1555/2019
Strukturierte Qualitätsstanderhebung zum Datenschutz bei der Stadt Köln sowie Sachstandsdarstellung zur Umsetzung der Datenschutzgrundverordnung (DSGVO) ein Jahr nach Inkrafttreten
KI-Zusammenfassung
Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.
KI-Analyse läuft...
vergangen
Was passiert gerade?
- 📄 Dokumente werden analysiert...
- 🤔 KI denkt nach (Reasoning-Modell)...
- ✍️ Zusammenfassung wird geschrieben...
- ⏳ Das dauert etwas länger bei komplexen Dokumenten...
Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.
Mitteilung Ausschuss
16132 Zeichen
Die Oberbürgermeisterin Dezernat, Dienststelle OB/01/01 Vorlagen-Nummer 07.05.2019 1555/2019 Mitteilung öffentlicher Teil Gremium Datum Unterausschuss Digitale Kommunikation und Organisation 17.06.2019 Strukturierte Qualitätsstanderhebung zum Datenschutz bei der Stadt Köln sowie Sachstandsdarstellung zur Umsetzung der Datenschutzgrundverordnung (DSGVO) ein Jahr nach Inkrafttreten Auf der Grundlage des vom Verwaltungsvorstand am 11.12.18 beschlossenen Datenschutzma- nagementkonzeptes zur Erfüllung der Rechenschafts- und Dokumentationspflichten nach der DSG- VO (s. Mitteilung im UdiKO zu Session 0101/2019) wurden Maßnahmenkriterien hergeleitet, die ge- eignet sind, den Qualitätsstand zum Datenschutz sowie zur Umsetzung der DSGVO in einer Kom- munalverwaltung in strukturierter Art und Weise zu erheben und systematisch zu bewerten (s. Ziff. I). Zeitgleich wird ein Jahr nach Inkrafttreten der DSGVO der Stand der Umsetzung bei der Stadt Köln dargestellt (s. Ziff. II.). I. Strukturierte Qualitätsstanderhebung zum Datenschutz bei der Stadt Köln Im Rahmen des Inkrafttretens der EU-Datenschutzgrundverordnung (DSGVO) zum 25.05.18 sind umfassende Rechenschafts- und Dokumentationspflichten zum Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben zu erfüllen (s. Art. 5 Abs. 2 und 24 Abs. 1 DSGVO). Der Verwaltungsvorstand hat sich mit seinem Beschluss vom 11.12.18 als erste große Kommunal- verwaltung, landes- bzw. bundesweit auf die vorgeschriebenen Regelungen nach dem europäi- schen Datenschutzrecht umfassend und mit Gültigkeit für alle Organisationseinheiten und Be- schäftigten der Stadtverwaltung Köln verpflichtet (s. Session 3767/2018). Auf der Grundlage dieses Datenschutzmanagementkonzeptes als stadtintern gerichtetes In- strument der Selbstbindung zur Gewährleistung von Datenschutz und IT-Sicherheit wurden ins- gesamt 15 Maßnahmen hergeleitet, die geeignet sind, den Qualitätsstand zum Datenschutz sowie zur Umsetzung der DSGVO in einer Kommunalverwaltung in strukturierter Art und Weise zu erheben und systematisch zu bewerten. Aus den Ergebnissen der Bewertung lassen sich of- fene datenschutzrechtliche Handlungsbedarfe ableiten. 2 Folgende 15 Einzelmaßnahmen wurden für die Qualitätsstandserhebung herangezogen: Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten Prüfung der Maßnahmen bei Auf- tragsverarbeitung (Vertragsmanage- ment) Verantwortlichkeiten im Datenschutz Datenübermittlung an andere öffentli- che und nicht-öffentliche Stellen Beachtung des Prinzips der Datenmi- nimierung (insb. Erforderlichkeit) Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO (Datenschutz- und Einwilligungserklärungen) datenschutzrechtliche und IT- sicherheitstechnische Zulässigkeitsver- fahren Erhebung von Daten für festgelegte, eindeutige und legitime Zwecke (Zweckbindung) technisch-organisatorische Maßnah- men im Fachamt entsprechend dem Stand der Technik Erfüllung der Dokumentationspflichten (insb. Verarbeitungsverzeichnisse) Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnah- men Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Datenschutzkon- trolle) Sicherstellung der Rechte der Betroffe- nen Umsetzung der Löschfristen (Speicher- begrenzung) Sicherstellung der Meldepflichten bei Datenschutzverletzungen Die mit den Bewertungsmaßnahmen verbundenen operativen Fragestellungen entnehmen Sie bitte der Anlage 1. Die 15 einzelnen Maßnahmen sind in einem ersten Schritt im Rahmen eines Treffens zum eu- ropäischen Datenschutztag am 28.01.19 von den dezentralen Datenschutzkoordinatoren/innen der Fachdienststellen mit der Fragestellung „Wie erleben Sie in Ihrer Funktion als dezentrale Datenschutzkoordinatoren/innen die Umsetzung vor Ort?