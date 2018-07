Jeder Mensch gibt täglich zahlreiche Informationen an Institutionen und Einrichtungen weiter. Um die Rechte der Bürger zu stärken, gilt seit dem 25. Mai eine neue EU-Datenschutzverordnung. An die müssen sich auch die Gemeinden hierzulande halten.

Datenschutz in den Gemeinden

99 Artikel auf etwa 80 Seiten: Die neue EU-Datenschutz-Grundverordnung (DSGVO) ist umfangreich. Seit Ende Mai regelt sie in allen EU-Mitgliedsstaaten die Verarbeitung von personenbezogenen Daten. Seitdem müssen sich unter anderem Unternehmen, Behörden, Vereine, aber auch Gemeinden an die Verordnung halten.

Die Kommunen scheinen sich hierzulande aber mit der Umsetzung zum Teil schwerzutun. Ein Register, das festhält, welche Gemeinden bereits DSGVO-konform sind, gibt es zwar nicht; allerdings wurde die Verordnung bisher nur in wenigen Gemeinderatssitzungen thematisiert. Auch zeigen Gespräche mit diversen Gemeindeverantwortlichen, dass die Umsetzung zumindest in einigen Kommunen noch nicht vollkommen vollzogen ist. Dies ist etwa in Differdingen, Beckerich und Bad Mondorf der Fall, wie die Bürgermeister auf LW-Nachfrage bestätigen.



Konforme Programme



Das Syndicat intercommunal de gestion informatique (SIGI) ist für den Großteil der informatischen Programme von fast allen Gemeinden des Landes zuständig. Lediglich die Stadt Luxemburg ist nicht teil des Syndikats. Die Gemeinde erfüllt die Auflagen der Verordnung und ist eigenen Aussagen zufolge DSVGO-konform.

Auch die vom SIGI zur Verfügung gestellten Hilfsmittel erfüllen alle Voraussetzungen, so der Präsident des Syndikats und Bürgermeister der Gemeinde Echternach, Yves Wengler (CSV). Dies bedeutet, dass alle Datenverarbeitungen, die durch die Computerprogramme des SIGI erfolgen, DSVGO-konform dokumentiert wurden. „Prinzipiell geht es darum, dass die Kommunen eine Rechtfertigung liefern müssen, wieso sie bestimmte Daten speichern. Diese Rechtfertigung ist bei unseren Programmen bereits gegeben.“ Unter anderem die Einwohnermeldeämter, die Rechnungsstellen und die Abteilungen des Etat civil greifen auf die Logiciels des SIGI zurück.

Darüber hinaus besitzen viele Gemeinden auch noch andere Software-Lösungen und Daten, für deren Aufbewahrung sie einen ausreichenden Grund haben müssen. Um diese Rechtfertigung müssen sie sich aber selbstständig kümmern. Dies kann aber auch mit einem vom SIGI zur Verfügung gestellten Programm erfolgen. Dies betrifft auch Informationen, die nicht digital gespeichert werden. Wenn es keinen Grund für die Aufbewahrung der Daten gibt, müssen sie vernichtet werden.

Richter und Henker

Aber auch die sogenannten Data Protection Officers (DPO) spielen im Rahmen der Datenschutzverordnung eine bedeutende Rolle. Nicht nur Unternehmen, sondern unter anderem auch Gemeinden müssen einen solchen Datenschutzbeauftragten bestimmen. Dessen Aufgabenfeld ist vergleichbar mit dem eines unabhängigen Auditors. Er überprüft die Einhaltung der Auflagen und weist die Gemeinde auf mögliche Missstände hin. Diese müssen dann im Ernstfall an die nationale Datenschutzbehörde (CNPD) weitergegeben werden. Diese kann dann auch über mögliche Sanktionen entscheiden.



Die Datenschutz-Grundverordnung sieht vor, dass bei Verstößen Strafen im Umfang bis zu 20 Millionen Euro drohen. Bei Unternehmen kann das Bußgeld sich auf vier Prozent des Jahresumsatzes belaufen. Gemeinden können aber aufatmen. „Hierzulande sieht das Gesetzesprojekt 7184 vor, dass der öffentliche Dienst von solchen Geldstrafen befreit wird“, sagt das Mitglied des Kollegiums der CNPD, Thierry Lallemang. Somit würden den Gemeinden lediglich administrative Sanktionen drohen, die auch veröffentlicht werden können. Bisher wurden noch keine Gemeinden von der CNPD kontrolliert, so Lallemang.



Das Reglement ist keine Revolution, sondern eine Evolution des Datenschutzes.

Einige Gemeinden tun sich aber bei der Suche nach einem DPO schwer. Die Aufgabe kann sowohl von einem Mitarbeiter der Gemeinde übernommen werden, oder von einer externen Firma. Wichtig ist allerdings, dass der DPO nicht selbst Daten verarbeitet, da dies im Widerspruch zu seiner eigentlichen Aufgabe steht.



Somit ist besonders bei kleineren Gemeinden eine interne Lösung nicht immer möglich – etwa, weil alle Mitarbeiter selbst Daten verarbeiten oder die notwendigen Kompetenzen fehlen. Ihnen bleibt also nur der Rückgriff auf eine externe Firma. Die Kosten variieren je nach Bevölkerungsgröße der Kommune und belaufen sich auf mehrere Tausend Euro. Allerdings können einzelne Gemeinden sich auch zusammenschließen und sich einen solchen Auditor teilen.



Das Gesetzesprojekt 7184 sieht zudem in diesem Zusammenhang eine nationale Lösung vor. Denn es sieht die Schaffung des Commissariat du Gouvernement à la protection des données auprès de l’État vor. Dieses kann unter anderem die Rolle des DPO für die Gemeinden übernehmen.

Mehr Rechte für die Bürger

„Das Reglement ist keine Revolution, sondern eine Evolution des Datenschutzes“, sagt Lallemang. Denn die Verordnung beinhaltet zum größten Teil die gleichen Elemente wie die EU-Direktive von 1995. Die Rechte der Bürger werden in der neuen Verordnung allerdings detaillierter beschrieben.



Gemeinden speichern in der Regel bestimmte Daten ihrer Bürger über einen langen Zeitraum. Dazu sind sie sogar per Gesetz verpflichtet. In diesem Zusammenhang hat ein Bürger aber keine Möglichkeit, etwa eine Löschung seiner Daten zu verlangen. Denn die Rechte haben auch Einschränkungen. Bei allen anderen Speicherungen, die nicht vom Gesetz vorgesehen sind, gelten allerdings weniger Restriktionen.

Wenn ein Bürger seine Rechte gegenüber der Gemeinde ausüben will, sollte er sich zunächst an die Kommune wenden, so Lallemang. Der DPO der Gemeinde überprüft dann die Anfrage. Falls keine Lösung gefunden werden kann, kontaktiert dieser dann die nationale Datenschutzkommission, die dann weitere Untersuchungen einleitet.