Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
News
13. April 2021

IT-Outsourcing in der Kommune: Leitfaden gibt Tipps für die Praxis

Gratis
Das müssen Kommunen beim IT-Outsourcing beachten
Bild: elenabs / iStock / Getty Images
5,00 (1)
Datenschutz bei Kommunen
Was muss eine Kommune im Hinblick auf den Datenschutz beachten, wenn sie Aufgaben aus ihrer eigenen IT-Abteilung an einen externen Dienstleister auslagert? Diese Frage beantwortet ein soeben veröffentlichter Leitfaden des Bayerischen Landesbeauftragten für den Datenschutz.

Der Leitfaden umfasst 38 Seiten und gibt praxisnahe Tipps zum datenschutzgerechten Outsourcing kommunaler Informationstechnologie (IT).

Sichere Betreuung aller Bürger-Daten

Von der Geburtsurkunde über den Personalausweis bis hin zu Steuerdaten – Kommunen verwalten aufgrund ihrer breit gefächerten Zuständigkeiten die unterschiedlichsten Daten von Bürgern. Natürlich sind Sie auch datenschutzrechtlich dafür verantwortlich.

Oft handelt es sich dabei um besondere Kategorien personenbezogener Daten nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO) – oder um Daten, die speziellen fachgesetzlichen Regelungen aus dem Meldewesen, dem Personal-, Gesundheits- oder Sozialwesen und dem Steuerrecht unterliegen.

Datenschutzgerechtes Outsourcing

Etliche Kommunen wollen die Betreuung dieser Daten an externe Dienstleister auslagern und erhoffen sich eine kostengünstige, sichere und datenschutzgerechte Lösung.

Laut Artikel 28 der Datenschutz-Grundverordnung (DSGVO) ist dies im Grundsatz möglich. Doch genaueres definiert die Verordnung nicht.

„Ob und inwieweit ein Outsourcing kommunaler IT zulässig ist, muss außerhalb des Art. 28 DSGVO – in anderen Bestimmungen der DSGVO sowie im nationalen Recht – gesucht werden“, darauf weist der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri, in einer Pressemitteilung vom 29. März 2021 hin.

Wichtig
Auf Zertifizierung nach ISO 27001 achten

Er empfiehlt, bei der Auswahl und Überprüfung externer Auftragnehmer auf eine Zertifizierung des Dienstleisters nach ISO 27001 zu achten.

Die Inhalte des Leitfadens

Kriterienkatalog für die Auswahl externer Dienstleister

Darüber hinaus bietet der Leitfaden ab Seite 6 einen Katalog mit Kriterien, „nach denen eine Auslagerung zu prüfen ist“.

Der Kriterienkatalog ist unterteilt in folgende Kapitel:

  • Kriterien aus spezialgesetzlichen Regelungen (von Meldedaten bis zu Prüfungsrechten),
  • allgemeine Kriterien aus dem Datenschutzrecht (von der sorgfältigen Auswahl des Auftragsverarbeiters bis zu technisch-organisatorischen Aspekten),
  • allgemeine Kriterien aus dem Haushalts- und Steuerrecht (von haushaltsrechtlichen Grundsätzen bis zu Nachvollziehbarkeit),
  • technisch-organisatorische Kriterien (von der Risikoanalyse bis zu zwingend bei der Kommune verbleibenden Kompetenzen).

Praxishilfen für drei Bereiche

Ab Seite 27 bietet der Leitfaden einen Anhang mit konkreten Praxishilfen in drei Teilen:

  • berücksichtigte Zertifikate, Zertifizierungen, Testate, Standards,
  • Überprüfen des Anforderungskatalogs bei vorhandener Zertifizierung für zwei besonders relevante Varianten,
  • Abdeckung der Anforderungskriterien durch ISO 27001 aus Basis von IT-Grundschutz und BSI C5.

Ablaufschema in vier Schritten

Im Anhang des Leitfadens gibt es ab Seite 37 ein konkretes Ablaufschema, das mit vier Fragen durch die unterschiedlichen Schritte führt:

    • IT-Outsourcing geplant?
    • Was soll ausgelagert werden?
    • Welche Daten sind davon betroffen?
    • Was ist zu beachten, wenn die Entscheidung für Outsourcing gefallen ist?

Hochrangige Arbeitsgruppe entwickelte den Leitfaden

Der Leitfaden ist das Ergebnis einer hochrangigen Arbeitsgruppe, die der BLfD zusammen mit dem Bayerischen Kommunalen Prüfungsverband angestoßen hat.

Auch das Bayerische Staatsministerium des Innern, für Sport und Integration, die kommunalen Spitzenverbände und das Landesamt für Sicherheit in der Informationstechnologie wirkten in der Arbeitsgruppe mit.

Mehr Informationen:

Elke Zapf
Verfasst von
Elke Zapf
Elke Zapf

ist freiberufliche Kommunikationsexpertin und Journalistin. Ihre Schwerpunkte sind Wissenschaft, Forschung, nachhaltiger Tourismus und Datenschutz.

Sie hat mehr als 20 Jahre Erfahrung in der Pressearbeit, Unternehmenskommunikation, Öffentlichkeitsarbeit und Wissenschaftskommunikation.

Zehn Jahre leitete sie die Hochschulkommunikation der Technischen Hochschule Nürnberg und war Pressesprecherin der Hochschule. Davor leitete sie den Sachbereich Presse- und Öffentlichkeitsarbeit des Bayerischen Landesamts für Gesundheit und Lebensmittelsicherheit.

Das journalistische Handwerkszeug lernte sie ganz klassisch bei einem Redaktionsvolontariat direkt nach dem Studium der Politischen Wissenschaften.

Kontakt:

https://www.zapf-kommunikation.de/

Kommentar abgeben

0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen.