Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Ratgeber
18. Dezember 2019

RiS: So werden Kommunen Transparenz und Datenschutz gerecht

DP+
RiS: So werden Kommunen Transparenz und Datenschutz gerecht
Bild: iStock.com / Feodora Chiosea
0,00 (0)
Ratsinformationssysteme
Viele Städte, Gemeinden und Landkreise setzen Ratsinformationssysteme (RiS) ein. Sie bündeln die Informationen, die für die Ratsarbeit wichtig sind, und dienen der Vor- und Nachbereitung der Ratsarbeit. RiS bieten allerdings auch die Möglichkeit, personenbezogene Daten zielgerichtet auszuwerten und zu verarbeiten.

Klassischerweise besteht ein Ratsinformationssystem aus einem nicht öffentlichen Bereich, der ausschließlich den Vertretern der kommunalen Gremien zugänglich ist, und einem über das Internet für alle Bürgerinnen und Bürger öffentlich einsehbaren Bereich.

Aufbau und Inhalt von RiS

Der nicht öffentliche Bereich des RiS dient v.a. der Vor- und Nachbereitung der Ratssitzungen.

Hierzu gehören u.a. die Sitzungsplanung, die Erstellung von Tagesordnung und Einladungen, die Ausfertigung von Beschlüssen, die Erstellung und Archivierung von Sitzungsvorlagen sowie der Niederschriften vergangener Sitzungen, bis hin zur Verwaltung von Sitzungsgeldern.

Der öffentliche Bereich informiert die Bürgerinnen und Bürger. Die Veröffentlichung von Einladungen zu den Ratssitzungen, der dazugehörigen Beschlussvorlagen und der Niederschriften macht die kommunale Politik transparent und bürgernah.

Datenschutzrechtliche Rahmenbedingungen

Die vielfältigen Einsatzmöglichkeiten von RiS lassen erahnen, dass solche Systeme erhebliche Datenmengen verwalten können.

Zweifelsohne enthalten viele Dokumente personenbezogene Daten, sodass Kommunen auch datenschutzrechtliche Aspekte berücksichtigen müssen.

Unabhängig davon, ob sie personenbezogene Daten im internen oder externen Bereich veröffentlichen, liegt eine Verarbeitung im Sinne von Art. 4 Nr. 2 Datenschutz-Grundverordnung (DSGVO) vor.

Für die Verarbeitung personenbezogener Daten gelten daher insbesondere die folgenden Grundsätze:

  • Rechtmäßigkeit der Verarbeitung: Die Daten dürfen nur verarbeitet werden, wenn es eine gesetzliche Grundlage gibt oder die Einwilligung der betroffenen Person vorliegt (Art. 5 Abs. 1 Buchst. a DSGVO).
  • Datenminimierung: Die Datenverarbeitung ist auf das erforderliche Maß zu beschränken (Art. 5 Abs. 1 Buchst. c DSGVO).
  • Speicherbegrenzung: Es ist ein Löschkonzept zu entwickeln, das festlegt, für welche Dauer die Dokumente, die personenbezogene Daten enthalten (z.B. Protokolle), gespeichert, wann sie gelöscht werden und für welchen Zeitraum sie öffentlich zugänglich sind. (Art. 5 Abs. 1 Buchst. e DSGVO).
  • Technisch-organisatorische Schutzmaßnahmen: Die personenbezogenen Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet (Art. 5 Abs. 1 Buchst. f DSGVO). Vor der Einführung eines RiS ist ggf. eine Datenschutz-Folgenabschätzung erforderlich.

Datenschutzrechtliche Stolperfallen und wie sie sich vermeiden lassen

Grundsätzlich sind die Sitzungen des Rats öffentlich. Dieser Öffentlichkeitsgrundsatz, der auf dem Demokratieprinzip fußt, das in Art. 28 Abs. 1 Grundgesetz verankert ist, gilt jedoch nicht grenzenlos.

Er wird durch das Recht auf informationelle Selbstbestimmung eingeschränkt. Überwiegen also berechtigte Interessen einzelner Personen, ist die Öffentlichkeit von der Sitzung auszuschließen.

Vier Augen sehen mehr als zwei

Ein häufiger datenschutzrechtlicher Verstoß ist es, im frei zugänglichen Bereich des RiS versehentlich personenbezogene Daten in Dokumenten zu veröffentlichen.

Das kann etwa passieren, wenn diese Dokumente Namen und Adressen von Personen nennen, die Einwendungen im Rahmen von Bauleitverfahren eingereicht haben. In diesen Fällen mangelt es an der Rechtmäßigkeit der Verarbeitung.

Auch Niederschriften über den öffentlichen Teil der Sitzung enthalten häufig personenbezogene Daten. Oder der Personenbezug lässt sich zumindest mithilfe weiterer Quellen herstellen.

PRAXIS-TIPP: Bevor eine Kommune Dokumente im öffentlichen Teil des RiS veröffentlicht, sollte sie stets genau prüfen, ob die Unterlagen personenbezogene Daten enthalten und ob die entsprechenden Passagen vor der Veröffentlichung anonymisiert werden müssen.

Nur so lässt sich ein Verstoß gegen den Grundsatz der Rechtmäßigkeit der Verarbeitung vermeiden.

