Datenschutz-Umfrage: 38 % der Gemeinden in BW haben mit der Umsetzung der DSGVO erst begonnen

© svetazi – stock.adobe.com

Egal ob in Bayern, Nordrhein-Westfalen, Sachsen oder Mecklenburg-Vorpommern: Bundesweit kämpfen Gemeinden mit der praktischen Umsetzung der Datenschutz-Grundverordnung (DSGVO). Eine repräsentative Umfrage in Baden-Württemberg zeigt exemplarisch, wo die Probleme liegen. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) hat unter allen 1.101 Gemeinden in BW eine Umfrage zum Stand des Datenschutzes und der Umsetzung der Datenschutz-Grundverordnung (DSGVO) durchgeführt. Das Ergebnis zeigt, dass gerade kleine Gemeinden teils erhebliche Probleme bei der Umsetzung haben und was die größten Herausforderungen sind.

Umsetzung der DSGVO: Das ist der aktuelle Stand in den Gemeinden  

Insgesamt 50 Fragen enthielt die Umfrage des LfDI BW, die die Gemeinden online beantworten konnten. Immerhin 88 % der Gemeinden haben sich beteiligt. Als nicht zufriedenstellend empfand der Landesdatenschutzbeauftragte die Beantwortung der ersten Frage nach dem Umsetzungsstand der DSGVO in den einzelnen Gemeinden. Besonders inakzeptabel ist, dass 18 Monate nach Wirksamwerden der DSGVO 38 % der baden-württembergischen Gemeinden gerade erst mit der Umsetzung des neuen Datenschutzrechts begonnen haben. 

Im Detail sehen die Ergebnisse auf diese Frage folgendermaßen aus (gerundet):

  • 38,7 % der Gemeinden haben gerade erst begonnen.
  • 31,8 % haben über die Hälfte der relevanten Prozesse angestoßen.
  • 24,8 % haben alle relevanten Prozesse angestoßen, die Umsetzung aber noch nicht abgeschlossen.
  • In 2,4 % der Gemeinden ist die Umsetzung der DSGVO abgeschlossen.
  • 1,4 % haben mit der Umsetzung der DSGVO noch gar nicht angefangen. 
  • 0,9 % machten dazu keine Angaben. 

Aus der Umfrage geht außerdem hervor, dass es von der Größe der Gemeinde abhängt, wie weit der Umsetzungsstand ist. Je größer die Gemeinde, desto mehr wurde getan. Häufig werden Überforderung der Mitarbeiter, fehlende zeitliche Ressourcen, aber auch die Unzufriedenheit über die Beratung durch den externen behördlichen Datenschutzbeauftragten (DSB) als Grund für den Rückstand genannt. 

„Es hat den Anschein, dass viele Kommunen ihre Pflichten nach der DS-GVO mit der Bestellung eines (überwiegend externen) DSB erledigt sehen“, heißt es in den Ergebnissen der Datenschutz-Umfrage

Die meisten Kommunen in BW greifen auf den kommunalen IT-Dienstleister ITEOS zurück. Das Problem liegt laut der Landesdatenschutzbehörde im undefinierten Betreuungsschlüssel. ITEOS betreut etwa 700 Gemeinden und kann seine Aufgaben gar nicht ordnungsgemäß wahrnehmen. „Ein hauptamtlicher externer Datenschutzbeauftragter sollte nicht mehr als 15 bis 20 Gemeinden betreuen“, heißt es seitens der Landesdatenschutzbehörde. 78 % der baden-württembergischen Gemeinden arbeiten mit einem externen DSB zusammen, interne DSB beschäftigen vorwiegend die größeren Städte. 

Diese DSGVO-Anforderungen bereiten den Gemeinden besonders Schwierigkeiten 

Insbesondere das Verarbeitungsverzeichnis stellt die Gemeinden der Datenschutz-Umfrage zufolge vor Herausforderungen. 229 Kommunen in BW haben noch gar nicht damit angefangen, was bedeutet, dass sie schlicht keinen Überblick darüber haben, welche Datenverarbeitungstätigkeiten in ihrem Bereich vorgenommen werden. Nur die Datenschutz-Folgenabschätzung (DSFA) toppt das Verarbeitungsverzeichnis noch: Sie nimmt auf der Liste der größten Schwierigkeiten den Platz 1 ein.

