Mittel & Zwecke

Die Verantwortliche Stelle ist die Instanz, die über die Mittel und Zwecke der Verarbeitung entscheidet. Diese beiden Konzepte sind das Herzstück jeder datenschutzrechtlichen Bewertung.

  • Zwecke der Verarbeitung: Dies beantwortet die Frage nach dem „Warum“. Welches Ziel wird mit der Datenverarbeitung verfolgt? Ein klar definierter Zweck ist nach dem Grundsatz der Zweckbindung unerlässlich. Zum Beispiel könnte der Zweck die „Bearbeitung von Bauanträgen“ oder die „Ausstellung von Personalausweisen“ sein.
  • Mittel der Verarbeitung: Dies beantwortet die Frage nach dem „Wie“. Welche Werkzeuge und Verfahren werden eingesetzt, um den Zweck zu erreichen? Dies umfasst sowohl technische als auch organisatorische Aspekte. Zum Beispiel sind die „Nutzung einer bestimmten Verwaltungssoftware“ oder das „Verfahren zur Aktenführung“ die Mittel der Verarbeitung.

Die Verantwortliche Stelle muss beide Aspekte festlegen und sicherstellen, dass sie rechtmäßig sind. Sie hat die Pflicht zu belegen, dass die gewählten Mittel geeignet sind, den festgelegten Zweck zu erreichen, ohne die Rechte der Bürger unverhältnismäßig einzuschränken.

Verantwortliche / Verantwortliche Stelle

Die Verantwortliche Stelle (oder der Verantwortliche) ist die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Einfach ausgedrückt: Sie ist die Organisation, die festlegt, warum und wie Daten verarbeitet werden.

Für Ihre Kommune oder Behörde ist die Verantwortliche Stelle in der Regel die juristische Person selbst. Auf sie fällt die gesamte Rechenschaftspflicht nach der DSGVO. Das bedeutet, dass sie die Verantwortung dafür trägt, dass sämtliche Datenschutzvorschriften eingehalten werden.

Die Hauptaufgaben der Verantwortlichen Stelle umfassen:

Die Verantwortliche Stelle ist somit der Dreh- und Angelpunkt für den gesamten Datenschutz in Ihrer Verwaltung.

Bußgelder

Bußgelder sind eine der schärfsten Sanktionen, die Aufsichtsbehörden bei einem Verstoß gegen die DSGVO verhängen können. Sie dienen dazu, die Einhaltung der Datenschutzvorschriften durch öffentliche Stellen und Unternehmen sicherzustellen.

Die DSGVO sieht hohe Bußgelder vor, die je nach Schwere des Verstoßes gestaffelt sind:

  • Verstöße gegen Verfahrens- und Dokumentationspflichten: Es können Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.
  • Verstöße gegen Grundprinzipien: Bei schwerwiegenden Verstößen gegen die Grundsätze der Datenverarbeitung (z.B. bei der Nichteinhaltung der Zweckbindung) können Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes verhängt werden.

Für öffentliche Verwaltungen werden Sanktionen anders gehandhabt, jedoch bleibt das Risiko von Sanktionen sehr real. Die Vermeidung von Fehlverarbeitungen oder Fehlern durch eine konsequente Umsetzung der Datenschutzregeln ist daher eine der wichtigsten Aufgaben jeder Verwaltung.

Rechtsgrundlagen

Rechtsgrundlagen sind die gesetzlichen Begründungen, die es Ihrer Verwaltung erlauben, personenbezogene Daten rechtmäßig zu verarbeiten. Ohne eine solche Grundlage ist jede Verarbeitung streng verboten. Die DSGVO listet mehrere Rechtsgrundlagen auf, die für öffentliche Stellen von zentraler Bedeutung sind.

