Mandari Insight

0565/2017

Sachstandsbericht Datenschutz bei der Stadt Köln

Mitteilung Ausschuss 14.03.2017

KI-Zusammenfassung

Klicken Sie, um eine KI-Zusammenfassung dieses Vorgangs zu erstellen.

KI-Analyse läuft...

vergangen

Was passiert gerade?

  • 📄 Dokumente werden analysiert...
  • 🤔 KI denkt nach (Reasoning-Modell)...
  • ✍️ Zusammenfassung wird geschrieben...
  • ⏳ Das dauert etwas länger bei komplexen Dokumenten...

Dieser Vorgang kann 1-3 Minuten dauern. Bitte lassen Sie die Seite geöffnet.

Nächste Beratung: Ausschuss Allgemeine Verwaltung und Rechtsfragen / Vergabe / Internationales, Sitzung am 27.03.2017, TOP 4.7

Sachstandsbericht Datenschutz bei der Stadt Köln_Stand 05.02.17

· application/pdf

Ansehen

Mitteilung Ausschuss

· application/pdf

Ansehen

Sachstandsbericht Datenschutz bei der Stadt Köln_Stand 05.02.17

57792 Zeichen

1 
 
 
 
 
 
Sachstandsbericht Datenschutz  
bei der Stadt Köln (Febr. 2017)

Sachstandsbericht Datenschutz bei der Stadt Köln 
 
 
 
Inhalt: 
 
Einleitung 
I. Organisationsstand/ Verantwortlichkeiten im Datenschutz 
 
II. Aufgabenstand/ -verteilung (bis 2015/ 2016) 
 
III. Qualitätsstand Datenschutz und IT-Sicherheit 
 
IV. Operative Kennzahlen des behördlichen Datenschutzbeauftragten 
 
V. Aufgaben und Aufgabenschwerpunkte in Bewegung (Entwicklung) 
1. Vorabkontrollen Videoüberwachung 
 
2. Prüfung von Verträgen zur Datenverarbeitung im Auftrag 
 
3. Digitalisierung der Verwaltung (eGovernment und eAkten) 
 
4. Datenschutzschulungen 
 
5. Altverfahren überprüfen 
 
6. Dienststelleninterner/ dezentraler Datenschutz  
VI. Auswirkungen der Datenschutzgrundverordnung der EU und Vorschlag zum 
Umsetzungsprozess in der Stadtverwaltung Köln 
Fazit/ Ausblick

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 3 
 
Einleitung  
 
Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein 
Grundrecht, hier das Recht auf informationelle Selbstbestimmung, entwickelt aus dem  
sog. „Volkszählungsurteil“ von 1983. Danach kann der Betroffene grundsätzlich selbst 
darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt. Dieses 
Grundrecht wird im Grundgesetz allerdings nicht explizit erwähnt.  
 
Dagegen wurde in den meisten Landesverfassungen eine Datenschutzregelung auf-
genommen, so u.a. auch in Nordrhein-Westfalen (Art. 4 Abs. 2 LV NRW), wonach 
„Jeder Anspruch auf Schutz seiner personenbezogenen Daten [hat]. Eingriffe sind nur 
in überwiegendem Interesse der Allgemeinheit auf Grund eines Gesetzes zulässig“. 
Die konkretisierende Umsetzungsnorm u.a. für die Gemeinden – somit auch für die 
Stadtverwaltung Köln – ist das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) 
sowie weitere spezialgesetzliche Regelungen des Landes und Bundes (z.B. Bundes-
datenschutzgesetz und Sozialgesetzbücher). 
 
Für die Stadt Köln wird nunmehr erstmals seit Einrichtung der Funktion eines Beauf-
tragten für den Datenschutz – mit alleiniger Aufgabenstellung in dieser Funktion im 
Jahre 2002 - ein konzentrierter und systematischer Sachstandsbericht vorgelegt, der 
umfassend und übersichtlich den bestehenden (Ist-) Zustand sowie die aktuellen Ent-
wicklungstendenzen im Bereich des Datenschutzes bei der und für die Stadtverwal-
tung Köln beschreibt. 
 
Dies geschieht vor dem Hintergrund wachsender Bedeutung des Themas Daten-
schutz: Bürgerinnen und Bürger werden einerseits nicht zuletzt angesichts zuneh-
mender technisierter Verarbeitung ihrer personenbezogenen Daten z.B. durch Inter-
netnutzung, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungs-
methoden sensibler und hierbei durchaus auch misstrauisch gegenüber staatlichen 
Institutionen und privaten Unternehmen. Auf der anderen Seite steht dieser Entwick-
lung eine gewisse Gleichgültigkeit von Teilen der Bevölkerung gegenüber, in deren 
Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat. Sorglos 
werden hier zum Teil immense Datenmengen in Quantität und Qualität an Leistungs-
anbieter im Internet oder im Zusammenhang mit der Nutzung von Smartphones ab-
gegeben. 
 
Interesse und Bedarf an personenbezogenen Informationen haben in diesem Zu-
sammenhang sowohl staatliche Stellen als auch private Unternehmen. Auch die 
Stadtverwaltung Köln erfasst und verarbeitet tagtäglich größte Mengen an Daten im 
Rahmen der sog. „Leistungsverwaltung“, so bei der Gewährung von Sozial- und Ju-
gendhilfeleistungen, dem Betrieb von Schulen und Kindertagesstätten oder dem An-
gebot von Bibliotheken. Aber auch beim Vollzug der „Eingriffsverwaltung“, bei der die 
Stadtverwaltung im Rahmen der Gefahrenabwehr tätig wird (hier z.B. Verkehrs- und 
Ordnungsüberwachung), werden personenbezogene Daten erhoben, gespeichert und 
ggf. an andere Stellen weitergeleitet.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 4 
 
Aktualität gewinnt das Thema Datenschutz derzeit insbesondere auch bei der Diskus-
sion um eine Ausweitung der Videoüberwachung. Die Vorfälle der Kölner Silvester-
nacht 2015 und die terroristischen Anschläge insb. auch in Deutschland führen dazu, 
dass die Akzeptanz und die gesetzlichen Grenzverläufe der Zulässigkeit optischer 
Beobachtungen immer wieder durch die verantwortlichen Behörden, die Öffentlichkeit 
und die Medien kritisch hinterfragt und auch verschoben werden. Im Rahmen der 
Ausübung des Hausrechtes werden bei der Stadtverwaltung Köln in diesem Zusam-
menhang u.a. Museen, städtische Verwaltungsgebäude und Flüchtlingsunterkünfte 
elektronisch beobachtet. 
 
Der Wesenskern des Datenschutzrechts besteht in allen Fällen darin, die Machtun-
gleichheit zwischen Institutionen und Einzelpersonen unter Regeln basierte Bedin-
gungen zu stellen, also buchstäblich ausgleichend „Augenhöhe“ zu gewährleisten. 
Der Datenschutz soll der in der zunehmend digitalen und vernetzten Informationsge-
sellschaft bestehenden Tendenz zum sog. „gläsernen Menschen“, dem Ausufern 
staatlicher Überwachungsmaßnahmen und der Entstehung von Datenmonopolen von 
Privatunternehmen entgegenwirken. 
 
Der behördliche Beauftragte für den Datenschutz ist in dieser Aufgabe gleichzeitig 
„Anwalt der Betroffenen“ (in konkreten Beschwerdefällen), Berater für die städtischen 
Mitarbeiter/ innen in Datenschutzfragen sowohl in Ausübung ihrer dienstlichen Tätig-
keiten als auch als Träger von eigenen Beschäftigtenrechten, Funktionsträger originär 
eigener Aufgaben (z.B. datenschutzrechtliche Freigaben bei der Einführung von IT-
Fachverfahren) sowie Überwachungs- und Kontrollorgan zur Einhaltung des Daten-
schutzes. Parallel berät er die Hierarchieebenen innerhalb der Stadtverwaltung von 
der Oberbürgermeisterin über die Fachbeigeordneten und alle Leitungsfunktionen in 
den Fachdienststellen bei der Sicherstellung des Datenschutzes. 
 
Vor diesem Hintergrund ist die Gewährleistung eines funktionierenden Datenschutzes 
in den Dienststellen und Fachämtern sowie die Einrichtung und Vorhaltung eines wei-
sungsfrei handelnden Datenschutzbeauftragten von entscheidender Bedeutung für 
eine insoweit rechtssicher handelnde Stadtverwaltung Köln. 
 
Der nachfolgende Bericht beschreibt den derzeitigen (Ist-) Zustand des Datenschut-
zes bei der Stadtverwaltung Köln: aufgezeigt wird die geregelte Organisationstruktur 
und Verteilung der Verantwortlichkeiten (s. Ziff. I), eine Übersicht über den Aufgaben-
bestand (Ziff. II), eine Einordnung des Qualitätszustandes (Ziff. III) sowie eine Aus-
wahl operativer Kennzahlen zum Handeln des behördlichen Datenschutzbeauftragten 
(Ziff. IV). 
 
Im Weiteren wird dargestellt, wie sich – auf der Grundlage des beschriebenen Aufga-
benbestandes – Tätigkeiten und Aufgabenschwerpunkte tendenziell entwickeln (s. 
Ziff. V). Besonderes Augenmerk wird hierbei gelegt auf die Regelungen der seit Mai 
2016 in Kraft getretenen und ab Mai 2018 verbindlich anzuwendenden Datenschutz-
grundverordnung der Europäischen Union (DSGVO) und deren Auswirkungen auf die 
Stadtverwaltung Köln verbunden mit einem Vorschlag zur operativen Umsetzung die-
ser Vorgaben (Ziff. VI).

