0565/2017
Sachstandsbericht Datenschutz bei der Stadt Köln
KI-Zusammenfassung
Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.
KI-Analyse läuft...
vergangen
Was passiert gerade?
- 📄 Dokumente werden analysiert...
- 🤔 KI denkt nach (Reasoning-Modell)...
- ✍️ Zusammenfassung wird geschrieben...
- ⏳ Das dauert etwas länger bei komplexen Dokumenten...
Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.
Sachstandsbericht Datenschutz bei der Stadt Köln_Stand 05.02.17
57792 Zeichen
1 Sachstandsbericht Datenschutz bei der Stadt Köln (Febr. 2017) Sachstandsbericht Datenschutz bei der Stadt Köln Inhalt: Einleitung I. Organisationsstand/ Verantwortlichkeiten im Datenschutz II. Aufgabenstand/ -verteilung (bis 2015/ 2016) III. Qualitätsstand Datenschutz und IT-Sicherheit IV. Operative Kennzahlen des behördlichen Datenschutzbeauftragten V. Aufgaben und Aufgabenschwerpunkte in Bewegung (Entwicklung) 1. Vorabkontrollen Videoüberwachung 2. Prüfung von Verträgen zur Datenverarbeitung im Auftrag 3. Digitalisierung der Verwaltung (eGovernment und eAkten) 4. Datenschutzschulungen 5. Altverfahren überprüfen 6. Dienststelleninterner/ dezentraler Datenschutz VI. Auswirkungen der Datenschutzgrundverordnung der EU und Vorschlag zum Umsetzungsprozess in der Stadtverwaltung Köln Fazit/ Ausblick Sachstandsbericht Datenschutz bei der Stadt Köln / 3 Einleitung Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht, hier das Recht auf informationelle Selbstbestimmung, entwickelt aus dem sog. „Volkszählungsurteil“ von 1983. Danach kann der Betroffene grundsätzlich selbst darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt. Dieses Grundrecht wird im Grundgesetz allerdings nicht explizit erwähnt. Dagegen wurde in den meisten Landesverfassungen eine Datenschutzregelung auf- genommen, so u.a. auch in Nordrhein-Westfalen (Art. 4 Abs. 2 LV NRW), wonach „Jeder Anspruch auf Schutz seiner personenbezogenen Daten [hat]. Eingriffe sind nur in überwiegendem Interesse der Allgemeinheit auf Grund eines Gesetzes zulässig“. Die konkretisierende Umsetzungsnorm u.a. für die Gemeinden – somit auch für die Stadtverwaltung Köln – ist das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) sowie weitere spezialgesetzliche Regelungen des Landes und Bundes (z.B. Bundes- datenschutzgesetz und Sozialgesetzbücher). Für die Stadt Köln wird nunmehr erstmals seit Einrichtung der Funktion eines Beauf- tragten für den Datenschutz – mit alleiniger Aufgabenstellung in dieser Funktion im Jahre 2002 - ein konzentrierter und systematischer Sachstandsbericht vorgelegt, der umfassend und übersichtlich den bestehenden (Ist-) Zustand sowie die aktuellen Ent- wicklungstendenzen im Bereich des Datenschutzes bei der und für die Stadtverwal- tung Köln beschreibt. Dies geschieht vor dem Hintergrund wachsender Bedeutung des Themas Daten- schutz: Bürgerinnen und Bürger werden einerseits nicht zuletzt angesichts zuneh- mender technisierter Verarbeitung ihrer personenbezogenen Daten z.B. durch Inter- netnutzung, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungs- methoden sensibler und hierbei durchaus auch misstrauisch gegenüber staatlichen Institutionen und privaten Unternehmen. Auf der anderen Seite steht dieser Entwick- lung eine gewisse Gleichgültigkeit von Teilen der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat. Sorglos werden hier zum Teil immense Datenmengen in Quantität und Qualität an Leistungs- anbieter im Internet oder im Zusammenhang mit der Nutzung von Smartphones ab- gegeben. Interesse und Bedarf an personenbezogenen Informationen haben in diesem Zu- sammenhang sowohl staatliche Stellen als auch private Unternehmen. Auch die Stadtverwaltung Köln erfasst und verarbeitet tagtäglich größte Mengen an Daten im Rahmen der sog. „Leistungsverwaltung“, so bei der Gewährung von Sozial- und Ju- gendhilfeleistungen, dem Betrieb von Schulen und Kindertagesstätten oder dem An- gebot von Bibliotheken. Aber auch beim Vollzug der „Eingriffsverwaltung“, bei der die Stadtverwaltung im Rahmen der Gefahrenabwehr tätig wird (hier z.B. Verkehrs- und Ordnungsüberwachung), werden personenbezogene Daten erhoben, gespeichert und ggf. an andere Stellen weitergeleitet. Sachstandsbericht Datenschutz bei der Stadt Köln / 4 Aktualität gewinnt das Thema Datenschutz derzeit insbesondere auch bei der Diskus- sion um eine Ausweitung der Videoüberwachung. Die Vorfälle der Kölner Silvester- nacht 2015 und die terroristischen Anschläge insb. auch in Deutschland führen dazu, dass die Akzeptanz und die gesetzlichen Grenzverläufe der Zulässigkeit optischer Beobachtungen immer wieder durch die verantwortlichen Behörden, die Öffentlichkeit und die Medien kritisch hinterfragt und auch verschoben werden. Im Rahmen der Ausübung des Hausrechtes werden bei der Stadtverwaltung Köln in diesem Zusam- menhang u.a. Museen, städtische Verwaltungsgebäude und Flüchtlingsunterkünfte elektronisch beobachtet. Der Wesenskern des Datenschutzrechts besteht in allen Fällen darin, die Machtun- gleichheit zwischen Institutionen und Einzelpersonen unter Regeln basierte Bedin- gungen zu stellen, also buchstäblich ausgleichend „Augenhöhe“ zu gewährleisten. Der Datenschutz soll der in der zunehmend digitalen und vernetzten Informationsge- sellschaft bestehenden Tendenz zum sog. „gläsernen Menschen“, dem Ausufern staatlicher Überwachungsmaßnahmen und der Entstehung von Datenmonopolen von Privatunternehmen entgegenwirken. Der behördliche Beauftragte für den Datenschutz ist in dieser Aufgabe gleichzeitig „Anwalt der Betroffenen“ (in konkreten Beschwerdefällen), Berater für die städtischen Mitarbeiter/ innen in Datenschutzfragen sowohl in Ausübung ihrer dienstlichen Tätig- keiten als auch als Träger von eigenen Beschäftigtenrechten, Funktionsträger originär eigener Aufgaben (z.B. datenschutzrechtliche Freigaben bei der Einführung von IT- Fachverfahren) sowie Überwachungs- und Kontrollorgan zur Einhaltung des Daten- schutzes. Parallel berät er die Hierarchieebenen innerhalb der Stadtverwaltung von der Oberbürgermeisterin über die Fachbeigeordneten und alle Leitungsfunktionen in den Fachdienststellen bei der Sicherstellung des Datenschutzes. Vor diesem Hintergrund ist die Gewährleistung eines funktionierenden Datenschutzes in den Dienststellen und Fachämtern sowie die Einrichtung und Vorhaltung eines wei- sungsfrei handelnden Datenschutzbeauftragten von entscheidender Bedeutung für eine insoweit rechtssicher handelnde Stadtverwaltung Köln. Der nachfolgende Bericht beschreibt den derzeitigen (Ist-) Zustand des Datenschut- zes bei der Stadtverwaltung Köln: aufgezeigt wird die geregelte Organisationstruktur und Verteilung der Verantwortlichkeiten (s. Ziff. I), eine Übersicht über den Aufgaben- bestand (Ziff. II), eine Einordnung des Qualitätszustandes (Ziff. III) sowie eine Aus- wahl operativer Kennzahlen zum Handeln des behördlichen Datenschutzbeauftragten (Ziff. IV). Im Weiteren wird dargestellt, wie sich – auf der Grundlage des beschriebenen Aufga- benbestandes – Tätigkeiten und Aufgabenschwerpunkte tendenziell entwickeln (s. Ziff. V). Besonderes Augenmerk wird hierbei gelegt auf die Regelungen der seit Mai 2016 in Kraft getretenen und ab Mai 2018 verbindlich anzuwendenden Datenschutz- grundverordnung der Europäischen Union (DSGVO) und deren Auswirkungen auf die Stadtverwaltung