Niedersächsischer Landtag – 18. Wahlperiode Drucksache 18/5115 1 Kleine Anfrage zur schriftlichen Beantwortung gemäß § 46 Abs. 1 GO LT mit Antwort der Landesregierung Anfrage der Abgeordneten Dr. Stefan Birkner und Dr. Marco Genthe (FDP) Antwort des Niedersächsischen Ministeriums für Inneres und Sport namens der Landesregierung Umsetzung der Datenschutz-Grundverordnung durch niedersächsische Kommunen Anfrage der Abgeordneten Dr. Stefan Birkner und Dr. Marco Genthe (FDP), eingegangen am 16.10.2019 - Drs. 18/4881 an die Staatskanzlei übersandt am 18.10.2019 Antwort des Niedersächsischen Ministeriums für Inneres und Sport namens der Landesregierung vom 15.11.2019 Vorbemerkung der Abgeordneten Seit dem 25. Mai 2018 ist die Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedstaaten in Kraft. In Deutschland werden die Vorschriften der Datenschutz-Grundverordnung durch das Bundesdatenschutzgesetz geregelt, welches mit dem „Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ vom 30. Juni 2017 hinsichtlich der EU-Verordnung zur DSGVO angepasst wurde. In Niedersachsen finden sich die Regelungen der DSGVO im Niedersächsischen Datenschutzgesetz wieder. Die niedersächsischen Kommunen haben zur Umsetzung der DSGVO eine zweijährige Übergangsfrist erhalten. Die Landesbeauftrage für den Datenschutz in Niedersachsen, Barbara Thiel, hat Ende November 2018 einen Fragebogen an zwölf Landkreise, drei kreisfreie Städte, drei große selbstständige Städte, 87 Gemeinden sowie 45 Samtgemeinden verschickt, um den Stand der Umsetzung der DSGVO zu überprüfen. In diesem Fragebogen sollten die Kommunen 35 Fragen aus den vier Themengebieten Organisation, datenschutzkonforme Verarbeitung, Umgang mit Betroffenenrechten sowie mit Datenschutzverletzungen beantworten. Im Prüfbericht Juli 2019 stellte die LfD die Ergebnisse der ausgewerteten Fragebögen vor. Aus dem Bericht geht hervor, dass bei den Kommunen zum Teil noch erheblicher Handlungsbedarf bei der Umsetzung der Datenschutz- Grundverordnung herrscht (https://lfd.niedersachsen.de/startseite/allgemein/presseinformationen/ umsetzung-der-ds-gvo-in-kommunen-178850.html). Im Einzelnen sei der Nachholbedarf bei der Durchführung von Datenschutz-Folgenabschätzungen und der Meldung von Datenpannen besonders groß. Positiv bewertet die Landesbeauftragte, dass alle Kommunen ihrer Pflicht zur Bestellung eines Datenschutzbeauftragten nachgekommen seien. Auch hätten fast alle Kommunen mittlerweile mit der Überprüfung ihrer Verträge zur Auftragsverarbeitung begonnen. Als Probleme bei der Umsetzung der DSGVO hätten die Kommunen vor allem fehlende zeitliche und personelle Ressourcen angegeben. Auch Schwierigkeiten beim Zusammenführen von Informationen verschiedener Fachämter und das Fehlen verbindlicher Vorgaben die Kommunen wurden als Gründe angeführt, so die Landesbeauftragte weiter (https://lfd.nieder sachsen.de/startseite/allgemein/presseinformationen/umsetzung-der-ds-gvo-in-kommunen-178850. html). Vorbemerkung der Landesregierung Am 25.05.2016 ist die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung - DSGVO) in Kraft getreten. Gemäß Artikel 99 Abs. 2 DSGVO gilt sie ab dem 25.05.2018. Niedersächsischer Landtag – 18. Wahlperiode Drucksache 18/5115 2 Gemäß Artikel 288 des Vertrags über die Arbeitsweise der Europäischen Union gelten EU-Verordnungen unmittelbar und bedürfen keiner Umsetzung in das mitgliedstaatliche Recht. Die DSGVO enthält jedoch sogenannte Öffnungsklauseln für den nationalen Gesetzgeber mit Regelungsoptionen und konkreten Regelungsaufträgen. Der sich daraus ergebende Anpassungsbedarf wurde in Niedersachsen mit dem Gesetz zur Neuordnung des niedersächsischen Datenschutzrechts vom 16.05.2018 umgesetzt. Mit dem Gesetz erfolgten in Artikel 1 eine Neufassung des niedersächsischen Datenschutzgesetzes sowie in den Artikeln 2 bis 25 Anpassungen datenschutzrechtlicher Regelungen in Fachvorschriften aufgrund der Vorgaben der DSGVO. Die Überwachung der Anwendung der Datenschutz-Grundverordnung sowie weiterer datenschutzrechtlicher Vorschriften obliegt der Landesbeauftragten für den Datenschutz (LfD), die mit der überörtlichen Datenschutzprüfung bei den Kommunen dieser Aufgabe nachgekommen ist. Daneben informiert und berät die LfD öffentliche und nicht öffentliche Stellen sowie einzelne Personen bei der Anwendung des Datenschutzrechts (Artikel 57 und 58 DSGVO). Die LfD ist eine von der Landesregierung unabhängige oberste Landesbehörde, die ihre Aufgaben insofern weisungsfrei wahrnimmt und nur an Recht und Gesetz gebunden ist. 1. Wie bewertet die Landesregierung die Ergebnisse der Überprüfung? Die Anzahl und die Auswahl unterschiedlicher Größen von Kommunen und die Struktur und Inhalte der Fragen der LfD dürften ein recht aussagekräftiges Bild über den damaligen Umsetzungsstand ergeben. Insoweit ist allerdings zu berücksichtigen, dass dem von der LfD vorgelegten Prüfbericht der Sachstand bei den Kommunen zum Zeitpunkt der Abfragen zugrunde liegt (November 2018) und daher in weiten Teilen nicht geeignet ist, ein aktuelles Bild der Umsetzung der DSGVO in den Kommunen zu vermitteln. Der Prüfbericht zeigt, dass auch in der kommunalen Praxis ganz erheblicher Handlungsbedarf bei der Implementierung und Umsetzung bestand. Erkennbar wird auch, dass Bedarf an Unterstützung und Information vorhanden ist. Die von den Kommunen dargestellten Probleme zu den einzelnen Themen sind nachvollziehbar. So werden u. a. aufwendige Dokumentationspflichten genannt (Antworten zu den Fragen 1, 13 und 35), deren Vorgabe sich unmittelbar aus der DSGVO ergibt. In mehreren Bereichen führen die Kommunen Verzögerungen und Mehraufwand bei der Umsetzung der DSGVO darauf zurück, dass selbstständig Hinweise und Muster zu den jeweiligen Themen erarbeitet werden mussten (Fragen 13, 16, 21, 25, 31 und 35). Hier ist zu bemerken, dass zu diesen Themen überwiegend bereits Muster und Hilfestellungen im Internet veröffentlicht und Musterformulierungen zur Verfügung gestellt wurden. Es bedarf einer verbesserten Information der Kommunen über das bestehende Angebot, gegebenenfalls auch durch deren Interessenvertretungen. Zu einzelnen Themen verweist die LfD bereits in ihrem Prüfbericht auf die entsprechenden Informationen auf ihrer Homepage. Zu bemerken ist aber auch, dass einige Probleme bei der Umsetzung der Vorgaben eher als Anfangsschwierigkeiten zu betrachten sind. Hier kann erwartet werden, dass sie nach Einkehr einer gewissen Routine zumindest leichter bewältigt werden. Unbestritten markiert die DSGVO eine gewisse Zeitenwende im Datenschutzrecht. Auch die niedersächsischen Kommunen sind als verantwortliche Stellen in erheblichem Umfang mit der Umsetzung der neuen datenschutzrechtlichen Regelungen befasst. Nicht nur die Umsetzung einzelner Vorgaben, sondern die Implementierung interner datenschutzrechtlicher Prozesse sowie der Aufbau und die Weiterentwicklung eines eigenen Datenschutz-Managements vor Ort stellen die Kommunen dabei ebenso vor beträchtliche Herausforderungen wie andere Behörden. Da es sich zum gegenwärtigen Zeitpunkt noch um eine Materie handelt, die sich in der laufenden Entwicklung befindet , gibt es bei der Auslegung und Umsetzung der Vorgaben der DSGVO naturgemäß noch unbeantwortete Fragen. Eine einheitliche Rechtsprechung oder behördliche Praxis auf nationaler und erst recht auf europäischer Ebene hat sich in der Zeit seit dem 25.05.2018 noch nicht entwickeln können. All das trägt zweifellos dazu bei, dass es auch in der kommunalen Praxis noch an der erforderlichen Sicherheit bei der Anwendung und Implementierung der nach wie vor neuen datenschutzrechtlichen Vorgaben fehlt. Niedersächsischer Landtag – 18. Wahlperiode Drucksache 18/5115 3 Zu mehreren Fragen (1, 13, 16, 21, 25, 31 und 35) werden fehlende personelle Kapazitäten als Begründung für Umsetzungsdefizite angeführt. Auch diese sind aufgrund einer generell zunehmenden Aufgabendichte nachvollziehbar. 2. Was wird vonseiten der Landesregierung unternommen, um die Kommunen bei der Umsetzung der DSGVO zu unterstützen? Wie werden diese Unterstützungsangebote von den Kommunen angenommen? Die Kommunen sind als selbstständige Verwaltungsträger grundsätzlich auch selbst dafür verantwortlich , dass die einschlägigen datenschutzrechtlichen Bestimmungen in ihrem Aufgabenbereich eingehalten werden. Das Ministerium für Inneres und Sport als für das allgemeine Datenschutzrecht federführendes Ressort hatte die kommunalen Spitzenverbände Anfang 2017 über die Auswirkungen der DSGVO grundsätzlich informiert und ein Eckpunktepapier über die wesentlichen Inhalte der Datenschutzreform zur Verfügung gestellt. Dazu fand ein Gespräch mit Vertretern der Arbeitsgemeinschaft der kommunalen Spitzenverbände und des MI statt, in dem die Grundzüge zum Anpassungsbedarf nach der DSGVO erläutert wurden. Zwischenzeitlich hatte die Datenschutzkonferenz, das Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, diverse Orientierungshilfen, Kurzpapiere und Muster erarbeitet und im Internet zur Verfügung gestellt. Die Papiere sind auf die einzelnen Themen, Pflichten der Verantwortlichen und bestimmte Gruppen von für die Datenverarbeitung Verantwortlichen zugeschnitten. Auch den Kommunen stehen diese Papiere als Unterstützung bei der Umsetzung und Anwendung der DSGVO und des nationalen Rechts zur Verfügung. Das Studieninstitut des Landes Niedersachsen (SiN) führt die fachübergreifende dienstliche Fortbildung - auch zur DSGVO - für alle Beschäftigten der niedersächsischen Landesverwaltung durch. Für die Fortbildungen der Kommunen ist in erster Linie das Niedersächsische Studieninstitut für kommunale Verwaltung (NSI) zuständig. Das SiN und das NSI bedienen somit unterschiedliche Zielgruppen, und nur in Ausnahmefällen und in gegenseitiger Absprache mit dem NSI werden Fortbildungen für den kommunalen Bereich seitens des SiN angeboten. Inwieweit Fortbildungen des NSI von kommunalen Beschäftigten wahrgenommen wurden, ist nicht bekannt. Die LfD betreibt das Datenschutzinstitut Niedersachsen mit einem Schulungsangebot für aktuelle Themen des Datenschutzes. Das Angebot richtet sich an Mitarbeiterinnen und Mitarbeiter aus der öffentlichen Verwaltung im Land Niedersachsen, so auch die Kommunen. 3. Wie weit fortgeschritten sind die Maßnahmen zur Umsetzung der DSGVO in der Landesverwaltung ? Die Ressorts wurden bereits vor Inkrafttreten der DSGVO seit Anfang 2016 vom MI mehrfach über den Inhalt der europäischen Datenschutzreform informiert und auch bei der Gesetzgebung zur Neuordnung des niedersächsischen Datenschutzrechts beteiligt. Das MI hat einen Leitfaden erarbeitet , der einen Überblick insbesondere über die Rechtslage seit dem 25.05.2018, den Inhalt der DSGVO, die Pflichten der für die Datenverarbeitung Verantwortlichen und die Aufgaben der behördlichen Datenschutzbeauftragten gibt und den Handlungsbedarf für die Verantwortlichen zum Zeitpunkt der Anwendbarkeit der DSGVO darstellt. Adressat sind insbesondere die Behörden und sonstigen öffentlichen Stellen in Niedersachsen, die dem Anwendungsbereich der DSGVO unterfallen . Darüber hinaus hat eine ressortübergreifende Arbeitsgruppe der obersten Landesbehörden Empfehlungen