Sie sind hier: > Start > Presse > Archiv > Leitfaden zum Outsourcing kommunaler Informationstechnologie

---

29.03.2021

Leitfaden zum Outsourcing kommunaler Informationstechnologie

Der Bayerische Landesbeauftragte für den Datenschutz veröffentlicht Hilfestellungen zum datenschutzgerechten Outsourcing kommunaler IT

Was muss eine Kommune im Hinblick auf den Datenschutz beachten, wenn sie Aufgaben aus der eigenen IT-Abteilung entgeltlich an Dienstleister auslagern will? Diese Frage beschäftigt seit geraumer Zeit viele bayerische Kommunen. Immerhin sind die Kommunen datenschutzrechtlich für die ihnen anvertrauten Daten der Bürgerinnen und Bürger verantwortlich. Gleichzeitig erhoffen sie sich von externen Dienstleistern eine kostengünstige und sichere Betreuung dieser Daten. Vor diesem Hintergrund habe ich zusammen mit dem Bayerischen Kommunalen Prüfungsverband die Einrichtung einer hochrangigen Arbeitsgruppe angestoßen, an der sich auch das Bayerische Staatsministerium des Innern, für Sport und Integration, die kommunalen Spitzenverbände und das Landesamt für Sicherheit in der Informationstechnologie beteiligt haben. Ergebnis dieser Arbeitsgruppe ist der heute veröffentlichte Leitfaden, welcher die Kommunen bei der datenschutzgerechten Auslagerung der kommunalen Informationstechnologie unterstützen soll.

Im Grundsatz können Kommunen zwar nach Art. 28 Datenschutz-Grundverordnung (DSGVO) Auftragsverarbeiter einschalten. Die Voraussetzungen einer Auftragsverarbeitung sind aber nur neutral und abstrakt geregelt. Darauf weist auch der Bayerische Landesbeauftragte für den Datenschutz, Prof. Dr. Thomas Petri, ausdrücklich hin:

"Die Antwort auf die Frage, ob und inwieweit ein Outsourcing kommunaler IT zulässig ist, muss außerhalb des Art. 28 DSGVO - in anderen Bestimmungen der DSGVO sowie im nationalen Recht - gesucht werden. Maßgeblich zu berücksichtigen ist hierbei, dass die Kommunen aufgrund ihrer breit gefächerten Zuständigkeiten Daten aus den verschiedensten fachlichen Bereichen verarbeiten - teilweise besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO oder Daten, die speziellen fachgesetzlichen Regelungen unterliegen, wie beispielsweise solche aus den Bereichen Meldewesen, Steuern, Personal-, Gesundheits- oder Sozialwesen. Sofern solche bereichsspezifischen Anforderungen bestehen, müssen sie natürlich auch im Rahmen der Auftragsverarbeitung beachtet werden."

Aufgabe der Arbeitsgruppe war es, für die beim IT-Outsourcing zu prüfenden Fragestellungen eine in der Praxis handhabbare Form zu finden. Diese liegt in Gestalt des heute veröffentlichten Leitfadens nunmehr vor. Besonders relevant für die Praxis dürfte hierbei sein, dass eine ISO 27001 Zertifizierung des Dienstleisters wesentliche Erleichterungen für die Kommunen bei der Auswahl und Überprüfung des Auftragnehmers bringt.

Der "Leitfaden zum Outsourcing kommunaler IT" steht ab heute auf der Homepage https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018 - Orientierungs- und Praxishilfen - Auftragsverarbeitung" als PDF-Datei kostenfrei zum Download bereit.

Prof. Dr. Thomas Petri

Der Bayerische Landesbeauftragte für den Datenschutz kontrolliert bei den bayerischen öffentlichen Stellen die Einhaltung datenschutzrechtlicher Vorschriften. Er ist vom Bayerischen Landtag gewählt, unabhängig und niemandem gegenüber weisungsgebunden.