Vorlage - VO/2016/03705
|
Beschlussvorschlag
Beschlussvorschlag/ Anlaß/Antrag:
1. Ist der Bericht an die Bürgerschaft vorhanden, der in der Zusammenfassung des Datenschutzberichts vom März 2009 aufgeführt wird?
2. Ist der Bericht öffentlich und kann er den Bürgern und den Fraktionen zur Verfügung gestellt werden?
3. Wie sieht das Datenschutzkonzept für die Gesamtverwaltung aus, welche in dem Datenschutzbericht in Aussicht gestellt wurde?
4. Wurde an den personellen und sächlichen Ressourcen zur Aufgabenwahrnehmung des Datenschutzes nachgebessert?
5. Wurde an den Meldepflichten an die ULD nachgebessert und wenn ja, wie?
6. Welche Meldungen nach § 7 Abs. 3 LDSG sind an das ULD gerichtet worden?
7. Wie wird das Verfahren von Dokumentation, Test und Freigabe neuer Verfahren gehandhabt (gem. § 5 LDSG i. V. m. DSVO)?
8. Wie kommt der Bürgermeister zu der Ansicht, dass einem neuen Datenschutzbericht gegenüber dem Datenschutzbericht von 2009 nichts hinzuzufügen sei, wo doch in der Zusammenfassung einige Mängel aufgeführt werden, die im 2009er Datenschutzbericht als bis dato nicht behoben beschrieben werden?
9. Kann der Bericht des Landesrechnungshofs über die IT in den kreisfreien Städten von vor 2009 zu Protokoll gegeben werden oder Einsicht genommen werden?
Begründung
- Ist der Bericht an die Bürgerschaft vorhanden, der in der Zusammenfassung des Datenschutzberichts vom März 2009 aufgeführt wird?
In der Zusammenfassung wird darauf verwiesen, dass über eingeleitete Maßnahmen zur Behebung der geschilderten Defizite der Bürgerschaft anlassbezogen nach Arbeitsfortschritten berichtet wird, es ist kein erneuter Gesamtbericht angekündigt worden.
- Ist der Bericht öffentlich und kann er den Bürgern und den Fraktionen zur Verfügung gestellt werden?
Entfällt, auf die Antwort zur Frage 1 wird verwiesen.
- Wie sieht das Datenschutzkonzept für die Gesamtverwaltung aus, welche in dem Datenschutzbericht in Aussicht gestellt wurde?
Für eine Behörde ist festzulegen und zu dokumentieren, welche Anforderungen des Datenschutzes bei der Verarbeitung personenbezogener Daten eingehalten werden müssen und wie diese Anforderungen umgesetzt worden sind. Vorrangig sind natürlich die jeweils geltenden gesetzlichen Bestimmungen zu beachten. In diesem Umfeld gibt es allerdings allgemein gültige Aspekte, die bei der Verarbeitung personenbezogener Daten in der Regel zu berücksichtigen sind. Die genannten Aspekte sollen auch als Orientierungshilfe für individuelle Datenschutzkonzepte dienen.
Der Bereich 1.105 Informationstechnik befindet sich zusammen mit dem Unabhängigen Landeszentrum für Datenschutz (ULD) im Verfahren zur Auditierung. Mit dem Datenschutzaudit soll öffentlichen Stellen in Schleswig-Holstein die Möglichkeit eingeräumt werden, ihre Vorkehrungen im Bereich der IT zur Einhaltung des Datenschutzes durch das ULD prüfen und beurteilen zu lassen. Die Behörde muss nicht länger abwarten, ob sie evtl. einmal kontrolliert und anschließend kritisiert werden, sondern sie kann sich selbst aktiv um das Audit bemühen. Das freiwillige Datenschutzaudit dient dem Ziel, ein Gesamtkonzept zur dauerhaften Gewährleistung eines hohen Datenschutzniveaus in der jeweiligen öffentlichen Stelle einzurichten.
Durch ihre freiwillige Teilnahme stärkt die Behörde ihre Selbstverantwortung im Bereich des Datenschutzes und der Datensicherheit. Grundlage des Audits ist eine schriftliche Vereinbarung der jeweiligen Behörde mit dem ULD. Danach erfolgen Bestandsaufnahme, Festlegung der Datenschutzziele, Einrichtung eines Datenschutzmanagementsystems sowie Begutachtung durch das ULD. Nach erfolgreichem Abschluss wird der Behörde die Ordnungsmäßigkeit ihrer Datenschutzvorkehrungen durch die Verleihung eines Datenschutzauditzeichens förmlich bescheinigt.
Auditverfahren unterliegen denselben Herausforderungen wie andere IT-Projekte, sie konkurrieren mit dem Tagesgeschäft und müssen sich den geänderten Rahmenbedingungen anpassen. Erfolgreiche Auditverfahren zeichnen sich dadurch aus, dass stetig und gleichmäßig am Audit gearbeitet wird. Die Auditverfahren in der Hansestadt Lübeck werden durch alle Beteiligten kontinuierlich bearbeitet und zielen auf einen erfolgreichen Abschluss hin (Tätigkeitsbericht ULD 2013, Seite 131). Das Auditverfahren dauert derzeit noch an.
- Wurde an den personellen und sächlichen Ressourcen zur Aufgabenwahrnehmung des Datenschutzes nachgebessert?
Die Aufgabenwahrnehmung ist an die Haushalts- und Konsolidierungsvorgaben gebunden, d.h. die vorhandenen Ressourcen müssen zur Aufgabenerledigung eingesetzt werden.
5. Wurde an den Meldepflichten an die ULD nachgebessert und wenn ja, wie?
Die Meldepflichten sind gesetzlich im LDSG geregelt. Die einzelnen Bereiche (= datenverarbeitende Stellen) sorgen für die Einhaltung der Meldepflichten.
6. Welche Meldungen nach § 7 Abs. 3 LDSG sind an das ULD gerichtet worden?
Für den Einsatz neuer automatisierter Verfahren und bei wesentlichen Verfahrensänderungen haben die verantwortlichen Mitarbeiter der Bereiche den ULD informiert, beispielhaft sei hier die Einführung von KOPERS genannt. Bei über 300 Fachverfahren ist eine detaillierte Beantwortung der Frage zum jetzigen Zeitpunkt nicht möglich.
7. Wie wird das Verfahren von Dokumentation, Test und Freigabe neuer Verfahren gehandhabt (gem. § 5 LDSG i. V. m. DSVO)?
Das Verfahren wird in den einzelnen Bereichen (=datenverarbeitende Stellen) durchgeführt, dabei werden die Bereiche durch die Informationstechnik unterstützt. Die Planung und Auswahl der benötigten Fachverfahren erfolgt durch die Bereiche. Der notwendige Vorabtest vor der Inbetriebnahme erfolgt ebenfalls durch datenverarbeitende Stelle, der Test ist in einer Verfahrensakte zu dokumentieren, gleiches gilt für Fach- und Funktionstests. Die technischen Tests werden durch die Informationstechnik durchgeführt und dokumentiert. Abschließend erfolgt die Programmfreigabe.
8. Wie kommt der Bürgermeister zu der Ansicht, dass einem neuen Datenschutzbericht gegenüber dem Datenschutzbericht von 2009 nichts hinzuzufügen sei, wo doch in der Zusammenfassung einige Mängel aufgeführt werden, die im 2009er Datenschutzbericht als bis dato nicht behoben beschrieben werden?
An der Mängelbeseitigung wird gearbeitet, hierzu verweise ich auch die Ausführungen im Zusammenhang der angestrebten Auditierung (Frage 3).
9. Kann der Bericht des Landesrechnungshofs über die IT in den kreisfreien Städten von vor 2009 zu Protokoll gegeben werden oder Einsicht genommen werden?
Der Landesrechnungshof hat als Ergebnis der Prüfung IT-Einsatz in den kreisfreien Städten eine Prüfungsmitteilung erstellt. Die Prüfungsmitteilung enthält schützenswerte personen- und geschäftsbezogene Daten. Eine Einsichtnahme für Gemeindevertreterinnen und –Vertreter ist auf Antrag im Rahmen der Regelungen des § 30 Gemeindeordnung Schleswig-Holstein möglich.
Anlagen
keine
|