Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk, Allgemeines

Aufgrund des § 7 Absatz 4 und § 40 Absatz 7 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet das Ministerium für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung:

§ 1 Zentrale Stelle

Zentrale Stelle nach § 7 Absatz 4 oder § 40 Absatz 7 des Landesdatenschutzgesetzes für die in der Anlage zu § 1 der Basisdiensteverordnung vom 16. November 2020 (GVOBl. Schl.-H. S. 862) aufgeführten Basisdienste ist die für das Zentrale IT-Management der Landesregierung Schleswig-Holstein (ZIT SH) zuständige oberste Landesbehörde.

§ 2 Beteiligte Stellen

Beteiligte Stellen sind diejenigen Träger der öffentlichen Verwaltung im Sinne des Landesverwaltungsgesetzes, die die Basisdienste jeweils nutzen.

§ 3 Verantwortlichkeit und Zusammenarbeit

(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung) ¹ oder § 21 Nummer 7 und § 39 des Landesdatenschutzgesetzes.

(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung oder § 21 Nummer 7 und § 39 des Landesdatenschutzgesetzes.

(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten der Datenschutz-Grundverordnung und des Landesdatenschutzgesetzes erfüllen die zentrale Stelle und die beteiligten Stellen jeweils in eigener Verantwortung.

(4) Die zentrale Stelle sowie die beteiligten Stellen unterstützen sich gegenseitig mit geeigneten Mitteln bei der Erfüllung ihrer Pflichten und arbeiten zusammen. Die zentrale Stelle stellt den beteiligten Stellen alle Informationen zur Verfügung, die für die Datenverarbeitung im Rahmen der Nutzung der Basisdienste und die damit einhergehenden Dokumentations- und Prüfpflichten erforderlich sind; insbesondere stellt die zentrale Stelle den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß § 6 notwendigen Informationen bereit.

§ 4 Informations-, Meldungs- und Benachrichtigungspflichten

(1) Stellt die zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes. Sie informiert die beteiligte Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit.

(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes. Sie informiert die zentrale Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit. Sofern die Verletzung weitere beteiligte Stellen betrifft oder betreffen kann, werden diese von der zentralen Stelle informiert.

(3) Die Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes obliegen der beteiligten Stelle. Die zentrale Stelle soll die Meldung und die Benachrichtigung in geeigneten Fällen übernehmen, insbesondere wenn die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist oder die Ursache für die Verletzung mehr als eine beteiligte Stelle betrifft oder betreffen kann.

§ 5 Verantwortlichkeit der zentralen Stelle

(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit der Basisdienste nach § 7 Absatz 4 oder § 40 Absatz 7 des Landesdatenschutzgesetzes wie folgt:

1. sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24