Landeshauptstadt Stuttgart
Oberbürgermeister
Gz:
0901-00
GRDrs
248/2012
Stuttgart,
04/23/2012
Rechnungsprüfungsordnung der Landeshauptstadt Stuttgart
Beschlußvorlage
Vorlage an
zur
Sitzungsart
Sitzungstermin
Verwaltungsausschuss
Gemeinderat
Vorberatung
Beschlussfassung
öffentlich
öffentlich
09.05.2012
10.05.2012
Beschlußantrag:
Die Rechnungsprüfungsordnung der Landeshauptstadt Stuttgart wird in der als Anlage 2 beigefügten Fassung beschlossen. Sie ersetzt die Anordnung über die Aufgaben des Rechnungsprüfungsamts der Landeshauptstadt Stuttgart vom 20. Dezember 2006.
Kurzfassung der Begründung:
Ausführliche Begründung siehe Anlage 1
Die bisherige Anordnung über die Aufgaben des Rechnungsprüfungsamtes der Landeshauptstadt Stuttgart vom 20. Dezember 2006 stellt eine reine Aufgabenfestlegung dar. Rechte und Pflichten der Rechnungsprüfung sind dort nicht geregelt, so dass es dazu vielfach einer Auslegung der allgemein gehaltenen gesetzlichen Vorschriften (§§ 109 bis 112 GemO und Gemeindeprüfungsordnung) bedarf. Im Sinne der Schaffung von Rechtssicherheit sowie von effektiven, klaren und transparenten Geschäftsabläufen sowohl für die Rechnungsprüfung als auch für die Verwaltung der Landeshauptstadt ist daher die klarstellende schriftliche Fixierung solcher Regelungen, die bisher weitgehend schon praktiziert werden, notwendig.
Ebenso empfiehlt der Landesbeauftragte für den Datenschutz anlässlich der Überprüfung des im Jahr 2008 vom Rechnungsprüfungsamt vorgenommenen elektronischen Abgleichs von Beschäftigten- mit Lieferantendaten „Spielregeln“ für künftige derartige Datenabgleiche aufzustellen.
Diese Zielsetzungen liegen der vorliegenden Rechnungsprüfungsordnung (RPrO) der Landeshauptstadt Stuttgart zu Grunde, die an die Stelle der Anordnung über die Aufgaben des Rechnungsprüfungsamtes der Landeshauptstadt Stuttgart treten soll.
In § 6 Abs. 4 der Rechnungsprüfungsordnung finden sich die vom Landesbeauftragten für den Datenschutz angeregten „Spielregeln“ für künftige elektronische Datenabgleiche. Diese entsprechen § 32d Abs. 3 des gegenwärtigen Entwurfsstands des Bundesdatenschutzgesetzes zur Regelung des Beschäftigtendatenschutzes, das am 25. Februar 2011 in erster Lesung im Deutschen Bundestag beraten und an die Ausschüsse verwiesen wurde. Demnach sind derartige Datenabgleiche in pseudonymisierter Form zulässig.
In § 8 ist die erweiterte Aufgabe des Rechnungsprüfungsamts als zentrale Antikorruptionsstelle enthalten, deren Leiter noch zu bestellen ist.
Die vorliegende Rechnungsprüfungsordnung wurde durch die mit Organisationsverfügung des Oberbürgermeisters eingesetzte stadtinterne Projektgruppe „Datenabgleich durch das Rechnungsprüfungsamt“ erstellt und von der Projektlenkungsgruppe abgenommen.
In der Projektgruppe bestand Einigkeit, dass die RPrO als „Grundordnung“ für die Arbeit des Rechnungsprüfungsamtes gelten solle. Weitere Verfahrensdetails sind in entsprechenden Dienstanweisungen bzw. Organisationsverfügungen zu regeln.
Verschiedene Städte in Baden-Württemberg und auch bundesweit verfügen über eine Rechnungsprüfungsordnung. Die vorliegenden Ordnungen enthalten zur Thematik „Datenabgleich“ jedoch keine speziellen Regelungen. Insofern ist die Stuttgarter RPrO richtungsweisend.
Finanzielle Auswirkungen
keine
Beteiligte Stellen
Referat AK
Referat RSO
GPR zur Kenntnis
Vorliegende Anträge/Anfragen
-
Dr. Wolfgang Schuster
Anlagen
Anlage 1: Ausführliche Begründung
Anlage 2: Rechnungsprüfungsordnung
Ausführliche Begründung
1. Die vorliegende Rechnungsprüfungsordnung (RPrO) wurde von der am 3. März 2009 vom Oberbürgermeister eingesetzten
Projektgruppe „Datenabgleich durch das Rechnungsprüfungsamt“
(Mitglieder: Rechtsamt (Leitung), Haupt- und Personalamt, Rechnungsprüfungsamt, Behördlicher Beauftragter für den Datenschutz und IT-Sicherheit) mit dem Ziel einer abgesicherten und effizienten Regelung der Datenverarbeitung durch das Rechnungsprüfungsamt erstellt und von der Projektlenkungsgruppe am 5. März.2012 abgenommen (Mitglieder: Bürgermeister Dr. Schairer, Bürgermeister Wölfle, GPR-Vorsitzender Theilen).
Anlass für die Einsetzung der Projektgruppe war der vom Rechnungsprüfungsamt im Jahr 2008 mit der Analyse-Software ACL vorgenommene Datenabgleich von Kontonummern und Bankleitzahlen von Beschäftigten mit denen von Lieferanten mit dem Ziel der Aufdeckung doloser Handlungen. Nach dem Bekanntwerden des Datenabgleichs am 6. Februar 2009 wurden Zweifel an dessen Rechtmäßigkeit insbesondere bzgl. der Verhältnismäßigkeit zwischen den Zielen der Rechnungsprüfung und dem Beschäftigtendatenschutz laut. Aufgrund dessen hat die Landeshauptstadt Stuttgart das Regierungspräsidium als Aufsichtsbehörde und den Landesbeauftragten für den Datenschutz (LfD) mit der Bitte um rechtliche Prüfung und Klärung von Zweifelsfragen eingeschaltet. Vorsichtshalber und auf Wunsch des LfD wurden sämtliche Datenabgleiche mit der Analysesoftware ACL gestoppt.
2. Die
Stellungnahme des LfD
ging am 22. Juni 2009 bei der Landeshauptstadt Stuttgart ein und wurde in leicht abgeänderter Form auch dem Landtag vorgelegt (Landtagsdrucksache 14 / 4675). Der LfD hat keine förmliche Beanstandung nach § 30 Landesdatenschutzgesetz (LDSG) ausgesprochen (hiernach wären nicht unerhebliche Verstöße zu beanstanden). Er hält die "
anlasslose Überprüfung durch das Rechnungsprüfungsamt in der geschehenen Art und Weise nicht von vornherein und unter allen Umständen für unzulässig
", prüft aber die Verhältnismäßigkeit und Zweckmäßigkeit des Vorgehens im Detail. Dabei kommt er zu dem Ergebnis, dass der Datenabgleich mit Blick auf seinen Umfang teilweise überzogen und damit unzulässig war. Auf der anderen Seite anerkennt er das Bemühen des Rechnungsprüfungsamtes um Berücksichtigung von Datenschutzbelangen ausdrücklich und erklärt etwa die anschließende Vernichtung der Ergebnisse der Überprüfung für "
nicht zu beanstanden
".
Der Landesdatenschutzbeauftragte führt aus, dass sich zwischen den fachlich jeweils eigenständig agierenden Akteuren 'städtisches Rechnungsprüfungsamt' und 'behördlicher Datenschutzbeauftragter' natürliche Zielkonflikte und damit ein gewisses Spannungsfeld ergeben. Er sieht vor diesem Hintergrund "
erheblichen Regelungsbedarf
" und regt für derartige Datenabgleiche die Entwicklung von geeigneten „Spielregeln“ an, „
um dem Verhältnismäßigkeitsgrundsatz stärker zur Geltung zu verhelfen
“. Er geht davon aus, dass „
bis zum Abschluss der erforderlichen Klärungen keine weiteren Datenabgleiche in der im letzten Jahr durchgeführten Form von der Landeshauptstadt vorgenommen werden.
“ Hervorzuheben ist, dass die Bearbeitung der Thematik „Datenabgleich“ - auch nach Ansicht des LfD - eine generell neue Aufgabe für Kommunen in Baden-Württemberg und bundesweit darstellt, da bislang hierzu keine Grundlagen und Regelungen vorhanden sind.
3. Auf Anregung des LfD hat auch das
Innenministerium Baden-Württemberg
das Thema aufgegriffen und mit Schreiben vom 7. Juli 2009 eine Arbeitsgruppe „Kommunale Rechnungsprüfung und Datenabgleich“ (Landes-AG) eingerichtet (Mitglieder: Städte- und Gemeindetag, Landkreistag, Landesbeauftragter für den Datenschutz, Gemeindeprüfungsanstalt, LHS Stuttgart, Landesrechnungshof und Regierungspräsidium sowie das Innenministerium). Ziel der Landes-AG ist die Regelung automatisierter Datenabgleiche, vorzugsweise in der zur Novellierung anstehenden Gemeindeprüfungsordnung. Die Landes-AG ist bisher zweimal zusammengetreten und schließlich mit Verweis auf die anstehende Novellierung des Bundesdatenschutzgesetzes bis zum Abschluss des Gesetzgebungsverfahrens vertagt worden.
