Die Verordnung trat im Mai 2016 in Kraft, nach einer Übergangsfrist ist sie seit 25. Mai 2018 ohne Einschränkung anzuwenden. Die Münchner Stadtverwaltung verarbeitet gemäß ihres gesetzlichen Auftrages viele Daten über die hier lebenden Menschen und ihre Kundinnen und Kunden. Also musste die städtische IT handeln. Hier berichten wir über die Ergebnisse.
Projekt „DSGVO“ in der Stadtverwaltung
Die Anforderungen aus dem Gesetz zu analysieren und passende Lösungen zu erarbeiten, war Aufgabe eines stadtweiten Projekts, das 2017 startete. Alle Referate und die Eigenbetriebe waren eingebunden. Wenn das Projektteam vollständig zusammen kam, saßen schon mal 25 bis 30 Leute mit am Tisch. Die eigentliche Arbeit leisteten daher Arbeitsgruppen, die sich mit Themen wie „Betroffenenrechte“, „Auftragsverarbeitung“ oder „Meldung von Datenschutzpannen“ beschäftigten.
Bei der Umsetzung der komplexen Änderungen dieser EU-Verordnung war ein Projekt genau der richtige Ansatz.
Die Datenschutzbeauftragte der Stadt Brigitte Frey bringt es auf den Punkt: Wegen einer gesetzlichen Neuerung ein stadtweites, interdisziplinäres Projekt einzuberufen, war bis dahin eher ungewöhnlich. Normalerweise war das bisher Thema für die Rechtsabteilungen.
Für Projektleiter Tobias von der Heiden, sonst eher in reinen Technikprojekten unterwegs, war die Zusammenarbeit mit so vielen Juristinnen und Juristen eine spannende Erfahrung:
Sie sind es gewohnt, sehr strukturiert zu arbeiten, was hilfreich ist für die Projektarbeit. Bei dem Bedürfnis, Projektdokumente juristisch wasserdicht zu formulieren, mussten wir allerdings Abstriche machen.
In München wurde Datenschutz schon immer sehr ernst genommen.
Inhaltlich stellte das Projektteam schnell fest, dass viele Anforderungen der DSGVO bereits erfüllt waren. Das galt beispielsweise für das Prinzip der Datenminimierung. Nur für den jeweiligen Zweck wirklich notwendige Angaben werden auch tatsächlich erhoben und verarbeitet.
Die Schärfung des Datenschutzes durch die DSGVO forderte jedoch durchaus Konsequenzen, unter anderem personell. Statt einer juristischen Vollzeitkraft wacht nun ein vierköpfiges Team über den zentralen Datenschutz: zwei Juristinnen, ein IT-Experte und eine Büromanagerin. Dazu gibt es in jedem Referat und jedem Eigenbetrieb örtliche Datenschutzbeauftragte, die sich auch in den Spezialthemen ihres Fachgebietes genau auskennen
Auskunftsrecht und Hilfe bei Datenpannen
Besonders spannend für die Münchnerinnen und Münchner sind zwei Angebote, die im Rahmen des Projekts online gestellt wurden.
- So gibt es zum einen auf der Webseite Datenschutzgrundverordnung für die wichtigsten Services der Stadtverwaltung Informationsblätter. Diese geben Auskunft darüber, welche Daten gespeichert werden. Von A wie Anmeldung an der Sing- und Musikschule bis Z wie Zweitwohnungssteuer. Wo und wie lange werden Informationen über Waffenbesitz aufgehoben? Gelangen die Daten von Straßenmusikanten in ihre jeweiligen Heimatländer? Die Antworten auf diese und viele anderen Datenschutzfragen finden sich in den hier bereitgestellten Dokumenten.
- Was kann man tun, wenn man den Eindruck hat, dass der Schutz von Daten der Stadtverwaltung verletzt wird? Wenn man beispielsweise im Internet auf Daten stößt, die einen eigentlich nichts angehen? Oder wenn man vertrauliche Unterlagen auf einer Parkbank liegen sieht? In diesem Fall gibt es als zweites Angebot einen direkten Weg zur Meldung einer Datenpanne. Hier kann man über ein kurzes Formular Beobachtungen melden. Auf Wunsch auch anonym.
DSGVO: Grenzen für die Speicherung personenbezogener Daten, Foto Pixabay
Wie sensibel sind die Daten, wie hoch die Risiken?
Einiges an Kopfzerbrechen verursachte die Forderung der DSGVO, für besonders kritische Daten Maßnahmen zur Risikominimierung zu treffen. Dass Daten beispielsweise über soziale Unterstützungsleistungen einer Kommune oder persönliche Gesundheitsdaten dazu gehören, liegt auf der Hand. Das Vorgehen, um die Daten dahingehend einzustufen, heißt „Schwellwertanalyse“. Das ist eine kompakte Analyse, die auf vorgegebenen Prüfschritten und Kriterien beruht.
Das Ergebnis wird in das „Verzeichnis von Verarbeitungstätigkeiten“ der Stadt aufgenommen. Ein vergleichbares „Verfahrensverzeichnis“ war bereits etabliert, doch der Umfang stieg durch die DSGVO-Anforderungen deutlich an. Statt wie bisher circa 400 waren bis März 2019 bereits 1500 Verfahren identifiziert. Auch Datenablagen in Papierform, aufbewahrt in Ordnern und Akten sind darunter. Daten, denen die Schwellwertanalyse ein erhöhtes Risiko attestiert hat, müssen einer Datenschutzfolgenabschätzung unterzogen und adäquat gesichert werden.
Datenschutz in allen IT-Projekten
Alle Ziele des Datenschutzes sind zudem in den IT-Vorhaben der Stadt fest verankert. Speziell geschulte Mitarbeiterinnen und Mitarbeiter in der Rolle „Data Privacy Manager“ sollen für eine frühzeitige und starke Einbindung von Datenschutzaspekten sorgen.
Abgeschlossen ist das Thema noch nicht und wird es nie sein. Der Datenschutz bleibt auf der Agenda. Die Münchnerinnen und Münchner können sich heute und morgen darauf verlassen, dass die Stadt München verantwortungsbewusst mit ihren Daten umgeht.
Mehr Infos zur DSGVO finden sich auf den Seiten der Europäischen Kommission, natürlich auf der Website der Datenschutzbeauftragten der Landeshauptstadt München oder im Originaltext der über Hundert Seiten umfassenden Verordnung.
Kommentare (3)
Kommentar absenden
Weitere Beiträge
Einblick in die Digitalisierung der Stadt München: Vierter Digitalisierungsbericht veröffentlicht
Schnell und absolut verlässlich: Neuentwickeltes Münchner Adress- und Eigentumsregister
Ein Jahr neues Arbeiten im Multispace – was haben wir gelernt?
Dritte Fortschreibung der Digitalisierungsstrategie: Viele Impulse aus der Stadtgesellschaft aufgegriffen
Papierlose Verwaltungsarbeit: Inputmanagement für medienbruchfreie Prozesse
Zufriedenheitsbefragung der städtischen IT-Nutzenden: Effiziente Auswertung von Freitext mit Hilfe von KI
LoRaWAN und das stadtweite Internet der Dinge
Hallo
betrachtet man diese Seite, sich mit Datenschutz befasst, so sind doch einige Anmerkungen zu machen:
– diese Internetseite verwendet keine HTTPS-Verbindung als Voreinstellung.
– es werden keine Content Security Policy (CSP) Header gefunden.
– auch bei den first-party-cookies gibt es einige Schwachstellen. Mit den aktuellen Einstellungen sind XSS- Angriffe MITM Angriffe und CSRF Angriffe möglich.
Da wäre etwas mehr Sorgfalt bei der Gestaltung des Web-Auftritts angebracht. Wobei nur wenige HTML-Befehle einzufügen wären.
Vieleicht denkt muenchen.digital über Verbesserungen nach
Mit besten Grüßen
Peter Ehrensperger
PS: Beim SSLLab-Test wird eine gute “A” Bewertung ermittelt (beste Wertung “A+”)
Hallo Herr Ehrensperger,
danke für die Tipps. Natürlich optimieren wir die Seite laufend und werden Ihre Hinweise einfließen lassen.
Beste Grüße, Stefan Döring
Danke für die Tipps Hr. Ehrensperger, wir nehmen das gerne auf und bedanken uns dafür