Mandari Insight

1555/2019

Strukturierte Qualitätsstanderhebung zum Datenschutz bei der Stadt Köln sowie Sachstandsdarstellung zur Umsetzung der Datenschutzgrundverordnung (DSGVO) ein Jahr nach Inkrafttreten

Mitteilung Ausschuss 07.05.2019

KI-Zusammenfassung

Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.

KI-Analyse läuft...

vergangen

Was passiert gerade?

  • 📄 Dokumente werden analysiert...
  • 🤔 KI denkt nach (Reasoning-Modell)...
  • ✍️ Zusammenfassung wird geschrieben...
  • ⏳ Das dauert etwas länger bei komplexen Dokumenten...

Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.

Nächste Beratung: Unterausschuss Digitale Kommunikation und Organisation, Sitzung am 17.06.2019, TOP 3.3

Mitteilung Ausschuss

· application/pdf

Ansehen

Sachstandsdarstellung zur Umsetzung der DSGVO_Anlage 3 zur Mitteilung 1555-2019

· application/pdf

Ansehen

Qualitätsstandserhebung Datenschutz Stadt Köln_Anlage 2 zur Mitteilung 1555-2019

· application/pdf

Ansehen

Einzelmaßnahmen zur Qualitätsstandserhebung_Anlage 1 zur Mitteilung 1555-2019

· application/pdf

Ansehen

Mitteilung Ausschuss

16132 Zeichen

Die Oberbürgermeisterin 
Dezernat, Dienststelle  
OB/01/01 
 
Vorlagen-Nummer 07.05.2019 
 1555/2019 
Mitteilung 
öffentlicher Teil 
Gremium Datum 
Unterausschuss Digitale Kommunikation und Organisation 17.06.2019 
 
Strukturierte Qualitätsstanderhebung zum Datenschutz bei der Stadt Köln sowie 
Sachstandsdarstellung zur Umsetzung der Datenschutzgrundverordnung (DSGVO) ein Jahr 
nach Inkrafttreten 
 
 
 
Auf der Grundlage des vom Verwaltungsvorstand am 11.12.18 beschlossenen Datenschutzma-
nagementkonzeptes zur Erfüllung der Rechenschafts- und Dokumentationspflichten nach der DSG-
VO (s. Mitteilung im UdiKO zu Session 0101/2019) wurden Maßnahmenkriterien hergeleitet, die ge-
eignet sind, den Qualitätsstand zum Datenschutz sowie zur Umsetzung der DSGVO in einer Kom-
munalverwaltung in strukturierter Art und Weise zu erheben und systematisch zu bewerten (s. Ziff. I). 
  
Zeitgleich wird ein Jahr nach Inkrafttreten der DSGVO der Stand der Umsetzung bei der Stadt Köln 
dargestellt (s. Ziff. II.). 
 
 
 
I. Strukturierte Qualitätsstanderhebung zum Datenschutz bei der Stadt Köln 
 
Im Rahmen des Inkrafttretens der EU-Datenschutzgrundverordnung (DSGVO) zum 25.05.18 
sind umfassende Rechenschafts- und Dokumentationspflichten zum Nachweis der Einhaltung 
der datenschutzrechtlichen Vorgaben zu erfüllen (s. Art. 5 Abs. 2 und 24 Abs. 1 DSGVO). Der 
Verwaltungsvorstand hat sich mit seinem Beschluss vom 11.12.18 als erste große Kommunal-
verwaltung, landes- bzw. bundesweit auf die vorgeschriebenen Regelungen nach dem europäi-
schen Datenschutzrecht umfassend und mit Gültigkeit für alle Organisationseinheiten und Be-
schäftigten der Stadtverwaltung Köln verpflichtet (s. Session 3767/2018). 
 
Auf der Grundlage dieses Datenschutzmanagementkonzeptes als stadtintern gerichtetes In-
strument der Selbstbindung zur Gewährleistung von Datenschutz und IT-Sicherheit wurden ins-
gesamt 15 Maßnahmen hergeleitet, die geeignet sind, den Qualitätsstand zum Datenschutz 
sowie zur Umsetzung der DSGVO in einer Kommunalverwaltung in strukturierter Art und Weise 
zu erheben und systematisch zu bewerten. Aus den Ergebnissen der Bewertung lassen sich of-
fene datenschutzrechtliche Handlungsbedarfe ableiten.

