Standardvertragsklauseln

Standardvertragsklauseln sind vordefinierte Vertragsbestimmungen, die von der Europäischen Kommission erstellt wurden. Sie dienen dazu, den Datenschutz bei der Übermittlung personenbezogener Daten in Länder außerhalb der EU zu gewährleisten. Die Klauseln legen Datenschutzprinzipien fest und bieten rechtliche Garantien für den Schutz der Daten. Unternehmen oder Organisationen können sie verwenden, um sicherzustellen, dass angemessene Schutzmaßnahmen getroffen werden, wenn Daten international übertragen werden.

Datenschutzfolgenabschätzung

Eine Datenschutzfolgenabschätzung (DSFA) ist ein entscheidendes Instrument für Ihre Verwaltung, um Risiken bei der Datenverarbeitung frühzeitig zu erkennen. Sie muss durchgeführt werden, bevor Sie ein neues Projekt oder eine neue Technologie einführen, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen mit sich bringt.

Typische Beispiele hierfür sind die Einführung einer neuen Bürgerverwaltungs-Software oder eines Videoüberwachungssystems. Zunehmend werden DSFA auch für die Nutzung von künstlicher Intelligenz in öffentlichen Verwaltungen benötigt, beispielsweise bei der Verwendung von LLM-Anwendungen (Large Language Model) für die Audiotranskription von Ratssitzungen.

Die DSFA hilft dabei, potenzielle Datenschutzrisiken systematisch zu bewerten und geeignete Schutzmaßnahmen zu definieren, bevor ein Verstoß überhaupt entstehen kann. So vermeiden Sie nicht nur rechtliche Konsequenzen, sondern zeigen auch, dass Ihre Verwaltung verantwortungsvoll mit den Daten der Bürger umgeht.

Technische und organisatorische Maßnahmen (TOM)

Technische und organisatorische Maßnahmen (TOMs) sind die konkreten Sicherheitsvorkehrungen, die Ihre Verwaltung ergreifen muss, um personenbezogene Daten zu schützen. Sie sind das Herzstück der Datensicherheit und ein zentraler Bestandteil Ihrer Rechenschaftspflicht.

Die TOMs werden in zwei Kategorien unterteilt:

  • Technische Maßnahmen: Dazu gehören alle digitalen und physischen Sicherheitsvorkehrungen, die den Datenfluss absichern. Beispiele sind Zugangskontrollen zu Computersystemen, die Pseudonymisierung von Daten, die Verschlüsselung von E-Mails oder die Nutzung von Firewalls und Virenschutz.
  • Organisatorische Maßnahmen: Dies sind alle internen Richtlinien und Prozesse, die den sicheren Umgang mit Daten gewährleisten. Beispiele sind die Festlegung klarer Datenschutzrichtlinien, die Schulung von Mitarbeitern im Umgang mit personenbezogenen Daten oder die Vergabe von strikten Berechtigungskonzepten, die den Zugriff auf Daten auf das Nötigste beschränken.

Das Ziel der TOMs ist es, die Integrität und Vertraulichkeit der Daten jederzeit zu garantieren und das Risiko eines Datenlecks zu minimieren.

 

Datenschutzbeauftragter

Ein Datenschutzbeauftragter (DSB) ist der zentrale Ansprechpartner und Experte für alle Fragen rund um den Datenschutz in Ihrer öffentlichen Verwaltung. Kommunen und öffentliche Stellen sind gesetzlich verpflichtet, einen DSB zu benennen, unabhängig von der Mitarbeiteranzahl.

Die Rolle des DSB ist gesetzlich klar geregelt: Er überwacht die Einhaltung der Datenschutz-Grundverordnung (DSGVO), berät die Verwaltungsleitung und die Mitarbeiter bei allen Fragen zur Datenverarbeitung und dient als direkter Kontaktpunkt für die Aufsichtsbehörden sowie für die Bürger.

Gerade für öffentliche Einrichtungen ist die Position des DSB mit einer hohen Verantwortung verbunden. Aufgrund der komplexen Materie und der ständigen Gesetzesänderungen entscheiden sich viele Verwaltungen dafür, einen externen Datenschutzbeauftragten zu bestellen. Dies gewährleistet nicht nur eine unabhängige und neutrale Beratung, sondern sichert auch das notwendige Fachwissen, ohne internes Personal zu binden.

Auftragsverarbeitungsvertrag

Ein Auftragsverarbeitungsvertrag (AV-Vertrag) ist ein rechtlicher Vertrag, der für Kommunen und Behörden unerlässlich ist, sobald personenbezogene Daten an einen externen Dienstleister übermittelt werden – beispielsweise an einen Software-Anbieter, eine Druckerei oder ein Rechenzentrum.

Der Vertrag regelt, dass der externe Dienstleister (der Auftragsverarbeiter) die Daten ausschließlich nach den Weisungen Ihrer Kommune (dem Verantwortlichen) verarbeitet. Er sichert also ab, dass die Hoheit über die Daten bei der Verwaltung bleibt. Ein korrekter AV-Vertrag ist entscheidend, um die rechtliche Pflicht der Rechenschaftspflicht zu erfüllen und Haftungsrisiken zu minimieren.

Datenschutzerklärung, Datenschutzhinweis, Informationspflichten

Sobald Ihre Verwaltung personenbezogene Daten von Bürgern erhebt, sind Sie gesetzlich verpflichtet, diese transparent und umfassend zu informieren. Diese Informationspflichten gemäß Art. 13 und 14 DSGVO müssen vor der eigentlichen Datenerhebung erfüllt werden.

Ihre Datenschutzerklärung auf der Webseite oder die Datenschutzhinweise in Antragsformularen und bei persönlichen Kontakten sind die zentralen Werkzeuge, um dieser Pflicht nachzukommen.

Öffentliche Verwaltungen müssen klar und verständlich erklären, welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert bleiben und welche Rechte die betroffenen Personen haben. Gerade für öffentliche Einrichtungen ist die Einhaltung dieser Pflicht entscheidend, da die Bürger ein besonderes Vertrauen in die Verwaltung haben. Eine fehlerhafte oder unvollständige Information kann dieses Vertrauen schnell untergraben.

Dieser Punkt ist besonders bedeutsam, weil öffentliche Verwaltungen in der Regel weit mehr Verarbeitungen haben als privatwirtschaftliche Unternehmen.