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 5 
 
 
I. Organisationsstand/ Verantwortlichkeiten im Datenschutz 
 
Die „Dienstanweisung Datenschutz für die Stadtverwaltung Köln“ in ihrer Fassung 
vom 12.09.02 (DA Datenschutz) regelt, dass die Beschäftigten und Leiter/innen der 
städtischen Dienststellen, Eigenbetriebe sowie eigenbetriebsähnlichen Einrichtungen 
für die Einhaltung der geltenden Vorschriften über den Datenschutz zuständig und 
verantwortlich sind (s. § 6 DA Datenschutz). 
 
Im Rahmen der zentralen Wahrung des Datenschutzes bei der Stadtverwaltung ob-
liegt dem behördlichen Beauftragten für den Datenschutz neben originären Aufgaben 
wie z.B. der Vorabkontrolle bei der Inbetriebnahme von IT-Fachverfahren (inkl. Füh-
rung dazugehöriger Verfahrensverzeichnisse) und Videoüberwachungsanlagen sowie 
die Durchführung von Schulungen auch die Hinwirkungspflicht auf die Einhaltung der 
entsprechenden allgemeinen Regelungen nach dem DSG NRW, dem Bundesdaten-
schutzgesetz (BDSG) sowie bereichsspezifischen Rechtsvorschriften des Bundes  
oder Landes. Detailliert ergeben sich die Aufgaben und Befugnisse aus § 32a DSG 
NRW (s. auch § 9 DA Datenschutz). 
 
Eigenbetriebe und eigenbetriebsähnliche Einrichtungen haben einen eigenverantwort-
lichen Datenschutzbeauftragten zu bestellen, weil zum Zeitpunkt der Funktionsüber-
tragung als behördlicher Datenschutzbeauftragter im Jahr 2002 bereits absehbar war, 
dass diese Aufgaben aufgrund der eingesetzten personellen Ressourcen (1 Stelle) 
zentral nicht leistbar waren. 
 
Zur Gewährleistung des dezentralen Datenschutzes haben die Leiter/innen der Fach-
dienststellen mindestens einer Person die Aufgabe, die Vorgaben des Datenschutzes 
vor Ort umzusetzen, übertragen (s. § 7 DA Datenschutz). 
 
Die sich aus diesen Regelungen ergebende Verantwortungsdarstellung für die Stadt-
verwaltung Köln in Sachen Datenschutz ergibt sich aus der beigefügten Anlage 1. 
 
II. Aufgabenstand/ -verteilung (bis 2015/ 2016) 
 
Zu Mitte Sept. 2015 erfolgte nach vorhergehendem intensivem Wissenstransfer und 
Absolvierung einer Zertifizierungsschulung eine geregelte Übergabe durch den lang-
jährigen Beauftragten für den Datenschutz, Herrn Powalka an seinen Stellvertreter 
Herrn Fricke. Seit 01.06.16 werden die Aufgaben konzentriert durch den Stellennach-
folger wahrgenommen.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 6 
 
Für den Zeitpunkt Ende 2015 stellt sich die Verteilung der Aufgabenschwerpunkte des 
zentralen Datenschutzes wie in Anlage 2 aufgeführt dar. 
 
Besonderes Gewicht lag – nach Aufbau datenschutzrechtlicher Grundlagen bis Mitte 
der 2000`er Jahre – in der vergangenen Dekade bis 2015 auf der Begleitung und da-
tenschutzrechtlichen Freigabe im Rahmen der Inbetriebnahmen von Fachverfahren 
mit personenbezogenen Daten in den Dienststellen (35%), der Planung und Durch-
führung von zum Teil flächendeckenden Schulungen zu allgemeinen und bereichs-
spezifischen Datenschutzregelungen (20%) sowie der Beratung bei Fragen und The-
menstellungen datenschutzrechtlicher Art aus der Verwaltung und durch Bürgerinnen 
und Bürger (insgesamt 30%). 
 
Der hohe Prozentsatz bei der „Beratung der städtischen Dienststellen und Beschäftig-
ten“ (25%) ist der Tatsache geschuldet, dass immer wieder neue datenschutzrechtli-
che Fragestellungen aufgeworfen werden (z.B. Regelungen für mobiles Arbeiten, Auf-
legen und Vertreiben von Newslettern, Zusammenführen von Flüchtlingsdaten), die 
bei den Fachämtern sowie den Mitarbeitern/ innen im Rahmen der täglichen Aufga-
benerfüllung aufgrund der zum Teil schwierigen Rechtsmaterie spürbaren Beratungs-
bedarf erzeugen. 
 
Den Zeitraum seit 2002 betrachtend ist anzumerken, dass sowohl der Aufgabenum-
fang als auch die Anforderungen an die Qualität der Aufgabenerledigung stetig ge-
stiegen sind. Dies insbesondere durch die Einführung datenschutzrechtlicher Prüfpro-
zesse - hier (Vorab-) Kontrollen und Freigaben von IT-Fachverfahren, Videoüberwa-
chungen an städtischen oder städtisch genutzten Gebäuden sowie der externen Ver-
arbeitungen städtischer Daten im Auftrag -, durch die insgesamt wachsende Anzahl 
von einzuführenden technikunterstützen Verarbeitungsverfahren sowie die festzustel-
lende deutlich erhöhte Sensibilität von Beschäftigten sowie Bürgerinnen und Bürgern 
in Sachen Datenschutz. 
 
Um diesen intern und extern implizierten Anforderungen gerecht zu werden ist - vor 
dem Hintergrund der im Umfang von einer Stelle bestehenden Ressourcenaufstellung 
für das Thema Datenschutz - permanent der Ausgleich von berechtigten Interessen 
der anstehenden Aufgaben zu finden, das heißt, die Aufgaben konnten und können 
nur durch Prioritätensetzung und entsprechende zeitliche Verschiebungen wahrge-
nommen und gewährleistet werden, zum Teil eine verminderte Reaktionsgeschwin-
digkeit in Kauf nehmend.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 7 
 
 
III. Qualitätsstand Datenschutz und IT-Sicherheit  
 
Datenschutz und IT-Sicherheit sind zwei Seiten derselben Medaille: Nur wenn die IT-
Systeme, auf denen personenbezogene Daten gespeichert sind, entsprechend ge-
schützt werden, ist auch der Datenschutz sichergestellt, sprich: es gibt keinen Daten-
schutz ohne Datensicherheit! 
 
Die Stadtverwaltung Köln trägt dieser Prämisse Rechnung, indem sie die zwei Funkti-
onen Beauftragter für den Datenschutz (OB/7) sowie IT-Sicherheitsverantwortlicher 
(12/1) geschaffen und an jeweils organisatorisch prominenten Positionen im Hierar-
chiegefüge als Referat im OB-Büro - mit unmittelbarer Anbindung an den/ die Ober-
bürgermeister/ in - bzw. als Stabstelle im Amt für Informationsverarbeitung (12) ange-
bunden hat. Darüber hinaus werden im Amt für Informationsverarbeitung die notwen-
digen Ressourcen vorgehalten, um u.a. einen sicheren Betrieb der IT-Technik in der 
Stadtverwaltung Köln aufrechtzuerhalten und zu gewährleisten. 
 
In diesem Zusammenhang wurden Regelungen getroffen, die als „IT-Sicherheits-
politik“ für die Stadtverwaltung detailliert die Sicherheitsgrundsätze mit Schutzzielen 
und Schutzprinzipien beschreibt, Verantwortlichkeiten über die Hierarchieebenen hin-
weg festlegt und einen kontinuierlichen Kontrollprozess etabliert. Die „Dienstanwei-
sung Datenschutz für die Stadtverwaltung Köln“ legt ergänzend fest, wie die Umset-
zung datenschutzrechtlicher Regelungen vorzunehmen ist. 
 
In der Infrastruktur der städtischen Informationsverarbeitung werden in diesem Zu-
sammenhang regelmäßige Penetrationstests durchgeführt. Hierunter wird die Prüfung 
der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netz-
werks- oder Softwaresystems mit Mitteln und Methoden verstanden, welche ein An-
greifer (ugs. "Hacker") anwenden würde, um unautorisiert in das System einzudrin-
gen. Penetrationstests ermitteln somit die Empfindlichkeit des zu testenden Systems 
gegen derartige Angriffe. Dabei erkannte Sicherheitslücken werden dann umgehend 
geschlossen. Die Berichterstattung hierüber erfolgt in den Fachgremien des Rates. 
 
Ebenso hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) unter 
der Begrifflichkeit „IT-Grundschutz“ elementare Bedrohungsszenarien für Organisati-
on und Betrieb von Informationstechnik und die damit verbundenen Risiken aufge-
zeigt. Hierbei werden aus den erkannten Risiken resultierende Sicherungsmaßnah-
men empfohlen, um grundsätzlich „ein mittleres, angemessenes und ausreichendes 
Niveau“ für den Schutz der Informationsverarbeitung zu gewährleisten.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 8 
 
Im Rahmen einer qualifizierten Selbstauskunft kann in diesem Zusammenhang an-
hand von 15 vorgegebenen Maßnahmen mit festgelegten Inhaltskriterien (s. Übersicht 
Anlage 3) die Qualität des Datenschutzes in der Darstellung eines Netzdiagramms 
visualisiert werden. Der grafische Überblick über die datenschutzrechtliche Maßnah-
menerfüllung für die Stadtverwaltung Köln gewährleistet im Abgleich mit der definier-
ten Ideallinie (s. „Maximum 100%“ Erfüllungsquote) eine Einordnung der vorhandenen 
Aufgabenqualität bei der Stadt Köln (s. Anlage 4).  
 
Nach der BSI-Systematik sollte für jede aufgeführte Maßnahme ein Wert von mindes-
tens 80% (s. „Soll Minimum“) angestrebt werden. Im Ergebnis sind wesentlich Erfül-
lungsquoten für die Einzelmaßnahmen von 90 bis 100% festzustellen.  
 
Bei der „Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle“ (s. M4) sind die 
bisher datenschutzrechtlich noch nicht überprüften IT-Fachverfahren berücksichtigt. 
Zum einen handelt es sich um sog. „Altverfahren“, die zum Zeitpunkt des Inkrafttre-
tens des DSG NRW in 2000 bereits in Betrieb genommen wurden. Die IT-
sicherheitstechnische Überprüfung erfolgt sukzessive, wenn technische Veränderun-
gen wie z.B. Updates anstehen. 
 
Zum anderen wird derzeit ein Abgleich datenschutzrechtlich freigegebener Fachver-
fahren im Verfahrensverzeichnis bei dem Beauftragten für den Datenschutz mit den 
beim Amt für Informationsverarbeitung gemeldeten und laufenden IT-Anwendungen 
vorgenommen, um eine aktuelle Aufstellung über noch ggf. ausstehende Verfahrens-
freigaben zu erhalten. Anschließend erfolgt die Erstellung eines Prüfplanes gemein-
sam mit dem Amt für Informationsverarbeitung und den zuständigen Fachdienststel-
len, um die datenschutzrechtliche Vorabkontrolle und Freigabe zeitnah zu gewährleis-
ten. 
 
Die eingeschränkte Bewertung bei „Datenschutzgerechte Löschung/ Vernichtung“ (s. 
M15) erklärt sich aus der Tatsache, dass der gesamtstädtisch erforderliche Aktenplan 
noch nicht fertiggestellt ist und damit die notwendigen Aufbewahrungs-/ Löschfristen 
noch nicht festgelegt werden konnten. Das koordinierende Amt für Personal, Organi-
sation und Innovation (11) ist in diesem Zusammenhang seit längerem in Gesprächen 
mit den Dienststellen, um Teilaktenpläne mit entsprechenden Löschungsfristen auf 
den Amtsebenen zu erstellen.  
 
Aktuell liegen 31 fertige Teilaktenpläne vor, 43 werden derzeit verhandelt, sieben 
Dienststellen sind in den Aufstellungsprozess noch nicht eingestiegen (Stand 
04.11.16).

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 9 
 
 
Festzustellen ist, dass die schleppende Bearbeitung in den Dienststellen mit der ho-
hen Arbeitsbelastung durch die täglichen Fachaufgaben zusammenhängt, wodurch 
inneradministrielle Aufgaben wie die Erarbeitung von Teilaktenplänen in der Priorisie-
rung in den Hintergrund geraten.  
 
Ergänzend zu den sukzessiv zu entwickelnden Teilaktenplänen wird sich die zuneh-
mende Anzahl von Dienststellen, die ihre Sachbearbeitung auf eine elektronische Ak-
tenführung umstellen und bei deren Umsetzung u.a. auch explizit Löschungsfristen für 
die gespeicherten Fachdaten angegeben werden müssen, die bisher eingeschränkte 
Qualitätsbewertung der Einzelmaßnahme (M15) schrittweise positiv verändern. 
 
Das hohe Qualitätsniveau des Datenschutzes bei der Stadt Köln sowie die Abwesen-
heit von Auffälligkeiten und Skandalen ist hierbei der guten Zusammenarbeit des Am-
tes für Informationsverarbeitung (12) mit dem IT-Sicherheitsverantwortlichen einer-
seits und den sensibel aufgestellten Fachdienststellen andererseits zu verdanken.  
 
Die aktuelle Herausforderung besteht darin, den erreichten Standard bei wachsenden 
Anforderungen zu sich ausweitenden Aufgabenbestandteilen und insbesondere mit 
Blick auf die Umsetzung der Regelungen aus der Datenschutzgrundverordnung der 
EU (s. hierzu Ziff. VI und VII) zu erhalten sowie eingeschränkte Qualitätsbewertungen 
unterhalb der 80%-Erfüllungslinie - wie beschrieben - zu verbessern.  
 
Darüber hinaus ist gerade in der heutigen Zeit das Thema Datenschutz von besonde-
rer Dynamik geprägt. Stichworte wie z.B. die zunehmende Digitalisierung der Gesell-
schaft und die ausweitende Diskussion zur Videoüberwachung im Rahmen der allge-
meinen bundesweiten Sicherheitsdebatte sind Bestandteile dieses Sachstandsberich-
tes (s. Ziff. 0, III und VI) und führen dazu, dass sich die Organisation der Stadtverwal-
tung über alle Hierarchieebenen hinweg immer wieder auf neue Themen und Frage-
stellungen einstellen muss, auf die rechtssichere Antworten gefunden werden müs-
sen.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 10 
 
 
IV. Operative Kennzahlen des behördlichen Datenschutzbeauftragten 
 
Bisher wurden operative Kennzahlen zur Tätigkeit des Beauftragten für den Daten-
schutz nicht strukturiert erhoben und dargestellt. In den nachfolgenden Kategorien 
wird, in einem ersten Schritt hierzu, mit dem Aufbau eines systematischen Berichts-
wesens begonnen, welches u.a. wesentlich quantitative Aussagen zu den externen 
und internen Kontakten im Rahmen der Aufgabenerledigung des Datenschutzbeauf-
tragten zulässt (Gesamtaufstellung hierzu s. Anlage 5). 
 
Inhaltskategorien dieses Berichtswesens sind: 
 
 externe Erfahrungsaustausche des Beauftragten für den Datenschutz 
 
 Mitwirkung in städtischen Gremien und Arbeitskreisen 
 
 Durchführung von Schulungen 
 
 Datenschutzrechtliche Vorabkontrollen/ Freigabeverfahren 
(insb. zu IT-Fachverfahren und Datenverarbeitung im Auftrag) 
 
 
Darüber hinaus wurden insgesamt 28 externe Anfragen und Beschwerden an den 
Beauftragten für den Datenschutz gerichtet (Zeitraum 11/2015 bis 01/2017). Neben 
einer Vielzahl von Zuständigkeitsweiterleitungen an die Landesbeauftragte für Daten-
schutz und Informationsfreiheit bezogen sich die Sachverhalte u.a. auf die Tätigkeiten 
des Amtes für Wohnungswesen (56), des Amtes für Personal, Organisation und Inno-
vation (11) und des Amtes für Kinder, Jugend und Familie (51). Vielfache Anfragen er-
folgten zum Thema Videoüberwachung des öffentlichen Raumes. 
 
Insgesamt erscheint die im zentralen Datenschutz aufkommende Hinweis- und Be-
schwerdelage von extern angesichts des Tätigkeitsumfangs der Stadtverwaltung so-
wohl bei der Leistungs- als auch der Eingriffsverwaltung eher gering zu sein. Die An-
zahl der Beschwerden unmittelbar bei den Dienststellen wurde bisher nicht erfasst, 
entsprechende Nachfragen von dort bei dem Beauftragten für den Datenschutz sind 
bei der Beschreibung des Aufgabenbestandes, hier der Position „Beratung städtische 
Dienststellen/ Beschäftigte“, mit enthalten. Die weitere Entwicklung wird beobachtet.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 11 
 
 
V. Aufgaben und Aufgabenschwerpunkte in Bewegung (Entwicklung) 
 
Gegenüber dem unter Ziff. II geschilderten Aufgabenstand und deren Verteilung auf 
die vorhandene Stellenkapazität sind nachfolgende zusätzliche Aufwüchse bei beste-
henden bzw. neuen Aufgaben festzustellen: 
 
 
1. Vorabkontrollen Videoüberwachung 
 
Im laufenden Prüfprozess stehen derzeit konkret die datenschutzrechtlichen 
Freigaben für Flüchtlingsunterkünfte (z.Z. 14 Standorte), Kindertagesstätten 
(z.Z. acht Gebäude) sowie die von der Stadt betriebenen neun Museen, der 
Neubau des historischen Archivs am Eifelwall und der archäologischen Zone am 
Historischen Rathaus an. Derzeit laufen hierzu die erforderlichen Abstimmungs-
gespräche mit den zuständigen Fachdienststellen. 
 
 
2. Prüfung von Verträgen zur Datenverarbeitung im Auftrag 
 
Verstärkt ist festzustellen, dass städtische Dienststellen die Verarbeitung von 
personenbezogenen Daten durch externe Dritte in Anspruch nehmen. Die Liste 
der in 2016 datenschutzrechtlich freigegebenen Maßnahmen ist der Anlage 5 
(als Teil der operativen Kennzahlen des Datenschutzbeauftragten) zu entneh-
men. Kurzfristig stehen u.a. im Amt für Personal, Organisation und Innovation 
das Online –Bewerbungsverfahren (eRecruiting), Amt für Feuerschutz, Ret-
tungsdienst und Bevölkerungsschutz (eSchließsystem FW Gummersbacher Str.) 
und Amt für Wohnungswesen (Zutrittskontrolle zu Flüchtlingsunterkünften) wei-
tere datenschutzrechtliche Freigaben an. Eine intensive Einbeziehung des Be-
auftragten für den Datenschutz im Vorfeld ist sichergestellt. 
 
