Serie Datenschutz: Was fehlt seit 1993 in Schliersee?

So sollte eine Verfahrensbeschreibung eigentlich aussehen und sie alle sind jeder Person jederzeit kostenfrei zugänglich zu machen – eigentlich, wenn die Verwaltung ordentlich arbeitet und die Hausaufgaben richtig erledigt hat.  „Art. 27 des Bayerischen Datenschutzgesetzes (BayDSG) bestimmt, dass die behördlichen Datenschutzbeauftragten ein Verzeichnis der bei der öffentlichen Stelle eingesetzten und datenschutzrechtlich freigegebenen automatisierten Verfahren, mit denen personenbezogene Daten verarbeitet werden, zu führen haben (Verfahrensverzeichnis). Dieses Formular dient sowohl der gemäß Art. 26 Abs. 3 Satz 1 BayDSG erforderlichen Verfahrensbeschreibung als auch der Erstellung des Verfahrensverzeichnisses. Es fußt auf einem entsprechenden Formular des Bayerischen Staatsministerium des Innern, wurde aber um einige über die gesetzlichen Anforderungen hinausgehenden Punkte erweitert.“

Wie bereits berichtet, diese Verfahrensbeschreibungen für die zweistellige Zahl der  IT-unterstützten Fachverfahren (Einwohnermeldeamt, Standesamt, Bauamt, etc.) im Markt Schliersee existieren derzeit nicht, obwohl es eine gesetzliche Erfordernis seit 1993, dem Inkrafttreten des Bayerischen Datenschutzgesetzes, gibt.

Eigentlich ist es nicht sehr aufwändig, da große Teile vom derzeitigen Softwareanbieter AKDB, bei der die meisten Anwendungen der Gemeinde Schliersee auf dem Rechenzentrum in Bayreuth laufen, in einer Standardbestätigung durch den Vorstand der AKDB beglaubigt auf deren Seite zum Herunterladen zur Verfügung stehen.

Was steht da nun drin und warum ist es für den Bürger wichtig? Schlußendlich geht es um den Datenschutz der persönlichen Informationen eines jeden Bürgers. Durch die Sensibilität von Personendaten hat der Gesetzgeber daher schon vor nun 24 Jahren gesetzliche Mindestanforderungen erlassen.

Eine erstmalige Beschreibung eines automatisierten Verfahrens enthält eine Bezeichnung des Verfahrens und allgemeine Angaben; den Zweck und Rechtsgrundlagen der Erhebung, Verarbeitung oder Nutzung; die Art der gespeicherten Daten; den Kreis der Betroffenen; die Art der regelmäßig zu übermittelnden Daten und deren Empfänger; die Regelfristen für die Löschung der Daten oder für die Prüfung der Löschung (anzugeben ist stets auch der Beginn von Löschungs- bzw. Prüfungsfristen); die verarbeitungs- und nutzungsberechtigte Personengruppen (Sachbearbeiter …….. im Sachgebiet ……………); bei einer Auftragsdatenverarbeitung: Auftragnehmer (z.B. AKDB; bei Verfahrensänderung: Unterschied zum bisherigen Verfahren), Zeitraum, Datenart oder Datenkategorie; den Empfänger vorgesehener Datenübermittlungen in Drittländer. Bis hierher darf es jeder sehen.

Aber auch das muß einmal vor dem ersten Einsatz einer Software geklärt, beschrieben und von dem Datenschutzbeauftragten freigegeben sein: Großrechner, Netzwerkserver, Stand-Alone-Rechner, mobiler Rechner, lokales Netzwerk, Intranet, externes Netzwerk (z. B. Internet).

Weiterhin ist die allgemeine Beschreibung der Art der für das Verfahren eingesetzten Datenverarbeitungsanlagen und der genutzten Software, Rechner, auf denen das Verfahren eingesetzt wird, Netzanbindung, eingesetzte(s) Betriebssystem(e); Beschreibung der für die Erstellung bzw. dem Betrieb des Verfahrens genutzten Software (z. B. Angaben zu dem genutzten Datenbanksystem, Eigen- oder Fremdentwicklung, Programmiersprache) erforderlich.

Zudem ist vom Gesetzgeber zwingend vorgeschrieben: eine allgemeine Beschreibung der nach Art. 7 und 8 BayDSG zur Gewährleistung der Sicherheit der Verarbeitung ergriffenen Maßnahmen, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen angemessen sind: Zugangskontrolle; Datenträgerkontrolle; Speicherkontrolle; Benutzerkontrolle; Zugriffskontrolle; Übermittlungskontrolle; Eingabekontrolle; Auftragskontrolle; Transportkontrolle; Organisationskontrolle.

Beunruhigend in Schliersee ist die Nonchalance über die Nichtbeachtung der gesetzlichen Erfordernisse, die nach Jahren immer noch nicht bekannt sind oder nicht umgesetzt wurden. Wären die Tatsachen bekannt und nicht umgesetzt, dann wäre dies Vorsatz, was man keiner Verwaltung oder deren Leitung unterstellen will. Wären die Tatsachen unbekannt, dann wäre dies eine sträfliche Schlamperei über Jahrzehnte.

Egal wie man die Situation im Markt derzeit betrachtet: Warum sollte es bei dem viel drakonischeren neuen Bayerischen Datenschutzgesetz ab dem 25. Mai 2018 auf einmal besser um die Qualität des Datenschutzes von personenbezogenen Daten bestellt sein?