IT-Outsourcing in der Kommune: Leitfaden gibt Tipps für die Praxis

Der Leitfaden umfasst 38 Seiten und gibt praxisnahe Tipps zum datenschutzgerechten Outsourcing kommunaler Informationstechnologie (IT).

Sichere Betreuung aller Bürger-Daten

Von der Geburtsurkunde über den Personalausweis bis hin zu Steuerdaten – Kommunen verwalten aufgrund ihrer breit gefächerten Zuständigkeiten die unterschiedlichsten Daten von Bürgern. Natürlich sind Sie auch datenschutzrechtlich dafür verantwortlich.

Oft handelt es sich dabei um besondere Kategorien personenbezogener Daten nach Artikel 9 der Datenschutz-Grundverordnung (DSGVO) – oder um Daten, die speziellen fachgesetzlichen Regelungen aus dem Meldewesen, dem Personal-, Gesundheits- oder Sozialwesen und dem Steuerrecht unterliegen.

Datenschutzgerechtes Outsourcing

Etliche Kommunen wollen die Betreuung dieser Daten an externe Dienstleister auslagern und erhoffen sich eine kostengünstige, sichere und datenschutzgerechte Lösung.

Laut Artikel 28 der Datenschutz-Grundverordnung (DSGVO) ist dies im Grundsatz möglich. Doch genaueres definiert die Verordnung nicht.

„Ob und inwieweit ein Outsourcing kommunaler IT zulässig ist, muss außerhalb des Art. 28 DSGVO – in anderen Bestimmungen der DSGVO sowie im nationalen Recht – gesucht werden“, darauf weist der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri, in einer Pressemitteilung vom 29. März 2021 hin.

Die Inhalte des Leitfadens

Kriterienkatalog für die Auswahl externer Dienstleister

Darüber hinaus bietet der Leitfaden ab Seite 6 einen Katalog mit Kriterien, „nach denen eine Auslagerung zu prüfen ist“.

Der Kriterienkatalog ist unterteilt in folgende Kapitel:

• Kriterien aus spezialgesetzlichen Regelungen (von Meldedaten bis zu Prüfungsrechten),
• allgemeine Kriterien aus dem Datenschutzrecht (von der sorgfältigen Auswahl des Auftragsverarbeiters bis zu technisch-organisatorischen Aspekten),
• allgemeine Kriterien aus dem Haushalts- und Steuerrecht (von haushaltsrechtlichen Grundsätzen bis zu Nachvollziehbarkeit),
• technisch-organisatorische Kriterien (von der Risikoanalyse bis zu zwingend bei der Kommune verbleibenden Kompetenzen).

Praxishilfen für drei Bereiche

Ab Seite 27 bietet der Leitfaden einen Anhang mit konkreten Praxishilfen in drei Teilen:

• berücksichtigte Zertifikate, Zertifizierungen, Testate, Standards,
• Überprüfen des Anforderungskatalogs bei vorhandener Zertifizierung für zwei besonders relevante Varianten,
• Abdeckung der Anforderungskriterien durch ISO 27001 aus Basis von IT-Grundschutz und BSI C5.

Ablaufschema in vier Schritten

Im Anhang des Leitfadens gibt es ab Seite 37 ein konkretes Ablaufschema, das mit vier Fragen durch die unterschiedlichen Schritte führt:

• • IT-Outsourcing geplant?
  • Was soll ausgelagert werden?
  • Welche Daten sind davon betroffen?
  • Was ist zu beachten, wenn die Entscheidung für Outsourcing gefallen ist?

Hochrangige Arbeitsgruppe entwickelte den Leitfaden

Der Leitfaden ist das Ergebnis einer hochrangigen Arbeitsgruppe, die der BLfD zusammen mit dem Bayerischen Kommunalen Prüfungsverband angestoßen hat.

Auch das Bayerische Staatsministerium des Innern, für Sport und Integration, die kommunalen Spitzenverbände und das Landesamt für Sicherheit in der Informationstechnologie wirkten in der Arbeitsgruppe mit.

Mehr Informationen:

• Pressemitteilung des Bayerischen LfD: https://www.datenschutz-bayern.de/presse/20210329_outsourcing.html
• Leitfaden als PDF-Datei zum kostenfreien Download: https://www.datenschutz-bayern.de/technik/orient/outsourcing.pdf