Nach erfolgter datenschutzrechtlicher Vorabkontrolle der Vertragsunterlagen des 
Auftragnehmers (incl. der getroffenen technischen und organisatorischen Maß-
nahmen zum Schutz der personenbezogenen Daten) durch den Datenschutzbe-
auftragten ist durch die zuständige Fachdienststelle das Verfahrensverzeichnis 
zu erstellen.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 12 
 
 
3. Digitalisierung der Verwaltung (eGovernment und eAkten) 
 
Im Rahmen der fortschreitenden Digitalisierung der Verwaltung und entspre-
chender Normierung in den eGovernment-Gesetzen des Bundes und der Länder 
besteht auch bei der Stadt Köln ein erhöhter Koordinations- und Abstimmungs-
bedarf bei der Umsetzung von Maßnahmen, wie z.B. der Erstellung einer Rah-
mendienstvereinbarung mit der Personalvertretung, der Einführung von eAkten 
in den einzelnen Fachdienststellen, der Nutzung elektronischer Identifikationsop-
tionen, ePayment-Angebote sowie der De-Mailnutzung. 
 
Die Datenschutzrelevanz ist in allen diesen Themen gegeben und bedarf daher 
entsprechender Begleitung in den städtischen Umsetzungsprozessen durch den 
Beauftragten für Datenschutz. Die fortlaufende thematische Einbindung hierzu 
erfolgt durch Teilnahme im dezernatsübergreifenden Arbeitskreis eGovernment 
(s. hierzu auch Anlage 5). 
 
 
4. Datenschutzschulungen 
 
Neben den bisher bereits durchgeführten allgemeinen Datenschutzschulungen 
besteht verstärkt Bedarf, sich mit neuen bereichsspezifischen und überwiegend 
komplexen Rechtsvorschriften – hier z.B. dem aktualisierten Bundesmeldege-
setz - auseinander zu setzen und entsprechende Schulungskonzepte zu entwi-
ckeln und anzubieten.  
 
Im Bereich des Sozialdatenschutzes wurde – neben den durch den Daten-
schutzbeauftragten regelmäßig durchgeführten Schulungen - pilothaft im Amt für 
Jugend, Kinder und Familien (51) ein Workshopverfahren initiiert, bei dem, ei-
nem Input durch einen externen Fachexperten zur Rechtsmaterie folgend, die 
amtsspezifische Umsetzung und nachvollziehbare Visualisierung der Ergebnisse 
zur Vermittlung gegenüber den Mitarbeitern/innen insb. des ASD, GSD und der 
WJH durch Vorgesetzte vorgenommen wurden. In diesen Prozess war der Da-
tenschutzbeauftragte qualitätssichernd eng eingebunden. 
 
Ähnlich angelegte Verfahren werden derzeit angedacht für die Bereiche Ge-
sundheits- und Mitarbeiterdatenschutz. 
 
Darüber hinaus ist anvisiert, Datenschutzschulungen für Vorgesetzte – hier ins-
besondere Amtsleiter/innen und Stellvertreter/innen - zu konzipieren und anzu-
bieten.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 13 
 
 
Erste Überlegungen zur Professionalisierung der Schulungen im Bereich Daten-
schutz gehen in Richtung der Einführung von eLearning-Verfahren. Mit diesen 
könnten Schulungsinhalte schneller und breiter in die Mitarbeiterschaft getragen 
werden. Auch die Nachweisführung darüber, dass Schulungen nicht nur angebo-
ten, sondern auch personenbezogen durchgeführt wurden wäre über eine ver-
bindliche Teilnahmeregelung incl. automatisierter Erteilung der Teilnahmebestä-
tigung möglich. 
 
 
5. Altverfahren überprüfen 
 
Zur Beseitigung der niederwertigen Qualitätsbewertung des Datenschutzes (s. 
hierzu Ziff. III und Ausführungen zur Maßnahme M15) sind erhöhte Aufwände für 
die IT-sicherheitstechnischen Prüfungen der sog. „Altverfahren“ - in Betrieb vor 
Inkrafttreten des DSG NRW im Jahr 2000 - sowie die Prüfung der in den Fach-
dienststellen ggf. bereits laufenden aber datenschutzrechtlich noch nicht freige-
gebenen Fachanwendungen zu verzeichnen. 
 
 
6. Dienststelleninterner/ dezentraler Datenschutz  
 
Im Nachgang zu dem derzeit erfolgenden Terminlauf des Beauftragten für den 
Datenschutz mit allen von den Dienststellenleitungen benannten Personen, die 
den Datenschutz in der Dienststelle dezentral umsetzen, ist vorgesehen ein- bis 
zweimal im Jahr ein Treffen aller dezentral Verantwortlichen mit dem Daten-
schutzbeauftragten zu organisieren, um neben inhaltlichem Input die Vernetzung 
untereinander zu verstärken. 
 
Unabhängig davon werden alle von den Dienststellen – im Rahmen der laufen-
den Aktualisierung der Meldungen der Fachämter durch den Datenschutzbeauf-
tragten - neu ernannten dezentralen Datenschutzbeauftragten in einem qualifi-
zierten Informationsgespräch auf ihre zukünftige Funktion durch den Daten-
schutzbeauftragten vorbereitet.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 14 
 
 
VI. Auswirkungen der Datenschutzgrundverordnung der EU und Vorschlag zum 
Umsetzungsprozess in der Stadtverwaltung Köln 
 
 
1. Auswirkungen der DSGVO 
 
Besondere Bedeutung bei der Betrachtung des sich verändernden Aufgabenfel-
des im behördlichen Datenschutz erlangen derzeit die Auswirkungen der EU-
Datenschutzgrundverordnung (DSGVO). Diese ist am 25.05.16 in Kraft getreten 
und wird zum 25.05.18 verbindlich anzuwendendes Recht für alle EU-
Mitgliedsstaaten. 
 
Wesentliche Grundlagen aus dem im europäischen Vergleich strikten deutschen 
Datenschutzrecht konnten in der vorgelagerten Diskussion der EU-
Beschlussgremien und letztendlich beim Beschluss der DSGVO erhalten wer-
den. Festzustellen ist derzeit allerdings, dass es im Detail noch deutlich erkenn-
bare Unsicherheiten bei der operativen Umsetzung sowohl auf Bundes- und 
Landesebene als auch bei den Kommunen und deren Interessenvertretungen 
gibt. 
 
Die DSGVO generiert unmittelbar geltendes Recht, ist also von den Mitglieds-
staaten nicht nochmals zu ratifizieren. Sie enthält Öffnungsklauseln, also Spiel-
räume für nationales Recht (z.B. im Bereich des Beschäftigtendatenschutzes) 
sowie Regelungsaufträge (sog. „Harmonisierungsgebote“), z.B. zur Ausgestal-
tung der Aufsichtsbehörden, zum Rechtsschutz bei Verhängung von Geldbußen 
sowie zu Regelungen für die Meinungs-, Informations- und Pressefreiheit. 
 
Die Öffnungsklauseln beziehen sich u.a. auch auf bestehende bereichsspezifi-
sche Regelungen der Mitgliedsländer. So können nach derzeitiger Lesart z.B. 
Fachregelungen wie Sozial- und Gesundheitsdatenschutz beibehalten werden. 
Daneben müssen andere nationale Regelungen im Rahmen von Normenscree-
nings/ Rechtsbereinigung auf Vereinbarkeit mit DSGVO geprüft und ggf. ange-
passt werden. Dies erfolgt durch die zuständigen Innen- und Rechtsressorts von 
Bund und Ländern.  
 
Das in diesem Zusammenhang neu zu gestaltende Bundesdatenschutzgesetz 
(BDSG-neu) und die – sofern noch Regelungsspielräume vorhanden – ggf. zu 
entwickelnden Landesdatenschutzgesetze werden dann zu Ausführungsgeset-
zen der DSGVO. Entwürfe für eine BDSG-neu als Umsetzungsgesetz für die 
DSGVO liegen bereits vor (zuletzt Kabinettsentwurf v. 01.02.17).

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 15 
 
 
Über den Arbeitsstand für ein mögliches Landesdatenschutzgesetz NRW liegen 
hier bisher keine Erkenntnisse vor. 
 
Konkret wirken sich die Regelungen der DSGVO auf die Stadtverwaltung Köln in 
der Weise aus, dass umfassende Rechenschafts- und Dokumentationspflichten 
im Zusammenhang mit dem Umgang personenbezogener Daten auferlegt wer-
den, ausgeweitete Informationspflichten gegenüber den Betroffenen zu erfüllen 
sind und Verschiebungen von Verantwortlichkeiten zwischen dem Beauftragten 
für den Datenschutz und den Fachdienststellen (Verantwortliche) vorgenommen 
werden. Parallel dazu erfolgt eine Schwerpunktsetzung innerhalb der Aufgaben 
des Datenschutzbeauftragten weg von dem bisherigen Hinwirkungs- hin zu ei-
nem verstärkten Überwachungsauftrag. 
 
