Sachstandsbericht Datenschutz bei der Stadt Köln_Stand 05.02.17.pdf

Sachstandsbericht Datenschutz bei der Stadt Köln (Febr. 2017) 1 Sachstandsbericht Datenschutz bei der Stadt Köln Inhalt: Einleitung I. Organisationsstand/ Verantwortlichkeiten im Datenschutz II. Aufgabenstand/ -verteilung (bis 2015/ 2016) III. Qualitätsstand Datenschutz und IT-Sicherheit IV. Operative Kennzahlen des behördlichen Datenschutzbeauftragten V. Aufgaben und Aufgabenschwerpunkte in Bewegung (Entwicklung) 1. Vorabkontrollen Videoüberwachung 2. Prüfung von Verträgen zur Datenverarbeitung im Auftrag 3. Digitalisierung der Verwaltung (eGovernment und eAkten) 4. Datenschutzschulungen 5. Altverfahren überprüfen 6. Dienststelleninterner/ dezentraler Datenschutz VI. Auswirkungen der Datenschutzgrundverordnung der EU und Vorschlag zum Umsetzungsprozess in der Stadtverwaltung Köln Fazit/ Ausblick Sachstandsbericht Datenschutz bei der Stadt Köln Einleitung Der Datenschutz ist nach der Rechtsprechung des Bundesverfassungsgerichts ein Grundrecht, hier das Recht auf informationelle Selbstbestimmung, entwickelt aus dem sog. „Volkszählungsurteil“ von 1983. Danach kann der Betroffene grundsätzlich selbst darüber entscheiden, wem er welche persönlichen Informationen bekannt gibt. Dieses Grundrecht wird im Grundgesetz allerdings nicht explizit erwähnt. Dagegen wurde in den meisten Landesverfassungen eine Datenschutzregelung aufgenommen, so u.a. auch in Nordrhein-Westfalen (Art. 4 Abs. 2 LV NRW), wonach „Jeder Anspruch auf Schutz seiner personenbezogenen Daten [hat]. Eingriffe sind nur in überwiegendem Interesse der Allgemeinheit auf Grund eines Gesetzes zulässig“. Die konkretisierende Umsetzungsnorm u.a. für die Gemeinden – somit auch für die Stadtverwaltung Köln – ist das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) sowie weitere spezialgesetzliche Regelungen des Landes und Bundes (z.B. Bundesdatenschutzgesetz und Sozialgesetzbücher). Für die Stadt Köln wird nunmehr erstmals seit Einrichtung der Funktion eines Beauftragten für den Datenschutz – mit alleiniger Aufgabenstellung in dieser Funktion im Jahre 2002 - ein konzentrierter und systematischer Sachstandsbericht vorgelegt, der umfassend und übersichtlich den bestehenden (Ist-) Zustand sowie die aktuellen Entwicklungstendenzen im Bereich des Datenschutzes bei der und für die Stadtverwaltung Köln beschreibt. Dies geschieht vor dem Hintergrund wachsender Bedeutung des Themas Datenschutz: Bürgerinnen und Bürger werden einerseits nicht zuletzt angesichts zunehmender technisierter Verarbeitung ihrer personenbezogenen Daten z.B. durch Internetnutzung, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden sensibler und hierbei durchaus auch misstrauisch gegenüber staatlichen Institutionen und privaten Unternehmen. Auf der anderen Seite steht dieser Entwicklung eine gewisse Gleichgültigkeit von Teilen der Bevölkerung gegenüber, in deren Augen der Datenschutz keine oder nur geringe praktische Bedeutung hat. Sorglos werden hier zum Teil immense Datenmengen in Quantität und Qualität an Leistungsanbieter im Internet oder im Zusammenhang mit der Nutzung von Smartphones abgegeben. Interesse und Bedarf an personenbezogenen Informationen haben in diesem Zusammenhang sowohl staatliche Stellen als auch private Unternehmen. Auch die Stadtverwaltung Köln erfasst und verarbeitet tagtäglich größte Mengen an Daten im Rahmen der sog. „Leistungsverwaltung“, so bei der Gewährung von Sozial- und Jugendhilfeleistungen, dem Betrieb von Schulen und Kindertagesstätten oder dem Angebot von Bibliotheken. Aber auch beim Vollzug der „Eingriffsverwaltung“, bei der die Stadtverwaltung im Rahmen der Gefahrenabwehr tätig wird (hier z.B. Verkehrs- und Ordnungsüberwachung), werden personenbezogene Daten erhoben, gespeichert und ggf. an andere Stellen weitergeleitet. /3 Sachstandsbericht Datenschutz bei der Stadt Köln Aktualität gewinnt das Thema Datenschutz derzeit insbesondere auch bei der Diskussion um eine Ausweitung der Videoüberwachung. Die Vorfälle der Kölner Silvesternacht 2015 und die terroristischen Anschläge insb. auch in Deutschland führen dazu, dass die Akzeptanz und die gesetzlichen Grenzverläufe der Zulässigkeit optischer Beobachtungen immer wieder durch die verantwortlichen Behörden, die Öffentlichkeit und die Medien kritisch hinterfragt und auch verschoben werden. Im Rahmen der Ausübung des Hausrechtes werden bei der Stadtverwaltung Köln in diesem Zusammenhang u.a. Museen, städtische Verwaltungsgebäude und Flüchtlingsunterkünfte elektronisch beobachtet. Der Wesenskern des Datenschutzrechts besteht in allen Fällen darin, die Machtungleichheit zwischen Institutionen und Einzelpersonen unter Regeln basierte Bedingungen zu stellen, also buchstäblich ausgleichend „Augenhöhe“ zu gewährleisten. Der Datenschutz soll der in der zunehmend digitalen und vernetzten Informationsgesellschaft bestehenden Tendenz zum sog. „gläsernen Menschen“, dem Ausufern staatlicher Überwachungsmaßnahmen und der Entstehung von Datenmonopolen von Privatunternehmen entgegenwirken. Der behördliche Beauftragte für den Datenschutz ist in dieser Aufgabe gleichzeitig „Anwalt der Betroffenen“ (in konkreten Beschwerdefällen), Berater für die städtischen Mitarbeiter/ innen in Datenschutzfragen sowohl in Ausübung ihrer dienstlichen Tätigkeiten als auch als Träger von eigenen Beschäftigtenrechten, Funktionsträger originär eigener Aufgaben (z.B. datenschutzrechtliche Freigaben bei der Einführung von ITFachverfahren) sowie Überwachungs- und Kontrollorgan zur Einhaltung des Datenschutzes. Parallel berät er die Hierarchieebenen innerhalb der Stadtverwaltung von der Oberbürgermeisterin über die Fachbeigeordneten und alle Leitungsfunktionen in den Fachdienststellen bei der Sicherstellung des Datenschutzes. Vor diesem Hintergrund ist die Gewährleistung eines funktionierenden Datenschutzes in den Dienststellen und Fachämtern sowie die Einrichtung und Vorhaltung eines weisungsfrei handelnden Datenschutzbeauftragten von entscheidender Bedeutung für eine insoweit rechtssicher handelnde Stadtverwaltung Köln. Der nachfolgende Bericht beschreibt den derzeitigen (Ist-) Zustand des Datenschutzes bei der Stadtverwaltung Köln: aufgezeigt wird die geregelte Organisationstruktur und Verteilung der Verantwortlichkeiten (s. Ziff. I), eine Übersicht über den Aufgabenbestand (Ziff. II), eine Einordnung des Qualitätszustandes (Ziff. III) sowie eine Auswahl operativer Kennzahlen zum Handeln des behördlichen Datenschutzbeauftragten (Ziff. IV). Im Weiteren wird dargestellt, wie sich – auf der Grundlage des beschriebenen Aufgabenbestandes – Tätigkeiten und Aufgabenschwerpunkte tendenziell entwickeln (s. Ziff. V). Besonderes Augenmerk wird hierbei gelegt auf die Regelungen der seit Mai 2016 in Kraft getretenen und ab Mai 2018 verbindlich anzuwendenden Datenschutzgrundverordnung der Europäischen Union (DSGVO) und deren Auswirkungen auf die Stadtverwaltung Köln verbunden mit einem Vorschlag zur operativen