Eingabehilfen öffnen

Skip to main content

Datenschutzrichtlinie für Mandatsträger

§ 1 Ziel und Zweck

Der Schutz personenbezogener Daten ist der Gemeinde Dautphetal (im Folgenden „Gemeinde“) ein wichtiges Anliegen. Deshalb legen wir bei der Verarbeitung der personenbezogenen Daten unserer Mitarbeitenden, Bürger1, Geschäftspartner sowie kommunalen Amts- und Mandatsträger großen Wert auf Datenschutz, Datensicherheit und Vertraulichkeit. Insbesondere berücksichtigen wir hierbei die geltenden gesetzlichen Regelungen der Europäischen Datenschutzgrundverordnung (EU-DSGVO), des Bundesdatenschutzgesetztes (BDSG_nF), dem Hessischen Daten-schutz- und Informationsfreiheitsgesetzes (HDSIG) sowie des Telekommunikation-Telemedien-Datenschutzgesetzes (TTDSG) und weitere relevante datenschutzrechtliche Vorschriften.
In dieser Datenschutzleitlinie wird beschrieben, welche Arten von personenbezogenen Daten (pbD) im Rahmen der Mandatstätigkeiten erhoben werden, wie diese Daten genutzt werden, an wen sie übermittelt werden und welche Wahlmöglichkeiten und Rechte betroffene Personen im Zusammenhang mit der Verarbeitung der Daten haben. Außerdem beschreiben wir, mit welchen Maßnahmen die Sicherheit der Daten gewährleistet werden kann und wie betroffene Personen Kontakt aufnehmen können, wenn Sie Fragen zu unserer Datenschutzpraxis haben. Die Leitlinie beschreibt die datenschutzkonforme Informationsverarbeitung und die bei der Gemeinde und den Mandatsträgern bestehenden Verantwortlichkeiten.

§ 2 Geltungsbereich & Grundsätze

Diese Richtlinie richtet sich an alle Mandatsträger der Gemeinde Dautphetal, welche angehalten sind, sich auch im Zuge der eigenverantwortlichen Datenverarbeitung für die Ausführung ihrer Mandatstätigkeit an die Empfehlungen aus der Datenschutzleitlinie zu halten.
Es gelten die folgenden Grundsätze:
(1) IT-Hard- und Software, welche für Aufgaben der Mandatstätigkeiten eingesetzt wird, ist gegen Verlust und Manipulation zu sichern.
(2) Jeder Mandatsträger der Gemeinde ist in seinem Verantwortungsbereich für die Berücksichtigung der Datenschutzleitlinie selbstständig verantwortlich.
(3) Der Bürgermeister der Gemeinde stellt sicher, dass alle Mandatsträger über diese Leitlinie informiert werden.
(4) Mögliche Verletzungen des Datenschutzes, die ein Risiko für betroffene Personen bergen, sind dem ext DSB der Gemeinde unverzüglich mitzuteilen.