Köln verbunden mit einem Vorschlag zur operativen Umsetzung die- ser Vorgaben (Ziff. VI). Sachstandsbericht Datenschutz bei der Stadt Köln / 5 I. Organisationsstand/ Verantwortlichkeiten im Datenschutz Die „Dienstanweisung Datenschutz für die Stadtverwaltung Köln“ in ihrer Fassung vom 12.09.02 (DA Datenschutz) regelt, dass die Beschäftigten und Leiter/innen der städtischen Dienststellen, Eigenbetriebe sowie eigenbetriebsähnlichen Einrichtungen für die Einhaltung der geltenden Vorschriften über den Datenschutz zuständig und verantwortlich sind (s. § 6 DA Datenschutz). Im Rahmen der zentralen Wahrung des Datenschutzes bei der Stadtverwaltung ob- liegt dem behördlichen Beauftragten für den Datenschutz neben originären Aufgaben wie z.B. der Vorabkontrolle bei der Inbetriebnahme von IT-Fachverfahren (inkl. Füh- rung dazugehöriger Verfahrensverzeichnisse) und Videoüberwachungsanlagen sowie die Durchführung von Schulungen auch die Hinwirkungspflicht auf die Einhaltung der entsprechenden allgemeinen Regelungen nach dem DSG NRW, dem Bundesdaten- schutzgesetz (BDSG) sowie bereichsspezifischen Rechtsvorschriften des Bundes oder Landes. Detailliert ergeben sich die Aufgaben und Befugnisse aus § 32a DSG NRW (s. auch § 9 DA Datenschutz). Eigenbetriebe und eigenbetriebsähnliche Einrichtungen haben einen eigenverantwort- lichen Datenschutzbeauftragten zu bestellen, weil zum Zeitpunkt der Funktionsüber- tragung als behördlicher Datenschutzbeauftragter im Jahr 2002 bereits absehbar war, dass diese Aufgaben aufgrund der eingesetzten personellen Ressourcen (1 Stelle) zentral nicht leistbar waren. Zur Gewährleistung des dezentralen Datenschutzes haben die Leiter/innen der Fach- dienststellen mindestens einer Person die Aufgabe, die Vorgaben des Datenschutzes vor Ort umzusetzen, übertragen (s. § 7 DA Datenschutz). Die sich aus diesen Regelungen ergebende Verantwortungsdarstellung für die Stadt- verwaltung Köln in Sachen Datenschutz ergibt sich aus der beigefügten Anlage 1. II. Aufgabenstand/ -verteilung (bis 2015/ 2016) Zu Mitte Sept. 2015 erfolgte nach vorhergehendem intensivem Wissenstransfer und Absolvierung einer Zertifizierungsschulung eine geregelte Übergabe durch den lang- jährigen Beauftragten für den Datenschutz, Herrn Powalka an seinen Stellvertreter Herrn Fricke. Seit 01.06.16 werden die Aufgaben konzentriert durch den Stellennach- folger wahrgenommen. Sachstandsbericht Datenschutz bei der Stadt Köln / 6 Für den Zeitpunkt Ende 2015 stellt sich die Verteilung der Aufgabenschwerpunkte des zentralen Datenschutzes wie in Anlage 2 aufgeführt dar. Besonderes Gewicht lag – nach Aufbau datenschutzrechtlicher Grundlagen bis Mitte der 2000`er Jahre – in der vergangenen Dekade bis 2015 auf der Begleitung und da- tenschutzrechtlichen Freigabe im Rahmen der Inbetriebnahmen von Fachverfahren mit personenbezogenen Daten in den Dienststellen (35%), der Planung und Durch- führung von zum Teil flächendeckenden Schulungen zu allgemeinen und bereichs- spezifischen Datenschutzregelungen (20%) sowie der Beratung bei Fragen und The- menstellungen datenschutzrechtlicher Art aus der Verwaltung und durch Bürgerinnen und Bürger (insgesamt 30%). Der hohe Prozentsatz bei der „Beratung der städtischen Dienststellen und Beschäftig- ten“ (25%) ist der Tatsache geschuldet, dass immer wieder neue datenschutzrechtli- che Fragestellungen aufgeworfen werden (z.B. Regelungen für mobiles Arbeiten, Auf- legen und Vertreiben von Newslettern, Zusammenführen von Flüchtlingsdaten), die bei den Fachämtern sowie den Mitarbeitern/ innen im Rahmen der täglichen Aufga- benerfüllung aufgrund der zum Teil schwierigen Rechtsmaterie spürbaren Beratungs- bedarf erzeugen. Den Zeitraum seit 2002 betrachtend ist anzumerken, dass sowohl der Aufgabenum- fang als auch die Anforderungen an die Qualität der Aufgabenerledigung stetig ge- stiegen sind. Dies insbesondere durch die Einführung datenschutzrechtlicher Prüfpro- zesse - hier (Vorab-) Kontrollen und Freigaben von IT-Fachverfahren, Videoüberwa- chungen an städtischen oder städtisch genutzten Gebäuden sowie der externen Ver- arbeitungen städtischer Daten im Auftrag -, durch die insgesamt wachsende Anzahl von einzuführenden technikunterstützen Verarbeitungsverfahren sowie die festzustel- lende deutlich erhöhte Sensibilität von Beschäftigten sowie Bürgerinnen und Bürgern in Sachen Datenschutz. Um diesen intern und extern implizierten Anforderungen gerecht zu werden ist - vor dem Hintergrund der im Umfang von einer Stelle bestehenden Ressourcenaufstellung für das Thema Datenschutz - permanent der Ausgleich von berechtigten Interessen der anstehenden Aufgaben zu finden, das heißt, die Aufgaben konnten und können nur durch Prioritätensetzung und entsprechende zeitliche Verschiebungen wahrge- nommen und gewährleistet werden, zum Teil eine verminderte Reaktionsgeschwin- digkeit in Kauf nehmend. Sachstandsbericht Datenschutz bei der Stadt Köln / 7 III. Qualitätsstand Datenschutz und IT-Sicherheit Datenschutz und IT-Sicherheit sind zwei Seiten derselben Medaille: Nur wenn die IT- Systeme, auf denen personenbezogene Daten gespeichert sind, entsprechend ge- schützt werden, ist auch der Datenschutz sichergestellt, sprich: es gibt keinen Daten- schutz ohne Datensicherheit! Die Stadtverwaltung Köln trägt dieser Prämisse Rechnung, indem sie die zwei Funkti- onen Beauftragter für den Datenschutz (OB/7) sowie IT-Sicherheitsverantwortlicher (12/1) geschaffen und an jeweils organisatorisch prominenten Positionen im Hierar- chiegefüge als Referat im OB-Büro - mit unmittelbarer Anbindung an den/ die Ober- bürgermeister/ in - bzw. als Stabstelle im Amt für Informationsverarbeitung (12) ange- bunden hat. Darüber hinaus werden im Amt für Informationsverarbeitung die notwen- digen Ressourcen vorgehalten, um u.a. einen sicheren Betrieb der IT-Technik in der Stadtverwaltung Köln aufrechtzuerhalten und zu gewährleisten. In diesem Zusammenhang wurden Regelungen getroffen, die als „IT-Sicherheits- politik“ für die Stadtverwaltung detailliert die Sicherheitsgrundsätze mit Schutzzielen und Schutzprinzipien beschreibt, Verantwortlichkeiten über die Hierarchieebenen hin- weg festlegt und einen kontinuierlichen Kontrollprozess etabliert. Die „Dienstanwei- sung Datenschutz für die Stadtverwaltung Köln“ legt ergänzend fest, wie die Umset- zung datenschutzrechtlicher Regelungen vorzunehmen ist. In der Infrastruktur der städtischen Informationsverarbeitung werden in diesem Zu- sammenhang regelmäßige Penetrationstests durchgeführt. Hierunter wird die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netz- werks- oder Softwaresystems mit Mitteln und Methoden verstanden, welche ein An- greifer (ugs. "Hacker") anwenden würde, um unautorisiert in das System einzudrin- gen. Penetrationstests ermitteln somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Dabei erkannte Sicherheitslücken werden dann umgehend geschlossen. Die Berichterstattung hierüber erfolgt in den Fachgremien des Rates. Ebenso hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) unter der Begrifflichkeit „IT-Grundschutz“ elementare Bedrohungsszenarien für Organisati- on und Betrieb von Informationstechnik und die damit verbundenen Risiken aufge- zeigt. Hierbei werden aus den erkannten Risiken resultierende Sicherungsmaßnah- men empfohlen, um grundsätzlich „ein mittleres, angemessenes und ausreichendes Niveau“ für den Schutz der Informationsverarbeitung zu gewährleisten. Sachstandsbericht Datenschutz bei der Stadt Köln / 8 Im Rahmen einer qualifizierten Selbstauskunft kann in diesem Zusammenhang an- hand von 15 vorgegebenen Maßnahmen mit festgelegten Inhaltskriterien (s. Übersicht Anlage 3) die Qualität des Datenschutzes in der Darstellung eines Netzdiagramms visualisiert werden. Der grafische Überblick über die datenschutzrechtliche Maßnah- menerfüllung für die Stadtverwaltung Köln gewährleistet im Abgleich mit der definier- ten Ideallinie (s. „Maximum 100%“ Erfüllungsquote) eine Einordnung der vorhandenen Aufgabenqualität bei der Stadt Köln (s. Anlage 4). Nach der BSI-Systematik sollte für jede aufgeführte Maßnahme ein Wert von mindes- tens 80% (s. „Soll Minimum“) angestrebt werden. Im Ergebnis sind wesentlich Erfül- lungsquoten für die Einzelmaßnahmen von 90 bis 100% festzustellen. Bei der „Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle“ (s. M4) sind die bisher datenschutzrechtlich noch nicht überprüften IT-Fachverfahren berücksichtigt. Zum einen handelt es sich um sog. „Altverfahren“, die zum Zeitpunkt des Inkrafttre- tens des DSG NRW in 2000 bereits in Betrieb genommen wurden. Die IT- sicherheitstechnische Überprüfung erfolgt sukzessive, wenn technische Veränderun- gen wie z.B. Updates anstehen. Zum anderen wird derzeit ein Abgleich datenschutzrechtlich freigegebener Fachver- fahren im Verfahrensverzeichnis bei dem Beauftragten für den Datenschutz mit den beim Amt für Informationsverarbeitung gemeldeten und laufenden IT-Anwendungen vorgenommen, um eine aktuelle Aufstellung über noch ggf. ausstehende Verfahrens- freigaben zu erhalten. Anschließend erfolgt die Erstellung eines Prüfplanes gemein- sam mit dem Amt für Informationsverarbeitung und den zuständigen Fachdienststel- len, um die datenschutzrechtliche Vorabkontrolle und Freigabe zeitnah zu gewährleis- ten. Die eingeschränkte Bewertung bei „Datenschutzgerechte Löschung/ Vernichtung“ (s. M15) erklärt sich aus der Tatsache, dass der gesamtstädtisch erforderliche Aktenplan noch nicht fertiggestellt ist und damit die notwendigen Aufbewahrungs-/ Löschfristen noch nicht festgelegt werden konnten. Das koordinierende Amt für Personal, Organi- sation und Innovation (11) ist in diesem Zusammenhang seit längerem in Gesprächen mit den Dienststellen, um Teilaktenpläne mit entsprechenden Löschungsfristen auf den Amtsebenen zu erstellen. Aktuell liegen 31 fertige Teilaktenpläne vor, 43 werden derzeit verhandelt, sieben Dienststellen sind in den Aufstellungsprozess noch nicht eingestiegen (Stand 04.11.16). Sachstandsbericht Datenschutz bei der Stadt Köln / 9 Festzustellen ist, dass die schleppende Bearbeitung in den Dienststellen mit der ho- hen Arbeitsbelastung durch die täglichen Fachaufgaben zusammenhängt, wodurch inneradministrielle Aufgaben wie die Erarbeitung von Teilaktenplänen in der Priorisie- rung in den Hintergrund geraten. Ergänzend zu den sukzessiv zu entwickelnden Teilaktenplänen wird sich die zuneh- mende Anzahl von Dienststellen, die ihre Sachbearbeitung auf eine elektronische Ak- tenführung umstellen und bei deren Umsetzung u.a. auch explizit Löschungsfristen für die gespeicherten Fachdaten angegeben werden müssen, die bisher eingeschränkte Qualitätsbewertung der Einzelmaßnahme (M15) schrittweise positiv verändern. Das hohe Qualitätsniveau des Datenschutzes bei der Stadt Köln sowie die Abwesen- heit von Auffälligkeiten und Skandalen ist hierbei der guten Zusammenarbeit des Am- tes für Informationsverarbeitung (12) mit dem IT-Sicherheitsverantwortlichen einer- seits und den sensibel aufgestellten Fachdienststellen andererseits zu verdanken. Die aktuelle Herausforderung besteht darin, den erreichten Standard bei wachsenden Anforderungen zu sich ausweitenden Aufgabenbestandteilen und insbesondere mit Blick auf die Umsetzung der Regelungen aus der Datenschutzgrundverordnung der EU (s. hierzu Ziff. VI und VII) zu erhalten sowie eingeschränkte Qualitätsbewertungen unterhalb der 80%-Erfüllungslinie - wie beschrieben - zu verbessern. Darüber hinaus ist gerade in der heutigen Zeit das Thema Datenschutz von besonde- rer Dynamik geprägt. Stichworte wie z.B. die zunehmende Digitalisierung der Gesell- schaft und die ausweitende Diskussion zur Videoüberwachung im Rahmen der allge- meinen bundesweiten Sicherheitsdebatte sind Bestandteile dieses Sachstandsberich- tes (s. Ziff. 0, III und VI) und führen dazu, dass sich die Organisation der Stadtverwal- tung über alle Hierarchieebenen hinweg immer wieder auf neue Themen und Frage- stellungen einstellen muss, auf die rechtssichere Antworten gefunden werden müs- sen. Sachstandsbericht Datenschutz bei der Stadt Köln / 10 IV. Operative Kennzahlen des behördlichen Datenschutzbeauftragten Bisher wurden operative Kennzahlen zur Tätigkeit des Beauftragten für den Daten- schutz nicht strukturiert erhoben und dargestellt. In den nachfolgenden Kategorien wird, in einem ersten Schritt hierzu, mit dem Aufbau eines systematischen Berichts- wesens begonnen, welches u.a. wesentlich quantitative Aussagen zu den externen und internen Kontakten im Rahmen der Aufgabenerledigung des Datenschutzbeauf- tragten zulässt (Gesamtaufstellung hierzu s. Anlage 5). Inhaltskategorien dieses Berichtswesens sind: externe Erfahrungsaustausche des Beauftragten für den Datenschutz Mitwirkung in städtischen Gremien und Arbeitskreisen Durchführung von Schulungen Datenschutzrechtliche Vorabkontrollen/ Freigabeverfahren (insb. zu IT-Fachverfahren und Datenverarbeitung im Auftrag) Darüber hinaus wurden insgesamt 28 externe Anfragen und Beschwerden an den Beauftragten für den Datenschutz gerichtet (Zeitraum 11/2015 bis 01/2017). Neben einer Vielzahl von Zuständigkeitsweiterleitungen an die Landesbeauftragte für Daten- schutz und Informationsfreiheit bezogen sich die Sachverhalte u.a. auf die Tätigkeiten des Amtes für Wohnungswesen (56), des Amtes für Personal, Organisation und Inno- vation (11) und des Amtes für Kinder, Jugend und Familie (51). Vielfache Anfragen er- folgten zum Thema Videoüberwachung des öffentlichen Raumes. Insgesamt erscheint die im zentralen Datenschutz aufkommende Hinweis- und Be- schwerdelage von extern angesichts des Tätigkeitsumfangs der Stadtverwaltung so- wohl bei der Leistungs- als auch der Eingriffsverwaltung eher gering zu sein. Die An- zahl der Beschwerden unmittelbar bei den Dienststellen wurde bisher nicht erfasst, entsprechende Nachfragen von dort bei dem Beauftragten für den Datenschutz sind bei der Beschreibung des Aufgabenbestandes, hier der Position „Beratung städtische Dienststellen/ Beschäftigte“, mit enthalten. Die weitere Entwicklung wird beobachtet. Sachstandsbericht Datenschutz bei der Stadt Köln / 11 V. Aufgaben und Aufgabenschwerpunkte in Bewegung (Entwicklung) Gegenüber dem unter Ziff. II geschilderten Aufgabenstand und deren Verteilung auf die vorhandene Stellenkapazität sind nachfolgende zusätzliche Aufwüchse bei beste- henden bzw. neuen Aufgaben festzustellen: 1. Vorabkontrollen Videoüberwachung Im laufenden Prüfprozess stehen derzeit konkret die datenschutzrechtlichen Freigaben für Flüchtlingsunterkünfte (z.Z. 14 Standorte), Kindertagesstätten (z.Z. acht Gebäude) sowie die von der Stadt betriebenen neun Museen, der Neubau des historischen Archivs am Eifelwall und der archäologischen Zone am Historischen Rathaus an. Derzeit laufen hierzu die erforderlichen Abstimmungs- gespräche mit den zuständigen Fachdienststellen. 