Mit diesen Prozessen haben die Gemeinden Probleme: 

  • 64,0 % Datenschutz-Folgenabschätzung (DSFA) 
  • 51,2 % Verarbeitungsverzeichnis
  • 14,6 % Auftragsverarbeitung
  • 12,5 % Informationspflichten
  • 11,7 % Rechtsgrundlagen
  • 10,1 % Betroffenenrechte
  • 7,7 % Meldung von Datenpannen
  • 7,8 % Wer ist verantwortliche Stelle

Gratis-Download  

Laden Sie sich jetzt das kostenlose Dokument „Muster Verarbeitungsverzeichnis gem. Art. 30 DSGVO“ herunter und sichern Sie sich eine Vorlage zur Erstellung eines Verarbeitungsverzeichnisses! Das Dokument enthält Angaben zur verantwortlichen Stelle sowie zum Verfahren an sich. 


Eine praxiserprobte Checkliste zur Datenschutz-Folgenabschätzung (DSFA) sowie zahlreiche weitere Vorlagen, Merkblätter und praktische Erläuterungen zur Umsetzung der DSGVO-Anforderungen in öffentlichen Einrichtungen enthält die „Formularmappe Datenschutz in öffentlichen und kirchlichen Einrichtungen“

Erleichtern Sie sich jetzt die rechtssichere Umsetzung des Datenschutzrechts mit den Vorlagen aus der

Formularmappe Datenschutz in öffentlichen und kirchlichen Einrichtungen

mehr erfahren

Zu viele Gemeinden verlassen sich auf die Einwilligung als Rechtsgrundlage  

Die Landesdatenschutzbehörde sieht es als problematisch an, dass mehr als 60 % der befragten Kommunen die datenschutzrechtliche Einwilligung als Rechtsgrundlage für die Datenverarbeitung heranziehen. Warum diese Entwicklung kritisch ist, zeigt der Erwägungsgrund 43 DSGVO: Ein wichtiger Grundsatz der Einwilligung ist, dass diese freiwillig erfolgt. Ob im Verhältnis Behörde – Bürger von Freiwilligkeit gesprochen werden kann, ist fraglich. Deshalb sieht Erwägungsgrund 43 DSGVO die Einwilligung auf dieser Grundlage nicht als „rechtsgültige Rechtsgrundlage“.  

Als Grund dafür, dass Einwilligungen zur Datenverarbeitung im behördlichen Bereich zunehmen, geben die Gemeinden an, dass es an anderen Rechtsgrundlagen fehle bzw. eine Unsicherheit bestehe, ob eine andere Rechtsgrundlage einschlägig wäre. Andere begründen dieses Vorgehen auch damit, dass Betroffene die Einwilligung als persönlicher empfinden würden und so mehr Verständnis erzeugt werden würde. 

Die Landesdatenschutzbehörde empfiehlt den Gemeinden in diesem Zusammenhang, „ihr Verständnis von § 4 LDSG [BW] als Rechtsgrundlage in Abgrenzung zu der Einwilligung zu berichtigen“. Dort heißt es: 

„Die Verarbeitung personenbezogener Daten ist unbeschadet sonstiger Bestimmungen zulässig, wenn sie zur Erfüllung der in der Zuständigkeit der öffentlichen Stelle liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die der öffentlichen Stelle übertragen wurde, erforderlich ist.“

Gemeinden sind technisch nicht ausreichend versiert 

Der Umfrage zufolge bemängeln viele Gemeinden, dass sie zu wenig (qualifiziertes) Personal haben, das die Digitalisierung vorschriftsgemäß tragen kann. Dies wird insbesondere im technischen Bereich sehr deutlich. So erhielt der LfDI BW auf die Frage nach der Datenträgerverschlüsselung mehrfach die Antwort: „Alle Datenträger befinden sich in mit Schlüsseln abschließbaren Räumen. Zudem wird der Eingang des Rathauses mit einem Zugangscode gesichert.“

Daran ist deutlich abzulesen, dass oft schlichtweg das Verständnis für technische Begrifflichkeiten fehlt. Vielleicht kommt es auch daher, dass rund die Hälfte der befragten Gemeinden ihre Laptops und Server sowie mobile Datenträger nicht mittels Kryptografie verschlüsselt haben. Kommen diese abhanden oder werden sie unsachgemäß entsorgt, sind die darauf gespeicherten personenbezogenen Daten nicht gesichert und können von Dritten eingesehen werden. Lediglich das RAID-System wird mehrfach genannt. Dieses ist jedoch nicht zur Verschlüsselung von Daten gedacht. Es handelt sich vielmehr um ein Verfahren, um die Ausfallwahrscheinlichkeit zu senken. 

Auch die E-Mail-Kommunikation zwischen Bürger und Behörde mit einer Ende-zu-Ende-Verschlüsselung ist bei Weitem kein Standard in den befragten Gemeinden. Nur wenige bieten diese Möglichkeit an. Am häufigsten wird dabei der Dienst De-Mail genutzt. Das Problem ist, dass gerade Behörden häufig mit sensiblen personenbezogenen Daten arbeiten und diese auch per E-Mail zugeschickt bekommen. Laut Art. 9 DSGVO sind solche sensiblen Daten per Ende-zu-Ende-Verschlüsselung vor dem Zugriff Unbefugter zu schützen.

„Die Kommunikation über ein gesichertes Behördennetz ist (ebenso wie die Transportverschlüsselung) keine Ende-zu-Ende-Verschlüsselung. Die Daten werden dabei nur während der Übertragung, nicht aber auf den beteiligten Servern verschlüsselt gespeichert“, schreibt der LfDI BW. Das von Art. 9 DSGVO geforderte Schutzniveau werde damit nicht erreicht. 

Laut Datenschutz-Umfrage wünschen sich die Gemeinden mehr Unterstützung

Es fehlt an Know-how, Personal und Unterstützung. Das ist eines der wichtigsten Ergebnisse dieser Datenschutz-Umfrage. Bei kleineren Gemeinden in BW sei der Unterstützungsbedarf sehr hoch. Gerade zur Erfüllung ihrer Informationspflichten nach Art. 13, 14 DSGVO wünschen sich die Gemeinden eine Handreichung seitens des Landes, um die „schiere Masse der anzupassenden Formulare“ bewältigen zu können.  

„Es ist unverständlich, warum zu Landes-/Bundeseinheitlichen Verfahren keine Muster vom Land zur Verfügung gestellt werden. Es kann nicht sein, dass sich jede Kommune zu einheitlichen Vorgängen Gedanken machen muss. Dieses Nichtstun frustriert die Basis!“ Das ist eine Aussage, die der LfDI BW in der Zusammenfassung der Umfrage direkt wiedergibt. 

Was würde Gemeinden bei der Umsetzung der DSGVO helfen? 

Aus der Datenschutz-Umfrage in BW geht deutlich hervor, in welcher Form sich die Gemeinden Unterstützung wünschen: 

  • mehr Formularvorlagen seitens des Landes 
  • bessere interkommunale Zusammenarbeit im Bereich Datenschutz 
  • speziell für kleinere Kommunen angepasste Schulungen zur Umsetzung der einzelnen Maßnahmen
  • individuelle Hilfestellung für kleinere Kommunen  

Allerdings bemängelt der LfDI BW in den Ausführungen seiner Datenschutz-Umfrage, dass die kleinen Kommunen, die sich am häufigsten über mangelnde Unterstützung beschweren, häufig gar nicht das Internetangebot des LfDI kennen – das trifft immerhin auf 20 % der befragten Gemeinden zu. Der Zeitmangel werde dafür als Grund angegeben.

Quellen: LfDI BW, DSGVO, LDSG Baden-Württemberg

Sie wollen mehr Fachwissen, Praxistipps und kostenlose Arbeitshilfen zum Bereich Datenschutz und IT erhalten? Dann melden Sie sich gleich zu unserem kostenlosen Fach-Newsletter an!

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.