klar

Kommunen

Fragen und Antworten zur DS-GVO


Muss ein Verzeichnis von Verarbeitungstätigkeiten angelegt werden und was muss dort hinein?

Behörden, Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen (öffentliche Stellen) der Kommunen unterliegen den Regelungen der Datenschutz-Grundverordnung (DS-GVO) und müssen ein Verzeichnis von Verarbeitungstätigkeiten (VVT) führen.

In das Verzeichnis müssen alle Verarbeitungstätigkeiten der jeweiligen Organisationseinheiten aufgenommen werden, bei denen personenbezogene Daten verarbeitet werden. Hierzu zählen Daten der Bürgerinnen und Bürger genauso wie Beschäftigtendaten. Verarbeitungstätigkeiten können bspw. sein: Steuerung der Kindergartenanmeldungen, Festsetzungen von Realsteuern (z. B. Grundsteuer), die Vergütungs- und Besoldungsabrechnungen für die Beschäftigten, die Abwicklung von Vergabeverfahren oder der Betrieb einer eigenen Website.

Das VVT löst die bisherige Verfahrensbeschreibung ab, sodass es in der Regel vermutlich nur einer Anpassung bedarf.

Weitere Hinweise und ein Muster-Verzeichnis finden Sie hier.


Wie muss ich Bürgerinnen, Bürger und Beschäftigte über die Datenverarbeitung informieren?

Mit der DS-GVO sind die Informationspflichten erweitert worden. Sowohl Bürgerinnen und Bürger als auch Beschäftigte, deren Daten erhoben werden, haben das Recht, darüber umfassend und transparent informiert zu werden.

Die Kommune muss beispielsweise darlegen können, zu welchem Zweck und aufgrund welcher Rechtsgrundlage personenbezogene Daten verarbeitet werden, wie lange diese gespeichert werden sollen, welche Rechte die betroffenen Personen haben oder welche Einschränkungen es aufgrund gesetzlicher Regelungen gibt. So können die Verantwortlichen bspw. gemäß § 8 Niedersächsisches Datenschutzgesetz (NDSG) von einer Information absehen, wenn dies zur Verfolgung von Straftaten oder Ordnungswidrigkeiten erforderlich ist.

Werden die Daten auf Basis von Einwilligungen verarbeitet, müssen die Betroffenen auf das Recht zum Widerruf hingewiesen werden. Informiert werden muss außerdem über das Recht auf Beschwerde bei der Aufsichtsbehörde.

Mehr über Ihre Informationspflichten erfahren Sie hier (PDF-Download).


Welche Auskunftsrechte haben Bürgerinnen und Bürger bezüglich ihrer bei der Kommune gespeicherten Daten?

Verlangt eine Bürgerin oder ein Bürger zu erfahren, welche Daten von ihr/ihm bei der Kommune verarbeitet werden, müssen diese Informationen grundsätzlich innerhalb eines Monats zugeleitet werden, es sei denn, es gibt gesetzliche Einschränkungen oder Ablehnungsgründe (z. B. § 9 NDSG).

Die Auskunft kann die Kommune schriftlich, elektronisch oder – wenn es die Bürgerin oder der Bürger wünscht – auch mündlich erteilen. Die Kommune hat in jedem Fall sicherzustellen, dass es sich bei der oder dem Anfragenden auch tatsächlich um die betroffene Person handelt, zu der sie die Daten übermittelt.
Die Auskunft muss in der Regel kostenlos erteilt werden. Näheres zum Auskunftsrecht finden Sie hier (PDF-Download).


Wann muss die Kommune Daten von Bürgerinnen, Bürgern und Beschäftigten löschen?

Kommunen müssen sicherstellen, dass die personenbezogenen Daten gelöscht werden, wenn ihre Verarbeitung nicht mehr nötig ist, um einen bestimmten Zweck zu erreichen. Dies ist z. B. mit dem Abschluss einer Verwaltungsverfahrens der Fall oder bei Ende des Dienst- oder Arbeitsverhältnisses. Ist die Speicherung zur Erfüllung rechtlicher Aufbewahrungspflichten (einschließlich archivrechtlicher Regelungen) notwendig, ist sie weiterhin zulässig.

Es müssen die erforderlichen technischen und organisatorischen Vorkehrungen getroffen werden, damit die personenbezogenen Daten aus abgeschlossenen Verfahren nicht mehr im aktuellen Dateibestand vorhanden sind. Die Erstellung eines sog. „Löschkonzeptes“ wird empfohlen.

Weitere Informationen zum „Recht auf Löschung“ finden Sie hier (PDF-Download).

Muss die Kommune eine oder einen Datenschutzbeauftragten benennen?

Wie schon vor der DS-GVO muss eine Kommune eine oder einen Datenschutzbeauftragten (DSB) benennen. Die oder der DSB kann intern benannt oder extern beauftragt werden. Zudem müssen die Kontaktdaten der oder des Datenschutzbeauftragten veröffentlicht werden, z. B. auf der Internetseite der Kommune.

Weitere Informationen zur/zum DSB finden Sie hier (PDF-Download).


Wie kann die Kommune die oder den Datenschutzbeauftragten melden?

Kommunen können die Meldung der oder des DSB an das Postfach meldungdsb@lfd.niedersachsen.de schicken.

Die Meldung sollte bitte folgende Angaben enthalten:

  • Name der mitteilungspflichtigen Stelle sowie Adresse und Kontaktinformationen (E-Mail und Telefon),
  • Name der Person, die die Meldung vornimmt sowie deren Kontaktinformationen,
  • Angaben zum/zur Datenschutzbeauftragten: Name, Vorname, Adresse, Kontaktinformationen, Benennungsdatum, Mitarbeiter des Unternehmens (ja oder nein).


Was ist eine Datenschutz-Folgenabschätzung und wann muss diese durchgeführt werden?

Ob eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist, zeigt sich bei Abschätzung der Risiken der Verarbeitungsvorgänge. Nur wenn sich hier ein voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen ergibt, ist eine DSFA durchzuführen. Verarbeitungsvorgänge, für die stets eine DSFA durchzuführen ist, finden Sie auf einer sog. „Blacklist“ (PDF-Download).

Die Entscheidung über die Durchführung oder Nichtdurchführung der DSFA sollten Sie stets schriftlich dokumentieren.

Was ist eine Datenpanne und wie muss die Kommune sie melden?'

Von Datenpannen spricht man dann, wenn es zu einer „Verletzung des Schutzes personenbezogener Daten“ kommt. Eine solche Verletzung liegt vor, wenn Daten – egal ob unbeabsichtigt oder unrechtmäßig – vernichtet, verloren oder verändert werden oder wenn sie unbefugt offengelegt bzw. zugänglich gemacht werden.

In der Praxis kann es auf vielfältigste Weise zu Datenpannen kommen, z. B. durch einen Hacker-Angriff oder, wenn ein Laptop mit Daten von Bürgerinnen und Bürgern bei einem Einbruch gestohlen wird. Meldepflichtig sind auch die versehentliche Löschung oder Vernichtung von personenbezogenen Daten.

Ein solcher Datenschutzverstoß muss innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde gemeldet werden. Entscheidend ist, dass der Verstoß unverzüglich nach Kenntnisnahme gemeldet wird. Wenn die Informationen nicht alle zur gleichen Zeit bereitgestellt werden können, können diese ohne unangemessene weitere Verzögerung schrittweise gemeldet werden.

Nach alter Rechtslage mussten die Daten, auf die sich der Verstoß bezog, als sehr sensibel gelten, was z. B. bei Bank- und Gesundheitsdaten der Fall ist. Nach DS-GVO löst jetzt die Verletzung jeder Art von personenbezogenen Daten eine Meldepflicht aus, solange sich daraus ein Risiko für die Rechte und Freiheiten der Betroffenen ergibt.

Für die Meldung einer Datenpanne können Sie das Online-Meldeportal der LfD Niedersachsen verwenden.

zum Seitenanfang
zur mobilen Ansicht wechseln