2 
 
 
 
Folgende 15 Einzelmaßnahmen wurden für die Qualitätsstandserhebung herangezogen: 
 
Datenschutzmanagementkonzept zur 
Erfüllung der Rechenschaftspflichten 
Prüfung der Maßnahmen bei Auf-
tragsverarbeitung (Vertragsmanage-
ment) 
Verantwortlichkeiten im Datenschutz Datenübermittlung an andere öffentli-
che und nicht-öffentliche Stellen 
Beachtung des Prinzips der Datenmi-
nimierung (insb. Erforderlichkeit) 
Umsetzung der Informationspflichten 
nach Art. 13, 14 DSGVO (Datenschutz- 
und Einwilligungserklärungen) 
datenschutzrechtliche und IT-
sicherheitstechnische Zulässigkeitsver-
fahren 
Erhebung von Daten für festgelegte, 
eindeutige und legitime Zwecke 
(Zweckbindung) 
technisch-organisatorische Maßnah-
men im Fachamt entsprechend dem 
Stand der Technik 
Erfüllung der Dokumentationspflichten 
(insb. Verarbeitungsverzeichnisse) 
Verpflichtung der Beschäftigten auf den 
Datenschutz und Schulungsmaßnah-
men 
Aufrechterhaltung des Datenschutzes 
im laufenden Betrieb (Datenschutzkon-
trolle) 
Sicherstellung der Rechte der Betroffe-
nen 
Umsetzung der Löschfristen (Speicher-
begrenzung) 
Sicherstellung der Meldepflichten bei 
Datenschutzverletzungen 
 
 
 
 
 Die mit den Bewertungsmaßnahmen verbundenen operativen Fragestellungen entnehmen Sie 
bitte der Anlage 1. 
 
Die 15 einzelnen Maßnahmen sind in einem ersten Schritt im Rahmen eines Treffens zum eu-
ropäischen Datenschutztag am 28.01.19 von den dezentralen Datenschutzkoordinatoren/innen 
der Fachdienststellen mit der Fragestellung „Wie erleben Sie in Ihrer Funktion als dezentrale 
Datenschutzkoordinatoren/innen die Umsetzung vor Ort?“ und „Sind die Maßnahmen bekannt 
und werden beachtet?“ bewertet worden (hier nach Erfüllungsgrad der Einzelmaßnahmen von 0 
bis 100%; s. Folie 7 der Anlage 2). Das Ergebnis entnehmen Sie bitte der Folie 8 der Anlage 2. 
 
In einem zweiten Schritt, mit etwas veränderter Fragestellung ist die Bewertung der Maßnah-
men aus Sicht des Datenschutzbeauftragten vorgenommen worden: „Sind die Maßnahmen ge-
regelt (etabliert) und für alle Verantwortlichen bekannt?“ (Ergebnis s. Folie 10 der Anlage 2). 
 
 
Zwischenfazit: 
 
Die Auswertungen in den Übersichten zeigen, dass sowohl aus Sicht der dezentralen Daten-
schutzkoordinatoren/innen als auch des Datenschutzbeauftragten die Maßnahmen zum Daten-
schutz qualitativ weitgehend über dem definierten Soll-Minimum (= 80% Erfüllungsgrad) liegen.  
 
 
Handlungsbedarfe: 
 
Aus den Ergebnissen beider Bewertungen ergeben sich konkrete Handlungsanleitungen, näm-
lich bei den Einzelmaßnahmen, die im Erfüllungsgrad unterhalb des Soll-Minimums von 80% 
liegen (s. Folien 11 bis 13 der Anlage 2). Hierbei ist eine Übereinstimmung der Einschätzungen 
der dezentralen Datenschutzkoordinatoren/innen und des Datenschutzbeauftragten für zwei 
Maßnahmen festzustellen (s. nachfolgende lfd. Nr. 1 und 2).

3 
 
 
Handlungsbedarf ergibt sich demnach bei folgenden datenschutzrechtlichen Bewertungsmaß-
nahmen: 
 
1. Sicherstellung der Meldepflichten bei Datenschutzverletzungen (70%) 
 
Grundlage für die Umsetzung der Meldepflicht von Datenschutzverletzungen gegenüber 
der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI NRW) ist die 
„Dienstanweisung Datenschutz und Informationsfreiheit für die Stadt Köln i.d.F. v. 
11.12.18“ (s. dort § 16). Aufgrund des erkannten Handlungsbedarfes sind hierzu allge-
meine Informationen (s. hier) und konkrete Handlungsanweisungen im Intranet seitens 
des Datenschutzbeauftragten veröffentlicht worden (s. hier). Zur operativen Abwicklung ist 
ein verbindlich zu verwendendes Standardmeldeformular mit gezielten Fragestellungen zu 
einer ggf. vorliegenden datenschutzrechtlichen Verletzung bereitgestellt. 
 
 
2. Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnahmen (75%) 
 
Gemeinsam mit dem Amt für Personal und Verwaltungsmanagement ist seitens des Da-
tenschutzbeauftragten vorgesehen, dass jede/r Beschäftigte einmal im Jahr verbindlich 
einen Online-Schulungskurs zum Datenschutz und IT-Sicherheit absolviert, um die ent-
sprechende Sensibilisierung zu gewährleisten und Sicherheitsrisiken zu minimieren 
(Sachstand: Ausschreibung erfolgt im Laufe 2019). 
 
 
3. Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten (75%) 
 
Der Datenschutzbeauftragte hat die Informationen dazu im Intranet für alle Beschäftigten 
veröffentlicht (s. hier) und das Datenschutzkonzept in seinem Intranet-Auftritt zur Verfü-
gung gestellt (s. hier). 
 
