Eingereicht am:
08.06.2026
Behandelt am:
25.06.2026
Sehr geehrter Herr Stadtpräsident Krabbes,
Sehr geehrte Frau Bürgermeisterin Sönnichsen,
Sehr geehrte Mitglieder der Ratsversammlung,
im Nachgang zur Beantwortung meiner Kostenanfrage zur IT-Infrastruktur vom 11.12.2025 sowie vor dem Hintergrund der landesweiten Bemühungen um digitale Souveränität ergeben sich für die politische Arbeit Fragen zur Einhaltung von Datensicherheits- und Archivierungsstandards in der täglichen Verwaltungspraxis.
Hierzu bitte ich um Beantwortung folgender Punkte:
1. Cloud-Nutzung und Drittstaaten-Transfer (DSGVO)
a) In welchem Umfang nutzt die Stadtverwaltung derzeit Cloud-Dienste von Anbietern mit Hauptsitz in Drittstaaten (insb. USA, z. B. Microsoft 365, Azure, OneDrive)?
b) Wie wird technisch und rechtlich sichergestellt, dass kein Zugriff durch ausländische Behörden (z. B. über den US CLOUD Act) auf personenbezogene Daten von Bürgern und Beschäftigten erfolgt?
c) Liegen für alle eingesetzten Cloud-Produkte aktuelle Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO vor?
2. Digitale Souveränität und Landesstrategie
a) Wie bewertet die Stadtverwaltung das Risiko von Abhängigkeiten (Vendor Lock-in) bei der Fortführung der aktuellen Lizenzstrategie im Vergleich zu den Zielen der Landesregierung zur Digitalen Souveränität?
b) Inwieweit wurden bereits Wirtschaftlichkeitsberechnungen für den Umstieg auf Open-Source-Alternativen (z. B. LibreOffice, Open-Xchange) durchgeführt, wie sie im IT-Verbund Schleswig-Holstein (ITV.SH) vorbereitet werden?
c) Existiert ein Zeitplan, um die Verwaltung der Stadt Rendsburg an den „digital souveränen Arbeitsplatz“ des Landes SH anzubinden?
3. Datenschutz im Bereich Schulen
a) Welche Softwarelösungen für Videokonferenzen und Cloud-Speicher werden an den Schulen in städtischer Trägerschaft derzeit eingesetzt?
b) Wurde die datenschutzrechtliche Unbedenklichkeit dieser Lösungen durch das UDL oder die zuständigen Datenschutzbeauftragten explizit schriftlich bestätigt?
4. Telemetriedaten und Informationssicherheit
Wurde geprüft, welche Telemetrie- und Diagnosedaten bei der Nutzung der aktuellen Betriebssysteme und Office-Produkte an die Hersteller übertragen werden, und wie wird diese Übertragung im Sinne der Datensparsamkeit technisch unterbunden?
5. Nutzung von Instant-Messaging-Diensten, Aktenführung und technische Absicherung
Angesichts der zunehmenden Digitalisierung der Verwaltungskommunikation und der damit verbundenen Anforderungen an die Revisionssicherheit frage ich:
a) Welche marktüblichen Messenger-Dienste sind für die dienstliche Kommunikation auf Dienstgeräten der Stadtverwaltung Rendsburg offiziell zugelassen und für welche Nutzergruppen wurden diese freigegeben?
b) Existiert eine schriftliche Dienstanweisung zur Nutzung von Messenger-Diensten, und wie wird sichergestellt, dass keine unzulässigen Datenabgleiche (z. B. Adressbuch-Synchronisation) mit Servern in Drittstaaten erfolgen?
c) Einsatz von MDM-Systemen: Falls ein Mobile Device Management (MDM) zur Trennung von privaten und dienstlichen Daten eingesetzt wird, wie wird technisch verhindert, dass innerhalb des Dienst-Containers genutzte Messenger (insb. WhatsApp) dennoch Metadaten oder Kontaktinformationen an Server außerhalb der EU übermitteln?
d) Schnittstelle zur Aktenführung: Da MDM-Systeme lediglich den Zugriff auf Applikationen steuern, aber keine Inhalte archivieren: Über welche technische Schnittstelle werden die verschlüsselten Chat-Inhalte revisionssicher und vollständig in das zentrale Dokumentenmanagementsystem (DMS) der Stadt übertragen, um den Anforderungen der Landesverordnung über die Aufstellung und Führung von Akten zu entsprechen?
e) Wie wird die Einhaltung der gesetzlichen Archivierungspflicht bei Messenger-Kommunikation gewährleistet, wenn Nachrichten durch Nutzer oder systemseitig (z. B. „selbstlöschende Nachrichten“) entfernt werden können?
f) Wird auf Dienstgeräten der Führungsebene Software zur Instant-Kommunikation genutzt, die nicht den spezifischen Sicherheits- und Datenschutzanforderungen für Behörden entspricht (z. B. Fehlen einer Ende-zu-Ende-Verschlüsselung mit Serverstandort in Deutschland/EU)?