“ und „Sind die Maßnahmen bekannt und werden beachtet?“ bewertet worden (hier nach Erfüllungsgrad der Einzelmaßnahmen von 0 bis 100%; s. Folie 7 der Anlage 2). Das Ergebnis entnehmen Sie bitte der Folie 8 der Anlage 2. In einem zweiten Schritt, mit etwas veränderter Fragestellung ist die Bewertung der Maßnah- men aus Sicht des Datenschutzbeauftragten vorgenommen worden: „Sind die Maßnahmen ge- regelt (etabliert) und für alle Verantwortlichen bekannt?“ (Ergebnis s. Folie 10 der Anlage 2). Zwischenfazit: Die Auswertungen in den Übersichten zeigen, dass sowohl aus Sicht der dezentralen Daten- schutzkoordinatoren/innen als auch des Datenschutzbeauftragten die Maßnahmen zum Daten- schutz qualitativ weitgehend über dem definierten Soll-Minimum (= 80% Erfüllungsgrad) liegen. Handlungsbedarfe: Aus den Ergebnissen beider Bewertungen ergeben sich konkrete Handlungsanleitungen, näm- lich bei den Einzelmaßnahmen, die im Erfüllungsgrad unterhalb des Soll-Minimums von 80% liegen (s. Folien 11 bis 13 der Anlage 2). Hierbei ist eine Übereinstimmung der Einschätzungen der dezentralen Datenschutzkoordinatoren/innen und des Datenschutzbeauftragten für zwei Maßnahmen festzustellen (s. nachfolgende lfd. Nr. 1 und 2). 3 Handlungsbedarf ergibt sich demnach bei folgenden datenschutzrechtlichen Bewertungsmaß- nahmen: 1. Sicherstellung der Meldepflichten bei Datenschutzverletzungen (70%) Grundlage für die Umsetzung der Meldepflicht von Datenschutzverletzungen gegenüber der Landesbeauftragten für Datenschutz und Informationsfreiheit (LDI NRW) ist die „Dienstanweisung Datenschutz und Informationsfreiheit für die Stadt Köln i.d.F. v. 11.12.18“ (s. dort § 16). Aufgrund des erkannten Handlungsbedarfes sind hierzu allge- meine Informationen (s. hier) und konkrete Handlungsanweisungen im Intranet seitens des Datenschutzbeauftragten veröffentlicht worden (s. hier). Zur operativen Abwicklung ist ein verbindlich zu verwendendes Standardmeldeformular mit gezielten Fragestellungen zu einer ggf. vorliegenden datenschutzrechtlichen Verletzung bereitgestellt. 2. Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnahmen (75%) Gemeinsam mit dem Amt für Personal und Verwaltungsmanagement ist seitens des Da- tenschutzbeauftragten vorgesehen, dass jede/r Beschäftigte einmal im Jahr verbindlich einen Online-Schulungskurs zum Datenschutz und IT-Sicherheit absolviert, um die ent- sprechende Sensibilisierung zu gewährleisten und Sicherheitsrisiken zu minimieren (Sachstand: Ausschreibung erfolgt im Laufe 2019). 3. Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten (75%) Der Datenschutzbeauftragte hat die Informationen dazu im Intranet für alle Beschäftigten veröffentlicht (s. hier) und das Datenschutzkonzept in seinem Intranet-Auftritt zur Verfü- gung gestellt (s. hier). Weitere regelmäßige Informationsmaßnahmen werden als notwendig erkannt und seitens des Datenschutzbeauftragten durchgeführt. 4. Erfüllung der Dokumentationspflichten, insb. Verarbeitungsverzeichnisse (75%) Für alle datenschutzrechtlichen Maßnahmen stehen Verarbeitungsverzeichnisse zur Erfül- lung der Dokumentationspflichten zur Verfügung: s. hierzu Ausführungen im Daten- schutzmanagementkonzept (Ziff. V.), in der Dienstanweisung Datenschutz und Informati- onsfreiheit (§ 19 und 23) sowie im unter Ziff. 3. bereits genannten Intranet-Auftritt des Da- tenschutzbeauftragten. Weitere regelmäßige Informationsmaßnahmen werden als notwendig erkannt und seitens des Datenschutzbeauftragten durchgeführt. 