DSVO Verordnungen Datenschutz Seite drucken

Landesverordnung
über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung
personenbezogener Daten
(Datenschutzverordnung - DSVO -)
 

Vom 9. Dezember 2008

Fundstelle: GVOBl. 2008, S. 841
 

Geltungsbeginn: 1.1.2009, Geltungsende: 31.12.2013



 
Aufgrund des § 5 Abs. 3 des Landesdatenschutzgesetzes (LDSG) vom 9. Februar 2000 (GVOBl. Schl.-H. S. 169), zuletzt geändert durch Artikel 2 des Gesetzes vom 15. Februar 2005 (GVOBl. Schl.-H. S. 168), verordnet die Landesregierung:

§ 1

Anwendungsbereich

(1) Diese Verordnung regelt die Dokumentation automatisierter Verfahren bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen ( § 3 Abs. 1 LDSG) sowie deren Tests und die Freigabe dieser Verfahren.

(2) Soweit besondere Rechtsvorschriften die Einzelheiten der Dokumentation automatisierter Verarbeitung personenbezogener Daten regeln, finden die Vorschriften dieser Verordnung keine Anwendung.

§ 2

Begriffsbestimmungen

Im Sinne dieser Verordnung sind

automatisierte Verfahren Arbeitsabläufe mit Hilfe von informationstechnischen Geräten, Programmen und automatisierten Dateien,
informationstechnische Geräte die apparative Ausstattung von automatisierten Verfahren (Hardware),
Programme Arbeitsanweisungen an informationstechnische Geräte (Software),
Informationstechnik ein Sammelbegriff für informationstechnische Geräte und Programme.

§ 3

Verfahrensdokumentation

(1) Automatisierte Verfahren sind zu dokumentieren. Die Dokumentation muss eine schriftliche, verfahrensbezogene Darstellung

  1. des Einsatzes von Informationstechnik (Absatz 2),
  2. der Sicherheitsmaßnahmen (§ 4) und
  3. des Vorgehens bei Test und Freigabe (§ 5)

enthalten. Von der Dokumentation kann ausnahmsweise abgesehen werden, wenn durch automatisierte Verfahren die Rechte der Betroffenen nur geringfügig berührt werden. In diesem Fall ist eine entsprechende Begründung schriftlich niederzulegen.

(2) Zur Darstellung des ordnungsgemäßen Einsatzes von Informationstechnik sind zu dokumentieren:

  1. der Verfahrenszweck ( § 7 Abs. 1 Satz 3 Nr. 2 LDSG) sowie die Maßnahmen zur Datenvermeidung und Datensparsamkeit nach § 4 Abs. 1 LDSG,
  2. die für das Verfahren verwendeten informationstechnischen Geräte einschließlich des Standorts,
  3. die für das Verfahren verwendeten Programme und die zur Inbetriebnahme getätigten Schritte,
  4. bei vernetzten informationstechnischen Geräten die physikalischen und logischen Verbindungen zu anderen informationstechnischen Geräten (Netzplan),
  5. die technischen und organisatorischen Vorgaben für die Datenverarbeitung einschließlich der Darstellung, welche Personen für welche Aspekte der Datenverarbeitung verantwortlich und berechtigt sind,
  6. die Änderungen an informationstechnischen Geräten, Programmen oder Verfahren einschließlich der Personen, die die Veränderungen vorgenommen haben,
  7. die vorgesehenen und durchgeführten Datenübermittlungen einschließlich der Empfängerinnen und Empfänger der Daten,
  8. das Vorliegen einer Datenverarbeitung im Auftrag einschließlich der schriftlichen Vereinbarungen gemäß § 17 Abs. 2 LDSG,
  9. die Maßnahmen zum Erfüllen von Auskunftsansprüchen von Betroffenen ( § 27 LDSG) und
  10. die Maßnahmen für die Berichtigung, die Löschung und die Sperrung personenbezogener Daten ( § 28 LDSG).

(3) Die Dokumentation muss für sachkundige Personen in angemessener Zeit nachvollziehbar sein. Sie ist nach jeder Änderung des automatisierten Verfahrens fortzuschreiben und mindestens fünf Jahre nach der letzten automatisierten Verarbeitung personenbezogener Daten aufzubewahren.

(4) Die Dokumentation mehrerer automatisierter Verfahren oder die Dokumentation von Teilbereichen eines automatisierten Verfahrens (§ 3 Abs. 2) kann zusammengefasst werden.

§ 4

Dokumentation der Sicherheitsmaßnahmen

(1) Die technischen und organisatorischen Maßnahmen, die gemäß der §§ 5 , 6 und 8 LDSG getroffen wurden, sind zu dokumentieren. Dabei kann auf die Darstellung nach § 3 Abs. 2 Bezug genommen werden.