Die wichtigsten sind:

  • Erfüllung einer öffentlichen Aufgabe: Dies ist die häufigste Grundlage für die Datenverarbeitung in der Verwaltung. Sie ermöglicht es, Daten zu verarbeiten, um beispielsweise Meldedienste, die Steuererhebung oder das Sozialamt zu betreiben (Art. 6 Abs. 1 lit. e DSGVO).
  • Rechtliche Verpflichtung: Ihre Verwaltung darf Daten verarbeiten, wenn sie gesetzlich dazu verpflichtet ist, zum Beispiel bei der Aufbewahrung von Dokumenten nach der Abgabenordnung (Art. 6 Abs. 1 lit. c DSGVO).
  • Einwilligung: Die freie, informierte und jederzeit widerrufbare Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO). In der öffentlichen Verwaltung wird diese Grundlage nur in Ausnahmefällen herangezogen, etwa bei der Veröffentlichung von Fotos von Veranstaltungen.
  • Vertragserfüllung: Die Datenverarbeitung ist notwendig, um einen Vertrag zu erfüllen, an dem die betroffene Person beteiligt ist (Art. 6 Abs. 1 lit. b DSGVO). Dieser Fall kommt in der Verwaltung seltener vor.

Das Wissen um die korrekte Rechtsgrundlage ist essenziell für Ihre Rechenschaftspflicht und die Vermeidung von Bußgeldern.

Datenleck / Datenpanne

Ein Datenleck oder eine Datenpanne liegt vor, wenn es zu einer unrechtmäßigen oder unbeabsichtigten Offenlegung, Zerstörung, Veränderung oder dem Verlust von personenbezogenen Daten kommt. Dies kann durch einen Hackerangriff, einen Verlust von Datenträgern oder auch durch menschliches Versagen, wie dem Versand einer E-Mail an den falschen Empfänger, geschehen.

Für Ihre Verwaltung ist die rechtzeitige Erkennung und korrekte Handhabung einer solchen Panne von höchster Bedeutung. Die DSGVO schreibt hierfür klare Fristen vor:

  • Die betroffene Aufsichtsbehörde muss innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls benachrichtigt werden.
  • Besteht ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, müssen auch die Bürger selbst „unverzüglich“ informiert werden.

Die Einhaltung dieser Pflichten ist entscheidend, um rechtliche Konsequenzen zu vermeiden und das Vertrauen in Ihre Verwaltung zu erhalten. Daher ist es unerlässlich, klare interne Prozesse für den Ernstfall zu haben.

Pseudonymisierung

Pseudonymisierung ist ein Prozess, bei dem personenbezogene Daten so verarbeitet werden, dass sie ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten Person zugeordnet werden können. Wichtig dabei: Im Gegensatz zur Anonymisierung sind die Daten immer noch personenbezogen. Die Identität der Person kann mit den zusätzlichen Informationen wiederhergestellt werden.

Ein einfaches Beispiel: Statt des Namens „Max Mustermann“ wird in einer Datenbank die Kennung „User-123“ verwendet. Der Name selbst wird separat und sicher gespeichert. Wenn ein Dritter nur die Kennung „User-123“ sieht, kann er die Person nicht identifizieren. Hat er jedoch auch Zugriff auf die Liste, die „User-123“ dem Namen „Max Mustermann“ zuordnet, kann er die Identität wiederherstellen.

Für Ihre Verwaltung ist die Pseudonymisierung ein wichtiges Werkzeug, um die Datensicherheit zu erhöhen und das Risiko von Datenlecks zu minimieren. Die Daten können so für interne Analysen genutzt werden, während der Schutz der Identität der Bürger erhöht wird.

Anonymisierung

Anonymisierung ist der Prozess, bei dem personenbezogene Daten so verändert werden, dass die betroffene Person nicht mehr identifiziert werden kann – auch nicht durch die Kombination mit anderen Informationen. Im Gegensatz zur Pseudonymisierung, bei der eine Identifizierung mit Zusatzwissen weiterhin möglich ist, ist die Anonymisierung ein endgültiger Schritt.

