Gemeindebund und Städtebund haben gemeinsam die Research Group Sichere Informationssysteme der FH OÖ in Hagenberg mit der Erstellung eines praxisnahen, kostenlosen Leitfadens für die Umsetzung der Datenschutz-Grundverordnung beauftragt. Das Bundeskanzleramt fördert das Projekt.
Ab Mai 2018 wird’s ernst: Die Datenschutz-Grundverordnung (DSGVO) wird Pflicht. Die Umsetzung der DSGVO und des Datenschutz-Anpassungsgesetzes (DSG 2018) stellen die Städte und Gemeinden aber vor große Herausforderungen. Schließlich werden gerade im kommunalen Bereich umfassend personenbezogene, datenschutzrechtlich relevante Daten verarbeitet. Neben der DSGVO und dem DSG 2018 gilt es auch die EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) im Auge zu behalten, die für Betreiber wesentlicher Dienste, wie Unternehmen im Energie oder Verkehrsbereich oder aber im Zusammenhang mit Trinkwasserversorgung Sicherheitsanforderungen und Meldepflichten vorsieht.
Praktische Handlungsanleitungen werden erarbeitet
Die Datenschutz-Grundverordnung bildet einen rechtlichen Rahmen ab, der mit konkreten organisatorischen und technischen Informationssicherheitsmaßnahmen erfüllt werden muss, für die es aber bis dato keine dezidierten Vorgaben bzw. Handlungsanleitungen gibt.
Um die Städte und Gemeinden bei der praktischen Umsetzung der Vorgaben aus der DSGVO zu unterstützen, haben der Österreichische Gemeindebund und der Österreichische Städtebund nun in Kooperation mit dem Bundeskanzleramt, der Research Group Sichere Informationssysteme der FH OÖ (Forschungs & Entwicklungs GmbH) den Auftrag erteilt, bis März 2018 einen entsprechenden Handlungsleitfaden auszuarbeiten. Dieser wird den Kommunen anschließend zur Verfügung gestellt und eine klare Anleitung für die Identifikation der notwendigen Maßnahmen inkl. der damit verbundenen Tätigkeiten beinhalten.
Konkret werden im Rahmen des Projekts folgende Leistungen erbracht:
Fragebogen zur Erfassung des IST-Zustandes (Self-Assessment-Fragebogen) mit einfachen ja/nein-Fragen zur eindeutigen Feststellung, ob es sich bei der Gemeinde um einen „Standard Fall“ handelt, bei der der (ebenfalls ausgearbeitete) Best-Practice-Katalog angewendet werden kann, oder ob ergänzend zum Katalog eine Individualanalyse erforderlich ist.
Best-Practice Maßnahmenkatalog im Sinne von Datenschutz- und Informationssicherheit auf Basis DSGVO/DSG2018/NIS-RL gemäß dem aktuellen Stand der Technik. Dieser Maßnahmenkatalog wird auf Grundlage einer Analyse von zwei ausgewählten Kommunen unter Beiziehung deren IT-Dienstleister erstellt, um daraus abgeleitet konkrete Handlungsempfehlungen für notwendige Vorgaben/Maßnahmen/Auflagen für die Gemeinden aufzubereiten.
Der Maßnahmenkatalog wird dem entsprechend direkt zugeschnittene, fertige Handlungsempfehlungen, Unterlagen und Arbeitsbehelfe enthalten wie z.B. Passwortrichtlinie, IT-Benutzungsordnung, Backup-Konzept, Richtlinie zum Umgang mit Daten/Vernichtung/Wechseldatenträger, etc. Enthalten werden weiters auch die Standardformulare für die Festlegung des Datenschutzbeauftragten (DSB), Infostellenfestlegung, Verarbeitungsverzeichnis-vorlage, etc. sein.
Ein Schulungsprogramm wird helfen, den Self-Assessment-Fragebogen und den Best-Practice-Maßnahmenkatalog korrekt anwenden zu können. Dieses Schulungsprogramm wird eine Struktur sowie Mindestinhalte umfassen, damit Städte und Gemeinden entweder intern Schulungen durchführen oder diese von ihren IT-Dienstleistern oder anderen lokalen Schulungsanbietern durchführen lassen können.
Ergebnisse Ende März 2018
Das Kooperationsprojekt mit der FH OÖ wurde bereits gestartet und soll Ende März 2018 mit einer Lieferung der drei Leistungspakete abgeschlossen werden. Die Ergebnisse stehen sodann allen Mitgliedsgemeinden kostenlos zur Verfügung.
Mit dem Projekt soll gewährleistet werden, dass in der Mehrzahl der Städte und Gemeinden Österreichs eine einheitliche, zeitgerechte und rechtlich korrekte Abbildung der Vorgaben aus DSG 2018 und DSGVO auf Grundlage von fachlich kompetent erarbeiteten Mustervorgaben erfolgen kann, ohne dass in hohem Ausmaß individuelle Beratungsdienstleistungen zugekauft werden müssen.