Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)



Ähnliche Dokumente
Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG

Datenschutz und Schule

Einführung in die Datenerfassung und in den Datenschutz

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Verfahrensverzeichnis

Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutzvereinbarung

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

IMI datenschutzgerecht nutzen!

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Beratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Der betriebliche Datenschutzbeauftragte

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Das digitale Klassenund Notizbuch

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Datenschutz-Vereinbarung

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Rechtsverordnung zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzverordnung DSVO)

Gründe für ein Verfahrensverzeichnis

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Der Schutz von Patientendaten

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

D i e n s t e D r i t t e r a u f We b s i t e s

Gesetzliche Grundlagen des Datenschutzes

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Einführung in den Datenschutz

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Datenschutzfreundliches Projektmanagement Sven Thomsen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Telearbeit. Ein Datenschutz-Wegweiser

Der Landesbeauftragte für den Datenschutz Baden-Württemberg

Datenschutz im Spendenwesen

Nutzung dieser Internetseite

Der Datenschutzbeauftragte

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen

HUMBOLDT-UNIVERSITÄT ZU BERLIN Mathematisch Naturwissenschaftliche Fakultät II Institut Informatik

Checkliste zum Datenschutz

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Datenschutzbeauftragte

Kirchlicher Datenschutz

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Grundlagen des Datenschutzes und der IT-Sicherheit

Erstellung eines Verfahrensverzeichnisses aus QSEC

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Personal- und Kundendaten Datenschutz in Werbeagenturen

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Datenschutz-Leitlinie

Einsatz von Software zur Quellen-Telekommunikationsüberwachung 74. Sitzung des Innen- und Rechtsausschusses am 26. Oktober 2011, TOP 2

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Anlage zur Auftragsdatenverarbeitung

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Datenschutz und Datensicherheit im Handwerksbetrieb

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Erläuterung zur Anordnung über das kirchliche Meldewesen Kirchenmeldewesenanordnung (KMAO) - Neufassung

Der Europäische Datenschutzbeauftragte

Secorvo. Partner und Unterstützer

IT-Compliance und Datenschutz. 16. März 2007

Datenschutz und Systemsicherheit

12a HmbDSG - Unterrichtung bei der Erhebung

- Datenschutz im Unternehmen -

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

Zwischen Deutschland, Liechtenstein, Österreich und der Schweiz abgestimmte deutsche Übersetzung

Datenschutz ist Persönlichkeitsschutz

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Dienstvereinbarung zur Einführung und Anwendung des Internetportals der Universität München

Personal- und Kundendaten Datenschutz im Einzelhandel

GDD-Erfa-Kreis Berlin

Transkript:

