Welche zusätzlichen Kosten und Aufwände haben die Zuschussnehmer durch die DSGVO und wie kann die Stadt hier unterstützen?
Anfrage Stadtrats-Mitglieder Anja Berger, Jutta Koller, Angelika Pilz-Strasser, Dr. Florian Roth und Sebastian Weisenburger (Fraktion Die Grünen – rosa liste) vom 8.2.2019
Antwort Sozialreferentin Dorothee Schiwy:
In Ihrer Anfrage vom 08.02.2019 führen Sie Folgendes aus:
„Seit der Einführung der DSGVO sind sämtliche Unternehmen, Betriebe, Vereine und Vereinigungen dazu angehalten, die nun geltenden Regeln umzusetzen. Seitdem schwebt die Unsicherheit wie ein Damoklesschwert über allen Betroffenen, ob sie die Richtlinien auch wirklich einhalten und korrekt umsetzen. Die Träger fühlen sich von der Stadt München in diesem Punkt allein gelassen.“Ihre Anfrage konnte aufgrund der Weiterleitung an die maßgeblichen Referate leider nicht in der geschäftsordnungsgemäßen Frist erledigt werden. Für eine umfassende und genaue Beantwortung durch die Referate war eine Vorlaufzeit von mindestens einem Monat notwendig.
Die Fristverlängerung bis zum 31.05.2019 wurde Ihrerseits am 26.02.2019 bestätigt, dafür möchte ich mich bedanken.
Zu Ihrer Anfrage vom 08.02.2019 hat das Sozialreferat alle maßgeblichen Referate um die Beantwortung der Fragen gebeten. Das Kulturreferat, das Direktorium, das Referat für Arbeit und Wirtschaft, das Referat für Bildung und Sport, das Referat für Gesundheit und Umwelt und das Sozialreferat nehmen im Auftrag des Herrn Oberbürgermeisters im Einzelnen wie folgt Stellung:
Zunächst möchten das Referat für Arbeit und Wirtschaft und das Sozialreferat folgende Vorbemerkung voranstellen:
Alle Unternehmen, also nicht nur Großbetriebe, sondern auch Klein- und Kleinstunternehmen hatten und haben – ebenso wie nicht bezuschusste Initiativen und Vereine – die entsprechenden Regelungen in ihre Abläufe zu integrieren. Die von der GRÜNEN/RL getroffene Aussage, dass „die Zuschussnehmer der Stadt München meist nur kleine Vereine, Träger...“ seien, kann für jene des RAW und des Sozialreferats so nicht bestätigt werden. Neben einzelnen „kleinen“ Trägern handelt es sich in der Mehrzahl um professionell organisierte Träger mit z.T. einer Vielzahl an Einzelprojekten und -maßnahmen. Zahlreiche Träger sind wiederum Mitglied in einem größeren Verband. Gerade bei letzteren kann davon ausgegangen werden, dass seitens des entsprechenden Verbandes ein entsprechender Service gegenüber seinen Mitgliedern geleistet wurde und weiterhin geleistet wird. Dem RAW und dem Sozialreferat gegenüber wurde bislang zwar ein gewisses „Unbehagen und Unverständnis“ ob der Enge der Vorschriften geäußert, jedoch in keinem Falle eine Art von Überforderung mit der Thematik gemeldet.
Frage 1:
Wie sind die Auswirkungen der DSGVO auf die Zuschussnehmer – anhand des Beispiels der freien Träger?
Antwort:
- Direktorium:
Für die Umsetzung der neuen Regelungen der DSGVO entstanden/entstehen den Zuschussnehmern einmalige Kosten sowie Folgekosten. Einige Zuschussnehmer im Bereich des Direktoriums erhalten im Zuge von Beratungstätigkeit Kenntnis von fallrelevanten sensiblen und persönlichen Daten. Teilweise musste und muss daher auf eine/n externe/n Datenschutzbeauftragte/n zurückgegriffen werden, teilweise entstehen die Personalkosten zur Umsetzung der EU-DSGVO aktuell als Überstunden beim Stammpersonal. Auch geht die Umsetzung der DSGVO in
einigen Fällen zu Lasten der Angebote und Maßnahmen der Träger. Bei der Umsetzung der DSGVO im Detail besteht in vielen Fragen aus Sicht der Zuschussnehmer noch Rechtsunsicherheit, so dass weiterhin Kosten für Recherche, Fortbildung und Bedarfsanalyse etc. anfallen werden.