Umsetzung dieser Vorgaben (Ziff. VI). /4 Sachstandsbericht Datenschutz bei der Stadt Köln I. Organisationsstand/ Verantwortlichkeiten im Datenschutz Die „Dienstanweisung Datenschutz für die Stadtverwaltung Köln“ in ihrer Fassung vom 12.09.02 (DA Datenschutz) regelt, dass die Beschäftigten und Leiter/innen der städtischen Dienststellen, Eigenbetriebe sowie eigenbetriebsähnlichen Einrichtungen für die Einhaltung der geltenden Vorschriften über den Datenschutz zuständig und verantwortlich sind (s. § 6 DA Datenschutz). Im Rahmen der zentralen Wahrung des Datenschutzes bei der Stadtverwaltung obliegt dem behördlichen Beauftragten für den Datenschutz neben originären Aufgaben wie z.B. der Vorabkontrolle bei der Inbetriebnahme von IT-Fachverfahren (inkl. Führung dazugehöriger Verfahrensverzeichnisse) und Videoüberwachungsanlagen sowie die Durchführung von Schulungen auch die Hinwirkungspflicht auf die Einhaltung der entsprechenden allgemeinen Regelungen nach dem DSG NRW, dem Bundesdatenschutzgesetz (BDSG) sowie bereichsspezifischen Rechtsvorschriften des Bundes oder Landes. Detailliert ergeben sich die Aufgaben und Befugnisse aus § 32a DSG NRW (s. auch § 9 DA Datenschutz). Eigenbetriebe und eigenbetriebsähnliche Einrichtungen haben einen eigenverantwortlichen Datenschutzbeauftragten zu bestellen, weil zum Zeitpunkt der Funktionsübertragung als behördlicher Datenschutzbeauftragter im Jahr 2002 bereits absehbar war, dass diese Aufgaben aufgrund der eingesetzten personellen Ressourcen (1 Stelle) zentral nicht leistbar waren. Zur Gewährleistung des dezentralen Datenschutzes haben die Leiter/innen der Fachdienststellen mindestens einer Person die Aufgabe, die Vorgaben des Datenschutzes vor Ort umzusetzen, übertragen (s. § 7 DA Datenschutz). Die sich aus diesen Regelungen ergebende Verantwortungsdarstellung für die Stadtverwaltung Köln in Sachen Datenschutz ergibt sich aus der beigefügten Anlage 1. II. Aufgabenstand/ -verteilung (bis 2015/ 2016) Zu Mitte Sept. 2015 erfolgte nach vorhergehendem intensivem Wissenstransfer und Absolvierung einer Zertifizierungsschulung eine geregelte Übergabe durch den langjährigen Beauftragten für den Datenschutz, Herrn Powalka an seinen Stellvertreter Herrn Fricke. Seit 01.06.16 werden die Aufgaben konzentriert durch den Stellennachfolger wahrgenommen. /5 Sachstandsbericht Datenschutz bei der Stadt Köln Für den Zeitpunkt Ende 2015 stellt sich die Verteilung der Aufgabenschwerpunkte des zentralen Datenschutzes wie in Anlage 2 aufgeführt dar. Besonderes Gewicht lag – nach Aufbau datenschutzrechtlicher Grundlagen bis Mitte der 2000`er Jahre – in der vergangenen Dekade bis 2015 auf der Begleitung und datenschutzrechtlichen Freigabe im Rahmen der Inbetriebnahmen von Fachverfahren mit personenbezogenen Daten in den Dienststellen (35%), der Planung und Durchführung von zum Teil flächendeckenden Schulungen zu allgemeinen und bereichsspezifischen Datenschutzregelungen (20%) sowie der Beratung bei Fragen und Themenstellungen datenschutzrechtlicher Art aus der Verwaltung und durch Bürgerinnen und Bürger (insgesamt 30%). Der hohe Prozentsatz bei der „Beratung der städtischen Dienststellen und Beschäftigten“ (25%) ist der Tatsache geschuldet, dass immer wieder neue datenschutzrechtliche Fragestellungen aufgeworfen werden (z.B. Regelungen für mobiles Arbeiten, Auflegen und Vertreiben von Newslettern, Zusammenführen von Flüchtlingsdaten), die bei den Fachämtern sowie den Mitarbeitern/ innen im Rahmen der täglichen Aufgabenerfüllung aufgrund der zum Teil schwierigen Rechtsmaterie spürbaren Beratungsbedarf erzeugen. Den Zeitraum seit 2002 betrachtend ist anzumerken, dass sowohl der Aufgabenumfang als auch die Anforderungen an die Qualität der Aufgabenerledigung stetig gestiegen sind. Dies insbesondere durch die Einführung datenschutzrechtlicher Prüfprozesse - hier (Vorab-) Kontrollen und Freigaben von IT-Fachverfahren, Videoüberwachungen an städtischen oder städtisch genutzten Gebäuden sowie der externen Verarbeitungen städtischer Daten im Auftrag -, durch die insgesamt wachsende Anzahl von einzuführenden technikunterstützen Verarbeitungsverfahren sowie die festzustellende deutlich erhöhte Sensibilität von Beschäftigten sowie Bürgerinnen und Bürgern in Sachen Datenschutz. Um diesen intern und extern implizierten Anforderungen gerecht zu werden ist - vor dem Hintergrund der im Umfang von einer Stelle bestehenden Ressourcenaufstellung für das Thema Datenschutz - permanent der Ausgleich von berechtigten Interessen der anstehenden Aufgaben zu finden, das heißt, die Aufgaben konnten und können nur durch Prioritätensetzung und entsprechende zeitliche Verschiebungen wahrgenommen und gewährleistet werden, zum Teil eine verminderte Reaktionsgeschwindigkeit in Kauf nehmend. /6 Sachstandsbericht Datenschutz bei der Stadt Köln III. Qualitätsstand Datenschutz und IT-Sicherheit Datenschutz und IT-Sicherheit sind zwei Seiten derselben Medaille: Nur wenn die ITSysteme, auf denen personenbezogene Daten gespeichert sind, entsprechend geschützt werden, ist auch der Datenschutz sichergestellt, sprich: es gibt keinen Datenschutz ohne Datensicherheit! Die Stadtverwaltung Köln trägt dieser Prämisse Rechnung, indem sie die zwei Funktionen Beauftragter für den Datenschutz (OB/7) sowie IT-Sicherheitsverantwortlicher (12/1) geschaffen und an jeweils organisatorisch prominenten Positionen im Hierarchiegefüge als Referat im OB-Büro - mit unmittelbarer Anbindung an den/ die Oberbürgermeister/ in - bzw. als Stabstelle im Amt für Informationsverarbeitung (12) angebunden hat. Darüber hinaus werden im Amt für Informationsverarbeitung die notwendigen Ressourcen vorgehalten, um u.a. einen sicheren Betrieb der IT-Technik in der Stadtverwaltung Köln aufrechtzuerhalten und zu gewährleisten. In diesem Zusammenhang wurden Regelungen getroffen, die als „IT-Sicherheitspolitik“ für die Stadtverwaltung detailliert die Sicherheitsgrundsätze mit Schutzzielen und Schutzprinzipien beschreibt, Verantwortlichkeiten über die Hierarchieebenen hinweg festlegt und einen kontinuierlichen Kontrollprozess etabliert. Die „Dienstanweisung Datenschutz für die Stadtverwaltung Köln“ legt ergänzend fest, wie die Umsetzung datenschutzrechtlicher Regelungen vorzunehmen ist. In der Infrastruktur der städtischen Informationsverarbeitung werden in diesem Zusammenhang regelmäßige Penetrationstests durchgeführt. Hierunter wird die Prüfung der Sicherheit möglichst aller Systembestandteile und Anwendungen eines Netzwerks- oder Softwaresystems mit Mitteln und Methoden verstanden, welche ein Angreifer (ugs. "Hacker") anwenden würde, um unautorisiert in das System einzudringen. Penetrationstests ermitteln somit die Empfindlichkeit des zu testenden Systems gegen derartige Angriffe. Dabei erkannte Sicherheitslücken werden dann umgehend geschlossen. Die Berichterstattung hierüber erfolgt in den Fachgremien des Rates. Ebenso hat das Bundesamt für die Sicherheit in der Informationstechnik (BSI) unter der Begrifflichkeit „IT-Grundschutz“ elementare Bedrohungsszenarien für Organisation und Betrieb von Informationstechnik und die damit verbundenen Risiken aufgezeigt. Hierbei werden aus den erkannten Risiken resultierende Sicherungsmaßnahmen empfohlen, um grundsätzlich „ein mittleres, angemessenes und ausreichendes Niveau“ für den Schutz der Informationsverarbeitung zu gewährleisten. /7 Sachstandsbericht Datenschutz bei der Stadt Köln Im Rahmen einer qualifizierten Selbstauskunft kann in diesem Zusammenhang anhand von 15 vorgegebenen Maßnahmen mit festgelegten Inhaltskriterien (s. Übersicht Anlage 3) die Qualität des Datenschutzes in der Darstellung eines Netzdiagramms visualisiert werden. Der grafische Überblick über die datenschutzrechtliche Maßnahmenerfüllung für die Stadtverwaltung Köln gewährleistet im Abgleich mit der definierten Ideallinie (s. „Maximum 100%“ Erfüllungsquote) eine Einordnung der vorhandenen Aufgabenqualität bei der Stadt Köln (s. Anlage 4). Nach der BSI-Systematik sollte für jede aufgeführte Maßnahme ein Wert von mindestens 80% (s. „Soll Minimum“) angestrebt werden. Im Ergebnis sind wesentlich Erfüllungsquoten für die Einzelmaßnahmen von 90 bis 100% festzustellen. Bei der „Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle“ (s. M4) sind die bisher datenschutzrechtlich noch nicht überprüften IT-Fachverfahren berücksichtigt. Zum einen handelt es sich um sog. „Altverfahren“, die zum Zeitpunkt des Inkrafttretens des DSG NRW in 2000 bereits in Betrieb genommen wurden. Die ITsicherheitstechnische Überprüfung erfolgt sukzessive, wenn technische Veränderungen wie z.B. Updates anstehen. Zum anderen wird derzeit ein Abgleich datenschutzrechtlich freigegebener Fachverfahren im Verfahrensverzeichnis bei dem Beauftragten für den Datenschutz mit den beim Amt für Informationsverarbeitung gemeldeten und laufenden IT-Anwendungen vorgenommen, um eine aktuelle Aufstellung über noch ggf. ausstehende Verfahrensfreigaben zu erhalten. Anschließend erfolgt die Erstellung eines Prüfplanes gemeinsam mit dem Amt für Informationsverarbeitung und den zuständigen Fachdienststellen, um die datenschutzrechtliche Vorabkontrolle und Freigabe zeitnah zu gewährleisten. Die eingeschränkte Bewertung bei „Datenschutzgerechte Löschung/ Vernichtung“ (s. M15) erklärt sich aus der Tatsache, dass der gesamtstädtisch erforderliche Aktenplan noch nicht fertiggestellt ist und damit die notwendigen Aufbewahrungs-/ Löschfristen noch nicht festgelegt werden konnten. Das koordinierende Amt für Personal, Organisation und Innovation (11) ist in diesem Zusammenhang seit längerem in Gesprächen mit den Dienststellen, um Teilaktenpläne mit entsprechenden Löschungsfristen auf den Amtsebenen zu erstellen. Aktuell liegen 31 fertige Teilaktenpläne vor, 43 werden derzeit verhandelt, sieben Dienststellen sind in den Aufstellungsprozess noch nicht eingestiegen (Stand 04.11.16). /8 Sachstandsbericht Datenschutz bei der Stadt Köln Festzustellen ist, dass die schleppende Bearbeitung in den Dienststellen mit der hohen Arbeitsbelastung durch die täglichen Fachaufgaben zusammenhängt, wodurch inneradministrielle Aufgaben wie die Erarbeitung von Teilaktenplänen in der Priorisierung in den Hintergrund geraten. Ergänzend zu den sukzessiv zu entwickelnden Teilaktenplänen wird sich die zunehmende Anzahl von Dienststellen, die ihre Sachbearbeitung auf eine elektronische Aktenführung umstellen und bei deren Umsetzung u.a. auch explizit Löschungsfristen für die gespeicherten Fachdaten angegeben werden müssen, die bisher eingeschränkte Qualitätsbewertung der Einzelmaßnahme (M15) schrittweise positiv verändern. Das hohe Qualitätsniveau des Datenschutzes bei der Stadt Köln sowie die Abwesenheit von Auffälligkeiten und Skandalen ist hierbei der guten Zusammenarbeit des Amtes für Informationsverarbeitung (12) mit dem IT-Sicherheitsverantwortlichen einerseits und den sensibel aufgestellten Fachdienststellen andererseits zu verdanken. Die aktuelle Herausforderung besteht darin, den erreichten Standard bei wachsenden Anforderungen zu sich ausweitenden Aufgabenbestandteilen und insbesondere mit Blick auf die Umsetzung der Regelungen aus der Datenschutzgrundverordnung der EU (s. hierzu Ziff. VI und VII) zu erhalten sowie eingeschränkte Qualitätsbewertungen unterhalb der 80%-Erfüllungslinie - wie beschrieben - zu verbessern. Darüber hinaus ist gerade in der heutigen Zeit das Thema Datenschutz von besonderer Dynamik geprägt. Stichworte wie z.B. die zunehmende Digitalisierung der Gesellschaft und die ausweitende Diskussion zur Videoüberwachung im Rahmen der allgemeinen bundesweiten Sicherheitsdebatte sind Bestandteile dieses Sachstandsberichtes (s. Ziff. 0, III und VI) und führen dazu, dass sich die Organisation der Stadtverwaltung über alle Hierarchieebenen hinweg immer wieder auf neue Themen und Fragestellungen einstellen muss, auf die rechtssichere Antworten gefunden werden müssen. /9 Sachstandsbericht Datenschutz bei der Stadt Köln IV. Operative Kennzahlen des behördlichen Datenschutzbeauftragten Bisher wurden operative Kennzahlen zur Tätigkeit des Beauftragten für den Datenschutz nicht strukturiert erhoben und dargestellt. In den nachfolgenden Kategorien wird, in einem ersten Schritt hierzu, mit dem Aufbau eines systematischen Berichtswesens begonnen, welches u.a. wesentlich quantitative Aussagen zu den externen und internen Kontakten im Rahmen der Aufgabenerledigung des Datenschutzbeauftragten zulässt (Gesamtaufstellung hierzu s. Anlage 5). Inhaltskategorien dieses Berichtswesens sind:  externe Erfahrungsaustausche des Beauftragten für den Datenschutz  Mitwirkung in städtischen Gremien und Arbeitskreisen  Durchführung von Schulungen  Datenschutzrechtliche Vorabkontrollen/ Freigabeverfahren (insb. zu IT-Fachverfahren und Datenverarbeitung im Auftrag) Darüber hinaus wurden insgesamt 28 externe Anfragen und Beschwerden an den Beauftragten für den Datenschutz gerichtet (Zeitraum 11/2015 bis 01/2017). Neben einer Vielzahl von Zuständigkeitsweiterleitungen an die Landesbeauftragte für Datenschutz und Informationsfreiheit bezogen sich die Sachverhalte u.a. auf die Tätigkeiten des Amtes für Wohnungswesen (56), des Amtes für Personal, Organisation und Innovation (11) und des Amtes für Kinder, Jugend und Familie (51). Vielfache Anfragen erfolgten zum Thema Videoüberwachung des öffentlichen Raumes. Insgesamt erscheint die im zentralen Datenschutz aufkommende Hinweis- und Beschwerdelage von extern angesichts des Tätigkeitsumfangs der Stadtverwaltung sowohl bei der Leistungs- als auch der Eingriffsverwaltung eher gering zu sein. Die Anzahl der Beschwerden unmittelbar bei den Dienststellen wurde bisher nicht erfasst, entsprechende Nachfragen von dort bei dem Beauftragten für den Datenschutz sind bei der Beschreibung des Aufgabenbestandes, hier der Position „Beratung städtische Dienststellen/ Beschäftigte“, mit enthalten. Die weitere Entwicklung wird beobachtet. / 10 Sachstandsbericht Datenschutz bei der Stadt Köln V. Aufgaben und Aufgabenschwerpunkte in Bewegung (Entwicklung) Gegenüber dem unter Ziff. II geschilderten Aufgabenstand und deren Verteilung auf die vorhandene Stellenkapazität sind nachfolgende zusätzliche Aufwüchse bei bestehenden bzw. neuen Aufgaben festzustellen: 1. Vorabkontrollen Videoüberwachung Im laufenden Prüfprozess stehen derzeit konkret die datenschutzrechtlichen Freigaben für Flüchtlingsunterkünfte (z.Z. 14 Standorte), Kindertagesstätten (z.Z. acht Gebäude) sowie die von der Stadt betriebenen neun Museen, der Neubau des historischen Archivs am Eifelwall und der archäologischen Zone am Historischen Rathaus an. Derzeit laufen hierzu die erforderlichen Abstimmungsgespräche mit den zuständigen Fachdienststellen. 