Wer heute mit der Stadtverwaltung zu tun hat, muss längst nicht mehr immer ins Rathaus gehen. Viele Anliegen lassen sich inzwischen online erledigen. Auch die Stadt Emden bietet dafür digitale Dienste an, vor allem über das Portal OpenR@thaus.
Das ist praktisch. Formulare lassen sich zu Hause ausfüllen, Anträge digital vorbereiten, manche Wege werden kürzer. Aber je bequemer Verwaltung digital wird, desto wichtiger wird eine einfache Frage: Wer achtet eigentlich darauf, was mit meinen Daten geschieht?
Denn wer ein Online-Formular nutzt, gibt persönliche Informationen weiter. Name, Adresse, Kontaktdaten, je nach Anliegen auch weitere Angaben. Solche Daten verschwinden nicht einfach in einem neutralen technischen Raum. Sie werden verarbeitet, gespeichert, weitergeleitet, geprüft. Genau deshalb gibt es Datenschutzregeln. Und genau deshalb müssen öffentliche Stellen wie Städte einen Datenschutzbeauftragten benennen.
Was macht ein Datenschutzbeauftragter?
Ein Datenschutzbeauftragter ist kein Bürgerbüro für Computerfragen oder eine Art technischer Administrator. Seine Aufgabe ist es vielmehr, darauf zu achten, dass eine öffentliche Stelle personenbezogene Daten rechtmäßig verarbeitet.
Er berät die Verwaltung, wirkt auf die Einhaltung der Datenschutzregeln hin, soll frühzeitig bei datenschutzrelevanten Verfahren eingebunden werden und ist auch Ansprechpartner für Bürgerinnen und Bürger. Wer wissen möchte, welche Daten über ihn verarbeitet werden, warum dies geschieht oder an wen Daten gegebenenfalls weitergegeben werden, kann sich an den Datenschutzbeauftragten wenden.
Wichtig ist: Verantwortlich bleibt die Stadt selbst. Der Datenschutzbeauftragte ersetzt nicht die Verantwortung der Verwaltung. Er soll aber kontrollieren, beraten und warnen.
Warum die Frage in Emden interessant wurde
Ausgangspunkt war eine einfache Bürgerfrage: Wer ist eigentlich aktuell der zuständige Datenschutzbeauftragte der Stadt Emden?
Bei der Recherche zeigte sich: Auf den Internetseiten der Stadt finden sich unterschiedliche Angaben.
In der Datenschutzerklärung des Bürgerportals OpenR@thaus wird Herr Stefan de Boer als „interner Datenschutzbeauftragter“ genannt. Auf der allgemeinen Datenschutzseite der Stadt Emden heißt es dagegen, die Aufgabe des behördlichen Datenschutzbeauftragten sei extern vergeben; dort wird die ITEBO GmbH mit Herrn Klaus Exner genannt. Von dem Unternehmen, welches auch Openr@thaus technisch betreibt.
Auch das Organigramm der Stadt gibt folgendes aus: Klaus Exner von der ITEBO GmbH wird dort als behördlicher Datenschutzbeauftragter geführt, mit Frau Carina Hinrichs zuständig für das interne Datenschutzmanagement. Herr Stefan de Boer wird hier allerdings als stellvertretender Leiter des Rechnungsprüfungsamtes aufgeführt.
Eine Stadt kann interne Ansprechpartner für Datenschutzmanagement haben und zugleich einen externen behördlichen Datenschutzbeauftragten beauftragen. Problematisch wird es aber, wenn Bürgerinnen und Bürger auf verschiedenen offiziellen Seiten unterschiedliche Zuständigkeitsangaben finden.
Denn gerade beim Datenschutz sollte eine einfache Frage ohne Detektivarbeit beantwortbar sein: An wen wende ich mich eigentlich, wenn ich wissen will, wo meine Daten sind?
Nachfrage bei der Stadt
Auf Nachfrage teilte die Stadt Emden mit, dass die Funktion des Datenschutzbeauftragten durch die ITEBO wahrgenommen werde. Zugleich wurde angekündigt, die Angaben auf der OpenR@thaus-Seite entsprechend anzupassen und Herrn Stefan de Boer als Verantwortlichen herauszunehmen.
Diese Sachfrage die ich als interessierter Bürger gestellt habe war: Werden personenbezogene Daten, die Bürgerinnen und Bürger über ein Online-Formular im Bürgerportal OpenR@thaus übermitteln, ausschließlich durch die Stadt Emden verarbeitet? Oder sind externe Dienstleister als Auftragsverarbeiter an Betrieb, Wartung oder technischer Bereitstellung beteiligt?