(2) Die Erforderlichkeit und Angemessenheit der Sicherheitsmaßnahmen ist durch eine Analyse möglicher Gefährdungen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten zu dokumentieren (Risikoanalyse). Es ist darzulegen, welche Gefährdungen aus welchen Gründen nicht oder nur zum Teil durch die getroffenen Maßnahmen ausgeschlossen werden können (Restrisiko-Dokumentation). Die Darstellung des Restrisikos kann als Verschlusssache ,,VS - Nur für den Dienstgebrauch“ eingestuft werden.

(3) Die Dokumentation der technischen und organisatorischen Maßnahmen (Absatz 1) und die Analyse möglicher Gefährdungen (Absatz 2) müssen

  1. Personal,
  2. Räume und Gebäude,
  3. informationstechnische Geräte und Programme und
  4. die interne und externe Vernetzung der informationstechnischen Geräte

behandeln.

(4) Werden Daten verschlüsselt oder erfolgt eine elektronische Signierung, so müssen die technischen und organisatorischen Maßnahmen zur Vergabe und zum Entzug von Schlüsseln sowie zur Schlüsselhinterlegung dokumentiert werden.

(5) Für die bei der Datenverarbeitung zu erzeugenden Protokolldaten gemäß der §§ 6 und 8 LDSG ist unter Berücksichtigung von § 23 Abs. 2 LDSG zu dokumentieren, welche technischen und organisatorischen Maßnahmen hinsichtlich des Zugriffs, der Auswertung und der Löschung der Protokolldaten getroffen wurden.

(6) Es ist zu dokumentieren, welche technischen und organisatorischen Maßnahmen getroffen wurden, um die Tätigkeiten gemäß § 6 Abs. 5 , § 8 Abs. 4 und § 10 Abs. 4 LDSG zu ermöglichen und zu unterstützen (Datenschutzmanagementsystem).

(7) Liegt eine Verarbeitung personenbezogener Daten im Auftrag gemäß § 17 LDSG vor, so sind die beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen von der Daten verarbeitenden Stelle zu dokumentieren.

§ 5

Dokumentation des Tests und der Freigabe

(1) Die in automatisierten Verfahren eingesetzten informationstechnischen Geräte und Programme sowie die in der Dokumentation festgelegten Sicherheitsmaßnahmen (§ 4) sind vor der Aufnahme der Verarbeitung personenbezogener Daten zu testen. Die Testmaßnahmen und die dabei erzielten Ergebnisse sind zu dokumentieren. Festgestellte Mängel sind durch die Leiterin oder den Leiter der Daten verarbeitenden Stelle oder eine befugte Person nach ihrer Bedeutung zu gewichten.

(2) Die nach § 5 Abs. 2 Satz 2 LDSG vorzunehmende Freigabe automatisierter Verfahren hat schriftlich zu erfolgen. Sie ist nur zulässig, soweit bei den Tests keine wesentlichen Mängel festgestellt wurden. Die Beseitigung geringfügiger Mängel muss in angemessener Zeit vorgenommen werden.

(3) Test und Freigabe können in einem gestuften Verfahren erfolgen. In jeder Stufe können der Test und die Freigabe auf die geplante Verarbeitung personenbezogener Daten begrenzt werden.

(4) Soweit ein Verfahren von mehreren Behörden eingesetzt werden soll, können eigene Tests der Daten verarbeitenden Behörde mit anderen Testergebnissen von Behörden oder Stellen kombiniert oder ergänzt werden. Die kombinierten oder ergänzten Tests sind gemäß Absatz 1 zu dokumentieren.

§ 6

Übergangsregelung

(1) Bereits eingesetzte automatisierte Verfahren müssen den Regelungen dieser Verordnung spätestens drei Jahre nach ihrem Inkrafttreten entsprechen.

(2) Bei einer wesentlichen Änderung eines automatisierten Verfahrens gemäß § 8 Abs. 1 LDSG oder wenn Daten im Sinne des § 11 Abs. 3 LDSG verarbeitet werden, ist die Anpassung bereits vor Ablauf der Übergangsfrist im Rahmen der notwendigen Vorabkontrolle gemäß § 9 LDSG durchzuführen.

§ 7

Inkrafttreten und Gültigkeit

Diese Verordnung tritt am 1. Januar 2009 in Kraft. Sie tritt mit Ablauf des 31. Dezember 2013 außer Kraft.

Diese vorstehende Verordnung wird hiermit ausgefertigt und ist zu verkünden.

Kiel, 9. Dezember 2008

Peter Harry Carstensen

Lothar Hay

Ministerpräsident

Innenminister

außer Kraft GS Schl.-H. II, Gl.Nr. 204-4-1

nach oben