© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

Public Sector Insights Der Newsletter für Entscheider aus Politik, Verwaltung und öffentlichen Unternehmen

Ausgabe 2 | 2017

Unterwegs in der Smart City Liebe Leserinnen und Leser,

die intelligente Stadt von morgen wird alle Lebens-bereiche berühren. Sie wird die großen Herausforde-rungen meistern, das Leben attraktiver, einfacher und lebenswerter machen. Ein wesentlicher Baustein der Smart City ist die Mobilität.

Schon heute ist klar: Der klassische ÖPNV wird sich verändern müssen, wenn er künftig noch von Bedeu-tung sein will. Analog zum stetigen Bedeutungsver-lust des motorisierten Individualverkehrs werden vernetzte Verkehre vom autonomen Fahren bis hin zum Ridesharing immer wichtiger werden. Die neue Mobilitätswelt wird multimodal sein. Hier liegen große Chancen für die öffentliche Hand.

Die Ihnen vorliegenden Public Sector Insights beschäftigen sich mit diesen Herausforderungen, denn es gilt für Kommunen und öffentliche Unterneh-men jetzt, die Strategien und Maßnahmen zu entwi-ckeln, um eine gestaltende Rolle in diesem Transfor-mationsprozess einnehmen zu können.

Mit besten Grüßen,

Mathias Oberndörfer Bereichsvorstand Öffentlicher Sektor

Inhalt Der Öffentliche Sektor in Zahlen Seite 2

Mobilität in der Smart City Seite 3

Automatisiertes Fahren Seite 4

Mobility as a service Das perfekte Zusammenspiel von Verkehrsmitteln Seite 5

Cyber Security ÖPNV Seite 6

EU-Datenschutz-Grundverordnung Seite 7

Events und Literaturhinweis Seite 10

Der Öffentliche Sektor in ZahlenSchwerpunkt: MobilitätMehr als 10 Milliarden Menschen haben im vergangenen Jahr die öffentlichen Busse und Bahnen im Land genutzt –das ist ein Plus von

Quelle: Welt.de (2017)

+180 Millionen Fahrgästen im Vergleich zu 2015 und ein neuer Rekord.

Deutsche Berufspendler standen 2015 durchschnittlich

lang im Stau – der volkswirtschaftliche Schaden geht in die Milliarden.Quelle: Computerwoche (2016)

15 Sekunden.

Eine neue Studie am Fahrsimulator hat gezeigt, dass ein Fahrer, der denkt, er fahre automatisch, 7 Sekunden braucht, um das Lenkrad zu greifen und die Füße an den Pedalen zu haben.Bis er die aktuelle Fahrsituation wieder komplett selbst übernommen hat, verstreichen etwa

Quelle: Die Zeit (2016)

Das Bundesverkehrs-ministerium will rund

80 Millionen Euro für den Ausbau von neuen Teststrecken für automatisiertes und vernetztes Fahren in Deutschland bereitstellen.Quelle: Heise (2016)

Staukosten, die durchschnittlich pro Autofahrer in Deutschland anfallen:

1.531 EuroQuelle: INRIX (2016)

der Städte sind derzeit nicht in der Lage das volle Potenzial von Smart-City-Daten auszu-nutzen, hier werden die Daten lediglich im Nachgang analysiert und visualisiert.Quelle: Computerwoche (2017)

75 Prozent

Für Hamburg prognostiziert Cisco durch den Einsatz intelligenter Technologien eine Reduzierung der Betriebs-kosten der Stadt um

in den nächsten sieben Jahren. Quelle: Bundesinstitut für Bau-, Stadt- und Raumforschung (2015)

70 Prozent

38 Stunden

Derzeit erklären mehr als

Quelle: Finanzen.net (2017)

zwei Drittelder Verbraucher den Cyberschutz eines Fahrzeugs zu einem kaufentscheidenden Kriterium.

Handlungsbedarf für Smart Cities besteht, das zeigen die Zahlen: Laut einem UN-Bericht werden 2050 etwa

Quelle: BusinessInsider (2015)

zwei Drittelder Menschen in Städten leben, 2014 waren es etwas mehr als 50 Prozent.

Aktuell sind hierzulande nur etwa rund

Elektrofahrzeuge zuge-lassen, bei insgesamt mehr als 40 Millionen Pkw. Quelle: Tagesspiegel (2017)

60.000

Public Sector Insights | 2

Public Sector Insights | 3

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

Mobilität in der Smart City Deutschland nimmt Fahrt auf

Stauchaos und Pendlerfrust, Feinstaubbelastung und eine alternde Gesellschaft mit eingeschränkter Mobili-tät: Die Verkehrsinfrastruktur in deutschen Städten steht vor großen Herausforderungen. Gleichzeitig verändern neue Technologien und Geschäftsmodelle das Kundenverhalten grundlegend. Probleme, die un-ter dem Schlagwort „Smart City“ bald der Vergangen-heit angehören sollten – zumindest in der Theorie. Doch was ist eigentlich mit Smart City genau ge-meint? Die intelligente Stadt ist eine Vision der Stadt-entwicklung, bei der Informations- und Kommunikati-onstechnologie (IKT) sowie miteinander vernetzte Geräte aus dem Internet der Dinge (IoT) dazu ge-nutzt werden, die drängendsten städtischen Prob-leme in den Griff zu bekommen. Das gilt für den Ver-kehr, aber auch für den Energieverbrauch oder eine effiziente Abfallwirtschaft. Gemeinhin kann man sa-gen: Wenn die intelligente Vernetzung und Steuerung der städtischen Infrastruktur scheitert, werden urbane Strukturen von der tatsächlichen Entwicklung abge-hängt und können den Bedürfnissen der Menschen nicht mehr gerecht werden. Soweit die Theorie. Jetzt die Praxis: In deutschen Städten steckt die Umset-zung der Smart City noch in den Kinderschuhen.

Die Rolle der Mobilität in der Smart City

Die Mobilität in den Städten ist der Bereich mit den größten Herausforderungen und zugleich dem größ-ten Potenzial. Die Städte werden durch neue Mobili-tätsformen wie Fahrdienste, Carsharing oder E-Mobi-lität geradezu überrollt, ohne die Entwicklung selbst wirksam steuern zu können. In Deutschland gibt es zur „smarten“ Mobilität bislang vor allem Pilotprojekte, die beachtliche Erfolge erzielt haben. So beschloss der Berliner Senat beispiels-weise im April 2015 die SmartCity-Strategie Berlin. Inzwischen bringen sich auch Bürger in die Verkehrs-steuerung ein, etwa bei der Ausweisung von Radwe-gen. München wurde im September 2015 Teil des EU-Projekts „Smarter Together“. Innovative Maßnah-men werden hier mit insgesamt 6,85 Millionen Euro gefördert. Auch Hamburg und Köln haben erfolgrei-che Smart-City-Projekte verwirklicht. Und auch in mit-telgroßen Städten gibt es Erfolge zu verzeichnen: Mit einer Teststrecke für autonome Fahrzeuge konnte sich Wuppertal in die Spitzengruppe bei der Entwick-lung des automatisierten Fahrens setzen. Alles durchaus erfreulich. Dennoch: Von einer flächende-ckenden Umsetzung des Smart-City-Ansatzes in deutschen Städten kann auch 2017 noch keine Rede sein.

Die Entwicklung wartet jedoch nicht: Schon heute wird spekuliert, dass öffentliche Verkehrsunterneh-men vom Markt der Mobilitätsanbieter verschwinden könnten, wenn automatisierte Fahrzeuge das Stadt-bild beherrschen. Ob sich dies vermeiden lässt, hängt davon ab, ob der ÖPNV es schafft, Teil eines ganz-heitlichen Verkehrskonzepts zu werden.

Handlungsspielräume der öffentlichen Hand

Um Smart-City-Konzepte zu verwirklichen, braucht es Handlungsspielräume, die in deutschen Städten oft-mals erst geschaffen werden müssen. Deshalb wird die intelligente Vernetzung urbaner Strukturen in vie-len Bereichen von IT-Unternehmen betrieben, wohin-gegen die Städte selbst mehr Empfänger als Lenker der Entwicklung sind. Dies ist nicht zielführend, denn Unternehmen haben bei allem Engagement nicht in erster Linie die Interessen der Städte und ihrer Bür-ger im Blick. Sie handeln im Sinne ihrer wirtschaftli-chen Eigeninteressen. Hinzu kommen oftmals Verwaltungsstrukturen, die eine ganzheitliche Steuerung erschweren. Dieser Fo-kus auf die Einzelinteressen führt bei den Akteuren in Politik, Stadtentwicklung, Forschung, Industrie und Wirtschaft zu „Silo-Denken“. Überwinden lässt sich das nur mit einer Gesamtstrategie – die die jeweiligen Städte selbst entwickeln müssen.

Dabei hat die Stadt erhebliche Handlungsspielräume. Ihr entscheidender Vorteil: Durch ihre physische, vir-tuelle und regulatorische Infrastruktur bestimmt sie auch gleichzeitig die Infrastruktur in allen anderen Bereichen. So kann sie beispielsweise durch den Ausbau von Ladestationen für Elektrofahrzeuge den entscheidenden Unterschied bei der innerstädtischen Elektromobilität machen. Durch virtuelle Infrastruktur, wie die Vernetzung von Stakeholdern, kann sie den Kundenbedürfnissen entsprechen. Durch ihre regula-torische Infrastruktur wiederum, etwa durch die Ertei-lung von Sondernutzungserlaubnissen oder Maßnah-men zur Verkehrslenkung, kann sie den Rahmen für andere Akteure im Bereich der Mobilität bestimmen.

Public Sector Insights | 4

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

Smart City braucht Smart Management Am wichtigsten ist aber die organisatorische Umset-zung des Konzepts der intelligenten Stadt. Auf der Verwaltungsebene werden Smart-City-Konzepte allzu häufig durch konkurrierende Zuständigkeiten und hinderliche Zielvorgaben der einzelnen Behörden ausgebremst. Dem kann mit einer zentralen Steue-rungseinheit in der Verwaltung entgegengewirkt wer-den, die mit übergreifender Zuständigkeit und eige-nen Kompetenzen ausgestattet ist. Der Aufwand für die Einrichtung einer solchen Stelle sollte durch Effizi-enzgewinne und Einsparungen an anderer Stelle mehr als aufgewogen werden. Damit aus der Idee der Smart City Realität wird, ist die Zusammenarbeit aller Beteiligten – Verwaltung, Unternehmen und Bürger – unerlässlich. Hierbei muss die Stadt die führende Rolle einnehmen. Denn das langfristige Ziel einer jeden Smart City ist eine bessere Stadt zu schaffen. Mit weniger Umweltbelas-tung und mehr Lebensqualität für alle.

Dr. Simon Wollenberg Manager KPMG Law Rechtsanwaltsgesellschaft mbH swollenberg@kpmg-law.com

Automatisiertes Fahren Durch die Digitalisierung steht die Mobilität in Deutschland heute vor einem ähnlichen Umbruch wie in den Sechzigerjahren des letzten Jahrhunderts, als die individuelle Massenmotorisierung begann. Einerseits altert die Gesellschaft – in vielen Städten wird die Alterspyramide an der Spitze breiter, sodass sich die Mobilitätsbedürfnisse ändern. Andererseits ist das eigene Auto für die junge Generation kein Statussymbol mehr sondern nur ein Transportmittel, das einer nüchternen Kosten-Nutzen-Analyse unter-zogen wird. Bereits jeder dritte Deutsche sieht Mobili-tätsdienste wie Carsharing, Taxi oder Fahrgemein-schaften gemäß der Cars Online Studie 20171 als vollwertige Alternative zum eigenen Auto.

1 Cars Online Studie 2017 unter http://www.finanzen.net

Vor diesem Hintergrund bietet automatisiertes Fahren viele Chancen. Fahrerlose Systeme können die Kapazität der Straßen optimal nutzen und so Ver-kehrsstaus vermeiden. Wie das? Im Falle eines Staus können vernetzte Systeme einen bestimmten Anteil der Fahrzeuge umleiten und so den Verkehr entlasten. Da heutzutage mehr als 90 Prozent aller Unfälle auf menschliches Versagen zurückzuführen sind, würden autonome Fahrzeuge hier einen deutli-chen Beitrag zur Minderung leisten können. Die vom Bundesverkehrsministerium eingesetzte Ethikkom-mission befürwortet in ihrem aktuellen Bericht das autonome Fahren und hält den Einsatz der Selbst-fahr-Technik sogar für ethisch geboten, sobald diese weniger Unfälle verursacht als menschliche Fahrer. Allerdings gebe es besondere Anforderungen hin-sichtlich „Sicherheit, menschlicher Würde, persönli-cher Entscheidungsfreiheit und Datenautonomie“. Die Experten haben die weltweit ersten Leitlinien mit 20 „ethischen Regeln“ für automatisierte Fahrsys-teme herausgegeben. Höchste Priorität haben hier klare Haftungsregeln und der Schutz des mensch- lichen Lebens. Einfluss von autonomen Fahrzeugen auf öffentliche Verkehrsmittel

Zusammenfassend bedeutet das: Die Wahrschein-lichkeit ist groß, dass das autonome Fahren die Straßen der Zukunft prägen wird. Neben den autono-men Fahrzeugen stellt automatisiertes Ridesharing eine weitere Ergänzung zum klassischen ÖPNV dar. Überall dort, wo allumfassende ÖPNV-Systeme nicht wirtschaftlich betrieben werden können, kann auto-matisiertes Ridesharing ein gleichermaßen an die Mobilitätsbedürfnisse angepasstes wie komfortables Angebot sein. Projekte wie der Einsatz von Roboter-Minibussen im finnischen Vantaa oder der Bus "Olli" auf dem EUREF-Campus in Berlin sind erste Versu-che, schon heute einen Blick in die Zukunft zu ermög-lichen.