Das ist keine spitzfindige Frage. Sie betrifft den Alltag digitaler Verwaltung. Wenn öffentliche Dienstleistungen online angeboten werden, sollten Bürger nachvollziehen können, wer Zugriff auf ihre Daten haben kann, wer technisch beteiligt ist und wer die Verantwortung trägt.
Datenschutz beginnt bei Zuständigkeit
Datenschutz im Grunde einfach und braucht nur klare Zuständigkeiten.
Wer ist verantwortlich?
Wer ist Datenschutzbeauftragter?
Wer betreibt die Technik?
Wer kann Daten einsehen?
An wen können sich Bürger wenden?
Wenn eine Stadt digitale Dienste anbietet, muss sie diese Fragen verständlich beantworten. Nicht irgendwo versteckt, nicht widersprüchlich, nicht erst nach mehrfacher Nachfrage.
Im Emder Fall hat die Stadt auf Nachfrage reagiert und eine Korrektur angekündigt. Das ist positiv. Zugleich zeigt der Vorgang, wie schnell digitale Verwaltung unübersichtlich wird, wenn rechtliche, technische und organisatorische Zuständigkeiten nicht sauber erklärt werden.
Es geht also nicht darum, aus einer fehlerhaften oder veralteten Angabe gleich einen Skandal zu machen. Es geht vor allem um Transparenz. Wer seine Daten einer Stadt anvertraut, sollte ohne Umwege erkennen können, wer dafür zuständig ist.
Denn Datenschutz vor Ort beginnt nicht erst beim Datenleck. Er beginnt bei der einfachen Bürgerfrage:
Wie schützt in Emden meine Daten?
Datenschutzbeauftragte / Stadt Emden
Datenschutz bei der Stadt Emden
Die Stadt Emden nennt auf ihrer allgemeinen Datenschutzseite den behördlichen Datenschutzbeauftragten: ITEBO GmbH, Herr Klaus Exner.
Link: https://www.emden.de/datenschutz
Datenschutzbeauftragter beim Rechnungsprüfungsamt
Auch auf der Seite des Rechnungsprüfungsamts wird erläutert, dass die Stadt Emden die Aufgabe des behördlichen Datenschutzbeauftragten extern vergeben hat. Genannt wird ebenfalls Klaus Exner / ITEBO GmbH.
Link: https://www.emden.de/rathaus/verwaltung/stabsstellen/rechnungspruefungsamt/datenschutz
OpenR@thaus und abweichende Angabe
Datenschutzerklärung OpenR@thaus Emden
In der Datenschutzerklärung des Bürgerportals OpenR@thaus Emden wurde nach bisherigem Stand noch Stefan de Boer als „interner Datenschutzbeauftragter“ genannt. Diese Angabe soll laut Stadt Emden angepasst werden.
Link: https://openrathaus.emden.de/datenschutzerklaerung
Bürgerportal OpenR@thaus Emden
Das digitale Bürgerportal der Stadt Emden für Online-Dienstleistungen.
Link: https://openrathaus.emden.de/
Betreiber / Anbieter von OpenR@thaus
OpenR@thaus – Serviceportal der ITEBO-Unternehmensgruppe
Die ITEBO-Unternehmensgruppe beschreibt OpenR@thaus als Serviceportal für kommunale Verwaltungen und als Portallösung zur Umsetzung digitaler Verwaltungsleistungen.
Link: https://www.open-rathaus.de/ueber-uns
ITEBO: E-Services / OpenR@thaus
Die ITEBO stellt OpenR@thaus als kommunale Portallösung vor, die Verwaltungen bei der Umsetzung digitaler Dienste unterstützt.
Link: https://www.itebo.de/digitalisierung/e-serv/openrathaus/
ITEBO-Unternehmen
Die ITEBO beschreibt sich als IT-Dienstleister und Digitalisierungspartner und nennt unter anderem Hosting und Betreuung von Plattformen wie OpenR@thaus.
Link: https://www.itebo.de/unternehmen/
Hinweis: Der Beitrag gibt den Stand der Recherche zum Zeitpunkt der Veröffentlichung wieder. Die Stadt Emden hat eine Anpassung der OpenR@thaus-Datenschutzerklärung sowie eine Rückmeldung zur Datenverarbeitung im Bürgerportal angekündigt.