5. Beachtung des Prinzips der Datenminimierung; insb. Erforderlichkeit (75%) Seitens des Datenschutzbeauftragten wird zu verschiedenen Verarbeitungsvorgängen festgestellt, dass insb. in der Vergangenheit teilweise mehr Daten als erforderlich im Rahmen der Aufgabenwahrnehmung durch die Fachdienststellen erhoben werden. Hier ist jede Dienststelle aufgefordert, Anträge, Formulare oder sonstige Dokumente zu über- prüfen/ zu überarbeiten und die Verarbeitung personenbezogener Daten auf das für die Aufgabe notwendige Maß zu beschränken. Hierauf wirkt der Datenschutzbeauftragte in laufenden Beratungen der Fachdienststellen sowie im Rahmen der verbindlichen Beteili- gung an den datenschutzrechtlichen Zulässigkeitsprozessen (Datenschutzfolgenabschät- zungen) ein. 4 Gesamtfazit zur Qualitätsstandserhebung: Insgesamt ist festzustellen, dass anhand der aus dem Datenschutzmanagementkonzept abge- leiteten 15 Einzelmaßnahmen der Datenschutz bei der Stadt derzeit einem positiv hohen Quali- tätsstand entspricht. Insbesondere die im Zuge der DSGVO-Umsetzung zu treffenden Regelungen wie die Sicher- stellung der Rechte der Betroffenen, die Umsetzung der Informationspflichten oder auch die Si- cherstellung der Meldepflichten an die Landesdatenschutzbeauftragte (LDI NRW) sind über dem Soll-Minimum von 80% Erfüllungsgrad bewertet bzw. sind bereits konkrete Verbesse- rungsmaßnahmen im Rahmen des erkannten Handlungsbedarfes getroffen worden (s. laufende Nr. 1.). An den weiteren datenschutzrechtlichen Maßnahmen mit Handlungsbedarf (Soll-Minimum unter 80% Erfüllungsgrad) wird wie oben dargestellt (s. laufenden Nr. 2. bis 5.) mit dem Ziel der weite- ren Verbesserung konkret und fortlaufend gearbeitet. Nicht auszuschließen ist unabhängig davon, dass es trotz dieser weitgehend guten Bewer- tungsergebnisse nicht (mehr) zu Datenschutzverletzungen oder -pannen kommen wird. Die aufgebauten personellen Strukturen – insb. mit dem behördlichen Datenschutzbeauftragten und seinem Stellvertreter, den dezentralen Datenschutzkoordinatoren in den Fachdienststellen und dem IT-Sicherheitsverantwortlichen – und die im Verwaltungsvorstand beschlossenen verbindli- chen Regeln zum Umgang mit dem Datenschutz bei der Stadt Köln (s. Datenschutzmanage- mentkonzept und Dienstanweisung Datenschutz und Informationsfreiheit) bilden die unabding- bare Grundlage für ein gesichertes Handeln im Zusammenhang mit dem Datenschutz. Am En- de ist das Verwaltungshandeln überall dort, wo keine vollständige Automatisierung erfolgt, ge- tragen von Menschen. Hier kann und wird es aller Erfahrung nach auch in Zukunft zu individuel- lem Fehlverhalten in allen Ausprägungen, sei es fahrlässiger Natur bis Vorsatz kommen. Durch fortlaufende Sensibilisierung aller Beschäftigten, die permanente Beratung der Kollegin- nen und Kollegen und der Fachdienststellen, der Überwachung durch das Team des Daten- schutzbeauftragten sowie regelmäßige Schulungen in Sachen Datenschutz und IT-Sicherheit kann das v.b. Fehlerrisiko verringert, allerdings nie auf null reduziert werden. Sowohl in NRW als auch auf Bundesebene wird die vorliegende Form systematischer Bewer- tung der Qualität des Datenschutzes bei einer großen Kommunalbehörde erstmals angewandt und kann insoweit wegweisend einerseits für die vergleichende Eigenbewertung innerhalb der kommunalen Familie, als auch als Grundlage für die Beratungs- und Überwachungsarbeit der Landesdatenschutzbeauftragten dienen. Ein wesentliches Erfolgsmerkmal für dieses positive Qualitätsergebnis war auch die dauerhafte Ausweisung einer Stelle für den stellvertretenden Datenschutzbeauftragten im Amt der Ober- bürgermeisterin, die seit April 2018 erfolgreich besetzt werden konnte. 