Weitere regelmäßige Informationsmaßnahmen werden als notwendig erkannt und seitens 
des Datenschutzbeauftragten durchgeführt. 
 
 
4. Erfüllung der Dokumentationspflichten, insb. Verarbeitungsverzeichnisse (75%) 
 
Für alle datenschutzrechtlichen Maßnahmen stehen Verarbeitungsverzeichnisse zur Erfül-
lung der Dokumentationspflichten zur Verfügung: s. hierzu Ausführungen im Daten-
schutzmanagementkonzept (Ziff. V.), in der Dienstanweisung Datenschutz und Informati-
onsfreiheit (§ 19 und 23) sowie im unter Ziff. 3. bereits genannten Intranet-Auftritt des Da-
tenschutzbeauftragten. 
 
Weitere regelmäßige Informationsmaßnahmen werden als notwendig erkannt und seitens 
des Datenschutzbeauftragten durchgeführt. 
 
 
5. Beachtung des Prinzips der Datenminimierung; insb. Erforderlichkeit (75%) 
 
Seitens des Datenschutzbeauftragten wird zu verschiedenen Verarbeitungsvorgängen 
festgestellt, dass insb. in der Vergangenheit teilweise mehr Daten als erforderlich im 
Rahmen der Aufgabenwahrnehmung durch die Fachdienststellen erhoben werden. Hier 
ist jede Dienststelle aufgefordert, Anträge, Formulare oder sonstige Dokumente zu über-
prüfen/ zu überarbeiten und die Verarbeitung personenbezogener Daten auf das für die 
Aufgabe notwendige Maß zu beschränken. Hierauf wirkt der Datenschutzbeauftragte in 
laufenden Beratungen der Fachdienststellen sowie im Rahmen der verbindlichen Beteili-
gung an den datenschutzrechtlichen Zulässigkeitsprozessen (Datenschutzfolgenabschät-
zungen) ein.

4 
 
 
 
 Gesamtfazit zur Qualitätsstandserhebung: 
 
Insgesamt ist festzustellen, dass anhand der aus dem Datenschutzmanagementkonzept abge-
leiteten 15 Einzelmaßnahmen der Datenschutz bei der Stadt derzeit einem positiv hohen Quali-
tätsstand entspricht. 
 
Insbesondere die im Zuge der DSGVO-Umsetzung zu treffenden Regelungen wie die Sicher-
stellung der Rechte der Betroffenen, die Umsetzung der Informationspflichten oder auch die Si-
cherstellung der Meldepflichten an die Landesdatenschutzbeauftragte (LDI NRW) sind über 
dem Soll-Minimum von 80% Erfüllungsgrad bewertet bzw. sind bereits konkrete Verbesse-
rungsmaßnahmen im Rahmen des erkannten Handlungsbedarfes getroffen worden (s. laufende 
Nr. 1.). 
 
An den weiteren datenschutzrechtlichen Maßnahmen mit Handlungsbedarf (Soll-Minimum unter 
80% Erfüllungsgrad) wird wie oben dargestellt (s. laufenden Nr. 2. bis 5.) mit dem Ziel der weite-
ren Verbesserung konkret und fortlaufend gearbeitet. 
 
Nicht auszuschließen ist unabhängig davon, dass es trotz dieser weitgehend guten Bewer-
tungsergebnisse nicht (mehr) zu Datenschutzverletzungen oder -pannen kommen wird. Die 
aufgebauten personellen Strukturen – insb. mit dem behördlichen Datenschutzbeauftragten und 
seinem Stellvertreter, den dezentralen Datenschutzkoordinatoren in den Fachdienststellen und 
dem IT-Sicherheitsverantwortlichen – und die im Verwaltungsvorstand beschlossenen verbindli-
chen Regeln zum Umgang mit dem Datenschutz bei der Stadt Köln (s. Datenschutzmanage-
mentkonzept und Dienstanweisung Datenschutz und Informationsfreiheit) bilden die unabding-
bare Grundlage für ein gesichertes Handeln im Zusammenhang mit dem Datenschutz. Am En-
de ist das Verwaltungshandeln überall dort, wo keine vollständige Automatisierung erfolgt, ge-
tragen von Menschen. Hier kann und wird es aller Erfahrung nach auch in Zukunft zu individuel-
lem Fehlverhalten in allen Ausprägungen, sei es fahrlässiger Natur bis Vorsatz kommen.  
 
Durch fortlaufende Sensibilisierung aller Beschäftigten, die permanente Beratung der Kollegin-
nen und Kollegen und der Fachdienststellen, der Überwachung durch das Team des Daten-
schutzbeauftragten sowie regelmäßige Schulungen in Sachen Datenschutz und IT-Sicherheit 
kann das v.b. Fehlerrisiko verringert, allerdings nie auf null reduziert werden. 
 
