d. DSGVO Funktion und Stellung des Datenschutzbeauftragten (DSB) Regelungen zum Datenschutz (bei der Stadt Köln), insb. Datenschutzmanagementkonzept der Stadt Köln sowie Dienstanweisung Datenschutz und Informationsfreiheit Beschäftigtendatenschutz Verzeichnis der Verarbeitungstätigkeiten Informationspflichten Auftragsverarbeitung Technische und organisatorische Maßnahmen Meldungen bei Verletzung des Datenschutzes Datenschutz-Folgenabschätzung 2 Der Stand der durch die GPA NRW festgestellten Umsetzungstiefe für die v.g. Themenbereiche bei der Stadt Köln ist dem beigefügten Bericht auf Seite 4 zu entnehmen. Die mit einer Ausnahme für alle Themen festgehaltene 100%-ige Umsetzung spiegelt sich in der Ab- schlussbewertung mit einer „sehr guten Gesamteinschätzung“ wider (s. Seite 12). Die einschränkende Bewertung im Bereich „Informationspflichten“ resultiert aus einem den GPA- Prüfern aufgefallenen Beispiel einer Datenschutzerklärung im Bewerbercenter, die nach dortiger Auf- fassung eine zu lange Speicherdauer der Bewerberdaten vorsah. Die Datenschutzerklärung wurde zwischenzeitlich überarbeitet. Die von hier i.d.Z. vorgenommene Aussage zur Umsetzung der Informationspflichten („…kann […] weitestgehend gewährleistet werden.“) erfolgte vor dem Hintergrund, dass zwar alle Vorgaben zur Umsetzung im Rahmen der DSGVO-Umsetzung erfolgt sind und die zuständigen Fachdienststellen zur prioritären Umsetzung bis Mai 2018 regelhaft aufgefordert waren, es bei der Vielzahl der verfah- rensspezifisch bereitzustellenden Informationen aber nicht auszuschließen ist, dass dem Daten- schutzbeauftragten insbesondere aufgrund von Eingaben von Bürgern und Bürgerinnen Sachverhalte bekannt werden, die Anpassungen an den Datenschutzerklärungen erfordern (s. Seite 8 des Berich- tes). Im Rahmen der Prüfung wurde seitens der Vertreter der GPA NRW signalisiert, dass die Stadt Köln im interkommunalen Vergleich als im Datenschutz beispielhaft führende Kommune angesehen wird.
GPA NRW_Datenschutz-Bericht Stadt Köln
26118 Zeichen
Stadt Köln Umsetzung der DSGVO 00342 Seite 1 von 13 ÜBERÖRTLICHE PRÜFUNG Umsetzung der DSGVO der Stadt Köln im Jahr 2019 Stadt Köln Umsetzung der DSGVO 00342 Seite 2 von 13 INHALTSVERZEICHNIS Datenschutz als kommunale Aufgabe 3 Ausgangslage 3 Erhebung des Sachstandes und Dokumentation 3 Umsetzung der Anforderungen in der Stadt Köln 4 Verantwortung der Behördenleitung 4 Funktion und Stellung des DSB 5 Regelungen zum Datenschutz 6 Beschäftigtendatenschutz gem. § 18 DSG NRW 7 Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO 7 Informationspflichten gem. Art. 13 ff. DSGVO 8 Auftragsverarbeitung gem. Art. 28 f. DSGVO 9 Weitere „technische und organisatorische Maßnahmen“ 10 Meldungen bei Verletzungen des Datenschutzes gem. Art. 33 f. DSGVO 10 Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO 11 Einschätzung des aktuellen Umsetzungsstandes 12 Stadt Köln Umsetzung der DSGVO 00342 Seite 3 von 13 Datenschutz als kommunale Aufgabe Ausgangslage Die Datenschutz-Grundverordnung (DSGVO) wurde im April 2016 von den Gremien der EU be- schlossen und gilt seit dem 25.05.2018 unmittelbar in den Mitgliedsstaaten. Gleichzeitig wurde das Datenschutzgesetz NRW (DSG NRW) grundlegend verändert und an die neuen Bestim- mungen angepasst. Es füllt nunmehr die Öffnungsklauseln der DSGVO auf Landesebene aus bzw. setzt die Regelungsaufträge um. Die Einführung