Datenschutzverordnung (DSVO). Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten vom 12. September 1994
GS Schl.-H. II, Gl. Nr. 204-2-1
Inhaltsübersicht
§ 1 Anwendungsbereich
(1) Diese Verordnung regelt die automatisierte Verarbeitung personenbezogener Daten durch öffentliche Stellen (§ 3 Abs. 1 LDSG).
(2) Soweit besondere Rechtsvorschriften die Einzelheiten einer automatisierten Verarbeitung personenbezogener Daten regeln, finden die Vorschriften dieser Verordnung keine Anwendung.
§ 2 Begriffsbestimmungen
Im Sinne dieser Verordnung sind
automatisierte Verfahren
Arbeitsabläufe mit Hilfe automatisierter Datenverarbeitung;
informationstechnische Geräte
Die apparative Ausstattung von Datenverarbeitungssystemen (Hardware);
Programme
Arbeitsanweisungen an informationstechnische Geräte (Software);
Programmversionen
Eingesetzte Fassungen von Programmen.
§ 3 Grundsatz
Eine ordnungsgemäße automatisierte Verarbeitung personenbezogener Daten liegt nur vor, wenn die in § 5 LDSG genannten allgemeinen rechtlichen Voraussetzungen erfüllt sind und
1. das Verfahren dokumentiert ist,
2. die für die Verarbeitung eingesetzten Verfahren und Programme getestet und von der datenverarbeitenden Stelle freigegeben wurden und
3. ein Sicherheitskonzept vorliegt.
§ 4 Dokumentation
(1) Die Dokumentation muß mindestens eine Beschreibung enthalten
1. der jeweiligen Aufgabe, die mit Hilfe des automatisierten Verfahrens erfüllt werden soll (§ 5),
2. des Verfahrensablaufs einschließlich der eingesetzten Programme (§ 6),
3. der Programm- und Verfahrenstests (§ 7).
Die Beschreibung muß für sachkundige, nicht am automatisierten Verfahren beteiligte Personen nachvollziehbar sein.
(2) Die Dokumentation ist nach jeder Änderung von Programmen und Verfahren fortzuschreiben und mindestens solange aufzubewahren, wie mit den dokumentierten Programmen und Verfahren auf Dateien mit personenbezogenen Daten zugegriffen werden kann. Sind die Daten ausschließlich in automatisierten Dateien gespeichert (§ 11 Abs. LDSG), ist die Dokumentation so lange aufzubewahren, wie die durch die entsprechenden Programme und Verfahren erzeugten Daten gespeichert sind.
(3) Die Dokumentation von Programmen, die der Übermittlung von personenbezogenen Daten dienen, ist sechs Jahre seit der letzten Datenübermittlung aufzubewahren, bei einer kürzeren gesetzlichen Aufbewahrungspflicht für die übermittelten personenbezogenen Daten jedoch nur für die Dauer dieser Frist. Eine Aufbewahrungspflicht für die Dokumentation besteht nicht, wenn die übermittelten Daten in lesbarer Form vorhanden sind.
§ 5 Aufgabenbeschreibung
In der Aufgabenbeschreibung sind die zu verarbeitenden personenbezogenen Daten sowie die Rechtsgrundlage und die rechtlichen und sonstigen Vorgaben für die mit Hilfe automatisierter Verfahren durchgeführte Verarbeitung aufzuführen. Das erwartete Ergebnis und die eventuelle weitere Verarbeitung sind zu beschreiben. Sind die Daten bereits das Ergebnis anderer automatisierter Verfahren oder erfolgt die weitere Verarbeitung durch automatisierte Verfahren, ist auf diese hinzuweisen.
§ 6 Verfahrensbeschreibung
(1) Das Verfahren muß so bezeichnet sein, daß eine eindeutige Abgrenzung zu anderen Verfahren gewährleistet ist. Darzustellen ist der Weg der Daten von der Eingabe bzw. Übernahme aus anderen automatisierten Verfahren bis zum erwarteten Ergebnis. Die dabei eingesetzten Programme und deren Zweck sowie die informationstechnischen Geräte und Betriebssysteme (Systemsteuerungsprogramme) sind zu bezeichnen und die Beziehungen untereinander darzustellen. Der erstmalige Einsatz eines Verfahrens sowie spätere Änderungen am Verfahren oder an Programmen sowie der Zweck der Änderung sind unter Angabe des Datums zu dokumentieren.
(2) Die eingesetzten Programme sind grundsätzlich in der Ausgangsprogrammiersprache (Quellcode) zu dokumentieren. Besteht nur ein Nutzungsrecht an Programmen, kann anstelle dieser Darstellungsform auf die Herstellerfirma und den Namen des Programms einschließlich der Versions-Nummer verwiesen werden. Jede Änderung an einem Programm führt zu einer neuen Programmversion.
(3) Werden die Daten ganz oder teilweise durch Auftragnehmende verarbeitet, muß diese Art der Verarbeitung unter Hinweis auf die schriftlichen Aufträge (§ 4 Abs. 2 LDSG) kenntlich gemacht werden.
§ 7 Test und Freigabe
(1) Die im automatisierten Verfahren eingesetzten Programme sowie das gesamte nach § 6 beschriebene Verfahren sind vor Aufnahme der Verarbeitung personenbezogener Daten anhand von Testfällen zu testen. Die Testfälle sollen alle in der Aufgabenbeschreibung (§ 5) aufgeführten Daten und Vorgaben berücksichtigen. Die jeweils erwarteten Ergebnisse sind vor einem Testlauf aufzuzeichnen. Besteht nur ein Nutzungsrecht an Verfahren, kann auf einen Einzeltest der darin eingesetzten Programme verzichtet werden.
(2) Das getestete Programm oder Verfahen muß bei gleichen Fällen immer das festgelegte Ergebnis ausweisen. Die Testfälle und -ergebnisse sowie die eingesetzten informationstechnischen Geräte sind zu protokollieren.
(3) Personenbezogene Daten dürfen durch ein automatisiertes Verfahren erst verarbeitet werden, wenn das Verfahren durch die datenverarbeitende Stelle freigegeben wurde. Mit der Freigabe übernimmt die datenverarbeitende Stelle die Verantwortung für die Ordnungsmäßigkeit des Verfahrens. Die Freigabe ist zu protokollieren.
(4) Neue Programmversionen in freigegebenen Verfahren sind vor dem Einsatz entsprechend den Absätzen 1 und 2 in dem Umfang zu testen, der die Änderung des Verfahrens angemessen berücksichtigt. Sie sind von der datenverarbeitenden Stelle für das Verfahren freizugeben.
§ 8 Sicherheitskonzept
(1) Aufgrund der nach § 7 Abs. 1 und 2 LDSG zu treffenden technischen und organisatorischen Maßnahmen und der Sicherheitsanforderungen nach § 9 hat die datenverarbeitende Stelle für alle automatisierten Verfahren, die der Verarbeitung personenbezogener Daten dienen, darzustellen, welche Schutzmaßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten getroffen wurden. Sie hat festzulegen, in welchem Umfang Verfahrensabläufe zur Durchführung von Kontrollen zu protokollieren sind.
(2) Werden personenbezogene Daten, die einem besonderen Amts- oder Berufsgeheimnis unterliegen oder die sonst als besonders schutzwürdig gelten, automatisiert verarbeitet, ist neben der Darstellung nach Absatz 1 in einer Risikoanalyse zu beschreiben, welche Sicherheitsrisiken aus welchen Gründen nicht oder nur zum Teil durch getroffene Schutzmaßnahmen ausgeschlossen werden können. Die Risikoanalyse ist als Verschlußsache “VS – Nur für den Dienstgebrauch” einzustufen.
(3) Die Darstellung der Schutzmaßnahmen und die Risikoanalyse können für Bereiche, mehrere Verfahren oder Gruppen zusammengefaßt werden. In dem Geräteverzeichnis nach § 8 Abs. 2 LDSG kann unter Nummer 5 auf das Sicherheitskonzept verwiesen werden.
(4) Das Sicherheitskonzept ist bei jeder Änderung der aktuellen örtlichen und personellen Gegebenheiten und aus sonstigen Anlässen, die Auswirkungen auf das Sicherheitskonzept haben, fortzuschreiben und spätestens nach drei Jahren zu überprüfen.
§ 9 Sicherheitsanforderungen
(1) Durch technische und organisatorische Maßnahmen ist sicherzustellen, daß verändernde Zugriffe auf Programme zur Systemsteuerung und auf freigegebene Anwendungsprogramme und Verfahren nur durch dazu ausdrücklich befugte Personen erfolgen können und diese durch weisungsbefugte Mitarbeiterinnen oder Mitarbeiter oder deren Beauftragte kontrolliert werden. Dies gilt nicht für Personen, die informationstechnische Geräte ausschließlich in eigener Verantwortung betreiben.
(2) Die personenbezogenen Daten sind gegen Verlust, Mißbrauch und Zerstörung so zu sichern, daß die Verpflichtungen nach den Bestimmungen des Landesdatenschutzgesetzes (Berichtigung nach § 19 Abs. 1, Nachberichtspflicht nach § 20) erfüllt werden können. Sicherungskopien müssen als solche gekennzeichnet und mit dem Datum des Datenstandes versehen sein.
(3) Datenträger mit personenbezogenen Daten sind so zu sichern, daß Unbefugte die darauf gespeicherten Daten nicht zur Kenntnis nehmen, verändern oder löschen oder Daten hinzufügen können. Dies gilt insbesondere für Datenträger in mobilen Geräten, die von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten eingesetzt werden. In diesen Fällen sind die personenbezogenen Daten verschlüsselt zu speichern. Die verwendeten Schlüssel sind von der datenverarbeitenden Stelle zu dokumentieren und besonders zu sichern.
§ 10 Übergangsregelungen
(1) Bereits eingesetzte Verfahren und Programme müssen die Anforderungen dieser Verordnung spätestens fünf Jahre nach Inkrafttreten erfüllen.
(2) Für später als sechs Monate nach Inkrafttreten dieser Verordnung vorgenommene Änderungen an bereits eingesetzten Verfahren oder Programmen gelten § 3 Nr. 1 und 2 für die von der Änderung betroffenen Verfahrensteile und Programme.
§ 11 Inkrafttreten
Diese Verordnung tritt am Tage nach ihrer Verkündung in Kraft.