2. Prüfung von Verträgen zur Datenverarbeitung im Auftrag Verstärkt ist festzustellen, dass städtische Dienststellen die Verarbeitung von personenbezogenen Daten durch externe Dritte in Anspruch nehmen. Die Liste der in 2016 datenschutzrechtlich freigegebenen Maßnahmen ist der Anlage 5 (als Teil der operativen Kennzahlen des Datenschutzbeauftragten) zu entneh- men. Kurzfristig stehen u.a. im Amt für Personal, Organisation und Innovation das Online –Bewerbungsverfahren (eRecruiting), Amt für Feuerschutz, Ret- tungsdienst und Bevölkerungsschutz (eSchließsystem FW Gummersbacher Str.) und Amt für Wohnungswesen (Zutrittskontrolle zu Flüchtlingsunterkünften) wei- tere datenschutzrechtliche Freigaben an. Eine intensive Einbeziehung des Be- auftragten für den Datenschutz im Vorfeld ist sichergestellt. Nach erfolgter datenschutzrechtlicher Vorabkontrolle der Vertragsunterlagen des Auftragnehmers (incl. der getroffenen technischen und organisatorischen Maß- nahmen zum Schutz der personenbezogenen Daten) durch den Datenschutzbe- auftragten ist durch die zuständige Fachdienststelle das Verfahrensverzeichnis zu erstellen. Sachstandsbericht Datenschutz bei der Stadt Köln / 12 3. Digitalisierung der Verwaltung (eGovernment und eAkten) Im Rahmen der fortschreitenden Digitalisierung der Verwaltung und entspre- chender Normierung in den eGovernment-Gesetzen des Bundes und der Länder besteht auch bei der Stadt Köln ein erhöhter Koordinations- und Abstimmungs- bedarf bei der Umsetzung von Maßnahmen, wie z.B. der Erstellung einer Rah- mendienstvereinbarung mit der Personalvertretung, der Einführung von eAkten in den einzelnen Fachdienststellen, der Nutzung elektronischer Identifikationsop- tionen, ePayment-Angebote sowie der De-Mailnutzung. Die Datenschutzrelevanz ist in allen diesen Themen gegeben und bedarf daher entsprechender Begleitung in den städtischen Umsetzungsprozessen durch den Beauftragten für Datenschutz. Die fortlaufende thematische Einbindung hierzu erfolgt durch Teilnahme im dezernatsübergreifenden Arbeitskreis eGovernment (s. hierzu auch Anlage 5). 4. Datenschutzschulungen Neben den bisher bereits durchgeführten allgemeinen Datenschutzschulungen besteht verstärkt Bedarf, sich mit neuen bereichsspezifischen und überwiegend komplexen Rechtsvorschriften – hier z.B. dem aktualisierten Bundesmeldege- setz - auseinander zu setzen und entsprechende Schulungskonzepte zu entwi- ckeln und anzubieten. Im Bereich des Sozialdatenschutzes wurde – neben den durch den Daten- schutzbeauftragten regelmäßig durchgeführten Schulungen - pilothaft im Amt für Jugend, Kinder und Familien (51) ein Workshopverfahren initiiert, bei dem, ei- nem Input durch einen externen Fachexperten zur Rechtsmaterie folgend, die amtsspezifische Umsetzung und nachvollziehbare Visualisierung der Ergebnisse zur Vermittlung gegenüber den Mitarbeitern/innen insb. des ASD, GSD und der WJH durch Vorgesetzte vorgenommen wurden. In diesen Prozess war der Da- tenschutzbeauftragte qualitätssichernd eng eingebunden. Ähnlich angelegte Verfahren werden derzeit angedacht für die Bereiche Ge- sundheits- und Mitarbeiterdatenschutz. Darüber hinaus ist anvisiert, Datenschutzschulungen für Vorgesetzte – hier ins- besondere Amtsleiter/innen und Stellvertreter/innen - zu konzipieren und anzu- bieten. Sachstandsbericht Datenschutz bei der Stadt Köln / 13 Erste Überlegungen zur Professionalisierung der Schulungen im Bereich Daten- schutz gehen in Richtung der Einführung von eLearning-Verfahren. Mit diesen könnten Schulungsinhalte schneller und breiter in die Mitarbeiterschaft getragen werden. Auch die Nachweisführung darüber, dass Schulungen nicht nur angebo- ten, sondern auch personenbezogen durchgeführt wurden wäre über eine ver- bindliche Teilnahmeregelung incl. automatisierter Erteilung der Teilnahmebestä- tigung möglich. 5. Altverfahren überprüfen Zur Beseitigung der niederwertigen Qualitätsbewertung des Datenschutzes (s. hierzu Ziff. III und Ausführungen zur Maßnahme M15) sind erhöhte Aufwände für die IT-sicherheitstechnischen Prüfungen der sog. „Altverfahren“ - in Betrieb vor Inkrafttreten des DSG NRW im Jahr 2000 - sowie die Prüfung der in den Fach- dienststellen ggf. bereits laufenden aber datenschutzrechtlich noch nicht freige- gebenen Fachanwendungen zu verzeichnen. 6. Dienststelleninterner/ dezentraler Datenschutz Im Nachgang zu dem derzeit erfolgenden Terminlauf des Beauftragten für den Datenschutz mit allen von den Dienststellenleitungen benannten Personen, die den Datenschutz in der Dienststelle dezentral umsetzen, ist vorgesehen ein- bis zweimal im Jahr ein Treffen aller dezentral Verantwortlichen mit dem Daten- schutzbeauftragten zu organisieren, um neben inhaltlichem Input die Vernetzung untereinander zu verstärken. Unabhängig davon werden alle von den Dienststellen – im Rahmen der laufen- den Aktualisierung der Meldungen der Fachämter durch den Datenschutzbeauf- tragten - neu ernannten dezentralen Datenschutzbeauftragten in einem qualifi- zierten Informationsgespräch auf ihre zukünftige Funktion durch den Daten- schutzbeauftragten vorbereitet. Sachstandsbericht Datenschutz bei der Stadt Köln / 14 VI. Auswirkungen der Datenschutzgrundverordnung der EU und Vorschlag zum Umsetzungsprozess in der Stadtverwaltung Köln 1. Auswirkungen der DSGVO Besondere Bedeutung bei der Betrachtung des sich verändernden Aufgabenfel- des im behördlichen Datenschutz erlangen derzeit die Auswirkungen der EU- Datenschutzgrundverordnung (DSGVO). Diese ist am 25.05.16 in Kraft getreten und wird zum 25.05.18 verbindlich anzuwendendes Recht für alle EU- Mitgliedsstaaten. Wesentliche Grundlagen aus dem im europäischen Vergleich strikten deutschen Datenschutzrecht konnten in der vorgelagerten Diskussion der EU- Beschlussgremien und letztendlich beim Beschluss der DSGVO erhalten wer- den. Festzustellen ist derzeit allerdings, dass es im Detail noch deutlich erkenn- bare Unsicherheiten bei der operativen Umsetzung sowohl auf Bundes- und Landesebene als auch bei den Kommunen und deren Interessenvertretungen gibt. Die DSGVO generiert unmittelbar geltendes Recht, ist also von den Mitglieds- staaten nicht nochmals zu ratifizieren. Sie enthält Öffnungsklauseln, also Spiel- räume für nationales Recht (z.B. im Bereich des Beschäftigtendatenschutzes) sowie Regelungsaufträge (sog. „Harmonisierungsgebote“), z.B. zur Ausgestal- tung der Aufsichtsbehörden, zum Rechtsschutz bei Verhängung von Geldbußen sowie zu Regelungen für die Meinungs-, Informations- und Pressefreiheit. Die Öffnungsklauseln beziehen sich u.a. auch auf bestehende bereichsspezifi- sche Regelungen der Mitgliedsländer. So können nach derzeitiger Lesart z.B. Fachregelungen wie Sozial- und Gesundheitsdatenschutz beibehalten werden. Daneben müssen andere nationale Regelungen im Rahmen von Normenscree- nings/ Rechtsbereinigung auf Vereinbarkeit mit DSGVO geprüft und ggf. ange- passt werden. Dies erfolgt durch die zuständigen Innen- und Rechtsressorts von Bund und Ländern. Das in diesem Zusammenhang neu zu gestaltende Bundesdatenschutzgesetz (BDSG-neu) und die – sofern noch Regelungsspielräume vorhanden – ggf. zu entwickelnden Landesdatenschutzgesetze werden dann zu Ausführungsgeset- zen der DSGVO. Entwürfe für eine BDSG-neu als Umsetzungsgesetz für die DSGVO liegen bereits vor (zuletzt Kabinettsentwurf v. 01.02.17). Sachstandsbericht Datenschutz bei der Stadt Köln / 15 Über den Arbeitsstand für ein mögliches Landesdatenschutzgesetz NRW liegen hier bisher keine Erkenntnisse vor. Konkret wirken sich die Regelungen der DSGVO auf die Stadtverwaltung Köln in der Weise aus, dass umfassende Rechenschafts- und Dokumentationspflichten im Zusammenhang mit dem Umgang personenbezogener Daten auferlegt wer- den, ausgeweitete Informationspflichten gegenüber den Betroffenen zu erfüllen sind und Verschiebungen von Verantwortlichkeiten zwischen dem Beauftragten für den Datenschutz und den Fachdienststellen (Verantwortliche) vorgenommen werden. Parallel dazu erfolgt eine Schwerpunktsetzung innerhalb der Aufgaben des Datenschutzbeauftragten weg von dem bisherigen Hinwirkungs- hin zu ei- nem verstärkten Überwachungsauftrag. Es besteht somit die Notwendigkeit, übertragbare datenschutzrechtliche- und IT- sicherheitstechnische Regelungen sowie die eingeübten, bewährten Verfah- rensweisen beim Umgang mit personenbezogenen Daten innerhalb der Stadt- verwaltung Köln zu einem DSGVO-konformen Datenschutzmanagement weiter zu entwickeln. Zu den v.g. einzelnen sich ändernden Rahmenbedingungen und Vorgaben der DSGVO ist Folgendes auszuführen: a) Rechenschafts- und Dokumentationspflichten („Accountability“) Die umfassenden Rechenschaftspflichten verpflichten die Behörden in dem Sinn, dass die Rechtmäßigkeit des Handelns aus datenschutzrechtlicher Sicht jederzeit nachgewiesen werden muss. Es handelt sich hierbei um eine Umkehr der Beweislast: war die Behörde bisher verpflichtet bei Verstößen nachzuwei- sen, dass sie rechtmäßig gehandelt hat, ist sie jetzt aufgefordert, diesen Nach- weis durch ein funktionierendes Datenschutzmanagement systemimmanent be- reits im Vorfeld sicherzustellen. Die DSGVO legt hierbei fest, dass dieser Nach- weis jederzeit - also nicht erst bei vermuteten oder tatsächlichen Verstößen - und unabhängig vom Vorhandensein/ Tätigwerden eines Datenschutzbeauftrag- ten erbracht werden muss. Verantwortlich für die Vorhaltung und Funktionsfä- higkeit dieses Datenschutzmanagementsystems ist die verantwortliche Stelle, also die hierarchisch gegliederte Verwaltung. Sachstandsbericht Datenschutz bei der Stadt Köln / 16 Wesentliche Bestandteile dieser Nachweis- und Dokumentationspflichten sind u.a. datenschutz- und IT-sicherheitstechnische Regelungen zu Zuständigkeiten und Verfahrensabläufen, Regelungen zu meldepflichtigen Datenschutzverstößen (Sicherheitsvorfälle) gegenüber der Landesbeauftragten für Datenschutz und In- formationsfreiheit, durchgeführte „Datenschutzfolgeabschätzungen“ und Prüfun- gen der Verarbeitungstätigkeiten (Datenverarbeitung im Auftrag). Zu beachten sind hierbei ebenfalls die besonderen Anforderungen der DSGVO an den Ein- satz „datenschutzfreundlicher Technologien“ (Privacy-by-Design - Datenschutz bereits bei der Entwicklung von IT-Verfahren mitdenken und Privacy-by-Default - datenschutzfreundliche Voreinstellungen in den IT-Fachverfahren vorsehen) so- wie ein IT-Sicherheitsmanagement nach dem „Stand der Technik“. Explizit fordert die DSGVO ebenso wiederkehrende Wirksamkeitsprüfungen in- nerhalb des Datenschutzmanagementsystems und dessen Bestandteilen incl. Überprüfung, Bewertung und Evaluation der Wirksamkeit der zum Schutz der personenbezogenen Daten getroffenen technischen und organisatorischen Maßnahmen im Sinne eines kontinuierlichen Verbesserungsprozesses. b) Informationspflichten gegenüber den Betroffenen An ein Datenschutzmanagementsystem, das mit den Regelungen der DSGVO konform geht, werden zukünftig erweiterte Informationsanforderungen im unmit- telbaren Kontakt mit den Bürgerinnen und Bürgern gestellt. In einer einfachen und verständlichen Sprache sind bei elektronischen oder ana- logen Antragsverfahren bzw. bei der Nutzung von städtischen Dienstleistungen (Onlineangebote) die Betroffenen über die datenschutzrechtlichen Rahmenbe- dingungen ihrer Beziehung zur Stadtverwaltung Köln umfassend aufzuklären. Wesentlich ausführlicher als bisher sind u.a. der Zweck und die Legitimation der Datenverarbeitung, Hinweise auf die Betroffenenrechte, Weitergaben und Emp- fänger der personenbezogenen Daten und Hinweise zu Beschwerdeinstanzen darzulegen. Alle diesbezüglichen Prozesse innerhalb der Stadtverwaltung sind nach diesen Vorgaben zu überprüfen. Die Verantwortung hierfür obliegt ebenfalls der verant- wortlichen Stelle. Sachstandsbericht Datenschutz bei der Stadt Köln / 17 c) Verschiebungen von Verantwortlichkeiten zwischen dem Beauftragten für den Datenschutz und den Fachdienststellen – Schwerpunktsetzung bei den Auf- gaben des Beauftragten für den Datenschutz Die Stellung der behördlichen Datenschutzbeauftragten bleibt vergleichbar der bisherigen Regelungen aus dem DSG NRW erhalten (insb. Weisungsfreiheit und Anbindung an die höchste Managementebene der verantwortlichen Stelle). Die bisherigen Aufgaben der Unterrichtung und Beratung der Oberbürgermeiste- rin als Leiterin der verantwortlichen Stelle Stadt Köln, der nachgeordneten Füh- rungskräfte sowie der Beschäftigten bleiben für den Datenschutzbeauftragten ebenfalls unberührt erhalten. Verantwortungsverschiebungen sind insb. bei der Einführung von komplexen IT- Verfahren mit besonders sensiblen Daten sowie Prüfungen der Videoüberwa- chung im Wege der sog. „Datenschutzfolgeabschätzung“ zu verzeichnen. Hierfür werden zukünftig die Leiter der Fachdienststellen (Amts- und Dienststellenleiter) zuständig sein, der Beauftragte für den Datenschutz ist hierbei mit einem ver- bindlichen Beratungs- und Überwachungsauftrag in diesen Prozess weiterhin eingebunden. Um die Bedeutung dieser Regelung deutlich zu machen, wird nachfolgend der Prüfprozess für die Inbetriebnahme eines IT-Verfahrens in einer Fachdienststelle - mit besonderem Blick auf die Vorgaben der in der DSGVO in diesem Zusam- menhang geregelten „Datenschutzfolgeabschätzung“ - beschrieben: Auf der Grundlage eines risikoorientierten Klassifizierungsbogens (systemati- sche Einstufung der zu verarbeitenden personenbezogenen Daten nach deren Sensibilität und Auswirkungen bei Bekanntwerden für die Betroffenen), einer da- tenschutzrechtlichen Fachamtsbeschreibung (Sicherheitsbeschreibung für die Dienststelle), einer Sicherheitsanalyse des Amtes für Informationsverarbeitung (bezogen auf die Sicherheit innerhalb des gesamtstädtischen IT-Netzes – CAN) sowie einer Vorabkontrolle als Prüfung der datenschutzrechtlichen Unbedenk- lichkeit erfolgte (bisher) abschließend die Freigabe eines alle datenschutzrechtli- chen Aspekte zusammenfassenden Verfahrensverzeichnisses durch den Daten- schutzbeauftragten. Diese Aufgabe ist zukünftig in der Verantwortung der Dienststellenleitungen wahrzunehmen Sachstandsbericht Datenschutz bei der Stadt Köln / 18 Noch ist nicht abschließend geklärt, ob dieses bei der Stadt Köln praktizierte qualitätsvolle datenschutzrechtliche Inbetriebnahmeverfahren für IT- Fachanwendungen den Anforderungen der DSGVO an eine „Datenschutzfolge- abschätzung“ entspricht, bzw. ob eine Modifizierung der bisherigen Prozesse