der neuen DSGVO führt somit zu einer neuen Struktur des Datenschutzrechts, wenngleich zentrale materielle Kernelemente und Regelungen, wie z. B. die Zweckbindung der Daten, beibehalten bleiben. Eine wesentliche Änderung der DSGVO ist eine verstärkte Einbindung der Behördenleitungen zur Umsetzung der datenschutzrechtlichen Vorgaben. Insgesamt erfordert die DSGVO ein um- fassendes Zusammenspiel von behördlichen Datenschutzverantwortlichen, Organisationsver- antwortlichen, IT-Beauftragten und Fachabteilungen. Erhebung des Sachstandes und Dokumentation In Köln wurde das Gespräch zur Erhebung des Sachstandes zur aktuellen Umsetzung der DSGVO am 14. November 2019 mit dem Datenschutzbeauftragten und seinem Stellvertreter geführt. Die Inhalte wurden kurzfristig nach den Gesprächen gemeinsam für diese Dokumenta- tion abgestimmt. Der vorliegende „dokumentierte Sachstand“ bildet damit die Grundlage für die Aufnahme des Abschnitts „Umsetzung der DSGVO“ in den noch zu fertigenden abschließenden Prüfungsbe- richt. Stadt Köln Umsetzung der DSGVO 00342 Seite 4 von 13 Umsetzung der Anforderungen in der Stadt Köln Zur Umsetzung der Vorgaben aus der DSGVO sind alle Kommunen in NRW verpflichtet. Im In- terview wurden die jeweiligen Anforderungen erörtert und der Umsetzungsstand bestimmt. Schematisch lässt sich der aktuell (November 2019) erreichte Stand wie folgt darstellen. Die Ausprägung der Balken dient nur der Verdeutlichung. Sie soll insofern zunächst einen grafi- schen Eindruck von der in der Stadt Köln erreichten Umsetzungsreife vermitteln. Die Darstellung repräsentiert – bezogen auf die jeweilige rechtliche Anforderung - demzufolge keinen erreichbaren Maximalwert, sondern soll aufzeigen, inwieweit bereits Handlungsnotwen- digkeiten erkannt und konkrete Maßnahmen geplant oder sogar schon umgesetzt wurden. Nachfolgend werden die einzelnen Anforderungen detaillierter beschrieben. Verantwortung der Behördenleitung Die DSGVO weist dem „Verantwortlichen“ bei der Verarbeitung personenbezogener Daten eine zentrale Rolle zu. „Verantwortlicher“ ist nach Art. 4 Nr. 7 DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Stadt Köln Umsetzung der DSGVO 00342 Seite 5 von 13 Für Kommunalverwaltungen bedeutet dies, dass „Verantwortlicher“ für die Verarbeitung perso- nenbezogener Daten im Sinne der DSGVO die für die Verarbeitung zuständige öffentliche Stelle ist und damit „die Behörde“. Diese kann durch interne Regelungen festlegen, wer die vielfältigen Pflichten des Verantwortli- chen in der öffentlichen Stelle konkret erfüllen soll und kann dabei zwischen zentralen An- sprechpartnern für IT, Organisation und Datenschutz sowie den Fachabteilungen differenzieren. Dabei verbleibt die so genannte „Letztverantwortlichkeit“ immer bei der Behördenleitung. Gem. Art. 24 DSGVO setzt die Behördenleitung daher geeignete technische und organisatori- sche Maßnahmen um. Hierbei hat sie die Art, den Umfang und die Zwecke der Verarbeitung so- wie die Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natür- licher Personen zu berücksichtigen. Darüber hinaus ist die Behördenleitung auch Adressat der Rechte der betroffenen Personen nach Art. 12 ff. DSGVO. Der Verantwortliche hat nicht nur die Rechtmäßigkeit der von ihm verantworteten Verarbeitun- gen personenbezogener Daten zu gewährleisten, sondern muss auch den Nachweis dafür er- bringen, dass die Datenverarbeitung