Nicht aus der Rolle fallen

Den internen Bereich des RiS nutzt eine Vielzahl von Personen aus unterschiedlichen Bereichen der Verwaltung zu verschiedensten Zwecken.

Umso wichtiger ist es, den Zugriff nicht pauschal zu gewähren, sondern klar zu regeln. Dafür ist ein Berechtigungskonzept nötig, das festlegt, welche Personen auf welche Bereiche zugreifen dürfen.

Die Vergabe von Zugriffsrechten soll sicherstellen, dass nur berechtigte Personen im Rahmen der ihnen zustehenden Befugnisse die für ihre Tätigkeit erforderlichen Daten einsehen und bearbeiten können.

Ein sogenanntes „Rechte-Rollen-Konzept“ ist eine technisch-organisatorische Maßnahme, um dem Grundsatz der Erforderlichkeit Genüge zu tun.

Im Auftrag, aber nur mit Vertrag

Beauftragt eine Kommune einen externen Dienstleister, ein RiS einzurichten, so findet in diesem Zusammenhang regelmäßig ein sogenanntes „Webhosting“ statt.

Der Dienstleister stellt gegen Bezahlung u.a. Ressourcen in Form von Serverspeicher bereit, um das RiS zu betreiben. Verarbeitet der Dienstleister in diesem Zuge personenbezogene Daten, so handelt es sich um eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO.

Die verantwortliche Kommune ist dann verpflichtet, einen Vertrag mit dem Dienstleister (Auftragsverarbeiter) zu schließen, der die Voraussetzungen von Art. 28 DSGVO erfüllt.

Für die Verarbeitung der personenbezogenen Daten bleibt die Kommune weiterhin verantwortlich.

RiS als Mediathek: Live-Streaming von Ratssitzungen

Zunehmend nutzen Kommunen den öffentlichen Bereich der RiS auch dazu, Live-Streams von Ratssitzungen zu übertragen und die Aufzeichnungen zum Abruf bereitzuhalten.

Beim Live-Streaming handelt es sich um eine Echtzeitübertragung von Bild- und/oder Tonaufnahmen. Die Aufzeichnung der Ratsmitglieder, die Übertragung sowie die anschließende Speicherung ist jeweils eine Verarbeitung personenbezogener Daten.

In Niedersachsen findet sich die Rechtsgrundlage für die Durchführung von Live-Streamings von Ratssitzungen in § 64 Abs. 2 Satz 2 Niedersächsisches Kommunalverfassungsgesetz (NKomVG).

Demnach sind Bild- und Tonaufnahmen von Mitgliedern der Vertretung mit dem Ziel der Berichterstattung zulässig, wenn die Hauptsatzung der Kommune eine entsprechende Regelung enthält.

Aus datenschutzrechtlicher Sicht ist besonders zu beachten, keine Aufnahmen von Personen zu machen, die nicht Mitglieder der Vertretung sind, also z.B. von Zuschauerinnen und Zuschauern der Ratssitzungen.

Von diesen Personen ist immer vor Beginn der Bild- und / oder Tonaufnahmen eine Einwilligung nötig (Art. 6 Abs. 1 Buchst. a DSGVO).

Doch auch die Mandatsträgerinnen und Mandatsträger haben die Möglichkeit, zu verlangen, dass ihre Redebeiträge nicht übertragen werden (§ 64 Abs. 2 Satz 3 NKomVG).

Kommunen brauchen also organisatorische Vorkehrungen, um dieses Recht praktisch umzusetzen. Das könnte etwa ein optisches oder akustisches Signal an die Aufnahmeleitung sein, das die Mandatsträgerin oder der Mandatsträger per Knopfdruck auslöst, oder das Heben einer farbigen Karte.

Zudem sollte ein Löschkonzept sicherstellen, dass sich die Aufzeichnung nur so lange abrufen lässt, wie es erforderlich ist. Über die Erforderlichkeit entscheidet die jeweilige Kommune eigenverantwortlich.

Denkbar wäre, die Aufzeichnung einer vorangegangenen Sitzung zu löschen, sobald die Aufzeichnung der nächsten Sitzung zur Verfügung steht. Eine darüber hinausgehende Speicherdauer, etwa um politische Prozesse nachzuverfolgen, die sich über mehrere Sitzungen hinziehen, sollten Kommunen in der Hauptsatzung entsprechend begründen.

Fazit: Transparenz – aber nicht um jeden Preis

RiS tragen entscheidend dazu bei, demokratische Abstimmungsprozesse auf kommunaler Ebene transparenter zu gestalten und die in den Ratssitzungen diskutierten Inhalte einer größeren Anzahl von Bürgerinnen und Bürgern näherzubringen. Das ist gerade in Zeiten aufkeimender Politikverdrossenheit wichtig.

Gleichwohl dürfen Kommunen bei allen Vorteilen das Recht auf informationelle Selbstbestimmung nicht außer Acht lassen.

Stefan Mörschel

Stefan Mörschel
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Stefan Mörschel
Stefan Mörschel
Stefan Mörschel (LL.M.) ist juristischer Referent bei der Landesbeauftragten für den Datenschutz Niedersachsen und dort u.a. für den Bereich „Kommunen“ zuständig.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.