umwelt-online: VV-DSG LSa - Verwaltungsvorschriften zum Gesetz zum Schutz personenbezogener Daten der Bürger - Sachsen-Anhalt - (3)

zurück

14. Zu § 14 (Durchführung des Datenschutzes)

14.1.1 Verantwortlichkeit für die Durchführung des Datenschutzes ¹²

Datenschutz ist Teil jeder (Fach-) Aufgabe. Dementsprechend liegt die Pflicht zur Einhaltung datenschutzrechtlicher Vorgaben grundsätzlich bei jeder verantwortlichen Stelle selbst.

Besonderes Gewicht hat der Gesetzgeber der Selbstkontrolle der Verwaltung beigemessen. Aus diesem Grund haben die obersten Landesbehörden und die sonstigen in Satz 1 genannten Stellen jeweils für ihren Organisationsbereich die Ausführung des DSG LSA sowie anderer Vorschriften über den Datenschutz sicherzustellen. Es müssen die organisatorischen Voraussetzungen für eine effektive Durchsetzung des Datenschutzes geschaffen werden. Aus der Verantwortung für die Sicherstellung des Datenschutzes folgt auch die Pflicht sicherzustellen, dass nur solche automatisierten Verfahren eingesetzt werden, die mit den Rechtsvorschriften über den Datenschutz in Einklang stehen. Orientierungshilfen für eine diesbezügliche Prüfung können sich aus Empfehlungen, Checklisten ergeben, die von den Datenschutzbeauftragten des Bundes und der Länder ins Internet eingestellt sind.

14.1.2 Unterrichtung des Landesbeauftragten für den Datenschutz ¹²

Um bei grundlegenden Planungen des Landes zum Aufbau oder zur Änderung von automatisierten Verfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Vorkehrungen zum Datenschutz treffen zu können, besteht die Pflicht, den Landesbeauftragten für den Datenschutz rechtzeitig und unaufgefordert zu unterrichten. Dabei ist der zuständige Beauftragte für den Datenschutz nach § 14a einzubinden. Die frühzeitige Einbindung des Landesbeauftragten für den Datenschutz bei grundlegenden Planungen bietet die Möglichkeit, dass die in der jeweiligen Projektierungs- und Realisierungsphase aus rechtlicher und technischer Sicht zu beachtenden Anforderungen des Datenschutzes nicht vernachlässigt werden. Hierdurch kann späteren zeit- und kostenaufwändigen Umplanungen entgegengewirkt werden. Die Unterrichtung ist an keine besondere Form gebunden.

Grundlegend sind solche Planungen, die den Aufbau oder die wesentliche Änderung bedeutsamer Automationsverfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen. Als bedeutsam sind Verfahren insbesondere dann anzusehen, wenn sie landesweit oder ressortübergreifend zur Anwendung kommen (z.B. Personalverwaltungs- oder Dokumentenmanagementsysteme). Gleiches gilt für ressortspezifische Anwendungen, wenn sehr große Datenmengen bzw. die Daten einer Vielzahl von Personen verarbeitet werden (z.B. bei zu Übermittlungszwecken geführten Registern). Erfasst werden auch Planungen zur Gestaltung der technischen Infrastruktur, wie z.B. des e Goverment-Konzepts, soweit es um die Prüfung der Erforderlichkeit oder die Realisierung technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheitsziele des § 6 Abs. 2 im Allgemeinen geht. Die Unterrichtung über die anstehende Einrichtung von Abrufverfahren nach § 7 Abs. 3 bleibt unberührt.

Am Beispiel des e Government-Maßnahmeplans bedeutet dies: Die Unterrichtung obliegt der Stelle, die das jeweilige Verfahren plant oder ändert. So ist entsprechend dem e Government-Aktionsplan das Ministerium des Innern für die Bereitstellung der Basiskomponenten verantwortlich. Dem jeweiligen Fachressort obliegt dagegen die Zuständigkeit für die Umsetzung der einzelnen Leitprojekte. Die Regelung erfasst nicht Träger der Selbstverwaltung; diese sind aber nicht gehindert, entsprechend § 14 Abs. 1 Satz 2 zu verfahren. Dies gilt insbesondere in Fällen, in denen eine Beratung durch den Landesbeauftragten für den Datenschutz nach § 22 Abs. 4 gewünscht wird.

14.1.3 Anhörung des Landesbeauftragten für den Datenschutz beim Erlass von Vorschriften ¹²

Nach § 14 Abs. 1 Satz 3 ist der Landesbeauftragte für den Datenschutz vor dem Erlass von Rechts- und Verwaltungsvorschriften, die den Umgang mit personenbezogenen Daten regeln, zu hören; siehe hierzu auch § 40 Satz 2 der Gemeinsamen Geschäftsordnung der Ministerien - Allgemeiner Teil - (GGO LSa I, Beschluss der LReg. vom 15.03.2005, MBL. LSa S. 207, 231, zuletzt geändert durch Beschluss vom 20.03.2012, - MBl. LSa S. 145). Die Pflicht zur Anhörung besteht auch, wenn nachgeordnete Landesbehörden oder der Aufsicht des Landes unterstehende juristische Personen einschlägige Rechtsvorschriften erlassen

14.2 Vorabkontrolle

Regelmäßig wird die Vereinbarkeit von Verfahren mit dem Datenschutz im Rahmen ihrer Freigabe geprüft. Das Gesetz verzichtet auf formelle Festlegungen zur Freigabe für die Mehrzahl der Verfahren. Abstrakte Festlegungen könnten die Besonderheiten der einzelnen Verfahren nicht ausreichend berücksichtigen. Eine gesonderte Vorabprüfung ist nur vorgesehen, wenn mit personenbezogenen Daten besonderer Art (Nr. 2.1.2) umgegangen wird oder das Erheben, Verarbeiten oder Nutzen darauf gerichtet ist, die Persönlichkeit Betroffener zu bewerten (§ 4a). Ferner ist die Vorabkontrolle für automatisierte Abrufverfahren (§ 7) und den Einsatz mobiler personenbezogener Datenträger (§ 25) vorgeschrieben. Hierbei ist zu prüfen, ob das Verfahren datenschutzrechtlich zulässig ist und die vorgesehenen technischen und organisatorischen Maßnahmen ausreichen. Grundlage der Vorabprüfung sind die in § 23