im Einklang mit den Vorgaben der DSGVO erfolgt (sog. Rechenschaftspflicht, Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Die Rechenschaftspflicht besteht gegenüber der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfa- len (LDI NRW). Die Gesamtverantwortung für die Umsetzung des Datenschutzes liegt bei der Oberbürgermeis- terin der Stadt Köln. Die Amtsleitungen verantworten den Datenschutz für ihre Fachdienststel- len. Die Amtsleitungen der Fachdienststellen benennen für ihren Verantwortungsbereich jeweils eine/n dezentrale/n Datenschutzkoordinator/in als Ansprechpartner/in für die dortigen Beschäf- tigten und Bürger. Daneben sind die Beschäftigten verpflichtet, die Vorgaben des Datenschut- zes in ihrem Aufgabenbereich zu beachten. Die verschiedenen Verantwortungsebenen hat die Stadt Köln in einer Pyramide visualisiert und im Datenschutzmanagementkonzept zur Erfüllung der Rechenschafts- und Dokumentationspflichten (Accountability) veröffentlicht. Das Datenschutzmanagementkonzept bildet den Überbau des modular aufgebauten Daten- schutz- und IT-Managementsystems der Stadt Köln. Es hat zum Ziel, die Vorgehensweise zur Erfüllung der umfassenden Rechenschafts- und Dokumentationspflichten nach Art. 5 Abs. 2, Art. 24 Abs. 1 der DSGVO darzustellen. Die technischen und organisatorischen Maßnahmen werden auf Grundlage einer Risikobewer- tung festgelegt, die die schutzwürdigen Belange bei Missbrauch bzw. den Verlust der personen- bezogenen Daten berücksichtigt. Zur Auswahl erforderlicher und angemessener Sicherheits- maßnahmen in Bezug auf den Datenschutz werden personenbezogene Daten nach dem Grad möglicher Beeinträchtigung aus der Perspektive der betroffenen Person sowie der schutzwürdi- gen Belange bei Missbrauch dieser Daten in fünf Schutzstufen untergliedert. Für die Risikobe- wertung wird ein Datenklassifizierungsbogen vorgegeben. Funktion und Stellung des DSB Nach Art. 37 DSGVO muss der Verantwortliche einen Datenschutzbeauftragten (DSB) benen- nen, der die notwendige berufliche Qualifikation und das Fachwissen vorweisen kann, um die ihm obliegenden Aufgaben sachgerecht erfüllen zu können. Der Verantwortliche ist verpflichtet Stadt Köln Umsetzung der DSGVO 00342 Seite 6 von 13 die Kontaktdaten des DSB auf der Homepage zu veröffentlichen und ihn bei der Landesbeauf- tragten für Datenschutz und Informationsfreiheit zu melden. Zu den originären Aufgaben des DSB zählen im Wesentlichen die Überwachung und Kontrolle der Einhaltung der datenschutzrechtlichen Vorschriften sowie die Beratung der Verantwortli- chen und Mitarbeiter. Eine Ausweitung der Zuständigkeiten ist möglich, soweit die zu übertra- genden Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen. Dem DSB sind zur Er- füllung der Aufgaben die erforderlichen Ressourcen zur Verfügung zu stellen. Ihm ist ferner der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zu gewährleisten. Der Verantwortliche muss in geeigneter Weise sicherstellen, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Bei der Stadt Köln sind ein behördlicher Datenschutzbeauftragter und ein ständiger Stellvertre- ter benannt und bei der LDI gemeldet worden. Der berufene DSB sowie der Stellvertreter besit- zen die in Art. 37 Absatz 5 DSGVO geforderte berufliche Qualifikation und das Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Beide haben neben ihrer Tätig- keit als behördliche DSB