Datenschutz: Das DSGVO-Projekt in München

Datenschutz ist ein europäisches Anliegen. Die Datenschutzgrundverordnung (DSGVO) ist der Versuch der EU, die Persönlichkeitsrechte bei der Verarbeitung personenbezogener Daten zu wahren. Die Verordnung trat im Mai 2016 in Kraft, nach einer Übergangsfrist ist sie seit 25. Mai 2018 ohne Einschränkung anzuwenden.

Die Münchner Stadtverwaltung verarbeitet gemäß ihres gesetzlichen Auftrages viele Daten über die hier lebenden Menschen und ihre Kundinnen und Kunden. Also musste die städtische IT handeln. Hier berichten wir über die Ergebnisse.

Projekt „DSGVO“ in der Stadtverwaltung

Die Anforderungen aus dem Gesetz zu analysieren und passende Lösungen zu erarbeiten, war Aufgabe eines stadtweiten Projekts, das 2017 startete. Alle Referate und die Eigenbetriebe waren eingebunden. Wenn das Projektteam vollständig zusammen kam, saßen schon mal 25 bis 30 Leute mit am Tisch. Die eigentliche Arbeit leisteten daher Arbeitsgruppen, die sich mit Themen wie „Betroffenenrechte“, „Auftragsverarbeitung“ oder „Meldung von Datenschutzpannen“ beschäftigten.

„Bei der Umsetzung der komplexen Änderungen dieser EU-Verordnung war ein Projekt genau der richtige Ansatz.“

Die Datenschutzbeauftragte der Stadt Brigitte Frey bringt es auf den Punkt: Wegen einer gesetzlichen Neuerung ein stadtweites, interdisziplinäres Projekt einzuberufen, war bis dahin eher ungewöhnlich. Normalerweise war das bisher Thema für die Rechtsabteilungen.

Für Projektleiter Tobias von der Heiden, sonst eher in reinen Technikprojekten unterwegs, war die Zusammenarbeit mit so vielen Juristinnen und Juristen eine spannende Erfahrung:

„Sie sind es gewohnt, sehr strukturiert zu arbeiten, was hilfreich ist für die Projektarbeit. Bei dem Bedürfnis, Projektdokumente juristisch wasserdicht zu formulieren, mussten wir allerdings Abstriche machen.“

In München wurde Datenschutz schon immer sehr ernst genommen.

Inhaltlich stellte das Projektteam schnell fest, dass viele Anforderungen der DSGVO bereits erfüllt waren. Das galt beispielsweise für das Prinzip der Datenminimierung. Nur für den jeweiligen Zweck wirklich notwendige Angaben werden auch tatsächlich erhoben und verarbeitet.

Die Schärfung des Datenschutzes durch die DSGVO forderte jedoch durchaus Konsequenzen, unter anderem personell. Statt einer juristischen Vollzeitkraft wacht nun ein vierköpfiges Team über den zentralen Datenschutz: zwei Juristinnen, ein IT-Experte und eine Büromanagerin. Dazu gibt es in jedem Referat und jedem Eigenbetrieb örtliche Datenschutzbeauftragte, die sich auch in den Spezialthemen ihres Fachgebietes genau auskennen.

Auskunftsrecht und Hilfe bei Datenpannen

Besonders spannend für die Münchnerinnen und Münchner sind zwei Angebote, die im Rahmen des Projekts online gestellt wurden.

  • So gibt es zum einen auf der Webseite Datenschutzgrundverordnung für die wichtigsten Services der Stadtverwaltung Informationsblätter. Diese geben Auskunft darüber, welche Daten gespeichert werden. Von A wie Anmeldung an der Sing- und Musikschule bis Z wie Zweitwohnungssteuer. Wo und wie lange werden Informationen über Waffenbesitz aufgehoben? Gelangen die Daten von Straßenmusikanten in ihre jeweiligen Heimatländer? Die Antworten auf diese und viele anderen Datenschutzfragen finden sich in den hier bereitgestellten Dokumenten.

    Kameras in Bildschirmen sind auf Silhouetten von Menschen gerichtet.

    DSGVO: Grenzen für die Speicherung personenbezogener Daten, Foto Pixabay

  • Was kann man tun, wenn man den Eindruck hat, dass der Schutz von Daten der Stadtverwaltung verletzt wird? Wenn man beispielsweise im Internet auf Daten stößt, die einen eigentlich nichts angehen? Oder wenn man vertrauliche Unterlagen auf einer Parkbank liegen sieht? In diesem Fall gibt es als zweites Angebot einen direkten Weg zur Meldung einer Datenpanne. Hier kann man über ein kurzes Formular Beobachtungen melden. Auf Wunsch auch anonym.

Wie sensibel sind die Daten, wie hoch die Risiken?

Einiges an Kopfzerbrechen verursachte die Forderung der DSGVO, für besonders kritische Daten Maßnahmen zur Risikominimierung zu treffen. Dass Daten beispielsweise über soziale Unterstützungsleistungen einer Kommune oder persönliche Gesundheitsdaten dazu gehören, liegt auf der Hand. Das Vorgehen, um die Daten dahingehend einzustufen, heißt „Schwellwertanalyse“. Das ist eine kompakte Analyse, die auf vorgegebenen Prüfschritten und Kriterien beruht.

Das Ergebnis wird in das „Verzeichnis von Verarbeitungstätigkeiten“ der Stadt aufgenommen. Ein vergleichbares „Verfahrensverzeichnis“ war bereits etabliert, doch der Umfang stieg durch die DSGVO-Anforderungen deutlich an. Statt wie bisher circa 400 waren bis März 2019 bereits 1500 Verfahren identifiziert. Auch Datenablagen in Papierform, aufbewahrt in Ordnern und Akten sind darunter. Daten, denen die Schwellwertanalyse ein erhöhtes Risiko attestiert hat, müssen einer Datenschutzfolgenabschätzung unterzogen und adäquat gesichert werden.

Datenschutz in allen IT-Projekten

Alle Ziele des Datenschutzes sind zudem in den IT-Vorhaben der Stadt fest verankert. Speziell geschulte Mitarbeiterinnen und Mitarbeiter in der Rolle „Data Privacy Manager“ sollen für eine frühzeitige und starke Einbindung von Datenschutzaspekten sorgen.

Abgeschlossen ist das Thema noch nicht und wird es nie sein. Der Datenschutz bleibt auf der Agenda. Die Münchnerinnen und Münchner können sich heute und morgen darauf verlassen, dass die Stadt München verantwortungsbewusst mit ihren Daten umgeht.

Mehr Infos zur DSGVO finden sich auf den Seiten der Europäischen Kommission, natürlich auf der Website der Datenschutzbeauftragten der Landeshauptstadt München oder im Originaltext der über Hundert Seiten umfassenden Verordnung.

Team E- und Open-Government der Landeshauptstadt München

1 Kommentar Schreibe einen Kommentar

  1. Sobald die IT in München wieder fest in der Hand von Microsoft ist, steht und fällt der Schutz der Taten mit dem Vertrauen in eine Firma aus USA, die bekanntlich gezwungen werden kann, mit den amerikanischen Behörden zu kooperieren.

Schreibe einen Kommentar