Beispiele von Verarbeitungstätigkeiten in einer Behörde nach DSGVO

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Mit Einführung der DSGVO müssen vornehmlich Unternehmen ihre existierenden Datenschutzkonzepte und -vorgänge auf die zahlreichen neuen Pflichten hin überprüfen. Doch die Grundsätze der DSGVO gelten nicht nur für Unternehmen, sondern genauso auch für Behörden, Gemeinden und andere öffentliche Stellen sowie der öffentliche Dienst allgemein.

Leider existieren noch immer wenig praxisnahe Informationen zur Umsetzung der DSGVO für öffentliche Stellen. Dieser Artikel soll Ihnen deshalb einen informativen Überblick darüber verschaffen, was innerhalb öffentlicher Stellen bei der Verarbeitung personenbezogener Daten und deren Dokumentation besonders beachtet werden muss.

Nicht-öffentliche und öffentliche Stellen im Rahmen der DSGVO

Das Ziel der DSGVO ist es, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen. Während das BDSG (neu) zwar auch das gleiche Ziel verfolgt, unterteilt es die Datenverarbeiter in öffentliche und in nicht-öffentliche Stellen.

Was sind öffentliche Stellen?

Als öffentliche Stellen gelten demnach in Artikel 2 BDSG (neu):

  • alle Behörden,
  • Organe der Rechtspflege
  • andere öffentlich-rechtlich organisierte Einrichtungen des Bundes oder Landes,
  • Körperschaften,
  • Anstalten und Stiftungen des öffentlichen Rechts,
  • Gemeinden oder Gemeindeverbände.

Unterschiede in der Umsetzung der DSGVO bei Gemeinden und anderen Behörden

Diese Unterscheidung nimmt die DSGVO nicht vor. Ihr Anwendungsbereich erstreckt sich auf beide Stellen gleichermaßen. Gibt es dann Unterschiede für die Umsetzung der DSGVO zwischen öffentlichen und nicht-öffentlichen Stellen?

Grundsätzlich müssen öffentliche Stellen gleichermaßen die Pflichten und Grundsätze der DSGVO etablieren:

Deren Befolgung ist nachzuweisen und zu dokumentieren, sowie ein geeignetes Datenschutz-Managementsystem zu etablieren welches z.B. über ein Datenschutzkonzept formalisiert werden kann.

Außerdem braucht die Verarbeitung auch eine zulässige Rechtsgrundlage. In Betracht kommen grundsätzlich alle in Artikel 6 DSGVO genannten Rechtsgrundlagen. Vor allem die Rechtsgrundlagen der Erfüllung einer rechtlichen Verpflichtung und der Wahrnehmung einer Aufgabe im öffentlichen Interesse oder durch die öffentliche Gewalt sind regelmäßig einschlägig. Einwilligungen, wie sie sich nicht-öffentliche Stellen oft einholen, spielen eine eher untergeordnete Rolle.

Wichtig zu wissen ist, dass personenbezogene Daten nur so lange gespeichert werden dürfen, wie es ihr Zweck erfordert,

  • es sei denn, dass sie für im öffentlichen Interesse liegende Archivzwecke verarbeitet werden (Artikel 5 DSGVO)
  • oder, dass der Betroffene sein Recht auf Datenübertragbarkeit nicht ausüben kann, wenn die Verarbeitung zur Wahrnehmung einer Aufgabe im öffentlichen Interesse oder durch die öffentliche Gewalt erfolgt (Artikel 20 DSGVO).

Zudem müssen spätestens jetzt Behörden und öffentliche Stellen einen Datenschutzbeauftragten benennen (Artikel 37 Absatz 1 Buchstabe a DSGVO).

Auch Behörden, Gemeinden usw. müssen ein Verzeichnis von Verarebitungstätigkeiten erstellen.

Verarbeiten öffentliche Stellen personenbezogene Daten nicht nur gelegentlich, dann sind auch sie dazu verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Artikel 30 DSGVO).

Damit zeigt sich, dass für öffentliche Stellen explizite Regelungen in der DSGVO existieren. Diese unterscheiden sich jedoch in ihrem Wesen nicht von denen für nicht-öffentliche Stellen, sondern werden lediglich hervorgehoben. Wirklich gravierende Unterschiede gibt es nicht.

Was beim Anlegen eines Verzeichnisses für Verarbeitungstätigkeiten beachtet werden muss

Unterschiede zu Unternehmen ergeben sich jedoch vor allem in der täglichen Verarbeitungstätigkeit von Gemeinden und anderen öffentlichen Stellen. Auch sie müssen ein schriftliches Verzeichnis über ihre Datenverarbeitungen anlegen, soweit diese nicht nur gelegentlich, sondern wiederholt erfolgen. Gegebenenfalls muss das Verzeichnis auch bei der zuständigen Aufsichtsbehörde nachgewiesen werden. Ein großer Unterschied ist die verpflichtende Nennung der Rechtsgrundlagen im Verzeichnis von Verarbeitungstätigkeiten.

Artikel 30 DSGVO verpflichtet hierzu den Verantwortlichen der Datenverarbeitung der öffentlichen Stelle. Der Verantwortliche ist stets die Behörde, Einrichtung oder Stelle, die über die Zwecke und Mittel der Datenverarbeitung bestimmt- also die öffentliche Stelle als solche, vertreten durch ihren Leiter, den Vorstand oder den Bürgermeister.

Anzuführen sind alle Datenverarbeitungsvorgänge der öffentlichen Stelle:

  • unter der Bezeichnung und Beschreibung des Verfahrens,
  • des Namens und der Kontaktmöglichkeiten des Verantwortlichen und seines Datenschutzbeauftragten,
  • der Nennung des Zwecks,
  • der Datenkategorie,
  • der Betroffenenkategorie,
  • des Empfängers,
  • der Speicherdauer
  • unter Nennung der Rechtsgrundlage,
  • und ggf. der Schutzmaßnahmen zur Datensicherheit.

Dies kann in einer frei gewählten schriftlichen Form erfolgen, es bietet sich jedoch eine tabellarische Übersicht an.

Das Verzeichnis von Verarbeitungstätigkeiten ist eine wichtige Grundlage der Nachweis- und Dokumentationspflicht aus Artikel 5 Absatz 2 DSGVO, allerdings genügt es allein noch nicht. Auch die Einhaltung der Datenschutzgrundsätze und Etablierung eigener Datenschutzkonzepte, die Einhaltung angemessener Sicherheitsvorkehrungen (TOMs) oder die Vornahme der Datenschutz-Folgenabschätzung müssen ebenfalls dokumentiert werden.

Beispiele für typische Verfahren innerhalb einer Gemeinde und anderen Nicht-öffentlichen Stellen

Einwohnermeldewesen

Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO
Betroffenengruppen: Einwohner
Datenkategorien: Vor- und Zuname, Geburtsname, Titel, Geschlecht, Geburtsdaten, Adresse(n)
Empfänger / Kategorien von Empfängern: Privatpersonen und nicht-öffentliche Stellen, Rechtsanwälte, Parteien, Wählergruppen und andere Träger von Wahlvorschlägen, Mandatsträger, Presse und Rundfunk, Adressbuchverlage, Wohnungseigentümer/ Wohnungsgeber, öffentliche Stellen des Inlandes und anderer Mitgliedsstaaten der Europäischen Union
Löschfrist: nach Ablauf von fünf Jahren seit Wegzug oder Tod des Einwohners werden die gespeicherten Daten für die Dauer von 50 Jahren aufbewahrt

Praxisbeispiel:
Im Bürgeramt der Gemeinde X können sich Einwohner neu an- oder ummelden. Es werden Meldeauskünfte bearbeitet, Listen über die Einwohnerzahlen geführt und Wohnungen, sowie Einwohner identifiziert. Hierzu werden Daten der Einwohner auf Rechtsgrundlage der Wahrnehmung des öffentlichen Interesses verarbeitet (Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO). Das sind der Vor- und Zuname, der Geburtsname, der Titel, das Geschlecht, Geburtsdaten und die aktuelle Adresse. Diese Daten werden an andere öffentliche und nicht-öffentliche Stellen des Inlandes, an Parteien oder Wählergruppen, an Religionsgemeinschaften, an die Presse, an Rechtsanwälte und Gerichte, an Adressbuchverlage und an Wohnungseigentümer bzw. Wohnungsgeber übermittelt. Daten, die nicht der Identifizierung dienen, werden nach Wegzug oder Tod des Betroffenen unverzüglich gelöscht. Nach Ablauf von fünf Jahren werden die restlichen Daten schließlich für 50 Jahre archiviert und dabei durch geeignete technische und organisatorische Maßnahmen gesichert.