keine weiteren Aufgaben übertragen bekommen. Auf der Website der Stadt Köln sind die Kontaktdaten und umfangreiche Informationen zu den Aufgaben des Daten- schutzbeauftragten veröffentlicht worden. Der Aufgabenbereich des DSB wurde an die neuen Vorgaben der DSGVO anpasst. Der DSB ist gem. § 8 der Dienstanweisung Datenschutz und Informationsfreiheit frühzeitig und umfas- send im Rahmen der datenschutzrechtlichen Zulässigkeitsprozesse zu konsultieren. Der DSB berichtet dem Stadtdirektor und damit gem. Art. 38 Absatz 3 Satz 3 DSGVO unmittel- bar der höchsten Managementebene. Des Weiteren erstellt der DSB in unregelmäßigen Ab- ständen Datenschutzberichte sowie zwei Mal jährlich einen internen Sachstandsbericht. Regelungen zum Datenschutz Aus Art. 24 Absatz 2 DSGVO lässt sich ableiten, dass es der Leitung der jeweiligen öffentlichen Stelle insbesondere obliegt, ein Datenschutzkonzept aufzustellen, mit dem sichergestellt wird, dass im Zuständigkeitsbereich der öffentlichen Stelle die datenschutzrechtlichen Pflichten erfüllt und datenschutzrechtliche Bestimmungen eingehalten werden. Dies setzt voraus, dass daten- schutzrechtliche Zuständigkeiten konkret einzelnen Organisationseinheiten oder Personen in- nerhalb der öffentliche Stelle zugewiesen und notwendige Verfahrensabläufe festgelegt werden. Vorgaben der DSGVO, die die IT-Sicherheit betreffen sind in ein IT-Sicherheitskonzept, eine IT- Sicherheitslinie oder vergleichbares Dokument aufzunehmen. Berechtigungs- und Löschkon- zepte sind wichtige interne Regelungen, um die datenschutzrechtlichen Pflichten umzusetzen. Wie bereits dargestellt, bildet das Datenschutzmanagementkonzept den Überbau des modular aufgebauten Datenschutz- und IT-Managementsystems der Stadt Köln. Ein Baustein sind die Regelungen und Anweisungen, worunter auch die Dienstanweisung „Datenschutz und Informa- tionsfreiheit“ gefasst ist. Ergänzend hat die Stadt Prozessbeschreibungen und Formulare der datenschutzrechtlichen und IT-sicherheitstechnischen Zulässigkeitsprozesse für Verarbeitungs- tätigkeiten, insbesondere Datenschutzfolgenabschätzungen erstellt. Des Weiteren unterstützt Stadt Köln Umsetzung der DSGVO 00342 Seite 7 von 13 das „Handbuch der Stadtverwaltung Köln“ die Umsetzung der rechtlichen Vorgaben als Leitfa- den im dienstlichen Alltag. Bei der Stadt Köln bestehen Zugriffsberechtigungen im Active Directory und innerhalb der Fach- verfahren. Bei Mitarbeiterwechseln gibt es einen Meldedienst, welcher die Änderung der Zu- griffsberechtigungen sicherstellt. Die Dienstanweisung zum Datenschutz und Informationsfreiheit enthält Regelungen zur Lö- schung von Daten. Nach § 10a der Dienstanweisung werden keine allgemein gültigen Löschre- geln und Löschfristen definiert, sondern die Verantwortlichen erarbeiten für jede Verarbeitung eigenständige Löschkonzepte und –routinen. Darüber hinaus sind die Löschfristen und entspre- chenden Verantwortlichkeiten im Verarbeitungsverzeichnis zu hinterlegen. Beschäftigtendatenschutz gem. § 18 DSG NRW Auf der Grundlage von Art. 88 DSGVO regelt § 18 Abs. 1 DSG NRW den Beschäftigtendaten- schutz. Hiernach gelten für die Verarbeitung von personenbezogenen Daten von Bewerberin- nen und Bewerbern sowie Beschäftigten besondere Voraussetzungen. Diese Daten dürfen nur verarbeitet werden, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Beschäftigungsverhältnisses oder zur Durchführung organisatorischer, personeller und sozialer Maßnahmen, insbesondere zu Zwecken der Personalplanung und des Personaleinsatzes, er- forderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung dies vor- sieht oder die oder der Beschäftigte eingewilligt hat. Die Bestandsmitarbeiterinnen und -mitarbeiter wurden im Mai 2018 über die verarbeiteten Be- schäftigtendaten durch eine Beilage zum Gehaltszettel informiert. Neue Kräfte werden bei der Einstellung datenschutzrechtlich mit verbindlicher Unterschrift verpflichtet. Schulungen werden seitens des DSB angeboten, E-Learning-Module zum Datenschutz und der IT-Sicherheit sind in konkreter Planung. Die Personalvertretung wurde seitens des DSB in mehreren Terminen über die Regelungen der DSGVO und insbesondere den Beschäftigtendatenschutz informiert. Bei der Verarbeitung und Veröffentlichung von Mitarbeiterfotos wird die Einwilligung der betroffenen Personen eingeholt. Bewerberdaten dürfen nur zweckgebunden gespeichert werden, was in der Regel nur das Be- werbungsverfahren umfasst. Sollte der Verantwortliche die Daten länger speichern wollen, be- nötigt er dafür eine Einverständniserklärung des Bewerbers. Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO Gem. Art. 30 DSGVO sind die Verantwortlichen verpflichtet ein Verzeichnis von Verarbeitungs- tätigkeiten zu führen. Bevor neue Verarbeitungen in das Verzeichnis aufgenommen werden, soll dem Datenschutzbeauftragten die Gelegenheit zur Stellungnahme gegeben werden. Das Verar- beitungsverzeichnis muss neben den automatisierten Verarbeitungen (Programme/Fachverfah- ren) auch nicht-automatisierte Verarbeitungen (Karteien/Archive) umfassen. Grundsätzlich ist der Verantwortliche zur Führung des Verarbeitungsverzeichnisses verpflichtet. Er kann diese Pflicht jedoch auf den DSB übertragen. Aber auch im Übertragungsfall muss der Verantwortli- che weiterhin für die Vollständigkeit und Aktualität des Verzeichnisses sorgen. Stadt Köln Umsetzung der DSGVO 00342 Seite 8 von 13 Sämtliche Tätigkeiten der Stadt Köln, mit denen personenbezogene Daten verarbeitet werden, werden von den zuständigen Fachdienststellen in Verarbeitungsverzeichnissen dokumentiert. Hierzu zählen IT-Fachanwendungen, Auftragsverarbeitungen/gemeinsame Verantwortlichkei- ten, allgemeine Verarbeitungstätigkeiten sowie Videoüberwachung. Die Verarbeitungsverzeichnisse sind Dokumentationen der datenschutzrechtlichen und IT-si- cherheitstechnischer Zulässigkeitsprüfungen. Die Eintragungen werden im IT-Sicherheitsportal (Datenbanklösung) zentral erfasst. In der Dienstanweisung ist geregelt, dass der DSB Form und Inhalt der Datenschutzdokumente vorgibt und die ordnungsgemäße Umsetzung überwacht. Der DSB hat die Datenschutz-Koordi- natoren im Vorfeld geschult. Er erhält alle Verarbeitungsverzeichnisse zur Kenntnis und doku- mentiert die erforderlichen datenschutzrechtlichen Konsultationen. Informationspflichten gem. Art. 13 ff. DSGVO Sachstand Die Datenschutzhinweise im Bewerbungsprozess entsprechen nicht den Vorgaben der DSGVO. Bei der Erhebung von personenbezogenen Daten hat der Verantwortliche Informationspflichten gem. Art. 13 f. DSGVO zu beachten. Die Informationen sind in präziser, transparenter, ver- ständlicher Form und in einer klaren und einfachen Sprache zu erteilen. Bei Papierformularen sollten zumindest die Grundinformationen sowie ein Hinweis mitgeteilt werden, wo weiterge- hende Informationen erhältlich sind. Bei der Erhebung im Internet sollte auf der Erhebungsseite ein deutlich sichtbarer Link auf die Informationen verweisen. Bei einem Einsatz von Videoüber- wachung müssen Hinweistafeln über die datenschutzrechtlichen Grundinformationen informie- ren. Bei der Umsetzung der Informationspflichten bei der Stadt Köln werden drei verschiedene Ebe- nen unterschieden. Zum einen werden in der allgemeinen Datenschutzerklärung die grundsätz- lichen Regelungen im Umgang der Stadt Köln mit dem Datenschutz dargestellt. Daneben wer- den den Betroffenen bei jeder Aufgabe, bei der personenbezogene Daten erhoben werden, ver- fahrensspezifische Datenschutzerklärungen und –einwilligungen zur Verfügung gestellt. Zuletzt werden Informationen zu ordnungsbehördlichen Verfahren auf der Internetseite bereitgestellt. Nach Auskunft der Gesprächspartner kann die Umsetzung der Informationspflichten weitestge- hend gewährleistet werden. Das operative Vorgehensm odell zur DSGVO-Umsetzung hat die Gewährleistung der entsprechenden Informationsrechte prioritär zum Mai 2018 beinhaltet. Die Informationsrechte sind auch elementarer Bestandteil der datenschutzrechtlichen Zulässigkeits- prozesse z.B. für IT-Fachanwendungen und Auftragsverarbeitung. Strukturell sind somit alle Vorgaben für die Umsetzung der Anforderungen der DSGVO nach Art. 13, 14 gelegt. Im Rah- men der datenschutzrechtlichen Beratung und Kontrolle fallen ungeachtet dessen immer mal wieder einzelne Verarbeitungsvorgänge auf, in denen die Datenschutzinformationen nachzureg- luieren sind. Stadt Köln Umsetzung der DSGVO 00342 Seite 9 von 13 Bei neuen Online-Services, bei denen personenbezogenen Daten erhoben werden, wird durch einen Freigabeprozess sichergestellt, dass die pflichtigen Informationen mitgeteilt werden. Soll- ten die Vorgaben nach Art. 13 DSGVO nicht umgesetzt sein, erfolgt keine Freischaltung der Dienstleistung durch das Amt für Informationsverarbeitung. Allerdings entsprechen die Datenschutzhinweise im Bewerbungsprozess nicht den Vorgaben der DSGVO. Zum einen beziehen sich die genannten Rechtsgrundlagen auf die alte Rechts- lage. Zum anderen werden die Bewerberdaten für die Dauer von zwei Jahren ab Eingang der Bewerbung gespeichert, sofern der Bewerber dieser Vorgehensweise nicht schriftlich wider- spricht. Bei der Stadt Köln sind Kameras zur Überwachung von kommunalen Einrichtungen bzw. öffent- lich zugänglichen Bereichen installiert. Die Informationspflichten werden durch angebrachte Hinweistafeln mitgeteilt. Hierzu wird ein eigens entwickeltes Muster genutzt, welches einen QR- Code zu einer Internetseite mit weiteren Informationen beinhaltet. Hinweis Der Verantwortliche sollte die Datenschutzhinweise im Bewerbungsprozess an die Regelun- gen der DSGVO anpassen. Auftragsverarbeitung gem. Art. 28 f. DSGVO Bei der Auftragsvergabe muss die Behördenleitung die Geeignetheit des Auftragsverarbeiters prüfen. Zur Prüfung können u. a. Verhaltensregeln oder Zertifizierungen nach Art. 40 DSGVO herangezogen werden. In einem Vertrag sind Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festzulegen. Ältere Verträge über Auftragsverarbeitungen sind an die neuen Vorgaben der DSGVO anzupassen. Bei der Stadt Köln besteht über den datenschutzrechtlichen Zulässigkeitsprozess im Verarbei- tungsverzeichnis eine Übersicht über die Auftragsverarbeitungen. Die