Sowohl in NRW als auch auf Bundesebene wird die vorliegende Form systematischer Bewer-
tung der Qualität des Datenschutzes bei einer großen Kommunalbehörde erstmals angewandt 
und kann insoweit wegweisend einerseits für die vergleichende Eigenbewertung innerhalb der 
kommunalen Familie, als auch als Grundlage für die Beratungs- und Überwachungsarbeit der 
Landesdatenschutzbeauftragten dienen. 
 
Ein wesentliches Erfolgsmerkmal für dieses positive Qualitätsergebnis war auch die dauerhafte 
Ausweisung einer Stelle für den stellvertretenden Datenschutzbeauftragten im Amt der Ober-
bürgermeisterin, die seit April 2018 erfolgreich besetzt werden konnte.

5 
 
 
 
II. Sachstandsdarstellung zur Umsetzung der Datenschutzgrundverordnung (DSGVO) ein 
Jahr nach Inkrafttreten 
 
Seit Beginn des Transformationsprozesses hat die interdisziplinäre Projektgruppe zur DSGVO-
Umsetzung nach ihrer konstituierenden Sitzung im März 2017 bisher in 11. Sitzungen getagt. 
Die regelmäßigen Treffen haben gezeigt, dass die Idee, die Fachdienststellen so eindeutig in 
die Umsetzungsverantwortung zu nehmen, funktioniert hat. Die jeweiligen Vertreter/innen der 
Fachdezernate in der Projektgruppe tragen den Prozess sehr positiv mit, übermitteln beschlos-
sene Umsetzungsaufträge in die Fachdienststellen ihres Dezernatsgeschäftsbereiches und 
spiegeln diese mit entsprechenden Ergebnissen oder Hinweisen auf Umsetzungshemmnisse 
zurück in die Projektgruppe.  
 
Ebenso wichtig war und ist die Beteiligung verschiedener Querschnittsfunktionen in der Projekt-
gruppe wie des Amtes für Informationsverarbeitung und des IT-Sicherheitsverant-wortlichen, 
des Amtes für Personal und Verwaltungsmanagement, der Onlineredaktion im Amt für Presse- 
und Öffentlichkeitsarbeit und der Stabstelle Digitalisierung sowie die frühzeitige vertrauensvolle 
Einbindung des Gesamtpersonalrates. 
 
Mit steigender Tendenz ist in der Webanwendung DSGVO, die als strukturiertes Dokumentati-
onsinstrument des Kölner Vorgehensmodells zur DSGVO-Umsetzung dient, die Anzahl der Ein-
tragungen umzusetzender Einzelmaßnahmen zu verzeichnen (1.270 zum Stand 21.03.19; s. 
Folie 2 der Anlage 3). Die Verteilung dieser Maßnahmen auf die Prüfkategorien (PK) des Köl-
ner Vorgehensmodells ergibt eindeutige Schwerpunkte bei den Datenschutz-/ und Einwilli-
gungserklärungen (PK II – erweiterte Informationspflichten) sowie IT-Fachanwendungen (PK 
V.1). Die Angabe von Fehlanzeigen war in diesem Zusammenhang eine wichtige Prüfaussage, 
da eine Fachdienststelle hiermit dokumentieren konnte, keine Maßnahmen einer bestimmten 
Prüfkategorie in ihrem Aufgabengebiet verzeichnet zu haben (s. Folie 3 der Anlage 3). 
 
Die Kennzahl zu Fachdienststellen, die keine Eintragung in die Webanwendung DSGVO vorge-
nommen und sich damit bisher nicht nachvollziehbar an dem Umsetzungsprozess beteiligt ha-
ben, hat sich nunmehr fast auf null reduziert (s. Folie 2 der Anlage 3). 
 
Insgesamt ist festzustellen, dass noch rd. 400 Einzelmaßnahmen zur Umsetzung auf die DSG-
VO-Regelungen anstehen, da diese mit dem Status „Prüfung offen“ in der Webanwendung 
DSGVO verzeichnet sind (s. Folie 4 der Anlage 3). Wesentliche Teilmenge dieser Gesamtzahl 
bilden Maßnahmen aus den Prüfkategorien Auftragsverarbeitung (PK III), Videoüberwachung 
(PK IV) und IT-Fachanwendungen (PK V.1). Da für diese Prüfkategorien datenschutzrechtlich 
relevante Zulässigkeitsverfahren durchzuführen sind, werden diese Maßnahmen derzeit in einer 
sog. „Arbeitsplanung“ zusammengeführt, um mit Blick auf die erforderlichen Umsetzungsres-
sourcen in den zuständigen Fachdienststellen und bei den wesentlich Beteiligten 12 (Inbetrieb-
nahmekoordination), 12/1 (IT-Sicherheits-verantwortlicher) und 01/01 (Datenschutzbeauftragter) 
eine Zeit-Maßnahmen-Planung mit prioritärer Abwicklung aufstellen zu können. 
 
Festzuhalten ist, dass die in diesem Zusammenhang noch durchzuführenden datenschutzrecht-
lichen Zulässigkeitsverfahren (wesentlich Datenschutzfolgenabschätzungen) einen Umset-
zungshorizont von voraussichtlich 2 bis 3 Jahren aufweisen. 
 