- Kulturreferat:
Die freien Träger bzw. Zuwendungsempfänger*innen sind verpflichtet den Anwendungsbereich der DSGVO in vollem Umfang zu beachten und auch einzuhalten. Was dieses im Einzelnen für jeden Träger bedeutet ist durch das Kulturreferat nicht beantwortbar.
- Referat für Arbeit und Wirtschaft:
Die Auswirkungen der DSGVO auf den betrieblichen Datenschutz betreffen - beispielhaft - laut eines Zuschussnehmers zwei Bereiche: Die Umsetzung der neuen Regelungen der DSGVO sowie deren Einhaltung. So bedurfte es für die Implementierung des neuen Datenschutzrechts, welches seit dem 25.05.2018 gültig ist, eines externen Datenschutzbeauftragten. Die Umsetzung der durch den Datenschutzbeauftragten erarbeiteten und anzuwendenden Richtlinien erfolgte durch das Stammpersonal. Zu konstatieren ist, dass mit Geltung des neuen Datenschutzrechts die Realisation der Datenschutzrichtlinien in die betrieblichen Praxisabläufe des Zuschussnehmers abgeschlossen ist. Folgekosten entstehen, laut dem befragten Zuschussnehmer, durch die jährlich stattfindenden Audits durch externe Datenschutzbeauftragte. In den Audits wird überprüft, ob die in der Praxis angewandten Maßnahmen tatsächlich den aktuell geltenden Standards der DSGVO entsprechen. Es ist hier aber darauf hinzuweisen, dass der Zuschussnehmer in Gänze mit all seinen Aktivitäten auditiert wird und nicht nur hinsichtlich von der LHM kofinanzierter Einzelprojekte. Zusammenfassend ist aufgrund der Aussagen des befragten Zuschussnehmers festzuhalten, dass mit den vorhandenen finanziellen wie auch personellen Ressourcen die DSGVO umgesetzt werden konnte.
Referat für Bildung und Sport:
Die neue EU-Datenschutzgrundverordnung (DSGVO) beansprucht ab dem 25. Mai 2018 in der gesamten Europäischen Union – und damit auch im Freistaat Bayern und für die Landeshauptstadt München – unmittelbare Geltung.
Die bayerischen öffentlichen – insbesondere auch kommunalen – Stellen sind als „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO selbst und unmittelbar zur Umsetzung der DSGVO verpflichtet, konkretisiert durch das neue Landesrecht. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist gemäß Art. 28 a BayKiBiG zulässig, wenn dies zur Erfüllung einer Aufgabe oder für eine Förderung nach diesem Gesetz erforderlich ist (...). Selbiges würde auch gemäß Art. 6 DSGVO oder im Rahmen des Sozialdatenschutzes des Sozialgesetzbuches gelten.
Die DSGVO gilt wie beschrieben in der gesamten EU, d.h. auch Träger sind „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO. Auch nach den bisherigen verschiedenen gesetzlichen Regelungen waren die Träger zum Datenschutz verpflichtet. In der Praxis bedeutet dies für die Träger, dass diese alle gesetzlichen Datenschutzpflichten (nach der DSGVO, SGB I, VIII, X sowie Art. 28 a BayKiBiG), wie z.B. Dokumentations- und Informationspflichten, zu gewährleisten haben.
- Referat für Gesundheit und Umwelt:
Die DSGVO ist seit 25.5.2018 unmittelbar anwendbar. Aus den bislang vorliegenden Unterlagen (die zu den Verwendungsnachweisen für 2018 gehörenden Sachberichte werden im Laufe des Monats März im RGU eingereicht) sind noch keine aussagekräftigen Informationen vorhanden. Soweit Informationen vorhanden sind, decken sich diese weitestgehend mit den Ausführungen der Stadtratsanfrage.
- Sozialreferat:
Die freien Träger sind verpflichtet, den Anwendungsbereich der DSGVO in vollem Umfang zu beachten und auch einzuhalten. Welche finanziellen Aufwände dies im Einzelnen für jeden Träger sind, ist durch das Sozialreferat nicht bezifferbar.
Frage 2:
Welche finanzielle und personelle Unterstützung für die Einhaltung der DSGVO bietet die Stadt den Zuschussnehmern derzeit?
Antwort:
- Direktorium:
Im Bereich des Direktoriums wurde aktuell bis auf einen Fall, in dem über einen Antrag ein Teil der zusätzlich entstandenen Kosten übernommen werden konnte, keine Unterstützung geleistet.
- Kulturreferat:
Im Bereich Stadtteilkultur haben die Trägervereine das Kulturreferat um konkrete Hilfestellung gebeten. Insbesondere wurde der hohe Zeitaufwand beklagt. Das Kulturreferat hat den Trägervereinen angeboten, ihre Fragen an den Rechtsanwalt aus dem Fachauskunftskreis weiterzuleiten. Der Fachauskunftskreis ist ein Beratungsservice, den das Kulturreferat anbietet und finanziert. Somit müssen die Vereine die Beratungshonorare nicht aus ihren Zuschüssen finanzieren. Im Kulturreferat Bereich Stadtteilkultur entstand durch die Koordination und Realisierung der Unterstützung eine erheblicher Verwaltungsaufwand (rd. 150 Mails zum Thema DSGVO).
- Referat für Arbeit und Wirtschaft:
Mögliche finanzielle Ausgaben seitens der Träger fielen – wenn überhaupt auf ein einzelnes von der LHM kofinanziertes Projekt darstellbar – in 2018 an und waren in den Anträgen für 2018 schon eingepreist. Laufende Ausgaben die ein Träger in Gänze hat – wie eben z.B. auch für Buchhaltung, Steuerberatung, etc. - sind von diesem im Rahmen seines Overheads zu decken.
- Referat für Bildung und Sport:
Die Zuschüsse für Kindertageseinrichtungen - egal ob gesetzlich nach BayKiBiG bzw. freiwillig nach der MFF oder der EKI-Förderung - dienen mithin zur Deckung der Personal- und Verwaltungskosten. Die Einhaltung des Datenschutzes gehört zu den organisatorischen Pflichten eines Trägers.
Die LHM fördert außerdem den Kleinkindertagesstättenverein (KKT), welcher als Beratungsstelle der Träger fungiert. Es wird davon ausgegangen, dass die dortigen Beratungen auch datenschutzrechtliche Aspekte umfassen.
Auch im Rahmen der Aufsicht über Kindertageseinrichtungen erfolgen allgemeine Auskünfte durch KITA-FT.
Informationen zur DSGVO werden durch die datenschutzrechtlichen Aufsichtsbehörden (Bayerisches Landesamt für Datenschutzaufsicht: Bay-LDA und Bayerischer Landesbeauftragter für den Datenschutz: BayLfD)angeboten. Siehe z.B. die Handreichungen des BayLDA für kleine Unternehmen und Vereine https://www.lda.bayern.de/de/kleine-unternehmen. html. Inzwischen gibt es auch sehr viel Fachliteratur, insbesondere auch für Vereine. Besonders wird auf die Orientierungshilfe „Informationen über die datenschutzrechtlichen Rahmenbedingungen beim Umgang mit personenbezogenen Daten in der Vereinsarbeit“ des Landesdatenschutzbeauftragten Baden-Württemberg verwiesen (http://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/OH-Datenschutz-im-Verein-nach-der-DSGVO.pdf).
- Referat für Gesundheit und Umwelt:
Das RGU gewährt den Zuschussnehmern derzeit keine regelhafte finanzielle und/oder personelle Unterstützung. In wenigen Einzelfällen wurden in 2018 auf Antrag kleine Zuschüsse aus Fördertöpfen gewährt (z.B. Münchner Angst-Selbsthilfe, einmaliger Sachkostenzuschuss zur Umsetzung der Anforderung der DSGVO). Eine Information, wie das RGU mit der Umsetzung der DSGVO vorgehen wird, wurde im Vorfeld an alle Zuschussnehmerinnen und Zuschussnehmer versandt.
- Sozialreferat:
Das Sozialreferat hat seinen Trägern im Rahmen der Antragstellung eine Wahlmöglichkeit eingeräumt. Die Zuschussnehmer/innen können Anträge anonymisiert zuleiten, haben aber auch die Möglichkeit, die Zuschussanträge wie bisher einzureichen. Behält der Träger das bisherige Verfahren bei, entstehen ihm keine zusätzlichen Kosten (betrifft das Verhältnis gegenüber der Stadt). Eine weitere finanzielle Unterstützung erfolgt nicht, da die Kosten, die mit der Umsetzung der DSGVO anfallen (Personal, Software etc.) bereits dem Grunde nach in der Bezuschussung enthalten sind. Eine personelle Unterstützung ist nicht möglich, da das Rechtsdienstleistungsgesetz und Haftungsrisiken dieser entgegensteht.
Frage 3:
Ist der Datenschutz derzeit ein Teil der zentralen Kostenansätze, welche die Zuschussnehmer erhalten? Wenn nein, wieso nicht?
Antwort:
- Direktorium:
Grundsätzlich sind die Kosten für den Datenschutz Teil der zuwendungsfähigen Verwaltungskosten und somit im ursprünglichen Beschluss über die Förderung enthalten. Allerdings gehen die Anforderungen an den Datenschutz für die Zuwendungsnehmer teilweise über das hinaus, was zum Zeitpunkt des Stadtratsbeschlusses gefordert war. Somit könnten die ursprünglichen Ansätze nicht (mehr) ausreichend sein.
- Kulturreferat:
Kosten für den Datenschutz fallen z. T. einmalig an und sind in verschiedenen Kostenpositionen (Büro-, Verwaltungs-, EDV-, Homepage-, Beratungskosten etc.) beinhaltet, da ein eigener Posten „Datenschutz“ in der Praxis nicht sinnvoll wäre. Ausgaben für den Datenschutz werden ggf. als zuwendungsfähige Kosten anerkannt.
- Referat für Arbeit und Wirtschaft:
Siehe hierzu Antwort zu Frage 2.
- Referat für Bildung und Sport:
Der gesetzlich verpflichtend einzuhaltende Datenschutz galt bereits vor Inkrafttreten der DSGVO und stellte seit jeher eine allgemeine Rechtspflicht somit eine Verwaltungsaufgabe jeden Rechtsträgers dar. Auf Antwort 2 wird verwiesen.
- Referat für Gesundheit und Umwelt:
Derzeit gehen wir davon aus, dass die Kosten für Datenschutz in den Kostenansätzen enthalten sind. Den Trägern werden zentrale Verwaltungskosten prozentual gewährt. Darüber hinaus gehender Mehrbedarf wäre von den Zuwendungsnehmern zu begründen und geltend zu machen.
- Sozialreferat:
Der Datenschutz war bereits vor Inkrafttreten der DSGVO gemäß Bundesdatenschutzgesetz (BDSG) und Bayerischem Datenschutzgesetz (BayDSG) zu beachten. Bei den Trägern, die berechtigt sind zentrale Verwaltungskosten geltend zu machen, sind die Kosten darüber abgegolten. Bei den anderen Trägern sind solche Aufwände den Verwaltungskosten zuzuordnen.
Frage 4:
Welchen personellen und finanziellen Bedarf sieht die Stadt bei den unterschiedlichen Zuschussnehmern um die DSGVO vollumfänglich umzusetzen?
Antwort:
- Direktorium:
Sofern auf externe Datenschutzbeauftragte zurückgegriffen werden muss, werden diese Kosten dauerhaft anfallen. Dies ist nach Kenntnis des Direktoriums in mindestens zwei Fällen nötig. In den anderen Fällen werden weiterhin Personalkosten zur Umsetzung der DSGVO mittels Stammpersonal sowie Kosten für Schulungen und Weiterbildungen des eigenen Personals anfallen.
- Kulturreferat:
Das Kulturreferat hat keine konkreten finanziellen Bedarfsanmeldungen für die Umsetzung der DSGVO erhalten und geht daher davon aus, dass die DSGVO im Rahmen der angemeldeten und für 2019 teilweise auch erhöhten Budgetansätze (siehe oben) umgesetzt wird. Wie hoch der Aufwand für eine vollumfängliche Umsetzung der DSGVO war bzw. ist, kann aus den Zuwendungsanträgen nicht ersehen und auch nicht geschätzt werden.
- Referat für Arbeit und Wirtschaft:
Es bedarf keiner zusätzlichen personellen wie auch finanziellen Ressourcen für die Umsetzung der DSGVO, da der Umstellungsprozess mit Einführung der DSGVO zum 25.05.2018 bei den Zuschussnehmern des FB 3 des Referats für Arbeit und Wirtschaft weitestgehend abgeschlossen ist. Durchaus sind weiterhin auch die Verbände gefordert, evtl. künftig – z.B. im Falle von Novellierungen – notwendige Beratungsdienstleistungen für ihre Mitglieder zu erbringen.
- Referat für Bildung und Sport:
Die Höhe der Zuschüsse wird laufend evaluiert. Es wird daher kein zusätzlicher Bedarf gesehen.
- Referat für Gesundheit und Umwelt:
Da die DSGVO seit Mai 2018 anwendbar ist und die Zuschussnehmer die aktuellen Anträge für das Haushaltsjahr 2019 bereits gestellt haben, gab es bisher keinen Handlungsbedarf für das RGU.- Sozialreferat:
Der Umstellungsprozess mit der Einführung der DSGVO zum 25.05.2018 sollte weitestgehend bei den Zuschussnehmern abgeschlossen sein. Die Anträge für das Haushaltsjahr 2019 wurden bereits im Jahr 2018 gestellt. Die Höhe der Zuschüsse wird laufend evaluiert, aktuell kann das Sozialreferat noch kein abschließendes Bild feststellen.
Frage 5:
Wie schätzt die Stadt das Risiko von drohenden Klagen ein, wenn einzelne Zuschussnehmer die DSGVO nicht korrekt umsetzen?
Antwort:
- Direktorium:
Sollten die Anforderungen der DSGVO nicht erfüllt werden, besteht insbesondere für die Zuschussnehmer des Direktoriums, die mit sensiblen persönlichen Daten in Berührung kommen, ein hohes Risiko. Eine pauschale Bewertung ist jedoch nicht möglich.
- Kulturreferat:
Das Risiko kann vom Kulturreferat nicht abgeschätzt werden.
- Referat für Arbeit und Wirtschaft:
Der FB 3 des Referats für Arbeit und Wirtschaft kann hierzu keine Bewertung abgeben.
- Referat für Bildung und Sport:
Ein Risiko für Sanktionen bei Datenschutzverletzungen kann nicht pauschal bewertet werden, sondern hängt stets vom konkreten Einzelfall ab. Im Referat für Bildung und Sport ist bisher kein einziger Fall einer diesbezüglichen Klage gegen einen Träger bekannt.
- Referat für Gesundheit und Umwelt:
Wie hoch das Risiko für Zuschussnehmer ist, kann das RGU nicht einschätzen. Bisher sind keine Probleme bekannt. Die Umsetzung der DSGVO innerhalb des RGU verlief bislang weitestgehend problemlos. Wir schlagen vor, das Thema im stadtweiten AK Zuschuss zu besprechen, der im Frühjahr 2019 die Arbeit wieder aufgenommen hat.
- Sozialreferat:
Grundsätzlich sind die Träger für die Einhaltung der DSGVO verantwortlich. Das Sozialreferat geht davon aus, dass die Träger die DSGVO seit Mai 2018 richtig anwenden. Über mögliche Klagen gegen einzelne Träger ist dem Sozialreferat nichts bekannt.