Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.

Registernummer 2-4/2015

Rezertifiziert am 21.03.2018
Befristet bis 21.03.2020

Erstzertifizierung: 27.04.2015

DRACOON (ehem. Secure Data Space)

Varianten: Online, Branded Cloud (ehem. Dedicated) und OEM (ehem. Virtual Appliance)

Version 4.5.0

Webbasierter, virtueller Datenraum, in welchen Daten hochgeladen, gespeichert, verwaltet und ausgetauscht werden können.

Alle Menschen sind Teil unserer Gesellschaft. „Dabei haben wir nicht nur den Beobachterstatus, der uns dazu verdammen würde, die Entwicklungen, die andere voranbringen, hinzunehmen. Sondern wir können unsere Gesellschaft aktiv gestalten […] Eine aktive Rolle spielt (dabei) die Kultur im Umgang miteinander […] Das Fundament dafür sind unsere Werte, die sich in den Menschenrechten manifestieren.“
(Marit Hansen in: Tätigkeitsbericht 2017, S.10/11)

PDF-Version

Die Datenschutzgrundverordnung (DSGVO) fordert in Artikel 5, dass Verantwortliche nicht nur die Grundsätze der Datenverarbeitung (Artikel 5 Abs.1) einhalten, sondern die Einhaltung auch nachweisen können müssen (Artikel 5 Abs. 2, „Rechenschaftspflicht“).

„Verantwortlicher“ ist nach Artikel 4 Nr. 7 (DSGVO) „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Die Nachweispflicht erstreckt sich auch auf die Umsetzung technisch-organisatorischer Sicherheits- und Datenschutzmaßnahmen (Artikel 24 Abs. 1). Bedient sich ein Verantwortlicher eines Auftragsverarbeiters (Artikel 4 Nr. 8), so bleibt er für die Einhaltung der Grundsätze verantwortlich (Artikel 28); der Auftragsverarbeiter hat entsprechende Informationen zuzuliefern. Dazu gehört auch der Nachweis, dass die Verarbeitung nur gemäß den Weisungen des Auftraggebers erfolgt (Artikel 28 Abs. 3 lit 3).

Begleitende Vortragsfolien

Vortrag von Dr. Sven Polenz

zum Start der Datenschutz-Grundverordnung

begleitende Vortragsfolien

Vortrag von Marit Hansen
Landesbeauftragte für Datenschutz Schleswig-Holstein

am 14.03.2018

an der Fachhochschule Kiel zur Vortragsreihe
„Vom Elektronengehirn zu Smart Data“ des Computermuseums

PDF-Version

Ratsinformationssysteme

Ein Ratsinformationssystem ist ein IT-gestütztes Informations- und Dokumentenmanagementsystem, dass die Gremienarbeit in Kommunen unterstützt. Es hilft den politischen Gremien und kommunalen Mandatsträgerinnen und Mandatsträgern bei der Erfüllung ihrer Aufgaben. Gleichzeitig erleichtert es der Verwaltung die Vorbereitung und Unterstützung der Arbeit der Gremien. Typischerweise orga­nisiert ein Ratsinformationssystem einen Workflow für die Informationen, die für die kom­munalen Gremien von Belang sind. So bereitet die Verwaltung die Sitzung vor (Aufstellung der Tagesordnung, Versand von Einladungen etc.) und hinterlegt die benötigten Unterlagen und Informationen im System; teilweise tun dies Mandatsträgerinnen, Mandatsträger und Fraktionen auch selbst. Vor, während und nach der Sitzung greifen die kommunalen Mandatsträgerinnen und Mandatsträger auf die Unterlagen zu. Mit Hilfe des Systems wird nach der Sitzung das Protokoll erstellt und verteilt. Die Ergebnisse aus dem öffentlichen Teil der Sitzung können im Internet veröffentlicht werden. Schließlich kann das System dazu genutzt werden, die Umsetzung der Beschlüsse zu überwachen.

Zu den mithilfe eines Ratsinformationssystems verarbeiteten Informationen gehören regelmäßig auch personenbezogene Daten. Dies sind einerseits Daten in Dokumenten mit personenbezogenen Inhalten, andererseits – unabhängig vom Inhalt der Dokumente – Daten über die Nutzenden (Protokolldaten beim Log-In, Abrufe, Webstatistiken). Bei der Datenverarbeitung sind die Vorgaben zu den technisch-organisatorischen Maßnahmen nach den Datenschutzgesetzen zu beachten. Bevor konkrete technisch-organisatorische Hinweise zur Konfiguration von Ratsinformationssystemen gegeben werden können, ist festzustellen, wer in den verschiedenen Konstellationen die Ver­ant­wortung für die Verarbeitung personenbezogener Daten trägt.

Die grundsätzlichen Anforderungen an ein Ratsinformationssystem hinsichtlich Benutzerauthentifizierung, rollenbasierter Zugriffsrechte, sicherer Übertragung von Daten und datenschutzkonformem Speichern sowie an Anwendungssoftware für Computer oder mobile Geräte sind dementsprechend hoch und müssen je nach Nutzungsszenario ergänzt werden. Die eingesetzte Software muss dafür ausgelegt sein, den Anforderungen der Datenschutz-Grundverordnung (DSGVO) zu genügen und die Rechte von betroffenen Personen zu schützen.

In einem Interview mit der BILD-Zeitung mit der designierten Digital-Ministerin Dorothee Bär unterstellte der Journalist, dass "der gute alte Datenschutz" Chancen im Gesundheitsbereich verhindern würde. Frau Bär stimmte ihm zu: "Wir brauchen deshalb endlich eine smarte Datenkultur vor allem für Unternehmen. Tatsächlich existiert in Deutschland aber ein Datenschutz wie im 18. Jahrhundert."

Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, hält dagegen: