Bürgermeister gelten als Herrscher in ihrem kleinen Reich. Ihr Wort zählt in der Gemeinde und natürlich im Rathaus. Dabei zeigt ein Beispiel aus Baierbrunn, wie schnell der Chef an Grenzen stößt, wenn das Gesetz oder eine Verordnung seinen Beamten die Hände bindet. Bürgermeister Wolfgang Jirschik gratulierte stets Eltern in seiner Gemeinde zur Geburt ihres Kindes. Doch die Nachricht, wann ein junger Baierbrunner das Licht der Welt erblickt, bekam Jirschik plötzlich nicht mehr von seinem Einwohnermeldeamt auf den Tisch. Die Datenschutzgrundverordnung (DSGVO) stand dem Informationsaustausch entgegen.
Dabei hätten sicher die meisten Eltern nichts dagegen, wenn der Bürgermeister das Geburtsdatum ihrer Kinder erfährt, ihnen Glückwünsche ausspricht und auch noch ein kleines Geschenk vorbeibringt. Doch die DSGVO, die seit Mai 2018 gilt, schützt solche persönlichen Daten - und solche lagern auf den Computerservern von Steueramt, Sozialverwaltung oder eben Einwohnermeldeamt. Der Grund für die Einschränkung: Je mehr Menschen auf die Daten Zugriff haben, desto größer die Gefahr, dass diese durch Computer, die von Viren oder Trojanern infiziert werden, in falsche Hände geraten.
Justizministerin Katarina Barley will Anbieter von Online-Plattformen nach dem massenhaften Datenklau zu mehr Sicherheit zwingen. IT-Experten zweifeln, dass sich die Vorschläge umsetzen lassen.
Nachdem unlängst Daten und E-Mail-Konten von Politikern und Prominenten gehackt wurden, ist die anfängliche Kritik an der DSGVO leiser geworden. Das Bewusstsein, dass Datenschutz auch in Rathäusern wichtig ist, habe sich in den vergangenen Monaten geschärft, sagt die Sprecherin im Haarer Rathaus, Ute Dechent. Die Behörden sind nun gefordert. Carolin Boldt, die Datenschutzbeauftragte des Landratsamts, sagt, Bürger hätten ein Recht darauf, nachvollziehen zu können, was mit ihren Daten passiert. Sogenannte Verarbeitungsverzeichnisse machten nachweisbar, dass Aufgaben "datenschutzkonform" erledigt würden. Das muss gewährleistet sein, wenn der Bürgermeister jungen Eltern gratulieren möchte, was in Baierbrunn auch wieder möglich ist, seit der Gemeinderat eigens eine entsprechende Ergänzung zur DSGVO beschlossen hat.
Wie im Landratsamt beschäftigen viele Rathäuser eigene Beauftragte. Eine kleine Kommune wie Baierbrunn bedient sich der Hilfe von Beratungsfirmen. Eine solche hatte auf den heiklen Fall mit den Geburtsdaten hingewiesen. Es ist ein Punkt von vielen. Dienstanweisungen müssen formuliert werden, auf Informationsblättern Verwaltungsabläufe detailliert beschrieben und die im Zuge dessen erforderlichen Daten benannt werden: Was man erhebt, für was für einen Zweck dies geschieht und wer die Daten einsehen kann. Für eine kleine Verwaltung wie in Baierbrunn ist die Umsetzung der Bestimmungen eine "gewaltige Aufgabe", wie die dortige Geschäftsleiterin Nina Schillinger sagt. "Für uns ist das nicht einfach." Die Arbeit sei für das Personal belastend.