2. Prüfung von Verträgen zur Datenverarbeitung im Auftrag Verstärkt ist festzustellen, dass städtische Dienststellen die Verarbeitung von personenbezogenen Daten durch externe Dritte in Anspruch nehmen. Die Liste der in 2016 datenschutzrechtlich freigegebenen Maßnahmen ist der Anlage 5 (als Teil der operativen Kennzahlen des Datenschutzbeauftragten) zu entnehmen. Kurzfristig stehen u.a. im Amt für Personal, Organisation und Innovation das Online –Bewerbungsverfahren (eRecruiting), Amt für Feuerschutz, Rettungsdienst und Bevölkerungsschutz (eSchließsystem FW Gummersbacher Str.) und Amt für Wohnungswesen (Zutrittskontrolle zu Flüchtlingsunterkünften) weitere datenschutzrechtliche Freigaben an. Eine intensive Einbeziehung des Beauftragten für den Datenschutz im Vorfeld ist sichergestellt. Nach erfolgter datenschutzrechtlicher Vorabkontrolle der Vertragsunterlagen des Auftragnehmers (incl. der getroffenen technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten) durch den Datenschutzbeauftragten ist durch die zuständige Fachdienststelle das Verfahrensverzeichnis zu erstellen. / 11 Sachstandsbericht Datenschutz bei der Stadt Köln 3. Digitalisierung der Verwaltung (eGovernment und eAkten) Im Rahmen der fortschreitenden Digitalisierung der Verwaltung und entsprechender Normierung in den eGovernment-Gesetzen des Bundes und der Länder besteht auch bei der Stadt Köln ein erhöhter Koordinations- und Abstimmungsbedarf bei der Umsetzung von Maßnahmen, wie z.B. der Erstellung einer Rahmendienstvereinbarung mit der Personalvertretung, der Einführung von eAkten in den einzelnen Fachdienststellen, der Nutzung elektronischer Identifikationsoptionen, ePayment-Angebote sowie der De-Mailnutzung. Die Datenschutzrelevanz ist in allen diesen Themen gegeben und bedarf daher entsprechender Begleitung in den städtischen Umsetzungsprozessen durch den Beauftragten für Datenschutz. Die fortlaufende thematische Einbindung hierzu erfolgt durch Teilnahme im dezernatsübergreifenden Arbeitskreis eGovernment (s. hierzu auch Anlage 5). 4. Datenschutzschulungen Neben den bisher bereits durchgeführten allgemeinen Datenschutzschulungen besteht verstärkt Bedarf, sich mit neuen bereichsspezifischen und überwiegend komplexen Rechtsvorschriften – hier z.B. dem aktualisierten Bundesmeldegesetz - auseinander zu setzen und entsprechende Schulungskonzepte zu entwickeln und anzubieten. Im Bereich des Sozialdatenschutzes wurde – neben den durch den Datenschutzbeauftragten regelmäßig durchgeführten Schulungen - pilothaft im Amt für Jugend, Kinder und Familien (51) ein Workshopverfahren initiiert, bei dem, einem Input durch einen externen Fachexperten zur Rechtsmaterie folgend, die amtsspezifische Umsetzung und nachvollziehbare Visualisierung der Ergebnisse zur Vermittlung gegenüber den Mitarbeitern/innen insb. des ASD, GSD und der WJH durch Vorgesetzte vorgenommen wurden. In diesen Prozess war der Datenschutzbeauftragte qualitätssichernd eng eingebunden. Ähnlich angelegte Verfahren werden derzeit angedacht für die Bereiche Gesundheits- und Mitarbeiterdatenschutz. Darüber hinaus ist anvisiert, Datenschutzschulungen für Vorgesetzte – hier insbesondere Amtsleiter/innen und Stellvertreter/innen - zu konzipieren und anzubieten. / 12 Sachstandsbericht Datenschutz bei der Stadt Köln Erste Überlegungen zur Professionalisierung der Schulungen im Bereich Datenschutz gehen in Richtung der Einführung von eLearning-Verfahren. Mit diesen könnten Schulungsinhalte schneller und breiter in die Mitarbeiterschaft getragen werden. Auch die Nachweisführung darüber, dass Schulungen nicht nur angeboten, sondern auch personenbezogen durchgeführt wurden wäre über eine verbindliche Teilnahmeregelung incl. automatisierter Erteilung der Teilnahmebestätigung möglich. 5. Altverfahren überprüfen Zur Beseitigung der niederwertigen Qualitätsbewertung des Datenschutzes (s. hierzu Ziff. III und Ausführungen zur Maßnahme M15) sind erhöhte Aufwände für die IT-sicherheitstechnischen Prüfungen der sog. „Altverfahren“ - in Betrieb vor Inkrafttreten des DSG NRW im Jahr 2000 - sowie die Prüfung der in den Fachdienststellen ggf. bereits laufenden aber datenschutzrechtlich noch nicht freigegebenen Fachanwendungen zu verzeichnen. 6. Dienststelleninterner/ dezentraler Datenschutz Im Nachgang zu dem derzeit erfolgenden Terminlauf des Beauftragten für den Datenschutz mit allen von den Dienststellenleitungen benannten Personen, die den Datenschutz in der Dienststelle dezentral umsetzen, ist vorgesehen ein- bis zweimal im Jahr ein Treffen aller dezentral Verantwortlichen mit dem Datenschutzbeauftragten zu organisieren, um neben inhaltlichem Input die Vernetzung untereinander zu verstärken. Unabhängig davon werden alle von den Dienststellen – im Rahmen der laufenden Aktualisierung der Meldungen der Fachämter durch den Datenschutzbeauftragten - neu ernannten dezentralen Datenschutzbeauftragten in einem qualifizierten Informationsgespräch auf ihre zukünftige Funktion durch den Datenschutzbeauftragten vorbereitet. / 13 Sachstandsbericht Datenschutz bei der Stadt Köln VI. Auswirkungen der Datenschutzgrundverordnung der EU und Vorschlag zum Umsetzungsprozess in der Stadtverwaltung Köln 1. Auswirkungen der DSGVO Besondere Bedeutung bei der Betrachtung des sich verändernden Aufgabenfeldes im behördlichen Datenschutz erlangen derzeit die Auswirkungen der EUDatenschutzgrundverordnung (DSGVO). Diese ist am 25.05.16 in Kraft getreten und wird zum 25.05.18 verbindlich anzuwendendes Recht für alle EUMitgliedsstaaten. Wesentliche Grundlagen aus dem im europäischen Vergleich strikten deutschen Datenschutzrecht konnten in der vorgelagerten Diskussion der EUBeschlussgremien und letztendlich beim Beschluss der DSGVO erhalten werden. Festzustellen ist derzeit allerdings, dass es im Detail noch deutlich erkennbare Unsicherheiten bei der operativen Umsetzung sowohl auf Bundes- und Landesebene als auch bei den Kommunen und deren Interessenvertretungen gibt. Die DSGVO generiert unmittelbar geltendes Recht, ist also von den Mitgliedsstaaten nicht nochmals zu ratifizieren. Sie enthält Öffnungsklauseln, also Spielräume für nationales Recht (z.B. im Bereich des Beschäftigtendatenschutzes) sowie Regelungsaufträge (sog. „Harmonisierungsgebote“), z.B. zur Ausgestaltung der Aufsichtsbehörden, zum Rechtsschutz bei Verhängung von Geldbußen sowie zu Regelungen für die Meinungs-, Informations- und Pressefreiheit. Die Öffnungsklauseln beziehen sich u.a. auch auf bestehende bereichsspezifische Regelungen der Mitgliedsländer. So können nach derzeitiger Lesart z.B. Fachregelungen wie Sozial- und Gesundheitsdatenschutz beibehalten werden. Daneben müssen andere nationale Regelungen im Rahmen von Normenscreenings/ Rechtsbereinigung auf Vereinbarkeit mit DSGVO geprüft und ggf. angepasst werden. Dies erfolgt durch die zuständigen Innen- und Rechtsressorts von Bund und Ländern. Das in diesem Zusammenhang neu zu gestaltende Bundesdatenschutzgesetz (BDSG-neu) und die – sofern noch Regelungsspielräume vorhanden – ggf. zu entwickelnden Landesdatenschutzgesetze werden dann zu Ausführungsgesetzen der DSGVO. Entwürfe für eine BDSG-neu als Umsetzungsgesetz für die DSGVO liegen bereits vor (zuletzt Kabinettsentwurf v. 01.02.17). / 14 Sachstandsbericht Datenschutz bei der Stadt Köln Über den Arbeitsstand für ein mögliches Landesdatenschutzgesetz NRW liegen hier bisher keine Erkenntnisse vor. Konkret wirken sich die Regelungen der DSGVO auf die Stadtverwaltung Köln in der Weise aus, dass umfassende Rechenschafts- und Dokumentationspflichten im Zusammenhang mit dem Umgang personenbezogener Daten auferlegt werden, ausgeweitete Informationspflichten gegenüber den Betroffenen zu erfüllen sind und Verschiebungen von Verantwortlichkeiten zwischen dem Beauftragten für den Datenschutz und den Fachdienststellen (Verantwortliche) vorgenommen werden. Parallel dazu erfolgt eine Schwerpunktsetzung innerhalb der Aufgaben des Datenschutzbeauftragten weg von dem bisherigen Hinwirkungs- hin zu einem verstärkten Überwachungsauftrag. Es besteht somit die Notwendigkeit, übertragbare datenschutzrechtliche- und ITsicherheitstechnische Regelungen sowie die eingeübten, bewährten Verfahrensweisen beim Umgang mit personenbezogenen Daten innerhalb der Stadtverwaltung Köln zu einem DSGVO-konformen Datenschutzmanagement weiter zu entwickeln. Zu den v.g. einzelnen sich ändernden Rahmenbedingungen und Vorgaben der DSGVO ist Folgendes auszuführen: a) Rechenschafts- und Dokumentationspflichten („Accountability“) Die umfassenden Rechenschaftspflichten verpflichten die Behörden in dem Sinn, dass die Rechtmäßigkeit des Handelns aus datenschutzrechtlicher Sicht jederzeit nachgewiesen werden muss. Es handelt sich hierbei um eine Umkehr der Beweislast: war die Behörde bisher verpflichtet bei Verstößen nachzuweisen, dass sie rechtmäßig gehandelt hat, ist sie jetzt aufgefordert, diesen Nachweis durch ein funktionierendes Datenschutzmanagement systemimmanent bereits im Vorfeld sicherzustellen. Die DSGVO legt hierbei fest, dass dieser Nachweis jederzeit - also nicht erst bei vermuteten oder tatsächlichen Verstößen und unabhängig vom Vorhandensein/ Tätigwerden eines Datenschutzbeauftragten erbracht werden muss. Verantwortlich für die Vorhaltung und Funktionsfähigkeit dieses Datenschutzmanagementsystems ist die verantwortliche Stelle, also die hierarchisch gegliederte Verwaltung. / 15 Sachstandsbericht Datenschutz bei der Stadt Köln Wesentliche Bestandteile dieser Nachweis- und Dokumentationspflichten sind u.a. datenschutz- und IT-sicherheitstechnische Regelungen zu Zuständigkeiten und Verfahrensabläufen, Regelungen zu meldepflichtigen Datenschutzverstößen (Sicherheitsvorfälle) gegenüber der Landesbeauftragten für Datenschutz und Informationsfreiheit, durchgeführte „Datenschutzfolgeabschätzungen“ und Prüfungen der Verarbeitungstätigkeiten (Datenverarbeitung im Auftrag). Zu beachten sind hierbei ebenfalls die besonderen Anforderungen der DSGVO an den Einsatz „datenschutzfreundlicher Technologien“ (Privacy-by-Design - Datenschutz bereits bei der Entwicklung von IT-Verfahren mitdenken und Privacy-by-Default datenschutzfreundliche Voreinstellungen in den IT-Fachverfahren vorsehen) sowie ein IT-Sicherheitsmanagement nach dem „Stand der Technik“. Explizit fordert die DSGVO ebenso wiederkehrende Wirksamkeitsprüfungen innerhalb des Datenschutzmanagementsystems und dessen Bestandteilen incl. Überprüfung, Bewertung und Evaluation der Wirksamkeit der zum Schutz der personenbezogenen Daten getroffenen technischen und organisatorischen Maßnahmen im Sinne eines kontinuierlichen Verbesserungsprozesses. b) Informationspflichten gegenüber den Betroffenen An ein Datenschutzmanagementsystem, das mit den Regelungen der DSGVO konform geht, werden zukünftig erweiterte Informationsanforderungen im unmittelbaren Kontakt mit den Bürgerinnen und Bürgern gestellt. In einer einfachen und verständlichen Sprache sind bei elektronischen oder analogen Antragsverfahren bzw. bei der Nutzung von städtischen Dienstleistungen (Onlineangebote) die Betroffenen über die datenschutzrechtlichen Rahmenbedingungen ihrer Beziehung zur Stadtverwaltung Köln umfassend aufzuklären. Wesentlich ausführlicher als bisher sind u.a. der Zweck und die Legitimation der Datenverarbeitung, Hinweise auf die Betroffenenrechte, Weitergaben und Empfänger der personenbezogenen Daten und Hinweise zu Beschwerdeinstanzen darzulegen. Alle diesbezüglichen Prozesse innerhalb der Stadtverwaltung sind nach diesen Vorgaben zu überprüfen. Die Verantwortung hierfür obliegt ebenfalls der verantwortlichen Stelle. / 16 Sachstandsbericht Datenschutz bei der Stadt Köln c) Verschiebungen von Verantwortlichkeiten zwischen dem Beauftragten für den Datenschutz und den Fachdienststellen – Schwerpunktsetzung bei den Aufgaben des Beauftragten für den Datenschutz Die Stellung der behördlichen Datenschutzbeauftragten bleibt vergleichbar der bisherigen Regelungen aus dem DSG NRW erhalten (insb. Weisungsfreiheit und Anbindung an die höchste Managementebene der verantwortlichen Stelle). Die bisherigen Aufgaben der Unterrichtung und Beratung der Oberbürgermeisterin als Leiterin der verantwortlichen Stelle Stadt Köln, der nachgeordneten Führungskräfte sowie der Beschäftigten bleiben für den Datenschutzbeauftragten ebenfalls unberührt erhalten. Verantwortungsverschiebungen sind insb. bei der Einführung von komplexen ITVerfahren mit besonders sensiblen Daten sowie Prüfungen der Videoüberwachung im Wege der sog. „Datenschutzfolgeabschätzung“ zu verzeichnen. Hierfür werden zukünftig die Leiter der Fachdienststellen (Amts- und Dienststellenleiter) zuständig sein, der Beauftragte für den Datenschutz ist hierbei mit einem verbindlichen Beratungs- und Überwachungsauftrag in diesen Prozess weiterhin eingebunden. Um die Bedeutung dieser Regelung deutlich zu machen, wird nachfolgend der Prüfprozess für die Inbetriebnahme eines IT-Verfahrens in einer Fachdienststelle - mit besonderem Blick auf die Vorgaben der in der DSGVO in diesem Zusammenhang geregelten „Datenschutzfolgeabschätzung“ - beschrieben: Auf der Grundlage eines risikoorientierten Klassifizierungsbogens (systematische Einstufung der zu verarbeitenden personenbezogenen Daten nach