Public Sector Insights | 5

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

Für die klassischen Verkehrsunternehmen bedeutet das: Sie müssen künftig eine aktive Rolle als Integra-tor verschiedener Mobilitätsangebote übernehmen, sich mit ihren Kunden vernetzen und ihnen einen umfassenden Service anbieten. Welche Herausforderungen gilt es zu meistern, bevor das autonome Fahren Wirklichkeit wird? Der regulatorische Rahmen für das autonome Fahren muss geschaffen werden, auch um den Herstellern und Anbietern den rechtlichen Rahmen zu geben, an dem sich ihre Produkte orientieren müssen. Dazu zählen Aspekte der Fahrzeugtechnik, ebenso wie Fragen der Orientierung im Verkehrsraum, der Datensicherheit und des Datenschutzes. Bundestag und Bundesrat haben am 12. Mai 2017 den Gesetzentwurf für eine Änderung des Straßen-verkehrsgesetzes angenommen. Demnach ist auto-matisiertes Fahren auf deutschen Straßen zulässig, allerdings soll der Fahrer immer die letzte Verantwor-tung behalten und jederzeit eingreifen können. Autonomes Fahren verlangt vernetzte Fahrzeuge, die in Echtzeit miteinander kommunizieren. Hierfür ist der schnelle Aufbau eines Mobilfunknetzes nach dem neuen Mobilfunkstandard 5G unerlässlich. Das Bun-desministerium für Verkehr und digitale Infrastruktur hat im September 2016 die Initiative „5 Schritte zu 5G“ gestartet, die zur Beschleunigung des Rollouts beitragen soll. Der Infrastrukturausbau wird gefördert. Das Ziel: Bis ins Jahr 2025 sollen alle Hauptverkehrs-wege und mindestens die 20 größten Städte in Deutschland mit 5G ausgestattet sein. Dadurch entsteht auch steigender Druck auf die Hersteller. Sie müssen unter Beweis stellen, dass ihre Fahrzeuge auch tatsächlich zuverlässig funktio-nieren. Bund, Länder und Gemeinden sollten deshalb geeignete digitale Testfelder im öffentlichen Bereich ausweisen, um Wirtschaft und Forschung diese Erprobungen unter realen Bedingungen zu ermögli-chen. Neben dem seit 2015 bestehenden Testfeld auf der A9 in Bayern sind bislang innerstädtische Tests autonomer Systeme in Braunschweig, Kassel, In-golstadt, München, Berlin, Dresden, Düsseldorf und Hamburg geplant. Und last but not least: Gesetzgeber, die Öffentliche Hand und die Industrie müssen an einem Strang ziehen, damit Deutschland auch in diesem wichtigen Zukunftsfeld – der Mobilität von morgen – weiterhin in der ersten Liga der Industrienationen mitspielen kann.

Dieter Becker Partner, Head of Automotive KPMG AG Wirtschaftsprüfungsgesellschaft dieterbecker@kpmg.com

Moritz Pawelke Senior Manager, Automotive KPMG AG Wirtschaftsprüfungsgesellschaft mpawelke@kpmg.com

Mobility as a Service Das perfekte Zusammenspiel von Verkehrsmitteln

Individuelle Mobilität, im Gegensatz zur Nutzung öffentlicher Verkehrsmittel auf festen Routen zu star-ren Fahrplänen, bedeutet heute in den meisten Fäl-len: Man setzt sich in das eigene Auto, auf das ei-gene Motorrad oder Fahrrad. Man fährt an sein Ziel. Man parkt. Man fährt irgendwann wieder zurück. Das ist der Status quo.

Mobility as a Service (MaaS) ist das alles nicht. Sondern ein Konzept, das individuelle Mobilität ohne Parkgebühren, Regencape oder überfüllte Busse bietet. Schon heute wählen viele Kunden von Tag zu Tag spontan das Verkehrsmittel, mit dem sie sich fortbewegen wollen. Allerdings ist dies in der Regel nur ein bestimmtes Verkehrsmittel. Carsharing-Apps, Navigationsgeräte und ÖPNV-Fahrpläne sind unzu-reichend vernetzt und jedes Verkehrsmittel muss ein-zeln bezahlt werden. Dabei kann es an einem Tag schneller gehen, mit dem Auto zum nächsten Regio-nalbahnhof zu fahren und vom nächstgelegenen Bahnhof zum Zielort mit dem Fahrrad zu fahren. An nächsten Tag aber kann es angenehmer sein, den Bus zu nehmen und die restlichen Meter zu Fuß zu gehen.

Für eine solche Flexibilität müssten die Stadtbewoh-ner derzeit mit verschiedenen Apps gleichzeitig ope-rieren und zwei bis vier Fahrkarten oder Zahlungsmit-tel gleichzeitig bereithalten. Das Konzept von MaaS sieht ein kombiniertes Angebot vor, das sich allein nach der Strecke richtet und für diese individuell ver-schiedene Verkehrsmittel miteinander verknüpft. Da-rin lassen sich auch besondere Kundenbedürfnisse abbilden, wie etwa „kürzeste Fahrzeit“, „barrierefrei“ oder „einfachster Weg“. Diese Intermodalität ist nicht mehr bloß Vision, sondern wird bereits in verschiede-

Public Sector Insights | 6

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

nen Ländern getestet. Vorreiter sind in Europa die fin-nische Hauptstadt Helsinki und die Region West Mid-lands in Großbritannien.