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG) sowie automatisierten Verfahren, in denen besonders sensible Daten verarbeitet werden ( 11 Abs. 3 LDSG), muss nach 9 Abs. 1 LDSG eine Vorabkontrolle durchgeführt werden. Damit setzte der Landesgesetzgeber eine europarechtliche Verpflichtung um (Art. 20 EU-DSRL). Schon bisher sah das LDSG Schleswig-Holstein eine Art Vorabkontrolle dadurch vor, dass nach der Datenschutzverordnung des Landes unabhängig von der Sensibilität des automatisierten Verfahrens eine Freigabe gefordert wurde, der eine Dokumentation, ein Sicherheitskonzept und ein Test des Verfahrens vorausgehen musste. Dieses Verfahren wurde beibehalten und ist nunmehr in 5 Abs. 3 LDSG sowie in der aktuellen Datenschutzverordnung (DSVO) geregelt. Die Pflicht zur Durchführung von Vorabkontrollen trifft auch die in 11 Abs. 5 LDSG genannten Sicherheitsbehörden (Verfassungsschutzbehörde, Gefahrenabwehr, Strafverfolgung, Steuerfahndung). Zwar erklärt die Regelung zu den sensiblen Daten in 11 Abs. 5 LDSG für diese Behörden 11 Abs. 3 LDSG nicht für anwendbar. Die Pflicht zur Durchführung von Vorabkontrollen wird nach 9 Abs. 1 Nr. 2 LDSG aber nicht von der Anwendbarkeit des 11 Abs. 3 LDSG abhängig gemacht, sondern von der automatisierten Verarbeitung von Daten im Sinne dieser Regelung. Die Durchführung der Vorabkontrolle obliegt grds. dem behördlichen Datenschutzbeauftragten (bdsb) gemäß 10 LDSG. Ob ein bdsb förmlich bestellt wird, liegt im Ermessen der jeweiligen Stelle. Gibt es keinen solchen bdsb, so muss die Vorabkontrolle durch das Unabhängige Landeszentrum für Datenschutz (ULD) durchgeführt werden (dazu unten III.). Die folgende Checkliste soll für die meisten Fälle der Vorabkontrolle durch die bdsb bzw. durch das ULD eine generelle Orientierung geben. Damit können aber nicht sämtliche denkbaren Aspekte der Vorabkontrolle abgedeckt werden. Unterschiede bzgl. Intensität und Schwerpunkt der Prüfung ergeben sich zwangsläufig wegen der unterschiedlichen Sensitivität der verarbeiteten Daten bzw. der eingesetzten Verfahren, der unterschiedlichen Risikofaktoren und der unterschiedlichen Sicherheitskonzepte. Generell gilt, dass bei einer Vorabkontrolle sowohl die 1. Rechtmäßigkeit der Datenverarbeitung wie 2. die Ordnungsmäßigkeit der Datenverarbeitung (Datensicherheit) festgestellt werden müssen. Zu 1. Die Prüfung der Rechtmäßigkeit der Datenverarbeitung bedingt die Erstellung des Verfahrensverzeichnisses nach 7 Abs. 1 LDSG und die Feststellung, dass die dort in den Nrn. 1 bis 7 genannten Angaben mit den einschlägigen allgemeinen und bereichsspezifischen materiellen Rechtsnormen übereinstimmen. Zu 2. Die Prüfung der Ordnungsmäßigkeit ( 5, 6 LDSG) findet auch ihren Niederschlag im Verfahrensverzeichnis ( 7 Abs. 1 Nr. 8 LDSG) und setzt voraus, dass das Verfahren nach der DSVO erfolgreich durchlaufen wurde.