Auftragsverarbeitungen werden ebenfalls anhand der o. g. Schutzstufen bewertet. Die Einhaltung der TOMs bei den Auftragnehmern und Auftragsverarbeitern werden über eine sog. Checkliste Datenschutz ver- bindlich dokumentiert. Diese ist Bestandteil des Verarbeitungsvertrages. Ab der Schutzstufe C wird die Einhaltung der technischen und organisatorischen Maßnahmen (TOMs) durch die Stadt vor Ort überprüft. Die bestehenden Verträge zur Auftragsverarbeitung wurden an die Vorgaben der DSGVO an- gepasst. Darüber hinaus wurde seitens der Stadt ein Muster für Verträge erstellt, welches in der Stadt Köln Umsetzung der DSGVO 00342 Seite 10 von 13 Regel als Grundlage für neue Vertragsabschlüsse genutzt wird. Spezielle Verarbeitungsver- zeichnisse für Auftragsverarbeitung wurden entwickelt. Weitere „technische und organisatorische Maßnahmen“ Gem. Art. 24 Abs. 1 und Art. 32 DGSVO stellt die Behördenleitung sicher, dass geeignete TOMs zum Schutz der verarbeiteten Daten getroffen werden. Zum Nachweis im Rahmen der Rechenschaftspflicht gem. Art. 5 DSGVO sollen die ergriffenen Maßnahmen schriftlich doku- mentiert werden. Wie bereits dargestellt werden die Schutzbedarfe im Verarbeitungsverzeichnis dokumentiert. Auf Grundlage der Schutzbedarfsfeststellung werden mithilfe einer Checkliste unterschiedliche TOMs abgeleitet. Die eingesetzten Fachverfahren werden grundsätzlich auf datenschutzfreundliche Voreinstel- lungen (Datensparsamkeit/Privacy by Default/Privacy by Design) geprüft. Die Sensibilisierung der Beschäftigten hinsichtlich der Einhaltung der datenschutzrechtlichen Vorgaben erfolgt auf verschiedene Weise. Zunächst sind im städtischen Intranet Informationen zum Datenschutz bereitgestellt. Daneben hat der DSB die dezentralen Datenschutzkoordinato- ren geschult. Des Weiteren bietet der DSB allgemeine und spezielle Datenschutzschulungen an. Perspektivisch soll eine E-Learning-Plattform zur Sensibilisierung und Fortbildung in den Themen Datenschutz und IT-Sicherheit genutzt werden. Sowohl die Beschäftigten als auch Praktikanten unterschreiben eine schriftliche Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen. Die Verpflichtung wird zentral durch das Personalamt vorgenommen und dokumentiert. Meldungen bei Verletzungen des Datenschutzes gem. Art. 33 f. DSGVO Datenschutzverletzungen sind innerhalb von 72 Stunden der LDI NRW zu melden, es sei denn, die Verletzung führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Darüber hinaus sind die Betroffenen über die Datenschutzverletzungen zu informie- ren, falls die Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freihei- ten der Personen zur Folge hat. Zur Meldung von Verstößen hat die LDI NRW ein Formular be- reitgestellt. Die Datenschutz Dienstanweisung für die Stadtverwaltung Köln beinhaltet die wichtigsten Vor- gaben der DSGVO zum Umgang mit Datenschutzverstößen. Darüber hinaus sind im Intranet weitere Hinweise und Vordrucke veröffentlicht. Die Risikobewertung wird durch die Fachdienst- stelle mit dem DSB und dem IT-Sicherheitsverantwortlichen geprüft und bewertet. Die ggf. erfor- derliche Meldung erfolgt durch die zuständige Fachdienststelle. Bis zum Zeitpunkt der Prüfung wurden etwa ein Dutzend Datenschutzverletzungen an die LDI gemeldet. Stadt Köln Umsetzung der DSGVO 00342 Seite 11 von 13 Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO Eine Datenschutz-Folgenabschätzung (DSFA) ist durchzuführen, wenn die Verarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Der Verantwortliche muss hierzu zunächst die Risiken der Verarbeitungen beschrei- ben und bewerten. Er muss anschließend entscheiden, ob ein hohes Risiko besteht und folglich eine Datenschutz-Folgenabschätzung durchzuführen ist. Der Verantwortliche muss sowohl neue Verarbeitungen als auch bestehende Verarbeitungen bewerten, die weitreichend geändert wurden. Anhand der Risikobewertung muss der Verantwortliche Maßnahmen zur Abhilfe formu- lieren und umsetzen. Im Rahmen des datenschutzrechtlichen Zulässigkeitsprozesses werden die Risiken für die Rechte und Freiheiten der betroffenen Personen eingeschätzt, die durch Verarbeitung entste- hen können. Der gesamte Prozess zur Durchführung der DSFA ist ein einem Prozessablaufplan modelliert und in der Dienstanweisung Datenschutz und Informationsfreiheit festgehalten. Die Verantwortung für die Durchführung der DSFA obliegt der zuständigen Fachdienststelle. Diese bedient sich der Beratung und Unterstützung der für die technische Datenverarbeitung zuständigen Organisationseinheit (Amt für Informationsverarbeitung) sowie des IT-Sicherheits- verantwortlichen. Die Beratung wird in einem strukturierten datenschutzrechtlichen Konsultati- onsprotokoll erfasst und im Verarbeitungsverzeichnis dokumentiert. Stadt Köln Umsetzung der DSGVO 00342 Seite 12 von 13 Einschätzung des aktuellen Umsetzungsstan- des Die Stadt Köln hat ein umfassendes Datenschutzmanagementsystem etabliert. Dabei greift sie auf ein eigens entwickeltes Datenschutzmanagementkonzept zurück, welches den Oberbau des modularen aufgebauten Datenschutz- und IT-Managementsystem bildet. Mit den weiteren Regelungen und Anweisungen verfügt die Stadt über gute und individuelle Vorgaben. Die Verantwortung zur Gewährleitung des Datenschutzes und der IT-Sicherheit wurde im Da- tenschutzmanagementkonzept sowie der Dienstanweisung Datenschutz und Informationsfrei- heit eindeutig geregelt. Neben der Gesamtverantwortung der Oberbürgermeisterin setzen die weiteren Leitungskräfte der verschiedenen Ebenen die Vorgaben der DSGVO im Wesentlichen um. Die Beschäftigten beachten den Datenschutz in ihrem Tätigkeitsbereich und setzen ihn ent- sprechend um. Insgesamt ist die Stadt Köln die Umsetzung der Vorgaben der DSGVO planvoll und strategisch angegangen. Ein zentrales Element ist die datenschutzrechtliche Zulässigkeitsprüfung, welche u. a. auch die Risikobewertung und ggf. DSFA umfasst. Sämtliche Tätigkeiten sind in den Ver- arbeitungsverzeichnissen zu dokumentieren. Darüber hinaus überwacht der DSB den Stand der Umsetzung der DSGVO. Hierzu zählen be- sonders die Umsetzung der Informationspflichten und datenschutzrechtlichen Zulässigkeitspro- zesse. Dennoch wurde im Rahmen der Prüfung zumindest Nachholbedarf im Bereich des Da- tenschutzes bei den Informationspflichten festgestellt. Dies trübt die insgesamt sehr gute Ge- samteinschätzung geringfügig. Stadt Köln Umsetzung der DSGVO 00342 Seite 13 von 13 Kontakt Gemeindeprüfungsanstalt Nordrhein-Westfalen Heinrichstraße 1, 44623 Herne Postfach 10 18 79, 44608 Herne t 0 23 23/14 80-0 f 0 23 23/14 80-333 e info@gpa.nrw.de i www.gpa.nrw.de
Beratungsverlauf (1)
Beschluss: zurückgestellt
Zur SitzungDetails
- Aktenzeichen
- 0345/2020
- Typ
- Mitteilung Ausschuss
- Datum
- 31.01.2020
- Erstellt
- 29.01.2020 17:41