Die Rolle der öffentlichen Hand

Die Etablierung von MaaS kann nicht von einem ein-zelnen Akteur allein umgesetzt werden, sondern be-nötigt eine breit gefächerte Unterstützung. Hierbei spielt die öffentliche Hand eine entscheidende Rolle, da ein Großteil des Verkehrs heute Teil des öffentli-chen Sektors ist.

Der öffentlichen Hand kommt damit eine Verantwor-tung zu, mit konkreten Anreizen ein Motor dieser Ent-wicklung zu werden. Viele städtische Ballungsräume sehen sich mit wachsenden Anforderungen an die Luftreinhaltung, einer hohen Auslastung des begrenz-ten Verkehrsraums und – besonders in Großstädten – unterschiedlichen Mobilitätsbedürfnissen der ver-schiedenen Generationen konfrontiert. Der ÖPNV klassischer Prägung wird zwar auch in Zukunft einen hohen Stellenwert haben, jedoch wird er nicht alle individuellen Bedürfnisse befriedigen können.

Größte Chance: Integration aller Verkehrsdienst-leister

Auf dem Weg zur Umsetzung der neuen Welt der Mobilität wird eine Herausforderung sein, die Ange-bote möglichst vieler Mobilitätsdienstleister auf einer Plattform zu bündeln, also in ein System zu integrie-ren. Erste Herausforderung ist hierbei die Transpa-renz der Verkehrsdaten der einzelnen Verkehrs-dienstleister. Die Einzelinteressen von Verkehrsanbietern müssen verknüpft werden, um durch die Vernetzung das eigene Angebot zukunfts-fähig zu machen. Wer sich abschottet, wird abge-hängt.

Idee mit Potenzial umsetzen

Damit das gelingen kann, ist zunächst der regulatori-sche Rahmen zu schaffen. Ein erster Schritt ist die Modernisierung des Personenbeförderungsgesetzes und die konsequente Umsetzung von „Open Data“. Der zweite Schritt ist die Bereitschaft aller Verkehrs-träger, an einem solchen Projekt mitzuwirken. Hier kann beispielsweise bei der Vergabe von Verkehrs-verträgen die Integration in MaaS zur Auflage ge-macht werden.

Und nicht zuletzt kann auch durch geschicktes Ticke-ting und Rabattierungen die Attraktivität gesteigert und einem modernen System auf diese Weise zum Durchbruch verholfen werden.

Dr. Simon Wollenberg Manager KPMG Law Rechtsanwaltsgesellschaft mbH swollenberg@kpmg-law.com

Cyber Security ÖPNV Das IT-Sicherheitsgesetz und der Öffentliche Personennahverkehr

In Deutschland gibt es zahlreiche Institutionen und Einrichtungen, die grundlegende Versorgungsleistun-gen bereitstellen. Sie bilden so die Basis unseres täg-lichen Lebens und haben eine wichtige Bedeutung für das staatliche Gemeinwesen oder die öffentliche Sicherheit. Daher werden sie auch als kritische Infra-strukturen (KRITIS) bezeichnet. Ohne Zweifel gehört der öffentliche Personennahverkehr (ÖPNV) dazu. Die Stabilität kritischer Infrastrukturen wird zuneh-mend auch durch Cyber-Angriffe bedroht. Durch die fortschreitende Digitalisierung und Vernetzung im Rahmen des sogenannten Internets der Dinge (IOT) können Ausfälle oder Beeinträchtigungen von IT-Komponenten dazu führen, dass unter Umständen auch die Versorgungsdienstleistungen beeinträchtigt werden. Die Folge: Im schlimmsten Fall eine vollstän-dige Unterbrechung der Versorgung. Wie verwundbar Unternehmen in diesem Bereich sind, hat unter anderem der Erpressungstrojaner „WannaCry“ im Mai 2017 gezeigt. Allein bei der Deut-schen Bahn waren rund 450 Computer durch den An-griff betroffen, weltweit fielen zigtausende Netzwerke und Computersysteme aus.