Typische Verarbeitungen einer Gemeinde sind z.B. das einwohnermeldewesen.

Kulturwesen

Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO
Betroffenengruppen: Einwohner, Besucher der Gemeinde
Datenkategorien: Vor- und Zuname, Geschlecht, Geburtsdatum, Kontaktdaten, Adresse(n), Bankdaten
Empfänger / Kategorien von Empfängern: andere öffentliche Stellen des Inlandes
Löschfrist: nach Ablauf von zehn Jahren nach Wegfall des Verarbeitungszwecks werden die Daten gelöscht

Praxisbeispiel:
Weiterhin verarbeitet die Gemeinde X auch Adressdaten, den Vor- und Zunamen, das Geschlecht, das Geburtsdatum, Kontaktdaten, sowie Bankdaten der Einwohner und anderer externer Personen zum Zweck der Verwaltung von Museen und Kultureinrichtungen, Partnerschaften mit anderen Gemeinden oder Städten, der Organisation von Ausstellungen und Festen. Diese Verarbeitung stützt sich auch auf das Wahrnehmen des öffentlichen Interesses. Die Daten werden an andere öffentliche Stellen im Inland, wie andere Gemeinden oder Kultureinrichtungen weitergegeben und in zehn Jahren nach Wegfall des Zwecks gelöscht. Bis dahin sind sie durch geeignete technische und organisatorische Maßnahmen gesichert.

Steuern & Abgaben

Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO
Betroffenengruppen: Einwohner, gemeindeansässige Unternehmen
Datenkategorien: Vor- und Zuname, Geschlecht, Geburtsdaten, Kontaktdaten, Adresse(n), Bankdaten, Steuerdaten, Bonitätsdaten, ggf. die Firma
Empfänger / Kategorien von Empfängern: Amtsgerichte bzw. Vollstreckungsorgane, andere Unternehmen, Finanzämter, Banken und andere öffentliche Stellen des Inlandes
Löschfrist: nach Ablauf von zehn Jahren nach Wegfall des Verarbeitungszwecks werden die Daten gelöscht

Praxisbeispiel:
Ebenfalls auf Grundlage des Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO verarbeitet die Gemeinde X den Vor- und Zunamen, das Geschlecht, Geburtsdaten, ggf. die Firma, die Adresse, Kontaktdaten, Bankdaten, Steuerdaten und Bonitätsdaten, um sämtliche anfallende Steuern (insbesondere die Grundsteuer, Hundesteuer oder die Gewerbesteuer) sowie Wasseranschluss-, Kanalbenutzungs- und Müllbeseitigungsgebühren zu bearbeiten. Betroffene der Verarbeitung sind Einwohner und Unternehmen, die Steuern und Abgaben an die Gemeinde X leisten müssen. Die Daten werden an Amtsgerichte bzw. Vollstreckungsorgane, an Unternehmen, an Finanzämter, an Banken und an andere öffentliche Stellen weitergeleitet. Zehn Jahre nach Zweckfortfall werden sie gelöscht und bis dahin durch geeignete technische und organisatorische Maßnahmen gesichert.

Friedhofswesen

Rechtsgrundlage: Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO
Betroffenengruppen: Einwohner
Datenkategorien: Vor- und Zuname, Geburtsname, Geschlecht, Titel, Geburtsdaten, Sterbedaten, Kontaktdaten, Adresse
Empfänger / Kategorien von Empfängern: Amtsgerichte, Bestattungsunternehmen, statistische Ämter, andere öffentliche Stellen des Inlandes
Löschfrist: Daten des Sterberegisters werden nach 30 Jahren gelöscht, nach Ablauf von zehn Jahren nach Wegfall des Verarbeitungszwecks werden alle weiteren Daten gelöscht

