Kenntnisnahme - FB 11/0290/WP17
Grunddaten
- Betreff:
-
Tagesordnungsantrag Einführung der Datenschutz-Grundverordnung (DSGVO)
- Status:
- öffentlich (Vorlage abgeschlossen)
- Vorlageart:
- Kenntnisnahme
- Federführend:
- FB 11 - Fachbereich Personal, Organisation
- Beteiligt:
- Dezernat I
- Verfasst von:
- Herr Stärk
Beratungsfolge
| Status | Datum | Gremium | Beschluss | NA |
|---|---|---|---|---|
|
●
Erledigt
|
|
Personal- und Verwaltungsausschuss
|
Kenntnisnahme
|
|
|
|
17.05.2018
|
Beschlussvorschlag
Beschlussvorschlag:
Der Personal- und Verwaltungsausschuss nimmt die Ausführungen des Datenschutzbeauftragten der Stadt Aachen zur Kenntnis.
Erläuterungen
Erläuterungen:
Am 25.05.2018 wird die EU-Datenschutzgrundverordnung (DS-GVO) geltendes einheitliches Recht in der Europäischen Union und überlagert damit nationales Datenschutzrecht. Lediglich im Rahmen von vorhandenen Öffnungsklauseln sind die einzelnen Staaten befähigt, nationale Besonderheiten als eigenständiges Datenschutzrecht festzulegen. Dies ist bereits durch das Bundesdatenschutzgesetz (BDSG neu) geschehen und in Spezialgesetzen umgesetzt worden (z.B. Sozialgesetzbuch, Abgabenordnung, etc.) Das Landesdatenschutzgesetz (DSG NRW neu) befindet sich derzeit noch in einer Entwurfsfassung in der parlamentarischen Beratung.
Die datenschutzrechtlichen Regelungen der DS-GVO orientieren sich sehr stark am bisherigen deutschen Datenschutzstandard.
Es gibt aber dennoch einige markante Veränderungen in der Rechtsmaterie, die auch in Deutschland zu faktischen und prozessualen Anpassungen führen müssen. Dies sind, ohne eine Bewertung der Aufgabenzuweisung zur Gewährleistung des Datenschutzes vornehmen zu wollen, die nachfolgenden Bereiche:
- Informationspflicht an betroffene Personen bei der Erhebung von personenbezogenen Daten,
- Auskunftsverpflichtung über die Verarbeitung personenbezogener Daten,
- umfangreiche Rechte betroffener Personen,
- die umfassende Verpflichtung des Verantwortlichen zu dokumentieren und Rechenschaft ablegen zu können.
Durch die DS-GVO erfolgt eine Veränderung in der Aufgabenzuweisung.
Der Oberbürgermeister ist der Verantwortliche nach dem Datenschutz. Ihm obliegt die Einhaltung des Datenschutzes in der gesamten Verwaltung und die Beachtung der Pflichten nach der DS-GVO.
Der Datenschutzbeauftragte ist zur Unterstützung und Beratung verpflichtet, er ist die Anlaufstelle für die Aufsichtsbehörde und muss die Einhaltung aller Datenschutzvorschriften und die Strategien zum Schutz personenbezogener Daten überwachen.
Dem Verantwortlichen fallen im Besonderen folgende Aufgaben zu:
- Er ist zur Einhaltung der Grundsätze der Verarbeitung personenbezogener Daten nach Art. 5 DS-GVO verpflichtet und muss deren Einhaltung nachweisen können (Rechenschaftspflicht).
- Er muss eine transparente Information und Kommunikation mit den Betroffenen gewährleisten.
- Er ist zum Nachweis verpflichtet, dass die notwendigen und geeigneten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten umgesetzt werden.
- Er muss Festlegungen treffen, dass Verarbeitungsprozesse datenschutzfreundlich gestaltet und entsprechende Voreinstellungen berücksichtigt werden.
- Er muss ein Verfahren zu Anwendung bringen, um die Sicherheit der Verarbeitung personenbezogener Daten überprüfen, bewerten und die Wirksamkeit der Maßnahmen evaluieren zu können (Sicherheitskonzept).
- Er hat ein Verzeichnis der Verarbeitungstätigkeiten zu führen.