Public Sector Insights | 7

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

Gesetzliche Vorgaben Der Gesetzgeber hat mit dem im Juli 2015 in Kraft getretenen IT-Sicherheitsgesetz eine regulatorische Vorgabe für Informationssicherheit geschaffen. Das Ziel: Ein höheres Sicherheitsniveau – und in der Folge weniger Ausfälle. Erst Ende Mai 2017 schaltete das Bundeskabinett die Regelungen in den Sektoren Transport und Verkehr, Finanz- und Versicherungs-wesen und Gesundheit scharf. Die Grundlage dafür ist eine Verordnung, die in spätestens zwei Jahren umgesetzt sein muss. Die entscheidende Frage: Was beinhaltet diese Ver-ordnung? Auf das Wichtigste reduziert kommen drei Verpflichtungen auf Unternehmen und die öffentliche Hand zu. Die erste ist eine Meldepflicht für alle Vor-fälle an das Bundesamt für Sicherheit in der Informa-tionstechnik (BSI). Zweitens sind Mindestanforderun-gen an die IT-Sicherheit zu erfüllen. So muss beispielsweise ein Informationssicherheitsmanage-mentsystem (ISMS) implementiert und in Technik und Organisation investiert werden. Vielfach sind IT-Strukturen komplett zu überdenken und Mitarbeiter für das Thema zu sensibilisieren. Der dritte Punkt be-trifft regelmäßige Sicherheitsüberprüfungen sowie den regelmäßig zu erbringenden Nachweis, dass die Forderungen des Bundesamtes erfüllt werden. Die ÖPNV-Unternehmen brauchen Hilfe bei der Umsetzung Das Gesetz fordert bei den Sicherheitsmaßnahmen den sogenannten „Stand der Technik“ ein. Diesen müssen die KRITIS-Unternehmen selbst erarbeiten – ganz im Sinne des Gesetzgebers. Dieser möchte, dass die Branchenverbände spezifische IT-Sicher-heitsstandards entwickeln und dem BSI übermitteln. Das BSI wiederum stellt diese Standards dann allen betroffenen Unternehmen der Branche zur Verfü-gung. Für Unternehmen des öffentlichen Personen-nahverkehrs mit ihrer häufig mittelständischen Orga-nisationsstruktur ohne eigene Abteilung für IT-Sicherheit kann das zu einer großen Herausforde-rung werden. Das Gesetz bewirkt ein Umdenken Trotz aller offenen Aspekte hat das Gesetz schon jetzt viel bewirkt. So hat es das Thema IT-Sicherheit dorthin gebracht, wo es hingehört: in die Chefetagen. Jetzt beschäftigen sich auch Aufsichtsräte und Vor-stände damit. Allein die Diskussion über die wach-sende Bedeutung der IT-Sicherheit hat in einigen Un-ternehmen bereits viel in Bewegung gebracht.

Wilhelm Dolle Partner, Cyber Security KPMG AG Wirtschaftsprüfungsgesellschaft wdolle@kpmg.com

Die EU-Datenschutz-Grund-verordnung im öffentlichen Bereich Bis zum Wirksamwerden der EU-Datenschutz-Grund-verordnung (DSGVO) am 25. Mai 2018 bleibt den Verantwortlichen weniger als ein Jahr Zeit, um die er-weiterten Anforderungen im Datenschutz nach der DSGVO umzusetzen. Die EU-weit unmittelbar gel-tende Verordnung wurde vom deutschen Gesetzge-ber an vielen Stellen ergänzt – gerade auch im Hin-blick auf den öffentlichen Bereich. Hier ist das Datenschutzanpassungs- und Umsetzungsgesetz der EU („DSAnpUG-EU“) mit dem sogenannten BDSG-neu maßgeblich, wo dies durch sogenannte Öff-nungsklauseln in der Verordnung möglich ist. Die DSGVO unterscheidet wie schon die zuvor gel-tende EU-Datenschutzrichtlinie 95/46/EG nicht aus-drücklich zwischen öffentlichen und nicht öffentlichen Stellen. Der Verordnungstext gilt somit auch für Ver-waltungen und öffentliche Unternehmen. Für das Zu-sammenspiel von DSGVO und BDSG-neu gilt, dass stets der Regelungsgehalt der DSGVO maßgeblich ist. Dieser jedoch kann um die spezifischen nationa-len Regelungen ergänzt werden. Zudem ist zu erwar-ten, dass auch die Bundesländer in ihrer Gesetzge-bungskompetenz noch bereichsspezifische Datenschutzregelungen schaffen werden. Grundsätze der DSGVO

Zentrale Anforderung der DSGVO ist die Rechen-schaftspflicht des Verantwortlichen (die sogenannte Accountability). Demnach muss dieser jederzeit die Einhaltung der Vorschriften der DSGVO nachweisen können. Faktisch bedeutet das eine Umkehr der bis-herigen Beweislast. Dafür wird es unerlässlich sein, ein geeignetes, ganzheitliches und wirksames Daten-schutzmanagementsystem zu implementieren. Dar-über hinaus stärkt die DSGVO die Rechte der Be-troffenen, insbesondere durch erweiterte Informations- und Auskunftspflichten sowie das Recht auf Löschung und Vergessenwerden. Außerdem wer-

