Lars Fassmann

Fakten zur Meinungsbildung, Verantwortungsbewusstsein für den Stadtrat, Haltung für die Verwaltung – für die Zukunft von Chemnitz

Offener Verteiler, offene Datenschutzbaustelle

· Verwaltung & Stadtrat · 6 Min. Lesezeit · Artikel 262 von 492

#Chemnitz #Verwaltung #Digitalisierung #Transparenz

In der Chemnitzer Stadtverwaltung gibt es offenbar große Probleme mit dem Datenschutz. Zuletzt versendete die Oberbürgermeisterin eine E-Mail an einen ungeschützten Verteiler, der 214 teilweise persönlichen und privaten E-Mail-Adressen von Chemnitzer Kulturschaffenden enthielt. Im Verteiler befand sich auch das Postfach einer vom Verfassungsschutz beobachteten Organisation, so dass man davon ausgehen kann, dass jetzt sowohl der Verfassungsschutz als auch die von ihm beobachten Extremisten ihre Listen mit unbequemen Kunstschaffenden auf den aktuellen Stand bringen können.

Von einem Versehen kann man nicht ausgehen, da es in der Chemnitzer Stadtverwaltung auch in der Vergangenheit üblich war, an offene Verteiler zu senden. Nun stellen nach Einschätzung der Datenschutzbehörden solche offenen Verteiler einen Verstoß gegen § 33 der Datenschutz-Grundverordnung dar, die innerhalb von 72 Stunden bei der Aufsichtsbehörde meldepflichtig sind und wo auch die Betroffenen informiert werden müssen. In anderen Fällen der Versands an offene Verteiler wurden bereits durch Gerichte hohe Geldstrafen verhängt. Da nach Ablauf der Frist keine Reaktion erfolgte, hatte ich die Oberbürgermeisterin gebeten, mit dem Datenschutzbeauftragten der Stadt zu sprechen und dem Reaktionsplan zu folgen. Heute, vierzehn Tage nach dem Vorfall keine Reaktion, da es wahrscheinlich keinen Plan gibt, der über Totschweigen hinaus geht.

Die Problematik des mangelhaft umgesetzten Datenschutzes verfolge ich schon seit geraumer Zeit. Nach Ablauf der einjährigen(!) Umstellungsfrist der Datenschutz-Grundverordnung prüfte ich unter anderem die Webseiten der Stadt Chemnitz auf Rechtmäßigkeit. Auf einigen Webseiten (u.a. www.die-stadt-bin-ich.de oder www.cwe-chemnitz.de sowie Stadtbibliothek und tietz) kamen Tracking- und Analysetools, u.a. der Firma Google zum Einsatz, was grundsätzlich nicht schlimm ist, wenn die Betroffenen darauf hingewiesen werden. Datenschutzerklärungen fehlten teilweise völlig oder der Hinweis war nicht vorhanden. Als nicht rechtmäßig entpuppte sich auf einigen städtischen Webseiten das Abfragen von persönlichen Daten in Kombination mit nicht vorhandener Verschlüsselung.

Bei der Prüfung der ordnungsgemäßen Bestellung von Datenschutzbeauftragten fiel mir auf, dass die Stadt Chemnitz ihren Datenschutzbeauftragten wohl am letzten Tag des Fristablaufs bestellt hatte, obwohl für Organisationen dieser Größe auch schon vorher Datenschutzbeauftragte vorgeschrieben waren. Da machte es wohl jemand vom Land nebenbei mit, obwohl eine Großstadt sicher mehrere Beauftragte zur korrekten Umsetzung des Datenschutzes benötigt. Auf die Frage, wie denn der Datenschutzbeauftragte der Stadt Chemnitz heißt und wie er telefonisch zu erreichen sei, wurde mir vom verantwortlichen Bürgermeister Sven Schulze bis heute die Antwort verweigert, da diese Frage angeblich nicht vom Fragerecht der Stadträte gedeckt ist. Wieso hält die Stadt den Namen des Datenschutzbeauftragten geheim und verhindert eine telefonische Kontaktaufnahme? Der Datenschutzbeauftragte der Wirtschaftsförderung war dagegen ein interner Mitarbeiter, der sich offensichtlich ohne Kenntnis der Rechtslage und der damit verbundenen eigenen Vermögenshaftung von der überaus verantwortlichen Geschäftsleitung hatte einsetzen lassen. Die C3 hatte die Geschäftsführung die Gesellschaft selbst als juristische Person als Datenschutzbeauftragten eingesetzt, was so auch nicht funktioniert.

Meine Ratsanfrage führte die Änderung herbei, dass nunmehr für die städtischen Gesellschaften entsprechend ausgebildete externe Datenschutzbeauftragte wurden, die ihrer Verantwortung aber leider auch nicht nachkommen. Mängel an den Webseiten, u.a. Benutzer-Tracking ohne Hinweis und kaputte Verlinkungen sind sowohl auf den Seiten der Wirtschaftsförderung als auch den städtischen Seiten weiterhin vorhanden. Selbst in der nach meinen letzten abgelehnten Ratsanfrage nachgerüstete Datenschutzerklärung auf der Webseite des tietz fehlt der Hinweis auf das Benutzerverfolgung mit Google. Statt die Verschlüsselung einzuschalten, hat man einfach das Kontaktformular entfernt. Das ist dilettantisch und lässt leider gleiches in größerem Maßstab vermuten.

Ich habe nun mehrere Ratsanfragen gestellt und immer wieder auf die konkreten Probleme hingewiesen, die mit etwas gutem Willen ohne weiteres abgestellt werden können. Zweimal kam die Antwort des verantwortlichen Bürgermeisters Sven Schulz, dass man dies und das getan hätte, aber halt nicht richtig. Das dritte Mal wurde die Antwort schließlich verweigert, da ich kein Stadtrat mehr wäre, nachdem man die Beantwortung unter Verstoß gegen die Gemeindeordnung monatelang hinausgezögert hat.

Grundsätzlich deutet das planlose Agieren auf schwerwiegende Organisationsmängel und einem fahrlässigen bis vorsätzlichen Umgang mit dem Datenschutz in der Stadtverwaltung allgemein hin. Die Probleme sind bekannt, reagiert wird nur zögerlich und Bürgermeister verschleiern Missstände oder sind selbst Ursache von Datenschutzverletzungen. Eine wirksame technische Maßnahme kann zum Beispiel das Begrenzen von offenen Verteilern und das konsequente Umsetzen entsprechender Datenschutz-Maßnahmenkataloge sein. Die Maßnahmen im Bereich Mensch fängt bei der Stadtspitze und den Bürgermeistern an. Der für die IT zuständige Bürgermeister sollte sich dringend in die Fachthematik seines Verantwortungsbereichs einarbeiten. Schnell hängen wieder mal die Reputation der Stadt oder auch mal Menschenleben daran.

Ursprünglich auf Facebook am 16.09.2019 veröffentlicht.