5 II. Sachstandsdarstellung zur Umsetzung der Datenschutzgrundverordnung (DSGVO) ein Jahr nach Inkrafttreten Seit Beginn des Transformationsprozesses hat die interdisziplinäre Projektgruppe zur DSGVO- Umsetzung nach ihrer konstituierenden Sitzung im März 2017 bisher in 11. Sitzungen getagt. Die regelmäßigen Treffen haben gezeigt, dass die Idee, die Fachdienststellen so eindeutig in die Umsetzungsverantwortung zu nehmen, funktioniert hat. Die jeweiligen Vertreter/innen der Fachdezernate in der Projektgruppe tragen den Prozess sehr positiv mit, übermitteln beschlos- sene Umsetzungsaufträge in die Fachdienststellen ihres Dezernatsgeschäftsbereiches und spiegeln diese mit entsprechenden Ergebnissen oder Hinweisen auf Umsetzungshemmnisse zurück in die Projektgruppe. Ebenso wichtig war und ist die Beteiligung verschiedener Querschnittsfunktionen in der Projekt- gruppe wie des Amtes für Informationsverarbeitung und des IT-Sicherheitsverant-wortlichen, des Amtes für Personal und Verwaltungsmanagement, der Onlineredaktion im Amt für Presse- und Öffentlichkeitsarbeit und der Stabstelle Digitalisierung sowie die frühzeitige vertrauensvolle Einbindung des Gesamtpersonalrates. Mit steigender Tendenz ist in der Webanwendung DSGVO, die als strukturiertes Dokumentati- onsinstrument des Kölner Vorgehensmodells zur DSGVO-Umsetzung dient, die Anzahl der Ein- tragungen umzusetzender Einzelmaßnahmen zu verzeichnen (1.270 zum Stand 21.03.19; s. Folie 2 der Anlage 3). Die Verteilung dieser Maßnahmen auf die Prüfkategorien (PK) des Köl- ner Vorgehensmodells ergibt eindeutige Schwerpunkte bei den Datenschutz-/ und Einwilli- gungserklärungen (PK II – erweiterte Informationspflichten) sowie IT-Fachanwendungen (PK V.1). Die Angabe von Fehlanzeigen war in diesem Zusammenhang eine wichtige Prüfaussage, da eine Fachdienststelle hiermit dokumentieren konnte, keine Maßnahmen einer bestimmten Prüfkategorie in ihrem Aufgabengebiet verzeichnet zu haben (s. Folie 3 der Anlage 3). Die Kennzahl zu Fachdienststellen, die keine Eintragung in die Webanwendung DSGVO vorge- nommen und sich damit bisher nicht nachvollziehbar an dem Umsetzungsprozess beteiligt ha- ben, hat sich nunmehr fast auf null reduziert (s. Folie 2 der Anlage 3). Insgesamt ist festzustellen, dass noch rd. 400 Einzelmaßnahmen zur Umsetzung auf die DSG- VO-Regelungen anstehen, da diese mit dem Status „Prüfung offen“ in der Webanwendung DSGVO verzeichnet sind (s. Folie 4 der Anlage 3). Wesentliche Teilmenge dieser Gesamtzahl bilden Maßnahmen aus den Prüfkategorien Auftragsverarbeitung (PK III), Videoüberwachung (PK IV) und IT-Fachanwendungen (PK V.1). Da für diese Prüfkategorien datenschutzrechtlich relevante Zulässigkeitsverfahren durchzuführen sind, werden diese Maßnahmen derzeit in einer sog. „Arbeitsplanung“ zusammengeführt, um mit Blick auf die erforderlichen Umsetzungsres- sourcen in den zuständigen Fachdienststellen und bei den wesentlich Beteiligten 12 (Inbetrieb- nahmekoordination), 12/1 (IT-Sicherheits-verantwortlicher) und 01/01 (Datenschutzbeauftragter) eine Zeit-Maßnahmen-Planung mit prioritärer Abwicklung aufstellen zu können. Festzuhalten ist, dass die in diesem Zusammenhang noch durchzuführenden datenschutzrecht- lichen Zulässigkeitsverfahren (wesentlich Datenschutzfolgenabschätzungen) einen Umset- zungshorizont von voraussichtlich 2 bis 3 Jahren aufweisen. Dies ist aus hiesiger Sicht insoweit unproblematisch, da sich der nachlaufende Prüfbedarf aus einer – vergleichbar einem „datenschutzrechtlichen Hausputz“ – durchgeführten Bestandsauf- nahme im Rahmen des DSGVO-Umsetzungsprozesses ergeben hat und jetzt in einem struktu- rierten und nachvollziehbaren Verfahren abgearbeitet wird. Von hier wird nicht davon ausge- gangen, dass es in diesem Zusammenhang zu Beanstandungen seitens der Landesdaten- schutzbeauftragten (LDI NRW) kommen wird. 6 Fazit zur DSGVO-Umsetzung: Der Transformationsprozess hat sich im Wesentlichen wie geplant stabil entwickelt. Das Vorge- hensmodell zur