deren Sensibilität und Auswirkungen bei Bekanntwerden für die Betroffenen), einer datenschutzrechtlichen Fachamtsbeschreibung (Sicherheitsbeschreibung für die Dienststelle), einer Sicherheitsanalyse des Amtes für Informationsverarbeitung (bezogen auf die Sicherheit innerhalb des gesamtstädtischen IT-Netzes – CAN) sowie einer Vorabkontrolle als Prüfung der datenschutzrechtlichen Unbedenklichkeit erfolgte (bisher) abschließend die Freigabe eines alle datenschutzrechtlichen Aspekte zusammenfassenden Verfahrensverzeichnisses durch den Datenschutzbeauftragten. Diese Aufgabe ist zukünftig in der Verantwortung der Dienststellenleitungen wahrzunehmen / 17 Sachstandsbericht Datenschutz bei der Stadt Köln Noch ist nicht abschließend geklärt, ob dieses bei der Stadt Köln praktizierte qualitätsvolle datenschutzrechtliche Inbetriebnahmeverfahren für ITFachanwendungen den Anforderungen der DSGVO an eine „Datenschutzfolgeabschätzung“ entspricht, bzw. ob eine Modifizierung der bisherigen Prozesse erforderlich ist. Angestrebt wird in jedem Fall, auch die Inbetriebnahmen von Fachverfahren unterhalb der definierten Prüfschwelle der „Datenschutzfolgeabschätzung“ (gefordert für komplexe Verfahren mit besonders schützenswerten personenbezogenen Daten) wie bisher dem geschilderten qualifizierten datenschutzrechtlichen Freigabeverfahren zu unterziehen. Über die Verschiebung der Verantwortung für die „Datenschutzfolgeabschätzung“ hinaus wird der Kontroll- und Überwachungsaspekt, der sich aus der bisherigen Hinwirkungspflicht des Datenschutzbeauftragten abgeleitet hat, deutlich hervorgehoben und verstärkt: zukünftig ist neben der Überwachung der Einhaltung datenschutzrechtlicher Vorgaben (incl. interner Dienstanweisungen und Regelungen) insb. die Funktionsfähigkeit des Datenschutzmanagements als solches - also der Gesamtheit aller Regelungen zum Datenschutz und der ITSicherheit - der verantwortlichen Stelle Stadtverwaltung Köln durch den Beauftragten für den Datenschutz zu kontrollieren. Hierbei ist besonderes Augenmerk auf die für die personenbezogenen Daten bestehenden Risiken bei der Verarbeitung durch die städtischen Dienststellen zu legen (Risikoorientierung). Insgesamt bleibt festzuhalten, dass durch die umfassenden Informations- und Rechenschaftspflichten sowie Verschiebungen im Aufgabenprofil des Beauftragten für den Datenschutz spürbare Veränderungen in der datenschutzrechtlichen Verantwortungsstruktur, auf der Ebene der Verwaltungs- und internen Genehmigungsverfahren (Prozesse) sowie der Ebene der Datenschutzmanagementsystematik bei der Stadtverwaltung Köln zu verzeichnen sind. Vor diesem Hintergrund ist die bestehende „Dienstanweisung Datenschutz bei der Stadtverwaltung Köln“ umfassend zu überarbeiten. Zur weiteren inhaltlichen Schärfung der mit der DSGVO einhergehenden Veränderungen sowie deren operative Auswirkungen für die Stadtverwaltung Köln erfolgt die laufende Teilnahme des Beauftragten für den Datenschutz an diversen Arbeitskreisen, Symposien, Fachtagungen und Kongressen der etablierten Datenschutzszene (u.a. Städtetag, KDN, GDD/ Datakontext; s. auch Anlage 5). / 18 Sachstandsbericht Datenschutz bei der Stadt Köln In diesem Zusammenhang wurde auch Kontakt zur Landesbeauftragten für Datenschutz und Informationsfreiheit aufgenommen, mit dem Ziel zunächst in einem ersten Schritt relevante Positionen und Vorstellungen mit Blick auf die Umsetzungsnotwendigkeiten im Rahmen der DSGVO auszutauschen. 2. Vorschlag zum Umsetzungsprozess zu den Regelungen der DSGVO Die Verantwortung für die Umsetzung der Regelungen der DSGVO obliegt der verantwortlichen Stelle, somit der Oberbürgermeisterin bzw. den nachgeordneten Organisationsstrukturen als dezernats-/ amtsübergreifende Querschnittsaufgabe. Der sinnvollerweise als Projekt gestaltete Umsetzungsprozess wird durch den Beauftragten für den Datenschutz angestoßen und fachinhaltlich koordiniert. In diesem Zusammenhang wird die Bildung einer interdisziplinären Projektgruppe „Umsetzung der DSGVO bei der Stadt Köln“ unter verantwortlicher Federführung des OB-Büros und fachinhaltlicher Koordination des Beauftragten für den Datenschutz vorgeschlagen. Erforderliche weitere Beteiligte sind der IT-Sicherheitsbeauftragte (12/1), das Amt für Informationsverarbeitung (12), Vertreter der Dezernatsbüros, Vertreter der Fachdienststellen (incl. dezentrale Datenschutzbeauftragte) sowie das Amt für Personal, Organisation und Innovation (11) als organisationsfachliche Begleitung. Empfohlen wird auch die frühzeitige Einbeziehung der Personalvertretung. Eine Übersicht zu Aufstellung der Projektgruppe und Beschreibung der Funktionen der zu beteiligenden Akteure sind den Anlagen 6 und 7 zu entnehmen. Vorgeschlagen wird ein Vorgehen in zwei Phasen (s. auch Anlage 8): 1. Phase: Zwei bis drei große Fachämter durchlaufen den Umsetzungsprozess nach der DSGVO pilothaft (z.B. 32, 50 und 51). Aus den Erfahrungen hieraus wird ein übertragbares Vorgehensmodell für die anderen Fachdienststellen entwickelt. Dauer: bis zu 3 Monaten Pilotphase / 19 Sachstandsbericht Datenschutz bei der Stadt Köln 2. Phase: Das entwickelte Vorgehensmodell wird auf die übrigen Fachdienststellen ausgerollt. Dauer: Umsetzung nach Pilotphase bis 05/2018 Angesichts des Implementierungszeitpunktes (05/2018) sollte die Gründung und Einberufung der ersten Sitzung der Projektgruppe im 1. Quartal 2017 durch Frau Oberbürgermeisterin Reker vorgenommen werden. Bis auf weiteres ist von einem monatlichen Sitzungsturnus auf Arbeitsebene auszugehen. Begleitende Maßnahmen im Umsetzungs- und Projektprozess sollten sein:  laufende Information der Mitarbeiter/ innen und Führungskräfte zu allgemeingültigen Informationen und ggf. wichtigen Themenschwerpunkten (über Intranet)  Information in Ämterrunden der Dezernate (durch den Datenschutzbeauftragten)  ggf. Veröffentlichung der Protokolle aus der interdisziplinären Projektgruppe  Information über das Ergebnis nach dem Umsetzungsprozess (Elemente und Wirkung des neuen Datenschutzmanagementsystems)  Evaluation und Statusprüfung des Umsetzungsprozesses zu 05/2018 / 20 Sachstandsbericht Datenschutz bei der Stadt Köln Fazit/ Ausblick In der Gesamtschau ist festzustellen, dass sich der Datenschutz – bis auf kleinere Ausnahmen im Bereich der Qualitätsbewertung (s. Ziff. III) – in einem hochwertigen und funktionierenden Zustand befindet. Verantwortlichkeiten und Prozesse zu datenschutzrechtlichen und IT-sicherheitstechnischen Erfordernissen, die dem Schutz der personenbezogenen Daten der Bürgerinnen und Bürgern sowie der Beschäftigten der Stadt Köln dienen, sind definiert, eingeübt und werden umgesetzt. Unabhängig davon bestehende Gefahren z.B. von außen durch Hacker können nur durch große datenschutzrechtliche Fachlichkeit und Sorgfalt bei allen in dieser Verantwortung handelnden Akteuren minimiert, aber nicht gänzlich ausgeschlossen werden. Mit Blick auf die aktuellen Anforderungen im Rahmen der Umsetzung der DSGVO liegen gute Voraussetzungen