Einmal anonymisierte Daten gelten nicht mehr als personenbezogene Daten. Sie unterliegen somit nicht mehr den strengen Regelungen der DSGVO. Das macht die Anonymisierung zu einem wichtigen Werkzeug für Ihre Verwaltung.

Beispielsweise können Sie anonymisierte Daten für interne Auswertungen oder für die Veröffentlichung von Statistiken nutzen, ohne die Rechenschaftspflichten der DSGVO weiterhin erfüllen zu müssen. Die Anonymisierung ermöglicht so die Nutzung von Daten für legitime Zwecke, während der Schutz der Bürger zu 100 % gewährleistet bleibt.

Aufbewahrungsfristen

Aufbewahrungsfristen legen fest, wie lange personenbezogene Daten gespeichert werden müssen oder dürfen. Sie sind eng mit den Grundsätzen der Speicherbegrenzung und der Datenminimierung verbunden.

Für öffentliche Verwaltungen gibt es eine Vielzahl von gesetzlichen Aufbewahrungsfristen, die beachtet werden müssen. Diese ergeben sich oft aus anderen Rechtsbereichen, wie dem Handelsgesetzbuch, der Abgabenordnung oder spezifischen Landesgesetzen. Beispiele sind die Aufbewahrung von Akten des Standesamtes, von Meldedaten oder von Buchungsbelegen. Nach Ablauf dieser Fristen müssen die Daten gelöscht oder anonymisiert werden.

Die Herausforderung besteht darin, die verschiedenen Fristen zu kennen und sie in der täglichen Arbeit korrekt umzusetzen. Ein gut strukturiertes Löschkonzept ist daher unerlässlich, um die gesetzlichen Anforderungen zu erfüllen und das Risiko von Verstößen zu minimieren.

Treu und Glauben

Das Prinzip der Verarbeitung nach Treu und Glauben ist ein zentraler Grundsatz des Datenschutzes. Es bedeutet, dass Ihre Verwaltung personenbezogene Daten so verarbeiten muss, wie es von einem Bürger vernünftigerweise erwartet werden kann. Die Verarbeitung darf also nicht heimlich oder in einer Weise erfolgen, die den Interessen des Betroffenen zuwiderläuft.

Dieser Grundsatz fordert nicht nur die Einhaltung der Gesetze, sondern auch ein ethisches und faires Vorgehen. Er verlangt, dass die Zwecke der Datenverarbeitung klar und offen kommuniziert werden.

Für Ihre Verwaltung bedeutet dies, transparent zu sein und sicherzustellen, dass Bürger jederzeit nachvollziehen können, was mit ihren Daten geschieht. Das schafft Vertrauen in die öffentliche Hand und ist die Grundlage für eine bürgerorientierte Verwaltung.

DSGVO

Die Datenschutz-Grundverordnung (DSGVO) ist die zentrale Rechtsgrundlage für den Datenschutz in der gesamten Europäischen Union. Seit ihrer Einführung am 25. Mai 2018 regelt sie die Verarbeitung personenbezogener Daten und stärkt die Rechte von Bürgern im digitalen Zeitalter. Für jedes Bundesland existieren noch weitere Landesdatenschutzgesetze.

Für Ihre Verwaltung ist die DSGVO mehr als nur ein Gesetz. Sie ist der verbindliche Rahmen für jede Tätigkeit, bei der Daten von Bürgern verarbeitet werden – sei es bei der Meldestelle, im Einwohnermeldeamt oder in der Kämmerei. Die DSGVO verpflichtet Ihre Verwaltung, die Daten der Bürger zu schützen und verantwortungsvoll mit ihnen umzugehen.

Die Grundprinzipien der DSGVO sind zentral für alle Datenverarbeitungen in Ihrer Verwaltung. Dazu gehören:

Ihre Einhaltung ist unerlässlich, um rechtliche Risiken zu vermeiden und das Vertrauen Ihrer Bürger zu sichern.