§ 3 Verantwortlichkeiten

Die Verantwortung für die Sicherheit und Ordnungsmäßigkeit der Verarbeitung von pbD und anderen nicht öffentlichen Informationen im Rahmen der Mandatstätigkeit bei der Gemeinde variieren je nach Art und Mittel der Verarbeitung.
Solange sich die Daten innerhalb einer digitalen Sitzungsplattform (z.B. Ratsinfosystem, Gremienportal, etc.) oder auf einem mobilen Endgerät, welches sich im Eigentum der Gemeinde befindet und nicht privat genutzt werden darf, befinden, ist die der Gemeinde Verantwortlicher im Sinne der EU-DSGVO. Verlassen die Daten und Informationen die digitale Sitzungsplattform und werden z.B. über die private E-Mail-Adresse versandt, lokal auf einem privaten Endgerät gespeichert oder gedruckt, überträgt sich die alleinige Verantwortlichkeit auf den jeweiligen Mandatsträger, der diese verarbeitet.
Sobald der Mandatsträger alleiniger Verantwortlicher für die pbD gemäß EU-DSGVO ist, ist er eigenständig dafür verantwortlich die datenschutzrechtlichen Vorschriften und die informationssicherheitsrelevanten Belange einzuhalten. Dazu gehört unter anderem die Gewährung der Rechte der Betroffenen (Art. 12 ff. EU-DSGVO) und die Umsetzung der technischen und organisatorischen Maßnahmen (Art. 24 ff. EU-DSGVO). Die Verwaltung von der Gemeinde hat ab diesem Zeitpunkt nicht mehr die Möglichkeit, auf die Datenverarbeitung Einfluss zu nehmen und verliert damit für die bei den Mandatsträgern befindlichen Daten die Eigenschaft des Verantwortlichen.
Die Vorschriften der europäischen Datenschutzgrundverordnung (EU-DSGVO), des Bundesdatenschutzgesetzes (BDSG), des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) sowie der Hessischen Gemeindeordnung (HGO) sind jederzeit zu beachten. Die Mandatsträger müssen sich regelmäßig und fortlaufend über die Aktualität der für sie relevanten Vorschriften informieren.
Gemäß § 24 HGO sind die Mandatsträger zur Verschwiegenheit verpflichtet. Außerdem gelten die Vorgaben zur Wahrung des Datengeheimnisses nach Art. 5 ff EU-DSGVO sowie des HDSIG. Demnach ist es untersagt, personenbezogene Daten unbefugt zu verarbeiten, bekanntzugeben, zugänglich zu machen oder des Zweckes zu entfremden, für den diese erhoben wurden. Neben den Bestimmungen der HGO, der EU-DSGVO, des BDSG und des HDSIG sind ggf. bereichsspezifische Vorschriften sowie das Urheberrecht zu beachten.


§ 4 Externer Datenschutzbeauftragter und Datenschutzkoordinator

Die Gemeinde hat nach Maßgabe des Artikels 37 EU-DSGVO einen externen Datenschutzbeauftragten (ext DSB) bestellt. Außerdem verfügt sie über einen behördlichen Datenschutzkoordinator (DSK). Die Kontaktdaten des ext DSB und des DSK lauten wie folgt:
Externer Datenschutzbeauftragter (ext DSB) 
b-pi sec GmbH
Herr Björn Bausch
Tel.: 06431 – 902 910
Mail: dsb@b-pisec.com

Behördlicher Datenschutzkoordinator (DSK) Gemeinde Dautphetal
Herr Udo Kamm 
06466-920 104
u.kamm@dautphetal.de

Der ext DSB nimmt die ihm kraft Gesetzes und aus dieser Leitlinie zugewiesenen Aufgaben bei weisungsfreier Anwendung seines Fachwissens sowie seiner beruflichen Qualifikation wahr. Der DSK ist ein dem ext DSB fachlich zugewiesener Mitarbeiter der Gemeinde, der aktiv zur Einhaltung der geltenden Datenschutzvorschriften beiträgt. Er informiert den ext DSB über vor Ort aufgetretene Datenschutzfragen und stimmt sich regelmäßig mit ihm zu aktuellen Datenschutzbe-langen ab. Der ext DSB und der DSK berichten unmittelbar an den Bürgermeister.
Der ext DSB unterrichtet und berät den Bürgermeister sowie die Beschäftigten und Mandatsträgern hinsichtlich ihrer Datenschutzpflichten. Er unterstützt bei der Überwachung der Einhaltung der Datenschutzvorschriften und berät die Gemeinde hinsichtlich ihrer Datenschutzstrategie, einschließlich der Zuweisung von Zuständigkeiten und Verantwortlichkeiten. Im Falle risikoreicher Datenverarbeitungen steht der ext DSB beratend bei der Abschätzung der Risiken zur Seite.
Der ext DSB und der DSK werden frühzeitig in alle Datenschutzfragen eingebunden und sowohl von der Gemeindeverwaltung als auch den Mandatsträgern bei der Erfüllung ihrer Aufgaben unterstützt.
Der ext DSB unterstützt und berät die Gemeinde bei der Einhaltung der Betroffenenrechte gemäß Art. 12 – 23 EU-DSGVO. Meldungen, Auskünfte etc. gegenüber den Datenschutzaufsichtsbehörden werden durch den DSK mit Beteiligung des ext DSB bearbeitet. Gleiches gilt für Anfragen, Beschwerden oder Auskunftsersuche Betroffener (siehe hierzu auch 6. Betroffenenrechte).
Jeder Mandatsträger kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden im Rahmen ihrer Mandatstätigkeit an den ext DSB und den DSK wenden, wobei absolute Vertraulichkeit gewahrt wird.
Der ext DSB berichtet bedarfsgerecht, jedoch mindestens einmal im Kalenderjahr an den Bürgermeister über stattgefundene Prüfungen, Beanstandungen und ggf. noch zu beseitigende Organisationsmängel.