Praxisbeispiel:
Die Gemeinde X verwaltet ebenfalls einen Friedhof in ihrem Gebiet und betreibt Grabpflege. Weiterhin führt sie ein Sterberegister. Hierzu werden auf Grundlage Artikel 6 Absatz 1 Satz 1 Buchstabe e DSGVO Daten der verstorbenen Einwohner und ihrer Angehöriger verarbeitet. Dazu zählen der Vor- und Zuname, ein Titel, der Geburtsname, das Geschlecht, das Geburts- und Sterbedatum, die Adresse und die Kontaktdaten. Auf Anfragen der Amtsgerichte, der Bestattungsunternehmen oder anderer öffentlicher Stellen werden diese Daten weitergeleitet. Daten des Sterberegisters werden nach 30 Jahren gelöscht, alle anderen Daten zehn Jahre nach Fortfall des Zwecks. Bis dahin sind sie durch geeignete technische und organisatorische Maßnahmen gesichert.

Folgen für Behörden und andere öffentliche Stellen

Die DSGVO ordnet eine Reihe von Sanktionen für Datenschutz-Verstöße an, insbesondere hohe Bußgelder (Artikel 83 DSGVO). Doch diese beziehen sich lediglich auf Unternehmen und nicht auf öffentliche Stellen.

Für öffentliche Stellen sollen nationale Gesetze der einzelnen Länder über die Haftung entscheiden. Die einschlägige nationale Vorschrift ist der Artikel 43 Absatz 3 BDSG (neu). Er schließt jedoch Geldsanktionen gegen Behörden und andere öffentliche Stellen konkret aus.

Bleibt es also sanktionslos, wenn Gemeinden kein oder ein unvollständiges Verzeichnis anlegen oder der Aufforderung zur Vorlage durch die Aufsichtsbehörde nicht nachkommen?
Nein, denn neben Bußgeldern existieren eine Reihe weiterer Sanktionsmöglichkeiten, die Sie bedenken müssen!

Zunächst haben Aufsichtsbehörden in Artikel 58 Absatz 2 DSGVO unter anderem folgende Befugnisse:

  • sie dürfen den Verantwortlichen der Datenverarbeitung bei einem voraussichtlichen Datenschutzverstoß warnen
  • sie dürfen den Verantwortlichen der Datenverarbeitung bei einem erfolgten Verstoß verwarnen
  • sie dürfen den Verantwortlichen der Datenverarbeitung anweisen, Anträgen des Betroffenen nachzukommen, die DS-Grundsätze zu befolgen und die Betroffenen einer Datenschutzverletzung zu informieren
  • sie dürfen die Datenverarbeitung beschränken oder gar verbieten

Hinzu kommt, dass dem Betroffenen einer Datenschutzverletzung stets ein Schadensersatzanspruch gegen den Verantwortlichen nach Artikel 82 DSGVO zusteht.

Nicht zu vergessen ist der Reputationsverlust, bei der Nichteinhaltung der Datenschutzgrundsätze.

Fazit

Auch wenn mit Einführung der DSGVO öffentliche und nicht-öffentliche Stellen weitgehend gleich behandelt und verpflichtet werden, so zeigt sich, dass sich noch besonders viele Gemeinden im Führen eines Verarbeitungsverzeichnisses unsicher sind. Sie verarbeiten eine immense Menge personenbezogener Daten und sind deshalb gehalten, ihr Verzeichnis von Verarbeitungstätigkeiten besonders exakt zu führen. Dass das wichtig ist, zeigen auch die existierenden Sanktionen gegen Behörden.
Halten Sie sich jedoch an die genannte Vorgehensweise, dann haben Sie schon viel für eine solide Dokumentation Ihrer Nachweispflichten getan!

Vorausgefüllte Vorlagen vom Datenschutz-Auditor (TÜV-geprüft)

Quellen

http://www.datenschutzrecht.sachsen.de/download/Dokumentation_Themenportal_Datenschutz_28_08_2018.pdf

https://dsgvo-gesetz.de/art-30-dsgvo/

https://dsgvo-gesetz.de/art-5-dsgvo/

https://dsgvo-gesetz.de/bdsg/70-bdsg/

Nur für kurze Zeit!

DSGVO-Checkliste kostenlos*

Erstellt vom Datenschutzauditor (TÜV) inkl. Linksammlung zur DSGVO.

*Begrenzte Aktion, Normalpreis 49€ Netto