Das bestätigt auch Hermann Dambowy, Datenschutzbeauftragter im Rathaus Haar, der seine dafür vom Gemeinderat bewilligte Teilzeitstelle für knapp bemessen hält. Er berät, wenn ein neues Programm in der Rathaus-EDV eingeführt wird und schult Mitarbeiter. Diese müssten grundsätzlich lernen, ihren Umgang mit Daten im Privaten klar von der Art und Weise zu trennen, wie sie im Rathaus mit Daten umgehen. Wenn jemand zu Hause ein Foto auf Instagram poste, dann sei das seine Sache. Im Rathaus sei eine andere "Denkweise" gefordert, sagt Dambowy. Man sei Treuhänder von Daten der Bürger. Einen Blick hat der Datenschutzbeauftragte auf die technische Ausstattung. Auf welchem Server die Informationen gespeichert sind, ist so ein Punkt. Cloud-Computing komme natürlich nicht infrage, sagt er, der wie alle Beauftragten in den Rathäusern direkt dem bayerischen Landesbeauftragten für Datenschutz untersteht. Diesem sind Pannen schnell zu melden. Das Haarer Rathaus hat mittlerweile deshalb einen Stellvertreter für den Datenschutzbeauftragten benannt - für Fälle, in denen dieser im Urlaub ist.
Sophia Schreib ist als Pressereferentin im Pullacher Rathaus das Scharnier der Verwaltung nach draußen. Sie muss Bildrechte abklären, wenn Fotos in eine Pressemitteilung wandern oder auf die Homepage der Gemeinde. Von einigen Gemeinden weiß sie, dass Kindergärten aus Angst, gegen die Datenschutz-Grundverordnung zu verstoßen, die Gesichter von Kindern auf Fotos schwärzen lassen. Schreib selbst gibt sich entspannt. Bei als heikel eingestuften Bildrechten habe sich nicht viel geändert, sagt sie. Die Gemeinde habe früher schon die Einverständnis der Abgebildeten erfragt, und das mache sie jetzt auch.
Ansonsten stellt die Gemeinde ihre Homepage derzeit so um, dass Vereine Veranstaltungen dort selbst eintragen können. Auch das Vereinsregister und das künftige Gewerberegister sollen durch tätigen Einsatz der Vereine und Firmen entstehen. Das heißt: Die Betreffenden geben ihre Daten selbst ein. So wird die Gemeinde dem Grundsatz der "Datenminimierung" gerecht. Es ist eine dieser Maximen, die in Rathäusern jeder verinnerlichen soll. Transparenz, Zweckbindung, Richtigkeit, Rechenschaftspflicht sind weitere.
Daten von Geehrten müssen "30 Jahre nach Abschluss des Ehrungsvorganges" gelöscht werden
Gewährleistet wird die Einhaltung zum Großteil durch Informationsblätter, von denen etwa die Stadt München zig zu unterschiedlichen Vorgängen bereits erstellt hat. Auf dem Blatt zur "Haltung gefährlicher Tiere" steht etwa, wer Information über eine Giftschlange erhalten darf: das Veterinäramt, das Kassen- und Steueramt und die Polizei - sonst niemand. Interpretationsspielraum ist da nicht vorgesehen, so wie bei dem, was in Neubiberg auf einem Informationsblatt zu "Ehrungen" festgehalten wurde. Dort steht schwarz auf weiß, dass Daten, die die Gemeinde von zu Ehrenden erhebt, "30 Jahre nach Abschluss des Ehrungsvorganges" gelöscht werden müssen.
Die Fülle an Vorschriften und die kursierenden Summen möglicher Bußgelder haben viele verunsichert. Das zeigte sich letztens auch in Pullach, als das Rathaus erklärte, man dürfe aus Datenschutzgründen die Namen der gewählten Mitglieder des neuen Jugendparlaments nicht herausgeben. Darf die gewählten Vertreter der Jugend tatsächlich niemand kennen? Sophia Schreib spricht von einem Missverständnis. Inzwischen ist die Liste der gewählten Vertreter öffentlich.
Die Praxis zeigt, dass neuerdings bei Verwaltungsabläufen immer mitgedacht werden muss, wie mit den anvertrauten Daten umzugehen ist. Geschäftsleiterin Nina Schillinger aus dem Baierbrunner Rathaus hält manches, was die DSGVO den Kommunen auferlegt, für überzogen. Anders als große Internet-Firmen hätten die Rathäuser doch kein wirtschaftliches Interesse an Daten, sagt sie. Doch sie sieht auch: "Die öffentliche Hand hat eine Vorbildfunktion."