§ 5 Datenschutzstrategie

Zur Erreichung der höchstmöglichen datenschutzrechtlichen Konformität erfolgt eine Ausrichtung am „Deming Zyklus“. Dieser besteht aus den folgenden Prozessschritten:

  • Planungsphase: Risiken werden innerhalb des Geltungsbereiches dieser Leitlinie identifiziert, analysiert und bewertet. Anhand der Risikobewertung werden in Absprache mit den Verantwortlichen der Gemeinde Entscheidungen getroffen, wie mit den identifizierten Maßnahmen verfahren wird.
  • Umsetzungsphase: Auf Basis der Entscheidungen bzgl. der Risikobehandlung erfolgt eine Umsetzung von technischen und organisatorischen Maßnahmen (TOMs) zur Beseitigung bzw. Verminderung der Risiken.
  • Prüfphase: Die implementierten Maßnahmen werden regelmäßig internen Untersuchungen (Audits) unterzogen, um die Wirksamkeit der implementierten Maßnahmen zu überprüfen und die Risikobewertung, z.B. aufgrund einer geänderten Risikolage, neu zu beurteilen.
  • Handlungsphase: Korrektur- und Präventionsmaßnahmen werden im Bedarfsfall zur Weiterentwicklung des Datenschutzes abgeleitet und erneut in eine Planungsphase überführt.
    Durch die kontinuierliche Umsetzung dieser Strategie innerhalb der Gemeinde wird eine laufende Weiterentwicklung des Datenschutzes erreicht.
    Der Bürgermeister unterstützt aktiv die ständige Verbesserung des Sicherheitsniveaus. Alle Mandatsträger der Gemeinde sind angehalten, im Rahmen ihrer Mandatstätigkeit die Umsetzung und Aufrechterhaltung sämtlicher Maßnahmen aktiv zu erwirken und sich anbahnende und auftretende Datenschutzvorfälle unverzüglich dem ext DSB zu melden.

§ 6 Beschaffung von IT-Hard- und Software

Die Beschaffung von IT-Hardware erfolgt grundsätzlich durch die Gemeinde.
Die Nutzung der IT-Systeme (IPads) der Gemeinde Dautphetal erfolgt grundsätzlich nur zur Erfüllung der Mandatsaufgaben. Eine private Nutzung der IT-Systeme der Gemeinde Dautphetal ist erlaubt.
Bei der Nutzung der IT-Systeme (IPads) der Gemeinde Dautphetal sind von allen Mandatsträgern die geltenden Rechtsvorschriften zum Datenschutz und zur Datensicherheit sowie sonstige Rechtsvorschriften und Verwaltungsrichtlinien einzuhalten. Sollten Mandatsträger unsicher sein, ob und inwieweit Rechtsvorschriften o.ä. einzuhalten sind, haben sie sich zur Klärung an den/die DSK oder die Fachdienstleitung Zentrale Dienste der Gemeinde Dautphetal zu wenden.
Bei Verdacht auf Diebstahl von IT-Hard- und Software, des unbefugten Zugriffs auf personenbezogene Daten oder der Sabotage etc. sind der ext DSB und der DSK unverzüglich zu informieren.
§ 7 Betroffenenrechte
Macht ein Betroffener bei Mandatsträgern von seinem Auskunftsrecht nach Art. 15 EU-DSGVO oder seinem Korrektur- oder Widerspruchsrecht nach Art. 16 und Art. 21 EU-DSGVO gegenüber der Verwaltung Gebrauch, so erfolgt die zentrale Bearbeitung durch den DSK. Eintreffende Ersuchen von Betroffenen sind durch den Mandatsträger unverzüglich an den DSK zur Bearbeitung weiterzuleiten. Zusätzlich benötigt der DSK alle Informationen darüber, in welchem Maße und in
welcher Form der Mandatsträger Daten des Betroffenen eigenverantwortlich speichert und verarbeitet. Es ist sicherzustellen, dass dem Betroffenen seine Daten auf Wunsch fristgerecht, in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt werden können.

