Datenschutzverordnung (DSVO). Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten
vom 2. April 2001

GVOBl Schl.-H. 4/2001, S. 49, GS Schl.-H. II, Gl. Nr. 204-4-1

Inhaltsübersicht

Aufgrund des § 5 Abs. 3 des Landesdatenschutzgesetzes (LDSG) vom 9. Februar 2000 (GVOBl. Schl.-H. S. 169) verordnet die Landesregierung:

§ 1 Anwendungsbereich

(1) (1) Diese Verordnung regelt die automatisierte Verarbeitung personenbezogener Daten durch öffentliche Stellen (§ 3 Abs. 1 LDSG).

(2) Eine ordnungsgemäße automatisierte Verarbeitung personenbezogener Daten liegt vor, wenn

die in § 11 LDSG genannten Zulässigkeitsvoraussetzungen erfüllt sind,
ein Sicherheitskonzept (§ 6) besteht,
die informationstechnischen Geräte und die Programme getestet sind und das automatisierte Verfahren freigegeben (§ 7) ist und
das automatisierte Verfahren dokumentiert (§ 3) ist.

(3) Soweit besondere Rechtsvorschriften die Einzelheiten der automatisierten Verarbeitung personenbezogener Daten regeln, finden die Vorschriften dieser Verordnung keine Anwendung.

§ 2 Begriffsbestimmungen

Im Sinne dieser Verordnung sind
automatisierte Verfahren
Arbeitsabläufe mit Hilfe von informationstechnischen Geräten, Programmen und automatisierten Dateien,
informationstechnische Geräte
die apparative Ausstattung von automatisierten Verfahren (Hardware),
Programme
Arbeitsanweisungen an informationstechnische Geräte (Software).

§ 3 Verfahrensdokumentation

(1) Automatisierte Verfahren sind zu dokumentieren. Die Dokumentation muss eine Darstellung

des Verfahrenszwecks (§ 4),
der Verfahrensbeschreibung (§ 5),
des Sicherheitskonzeptes (§ 6),
des Tests und der Freigabe (§ 7)
enthalten.

(2) Die Dokumentation muss für sachkundige Personen in angemessener Zeit nachvollziehbar sein. Sie ist nach jeder Änderung des automatisierten Verfahrens fortzuschreiben und mindestens solange aufzubewahren, wie mit den dokumentierten Programmen auf die automatisierten Dateien zurückgegriffen werden kann. Werden Daten ausschließlich in automatisierten Dateien vorgehalten (§ 6 Abs. 4 LDSG), ist die Dokumentation solange aufzubewahren, wie die durch die dokumentierten Programme erzeugten Daten gespeichert sind.

(3) Die Dokumentation von automatisierten Verfahren, die der Übermittlung von personenbezogenen Daten dient, ist fünf Jahre seit der letzten Datenübermittlung aufzubewahren, es sei denn, es besteht eine andere gesetzliche Aufbewahrungsfrist. Es besteht keine Aufbewahrungsfrist, wenn die übermittelten Daten in Schriftform vorliegen.

(4) Die Dokumentationen mehrerer automatisierter Verfahren können zusammengefasst werden.

§ 4 Verfahrenszweck

Zum Nachweis der Zweckbestimmung des automatisierten Verfahrens nach § 7 Abs. 1 Satz 3 Nr. 2 LDSG sind die technischen und organisatorischen Vorgaben für die Verarbeitung sowie die erzielbaren Ergebnisse in einem informationstechnischen Konzept zu beschreiben

§ 5 Verfahrensbeschreibung

(1) Die automatisierten Verfahren müssen so bezeichnet sein, dass eine eindeutige Abgrenzung zu anderen Verfahren gewährleistet ist. Die eingesetzten Programme und ihre Beziehungen zueinander sind darzustellen.

(2) Die Programme sind grundsätzlich in der Ausgangsprogrammiersprache (Quell-Code) zu dokumentieren. Soweit nur Nutzungsrechte an Programmen bestehen (Fremdsoftware), kann die Programmdokumentation auf die Herstellerangabe (Lizenzgeber), die Programmbezeichnung und die Versions-Nummer sowie die genutzten Programmsteuerungsbefehle (Parameter) begrenzt werden.

(3) Soweit Daten durch eine Auftragnehmerin oder einen Auftragnehmer verarbeitet werden, sind die betreffenden Verfahrensteile unter Hinweis auf die schriftlichen Aufträge (§ 17 Abs. 2 LDSG) kenntlich zu machen.

