Gemeinden sind in Sachen DSGVO alles andere als technisch versiert

Die Datenschutzgrundverordnung besteht seit mittlerweile eineinhalb Jahren. Dass die Umsetzung dieser Verordnung für viele Schwierigkeiten sorgt, ist im Allgemeinen bekannt. Mit Schwierigkeiten haben allerdings nicht nur Privatunternehmen, sondern auch Gemeinden zu kämpfen. Dies zeigt eine von Golem vorgestellte Umfrage der baden-württembergischen Landesdatenschutzbehörde. Befragt wurden 1.100 Gemeinden zum Umsetzungsstand der DSGVO.

Verschlüsselung via Schlüssel

Auffallend ist vor allem der Umstand, dass die Gemeinden teilweise mit den technischen Begrifflichkeiten der DSGVO schlicht nichts anfangen können und sie daher fehlinterpretieren. So schreibt die DSGVO beispielsweise vor, dass personenbezogene Daten auf Datenträgern verschlüsselt zu speichern sind. 

Auf die Frage, wie diese Verschlüsselung in der Praxis umgesetzt wird, kam es mehrfach zu folgender Antwort: „Alle Datenträger befinden sich in mit Schlüsseln abschließbaren Räumen. Zudem wird der Eingang des Rathauses mit einem Zugangscode gesichert.“

Problematisch ist auch die Verschlüsselung per E-Mail. Art. 9 DSGVO nennt eine Reihe von personenbezogenen Daten, die besonderen Schutz genießen. Die betrifft Informationen, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ hervorgehen.

Lediglich 50 Prozent der Gemeinden nutzen eine „Ende-zu-Ende”-Verschlüsselung über ein gesichertes Behördennetz. Gerade mal neun Prozent verwenden darüber hinaus eine sogenannte TLS, eine Transportverschlüsselung. Diese sorgt dafür, dass die Daten nicht nur während des Versendens verschlüsselt werden, sondern auch auf den beteiligten Servern verschlüsselt gespeichert sind. 

Kommunikation über De-Mail

Auch bei der Möglichkeit für Bürger, die Gemeinden via verschlüsselter E-Mail zu kontaktieren, sieht es eher düster aus. Immerhin bieten 30 Prozent diese Möglichkeit überhaupt an. Am häufigsten wird dabei der Dienst De-Mail verwendet.

Vier Gemeinden nutzen auch OpenPNG. Allerdings zeigt sich auch hier das mangelnde, technische Verständnis. Um via OpenPNG ver- und entschlüsseln zu können, benötigt der Bürger einen Schlüssel. Diese Schlüssel werden von den Gemeinden aber gar nicht erst auf der Homepage zur Verfügung gestellt. Eine verschlüsselte Kontaktaufnahme ist damit also nicht möglich.

„Nicht zu akzeptieren“ ist außerdem die Art der Videoüberwachung, wie sie von vielen Gemeinden aus Angst vor Vandalismus an Einrichtungen wie Schulen und Schwimmbädern eingesetzt wird: Vereinzelt gaben die Kommunen an, dass es keine Übersicht gäbe, wo genau die Überwachung im Gebiet der Gemeinde betrieben werde. Besonders große Gemeinden greifen dabei auf Videoüberwachung zurück. Immerhin 67 Prozent gaben an, öffentliche Einrichtungen zu überwachen. Bei den kleinen Kommunen waren es lediglich neun Prozent.

Mängel bei der Diebstahlsicherung

Wenig überraschend gelingt es den Gemeinden nicht, die Daten vor Diebstahl zu schützen. Dabei geht es um Schutzmechanismen, die verhindern, dass Daten nach dem Diebstahl eines Datenträgers in unbefugte Hände gelangen. Bei der Umfrage wurde angegeben, dass das RAID-System verwendet wird, welches eine Rekonstruktion der Daten durch nach Auflösung des RAID-Verbundes quasi unmöglich mache. Dabei wird übersehen, dass Daten immer noch im Klartext wiederhergestellt werden könnten: „Liegen dem Angreifer ausreichend viele Festplatten vor, lassen sich auch alle Daten rekonstruieren“, heißt es von der Datenschutzbehörde.

Empfehlenswert ist es daher, die Datenträger zu verschlüsseln. So seien die Daten auch bei der Entsorgung der Träger geschützt.

Möglicher Grund: Externe Datenschutzbeauftragte

Der Grund für die Mängel bei der Umsetzung könnte darin liegen, dass viele Gemeinden einen externen Datenschutzbeauftragten bestellt haben. Daran ist erstmal nichts auszusetzen. Allerdings greifen die Gemeinden oft auf den kommunale IT-Dienstleister ITEOS zurück. Dieser betreut 700 Gemeinden. Unterm Strich bedeutet das, dass ein Datenschutzbeauftragter für 50 Gemeinden verantwortlich ist. „Ein hauptamtlicher externer Datenschutzbeauftragter sollte nicht mehr als 15 bis 20 Gemeinden betreuen“, heißt es von der Landesdatenschutzbehörde.