Beschlussvorlage (Datenschutz und Informationssicherheit als Dienstleistung)

GEMEINDE HÜRTGENWALD Beschlussvorlage Nr.: Der Bürgermeister Gremium Termin Gemeinderat 29.11.2018 160/2018 Abteilung: Sachbearbeiter: I Abt. 2 Herr Görner Aktenzeichen: Datum: 042.5 05.11.2018 TOP-Nr. öffentlich Datenschutz und Informationssicherheit als Dienstleistung Beschlussvorschlag: Der Rat der Gemeinde Hürtgenwald nimmt den Sachverhalt zur Kenntnis und beschließt, sich für die künftige Gewährleistung des Datenschutzes und der Informationssicherheit in den gemeindlichen Einrichtungen eines externen Datenschutz- und Informationssicherheitsbeauftragten zu bedienen und beauftragt den Bürgermeister, ab dem nächstmöglichen Zeitpunkt die KDVZ RheinErft-Rur in Frechen mit dieser Dienstleistung zu beauftragen. Finanzielle Auswirkungen ? Ja Produkt: 90121 jährlich ca. 15.000,00 € Sachverhalt: Am 25.05.2018 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DatenschutzGrundverordnung) in Kraft getreten. Diese Verordnung ist allgemein bekannt unter den Abkürzungen EU-DSGVO oder DSGVO. Nationale Rechtsgrundlagen sind angepasst worden. Für das Land Nordrhein-Westfalen gilt das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) vom 17.05.2018, dass ebenfalls zum 25.05.2018 in Kraft. - Seite 1 von 3 - Obwohl auch bisher bereits Datenschutzgesetze bestanden und die öffentliche Verwaltung u.a. verpflichtet hat, einen Datenschutzbeauftragten zu bestellen, sind durch die neue bzw. angepasste Gesetzgebung vielfältige Aufgaben auf die Kommunalverwaltung im Zusammenhang mit Datenschutz und Informationssicherheit hinzugekommen. Hierdurch erfolgt grundsätzlich eine deutliche Bindung von personellen Ressourcen innerhalb der Gemeindeverwaltung. Als Aufgaben des Datenschutz- und Informationssicherheitsbeauftragten dürfen zum Beispiel genannt werden: Prüfung der Rechtmäßigkeit der Verarbeitung personenbezogener Daten und besonderer Kategorien personenbezogener Daten, Einhaltung und Umsetzung von Informationspflichten bei Erhebung personenbezogener Daten, Wahrung der Rechte Betroffener, Bewertung und Einführung geeigneter technischer und organisatorischer Maßnahmen und Voreinstellungen, Verarbeitung personenbezogener Daten im Auftrag als Verantwortlicher oder Auftragsdatenverarbeiter, Erstellung von Verzeichnissen von Verarbeitungstätigkeiten, Durchführung von Risikobewertungen von Verarbeitungen personenbezogener Daten im Vorfeld von Datenschutz-Folgenabschätzungen, Erstellung von Grundsätzen der Informationssicherheit, Durchführung von Sicherheitschecks, Sicherheitsmanagement und –optimierung, Erstellen von Sicherheitsrichtlinien und –konzepten, Durchführung von Sensibilisierungsmaßnahmen u.a. Der Datenschutz- und Informationssicherheitsbeauftragte ist gehalten, eng mit der Verwaltungsführung und den Stellen des Datenschutz- und Informationssicherheitsmanagement (Amtsleitungen pp.) zusammen zu arbeiten und diese bei der Wahrnehmung ihrer diesbezüglichen Aufgaben zu unterstützen. Bei der Gemeinde Hürtgenwald ist derzeit lediglich ein Datenschutzbeauftragter auf der Grundlage des seinerzeitigen Datenschutzgesetzes NRW bestellt worden. Ein Informationssicherheitsbeauftragter ist bislang nicht bestellt gewesen. Unter Berücksichtigung der zuvor beispielhaft aufgeführten Aufgaben ist festzustellen, dass in der Gemeinde Hürtgenwald ein Mitarbeiter hiermit ganztägig beschäftigt werden könnte. Aus diesem Grunde sind bereits Gespräche mit der KDVZ Rhein-Erft-Rur geführt worden, ob diese Dienstleistungen von dort, also extern, angeboten werden können. Dies wurde von dort grundsätzlich bestätigt. Aufgrund der hohen Nachfrage durch andere Kommunalverwaltungen kann die KDVZ diese Dienstleistung jedoch nicht sofort anbieten, da die personellen Ressourcen z.Z. ausgeschöpft sind. Die Kommunale Datenverarbeitungszentrale in - Seite 2 von 3 - Frechen ist aber um eine personelle Verstärkung der Stabsstelle Informationssicherheit/Datenschutz bemüht. Für die Dienstleistung des externen Datenschutzbeauftragten würde die KDVZ jährlich 7.480,00 € in Rechnung stellen. Der gleiche Betrag würde ebenfalls anfallen für die Beauftragung eines externen Informationssicherheitsbeauftragten. Der Gesamtaufwand würde sich folglich auf ca. 15.000,00 €/Jahr belaufen. zu erwartende Auswirkungen auf den Haushalt: Jährliche Belastung beim Produkt 90121 in Höhe von ca. 15.000,00 €. Abwägung und Entscheidungsvorschlag: Unter Berücksichtigung der Bindung personeller Ressourcen bei den Verwaltungsmitarbeitern wird die Übertragung dieser beiden Aufgaben auf einen externen Dienstleister als die wirtschaftlichste Lösung angesehen. Daher wird dem Rat der vorstehende Beschlußvorschlag empfohlen. Gefertigt: (Sachbearbeiter) Mitzeichnung (Abteilungsleiter) (Kämmerei) ( Fachbereichsleiter) (Bürgermeister) - Seite 3 von 3 -