operativen Umsetzung der DSGVO hat alle relevanten Inhaltsaspekte des Um- stellungsprozesses umfasst und war praxisorientiert durch die verantwortlichen Fachdienststel- len anwend- und umsetzbar (s. Mitteilung im UdiKO zu Session 3137/2017). Die als Dokumentations- und Controllingsinstrument vom Amt für Informationsverarbeitung ei- genentwickelte Webanwendung DSGVO hat sich für die zuständigen Beschäftigten in den Fachdienststellen nach entsprechenden Einweisungsschulungen als intuitiv nutzbar herausge- stellt. Die Auswertungsfunktionen in der Anwendung sind eine sinnvolle und zielorientierte Un- terstützung für das Umsetzungscontrolling sowohl der Dezernate und Fachdienststellen, als auch des Datenschutzbeauftragten. Die weitere Umsetzung der DSGVO-Regelungen wird wie geplant fortgesetzt. Das Fortbeste- hen der interdisziplinären Projektgruppe DSGVO ist bis auf weiteres erforderlich. Gez. Reker
Sachstandsdarstellung zur Umsetzung der DSGVO_Anlage 3 zur Mitteilung 1555-2019
1767 Zeichen
Folie 101/01 Beauftragter für den Datenschutz Sachstandsdarstellung DSGVO-Umsetzung - UdiKO am 17.06.19 (Anlage 3) ___________________________________________________________ Sachstandsdarstellung zur Umsetzung der Datenschutzgrundverordnung (DSGVO) ein Jahr nach Inkrafttreten Folie 201/01 Beauftragter für den Datenschutz Sachstandsdarstellung DSGVO-Umsetzung - UdiKO am 17.06.19 (Anlage 3) ___________________________________________________________ Eintragungen in Web-Anwendung DSGVO (Stand 21.03.19) 799 1157 1186 1222 1270 0 200 400 600 800 1000 1200 1400 Mai 2018 Sept. Nov. Jan. 2019 März Eintragungen in Web-Anwendung DSGVO gesamt 24 13 7 5 10 10 20 30 Mai 2018 Juni Sept. Jan. 2019 März Fehlende Dienststellen mit Eintragungen in die Web-Anwendung DSGVO Folie 301/01 Beauftragter für den Datenschutz Sachstandsdarstellung DSGVO-Umsetzung - UdiKO am 17.06.19 (Anlage 3) ___________________________________________________________ Eintragungen in Web-Anwendung DSGVO (Stand 21.03.19) 57 353 62 56 320 116 236 57 359 75 60 332 119 268 0 50 100 150 200 250 300 350 400 PK I PK II PK III PK IV PK V.1 PK V.2 Fehlanzeigen Eintragungen in Web-Anwendung nach Prüfkategorien (PK) und Fehlanzeigen (Veränderung Jan. auf März 2019) IT-Fach- anwendungen RiLi, DA etc. DViA Videoüberw. Access-DB erweiterte Info-Pflichten. Folie 4 Sachstandsdarstellung DSGVO-Umsetzung - UdiKO am 17.06.19 (Anlage 3) ___________________________________________________________ 01/01 Beauftragter für den Datenschutz 01/01 Beauftragter für den Datenschutz Abarbeitung aller Maßnahmen mit dem Status „Prüfung offen“ – Entwicklung (bis einschl. 21.03.19) 350 370 390 410 430 450 Jun 2018 Nov 2018 Jan 2019 Mrz 2019 430 388 384 401 Eintragungen für Maßnahmen mit „Prüfung offen“
Qualitätsstandserhebung Datenschutz Stadt Köln_Anlage 2 zur Mitteilung 1555-2019
10276 Zeichen
Folie 101/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ Strukturierte Qualitätsstanderhebung zum Datenschutz bei der Stadt Köln anhand von Maßnahmen aus dem Datenschutzmanagementkonzept (i.d.F. vom 11.12.18) Folie 201/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ I. Datenschutzmanagementkonzept zur Erfüllung der Rechenschafts- und Dokumentationspflichten (Accountability) II. Herleitung des Maßnahmenkataloges III. Struktur der Fragestellungen zur Maßnahmenbewertung IV. Maßnahmenbewertung durch dezentrale Datenschutzkoordinatoren/innen V. Maßnahmenbewertung durch 01/01 VI. Auswertung/ Handlungsbedarf Inhalt: Folie 301/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP I. Datenschutzmanagementkonzept Datenschutzmanagementkonzept zur Erfüllung der Rechenschafts- und Dokumentationspflichten (Accountability) i.d.F. vom 11.12.18 Regelungen und Anweisungen Prüfprozesse und Dokumentation Vertrags- management DS-Verstöße und Betroffenenrechte DS-Schulungen – Verschwiegenheit