vor, den zweijährigen Etablierungsprozess bis 05/2018 erfolgreich zu gestalten. Auf vorhandene Regelungen und eingespielte Systeme kann aufgebaut werden. Es ist ratsam, dass die vorgeschlagene interdisziplinäre Projektgruppe schnellstmöglich ihre Arbeit aufnimmt, um den Fachdienststellen die erforderlichen Prüf- und Umstellungsarbeiten fristgerecht zu ermöglichen. Die Stadtverwaltung Köln erfasst täglich hunderte personenbezogene Daten und die Bürgerinnen und Bürger verlassen sich darauf, dass mit diesen Daten verantwortlich umgegangen wird. Die Kenntnisse über die rechtlichen Notwendigkeiten des Datenschutzes sind hierbei unabdingbare Voraussetzung für die Fachdienststellen, um den steigenden Anforderungen in diesem Bereich gerecht zu werden. Vor diesem Hintergrund erscheint es sinnvoll, das Thema Datenschutz deutlicher als bisher in den Blickpunkt zu rücken. Als erster Schritt hierzu soll dieser Sachstandsbericht dienen, der nach Vorstellung und Beratung im Stadtvorstand sowohl in den politischen Gremien (Unterausschuss digitale Kommunikation und Organisation und ggf. Ausschuss allgemeine Verwaltung und Rechtsfragen) behandelt als auch allen Mitarbeitern/ innen und Führungskräften zugänglich gemacht werden soll. Vorgesehen ist eine wiederkehrende Berichterstattung über den Datenschutz bei der Stadt Köln, mindestens alle 3 Jahre. / 21 Sachstandsbericht Datenschutz bei der Stadt Köln Mittelfristig wird darüber nachgedacht, die in der DSGVO eröffnete Möglichkeit für eine Zertifizierung des Datenschutzes bei der Stadtverwaltung Köln wahrzunehmen. Hierbei sollen die durch die Aufsichtsbehörden (Landesbeauftragte für Datenschutz und Informationsfreiheit NRW in Düsseldorf) und Zertifizierungsstellen zu erarbeitenden Vorgaben abgewartet werden. Weiterhin soll das Aufgabengebiet des Beauftragten für den Datenschutz in das Projekt zur Einführung der elektronischen Akte (eAkte) beim Amt für Informationsverarbeitung aufgenommen werden. / 22 Sachstandsbericht Datenschutz bei der Stadt Köln Beauftragter für den Datenschutz (OB/7) Spanischer Bau Rathausplatz 50667 Köln Frank Fricke Telefon: 0221/ 221-22457 Datenschutzbeauftragter@Stadt-Koeln.de www.stadt-koeln.de / 23 Sachstandsbericht Datenschutz bei der Stadt Köln Anlage 1 (verantwortliche Stelle bzw. Verantwortlicher) Datenschutzschutzbeauf.* verantwortet OB`in Leitungskräfte *Hinwirkungsauftrag setzen um und kontrollieren (Beig., AL, AbtL) Beschäftigte beachten (Fachämter, Dienststellen) dez. DSB / 24 Sachstandsbericht Datenschutz bei der Stadt Köln Anlage 2 Datenschutz – Aufgabenbestand/ -verteilung (bis 2015/ 2016) Digitalisierung 2% Videoüberw. 5% DViA 5% Beratung Dienstst./ städt. Beschäftigte 25% Schulungen 20% Vertretung in externen Gremien 2% Mitwirkung bei städt. Regelungen 1% Beratung Bürger 5% Inbetriebnahme ITVerfahren 35% / 25 Sachstandsbericht Datenschutz bei der Stadt Köln Anlage 3 Qualität des Datenschutzes - Maßnahmenkriterien Kennzeichen M1 Maßnahmenbezeichnung Kriterium/ Beschreibung Datenschutzmanagement Datenschutzrichtlinie vorhanden? M2 Regelungen der Verantwortlichkeiten M3 Datenschutzkonzept M4 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrollen Festlegung der technischen und organisatorischen Maßnahmen Betrieblicher Datenschutzbeauftragter mit erforderlicher Fachkenntnis und Ressourcen bestellt? Ist die Einbindung des Datenschutzbeauftragten in die Prüfprozesse sichergestellt? Gibt es eine Funktions-/ Aufgabenbeschreibung des Datenschutzbeauftragten? Werden datenschutzrechtliche Vorabkontrollen durchgeführt? Wird nach den Grundsätzen des BSIGrundschutzes gearbeitet? Liegt ein ITSicherheitsmanagement vor? Sind Mitarbeiter/ innen auf das Datengeheimnis verpflichtet? Werden Schulungen durchgeführt? Werden Eingaben/ Beschwerden zügig erledigt? Ist Das Verfahren bei Auskunfts-, Berichtigung-, Sperrungs- und Löschverlangen geregelt? Ist ein Verfahrensverzeichnis beim Datenschutzbeauftragten vorhanden? Ist sichergestellt, dass Änderungen im „Lebenszyklus“ eines Verfahrens zuverlässig gemeldet werden? Ist die Einbindung des Datenschutzbeauftragten geregelt? Wurden die technischen und organisatorischen Anforderungen bei automatisierten Abrufverfahren eingehalten? Ist Einbeziehung des Datenschutzbeauftragten sichergestellt? Nimmt der Datenschutzbeauftragte seine Kontrollpflichten wahr? Liegt eine Liste der der Auftragnehmer vor? Werden alle Datenverwendungen auf Zweckbindung und Rechtsgrundlage geprüft? Sind diese Informationen im Verfahrensverzeichnis enthalten? M5 M6 Verpflichtung/ Unterrichtung der Mitarbeiter/ innen M7 Organisatorische Maßnahmen zur Sicherstellung der Rechte der Betroffenen M8 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten M9 Datenschutzrechtliche Freigaben M10 Meldung und Regelung von Abrufverfahren M11 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung von personenbezogenen Daten M12 Regelung der Verknüpfung und Verwendung der Daten (Zweckbindung) / 26 Sachstandsbericht Datenschutz bei der Stadt Köln Kennzeichen M13 Maßnahmenbezeichnung Kriterium/ Beschreibung Dokumentation der datenschutzrechtlichen Zulässigkeit M14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Datenschutzkontrolle) M15 Datenschutzgerechte Löschung/ Vernichtung Ist die Dokumentation geeignet, die datenschutzrechtliche Zulässigkeit der eingesetzten Verfahren zu belegen? Gibt es eine regelmäßige Berichterstattung des Datenschutzbeauftragten? Wird der Datenschutzbeauftragte durch andere Kontrollinstanzen unterstützt (z.B. Innenrevision)? Prüft der Datenschutzbeauftragte regelmäßig die Einträge im Verfahrensverzeichnis auf Aktualität? Hat der Datenschutzbeauftragte die Möglichkeit, seine Fachkunde auf den neuesten Stand zu bringen? Werden die Daten nach Wegfall der Rechtsgrundlage für die Verarbeitung gelöscht oder gesperrt? / 27 Sachstandsbericht Datenschutz bei der Stadt Köln Anlage 4 Qualität des Datenschutzes - Maßnahmenbewertung Maximum (100%) Soll Minimum (80%) Bewertung M1 DS-Management M15 Datenschutzgerechte Löschung/Vernichtung M14 Aufrechterhaltung des Datenschutzes im laufenden Betrieb (Datenschutzkontrolle) M13 Dokumentation der datenschutzrechtlichen Zulässigkeit M12 Regelung der Verknüpfung und Verwendung von Daten (Zweckbindung) M11 Regelung der Auftragsdatenverarbeitung bei der Verarbeitung personenbezogener Daten 100 90 80 70 60 50 40 30 20 10 0 M2 Regelung der Verantwortlichkeiten im Bereich Datenschutz M3 Datenschutzkonzept M4 Prüfung rechtlicher Rahmenbedingungen und Vorabkontrolle M5 Festlegung von technischorganisatorischen Maßnahmen entsprechend dem Stand der Technik M6 Verpflichtung/Unterrichtung der Mitarbeiter M10 Meldung und Regelung von Abrufverfahren M9 Datenschutzrechtliche Freigabe M7 Organisatorische Verfahren zur Sicherstellung der Rechte der Betroffenen M8 Führung von Verfahrensverzeichnissen und Erfüllung der Meldepflichten durchschnittl. Maßnahmenerfüllung 88,67 / 28 Sachstandsbericht Datenschutz bei der Stadt Köln Anlage 