Dies ist aus hiesiger Sicht insoweit unproblematisch, da sich der nachlaufende Prüfbedarf aus 
einer – vergleichbar einem „datenschutzrechtlichen Hausputz“ – durchgeführten Bestandsauf-
nahme im Rahmen des DSGVO-Umsetzungsprozesses ergeben hat und jetzt in einem struktu-
rierten und nachvollziehbaren Verfahren abgearbeitet wird. Von hier wird nicht davon ausge-
gangen, dass es in diesem Zusammenhang zu Beanstandungen seitens der Landesdaten-
schutzbeauftragten (LDI NRW) kommen wird.

6 
 
 
 
 
Fazit zur DSGVO-Umsetzung: 
 
Der Transformationsprozess hat sich im Wesentlichen wie geplant stabil entwickelt. Das Vorge-
hensmodell zur operativen Umsetzung der DSGVO hat alle relevanten Inhaltsaspekte des Um-
stellungsprozesses umfasst und war praxisorientiert durch die verantwortlichen Fachdienststel-
len anwend- und umsetzbar (s. Mitteilung im UdiKO zu Session 3137/2017). 
 
Die als Dokumentations- und Controllingsinstrument vom Amt für Informationsverarbeitung ei-
genentwickelte Webanwendung DSGVO hat sich für die zuständigen Beschäftigten in den 
Fachdienststellen nach entsprechenden Einweisungsschulungen als intuitiv nutzbar herausge-
stellt. Die Auswertungsfunktionen in der Anwendung sind eine sinnvolle und zielorientierte Un-
terstützung für das Umsetzungscontrolling sowohl der Dezernate und Fachdienststellen, als 
auch des Datenschutzbeauftragten. 
 
Die weitere Umsetzung der DSGVO-Regelungen wird wie geplant fortgesetzt. Das Fortbeste-
hen der interdisziplinären Projektgruppe DSGVO ist bis auf weiteres erforderlich. 
 
Gez. Reker

Sachstandsdarstellung zur Umsetzung der DSGVO_Anlage 3 zur Mitteilung 1555-2019

1767 Zeichen

Folie 101/01 Beauftragter für den Datenschutz
Sachstandsdarstellung DSGVO-Umsetzung - UdiKO am 17.06.19 (Anlage 3)
___________________________________________________________
Sachstandsdarstellung zur
Umsetzung der 
Datenschutzgrundverordnung 
(DSGVO) 
ein Jahr nach Inkrafttreten

Folie 201/01 Beauftragter für den Datenschutz
Sachstandsdarstellung DSGVO-Umsetzung - UdiKO am 17.06.19 (Anlage 3)
___________________________________________________________
Eintragungen in Web-Anwendung DSGVO (Stand 21.03.19)
799
1157 1186 1222 1270
0
200
400
600
800
1000
1200
1400
Mai 2018 Sept. Nov. Jan. 2019 März
Eintragungen in Web-Anwendung DSGVO 
gesamt
24
13
7
5
10
10
20
30
Mai 2018 Juni Sept. Jan. 2019 März
Fehlende Dienststellen mit Eintragungen in 
die Web-Anwendung DSGVO

Folie 301/01 Beauftragter für den Datenschutz
Sachstandsdarstellung DSGVO-Umsetzung - UdiKO am 17.06.19 (Anlage 3)
___________________________________________________________
Eintragungen in Web-Anwendung DSGVO (Stand 21.03.19)
57
353
62 56
320
116
236
57
359
75 60
332
119
268
0
50
100
150
200
250
300
350
400
PK I PK II PK III PK IV PK V.1 PK V.2 Fehlanzeigen
Eintragungen in Web-Anwendung
nach Prüfkategorien (PK) und Fehlanzeigen (Veränderung Jan. auf März 2019)  
IT-Fach-
anwendungen
RiLi, DA etc. DViA
Videoüberw.
Access-DB
erweiterte
Info-Pflichten.

Folie 4
Sachstandsdarstellung DSGVO-Umsetzung - UdiKO am 17.06.19 (Anlage 3) 
___________________________________________________________
01/01 Beauftragter für den Datenschutz 01/01 Beauftragter für den Datenschutz 
Abarbeitung aller Maßnahmen mit dem Status „Prüfung offen“ –
Entwicklung (bis einschl. 21.03.19)
350
370
390
410
430
450
Jun 2018 Nov 2018 Jan 2019 Mrz 2019
430
388 384
401
Eintragungen für Maßnahmen mit „Prüfung offen“

Qualitätsstandserhebung Datenschutz Stadt Köln_Anlage 2 zur Mitteilung 1555-2019

10276 Zeichen

Folie 101/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
Strukturierte Qualitätsstanderhebung
zum Datenschutz bei der Stadt Köln
anhand von Maßnahmen aus dem
Datenschutzmanagementkonzept 
(i.d.F. vom 11.12.18)