§ 8 Verarbeitung von personenbezogenen Daten

Die Erhebung und Verarbeitung personenbezogener Daten dürfen nur im Rahmen des rechtlich Zulässigen erfolgen. Hierbei erfordert jegliche Verarbeitung personenbezogener Daten einer Rechtsgrundlage gemäß Art. 6 Abs. 1 EU-DSGVO. Für sensible personenbezogene Daten ergibt sich die Rechtsgrundlage aus Art. 9 Abs. 1 EU-DSGVO. Grundsätzlich dürfen nur solche Informationen verarbeitet und genutzt werden, die zur Aufgabenerfüllung erforderlich sind und in unmittelbaren Zusammenhang mit dem Verarbeitungszweck stehen.
Eine Zweckänderung der Verarbeitung ist nur dann zulässig, wenn die Verarbeitung mit jenen Zwecken vereinbar ist, für die die Daten ursprünglich erhoben wurden. Die im Rahmen der Zweckänderung genutzten Abwägungskriterien sind einzeln zu prüfen. Die Prüfung ist darüber hinaus als ordnungsgemäßer Nachweis zu dokumentieren.


§ 9 Löschung und Entsorgung von Daten

Gesetzliche Aufbewahrungs- und Löschfristen für pbD sind gemäß Art. 17 EU-DSGVO, dem sogenannten „Recht auf Vergessen werden“, durch den Mandatsträger einzuhalten.
Nicht mehr benötigte Datenträger werden mit geeigneten Methoden durch den Mandatsträger bzw. einen von ihm beauftragten Dienstleister gelöscht oder zerstört. Über die Löschung bzw. Zerstörung wird ein Protokoll erstellt.
Für die Vernichtung von Papierabfällen ist im Rathaus der Gemeinde ein Aktenvernichter aufgestellt, der von den Mandatsträgern genutzt werden kann. Auch die Beschaffung eines eigenen Aktenvernichters durch den Mandatsträger auf eigene Kosten ist möglich. Dieser sollte mindestens der Sicherheitsstufe 3 entsprechen. Die Nutzung normaler Papiertonnen ist für datenschutzrelevante Papiere und Unterlagen unzulässig.

§ 10 Technische und organisatorische Maßnahmen

Zur Wahrung der Verfügbarkeit, Vertraulichkeit und Integrität personenbezogener Daten sowie der Belastbarkeit der Daten sind allgemeine Sicherheitsmaßnahmen zu ergreifen. Diese Maßnahmen orientieren sich an Schutzbedarfsfeststellungen und Risikoanalysen und sind maßgeblich für alle Verarbeitungen von personenbezogenen Daten.
Um den unbefugten Zugriff auf die geschützten Bereiche des Ratsinformationssystems der Gemeinde über den Browser oder die App zu verhindern, ist für den Zugriff eine passwortgeschützte persönliche Zugangskennung notwendig. Die Auswahl einer ausreichenden Kennwortkomplexität ist durch den Mandatsträger zu berücksichtigen und umzusetzen. Die Vertraulichkeit dieser persönlichen passwortgeschützten Kennung ist aufrechtzuerhalten. Die Kennung darf zu keiner Zeit an Dritte weitergeben werden.
Der Mandatsträger ist dafür verantwortlich, dass die ggf. auf dessen privaten Endgeräten gespeicherten Daten nicht in unbefugte Hände gelangen. Er hat eine besondere Sorgfaltspflicht hinsichtlich der auf dem Gerät im Rahmen der Mandatstätigkeit gespeicherten pbD. Darüber hinaus sind Mandatsträger dafür verantwortlich, dass eine Nutzung nur im rechtlich zulässigen Rahmen stattfindet. Es empfiehlt sich für die Mandatstätigkeit ein eigener passwortgeschützter Benutzer, welcher ausschließlich durch den Mandatsträger für vertretungsaufträgliche Zwecke genutzt wird, anzulegen. Außerdem ist stets ein aktueller Virenschutz auf dem Endgerät zu installieren. Vom Zugriff auf das Ratsinformationssystem von Geräten Dritter wird wegen des damit verbundenen Risikos ausdrücklich abgeraten.
Lokal auf den Endgeräten gespeicherte Daten müssen regelmäßig gesichert werden. Im Falle eines Defektes oder Verlusts des Gerätes sind die Daten andernfalls unwiderruflich verloren. Für die Datensicherung empfiehlt der Datenschutzbeauftragte die Nutzung externer USB-Festplatten, da im Rahmen vieler Cloud-Speicher keine ausreichende Vertraulichkeit gewährleistet ist.
Endgeräte und sensible Unterlagen dürfen nicht aus den Augen gelassen werden, um unbefugte Zugriffe und Manipulationen oder Diebstahl zu verhindern. Dies gilt auch in den Sitzungsräumen der Gemeinde.
Es muss sichergestellt werden, dass Besucher und Familienmitglieder des Mandatsträgers und andere Dritte zu keiner Zeit Einblick in personenbezogene Daten und schützenswerte Informationen nehmen können. Dies gilt sowohl für automatisiert verarbeitete Daten als auch für Papierakten.
Jeder Mandatsträger hat darauf zu achten, dass nach Verlassen des Arbeitsplatzes sämtliche Dokumente und Datenträger, die sensible oder personenbezogene Daten enthalten, vor unberechtigtem Zugriff geschützt sind. Weiterhin hat jeder Mandatsträger dafür zu sorgen, dass Unbefugte keinen Zugriff auf Anwendungen oder Systeme der Gemeinde erhalten, z.B. durch Sperren des Bildschirms oder Herunterfahren des Rechners.
Außerdem sollten Mandatsträger über geeignete Mittel zur Ablage und zum Verschluss von Dokumenten verfügen (z.B. abschließbare Schränke etc.).


§ 11 Maßnahmen bei Nichteinhaltung der Richtlinie

Damit die Regelungen dieser Richtlinie erfolgreich umgesetzt werden können, bedarf es der Mithilfe aller Mandatsträger der Gemeinde. Die Einhaltung wird stichprobenartig von dem Verantwortlichen kontrolliert. Eine Nichteinhaltung dieser Richtlinie kann arbeits-, zivil- oder strafrechtliche Verfahren nach sich ziehen.
Abweichungen und Änderungen, die das Sicherheitsniveau senken, sind nur in Abstimmung mit der verantwortlichen Stelle für die Umsetzung und dem externen Datenschutzbeauftragten (ext DSB) und nur zeitlich begrenzt zulässig.

§ 12 Sonstige Bestimmungen

Sollte eine Bestimmung dieser Richtlinie unwirksam sein oder werden, wird hierdurch die Wirksamkeit der übrigen Richtlinie nicht berührt.
Jegliche Änderungen oder Ergänzungen dieser Richtlinie sind nur wirksam, wenn sie schriftlich vereinbart werden. Dies gilt auch für eine Änderung dieser Schriftformklausel. Es bestehen keine Nebenabreden zu dieser Richtlinie.

§ 13 Fortschreiben der Richtlinie

Die Datenschutzrichtlinie für Mandatsträger ist zur Optimierung des Datenschutzes und der Datensicherheit zu verstehen und wird durch den ext DSB und den DSK fortgeschrieben.
Eine Überprüfung der Richtlinie erfolgt einmal jährlich und zusätzlich anlassbezogen.

§ 14 Inkrafttreten

Die jeweils gültige, aktuelle Version der Datenschutzrichtlinie – sowie alle anderen geltenden Regelungen – sind auf der gemeindlichen Homepage für jedes Mandatsmitglied verfügbar. Jeder Mandatsträger ist dafür verantwortlich, sich über die Inhalte und Änderungen dieser Richtlinie zu informieren.
Diese Richtlinie tritt mit Datum der Unterzeichnung in Kraft. Alle vorherigen Versionen dieser Richtlinie verlieren ihre Gültigkeit und sind zu archivieren.

Dautphetal, den 29. April 2024
gez.
Schmidtke
Bürgermeister