- Er hat Meldepflichten bei Datenschutzvorfällen gegenüber der Aufsichtsbehörde und betroffenen Personen.
- Er trägt umfassende Verantwortung bei der Auftragsverarbeitung.
- Er muss Datenschutz-Folgeabschätzungen vornehmen bei Datenverarbeitungen mit hohem Risiko für Betroffene.
- Er hat bei der Erhebung von Daten eine umfassende Informationsverpflichtung gegenüber den Betroffenen
Darüber hinaus haben die betroffenen Personen nach der DS-GVO jetzt umfassende Rechte, die bei Nichtbeachtung allesamt sanktioniert werden können.
- Auskunftsrecht auf Verlangen; umfassend und innerhalb eines Monates zu gewährleisten.
- Das Recht auf Berichtigung von Daten und Einschränkung der Verarbeitung.
- Das Recht darauf, dass nicht mehr benötigte Daten auch gelöscht werden („Recht auf Vergessenwerden“).
- Das Recht auf Beschwerde, Rechtsbehelf und Schadenersatz.
Die Umsetzung der Verpflichtungen aus der DS-GVO wird der Oberbürgermeister auf die Leitungen der Fachbereiche und Eigenbetriebe delegieren. Diese werden mit der Erfüllung dieser Aufgaben Datenschutzkoordinatoren beauftragen.
Bisher wurden der Verwaltungsvorstand, die Leitungskonferenz, die Leitungsebene des Fachbereiches Personal und Organisation, der Fachbereich Rechnungsprüfung und diverse andere Führungsebenen von Fachbereichen und Eigenbetrieben der Stadt Aachen über die Neuerungen und Anforderungen nach der DS-GVO persönlich durch den DSB informiert.
Zur Umsetzung der Anforderungen nach der DS-GVO sind folgende Aufgabenstellungen zu erfüllen.
- Information aller Bediensteten über die neuen aber auch bereits bestehenden Anforderungen an den Datenschutz nach der DS-GVO.
Dies wird durch Veröffentlichungen im Mitarbeiterportal erfolgen.
- Schulung der Datenschutzkoordinatoren in Bezug auf die datenschutzrechtlichen Neuerungen nach der DS-GVO und der sich darauf ergebenden Aufgabenstellungen.
Durchführung durch den Datenschutzbeauftragten.
- Anpassung aller Datenschutzerklärungen auf Websites der Stadt Aachen, sofern über diese personenbezogene Daten erhoben werden.
- Überarbeitung von Dienstanweisungen und Dienstvereinbarungen
- Analyse von Arbeitsvorgängen bei der Stadtverwaltung Aachen und den Eigenbetrieben, bei denen Daten von betroffenen Personen erhoben werden. Hier muss die Informationspflicht nach Art. 13 DS-GVO gewährleistet werden.
- Überführung der Beschreibungen bestehender Verfahren zur automatisierten Verarbeitung personenbezogener Daten bei der Stadt Aachen in das neue Verzeichnis der Verarbeitungstätigkeiten.
- Analyse von Arbeitsvorgängen bei der Stadtverwaltung Aachen und den Eigenbetrieben, bei denen Daten von betroffenen Personen erhoben werden, daraufhin, ob dies Verarbeitungstätigkeiten im Sinne der DS-GVO sind. Diese müssen dann ebenfalls in das Verzeichnis der Verarbeitungstätigkeiten eingetragen werden.
- Festlegung von Workflows zur Realisierung der Meldepflichten bei Datenpannen unter Beachtung von Regeln zur Risikoeinschätzung. Alle Vorfälle müssen dokumentiert und nachweisbar sein.
- Überarbeitung sämtlicher Vereinbarungen zur Auftragsverarbeitung durch Dritte.
Die Vereinbarung mit der regio iT liegt bereits zur Unterschrift vor.
- Einführung eines Datenschutzmanagementsystems mit it-technischer Unterstützung.
- Entwicklung von Überwachungs- und Kontrollszenarien.
Anlagen
| Nr. | Name | Original | Status | Größe | |
|---|---|---|---|---|---|
|
1
|
(wie Dokument)
|
179,8 kB
|