Folie 201/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
I. Datenschutzmanagementkonzept zur 
Erfüllung der Rechenschafts- und 
Dokumentationspflichten (Accountability)
II. Herleitung des Maßnahmenkataloges
III. Struktur der Fragestellungen zur 
Maßnahmenbewertung
IV. Maßnahmenbewertung durch dezentrale 
Datenschutzkoordinatoren/innen
V. Maßnahmenbewertung durch 01/01
VI. Auswertung/ Handlungsbedarf
Inhalt:

Folie 301/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP I. Datenschutzmanagementkonzept  
Datenschutzmanagementkonzept zur Erfüllung der Rechenschafts-
und Dokumentationspflichten (Accountability) i.d.F. vom 11.12.18
Regelungen und 
Anweisungen
Prüfprozesse und
Dokumentation
Vertrags-
management
DS-Verstöße und 
Betroffenenrechte
DS-Schulungen –
Verschwiegenheit
Kontrollen und
Wirksamkeitsprüf.

Folie 401/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP II. Datenschutzmanagementkonzept - Maßnahmenherleitung

Folie 501/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP II. Datenschutzmanagementkonzept - Maßnahmenkatalog
0
10
20
30
40
50
60
70
80
90
100
Datenschutzmanagementkonzept
zur Erfüllung der
Rechenschaftspflichten
Verantwortlichkeiten im
Datenschutz
Beachtung des Prinzips der
Datenminimierung (insb.
Erforderlichkeit)
datenschutzrechtliche und IT-
sicherheitstechnische
Zulässigkeitsverfahren
technisch-organisatorische
Maßnahmen im Fachamt
entsprechend dem Stand der
Technik
Verpflichtung der Beschäftigten auf
den Datenschutz und
Schulungsmaßnahmen
Sicherstellung der Rechte der
Betroffenen
Sicherstellung der Meldepflichten
bei Datenschutzverstößen
Prüfung der Maßnahmen bei
Auftragsverarbeitung
(Vertragsmanagement)
Datenübermittlung an andere
öffentl. und nicht-öffentl. Stellen
Umsetzung der
Informationspflichten nach Art. 13,
14 DSGVO (DS- und
Einwilligungserklärungen)
Erhebung von Daten für
festgelegte, eindeutige und legitime
Zwecke (Zweckbindung)
Erfüllung der
Dokumentationspflichten (insb.
Verarbeitungsverzeichnisse)
Aufrechterhaltung des
Datenschutzes im laufenden
Betrieb (Datenschutzkontrolle)
Umsetzung der Löschungfristen
(Speicherbegrenzung)

Folie 601/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP III. Struktur der Fragestellungen zur Maßnahmenbewertung
etabliert?
bekannt?
umgesetzt?
Maßnahme aus 
DS-Managementkonzept… Bewertung durch 01/01
Bewertung durch dez. DS-
Koordinatoren/innen

Folie 701/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP IV. Maßnahmenbewertung durch dezentrale
Datenschutzkoordinatoren/innen der Fachdienststellen
„Wie erleben Sie in Ihrer Funktion als dezentrale 
DS-Koordinatoren/innen die Umsetzung vor Ort:
Sind diese bekannt und werden umgesetzt?“
Bitte bewerten Sie die einzelnen Maßnahmen
in der Grafik (von 0 bis 100% Erfüllungsgrad)
(Das Ergebnis entspricht einer 
Durchschnittsbewertung in 3´er-Gruppen 
mit insg. 30 Teilnehmern/innen)

Folie 801/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
0
10
20
30
40
50
60
70
80
90
100
Datenschutzmanagementkonzept zur
Erfüllung der Rechenschaftspflichten
Verantwortlichkeiten im Datenschutz
Beachtung des Prinzips der
Datenminimierung (insb. Erforderlichkeit)
datenschutzrechtliche und IT-
sicherheitstechnische
Zulässigkeitsverfahren
technisch-organisatorische Maßnahmen im
Fachamt entsprechend dem Stand der
Technik
Verpflichtung der Beschäftigten auf den
Datenschutz und Schulungsmaßnahmen
Sicherstellung der Rechte der Betroffenen
Sicherstellung der Meldepflichten bei
Datenschutzverstößen
Prüfung der Maßnahmen bei
Auftragsverarbeitung
(Vertragsmanagement)
Datenübermittlung an andere öffentl. und
nicht-öffentl. Stellen
Umsetzung der Informationspflichten nach
Art. 13, 14 DSGVO (DS- und
Einwilligungserklärungen)
Erhebung von Daten für festgelegte,
eindeutige und legitime Zwecke
(Zweckbindung)
Erfüllung der Dokumentationspflichten
(insb. Verarbeitungsverzeichnisse)
Aufrechterhaltung des Datenschutzes im
laufenden Betrieb (Datenschutzkontrolle)
Umsetzung der Löschungfristen
(Speicherbegrenzung)
Maßnahmenbewertung durch dez. DS-Koordinatoren der Fachdienststellen am 28.01.19   
Maximum (100%)
Soll Minimum (80%)
Bewertung