er- forderlich ist. Angestrebt wird in jedem Fall, auch die Inbetriebnahmen von Fachverfahren un- terhalb der definierten Prüfschwelle der „Datenschutzfolgeabschätzung“ (gefor- dert für komplexe Verfahren mit besonders schützenswerten personenbezoge- nen Daten) wie bisher dem geschilderten qualifizierten datenschutzrechtlichen Freigabeverfahren zu unterziehen. Über die Verschiebung der Verantwortung für die „Datenschutzfolgeabschät- zung“ hinaus wird der Kontroll- und Überwachungsaspekt, der sich aus der bis- herigen Hinwirkungspflicht des Datenschutzbeauftragten abgeleitet hat, deutlich hervorgehoben und verstärkt: zukünftig ist neben der Überwachung der Einhal- tung datenschutzrechtlicher Vorgaben (incl. interner Dienstanweisungen und Regelungen) insb. die Funktionsfähigkeit des Datenschutzmanagements als sol- ches - also der Gesamtheit aller Regelungen zum Datenschutz und der IT- Sicherheit - der verantwortlichen Stelle Stadtverwaltung Köln durch den Beauf- tragten für den Datenschutz zu kontrollieren. Hierbei ist besonderes Augenmerk auf die für die personenbezogenen Daten bestehenden Risiken bei der Verarbei- tung durch die städtischen Dienststellen zu legen (Risikoorientierung). Insgesamt bleibt festzuhalten, dass durch die umfassenden Informations- und Rechenschaftspflichten sowie Verschiebungen im Aufgabenprofil des Beauftrag- ten für den Datenschutz spürbare Veränderungen in der datenschutzrechtlichen Verantwortungsstruktur, auf der Ebene der Verwaltungs- und internen Genehmi- gungsverfahren (Prozesse) sowie der Ebene der Datenschutzmanagementsys- tematik bei der Stadtverwaltung Köln zu verzeichnen sind. Vor diesem Hinter- grund ist die bestehende „Dienstanweisung Datenschutz bei der Stadtverwal- tung Köln“ umfassend zu überarbeiten. Zur weiteren inhaltlichen Schärfung der mit der DSGVO einhergehenden Verän- derungen sowie deren operative Auswirkungen für die Stadtverwaltung Köln er- folgt die laufende Teilnahme des Beauftragten für den Datenschutz an diversen Arbeitskreisen, Symposien, Fachtagungen und Kongressen der etablierten Da- tenschutzszene (u.a. Städtetag, KDN, GDD/ Datakontext; s. auch Anlage 5). Sachstandsbericht Datenschutz bei der Stadt Köln / 19 In diesem Zusammenhang wurde auch Kontakt zur Landesbeauftragten für Da- tenschutz und Informationsfreiheit aufgenommen, mit dem Ziel zunächst in ei- nem ersten Schritt relevante Positionen und Vorstellungen mit Blick auf die Um- setzungsnotwendigkeiten im Rahmen der DSGVO auszutauschen. 2. Vorschlag zum Umsetzungsprozess zu den Regelungen der DSGVO Die Verantwortung für die Umsetzung der Regelungen der DSGVO obliegt der verantwortlichen Stelle, somit der Oberbürgermeisterin bzw. den nachgeordne- ten Organisationsstrukturen als dezernats-/ amtsübergreifende Querschnittsauf- gabe. Der sinnvollerweise als Projekt gestaltete Umsetzungsprozess wird durch den Beauftragten für den Datenschutz angestoßen und fachinhaltlich koordiniert. In diesem Zusammenhang wird die Bildung einer interdisziplinären Projektgrup- pe „Umsetzung der DSGVO bei der Stadt Köln“ unter verantwortlicher Federfüh- rung des OB-Büros und fachinhaltlicher Koordination des Beauftragten für den Datenschutz vorgeschlagen. Erforderliche weitere Beteiligte sind der IT-Sicherheitsbeauftragte (12/1), das Amt für Informationsverarbeitung (12), Vertreter der Dezernatsbüros, Vertreter der Fachdienststellen (incl. dezentrale Datenschutzbeauftragte) sowie das Amt für Personal, Organisation und Innovation (11) als organisationsfachliche Beglei- tung. Empfohlen wird auch die frühzeitige Einbeziehung der Personalvertretung. Eine Übersicht zu Aufstellung der Projektgruppe und Beschreibung der Funktio- nen der zu beteiligenden Akteure sind den Anlagen 6 und 7 zu entnehmen. Vorgeschlagen wird ein Vorgehen in zwei Phasen (s. auch Anlage 8): 1. Phase: Zwei bis drei große Fachämter durchlaufen den Umsetzungsprozess nach der DSGVO pilothaft (z.B. 32, 50 und 51). Aus den Erfahrungen hieraus wird ein übertragbares Vorgehensmodell für die anderen Fachdienststellen entwickelt. Dauer: bis zu 3 Monaten Pilotphase Sachstandsbericht Datenschutz bei der Stadt Köln / 20 2. Phase: Das entwickelte Vorgehensmodell wird auf die übrigen Fachdienststellen ausge- rollt. Dauer: Umsetzung nach Pilotphase bis 05/2018 Angesichts des Implementierungszeitpunktes (05/2018) sollte die Gründung und Einberufung der ersten Sitzung der Projektgruppe im 1. Quartal 2017 durch Frau Oberbürgermeisterin Reker vorgenommen werden. Bis auf weiteres ist von ei- nem monatlichen Sitzungsturnus auf Arbeitsebene auszugehen. Begleitende Maßnahmen im Umsetzungs- und Projektprozess sollten sein: laufende Information der Mitarbeiter/ innen und Führungskräfte zu allge- meingültigen Informationen und ggf. wichtigen Themenschwerpunkten (über Intranet) Information in Ämterrunden der Dezernate (durch den Datenschutz- beauftragten) ggf. Veröffentlichung der Protokolle aus der interdisziplinären Projektgruppe Information über das Ergebnis nach dem Umsetzungsprozess (Elemente und Wirkung des neuen Datenschutzmanagementsystems) Evaluation und Statusprüfung des Umsetzungsprozesses zu 05/2018 Sachstandsbericht Datenschutz bei der Stadt Köln / 21 Fazit/ Ausblick In der Gesamtschau ist festzustellen, dass sich der Datenschutz – bis auf kleinere Ausnahmen im Bereich der Qualitätsbewertung (s. Ziff. III) – in einem hochwertigen und funktionierenden Zustand befindet. Verantwortlichkeiten und Prozesse zu daten- schutzrechtlichen und IT-sicherheitstechnischen Erfordernissen, die dem Schutz der personenbezogenen Daten der Bürgerinnen und Bürgern sowie der Beschäftigten der Stadt Köln dienen, sind definiert, eingeübt und werden umgesetzt. Unabhängig davon bestehende Gefahren z.B. von außen durch Hacker können nur durch große datenschutzrechtliche Fachlichkeit und Sorgfalt bei allen in dieser Ver- antwortung handelnden Akteuren minimiert, aber nicht gänzlich ausgeschlossen wer- den. Mit Blick auf die aktuellen Anforderungen im Rahmen der Umsetzung der DSGVO lie- gen gute Voraussetzungen vor, den zweijährigen Etablierungsprozess bis 05/2018 er- folgreich zu gestalten. Auf vorhandene Regelungen und eingespielte Systeme kann aufgebaut werden. Es ist ratsam, dass die vorgeschlagene interdisziplinäre Projekt- gruppe schnellstmöglich ihre Arbeit aufnimmt, um den Fachdienststellen die erforder- lichen Prüf- und Umstellungsarbeiten fristgerecht zu ermöglichen. Die Stadtverwaltung Köln erfasst täglich hunderte personenbezogene Daten und die Bürgerinnen und Bürger verlassen sich darauf, dass mit diesen Daten verantwortlich umgegangen wird. Die Kenntnisse über die rechtlichen Notwendigkeiten des Daten- schutzes sind hierbei unabdingbare Voraussetzung für die Fachdienststellen, um den steigenden Anforderungen in diesem Bereich gerecht zu werden. Vor diesem Hinter- grund erscheint es sinnvoll, das Thema Datenschutz deutlicher als bisher in den Blickpunkt zu rücken. Als erster Schritt hierzu soll dieser Sachstandsbericht dienen, der nach Vorstellung und Beratung im Stadtvorstand sowohl in den politischen Gremien (Unterausschuss digitale Kommunikation und Organisation und ggf. Ausschuss allgemeine Verwaltung und Rechtsfragen) behandelt als auch allen Mitarbeitern/ innen und Führungskräften zugänglich gemacht werden soll. Vorgesehen ist