Kontrollen und Wirksamkeitsprüf. Folie 401/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP II. Datenschutzmanagementkonzept - Maßnahmenherleitung Folie 501/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP II. Datenschutzmanagementkonzept - Maßnahmenkatalog 0 10 20 30 40 50 60 70 80 90 100 Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten Verantwortlichkeiten im Datenschutz Beachtung des Prinzips der Datenminimierung (insb. Erforderlichkeit) datenschutzrechtliche und IT- sicherheitstechnische Zulässigkeitsverfahren technisch-organisatorische Maßnahmen im Fachamt entsprechend dem Stand der Technik Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnahmen Sicherstellung der Rechte der Betroffenen Sicherstellung der Meldepflichten bei Datenschutzverstößen Prüfung der Maßnahmen bei Auftragsverarbeitung (Vertragsmanagement) Datenübermittlung an andere öffentl. und nicht-öffentl. Stellen Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO (DS- und Einwilligungserklärungen) Erhebung von Daten für festgelegte, eindeutige und legitime Zwecke (Zweckbindung) Erfüllung der Dokumentationspflichten (insb. Verarbeitungsverzeichnisse) Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Datenschutzkontrolle) Umsetzung der Löschungfristen (Speicherbegrenzung) Folie 601/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP III. Struktur der Fragestellungen zur Maßnahmenbewertung etabliert? bekannt? umgesetzt? Maßnahme aus DS-Managementkonzept… Bewertung durch 01/01 Bewertung durch dez. DS- Koordinatoren/innen Folie 701/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP IV. Maßnahmenbewertung durch dezentrale Datenschutzkoordinatoren/innen der Fachdienststellen „Wie erleben Sie in Ihrer Funktion als dezentrale DS-Koordinatoren/innen die Umsetzung vor Ort: Sind diese bekannt und werden umgesetzt?“ Bitte bewerten Sie die einzelnen Maßnahmen in der Grafik (von 0 bis 100% Erfüllungsgrad) (Das Ergebnis entspricht einer Durchschnittsbewertung in 3´er-Gruppen mit insg. 30 Teilnehmern/innen) Folie 801/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ 0 10 20 30 40 50 60 70 80 90 100 Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten Verantwortlichkeiten im Datenschutz Beachtung des Prinzips der Datenminimierung (insb. Erforderlichkeit) datenschutzrechtliche und IT- sicherheitstechnische Zulässigkeitsverfahren technisch-organisatorische Maßnahmen im Fachamt entsprechend dem Stand der Technik Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnahmen Sicherstellung der Rechte der Betroffenen Sicherstellung der Meldepflichten bei Datenschutzverstößen Prüfung der Maßnahmen bei Auftragsverarbeitung (Vertragsmanagement) Datenübermittlung an andere öffentl. und nicht-öffentl. Stellen Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO (DS- und Einwilligungserklärungen) Erhebung von Daten für festgelegte, eindeutige und legitime Zwecke (Zweckbindung) Erfüllung der Dokumentationspflichten (insb. Verarbeitungsverzeichnisse) Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Datenschutzkontrolle) Umsetzung der Löschungfristen (Speicherbegrenzung) Maßnahmenbewertung durch dez. DS-Koordinatoren der Fachdienststellen am 28.01.19 Maximum (100%) Soll Minimum (80%) Bewertung Folie 901/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP V. Maßnahmenbewertung durch Datenschutzbeauftragten „Sind die Maßnahmen geregelt (etabliert) und für alle Verantwortlichen bekannt?