Folie 901/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP V. Maßnahmenbewertung durch Datenschutzbeauftragten
„Sind die Maßnahmen geregelt (etabliert) und
für alle Verantwortlichen bekannt?“
(Das Ergebnis entspricht der Bewertung 
01/01 - DSB und Stellvertreter)

Folie 1001/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
0
10
20
30
40
50
60
70
80
90
100
Datenschutzmanagementkonzept zur
Erfüllung der Rechenschaftspflichten
Verantwortlichkeiten im Datenschutz
Beachtung des Prinzips der
Datenminimierung (insb. Erforderlichkeit)
datenschutzrechtliche und IT-
sicherheitstechnische
Zulässigkeitsverfahren
technisch-organisatorische Maßnahmen im
Fachamt entsprechend dem Stand der
Technik
Verpflichtung der Beschäftigten auf den
Datenschutz und Schulungsmaßnahmen
Sicherstellung der Rechte der Betroffenen
Sicherstellung der Meldepflichten bei
Datenschutzverstößen
Prüfung der Maßnahmen bei
Auftragsverarbeitung
(Vertragsmanagement)
Datenübermittlung an andere öffentl. und
nicht-öffentl. Stellen
Umsetzung der Informationspflichten nach
Art. 13, 14 DSGVO (DS- und
Einwilligungserklärungen)
Erhebung von Daten für festgelegte,
eindeutige und legitime Zwecke
(Zweckbindung)
Erfüllung der Dokumentationspflichten
(insb. Verarbeitungsverzeichnisse)
Aufrechterhaltung des Datenschutzes im
laufenden Betrieb (Datenschutzkontrolle)
Umsetzung der Löschungfristen
(Speicherbegrenzung)
Maximum (100%)
Soll Minimum (80%)
Bewertung
Maßnahmenbewertung durch den Datenschutzbeauftragten mit Stand 30.01.19

Folie 1101/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP VI. Auswertung/ Handlungsbedarf (1)  
I. Gesamtbewertung:
Die Auswertung zeigt, dass sowohl aus Sicht der dezentralen Datenschutz-
koordinatoren/innen als auch des Datenschutzbeauftragten die Maßnahmen zum 
Datenschutz qualitativ weitestgehend über dem Soll-Minimum (= 80% Erfüllungsgrad) 
liegen.
II. Als unter dem Soll-Minimum werden derzeit folgende Maßnahmen angesehen, 
aus denen sich folgender Handlungsbedarf ableitet:
• Sicherstellung der Meldepflichten bei Datenschutzverstößen (70%): 
Hierzu werden zeitnah weitere Informationen und konkrete Handlungsanweisungen 
im Intranet erfolgen. Es wird darüber hinaus ein Meldeformular mit gezielten 
Fragestellungen zu einem ggf. vorliegenden datenschutzrechtlichen Verstoß 
bereitgestellt (s. auch § 16 Dienstanweisung Datenschutz und Informationsfreiheit 
für die Stadt Köln i.d.F. v. 11.12.18)

Folie 1201/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP VI. Auswertung/ Handlungsbedarf (2)  
II.      Als unter dem Soll-Minimum werden derzeit folgende Maßnahmen angesehen,
aus denen sich folgender Handlungsbedarf ableitet:
• Verpflichtung der Beschäftigten auf den Datenschutz und 
Schulungsmaßnahmen (75%):
Gemeinsam mit 11 ist seitens 01/01 vorgesehen, dass jede/r Beschäftigte einmal im 
Jahr verbindlich einen Online-Schulungskurs zum Datenschutz und IT-Sicherheit 
absolviert, um die entsprechende Sensibilisierung zu gewährleisten und 
Sicherheitsrisiken zu minimieren (Sachstand: Bedarfsfeststellung ist eingeleitet, 
Ausschreibung erfolgt im Laufe 2019)
• Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten (75%): 
01/01 hat die Informationen dazu im Intranet veröffentlicht (s. hier).
Weitere Informationsmaßnahmen werden seitens 01/01 durchgeführt.

Folie 1301/01 Beauftragter für den Datenschutz
Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2)
____________________________________________________________
TOP VI. Auswertung/ Handlungsbedarf (3)  
II.      Als unter dem Soll-Minimum werden derzeit folgende Maßnahmen angesehen,
aus denen sich folgender Handlungsbedarf ableitet:
• Erfüllung der Dokumentationspflichten, insb. Verarbeitungsverzeichnisse (75%): 
Für alle datenschutzrechtlichen Maßnahmen stehen Verarbeitungsverzeichnisse zur 
Erfüllung der Dokumentationspflichten zur Verfügung: s. hierzu Ausführungen im 
Datenschutzmanagementkonzept (Ziff. V.), in der Dienstanweisung Datenschutz (§ 19 
und 23) sowie im Intranet-Auftritt 01/01.
Weitere Informationsmaßnahmen werden seitens 01/01 durchgeführt. 
• Beachtung des Prinzips der Datenminimierung; insb. Erforderlichkeit (75%):
Tatsächlich konnte auch seitens 01/01 festgestellt werden, dass insb. in der 
Vergangenheit teilweise mehr Daten als erforderlich erhoben wurden. Hier ist jede 
Dienststelle aufgefordert, Anträge, Formulare oder sonstige Dokumente noch einmal 
zu überprüfen/ zu überarbeiten und die Verarbeitung personenbezogener Daten auf 
das notwendige Maß zu beschränken.
Weitere Informationsmaßnahmen werden seitens 01/01 durchgeführt.

