Das fragte sich vor einiger Zeit wohl auch der Thüringer Landesdatenschutzbeauftragte Harald Stauch und lies stichprobenartig 40 Kommunen seines Zuständigkeitsbereiches überprüfen. Die Ergebnisse sind geeignet, seinen kürzlich vorgelegten achten Tätigkeitsbericht zu einem für die Ratshäuser ziemlich blamablen Dokument zu machen.
Stauch ließ in den Jahren 2008 und 2009 den Grunddatenschutz in den Kommunen überprüfen. Also die Erfüllung grundlegender datenschutzrechtlicher Standards wie die Bestellung eines behördeninternen Datenschutzbeauftragten, die Erstellung eines Verfahrensverzeichnisses, die rechtskonforme Regelung und Umsetzung der Verarbeitung personenbezogener Daten durch Dritte (Auftragsdatenverarbeitung) sowie die Erstellung und Umsetzung eines IT-Sicherheitskonzeptes einschließlich entsprechender Dienstvereinbarungen und Anordnungen.
Die Umsetzung solcher Dinge erfordert Sachkenntnisse, ist aber nicht schwieriger als die Umsetzung anderer (z.B. verwaltungsrechtlicher) Aufgaben der Kommunen.
Hinzu kamen spezielle punktuelle Kontrollen, etwa zum Thema elektronische Ausweise, zum Postlauf innerhalb der Behörden sowie zum Umgang mit Sozialdaten für die ein höheres Schutzniveau gilt.
An Mängelfreiheit litt keine der Kommunen, so der Datenschutzbeauftragte in seinem Bericht. Daher nennt Stauch die Kommunen mit echten Mängeln in seinem Bericht auf Seite 31 auch namentlich. Die Beseitigung der beanstandeten Mängel gestaltete sich bisweilen zäh, was Stauch auf fehlende Sachkunde in den Kommunen sowie auf die so erforderlich werdende kosten- und zeitintensive Inanspruchnahme externer Sachverständiger zurückführt, seltener auf den fehlenden Willen in den Kommunalverwaltungen.
Das Hauptproblem jedoch war, dass in vielen Gemeinden Datenschutzbeauftragte und Sicherheitskonzepte fehlten. Die Möglichkeit für kleinere Kommunen, gemeinsam einen Datenschutzbeauftragten zu bestellen und sich so dessen Expertise zu teilen, wurde kaum genutzt. Daher waren es auch meist die kleineren Kommunen und weniger Städte und Landkreise mir personell ausdifferenzierten Verwaltungen, die bei der Datenschutzrevision patzten.
Ursache war nicht ein einzelnes Problem sondern eine Vielzahl meist organisatorischer Defizite in den Rathäusern. Strauch führt in seinem Bericht u.a. Folgendes auf:
Mangelnde Aktivitäten der Kommunalaufsichtsbehörden im Bereich des Datenschutzrechts, fehlender Blick der kommunalen Leitungsebene für den Datenschutz, relativ schwache rechtliche Stellung des behördlichen Datenschutzbeauftragten und Überlastung mit anderen Aufgaben, für die Belange des Datenschutzes unzureichende Personal- und Finanzausstattung der Kommunen, mangelndes datenschutzrechtliches Problembewusstsein, fehlende (Rechts-) Kenntnisse und wenig ausgeprägte Motivation, (Wissens-) Lücken zu schließen.
Die Zahl der noch unkontrollierten Kommunen und damit die Dunkelziffer datenschutzrechtlicher Verstöße ist mit Sicherheit hoch, so der Thüringer Datenschutzbeauftragte.
Die Aufgaben der Kommunen sind vielfältig. Daher finden sich in Stauchs Datenschutzbericht auch Verstöße aus allen Bereichen kommunaler Tätigkeit: Kommunalverwaltung, Personal, Polizei- und Meldewesen, Umsetzen verfassungsschutzrechtlicher Vorgaben, kommunales Finanzwesen, Justiz, Gesundheits- und Sozialdatenschutz, Wirtschaft, Arbeit, Bau und Verkehr, Bildung, Wissenschaft, Forschung, IT-Infrastruktur.
Einen besonders dicken Bock hatte die Stadtverwaltung Leinefelde-Worbis geschossen, als sie versuchte einen Mitarbeiter verhaltensbedingt zu kündigen. Und zwar mit der Begründung, dass er sich in der Vergangenheit bei verschiedenen Behörden u. a. auch beim Landesdatenschutzbeauftragten über seinen Dienstherrn beschwert hatte. Stauch beanstandete dies. Behörden dürfen Mitarbeiter, die sich beim Landesdatenschutzbeauftragten wegen der Verletzung datenschutzrechtlicher Vorschriften beschweren, nicht benachteiligen und schon gar nicht deswegen kündigen.
Schließlich sah die Stadtverwaltung Leinefelde-Worbis ein, dass eine solche Verfahrensweise nicht rechtens ist und wies ihre Mitarbeiter an, das künftig zu beachten. Ob die rechtlich unzulässige Kündigung zurückgezogen wurde, ist dem Datenschutzbericht jedoch nicht zu entnehmen.
Stauch forderte die Landesregierung dazu auf, das Thüringer Datenschutzgesetz zu modernisieren. Denn das ist mit ein Problem der Landes- und Kommunalbehörden: Hier gilt nicht das (noch relativ aktuelle) Bundesdatenschutzgesetz sondern spezielle Landesdatenschutzgesetze. Manche davon seit den 90er Jahren unverändert.
[...] Wie halten es Kommunen mit dem Datenschutz? « Blog zur IT-Sicherheit. Read Comments (0) [...]