Nach wie vor treibt die DSGVO viele kleine Gemeinden um. Die Anforderungen sind im Wesentlichen dieselben wie für Unternehmen, bei der Umsetzung sind jedoch zusätzlich spezifische Arbeitsweisen und Bestimmungen zu berücksichtigen.
Der Umgang mit personenbezogenen Daten gehört zum Kerngeschäft von Verwaltungen und die DSGVO gilt für sie, von einigen wenigen Ausnahmen abgesehen, im gleichen Umfang wie für Unternehmen. Lediglich bei der Höhe der Bußgelder gibt eine Öffnungsklausel den nationalen Datenschutzbehörden Spielraum. Das Bundesdatenschutzgesetz hat sie genutzt und sieht von Geldbußen gegen Behörden und sonstige öffentlichen Stellen ab. Davon ausgenommen sind Verwaltungen, die Marktteilnehmer beispielsweise als städtische Unternehmen sind.
Verantwortlichkeit
Verantwortlich für die Datenverarbeitung ist laut DSGVO „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Eine Gemeinde ist als Gebietskörperschaft verantwortlich, vertreten wird sie durch den Bürgermeister. Er ist rechenschaftspflichtig, muss also die Einhaltung der Grundsätze der DSGVO für die Verarbeitung personenbezogener Daten nachweisen können, und verantwortlich für die Sicherstellung der Betroffenenrechte, für die Umsetzung angemessener und geeigneter technischer und organisatorischer Maßnahmen, für die Benennung eines Datenschutzbeauftragten etc.
Haftung
Auch wenn gegen Behörden keine Bußgelder verhängt werden: Der Verantwortliche haftet für Datenschutzverstöße und deren Folgen und somit auch für Schäden. Laut Artikel 82 DSGVO können Betroffene Schadenersatz geltend machen, sofern ihnen durch Verstöße materieller oder immaterieller Schaden entstanden ist. Immaterieller Schaden kann beispielsweise in Rufschädigung oder Diskriminierung bestehen. Befreit von der Haftung ist der Verantwortliche, wenn er nachweist, „dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist“. Dass neben dem Vorsatz die Fahrlässigkeit als Form der Verantwortlichkeit an Vorfällen besteht, sollte bei der Umsetzung von technischen und organisatorischen Maßnahmen berücksichtigt werden.
Datenschutzbeauftragter
Im Unterschied zu Unternehmen, die nach § 38 Bundesdatenschutzgesetz erst ab 20 Mitarbeitern zur Bestellung eines Datenschutzbeauftragten (DSB) verpflichtet sind, müssen alle Gemeinden, und seien sie noch so klein, einen DSB benennen. Dieser kann auch ein Externer sein. Gemeinden können sich einen DSB teilen, was Synergien schafft, da viele Herausforderungen ähnlich gelagert sein dürften. Ein Ergebnis einer Umfrage zum Stand der Umsetzung des neuen Datenschutzrechtes, die der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg bei den rund 1.100 Kommunen des Bundeslandes im Sommer 2019 durchgeführt hatte, ist die Empfehlung, dass sich ein externer DBS um maximal 15 bis 20 Gemeinden kümmern sollte.
Infoquellen für den Datenschutz im Rathaus
Die Umfrage-Ergebnisse in ganzer Breite sowie eine daraus resultierende Broschüre „Datenschutz bei Gemeinden“ finden sich hier. In der Broschüre werden Begriffe und Anforderungen, die immer wieder für Unsicherheit und Missverständnisse sorgen, aufgegriffen und knapp und verständlich auch anhand konkreter Beispiele erläutert. In Kapitel 27 schließlich geht die Broschüre auf die spezifischen Datenschutz-Belange des Gemeinderates ein, einschließlich der Aspekte, die für die Umsetzung von technischen und organisatorischen Maßnahmen entscheidend sind. Der Bayerische Landesbeauftragte für den Datenschutz bietet ebenfalls eine Broschüre für den kommunalen Datenschutz an, „Datenschutz im Rathaus“. Indem ein Bürger mit verschiedenen Anliegen auf seinem Weg durch verschiedene Abteilungen begleitet wird, konkretisiert die Broschüre Aspekte aus Kapitel 27 der obigen Broschüre und empfiehlt sich insbesondere Datenschutz-Laien als Einstiegs-Lektüre.