§ 6 Sicherheitskonzept

(1) Auf der Grundlage des Verfahrenszwecks (§ 4) hat die datenverarbeitende Stelle in einem Sicherheitskonzept darzustellen, welche technischen und organisatorischen Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten getroffen wurden, um die Anforderungen der §§ 5 und 6 LDSG zu erfüllen. Sie hat auch festzulegen, in welchem Umfang Verfahrensabläufe zur Durchführung von Kontrollen nach § 6 Abs. 5 LDSG zu protokollieren sind.

(2) Werden mittels der automatisierten Verfahren personenbezogene Daten im Sinne von § 11 Abs. 3 LDSG verarbeitet, ist neben der Darstellung nach Absatz 1 in einer Risikoanalyse zu beschreiben, welche Sicherheitsrisiken aus welchen Gründen nicht oder nur zum Teil durch die getroffenen Maßnahmen ausgeschlossen werden können. Die Risikoanalyse ist als Verschlusssache “VS- Nur für den Dienstgebrauch” einzustufen.

(3) Das Sicherheitskonzept und die Risikoanalyse können für mehrere Verfahren zusammengefasst werden.

§ 7 Test und Freigabe

(1) Die in automatisierten Verfahren eingesetzten Programme sowie die im Sicherheitskonzept (§ 6) festgelegten Maßnahmen sind vor der Aufnahme der Verarbeitung personenbezogener Daten zu testen. Die Testmaßnahmen und Ergebnisse sowie die bei den Tests eingesetzten informationstechnischen Geräte und Programme sind zu protokollieren.

(2)Die nach § 5 Abs. 2 Satz 2 LDSG vorzunehmende Freigabe automatisierter Verfahren hat schriftlich zu erfolgen.

§ 8 Verfahrensübergreifende Dokumentation und Protokolle

(1) Die von der datenverarbeitenden Stelle eingesetzten informationstechnischen Geräte sind in einem Verzeichnis zu erfassen, das Auskunft gibt über

die Bezeichnung des Gerätes,
den Standort und
bei Vernetzungen die Einbindung in das Netzwerk.

(2) Die von der datenverarbeitenden Stelle nutzbaren Programme sind in einem Verzeichnis zu erfassen, das Auskunft gibt über

die Bezeichnung des Programms und
die Bezeichnung des informationstechnischen Gerätes, auf dem das Programm gespeichert ist.

Sind Programme nur in Verbindung mit anderen nutzbar, können sie in dem Verzeichnis als Programmgruppe dargestellt werden. Das gilt insbesondere für Programme im Sinne von § 5 Abs. 2 Satz 2.

(3) Die Verzeichnisse nach den Absätzen 1 und 2 (Geräte- und Programmverzeichnis) sind entbehrlich, wenn die genannten Auskünfte über die informationstechnischen Geräte oder die Programme im Inventarverzeichnis enthalten sind.

(4) Als Grundlage für die Maßnahmen nach § 6 Abs. 1 LDSG ist zu dokumentieren, welchen Personen welche Nutzungsrechte an welchen informationstechnischen Geräten, Programmen und automatisierten Dateien für welche Zeiträume gewährt wurden.

(5) Als Grundlage für die Kontrolle nach § 6 Abs. 2 Satz 2 LDSG ist zu dokumentieren, welche Personen für welche Zeiträume befugt sind, Änderungen an der Funktionsweise der informationstechnischen Geräte, an den Programmen, an der Speicherorganisation der automatisierten Dateien und den Nutzungsrechten nach Absatz 4 vorzunehmen. Die Protokolle nach § 6 Abs. 2 Satz 2 LDSG müssen Aussagen enthalten über

den Zeitpunkt des ändernden Zugriffs,
die Gründe für den Zugriff,
die veranlassenden und ausführenden Personen,
die Art der Änderungen und
den Zeitpunkt der Kontrolle und die kontrollierende Person.

Satz 1 gilt nicht für Personen, denen informationstechnische Geräte von der datenverarbeitenden Stelle zum ausschließlich eigenverantwortlichen Betrieb überlassen worden sind.

(6) Die nach den Absätzen 1 bis 5 zu erstellenden Aufzeichnungen sind mindestens fünf Jahre aufzubewahren. Soweit sie in automatisierten Dateien gespeichert werden, gilt diese Frist auch für die Dokumentation der Datei- und Datenstrukturen.

§ 9 Übergangsregelung

Bereits eingesetzte automatisierte Verfahren müssen den Regelungen dieser Verordnung spätestens ein Jahr nach ihrem Inkrafttreten entsprechen.

§ 10 Inkrafttreten

Diese Verordnung tritt am Tage nach ihrer Verkündung in Kraft. Gleichzeitig tritt die Datenschutzverordnung vom 12. September 1994 (GVOBl. Schl.-H. S. 473) außer Kraft.