Regelwerk

DSVO - Datenschutzverordnung
Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten
Schleswig-Holstein

Vom 9. Dezember 2008
(GVBl. Nr. 22 vom 30.12.2008 S. 841)
Gl.-Nr.: 204-4-3

Aufgrund des § 5 Abs. 3 des Landesdatenschutzgesetzes (LDSG) vom 9. Februar 2000 (GVOBl. Schl.-H. S. 169), zuletzt geändert durch Artikel 2 des Gesetzes vom 15. Februar 2005 (GVOBl. Schl.-H. S. 168), verordnet die Landesregierung:

§ 1 Anwendungsbereich

(1) Diese Verordnung regelt die Dokumentation automatisierter Verfahren bei der Verarbeitung personenbezogener Daten durch öffentliche Stellen (§ 3 Abs. 1 LDSG) sowie deren Tests und die Freigabe dieser Verfahren.

(2) Soweit besondere Rechtsvorschriften die Einzelheiten der Dokumentation automatisierter Verarbeitung personenbezogener Daten regeln, finden die Vorschriften dieser Verordnung keine Anwendung.

§ 2 Begriffsbestimmungen

Im Sinne dieser Verordnung sind

automatisierte Verfahren Arbeitsabläufe mit Hilfe von informationstechnischen Geräten, Programmen und automatisierten Dateien,
informationstechnische Geräte die apparative Ausstattung von automatisierten Verfahren (Hardware),
Programme Arbeitsanweisungen an informationstechnische Geräte (Software),
Informationstechnik ein Sammelbegriff für informationstechnische Geräte und Programme.

§ 3 Verfahrensdokumentation

(1) Automatisierte Verfahren sind zu dokumentieren. Die Dokumentation muss eine schriftliche, verfahrensbezogene Darstellung

  1. des Einsatzes von Informationstechnik (Absatz 2),
  2. der Sicherheitsmaßnahmen ( § 4) und
  3. des Vorgehens bei Test und Freigabe ( § 5)

enthalten. Von der Dokumentation kann ausnahmsweise abgesehen werden, wenn durch automatisierte Verfahren die Rechte der Betroffenen nur geringfügig berührt werden. In diesem Fall ist eine entsprechende Begründung schriftlich niederzulegen.

(2) Zur Darstellung des ordnungsgemäßen Einsatzes von Informationstechnik sind zu dokumentieren:

  1. der Verfahrenszweck ( § 7 Abs. 1 Satz 3 Nr. 2 LDSG) sowie die Maßnahmen zur Datenvermeidung und Datensparsamkeit nach § 4 Abs. 1 LDSG,
  2. die für das Verfahren verwendeten informationstechnischen Geräte einschließlich des Standorts,
  3. die für das Verfahren verwendeten Programme und die zur Inbetriebnahme getätigten Schritte,
  4. bei vernetzten informationstechnischen Geräten die physikalischen und logischen Verbindungen zu anderen informationstechnischen Geräten (Netzplan),
  5. die technischen und organisatorischen Vorgaben für die Datenverarbeitung einschließlich der Darstellung, welche Personen für welche Aspekte der Datenverarbeitung verantwortlich und berechtigt sind,
  6. die Änderungen an informationstechnischen Geräten, Programmen oder Verfahren einschließlich der Personen, die die Veränderungen vorgenommen haben,
  7. die vorgesehenen und durchgeführten Datenübermittlungen einschließlich der Empfängerinnen und Empfänger der Daten,
  8. das Vorliegen einer Datenverarbeitung im Auftrag einschließlich der schriftlichen Vereinbarungen gemäß § 17 Abs. 2 LDSG,
  9. die Maßnahmen zum Erfüllen von Auskunftsansprüchen von Betroffenen ( § 27 LDSG) und
  10. die Maßnahmen für die Berichtigung, die Löschung und die Sperrung personenbezogener Daten ( § 28 LDSG).

(3) Die Dokumentation muss für sachkundige Personen in angemessener Zeit nachvollziehbar sein. Sie ist nach jeder Änderung des automatisierten Verfahrens fortzuschreiben und mindestens fünf Jahre nach der letzten automatisierten Verarbeitung personenbezogener Daten aufzubewahren.

(4) Die Dokumentation mehrerer automatisierter Verfahren oder die Dokumentation von Teilbereichen eines automatisierten Verfahrens (§ 3 Abs. 2) kann zusammengefasst werden.

§ 4 Dokumentation der Sicherheitsmaßnahmen

(1) Die technischen und organisatorischen Maßnahmen, die gemäß der § § 5, 6 und 8 LDSG getroffen wurden, sind zu dokumentieren. Dabei kann auf die Darstellung nach § 3 Abs. 2 Bezug genommen werden.

(2) Die Erforderlichkeit und Angemessenheit der Sicherheitsmaßnahmen ist durch eine Analyse möglicher Gefährdungen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten zu dokumentieren (Risikoanalyse). Es ist darzulegen, welche Gefährdungen aus welchen Gründen nicht oder nur zum Teil durch die getroffenen Maßnahmen ausgeschlossen werden können (Restrisiko-Dokumentation). Die Darstellung des Restrisikos kann als Verschlusssache "VS - Nur für den Dienstgebrauch" eingestuft werden.

(3) Die Dokumentation der technischen und organisatorischen Maßnahmen (Absatz 1) und die Analyse möglicher Gefährdungen (Absatz 2) müssen

  1. Personal,
  2. Räume und Gebäude,
  3. informationstechnische Geräte und Programme und
  4. die interne und externe Vernetzung der informationstechnischen Geräte

behandeln.

(4) Werden Daten verschlüsselt oder erfolgt eine elektronische Signierung, so müssen die technischen und organisatorischen Maßnahmen zur Vergabe und zum Entzug von Schlüsseln sowie zur Schlüsselhinterlegung dokumentiert werden.

(5) Für die bei der Datenverarbeitung zu erzeugenden Protokolldaten gemäß der § § 6 und 8 LDSG ist unter Berücksichtigung von § 23

umwelt-online - Demo-Version


(Stand: 16.12.2020)

Alle vollständigen Texte in der aktuellen Fassung im Jahresabonnement
Nutzungsgebühr: 90.- € netto (Grundlizenz)

(derzeit ca. 7200 Titel s.Übersicht - keine Unterteilung in Fachbereiche)

Preise & Bestellung

Die Zugangskennung wird kurzfristig übermittelt

? Fragen ?
Abonnentenzugang/Volltextversion