Es besteht somit die Notwendigkeit, übertragbare datenschutzrechtliche- und IT-
sicherheitstechnische Regelungen sowie die eingeübten, bewährten Verfah-
rensweisen beim Umgang mit personenbezogenen Daten innerhalb der Stadt-
verwaltung Köln zu einem DSGVO-konformen Datenschutzmanagement weiter 
zu entwickeln. 
 
Zu den v.g. einzelnen sich ändernden Rahmenbedingungen und Vorgaben der 
DSGVO ist Folgendes auszuführen: 
 
 
a) Rechenschafts- und Dokumentationspflichten („Accountability“) 
 
Die umfassenden Rechenschaftspflichten verpflichten die Behörden in dem 
Sinn, dass die Rechtmäßigkeit des Handelns aus datenschutzrechtlicher Sicht 
jederzeit nachgewiesen werden muss. Es handelt sich hierbei um eine Umkehr 
der Beweislast: war die Behörde bisher verpflichtet bei Verstößen nachzuwei-
sen, dass sie rechtmäßig gehandelt hat, ist sie jetzt aufgefordert, diesen Nach-
weis durch ein funktionierendes Datenschutzmanagement systemimmanent be-
reits im Vorfeld sicherzustellen. Die DSGVO legt hierbei fest, dass dieser Nach-
weis jederzeit - also nicht erst bei vermuteten oder tatsächlichen Verstößen - 
und unabhängig vom Vorhandensein/ Tätigwerden eines Datenschutzbeauftrag-
ten erbracht werden muss. Verantwortlich für die Vorhaltung und Funktionsfä-
higkeit dieses Datenschutzmanagementsystems ist die verantwortliche Stelle, 
also die hierarchisch gegliederte Verwaltung.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 16 
 
 
Wesentliche Bestandteile dieser Nachweis- und Dokumentationspflichten sind 
u.a. datenschutz- und IT-sicherheitstechnische Regelungen zu Zuständigkeiten 
und Verfahrensabläufen, Regelungen zu meldepflichtigen Datenschutzverstößen 
(Sicherheitsvorfälle) gegenüber der Landesbeauftragten für Datenschutz und In-
formationsfreiheit, durchgeführte „Datenschutzfolgeabschätzungen“ und Prüfun-
gen der Verarbeitungstätigkeiten (Datenverarbeitung im Auftrag). Zu beachten 
sind hierbei ebenfalls die besonderen Anforderungen der DSGVO an den Ein-
satz „datenschutzfreundlicher Technologien“ (Privacy-by-Design - Datenschutz 
bereits bei der Entwicklung von IT-Verfahren mitdenken und Privacy-by-Default - 
datenschutzfreundliche Voreinstellungen in den IT-Fachverfahren vorsehen) so-
wie ein IT-Sicherheitsmanagement nach dem „Stand der Technik“.  
 
Explizit fordert die DSGVO ebenso wiederkehrende Wirksamkeitsprüfungen in-
nerhalb des Datenschutzmanagementsystems und dessen Bestandteilen incl. 
Überprüfung, Bewertung und Evaluation der Wirksamkeit der zum Schutz der 
personenbezogenen Daten getroffenen technischen und organisatorischen 
Maßnahmen im Sinne eines kontinuierlichen Verbesserungsprozesses. 
 
 
b) Informationspflichten gegenüber den Betroffenen 
 
An ein Datenschutzmanagementsystem, das mit den Regelungen der DSGVO 
konform geht, werden zukünftig erweiterte Informationsanforderungen im unmit-
telbaren Kontakt mit den Bürgerinnen und Bürgern gestellt.  
 
In einer einfachen und verständlichen Sprache sind bei elektronischen oder ana-
logen Antragsverfahren bzw. bei der Nutzung von städtischen Dienstleistungen 
(Onlineangebote) die Betroffenen über die datenschutzrechtlichen Rahmenbe-
dingungen ihrer Beziehung zur Stadtverwaltung Köln umfassend aufzuklären. 
Wesentlich ausführlicher als bisher sind u.a. der Zweck und die Legitimation der 
Datenverarbeitung, Hinweise auf die Betroffenenrechte, Weitergaben und Emp-
fänger der personenbezogenen Daten und Hinweise zu Beschwerdeinstanzen 
darzulegen.  
 
Alle diesbezüglichen Prozesse innerhalb der Stadtverwaltung sind nach diesen 
Vorgaben zu überprüfen. Die Verantwortung hierfür obliegt ebenfalls der verant-
wortlichen Stelle.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 17 
 
 
c) Verschiebungen von Verantwortlichkeiten zwischen dem Beauftragten für den  
 Datenschutz und den Fachdienststellen – Schwerpunktsetzung bei den Auf-
gaben des Beauftragten für den Datenschutz 
 
Die Stellung der behördlichen Datenschutzbeauftragten bleibt vergleichbar der 
bisherigen Regelungen aus dem DSG NRW erhalten (insb. Weisungsfreiheit und 
Anbindung an die höchste Managementebene der verantwortlichen Stelle). 
 
Die bisherigen Aufgaben der Unterrichtung und Beratung der Oberbürgermeiste-
rin als Leiterin der verantwortlichen Stelle Stadt Köln, der nachgeordneten Füh-
rungskräfte sowie der Beschäftigten bleiben für den Datenschutzbeauftragten 
ebenfalls unberührt erhalten. 
 
Verantwortungsverschiebungen sind insb. bei der Einführung von komplexen IT-
Verfahren mit besonders sensiblen Daten sowie Prüfungen der Videoüberwa-
chung im Wege der sog. „Datenschutzfolgeabschätzung“ zu verzeichnen. Hierfür 
werden zukünftig die Leiter der Fachdienststellen (Amts- und Dienststellenleiter) 
zuständig sein, der Beauftragte für den Datenschutz ist hierbei mit einem ver-
bindlichen Beratungs- und Überwachungsauftrag in diesen Prozess weiterhin 
eingebunden. 
 
Um die Bedeutung dieser Regelung deutlich zu machen, wird nachfolgend der 
Prüfprozess für die Inbetriebnahme eines IT-Verfahrens in einer Fachdienststelle 
- mit besonderem Blick auf die Vorgaben der in der DSGVO in diesem Zusam-
menhang geregelten „Datenschutzfolgeabschätzung“ - beschrieben: 
 
Auf der Grundlage eines risikoorientierten Klassifizierungsbogens (systemati-
sche Einstufung der zu verarbeitenden personenbezogenen Daten nach deren 
Sensibilität und Auswirkungen bei Bekanntwerden für die Betroffenen), einer da-
tenschutzrechtlichen Fachamtsbeschreibung (Sicherheitsbeschreibung für die 
Dienststelle), einer Sicherheitsanalyse des Amtes für Informationsverarbeitung 
(bezogen auf die Sicherheit innerhalb des gesamtstädtischen IT-Netzes – CAN) 
sowie einer Vorabkontrolle als Prüfung der datenschutzrechtlichen Unbedenk-
lichkeit erfolgte (bisher) abschließend die Freigabe eines alle datenschutzrechtli-
chen Aspekte zusammenfassenden Verfahrensverzeichnisses durch den Daten-
schutzbeauftragten. Diese Aufgabe ist zukünftig in der Verantwortung der 
Dienststellenleitungen wahrzunehmen

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 18 
 
 
Noch ist nicht abschließend geklärt, ob dieses bei der Stadt Köln praktizierte 
qualitätsvolle datenschutzrechtliche Inbetriebnahmeverfahren für IT-
Fachanwendungen den Anforderungen der DSGVO an eine „Datenschutzfolge-
abschätzung“ entspricht, bzw. ob eine Modifizierung der bisherigen Prozesse er-
forderlich ist. 
 
Angestrebt wird in jedem Fall, auch die Inbetriebnahmen von Fachverfahren un-
terhalb der definierten Prüfschwelle der „Datenschutzfolgeabschätzung“ (gefor-
dert für komplexe Verfahren mit besonders schützenswerten personenbezoge-
nen Daten) wie bisher dem geschilderten qualifizierten datenschutzrechtlichen 
Freigabeverfahren zu unterziehen. 
 
Über die Verschiebung der Verantwortung für die „Datenschutzfolgeabschät-
zung“ hinaus wird der Kontroll- und Überwachungsaspekt, der sich aus der bis-
herigen Hinwirkungspflicht des Datenschutzbeauftragten abgeleitet hat, deutlich 
hervorgehoben und verstärkt: zukünftig ist neben der Überwachung der Einhal-
tung datenschutzrechtlicher Vorgaben (incl. interner Dienstanweisungen und 
Regelungen) insb. die Funktionsfähigkeit des Datenschutzmanagements als sol-
ches - also der Gesamtheit aller Regelungen zum Datenschutz und der IT-
Sicherheit - der verantwortlichen Stelle Stadtverwaltung Köln durch den Beauf-
tragten für den Datenschutz zu kontrollieren. Hierbei ist besonderes Augenmerk 
auf die für die personenbezogenen Daten bestehenden Risiken bei der Verarbei-
tung durch die städtischen Dienststellen zu legen (Risikoorientierung). 
 
 
Insgesamt bleibt festzuhalten, dass durch die umfassenden Informations- und 
Rechenschaftspflichten sowie Verschiebungen im Aufgabenprofil des Beauftrag-
ten für den Datenschutz spürbare Veränderungen in der datenschutzrechtlichen 
Verantwortungsstruktur, auf der Ebene der Verwaltungs- und internen Genehmi-
gungsverfahren (Prozesse) sowie der Ebene der Datenschutzmanagementsys-
tematik bei der Stadtverwaltung Köln zu verzeichnen sind. Vor diesem Hinter-
grund ist die bestehende „Dienstanweisung Datenschutz bei der Stadtverwal-
tung Köln“ umfassend zu überarbeiten. 
 
Zur weiteren inhaltlichen Schärfung der mit der DSGVO einhergehenden Verän-
derungen sowie deren operative Auswirkungen für die Stadtverwaltung Köln er-
folgt die laufende Teilnahme des Beauftragten für den Datenschutz an diversen 
Arbeitskreisen, Symposien, Fachtagungen und Kongressen der etablierten Da-
tenschutzszene (u.a. Städtetag, KDN, GDD/ Datakontext; s. auch Anlage 5).

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 19 
 
 
In diesem Zusammenhang wurde auch Kontakt zur Landesbeauftragten für Da-
tenschutz und Informationsfreiheit aufgenommen, mit dem Ziel zunächst in ei-
nem ersten Schritt relevante Positionen und Vorstellungen mit Blick auf die Um-
setzungsnotwendigkeiten im Rahmen der DSGVO auszutauschen. 
 
 
2. Vorschlag zum Umsetzungsprozess zu den Regelungen der DSGVO 
 
Die Verantwortung für die Umsetzung der Regelungen der DSGVO obliegt der 
verantwortlichen Stelle, somit der Oberbürgermeisterin bzw. den nachgeordne-
ten Organisationsstrukturen als dezernats-/ amtsübergreifende Querschnittsauf-
gabe. Der sinnvollerweise als Projekt gestaltete Umsetzungsprozess wird durch 
den Beauftragten für den Datenschutz angestoßen und fachinhaltlich koordiniert. 
 
In diesem Zusammenhang wird die Bildung einer interdisziplinären Projektgrup-
pe „Umsetzung der DSGVO bei der Stadt Köln“ unter verantwortlicher Federfüh-
rung des OB-Büros und fachinhaltlicher Koordination des Beauftragten für den 
Datenschutz vorgeschlagen.  
 
Erforderliche weitere Beteiligte sind der IT-Sicherheitsbeauftragte (12/1), das 
Amt für Informationsverarbeitung (12), Vertreter der Dezernatsbüros, Vertreter 
der Fachdienststellen (incl. dezentrale Datenschutzbeauftragte) sowie das Amt 
für Personal, Organisation und Innovation (11) als organisationsfachliche Beglei-
tung. Empfohlen wird auch die frühzeitige Einbeziehung der Personalvertretung.  
 
Eine Übersicht zu Aufstellung der Projektgruppe und Beschreibung der Funktio-
nen der zu beteiligenden Akteure sind den Anlagen 6 und 7 zu entnehmen. 
 
 
Vorgeschlagen wird ein Vorgehen in zwei Phasen (s. auch Anlage 8): 
 
1. Phase: 
 
Zwei bis drei große Fachämter durchlaufen den Umsetzungsprozess nach der 
DSGVO pilothaft (z.B. 32, 50 und 51). Aus den Erfahrungen hieraus wird ein 
übertragbares Vorgehensmodell für die anderen Fachdienststellen entwickelt. 
 
Dauer: bis zu 3 Monaten Pilotphase

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 20 
 
 
2. Phase: 
 
Das entwickelte Vorgehensmodell wird auf die übrigen Fachdienststellen ausge-
rollt. 
 
Dauer: Umsetzung nach Pilotphase bis 05/2018 
 
 
Angesichts des Implementierungszeitpunktes (05/2018) sollte die Gründung und 
Einberufung der ersten Sitzung der Projektgruppe im 1. Quartal 2017 durch Frau 
Oberbürgermeisterin Reker vorgenommen werden. Bis auf weiteres ist von ei-
nem monatlichen Sitzungsturnus auf Arbeitsebene auszugehen. 
 
Begleitende Maßnahmen im Umsetzungs- und Projektprozess sollten sein: 
 
 laufende Information der Mitarbeiter/ innen und Führungskräfte zu allge-
meingültigen Informationen und ggf. wichtigen Themenschwerpunkten 
(über Intranet) 
 
 Information in Ämterrunden der Dezernate (durch den Datenschutz- 
beauftragten) 
 
 ggf. Veröffentlichung der Protokolle aus der interdisziplinären  
Projektgruppe 
 
 Information über das Ergebnis nach dem Umsetzungsprozess (Elemente 
und Wirkung des neuen Datenschutzmanagementsystems) 
 
 Evaluation und Statusprüfung des Umsetzungsprozesses zu 05/2018

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 21 
 
 
Fazit/ Ausblick 
 
In der Gesamtschau ist festzustellen, dass sich der Datenschutz – bis auf kleinere 
Ausnahmen im Bereich der Qualitätsbewertung (s. Ziff. III) – in einem hochwertigen 
und funktionierenden Zustand befindet. Verantwortlichkeiten und Prozesse zu daten-
schutzrechtlichen und IT-sicherheitstechnischen Erfordernissen, die dem Schutz der 
personenbezogenen Daten der Bürgerinnen und Bürgern sowie der Beschäftigten der 
Stadt Köln dienen, sind definiert, eingeübt und werden umgesetzt. 
 
Unabhängig davon bestehende Gefahren z.B. von außen durch Hacker können nur 
durch große datenschutzrechtliche Fachlichkeit und Sorgfalt bei allen in dieser Ver-
antwortung handelnden Akteuren minimiert, aber nicht gänzlich ausgeschlossen wer-
den. 
 
Mit Blick auf die aktuellen Anforderungen im Rahmen der Umsetzung der DSGVO lie-
gen gute Voraussetzungen vor, den zweijährigen Etablierungsprozess bis 05/2018 er-
folgreich zu gestalten. Auf vorhandene Regelungen und eingespielte Systeme kann 
aufgebaut werden. Es ist ratsam, dass die vorgeschlagene interdisziplinäre Projekt-
gruppe schnellstmöglich ihre Arbeit aufnimmt, um den Fachdienststellen die erforder-
lichen Prüf- und Umstellungsarbeiten fristgerecht zu ermöglichen. 
 
Die Stadtverwaltung Köln erfasst täglich hunderte personenbezogene Daten und die 
Bürgerinnen und Bürger verlassen sich darauf, dass mit diesen Daten verantwortlich 
umgegangen wird. Die Kenntnisse über die rechtlichen Notwendigkeiten des Daten-
schutzes sind hierbei unabdingbare Voraussetzung für die Fachdienststellen, um den 
steigenden Anforderungen in diesem Bereich gerecht zu werden. Vor diesem Hinter-
grund erscheint es sinnvoll, das Thema Datenschutz deutlicher als bisher in den 
Blickpunkt zu rücken.  
 
Als erster Schritt hierzu soll dieser Sachstandsbericht dienen, der nach Vorstellung 
und Beratung im Stadtvorstand sowohl in den politischen Gremien (Unterausschuss 
digitale Kommunikation und Organisation und ggf. Ausschuss allgemeine Verwaltung 
und Rechtsfragen) behandelt als auch allen Mitarbeitern/ innen und Führungskräften 
zugänglich gemacht werden soll.  
 
Vorgesehen ist eine wiederkehrende Berichterstattung über den Datenschutz bei der 
Stadt Köln, mindestens alle 3 Jahre.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 22 
 
 
Mittelfristig wird darüber nachgedacht, die in der DSGVO eröffnete Möglichkeit für ei-
ne Zertifizierung des Datenschutzes bei der Stadtverwaltung Köln wahrzunehmen. 
Hierbei sollen die durch die Aufsichtsbehörden (Landesbeauftragte für Datenschutz 
und Informationsfreiheit NRW in Düsseldorf) und Zertifizierungsstellen zu erarbeiten-
den Vorgaben abgewartet werden. 
 
Weiterhin soll das Aufgabengebiet des Beauftragten für den Datenschutz in das Pro-
jekt zur Einführung der elektronischen Akte (eAkte) beim Amt für Informationsverar-
beitung aufgenommen werden.

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 23 
Beauftragter für den Datenschutz (OB/7) 
Spanischer Bau 
Rathausplatz 
50667 Köln  
Frank Fricke 
Telefon: 0221/ 221-22457 
Datenschutzbeauftragter@Stadt-Koeln.de  
www.stadt-koeln.de

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 24 
 Anlage 1 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
OB`in 
Leitungskräfte 
(Beig., AL, AbtL) 
 
Beschäftigte 
(Fachämter, Dienststellen) 
 
 
verantwortet 
setzen um und 
kontrollieren 
Datenschutz-
schutz-
beauf.* 
dez. DSB 
(verantwortliche Stelle 
  bzw. Verantwortlicher) 
*Hinwirkungs- 
auftrag 
beachten

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 25 
Anlage 2 
 
 
Datenschutz – Aufgabenbestand/ -verteilung (bis 2015/ 2016) 
 
 
 
 
Beratung Bürger 
5% 
Beratung Dienstst./ 
städt. Beschäftigte 
25% 
Inbetriebnahme IT-
Verfahren 
35% 
Mitwirkung bei 
städt. Regelungen 
1% 
Vertretung in 
externen Gremien 
2% 
Schulungen 
20% 
Videoüberw. 
5% DViA 
5% 
Digitalisierung 
2%

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 26 
Anlage 3 
 
 
Qualität des Datenschutzes - Maßnahmenkriterien  
 
Kenn-
zeichen 
Maßnahmenbezeichnung Kriterium/ Beschreibung 
M1 Datenschutzmanagement 
 
Datenschutzrichtlinie vorhanden? 
M2 Regelungen der Verantwortlichkeiten Betrieblicher Datenschutzbeauftragter mit 
erforderlicher Fachkenntnis und Ressour-
cen bestellt? 
M3 Datenschutzkonzept Ist die Einbindung des Datenschutzbeauf-
tragten in die Prüfprozesse sichergestellt? 
Gibt es eine Funktions-/ Aufgabenbeschrei-
bung des Datenschutzbeauftragten? 
M4 Prüfung rechtlicher Rahmenbedin-
gungen und Vorabkontrollen 
Werden datenschutzrechtliche Vorabkon-
trollen durchgeführt? 
M5 Festlegung der technischen und or-
ganisatorischen Maßnahmen 
Wird nach den Grundsätzen des BSI-
Grundschutzes gearbeitet? Liegt ein IT-
Sicherheitsmanagement vor? 
M6 Verpflichtung/ Unterrichtung der Mit-
arbeiter/ innen 
Sind Mitarbeiter/ innen auf das Datenge-
heimnis verpflichtet? Werden Schulungen 
durchgeführt? 
M7 Organisatorische Maßnahmen zur 
Sicherstellung der Rechte der Be-
troffenen 
Werden Eingaben/ Beschwerden zügig er-
ledigt? Ist Das Verfahren bei Auskunfts-, 
Berichtigung-, Sperrungs- und Löschverlan-
gen geregelt? 
M8 Führung von Verfahrensverzeichnis-
sen und Erfüllung der Meldepflichten 
Ist ein Verfahrensverzeichnis beim Daten-
schutzbeauftragten vorhanden? Ist sicher-
gestellt, dass Änderungen im „Lebenszyk-
lus“ eines Verfahrens zuverlässig gemeldet 
werden? 
M9 Datenschutzrechtliche Freigaben Ist die Einbindung des Datenschutzbeauf-
tragten geregelt? 
M10 Meldung und Regelung von Abruf-
verfahren 
Wurden die technischen und organisatori-
schen Anforderungen bei automatisierten 
Abrufverfahren eingehalten? 
M11 Regelung der Auftragsdatenverarbei-
tung bei der Verarbeitung von perso-
nenbezogenen Daten 
Ist Einbeziehung des Datenschutzbeauf-
tragten sichergestellt? Nimmt der Daten-
schutzbeauftragte seine Kontrollpflichten 
wahr? Liegt eine Liste der der Auftragneh-
mer vor? 
M12 Regelung der Verknüpfung und Ver-
wendung der Daten (Zweckbindung) 
Werden alle Datenverwendungen auf 
Zweckbindung und Rechtsgrundlage ge-
prüft? Sind diese Informationen im Verfah-
rensverzeichnis enthalten?

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 27 
Kenn-
zeichen 
Maßnahmenbezeichnung Kriterium/ Beschreibung 
M13 Dokumentation der datenschutz-
rechtlichen Zulässigkeit 
Ist die Dokumentation geeignet, die daten-
schutzrechtliche Zulässigkeit der eingesetz-
ten Verfahren zu belegen? Gibt es eine re-
gelmäßige Berichterstattung des Daten-
schutzbeauftragten? 
M14 Aufrechterhaltung des Datenschut-
zes im laufenden Betrieb (Daten-
schutzkontrolle) 
Wird der Datenschutzbeauftragte durch 
andere Kontrollinstanzen unterstützt (z.B. 
Innenrevision)? Prüft der Datenschutzbeauf-
tragte regelmäßig die Einträge im Verfah-
rensverzeichnis auf Aktualität? Hat der Da-
tenschutzbeauftragte die Möglichkeit, seine 
Fachkunde auf den neuesten Stand zu 
bringen? 
M15 Datenschutzgerechte Löschung/ 
Vernichtung 
Werden die Daten nach Wegfall der 
Rechtsgrundlage für die Verarbeitung ge-
löscht oder gesperrt?

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 28 
Anlage 4 
 
 
Qualität des Datenschutzes - Maßnahmenbewertung  
 
 
 
  
0
10
20
30
40
50
60
70
80
90
100
M1 DS-Management
M2 Regelung der
Verantwortlichkeiten im Bereich
Datenschutz
M3 Datenschutzkonzept
M4 Prüfung rechtlicher
Rahmenbedingungen und
Vorabkontrolle
M5 Festlegung von technisch-
organisatorischen Maßnahmen
entsprechend dem Stand der
Technik
M6 Verpflichtung/Unterrichtung
der Mitarbeiter
M7 Organisatorische Verfahren
zur Sicherstellung der Rechte der
Betroffenen
M8 Führung von
Verfahrensverzeichnissen und
Erfüllung der Meldepflichten
M9 Datenschutzrechtliche
Freigabe
M10 Meldung und Regelung von
Abrufverfahren
M11 Regelung der
Auftragsdatenverarbeitung bei
der Verarbeitung
personenbezogener Daten
M12 Regelung der Verknüpfung
und Verwendung von Daten
(Zweckbindung)
M13 Dokumentation der
datenschutzrechtlichen
Zulässigkeit
M14 Aufrechterhaltung des
Datenschutzes im laufenden
Betrieb (Datenschutzkontrolle)
M15 Datenschutzgerechte
Löschung/Vernichtung
Maximum (100%)
Soll Minimum
(80%)
Bewertung
88,67 
durchschnittl. 
Maßnahmen- 
erfüllung

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 29 
Anlage 5 
 
 
Operative Kennzahlen des Datenschutzbeauftragten 
 
 
Kennzahl-Kategorie 
 
Kennzahl Ausprägung Bemerkung 
Externe Erfahrungs-
austausche 
Arbeitskreis Datenschutz des Deutschen 
Städtetages 
2x jährlich 
 Arbeitskreis Datenschutz beim KDN - 
Dachverband kommunaler Dienstleister 
bei Themenbezug 
 Erfahrungskreis der Gesellschaft für Da-
tenschutz und Datensicherheit (GDD) 
regelmäßig 
 Teilnahme an Datenschutzfachtagungen 
(z.B. DAFTA und Praxisworkshops) 
bei Angeboten 
 Teilnahme an Fachseminaren und Sympo-
sien (z.B. von Datakontext) 
bei Angeboten 
 Arbeitsgruppe Datenschutz bei der Vitako – 
Bundesarbeitsgemeinschaft der kommuna-
len IT-Dienstleister 
bei Themenbezug 
 Kontakte zu Fachthemen mit Datenschutz-
beauftragten anderer Kommunen 
themenbezogen 
 Kontakte zu Datenschutzbeauftragten der 
Universität zu Köln sowie den Kliniken der 
Stadt Köln 
Beginn eines regelmäßi-
gen Austausches 
 Kontakt zur Beauftragten für Datenschutz 
und Informationsfreiheit NRW in Düsseldorf 
Beginn eines regelmäßi-
gen Austausches 
Mitwirkung in städti-
schen Gremien und 
Arbeitskreisen 
Teilnahme an den Sitzungen des Unter-
ausschusses digitale Kommunikation und 
Organisation (UdiKO) 
Fachgremium des Rates 
 Teilnahme an den Sitzungen des SKIT (IT-
Sicherheitsbeirat) 
innerstädt. Gremium 
 Teilnahme am Intranet-Beirat innerstädt. Gremium 
 Teilnahme im Arbeitskreis eGovernment innerstädt. Gremium 
 Teilnahme an der Arbeitsgruppe Schrift-
gutordnung 
 
Durchführung von 
Schulungen 
Allgemeine Datenschutzschulungen für 
neue Mitarbeiter/ innen bzw. Auffri-
schungsschulungen 
durch den Beauftragten 
für Datenschutz 
 Schulungen im Sozialdatenschutz s.o. 
 Schulungen zum Meldewesen in den Kun-
denzentren 
mit externer Unterstüt-
zung 
 Angebot zu Fachschulungen im Personal- 
und Gesundheitswesen 
 
 Informationsveranstaltungen für Dienststel-
lenleiter/ innen und Stellvertreter/ innen  
wird konzipiert

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 30 
 
Kennzahl-Kategorie 
 
Kennzahl Ausprägung Bemerkung 
Datenschutzrechtliche 
Freigaben zu IT-
Fachverfahren  
Beihilfe NRW plus (bei 1100/3) (Verfahrensfreigaben seit 
Sept. 2015) 
 DocBrigde FileCab (bei 12) zentrales Druckmanagement 
von Office-Dokumenten 
(Basisverfahren) 
 DocBrigde Pilot-Session (bei 12) datenbankbasierender Sen-
depool zur Bewältigung der 
vielfältigen Anforderungen 
an ein modernes Druck- und 
Versendemanagement 
 KommunalRegie (bei 23) Beitragserhebung für Er-
schließungs- und Straßen-
baubeiträge 
 Wohnung2000 (bei 56) Erfassung und Bearbeitung 
von Daten zur Erstellung von 
Wohnberechtigungsscheinen  
 eAuskunft (bei 32) 
 
Zugriff auf Gewerbedaten 
 eMeldung (bei 32) 
 
s.o. 
 ePayBL – Basismodul (bei 12) unterstützt als Basiskom-
ponente die Abwicklung 
verschiedener eGovern-
ment-Lösungen bei inter-
netbasierten Zahlungs-
transaktionen 
 EPA-Datei Abwicklungssoftware für 
ePayBL (s.o.) 
 Cobra CRM Pro (für CDU-Fraktion) Adressdatenbank 
 
 Morgenstadt (für 61) Interaktives Beteiligungs-
tool im Rahmen von ge-
meindlichen Bauleitver-
fahren 
 Restaurierungs- und Dokumentationsmo-
dul – RDM (bei 44) 
dient der Erfassung von 
Arbeitsschritten und Zeit-
aufwänden im Rahmen 
der Restaurierung der 
Archivalien nach dem 
Einsturz des historischen 
Archivs 
 Vertragsmanagement (bei 30) Speicherung und Verwal-
tung von Vertragsakten 
 SAP-PSCD (bei 21) dient zur Überwachung der 
Einnahmen städtischer 
Dienststellen und zur Forde-
rungsverwaltung

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 31 
Kennzahl-Kategorie 
 
Kennzahl Ausprägung Bemerkung 
Datenschutzrechtliche 
Freigaben zu IT-
Fachverfahren  
(Fortsetzung) 
Dips.kommunal (bei 44)  versetzt das historische 
Archiv in die Lage struktu-
rierte und unstrukturierte 
Datenmengen in das 
städtische CAN zu und in 
einem strukturierten, 
nachvollziehbaren Work-
flow in das elektronische 
Langzeitarchiv zu über-
nehmen 
 „Personal-Kiosk“ als Teilmodul zu SAP 
ERP HCM (bei 11) 
Abwicklung der Zeitwirt-
schaft städt. Beschäftigter 
u.a. mit den Funktionalitä-
ten zur Arbeitszeiterfas-
sung, Antragstellung di-
verser Abwesenheitszei-
ten wie Urlaub, Dienstrei-
se etc. 
Datenverarbeitung  
im Auftrag (DViA) 
Kommunaler Mikrozensus – Umfrage  
„Leben in Köln“ (bei 15) 
(datenschutzrechtliche 
Freigaben in 2016) 
 BeihilfeNRWplus – Gebietszentrum  
(bei 1100/3) 
 
 Wohnung2000 – Betrieb/ Hosting über 
Stadt Bonn und die Fa. KSU (bei 56) 
 
 econetISM (ehem. cMatrix), DViA Daten-
abzug für Datenmigration (bei 12) 
 
 Bereitstellung De-Mail durch Fa. Mentana-
Claimsoft GmbH (bei 1300) 
 
 VPM-Vergabemarktplatz (bei 27) 
 
 
 (derzeit laufen 6 weitere Maßnahmen 
verschiedener Dienststellen in diesem 
Bereich) 
 
Videoüberwachung Aufzählung s. Ziff. VI Nr. 1 
 
 
Mitwirkung bei 
Dienstvereinbarungen/ 
-anweisungen und 
Richtlinien 
Rahmendienstvereinbarung E-
Government (bei 11/ 1300) 
 
 Dienstanweisung zur Bedienung und Be-
nutzung des Videobeobachtungssystems 
der Verkehrsleitzentrale Köln (bei 66) 
 
 (anstehend: Überprüfung aller 
Dienstvereinbarungen/ -anweisungen 
und Richtlinien bei Umsetzung der 
DSGVO auf Übereinstimmung mit den 
neuen Vorgaben)

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 32 
Anlage 6 
 
 
Bildung einer interdisziplinären Projektgruppe  
zur Umsetzung der DSGVO- Übersicht 
 
 
 
 
 
 
 
 
 
 
Projektgruppe 
„Umsetzung der 
DSGVO“ bei der 
Stadt Köln" 
Büro 
OB 
OB/7 
DSB 
12/1 
(IT-Si.) 
12 
1300 GPR 
11 
Dez./ 
Dst. 
(dez. 
DSB) 
Umsetzungsverantwortung 
obliegt verantwortlicher 
Stelle bzw. Verantwortlichen

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 33 
Anlage 7 
 
 
Bildung einer interdisziplinären Projektgruppe  
zur Umsetzung der DSGVO - Funktionen der beteiligten Akteure 
 
 
Amt Funktion in der Projektgruppe 
 
OB-Büro Federführung und Leitung der Projektgruppe als oberste umsetzungs-
verantwortliche Stelle für die Stadtverwaltung Köln  
(i.V. für Fr. OB`in Reker) 
 
OB/7 Fachinhaltliche Koordination: fachliche Steuerung mit Input zur Umset-
zung der inhaltlichen Anforderungen 
 
Dez. I-VII Vertreter der Fachdezernate für die verantwortlichen Stellen (Fachämter/ 
Dienststellen) in ihrem Geschäftsbereich 
 
Dienststellen Vertreter der Dienststellen/ Fachämter (Funktionseinheiten) als verant-
wortliche Stelle für die Umsetzung des Datenschutzes (hier insb. Daten-
schutzfolgeabschätzungen – Inbetriebnahme von IT-Fachverfahren und 
Videoüberwachung sowie Verarbeitungstätigkeiten – ehem. Datenverar-
beitung im Auftrag). 
 
12 
 
Verantwortliche für die IT-technische Umsetzung (Dienstleister) 
 
 
12/1 Verantwortlich für die IT-Sicherheit 
 
 
dez. DSB 
 
Operative Umsetzungsebene für den Datenschutz in den Dienststellen/ 
Fachämtern 
 
11/ 112 
 
Laufende organisatorische Begleitung 
 
GPR 
 
Frühzeitige Beteiligung der Personalvertretung zu den strukturellen Ver-
änderungen aus dem Umsetzungsprozess; Dienstvereinbarungen aktua-
lisieren

Sachstandsbericht Datenschutz bei der Stadt Köln 
/ 34 
Anlage 8 
 
 
Umsetzung der DSGVO – Ablauf- und Zeitplanung 
 
 
 
 
 
Dauer der interdisziplinären Projektgruppe (gesamt) 
ab 1. Quartal 
bis 
05/2018 
Entwíckl. eines  
Verfahrensmodells 
(mit Pilotämtern) 
ab 1. Quartal 
2017 bis 
06/2017 
ab 06/2017 Um-
setzung Verfah-
rensmodell auf alle 
Ämter 
Umsetzung Verfahrensmodell  
(Roll-Out gesamt für alle Dienststellen) 
ab 1. Quartal 
2018  
bis 4. Quartal 
2018 
Bestandsaufnahme/  
Evaluation 
06/2017 
 01/2018 
 05/2018

Mitteilung Ausschuss

1559 Zeichen

Die Oberbürgermeisterin 
Dezernat, Dienststelle 
OB/OB/7 
 
Vorlagen-Nummer 22.02.2017 
 0565/2017 
Mitteilung 
öffentlicher Teil 
Gremium Datum 
Unterausschuss Digitale Kommunikation und Organisation 13.03.2017 
Ausschuss Allgemeine Verwaltung und Rechtsfragen/ Vergabe/  
Internationales 
27.03.2017 
 
Sachstandsbericht Datenschutz bei der Stadt Köln 
 
 
 
Für die Stadt Köln wird erstmals seit Einrichtung der Funktion eines Beauftragten für den Datenschutz 
- mit alleiniger Aufgabenstellung in dieser Funktion im Jahre 2002 - ein konzentrierter und systemati-
scher Sachstandsbericht vorgelegt, der umfassend und übersichtlich den bestehenden (Ist-) Zustand 
sowie die aktuellen Entwicklungstendenzen im Bereich des Datenschutzes bei der Stadt Köln be-
schreibt (s. Anlage). 
 
Der Stadtvorstand hat in seiner Sitzung am 21.02.17 den Sachstandsbericht zur Kenntnis genommen 
und bittet den Beauftragten für den Datenschutz, mindestens alle 3 Jahre weitere Berichte vorzule-
gen. 
 
Bereits in der Sitzung am 07.02.17 hat der Stadtvorstand beschlossen, zur Umsetzung der EU-
Datenschutzgrundverordnung (DSGVO) eine interdisziplinäre Projektgruppe in der Stadtverwaltung 
einzurichten und die Regelungen der DSGVO in zwei Phasen einzuführen. 
 
Der Sachstandsbericht Datenschutz bei der Stadt Köln wird dem Unterausschuss digitale Kommuni-
kation und Organisation zur Kenntnis gegeben. 
 
Es ist vorgesehen, eine Übersicht zu den Inhalten im Rahmen eines Folienvortrages zur Sitzung 
durch den Beauftragten für den Datenschutz zu geben. 
 
 
 
gez. Reker

Beratungsverlauf (2)

13.03.2017 Unterausschuss Digitale Kommunikation und Organisation
TOP 3.1 Kenntnisnahme (Mitteilung) Entscheidung

Beschluss: Kenntnis genommen

Zur Sitzung
27.03.2017 Ausschuss Allgemeine Verwaltung und Rechtsfragen / Vergabe / Internationales
TOP 4.7 Kenntnisnahme (Mitteilung) Entscheidung

Beschluss: Kenntnis genommen

Zur Sitzung

Details

Aktenzeichen
0565/2017
Typ
Mitteilung Ausschuss
Datum
14.03.2017
Erstellt
03.08.2017 00:27