Public Sector Insights | 8

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

den die Anforderungen im Rahmen der Datensicher-heit erheblich angehoben, wobei die Verordnung ins-besondere Wert auf einen risikobasierten Ansatz legt. Hier wird vom Verantwortlichen verlangt, für jede Ver-arbeitung personenbezogener Daten eine Risikoana-lyse für die Rechte und Freiheiten desjenigen durch-zuführen, dessen personenbezogene Daten verarbeitet werden. In Fällen von besonders risikobe-hafteten Verarbeitungen verlangt die DSGVO die Durchführung einer sogenannten Datenschutz-Fol-genabschätzung – jeweils mit der Verpflichtung, auf Basis des identifizierten Risikos angemessene tech-nische und organisatorische Maßnahmen zum Schutz der Daten des Betroffenen zu ergreifen.

Besonderheiten für den öffentlichen Bereich Öffentliche Unternehmen Spezielle Regelungen für den öffentlichen Bereich finden sich jedoch fast ausschließlich im BDSG-neu. Dieses nimmt beispielsweise immer noch eine Unter-scheidung zwischen öffentlichen und nicht öffentli-chen Unternehmen vor. Allerdings wird weiterhin der Grundsatz beibehalten, dass auf öffentlich-rechtliche Unternehmen, die am Wettbewerb teilnehmen, die Regelungen für nicht öffentliche Unternehmen An-wendung finden. Gerade besteht im Hinblick auf den massiv angehobenen Bußgeldrahmen von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Vorjahreskonzernumsatzes erhöhter Handlungs-druck. Für viele Unternehmen kann diese Maximalsumme im Falle eines Regelverstoßes ein signifikantes wirt-schaftliches Risiko bedeuten. Eine besondere Her-ausforderung wird für öffentliche Unternehmen insbe-sondere dann bestehen, wenn sie sowohl hoheitliche als auch wettbewerbsorientierte Aufgaben wahrneh-men. Der Grund dafür: Je nach Aufgabenwahrneh-mung können hier unterschiedliche Datenschutzre-gime gelten.

Öffentliche Stellen Für die öffentlichen Stellen gilt zunächst weiterhin, dass die Verarbeitung personenbezogener Daten zu-lässig ist, wenn diese erforderlich ist, um die in der Zuständigkeit des Verantwortlichen liegenden Aufga-ben oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist. In besonderen Situationen sieht das BDSG-neu Aus-nahmeregelungen zugunsten öffentlicher Stellen vor. So dürfen diese beispielsweise besondere Katego-rien personenbezogener Daten (dies sind besonders sensible Daten wie beispielsweise Gesundheitsdaten, politische Einstellung, Religionszugehörigkeit) auch dann verarbeiten, wenn dies aufgrund eines erhebli-chen öffentlichen Interesses zwingend erforderlich o-der zur Gefahrenabwehr notwendig ist. Selbst dem Erhebungszweck fremde Verarbeitungen können un-ter Aufweichung des Grundsatzes der Zweckbindung der Datenverarbeitung zulässig sein, wenn sie bei-spielsweise zur Strafverfolgung, zur Abwehr schwer-wiegender Beeinträchtigungen Dritter oder zur Wahr-nehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung erforderlich sind. Darüber hinaus sieht das BDSG-neu bestimmte Aus-nahmetatbestände zur Einschränkung der Rechte der Betroffenen vor. So bestehen Informationspflichten beispielsweise dann nicht, wenn die Erteilung der In-formation die zuständigen Stellen bei der ordnungs-gemäßen Erfüllung ihrer Aufgaben gefährden würde. Ebenso besteht das Recht auf Widerspruch gegen-über einer öffentlichen Stelle dann nicht, wenn ein zwingendes öffentliches Interesse an der Verarbei-tung besteht und dies die Interessen des Betroffenen überwiegt. Nach wie vor müssen öffentliche Stellen verpflichtend einen Datenschutzbeauftragten bestellen. Dessen Aufgaben werden im Einklang mit der DSGVO jedoch gegenüber dem BDSG (alte Fassung) erweitert. Un-ter anderem gehört nun auch die Überwachung der Einhaltung der Vorgaben der DSGVO zu seinem Auf-gabenkreis. Das gilt auch für die Zusammenarbeit mit der Aufsichtsbehörde. Die zuständige Aufsichtsbe-hörde für öffentliche Stellen des Bundes ist weiterhin die Bundesbeauftragte für den Datenschutz und In-formationsfreiheit. Für öffentliche Stellen der Länder sitzen die richtigen Ansprechpartner in den jeweiligen Landesdatenschutzaufsichtsbehörden. Fazit Die DSGVO mit dem BDSG-neu verlangt von öffentli-chen Stellen und öffentlichen Unternehmen eine massive Änderung ihrer Datenschutzorganisation mit

Public Sector Insights | 9

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

der Einführung zentraler Datenschutzprozesse in ei-nem umfassenden Datenschutzmanagement-Sys-tem. Die Uhr bis zum 25. Mai 2018 tickt, die Zeit zur Umsetzung ist knapp. Spätestens mit Vorliegen des BDSG-neu gibt es keinen Grund mehr, bei der Um-setzung der neuen Anforderungen weitere Zeit ver-streichen zu lassen.