Nach dem derzeitigen Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes (Drucksache 17/4230 des Bundestages vom 15.12.2010) enthält § 32d Abs. 3 Bundesdatenschutzgesetz folgende Fassung: „
Der Arbeitgeber darf zur Aufdeckung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen durch Beschäftigte im Beschäftigungsverhältnis, insbesondere zur Aufdeckung von Straftaten nach den §§ 266, 299, 331 bis 334 des Strafgesetzbuches, einen automatisierten Abgleich von Beschäftigtendaten in anonymisierter oder pseudonymisierter Form mit von ihm geführten Daten durchführen. Ergibt sich ein Verdachtsfall, dürfen die Daten personalisiert werden. Der Arbeitgeber hat die näheren Umstände, die ihn zu einem Abgleich nach Satz 1 veranlassen, zu dokumentieren. Die Beschäftigten sind über Inhalt, Umfang und Zweck des automatisierten Abgleichs zu unterrichten, sobald der Zweck durch die Unterrichtung nicht mehr gefährdet wird
.“ Demnach wären Datenabgleiche in pseudonymisierter Form, wie sie vom RPA vorgenommenen wurden, zulässig. Das Gesetz wurde am 25. Februar 2011 in erster Lesung im Deutschen Bundestag beraten und an die Ausschüsse verwiesen. Über den weiteren Fortgang des Gesetzgebungsverfahrens ist dem Innenministerium Baden-Württemberg nichts bekannt, weshalb die Landes-AG auf unbestimmte Zeit vertagt bleibt.
Auch das
Regierungspräsidium Stuttgart
hat mit Schreiben vom 22. September 2009 mitgeteilt, dass seine Stellungnahme erst dann erfolgen wird, wenn die Ergebnisse der beim Innenministerium eingerichteten Arbeitsgruppe vorliegen. Von Landesseite ist deshalb zumindest mittelfristig nicht mit Ergebnissen im Hinblick auf geeignete „Spielregeln“ für Datenabgleiche bzw. die entsprechende Änderung der Gemeindeprüfungsordnung zu rechnen.
4. Nachdem mittelfristig keinerlei Zeithorizont für die Novellierung des BDSG und damit auch für eine Äußerung der Landesseite erkennbar ist, wird im städtischen Projekt ein vorläufiger Schlusspunkt gesetzt. Die ursprünglich geplante Vorgehensweise der Projektgruppe, die Ergebnisse der Landes-AG sowie die Stellungnahme des Regierungspräsidiums in die städtische RPrO einzuarbeiten, ist nicht haltbar. Die RPrO wird deshalb auf dem nun vorliegenden Stand dem Gemeinderat zur Beschlussfassung vorgelegt. Eventuelle sich aus der Novellierung des BDSG ergebende Änderungsbedarfe müssten ggf. später in die RPrO eingearbeitet werden.
Die vorgelegte RPrO stellt die „Grundordnung“ für die Arbeit des RPA dar. Sie ist - auch im Hinblick auf technische Veränderungen in der Datenverarbeitung und den DV-Systemen - relativ allgemein gehalten und muss ggf. um erforderliche Verfahrensdetails in gesonderten städtischen Vorschriften (z. B. Dienstanweisungen, Organisationsverfügungen, Berechtigungskonzepte) ergänzt werden. Dies gilt hauptsächlich für die Berechtigungskonzepte der einzelnen DV-Systeme der LHS wie z.B. SAP. Die internen Abläufe und Zuständigkeiten des RPA sind in den, nach DIIR-Standard Nr. 3 und ISO 9001 zertifizierten Prozessbeschreibungen für die Planung und Durchführung von Prüfungen geregelt, nach denen sicherzustellen ist, dass bei jeder Prüfung die datenschutzrechtliche Verhältnismäßigkeit (Geeignetheit, Erforderlichkeit, Angemessenheit) gewahrt wird.
Die RPrO stellt somit unter den derzeitigen Rahmenbedingungen eine inhaltlich ausgewogene sowie in der Praxis handhabbare Regelung dar. Sie legt die Grundlagen der Arbeit des RPA fest und enthält zugleich die vom LfD geforderten „Spielregeln“ zum Beschäftigtendatenschutz. Hierdurch trägt sie dem oben genannten Zielkonflikt zwischen den Belangen der Rechnungsprüfung und dem Beschäftigtendatenschutz Rechnung.
zum Seitenanfang
Anlage 2 - Rechnungsprüfungsordnung.pdf