5 Operative Kennzahlen des Datenschutzbeauftragten Kennzahl-Kategorie Kennzahl Ausprägung Bemerkung Externe Erfahrungsaustausche Arbeitskreis Datenschutz des Deutschen Städtetages Arbeitskreis Datenschutz beim KDN Dachverband kommunaler Dienstleister Erfahrungskreis der Gesellschaft für Datenschutz und Datensicherheit (GDD) Teilnahme an Datenschutzfachtagungen (z.B. DAFTA und Praxisworkshops) Teilnahme an Fachseminaren und Symposien (z.B. von Datakontext) Arbeitsgruppe Datenschutz bei der Vitako – Bundesarbeitsgemeinschaft der kommunalen IT-Dienstleister Kontakte zu Fachthemen mit Datenschutzbeauftragten anderer Kommunen Kontakte zu Datenschutzbeauftragten der Universität zu Köln sowie den Kliniken der Stadt Köln Kontakt zur Beauftragten für Datenschutz und Informationsfreiheit NRW in Düsseldorf Teilnahme an den Sitzungen des Unterausschusses digitale Kommunikation und Organisation (UdiKO) Teilnahme an den Sitzungen des SKIT (ITSicherheitsbeirat) Teilnahme am Intranet-Beirat Teilnahme im Arbeitskreis eGovernment Teilnahme an der Arbeitsgruppe Schriftgutordnung Allgemeine Datenschutzschulungen für neue Mitarbeiter/ innen bzw. Auffrischungsschulungen Schulungen im Sozialdatenschutz Schulungen zum Meldewesen in den Kundenzentren Angebot zu Fachschulungen im Personalund Gesundheitswesen Informationsveranstaltungen für Dienststellenleiter/ innen und Stellvertreter/ innen 2x jährlich Mitwirkung in städtischen Gremien und Arbeitskreisen Durchführung von Schulungen bei Themenbezug regelmäßig bei Angeboten bei Angeboten bei Themenbezug themenbezogen Beginn eines regelmäßigen Austausches Beginn eines regelmäßigen Austausches Fachgremium des Rates innerstädt. Gremium innerstädt. Gremium innerstädt. Gremium durch den Beauftragten für Datenschutz s.o. mit externer Unterstützung wird konzipiert / 29 Sachstandsbericht Datenschutz bei der Stadt Köln Kennzahl-Kategorie Kennzahl Ausprägung Bemerkung Datenschutzrechtliche Freigaben zu ITFachverfahren Beihilfe NRW plus (bei 1100/3) (Verfahrensfreigaben seit Sept. 2015) DocBrigde FileCab (bei 12) zentrales Druckmanagement von Office-Dokumenten (Basisverfahren) datenbankbasierender Sendepool zur Bewältigung der vielfältigen Anforderungen an ein modernes Druck- und Versendemanagement Beitragserhebung für Erschließungs- und Straßenbaubeiträge Erfassung und Bearbeitung von Daten zur Erstellung von Wohnberechtigungsscheinen DocBrigde Pilot-Session (bei 12) KommunalRegie (bei 23) Wohnung2000 (bei 56) eAuskunft (bei 32) Zugriff auf Gewerbedaten eMeldung (bei 32) s.o. ePayBL – Basismodul (bei 12) unterstützt als Basiskomponente die Abwicklung verschiedener eGovernment-Lösungen bei internetbasierten Zahlungstransaktionen Abwicklungssoftware für ePayBL (s.o.) Adressdatenbank EPA-Datei Cobra CRM Pro (für CDU-Fraktion) Morgenstadt (für 61) Restaurierungs- und Dokumentationsmodul – RDM (bei 44) Vertragsmanagement (bei 30) SAP-PSCD (bei 21) Interaktives Beteiligungstool im Rahmen von gemeindlichen Bauleitverfahren dient der Erfassung von Arbeitsschritten und Zeitaufwänden im Rahmen der Restaurierung der Archivalien nach dem Einsturz des historischen Archivs Speicherung und Verwaltung von Vertragsakten dient zur Überwachung der Einnahmen städtischer Dienststellen und zur Forderungsverwaltung / 30 Sachstandsbericht Datenschutz bei der Stadt Köln Kennzahl-Kategorie Kennzahl Ausprägung Bemerkung Datenschutzrechtliche Freigaben zu ITFachverfahren (Fortsetzung) Dips.kommunal (bei 44) versetzt das historische Archiv in die Lage strukturierte und unstrukturierte Datenmengen in das städtische CAN zu und in einem strukturierten, nachvollziehbaren Workflow in das elektronische Langzeitarchiv zu übernehmen Abwicklung der Zeitwirtschaft städt. Beschäftigter u.a. mit den Funktionalitäten zur Arbeitszeiterfassung, Antragstellung diverser Abwesenheitszeiten wie Urlaub, Dienstreise etc. (datenschutzrechtliche Freigaben in 2016) „Personal-Kiosk“ als Teilmodul zu SAP ERP HCM (bei 11) Datenverarbeitung im Auftrag (DViA) Videoüberwachung Kommunaler Mikrozensus – Umfrage „Leben in Köln“ (bei 15) BeihilfeNRWplus – Gebietszentrum (bei 1100/3) Wohnung2000 – Betrieb/ Hosting über Stadt Bonn und die Fa. KSU (bei 56) econetISM (ehem. cMatrix), DViA Datenabzug für Datenmigration (bei 12) Bereitstellung De-Mail durch Fa. MentanaClaimsoft GmbH (bei 1300) VPM-Vergabemarktplatz (bei 27) (derzeit laufen 6 weitere Maßnahmen verschiedener Dienststellen in diesem Bereich) Aufzählung s. Ziff. VI Nr. 1 Mitwirkung bei Rahmendienstvereinbarung EDienstvereinbarungen/ Government (bei 11/ 1300) -anweisungen und Richtlinien Dienstanweisung zur Bedienung und Benutzung des Videobeobachtungssystems der Verkehrsleitzentrale Köln (bei 66) (anstehend: Überprüfung aller Dienstvereinbarungen/ -anweisungen und Richtlinien bei Umsetzung der DSGVO auf Übereinstimmung mit den neuen Vorgaben) / 31 Sachstandsbericht Datenschutz bei der Stadt Köln Anlage 6 Bildung einer interdisziplinären Projektgruppe zur Umsetzung der DSGVO- Übersicht Umsetzungsverantwortung obliegt verantwortlicher Stelle bzw. Verantwortlichen OB/7 DSB Büro OB Dez./ Dst. (dez. DSB) Projektgruppe „Umsetzung der DSGVO“ bei der Stadt Köln" 12/1 (IT-Si.) 11 GPR 12 1300 / 32 Sachstandsbericht Datenschutz bei der Stadt Köln Anlage 7 Bildung einer interdisziplinären Projektgruppe zur Umsetzung der DSGVO - Funktionen der beteiligten Akteure Amt Funktion in der Projektgruppe OB-Büro Federführung und Leitung der Projektgruppe als oberste umsetzungsverantwortliche Stelle für die Stadtverwaltung Köln (i.V. für Fr. OB`in Reker) OB/7 Fachinhaltliche Koordination: fachliche Steuerung mit Input zur Umsetzung der inhaltlichen Anforderungen Dez. I-VII Vertreter der Fachdezernate für die verantwortlichen Stellen (Fachämter/ Dienststellen) in ihrem Geschäftsbereich Dienststellen Vertreter der Dienststellen/ Fachämter (Funktionseinheiten) als verantwortliche Stelle für die Umsetzung des Datenschutzes (hier insb. Datenschutzfolgeabschätzungen – Inbetriebnahme von IT-Fachverfahren und Videoüberwachung sowie Verarbeitungstätigkeiten – ehem. Datenverarbeitung im Auftrag). 12 Verantwortliche für die IT-technische Umsetzung (Dienstleister) 12/1 Verantwortlich für die IT-Sicherheit dez. DSB Operative Umsetzungsebene für den Datenschutz in den Dienststellen/ Fachämtern 11/ 112 Laufende organisatorische Begleitung GPR Frühzeitige Beteiligung der Personalvertretung zu den strukturellen Veränderungen aus dem Umsetzungsprozess; Dienstvereinbarungen aktualisieren / 33 Sachstandsbericht Datenschutz bei der Stadt Köln Anlage 8 Umsetzung der DSGVO – Ablauf- und Zeitplanung 06/2017 05/2018 01/2018 Dauer der interdisziplinären Projektgruppe (gesamt) ab 1. Quartal bis 05/2018 Entwíckl. eines Verfahrensmodells (mit Pilotämtern) ab 1. Quartal 2017 bis 06/2017 Umsetzung Verfahrensmodell (Roll-Out gesamt für alle Dienststellen) ab 06/2017 Umsetzung Verfahrensmodell auf alle Ämter Bestandsaufnahme/ Evaluation ab 1. Quartal 2018 bis 4. Quartal 2018 / 34