“ (Das Ergebnis entspricht der Bewertung 01/01 - DSB und Stellvertreter) Folie 1001/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ 0 10 20 30 40 50 60 70 80 90 100 Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten Verantwortlichkeiten im Datenschutz Beachtung des Prinzips der Datenminimierung (insb. Erforderlichkeit) datenschutzrechtliche und IT- sicherheitstechnische Zulässigkeitsverfahren technisch-organisatorische Maßnahmen im Fachamt entsprechend dem Stand der Technik Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnahmen Sicherstellung der Rechte der Betroffenen Sicherstellung der Meldepflichten bei Datenschutzverstößen Prüfung der Maßnahmen bei Auftragsverarbeitung (Vertragsmanagement) Datenübermittlung an andere öffentl. und nicht-öffentl. Stellen Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO (DS- und Einwilligungserklärungen) Erhebung von Daten für festgelegte, eindeutige und legitime Zwecke (Zweckbindung) Erfüllung der Dokumentationspflichten (insb. Verarbeitungsverzeichnisse) Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Datenschutzkontrolle) Umsetzung der Löschungfristen (Speicherbegrenzung) Maximum (100%) Soll Minimum (80%) Bewertung Maßnahmenbewertung durch den Datenschutzbeauftragten mit Stand 30.01.19 Folie 1101/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP VI. Auswertung/ Handlungsbedarf (1) I. Gesamtbewertung: Die Auswertung zeigt, dass sowohl aus Sicht der dezentralen Datenschutz- koordinatoren/innen als auch des Datenschutzbeauftragten die Maßnahmen zum Datenschutz qualitativ weitestgehend über dem Soll-Minimum (= 80% Erfüllungsgrad) liegen. II. Als unter dem Soll-Minimum werden derzeit folgende Maßnahmen angesehen, aus denen sich folgender Handlungsbedarf ableitet: • Sicherstellung der Meldepflichten bei Datenschutzverstößen (70%): Hierzu werden zeitnah weitere Informationen und konkrete Handlungsanweisungen im Intranet erfolgen. Es wird darüber hinaus ein Meldeformular mit gezielten Fragestellungen zu einem ggf. vorliegenden datenschutzrechtlichen Verstoß bereitgestellt (s. auch § 16 Dienstanweisung Datenschutz und Informationsfreiheit für die Stadt Köln i.d.F. v. 11.12.18) Folie 1201/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP VI. Auswertung/ Handlungsbedarf (2) II. Als unter dem Soll-Minimum werden derzeit folgende Maßnahmen angesehen, aus denen sich folgender Handlungsbedarf ableitet: • Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnahmen (75%): Gemeinsam mit 11 ist seitens 01/01 vorgesehen, dass jede/r Beschäftigte einmal im Jahr verbindlich einen Online-Schulungskurs zum Datenschutz und IT-Sicherheit absolviert, um die entsprechende Sensibilisierung zu gewährleisten und Sicherheitsrisiken zu minimieren (Sachstand: Bedarfsfeststellung ist eingeleitet, Ausschreibung erfolgt im Laufe 2019) • Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten (75%): 01/01 hat die Informationen dazu im Intranet veröffentlicht (s. hier). Weitere Informationsmaßnahmen werden seitens 01/01 durchgeführt. Folie 1301/01 Beauftragter für den Datenschutz Qualitätsstandserhebung Datenschutz - UdiKO am 17.06.19 (Anlage 2) ____________________________________________________________ TOP VI. Auswertung/ Handlungsbedarf (3) II. Als unter dem Soll-Minimum werden derzeit folgende Maßnahmen angesehen, aus denen sich folgender Handlungsbedarf ableitet: • Erfüllung der Dokumentationspflichten, insb. Verarbeitungsverzeichnisse (75%): Für alle datenschutzrechtlichen Maßnahmen stehen Verarbeitungsverzeichnisse zur Erfüllung der Dokumentationspflichten zur Verfügung: s. hierzu Ausführungen im Datenschutzmanagementkonzept (Ziff. V.), in der Dienstanweisung Datenschutz (§ 19 und 23) sowie im Intranet-Auftritt 01/01. Weitere Informationsmaßnahmen werden seitens 01/01 durchgeführt. • Beachtung des Prinzips der Datenminimierung; insb. Erforderlichkeit (75%): Tatsächlich konnte auch seitens 01/01 festgestellt werden, dass insb. in der Vergangenheit teilweise mehr Daten als erforderlich erhoben wurden. Hier ist jede Dienststelle aufgefordert, Anträge, Formulare oder sonstige Dokumente noch einmal zu überprüfen/ zu überarbeiten und die Verarbeitung personenbezogener Daten auf das notwendige Maß zu beschränken. Weitere Informationsmaßnahmen werden seitens 01/01 durchgeführt.
Einzelmaßnahmen zur Qualitätsstandserhebung_Anlage 1 zur Mitteilung 1555-2019
2904 Zeichen
UdiKO am 17.06.19: Anlage 1 15 Einzelmaßnahmen als Grundlage für die Qualitätsstandserhebung Datenschutz Maßnahme aus Datenschutzmanagementkonzept Inhaltliche Fragestellung Datenschutzmanagementkonzept zur Erfüllung der Rechenschaftspflichten Ist das Datenschutzmanagementkonzept bekannt und werden die Inhalte umgesetzt? Verantwortlichkeiten im Datenschutz Sind die Verantwortlichkeiten (verantwortliche Stelle, dez. DS-Koordinatoren, DSB) bekannt und werden diese umgesetzt? Beachtung des Prinzips der Datenminimierung (insb. Erforderlichkeit) Werden nur die für die Aufgabenwahrnehmung notwendigen pbD erhoben? datenschutzrechtliche und IT- sicherheitstechnische Zulässigkeitsverfahren Sind die verschiedenen Prüfprozesse z.B. für die Inbetriebnahme von IT-Fachanwendungen, Videoüberwachung bekannt? technisch-organisatorische Maßnahmen im Fachamt entsprechend dem Stand der Technik Sind die eingesetzten IT-Fachanwendungen auf dem neuesten Stand und werden entsprechend der Schutzstufe sichere TOM eingesetzt? Verpflichtung der Beschäftigten auf den Datenschutz und Schulungsmaßnahmen Sind die Beschäftigten sensibilisiert auf den Datenschutz und ausreichendgeschult? Sicherstellung der Rechte der Betroffenen Werden insb. Auskunfts- und Löschbegehren zeitnah geprüft und umgesetzt? Sicherstellung der Meldepflichten bei Datenschutzverletzungen Werden Datenschutzverstöße erkannt und ist bekannt, was darauf hin zu veranlassen ist? Prüfung der Maßnahmen bei Auftragsverarbeitung (Vertragsmanagement) Werden Maßnahmen zur Auftragsverarbeitung erkannt und sind die entsprechenden Prüfschritte bekannt? Datenübermittlung an andere öffentliche und nicht-öffentliche Stellen Wird bei der Datenübermittlung an andere datenschutzrechtliche Aspekte berücksichtigt (Frage: "Darf ich die pbD weitergeben…?") Umsetzung der Informationspflichten nach Art. 13, 14 DSGVO (Datenschutz- und Einwilligungserklärungen) Werden die Bürger/innen bei Erhebung der pbD entsprechend und gesetzeskonform über den Umgang mit dem Datenschutz durch die verantwortliche Fachdienststelle informiert? Erhebung von Daten für festgelegte, eindeutige und legitime Zwecke (Zweckbindung) Werden die erhobenen pbD nur für diesen Zweck verwendet, werden bei Zweckänderungen die gesetzlichen Vorschriften berücksichtigt? Erfüllung der Dokumentationspflichten (insb. Verarbeitungsverzeichnisse) Wird für jede Verarbeitung personenbezogener Daten ein Verarbeitungsverzeichnis geführt? Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Datenschutzkontrolle) Werden datenschutzrechtliche "Missstände" erkannt und ggf. darauf hingewiesen (Passwortschutz PC, Türen verschlossen, Dokumente sachgemäß entsorgt)? Umsetzung der Löschfristen (Speicherbegrenzung) Werden Löschfristen festgelegt und umgesetzt? Werden pbD nur solange gespeichert, wie erforderlich?
Beratungsverlauf (1)
Beschluss: Kenntnis genommen
Zur SitzungDetails
- Aktenzeichen
- 1555/2019
- Typ
- Mitteilung Ausschuss
- Datum
- 07.05.2019
- Erstellt
- 30.04.2019 16:49