mit Mustertexten und Hilfestellungen zu diversen Themenbereichen der DSGVO entwickelt , mit denen eine weitest mögliche Standardisierung und einheitliche Anwendung der DSGVO in der Landesverwaltung erreicht werden soll. Es obliegt den jeweils für die Datenverarbeitung Verantwortlichen , d .h. i. d. R. der Leitung der jeweiligen öffentlichen Stelle, die Umsetzung und Beachtung der datenschutzrechtlichen Vorschriften zu gewährleisten. Niedersächsischer Landtag – 18. Wahlperiode Drucksache 18/5115 4 4. Wann genau wird die Landesregierung die JI-Richtlinie im NPOG umsetzen? Am 16.05.2018 hat Niedersachsen eine umfangreiche Datenschutznovelle verabschiedet. Sie beinhaltete die Änderung zahlreicher niedersächsischer Gesetze. Die Umsetzung der Richtlinie (EU) 2016/680 erfolgte zu einem großen Teil in Artikel 1 des Gesetzes zur Neuordnung des niedersächsischen Datenschutzrechts mit der Neufassung des Niedersächsischen Datenschutzgesetzes (NDSG). Dessen Zweiter Teil (§§ 23 bis 58 NDSG) sowie §§ 59 bis 61 NDSG haben die Richtlinie (EU) 2016/680 in das niedersächsische Recht umgesetzt. Darüber hinaus sind mit Artikel 2 des Gesetzes zur Neuordnung des niedersächsischen Datenschutzrechts Anpassungen am Niedersächsischen Gesetz über die Sicherheit und Ordnung (Nds. SOG) vorgenommen worden, dem damals gültigen niedersächsischen Gesetz für die Aufgabenerfüllung der Polizeibehörden zur Gefahrenabwehr und Straftatenverhütung. Auch dies erfolgte, um die Bestimmungen der Richtlinie (EU) 2016/680 umzusetzen. Zahlreiche Vorschriften des Nds. SOG entsprachen aber bereits zum Zeitpunkt Mai 2018 den Vorgaben der Richtlinie (EU) 2016/680. Mit einer weiteren Novelle des niedersächsischen Polizeirechts wurde das Datenschutzregime des niedersächsischen Polizeirechts weiter verbessert: Am 14.05.2019 wurde das Gesetz zur Änderung des Niedersächsischen Gesetzes über die öffentliche Sicherheit und Ordnung und anderer Gesetze verabschiedet. Das Gesetz für die polizeiliche Aufgabenwahrnehmung trägt nunmehr den Namen „Niedersächsisches Polizei- und Ordnungsbehördengesetz“ (NPOG) und trat am 24.05.2019 in Kraft. Sowohl im allgemeinen Datenschutzrecht als auch im Polizeirecht sind demzufolge Anpassungen vorgenommen worden, um die Richtlinie (EU) 2016/680 für die Polizeibehörden umzusetzen und das bereits bestehende gute Datenschutzniveau für die Datenverarbeitung der Polizeibehörden weiterhin anzuheben. Die Bestimmungen des NDSG gelten grundsätzlich auch für die Polizeibehörden des Landes Niedersachsen . Sichergestellt ist dies durch § 48 NPOG, der im speziellen Fachrecht der Polizei auf die allgemeinen datenschutzrechtlichen Bestimmungen des NDSG verweist und diese zu großen Teilen für anwendbar erklärt. Trotz der bisher bereits unternommenen Anstrengungen bestehen noch weiterer Korrekturbedarf sowie Bedarf zur Nachschärfung der Bestimmungen des NPOG. Dieser Anpassungsbedarf konnte im o. g. Gesetzgebungsverfahren zur Änderung des Niedersächsischen Gesetzes über die öffentliche Sicherheit und Ordnung und anderer Gesetze nicht mehr rechtzeitig zur Verabschiedung des NPOG im Niedersächsischen Landtag am 14.05.2019 vorgenommen werden. Die erforderlichen Änderungen sollen daher in einer weiteren Novelle zur Anpassung der datenschutzrechtlichen Bestimmungen im NPOG vorgenommen werden. Derzeit wird dazu ein Referentenentwurf erstellt. (Verteilt am 19.11.2019) Kleine Anfrage zur schriftlichen Beantwortung gemäß § 46 Abs. 1 GO LTmit Antwort der Landesregierung Anfrage der Abgeordneten Dr. Stefan Birkner und Dr. Marco Genthe (FDP) Antwort des Niedersächsischen Ministeriums für Inneres und Sport namens der Landesregierung Umsetzung der Datenschutz-Grundverordnung durch niedersächsische Kommunen