eine wiederkehrende Berichterstattung über den Datenschutz bei der Stadt Köln, mindestens alle 3 Jahre. Sachstandsbericht Datenschutz bei der Stadt Köln / 22 Mittelfristig wird darüber nachgedacht, die in der DSGVO eröffnete Möglichkeit für ei- ne Zertifizierung des Datenschutzes bei der Stadtverwaltung Köln wahrzunehmen. Hierbei sollen die durch die Aufsichtsbehörden (Landesbeauftragte für Datenschutz und Informationsfreiheit NRW in Düsseldorf) und Zertifizierungsstellen zu erarbeiten- den Vorgaben abgewartet werden. Weiterhin soll das Aufgabengebiet des Beauftragten für den Datenschutz in das Pro- jekt zur Einführung der elektronischen Akte (eAkte) beim Amt für Informationsverar- beitung aufgenommen werden. Sachstandsbericht Datenschutz bei der Stadt Köln / 23 Beauftragter für den Datenschutz (OB/7) Spanischer Bau Rathausplatz 50667 Köln Frank Fricke Telefon: 0221/ 221-22457 Datenschutzbeauftragter@Stadt-Koeln.de www.stadt-koeln.de Sachstandsbericht Datenschutz bei der Stadt Köln / 24 Anlage 1 OB`in Leitungskräfte (Beig., AL, AbtL) Beschäftigte (Fachämter, Dienststellen) verantwortet setzen um und kontrollieren Datenschutz- schutz- beauf.* dez. DSB (verantwortliche Stelle bzw. Verantwortlicher) *Hinwirkungs- auftrag beachten Sachstandsbericht Datenschutz bei der Stadt Köln / 25 Anlage 2 Datenschutz – Aufgabenbestand/ -verteilung (bis 2015/ 2016) Beratung Bürger 5% Beratung Dienstst./ städt. Beschäftigte 25% Inbetriebnahme IT- Verfahren 35% Mitwirkung bei städt. Regelungen 1% Vertretung in externen Gremien 2% Schulungen 20% Videoüberw. 5% DViA 5% Digitalisierung 2% Sachstandsbericht Datenschutz bei der Stadt Köln / 26 Anlage 3 Qualität des Datenschutzes - Maßnahmenkriterien Kenn- zeichen Maßnahmenbezeichnung Kriterium/ Beschreibung M1 Datenschutzmanagement Datenschutzrichtlinie vorhanden? M2 Regelungen der Verantwortlichkeiten Betrieblicher Datenschutzbeauftragter mit erforderlicher Fachkenntnis und Ressour- cen bestellt? M3 Datenschutzkonzept Ist die Einbindung des Datenschutzbeauf- tragten in die Prüfprozesse sichergestellt? Gibt es eine Funktions-/ Aufgabenbeschrei- bung des Datenschutzbeauftragten? M4 Prüfung rechtlicher Rahmenbedin- gungen und Vorabkontrollen Werden datenschutzrechtliche Vorabkon- trollen durchgeführt? M5 Festlegung der technischen und or- ganisatorischen Maßnahmen Wird nach den Grundsätzen des BSI- Grundschutzes gearbeitet? Liegt ein IT- Sicherheitsmanagement vor? M6 Verpflichtung/ Unterrichtung der Mit- arbeiter/ innen Sind Mitarbeiter/ innen auf das Datenge- heimnis verpflichtet? Werden Schulungen durchgeführt? M7 Organisatorische Maßnahmen zur Sicherstellung der Rechte der Be- troffenen Werden Eingaben/ Beschwerden zügig er- ledigt? Ist Das Verfahren bei Auskunfts-, Berichtigung-, Sperrungs- und Löschverlan- gen geregelt? M8 Führung von Verfahrensverzeichnis- sen und Erfüllung der Meldepflichten Ist ein Verfahrensverzeichnis beim Daten- schutzbeauftragten vorhanden? Ist sicher- gestellt, dass Änderungen im „Lebenszyk- lus“ eines Verfahrens zuverlässig gemeldet werden? M9 Datenschutzrechtliche Freigaben Ist die Einbindung des Datenschutzbeauf- tragten geregelt? M10 Meldung und Regelung von Abruf- verfahren Wurden die technischen und organisatori- schen Anforderungen bei automatisierten Abrufverfahren eingehalten? M11 Regelung der Auftragsdatenverarbei- tung bei der Verarbeitung von perso- nenbezogenen Daten Ist Einbeziehung des Datenschutzbeauf- tragten sichergestellt? Nimmt der Daten- schutzbeauftragte seine Kontrollpflichten wahr? Liegt eine Liste der der Auftragneh- mer vor? M12 Regelung der Verknüpfung und Ver- wendung der Daten (Zweckbindung) Werden alle Datenverwendungen auf Zweckbindung und Rechtsgrundlage ge- prüft? Sind diese Informationen im Verfah- rensverzeichnis enthalten? Sachstandsbericht Datenschutz bei der Stadt Köln / 27 Kenn- zeichen Maßnahmenbezeichnung Kriterium/ Beschreibung M13 Dokumentation der datenschutz- rechtlichen Zulässigkeit Ist die Dokumentation geeignet, die daten- schutzrechtliche Zulässigkeit der eingesetz- ten Verfahren zu belegen? Gibt es eine re- gelmäßige Berichterstattung des Daten- schutzbeauftragten? M14 Aufrechterhaltung des Datenschut- zes im laufenden Betrieb (Daten- schutzkontrolle) Wird der Datenschutzbeauftragte durch andere Kontrollinstanzen unterstützt (z.B. Innenrevision)? Prüft der Datenschutzbeauf- tragte regelmäßig die Einträge im Verfah- rensverzeichnis auf Aktualität? Hat der Da- tenschutzbeauftragte die Möglichkeit, seine Fachkunde auf den neuesten Stand zu bringen? M15 Datenschutzgerechte Löschung/ Vernichtung Werden die Daten nach Wegfall der Rechtsgrundlage für die Verarbeitung ge- löscht oder gesperrt? Sachstandsbericht Datenschutz bei der Stadt Köln / 28 Anlage 4 Qualität des Datenschutzes - Maßnahmenbewertung 0 10 20 30 40 50 60 70 80 90 100 M1 DS-Management M2 Regelung der Verantwortlichkeiten im Bereich Datenschutz M3 Datenschutzkonzept M4 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle M5 Festlegung von technisch- organisatorischen Maßnahmen entsprechend dem Stand der Technik M6 Verpflichtung/Unterrichtung der Mitarbeiter M7 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen M8 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten M9 Datenschutzrechtliche Freigabe M10 Meldung und Regelung von Abrufverfahren M11 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten M12 Regelung der Verknüpfung und Verwendung von Daten (Zweckbindung) M13 Dokumentation der datenschutzrechtlichen Zulässigkeit M14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Datenschutzkontrolle) M15 Datenschutzgerechte Löschung/Vernichtung Maximum (100%) Soll Minimum (80%) Bewertung 88,67 durchschnittl. Maßnahmen- erfüllung Sachstandsbericht Datenschutz bei der Stadt Köln / 29 Anlage 5 Operative Kennzahlen des Datenschutzbeauftragten Kennzahl-Kategorie Kennzahl Ausprägung Bemerkung Externe Erfahrungs- austausche Arbeitskreis Datenschutz des Deutschen Städtetages 2x jährlich Arbeitskreis Datenschutz beim KDN - Dachverband kommunaler Dienstleister bei Themenbezug Erfahrungskreis der Gesellschaft für Da- tenschutz und Datensicherheit (GDD) regelmäßig Teilnahme an Datenschutzfachtagungen (z.B. DAFTA und Praxisworkshops) bei Angeboten Teilnahme an Fachseminaren und Sympo- sien (z.B. von Datakontext) bei Angeboten Arbeitsgruppe Datenschutz bei der Vitako – Bundesarbeitsgemeinschaft der kommuna- len IT-Dienstleister bei Themenbezug Kontakte zu Fachthemen mit Datenschutz- beauftragten anderer Kommunen themenbezogen Kontakte zu Datenschutzbeauftragten der Universität zu Köln sowie den Kliniken der Stadt Köln Beginn eines regelmäßi- gen Austausches Kontakt zur Beauftragten für Datenschutz und Informationsfreiheit NRW in Düsseldorf Beginn eines regelmäßi- gen Austausches Mitwirkung in städti- schen Gremien und Arbeitskreisen Teilnahme an den Sitzungen des Unter- ausschusses digitale Kommunikation und Organisation (UdiKO) Fachgremium des Rates Teilnahme an den Sitzungen des SKIT (IT- Sicherheitsbeirat) innerstädt. Gremium Teilnahme am Intranet-Beirat innerstädt. Gremium Teilnahme im Arbeitskreis eGovernment innerstädt. Gremium Teilnahme an der Arbeitsgruppe Schrift- gutordnung Durchführung von Schulungen Allgemeine Datenschutzschulungen für neue Mitarbeiter/ innen bzw. Auffri- schungsschulungen durch den Beauftragten für Datenschutz Schulungen im Sozialdatenschutz s.o. Schulungen zum Meldewesen in den Kun- denzentren mit externer Unterstüt- zung Angebot zu Fachschulungen im Personal- und Gesundheitswesen Informationsveranstaltungen für Dienststel- lenleiter/ innen und Stellvertreter/ innen wird konzipiert Sachstandsbericht Datenschutz bei der Stadt Köln / 30 Kennzahl-Kategorie Kennzahl Ausprägung Bemerkung Datenschutzrechtliche Freigaben zu IT- Fachverfahren Beihilfe NRW plus (bei 1100/3) (Verfahrensfreigaben seit Sept. 2015) DocBrigde FileCab (bei 12) zentrales Druckmanagement von Office-Dokumenten (Basisverfahren) DocBrigde Pilot-Session (bei 12) datenbankbasierender Sen- depool zur Bewältigung der vielfältigen Anforderungen an ein modernes Druck- und Versendemanagement KommunalRegie (bei 23) Beitragserhebung für Er- schließungs- und Straßen- baubeiträge Wohnung2000 (bei 56) Erfassung und Bearbeitung von Daten zur Erstellung von Wohnberechtigungsscheinen eAuskunft (bei 32) Zugriff auf Gewerbedaten eMeldung (bei 32) s.o. ePayBL – Basismodul (bei 12) unterstützt als Basiskom- ponente die Abwicklung verschiedener eGovern- ment-Lösungen bei inter- netbasierten Zahlungs- transaktionen EPA-Datei Abwicklungssoftware für ePayBL (s.o.) Cobra CRM Pro (für CDU-Fraktion) Adressdatenbank Morgenstadt (für 61) Interaktives Beteiligungs- tool im Rahmen von ge- meindlichen Bauleitver- fahren Restaurierungs- und Dokumentationsmo- dul – RDM (bei 44) dient der Erfassung von Arbeitsschritten und Zeit- aufwänden im Rahmen der Restaurierung der Archivalien nach dem Einsturz des historischen Archivs Vertragsmanagement (bei 30) Speicherung und Verwal- tung von Vertragsakten SAP-PSCD (bei 21) dient zur Überwachung der Einnahmen städtischer Dienststellen und zur Forde- rungsverwaltung Sachstandsbericht Datenschutz bei der Stadt Köln / 31 Kennzahl-Kategorie Kennzahl Ausprägung Bemerkung Datenschutzrechtliche Freigaben zu IT- Fachverfahren (Fortsetzung) Dips.kommunal (bei 44) versetzt das historische Archiv in die Lage struktu- rierte und unstrukturierte Datenmengen in das städtische CAN zu und in einem strukturierten, nachvollziehbaren Work- flow in das elektronische Langzeitarchiv zu über- nehmen „Personal-Kiosk“ als Teilmodul zu SAP ERP HCM (bei 11) Abwicklung der Zeitwirt- schaft städt. Beschäftigter u.a. mit den Funktionalitä- ten zur Arbeitszeiterfas- sung, Antragstellung di- verser Abwesenheitszei- ten wie Urlaub, Dienstrei- se etc. Datenverarbeitung im Auftrag (DViA) Kommunaler Mikrozensus – Umfrage „Leben in Köln“ (bei 15) (datenschutzrechtliche Freigaben in 2016) BeihilfeNRWplus – Gebietszentrum (bei 1100/3) Wohnung2000 – Betrieb/ Hosting über Stadt Bonn und die Fa. KSU (bei 56) econetISM (ehem. cMatrix), DViA Daten- abzug für Datenmigration (bei 12) Bereitstellung De-Mail durch Fa. Mentana- Claimsoft GmbH (bei 1300) VPM-Vergabemarktplatz (bei 27) (derzeit laufen 6 weitere Maßnahmen verschiedener Dienststellen in diesem Bereich) Videoüberwachung Aufzählung s. Ziff. VI Nr. 1 Mitwirkung bei Dienstvereinbarungen/ -anweisungen und Richtlinien Rahmendienstvereinbarung E- Government (bei 11/ 1300) Dienstanweisung zur Bedienung und Be- nutzung des Videobeobachtungssystems der Verkehrsleitzentrale Köln (bei 66) (anstehend: Überprüfung aller Dienstvereinbarungen/ -anweisungen und Richtlinien bei Umsetzung der DSGVO auf Übereinstimmung mit den neuen Vorgaben) Sachstandsbericht Datenschutz bei der Stadt Köln / 32 Anlage 6 Bildung einer interdisziplinären Projektgruppe zur Umsetzung der DSGVO- Übersicht Projektgruppe „Umsetzung der DSGVO“ bei der Stadt Köln" Büro OB OB/7 DSB 12/1 (IT-Si.) 12 1300 GPR 11 Dez./ Dst. (dez. DSB) Umsetzungsverantwortung obliegt verantwortlicher Stelle bzw. Verantwortlichen Sachstandsbericht Datenschutz bei der Stadt Köln / 33 Anlage 7 Bildung einer interdisziplinären Projektgruppe zur Umsetzung der DSGVO - Funktionen der beteiligten Akteure Amt Funktion in der Projektgruppe OB-Büro Federführung und Leitung der Projektgruppe als oberste umsetzungs- verantwortliche Stelle für die Stadtverwaltung Köln (i.V. für Fr. OB`in Reker) OB/7 Fachinhaltliche Koordination: fachliche Steuerung mit Input zur Umset- zung der inhaltlichen Anforderungen Dez. I-VII Vertreter der Fachdezernate für die verantwortlichen Stellen (Fachämter/ Dienststellen) in ihrem Geschäftsbereich Dienststellen Vertreter der Dienststellen/ Fachämter (Funktionseinheiten) als verant- wortliche Stelle für die Umsetzung des Datenschutzes (hier insb. Daten- schutzfolgeabschätzungen – Inbetriebnahme von IT-Fachverfahren und Videoüberwachung sowie Verarbeitungstätigkeiten – ehem. Datenverar- beitung im Auftrag). 12 Verantwortliche für die IT-technische Umsetzung (Dienstleister) 12/1 Verantwortlich für die IT-Sicherheit dez. DSB Operative Umsetzungsebene für den Datenschutz in den Dienststellen/ Fachämtern 11/ 112 Laufende organisatorische Begleitung GPR Frühzeitige Beteiligung der Personalvertretung zu den strukturellen Ver- änderungen aus dem Umsetzungsprozess; Dienstvereinbarungen aktua- lisieren Sachstandsbericht Datenschutz bei der Stadt Köln / 34 Anlage 8 Umsetzung der DSGVO – Ablauf- und Zeitplanung Dauer der interdisziplinären Projektgruppe (gesamt) ab 1. Quartal bis 05/2018 Entwíckl. eines Verfahrensmodells (mit Pilotämtern) ab 1. Quartal 2017 bis 06/2017 ab 06/2017 Um- setzung Verfah- rensmodell auf alle Ämter Umsetzung Verfahrensmodell (Roll-Out gesamt für alle Dienststellen) ab 1. Quartal 2018 bis 4. Quartal 2018 Bestandsaufnahme/ Evaluation 06/2017 01/2018 05/2018
Mitteilung Ausschuss
1559 Zeichen
Die Oberbürgermeisterin Dezernat, Dienststelle OB/OB/7 Vorlagen-Nummer 22.02.2017 0565/2017 Mitteilung öffentlicher Teil Gremium Datum Unterausschuss Digitale Kommunikation und Organisation 13.03.2017 Ausschuss Allgemeine Verwaltung und Rechtsfragen/ Vergabe/ Internationales 27.03.2017 Sachstandsbericht Datenschutz bei der Stadt Köln Für die Stadt Köln wird erstmals seit Einrichtung der Funktion eines Beauftragten für den Datenschutz - mit alleiniger Aufgabenstellung in dieser Funktion im Jahre 2002 - ein konzentrierter und systemati- scher Sachstandsbericht vorgelegt, der umfassend und übersichtlich den bestehenden (Ist-) Zustand sowie die aktuellen Entwicklungstendenzen im Bereich des Datenschutzes bei der Stadt Köln be- schreibt (s. Anlage). Der Stadtvorstand hat in seiner Sitzung am 21.02.17 den Sachstandsbericht zur Kenntnis genommen und bittet den Beauftragten für den Datenschutz, mindestens alle 3 Jahre weitere Berichte vorzule- gen. Bereits in der Sitzung am 07.02.17 hat der Stadtvorstand beschlossen, zur Umsetzung der EU- Datenschutzgrundverordnung (DSGVO) eine interdisziplinäre Projektgruppe in der Stadtverwaltung einzurichten und die Regelungen der DSGVO in zwei Phasen einzuführen. Der Sachstandsbericht Datenschutz bei der Stadt Köln wird dem Unterausschuss digitale Kommuni- kation und Organisation zur Kenntnis gegeben. Es ist vorgesehen, eine Übersicht zu den Inhalten im Rahmen eines Folienvortrages zur Sitzung durch den Beauftragten für den Datenschutz zu geben. gez. Reker
Beratungsverlauf (2)
Beschluss: Kenntnis genommen
Zur SitzungBeschluss: Kenntnis genommen
Zur SitzungDetails
- Aktenzeichen
- 0565/2017
- Typ
- Mitteilung Ausschuss
- Datum
- 14.03.2017
- Erstellt
- 03.08.2017 00:27