Grundwissen über Datensicherheit fehlt
Viele Gemeinden kennen sich mit dem Thema nicht aus, obwohl sie sensible Informationen von Bürgern speichern
- Wie steht es um den Datenschutz? Das wollte der Landesbeauftragte für dieses Thema, Stefan Brink, von allen 1100 Städten und Gemeinden im Südwesten wissen. Wo die Probleme liegen und wie man Abhilfe schaffen könnte.
Kommunen überfordert
Die Kommunen fühlen sich durch die Anforderungen der neuen Datenschutz-Grundverordnung (DSGVO) stark belastet, vor allem kleinen Gemeinden fehlen Personal und Geld. Die DSGVO gilt seit Mai 2018, seit März 2016 sind ihre Inhalte bekannt. Sie hat unter anderem die Rechte der Bürger gestärkt und setzt strengere Regeln für den Umgang mit persönlichen Daten in Unternehmen, Vereinen und Behörden. „Wenn jetzt rund 40 Prozent der Gemeinden angeben, gerade erst oder noch gar nicht mit der Umsetzung begonnen zu haben, ist das zu spät“, so Brink. Die Gemeinden bräuchten mehr Unterstützung, auch von seiner Behörde.
Grundwissen fehlt
Offenkundig wissen viele Städte nicht einmal, welche Daten welche Behörde von Bürgern erhebt, was sie damit macht und an wen sie weitergegeben werden. „Wer nicht einmal genau weiß, welche Daten es wo gibt, kann diese nicht schützen“, so Brink. Aber: Nur jede dritte Gemeinde hat bisher, wie von der DSGVO gefordert, ein Verarbeitungsverzeichnis aufgestellt. Darin sollten diese Informationen enthalten sein. Für Brink ein Indiz dafür, dass es vielen Gemeinden an Grundwissen fehlt. Ein Weiteres: Viele Kommunen fordern Bürger auf, ihre Einwilligung zur Datenerhebung zu erteilen. Dabei müssten Kommunen von sich aus wissen, ob und wie sie Daten verarbeiten dürfen. Mit Einwilligungen wolle man sich offenbar absichern – das spreche nicht für eine genaue Kenntnis der Materie.
Google, Facebook und andere
Nahezu alle Gemeinden haben eigene Webseiten, knapp die Hälfte misst, wie viele Nutzer die Seiten besuchen. Viel nutzen dazu Google Analytics. Der Dienst leitet Nutzerdaten an die Google-Mutter weiter. Der Konzern nutzt sie, um Websurfern maßgeschneiderte Werbung zu präsentieren. Aus Sicht von Brink ein Problem: „Ein Bürger muss Angebote einer Kommune nutzen können, ohne dass Google erfährt, welche Seiten er nutzt und vieles mehr.“Sonst könne man Rückschlüsse auf sensible Informationen eines Nutzers gewinnen. Das Gleiche gelte, wenn Gemeinden in Webseiten „Gefällt mir“- oder andere Buttons sozialer Netzwerke einbetten.
Daten ausreichend schützen
Dieser Punkt bereitet Brink große Sorgen. Heute werden Daten vor allem mit Computern verarbeitet und gespeichert. „Vor diesem Hintergrund sind das Wissen und die Maßnahmen bei vielen Gemeinden ungenügend“, schreibt er in seinem Bericht. Nur jede zweite Gemeinde verschlüsselt digitale Daten auf Laptops, bei Desktop-Computern tun das sogar nur 43 Prozent. Bei solchen
Verfahren werden Angaben technisch kodiert, sodass Dritte sie nicht einfach lesen oder entschlüsseln können. Exemplarisch für das Unwissen vieler Gemeinden nannte Brink eine Antwort auf die Frage nach einer Verschlüsselung: „Alle Datenträger befinden sich in mit Schlüssel abschließbaren Räumen.“
Was Kommunen droht
Nicht viel. Denn anders als gegen Unternehmen kann der Datenschutzbeauftragte keine Bußgelder gegen Kommunen verhängen. Dennoch will er verstärkt kontrollieren und Verbesserungen anmahnen.
Abhilfe schaffen
Datenschützer Brink hat Vorschläge. So sollen Ministerien Behörden helfen – mit Mustern für übliche Verfahren etwa beim Einwohnermeldeamt. Außerdem könne seine Behörde mehr Schulungen für Kommunen anbieten, wenn der Landtag fünf bis sechs neue Stellen bewillige. Die grün-schwarze Mehrheit im Landesparlament ist sich darüber uneins. Die Grünen unterstützen den Vorstoß ausdrücklich. Die CDU verwies darauf, dass man Brinks Behörde seit 2016 bereits um 20 Mitarbeiter aufgestockt habe. Nun sei zu klären, was darüber hinaus notwendig und möglich sei.