Einzelmaßnahmen zur Qualitätsstandserhebung_Anlage 1 zur Mitteilung 1555-2019

2904 Zeichen

UdiKO am 17.06.19: Anlage 1 
15 Einzelmaßnahmen als Grundlage für die Qualitätsstandserhebung Datenschutz 
 
Maßnahme aus 
Datenschutzmanagementkonzept 
Inhaltliche Fragestellung 
Datenschutzmanagementkonzept zur 
Erfüllung der Rechenschaftspflichten 
Ist das Datenschutzmanagementkonzept bekannt und 
werden die Inhalte umgesetzt? 
Verantwortlichkeiten im Datenschutz Sind die Verantwortlichkeiten (verantwortliche Stelle, 
dez. DS-Koordinatoren, DSB) bekannt und werden 
diese umgesetzt? 
Beachtung des Prinzips der 
Datenminimierung (insb. 
Erforderlichkeit) 
Werden nur die für die Aufgabenwahrnehmung 
notwendigen pbD erhoben? 
datenschutzrechtliche und IT-
sicherheitstechnische 
Zulässigkeitsverfahren 
Sind die verschiedenen Prüfprozesse z.B. für die 
Inbetriebnahme von IT-Fachanwendungen, 
Videoüberwachung bekannt? 
technisch-organisatorische 
Maßnahmen im Fachamt entsprechend 
dem Stand der Technik 
Sind die eingesetzten IT-Fachanwendungen auf dem 
neuesten Stand und werden entsprechend der 
Schutzstufe sichere TOM eingesetzt? 
Verpflichtung der Beschäftigten auf den 
Datenschutz und 
Schulungsmaßnahmen 
Sind die Beschäftigten sensibilisiert auf den 
Datenschutz und ausreichendgeschult? 
Sicherstellung der Rechte der 
Betroffenen 
Werden insb. Auskunfts- und Löschbegehren zeitnah 
geprüft und umgesetzt? 
Sicherstellung der Meldepflichten bei 
Datenschutzverletzungen 
Werden Datenschutzverstöße erkannt und ist bekannt, 
was darauf hin zu veranlassen ist? 
Prüfung der Maßnahmen bei 
Auftragsverarbeitung 
(Vertragsmanagement) 
Werden Maßnahmen zur Auftragsverarbeitung erkannt 
und sind die entsprechenden Prüfschritte bekannt? 
Datenübermittlung an andere 
öffentliche und nicht-öffentliche Stellen 
Wird bei der Datenübermittlung an andere 
datenschutzrechtliche Aspekte berücksichtigt  
(Frage: "Darf ich die pbD weitergeben…?") 
Umsetzung der Informationspflichten 
nach Art. 13, 14 DSGVO (Datenschutz- 
und Einwilligungserklärungen) 
Werden die Bürger/innen bei Erhebung der pbD 
entsprechend und gesetzeskonform über den Umgang 
mit dem Datenschutz durch die verantwortliche 
Fachdienststelle informiert? 
Erhebung von Daten für festgelegte, 
eindeutige und legitime Zwecke 
(Zweckbindung) 
Werden die erhobenen pbD nur für diesen Zweck 
verwendet, werden bei Zweckänderungen die 
gesetzlichen Vorschriften berücksichtigt? 
Erfüllung der Dokumentationspflichten 
(insb. Verarbeitungsverzeichnisse) 
Wird für jede Verarbeitung personenbezogener Daten 
ein Verarbeitungsverzeichnis geführt? 
Aufrechterhaltung des Datenschutzes 
im laufenden Betrieb 
(Datenschutzkontrolle) 
Werden datenschutzrechtliche "Missstände" erkannt 
und ggf. darauf hingewiesen (Passwortschutz PC, 
Türen verschlossen, Dokumente sachgemäß entsorgt)? 
Umsetzung der Löschfristen 
(Speicherbegrenzung) 
Werden Löschfristen festgelegt und umgesetzt? 
Werden pbD nur solange gespeichert, wie erforderlich?

Beratungsverlauf (1)

17.06.2019 Unterausschuss Digitale Kommunikation und Organisation
TOP 3.3 Kenntnisnahme (Mitteilung) Entscheidung

Beschluss: Kenntnis genommen

Zur Sitzung

Details

Aktenzeichen
1555/2019
Typ
Mitteilung Ausschuss
Datum
07.05.2019
Erstellt
30.04.2019 16:49