Barbara Scheben Partner KPMG AG Wirtschaftsprüfungsgesellschaft bscheben@kpmg.com

Niels Litzka Manager KPMG AG Wirtschaftsprüfungsgesellschaft nlitzka@kpmg.com

Public Sector Insights | 10

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mitglied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG International“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten.

Events Klardenker live Talkshow

Thema: eGovernment – wie die Digitalisierung die kommunale Verwaltung verändert Warum also hinkt Deutschland im internationalen Vergleich noch immer hinterher? Wie lässt sich das än-dern? Und wie lautet die Zukunftsvision für die Kommunalverwaltung im Jahr 2040? Über diese und weitere Fragen sprechen wir am 5. September 2017 um 20:30 Uhr in unserer Talkshow KPMG – Klardenker live. Zu der Expertenrunde laden wir drei Experten aus Verwaltung, Wirtschaft und Politik, ein. Außerdem wird Mathias Oberndörfer, Bereichsvorstand Öffentlicher Sektor, an der Paneldiskussion teilnehmen.

Schalten Sie ein und diskutieren Sie mit unter https://klardenker.kpmg.de/

Steuerung im Wandel – Die öffentliche Verwaltung stellt sich neu auf

Wir laden Entscheider aus Ministerien und Kernverwaltung herzlich dazu ein, gemeinsam mit uns Lösungen für die Fragen der Gegenwart und Zukunft zu diskutieren. Am Donnerstag, den 14. September 2017 von 12:00-16.15 Uhr in Berlin.

Weitere Informationen finden Sie hier.

myGovernment

Die Initiative myGovernment des von KPMG geförderten Instituts für den öffentlichen Sektor fördert den Aus-tausch und die Zusammenarbeit von Start-ups und öffentlicher Verwaltung. Am 26. Oktober 2017 präsentie-ren Start-ups ihre innovativen Lösungen für den smarten Staat auf der myGovernment-Veranstaltung in Berlin. Merken Sie schon heute den Termin vor und nehmen Sie an unserer Umfrage zu den Chancen und Heraus-forderungen einer Zusammenarbeit teil.

Mehr Informationen unter www.my-government.de

Literaturhinweis Studie: Big Data, große Baustelle

KPMG hat bereits letztes Jahr im Rahmen der Studie „Der öffentliche Sektor auf dem Weg zu Big Data?“ Beispiele vorgestellt, wie der Staat unter Beachtung des Datenschutzes selbst Nutzen aus umfangreichen Datenanalysen ziehen kann. Das gilt beispielhaft für die Kriminalitätsbekämpfung, die Vermittlung von Sozi-alleistungen, die Steuererhebung oder bei der Wartung der Infrastruktur. Dieses Jahr haben wir erneut in Zu-sammenarbeit mit Bitkom Research mehr als 100 Behörden- und Bereichsleiter befragt, wie sich die Nut-zung von Datenanalysen bei ihnen entwickelt, welche Herausforderungen beim Einsatz bestehen und wie sie die zukünftige Entwicklung von Big Data einschätzen.

Der komplette Studienbericht zu unserer diesjährigen Befragung wird voraussichtlich im September 2017 veröffentlicht. Nähere Informationen finden Sie dann auf unserer Internetseite.

Public Sector Insights | 11

Impressum

Herausgeber

KPMG AG Wirtschaftsprüfungsgesellschaft Klingelhöferstraße 18 10785 Berlin

Redaktion

V.i.S.d.P.: Mathias Oberndörfer Bereichsvorstand Öffentlicher Sektor T + 49 3020684971 moberndoerfer@kpmg.com

Kerstin-Anett Bunde Sophie Steinkat Mimoza Sejdiu Philipp Ziemer

Newsletter kostenlos abonnieren https://www.kpmg.de/newslet-ter/subscribe.aspx

www.kpmg.de

www.kpmg.de/socialmedia

Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder ei-ner juristischen Person ausgerichtet. Obwohl wir uns bemü-hen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigne-ten fachlichen Rat und ohne gründliche Analyse der betref-fenden Situation. Unsere Leistungen erbringen wir vorbe-haltlich der berufsrechtlichen Prüfung der Zulässigkeit in jedem Einzelfall.

© 2017 KPMG AG Wirtschaftsprüfungsgesellschaft, ein Mit-glied des KPMG-Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative („KPMG Internatio-nal“), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Der Name KPMG und das Logo sind eingetragene Markenzeichen von KPMG International.