28.11.2023 Risikomanagement: Alles schaut auf den Datenschutzbeauftragten

Immer mehr personenbezogene Daten werden in den Kommunen digital verarbeitet. Umso wichtiger ist es, adäquate technische und organisatorische Maßnahmen zu ihrem Schutz zu treffen. Hierfür hat die Stadt Köln ein Risikomanagement entwickelt. „Etwa 90 Prozent unserer Fachabteilungen arbeiten mit personenbezogenen Daten“, sagt Frank Fricke. Natürlich gehört Cyberkriminalität zu Risiken, die er als Beauftragter für den Datenschutz gemeinsam mit dem IT-Sicherheitsverantwortlichen mit im Auge haben muss. Risikomanagement beginnt aber auch schon bei fehlgeleiteten E-Mails, über die personenbezogene Daten an die falschen Empfänger gehen. Und betrifft auch Themen wie die Nutzung von Microsoft 365.

Darf die Verwaltung Microsoft-Produkte noch nutzen?

Der Einsatz von US-amerikanischen Dienstleistern bereite große Schwierigkeiten, sagt der Kölner Datenschutzbeauftragte. Seien es Videokonferenztools wie Teams oder Zoom, oder schlicht Microsoft-Systeme wie Excel, die über kurz oder lang auf den Service Microsoft 365 umgestellt werden. Im Jahr 2020 hatte der Europäische Gerichtshof in seinem Urteil Schrems II festgestellt, dass in den USA kein zur EU vergleichbares Datenschutzniveau herrsche. Seitdem ist es umstritten, inwieweit und wenn, unter welchen Bedingungen, Microsoft-Produkte noch in der Verwaltung genutzt werden können.

„Es könnte also sein, dass den Fachdienststellen irgendwann der Stecker gezogen wird“, sagt Frank Fricke. „Alles schaut dabei am Ende im Zweifel auf den Datenschutzbeauftragten.“ Eine Untersagung der Nutzung kann der Datenschutzbeauftragte nicht aussprechen, sondern auf dem Wege der Beratung zunächst nur auf die bestehenden rechtlichen Risiken hinweisen. „Das Datenschutzrecht gibt für mich die Leitplanken meines Handelns vor. Innerhalb dieser Leitplanken ist sehr viel möglich, da bekommen wir bei der Stadt Köln in der Regel auch gute, pragmatische Lösungen hin. Manches liegt allerdings klar außerhalb dieser Leitplanken.“

Köln gibt Fachdiensten Vorgaben an die Hand

Um mögliche Risiken einzuschätzen, hat die Stadt Köln einen Zulässigkeitsprozess für IT-Fachanwendungen entwickelt, der den Vorgaben an eine Datenschutzfolgenabschätzung entspricht. Die entsprechenden Dokumente sind im Intranet hinterlegt und können von den Fachdienststellen abgerufen werden. Immer dann, wenn neue Prozesse hinzukommen oder alte Prozesse sich ändern, können die entsprechenden Dokumente genutzt werden.

Technische Maßnahmen beruhen auf Schutzstufen

Wenn also beispielsweise das Jugendamt einen neuen Prozess für die Durchführung von Fortbildungsveranstaltungen aufsetzen würde, müsste es ebenfalls diese Dokumente nutzen. Abgefragt werden die Rahmenaspekte der Verarbeitung, welche Systeme eingesetzt werden, welche Arten von personenbezogenen Daten verarbeitet werden, ob dazu auch besonders geschützte Daten nach Artikel 9 DSGVO wie etwa Gesundheitsdaten zählen. Die niedrigste Schutzstufe A betrifft Daten, die betroffene Personen frei zugänglich gemacht haben. Bei der höchsten Schutzstufe E geht es um personenbezogene Daten, deren unsachgemäße Handhabung Gesundheit, Leben oder Freiheit der betroffenen Person beeinträchtigen können. Nach den jeweiligen Schutzstufen richten sich die notwendigen technischen organisatorischen Maßnahmen.

Risikobetrachtung in der Praxis

Um den Umgang mit personenbezogenen Daten zu konkretisieren, hat die Datenschutzkonferenz, ein Gremium der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, das Standarddatenschutz-Modell entwickelt. Aus Sicht von Frank Fricke listet das Standarddatenschutz-Modell die Gewährleistungs- und Schutzziele richtig auf, führe aber zu einem sehr formalistischen Prüf- und Dokumentationsprozess. „Mir fehlt tatsächlich die Phantasie, wie ich die Kollegen in den Fachdienststellen dazu bringen sollte, das auszufüllen“, sagt Fricke. Die Stadt Köln lehnt sich in ihrer Betrachtung an das Standarddatenschutz-Modell an, betrachtet jedoch Risiken immer im Lichte der aktuellen Fragestellung. Hypothetische allgemeine Risiken habe man „vor die Klammer gezogen“ und die allgemeinen Sicherheitsanforderungen über ein funktionierendes IT-Sicherheitskonzept mit Firewall-Ebenen, gestuften Sicherheitskonzepten und Dienstanweisungen für die städtischen Beschäftigten sichergestellt.

Ist absolute Sicherheit möglich?

„Wir konzentrieren uns bei der Risikobetrachtung auf die ganz konkrete Datenverarbeitung“, sagt der Datenschutzbeauftragte. Es gehe dann nur noch darum, konkret den Finger auf die wichtigen Punkte bei der Betrachtung der Fachanwendungen zu legen. Die technischen und organisatorischen Maßnahmen werden ganz konkret auf diese Anwendung abgestimmt. Wichtig sei, dass die Einordnung sowohl auf der einen Seite rechtssicher, auf der anderen Seite aber auch möglichst pragmatisch und für Nicht-Spezialisten im Datenschutz einfach und selbstständig zu bewältigen sein müsse. Tatsächlich bestehe immer ein Spannungsfeld zwischen Datenschutz gegenüber der Aufrechterhaltung des Dienstbetriebes. Und klar sei auch: „Einen 100-prozentigen Schutz gibt es nicht.“

Henning Zander

Update des Beitrags am 28.11.2023