Für einen individuellen Ausdruck passen Sie bitte die Einstellungen in der Druckvorschau Ihres Browsers an. Regelwerk

Aufgrund des § 4 Abs. 2 Landesdatenschutzgesetz (LDSG) vom 9. Februar 2000 (GVOBl. Schl.-H. S. 169), zuletzt geändert durch Gesetz vom 6. April 2013 (GVOBl. Schl.-H. S. 125), verordnet die Landesregierung:

§ 1 Zertifizierung von IT-Produkten

(1) Ein informationstechnisches Produkt (IT-Produkt) wird auf Antrag vom Unabhängigen Landeszentrum für Datenschutz zertifiziert, wenn es mit den Vorschriften über den Datenschutz und die Datensicherheit vereinbar ist. Die Gültigkeit des Zertifikats kann befristet werden. Das Zertifikat kann widerrufen werden, wenn die Voraussetzungen für die Erteilung nicht mehr vorliegen.

(2) IT-Produkte im Sinne dieser Verordnung sind Hardware, Software, automatisierte Verfahren und Dienstleistungen, die zur Nutzung durch öffentliche Stellen geeignet sind.

(3) Zertifizierte Produkte können durch ein Gütesiegel nach der Anlage zu dieser Verordnung gekennzeichnet werden. Die Anlage ist Bestandteil dieser Verordnung. Das Gütesiegel muss das graphische Symbol, die Registriernummer, im Falle der Befristung das Ablaufdatum und den Verweis auf die Internetseite www.datenschutzzentrum.de/guetesiegel/ enthalten. Bei einer Verwendung des Gütesiegels im Internet ist es mit der Internetseite www.datenschutzzentrum.de/guetesiegel/ zu verlinken. Im Fall der Verwendung des Gütesiegels nach Ablauf der Gültigkeit muss in geeigneter Weise ein deutlicher Hinweis auf den Ablauf der Gültigkeit erfolgen. Wurden wesentliche Änderungen an dem IT-Produkt vorgenommen, ist in geeigneter Weise darauf hinzuweisen, dass sich das Zertifikat auf eine Vorversion bezieht. Ist innerhalb eines Jahres nach Ablauf der Gültigkeit oder nach Vornahme wesentlicher Änderungen am IT-Produkt keine erneute Zertifizierung erfolgt, darf das Gütesiegel nicht mehr verwendet werden.

(4) Das Unabhängige Landeszentrum für Datenschutz führt und veröffentlicht ein Register über alle zertifizierten IT-Produkte.

§ 2 Verfahren

(1) Voraussetzung für einen Antrag nach § 1 Abs. 1 ist die Überprüfung des IT-Produktes durch hierfür vom Unabhängigen Landeszentrum für Datenschutz anerkannte Sachverständige nach § 3. Die Sachverständigen sind von der Antragstellerin oder dem Antragsteller zu beauftragen.

(2) Ist ein IT-Produkt nach den Feststellungen der oder des Sachverständigen mit den Vorschriften über den Datenschutz und die Datensicherheit vereinbar, legen die Antragstellerin oder der Antragsteller das entsprechende Gutachten mit einer schriftlichen Dokumentation der Prüfung dem Unabhängigen Landeszentrum für Datenschutz mit folgenden Angaben vor:

1. Zeitpunkt der Prüfung,
2. detaillierte Bezeichnung des IT-Produktes und Versionsangabe,
3. Zweck und Einsatzbereich,
4. Eigenschaften des IT-Produktes in Bezug auf den Datenschutz und die Datensicherheit, insbesondere zur Datenvermeidung und Datensparsamkeit ( § 4 Abs. 1 und § 11 Abs. 4 und 6 LDSG), Maßnahmen zum Datenschutz und zur Datensicherheit ( §§ 5 und 6 LDSG), Zulässigkeit der Datenverarbeitung ( §§ 11 bis 16 LDSG), Gewährleistung der Rechte der Betroffenen ( §§ 26 bis 30 LDSG),
5. Bewertung,
6. Zusammenfassung der Prüfergebnisse zum Zweck der Veröffentlichung durch das Unabhängige Landeszentrum für Datenschutz (Kurzgutachten) .

Das Unabhängige Landeszentrum für Datenschutz kann ergänzende Angaben und die Vorlage des zu zertifizierenden IT-Produktes anfordern.

§ 3 Anerkennung von Sachverständigen

(1) Das Unabhängige Landeszentrum für Datenschutz erteilt die Anerkennung zur oder zum Sachverständigen auf Antrag, wenn die erforderliche Fachkunde, Zuverlässigkeit und Unabhängigkeit nachgewiesen wird. Die Anerkennung kann fachlich beschränkt werden. Das Anerkennungsverfahren kann über eine einheitliche Stelle nach den Vorschriften des Landesverwaltungsgesetzes abgewickelt werden. Für die Anerkennung gilt § 111a des Landesverwaltungsgesetzes.

(2) Liegen die Voraussetzungen für eine Anerkennung nach Absatz 1 nicht mehr vor, widerruft das Unabhängige Landeszentrum für Datenschutz die Anerkennung.

(3) Das Unabhängige Landeszentrum für Datenschutz führt und veröffentlicht eine Liste der anerkannten Sachverständigen, die auch etwaige fachliche Beschränkungen der Anerkennung ausweist.

(4) Die Anerkennung einer oder eines Sachverständigen durch eine zuständige Behörde des Bundes oder anderer Länder ist im Geltungsbereich der Verordnung wirksam, wenn die Voraussetzungen für die Anerkennung denen in Absatz 1 im Wesentlichen entsprechen. Sachverständige nach Satz 1 werden auf Antrag in die vom Unabhängigen Landeszentrum für Datenschutz geführte Liste der anerkannten Sachverständigen aufgenommen.

§ 4 Gebühren

Das Unabhängige Landeszentrum für Datenschutz erhebt für die ihm durch diese Verordnung übertragenen Aufgaben Gebühren nach Maßgabe einer Gebührenordnung.

§ 5 Inkrafttreten, Außerkrafttreten

Diese Verordnung tritt am 1. Januar 2014 in Kraft. Sie tritt mit Ablauf des 31. Dezember 2018 außer Kraft.

.