- 2 - II. Checkliste Verfährt man nach dem nachfolgenden Schema, so erfolgt sowohl eine Dokumentation für das Verfahrensverzeichnis ( 7 Abs. 1 LDSG) als auch nach der Datenschutzverordnung (DSVO) und man erfüllt zugleich die Anforderungen für die Vorabkontrolle. Dabei handelt es sich um gesetzliche Mindestangaben, die auch gegenüber ULD gemacht werden müssen, wenn dort eine Vorabkontrolle durchgeführt werden soll (dazu s.u. III.). Das Abarbeiten dieser Checkliste vermiedet dadurch Mehrfacharbeit, dass sämtliche bei einer Systemeinführung nötigen Dokumentationen berücksichtigt sind. 1. Grundangaben - Name der Daten verarbeitenden Stelle bzw. evtl. der Organisationseinheit ( 7 Abs. 1 Nr. 1 LDSG), - Zweckbestimmung ( 7 Abs. 1 Nr. 2 LDSG, 4 DSVO), - Rechtsgrundlagen ( 7 Abs. 1 Nr. 2 LDSG), - Kreis der Betroffenen ( 7 Abs. 1 Nr. 3 LDSG), - Kategorien der Daten ( 7 Abs. 1 Nr. 4 LDSG), - Personen und Stellen, denen die Daten übermittelt werden ( 7 Abs. 1 Nr. 5 LDSG, vgl. 14, 15, 16 Abs. 1 LDSG), - geplante Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union ( 7 Abs. 1 Nr. 6 LDSG, vgl. 16 Abs. 2 u. 3 LDSG), - Auftragnehmende bzw. externe Wartung ( 7 Abs. 1 Nr. 5 LDSG, vgl. 17 LDSG, evtl. 80 SGB X, 11 BDSG), - zugriffsberechtigte Personengruppen, Protokollierung und Kontrolle der Zugriffe ( 6 Abs. 2 LDSG), - Löschfristen (vgl. 28 Abs. 2 S. 1 Nr. 2 LDSG). 2. Prüfung, ob - Kreis der Betroffenen, - Art der verarbeiteten Daten, - Übermittlungsempfänger und übermittelte Daten, - Auftragsdatenverarbeitung bzw. externe Wartung, - Eingrenzung der Zugriffsberechtigung, - Löschfristen von der angegebenen Zweckbestimmung und den Rechtsgrundlagen gedeckt sind, insbesondere auch unter Berücksichtigung des Grundsatzes der Datensparsamkeit ( 4 Abs. 1 LDSG). Ist dies nicht der Fall, so muss geprüft werden, ob Änderungen im Verfahren möglich sind, die zu einem positiven Ausgang der Prüfung führen. Falls dies nicht möglich ist, kann die Vorabkontrolle nicht erfolgreich abgeschlossen werden. 3. Prüfung, ob die Rechte der Betroffenen gemäß 26 ff. LDSG gewahrt sind. - Wird gewährleistet, dass die Aufklärung bzw. Benachrichtigung der Betroffenen erfolgt ( 26 LDSG)? - Können die erforderlichen Auskünfte ( 27 LDSG), Berichtigungen ( 28 Abs. 1 LDSG), Sperrungen ( 28 Abs. 3 LDSG) und Einzellöschungen ( 28 Abs. 2 Nr. 1 LDSG) vorgenommen werden? - Sind die Voraussetzungen von spezifischen Transparenzvorschriften beachtet (z.b. Chipkarten

- 3-18 LDSG)? 4. Liegt eine Verfahrensdokumentation ( 3 DSVO), insbesondere eine Verfahrensbeschreibung ( 5 DSVO) vor? Die für eine Verfahrensdokumentation benötigte Darstellung des Verfahrenszwecks (vgl. 4 DSVO) wurde schon unter 1., das Sicherheitskonzept (vgl. 6 DSVO, s.u. 5.), die Erprobung (Test) und die Freigabe (vgl. 7 DSVO, s. u. 6. u. 7.) werden unten dargestellt. Die Verfahrensbeschreibung enthält eine Darstellung - der eingesetzten Programme (Quell-Code, bei Fremdsoftware Hersteller, Name, Version und Parameter), evtl. Angabe zu Teilen mit Gütesiegel ( 4 Abs. 2 LDSG), - der Beziehung zu anderen Programmen sowie der Schnittstellen und - der Teile, die als Auftragsdatenverarbeitung ausgelagert sind ( 17 LDSG, Vorlage der schriftlichen Verträge). 5. Liegt ein Sicherheitskonzept ( 6 DSVO) vor? 5.1 Ermittlung von Risikofaktoren für den Missbrauch der Daten (bei sensibler Datenverarbeitung nach 11 Abs. 3 LDSG Risikoanalyse als VS-nfd) unter Berücksichtigung der Schutzbedürftigkeit der Daten ( 5 Abs. 1 u. 2 LDSG) im Hinblick auf - Vertraulichkeit, - Integrität, - Verfügbarkeit, - Revisionsfestigkeit. Mögliche Gefahren sind z.b. Datenträgerverlust oder -diebstahl, Virenbefall, unbefugter Zugriff. Ggf. sind Personengruppen, die für missbräuchliche Verwendung in Frage kommen, zu benennen. 5.2 Beurteilung der möglichen Folgen bei missbräuchlicher Verwendung der Daten, z.b. - Gefahren oder Nachteile für die Betroffenen, - Schadensersatzansprüche - finanzielle Schäden für die verantwortliche Stelle bzw. für Dritte, - Vertrauensschaden. 5.3 Darstellung der technisch-organisatorischen Sicherheitsmaßnahmen, u.a. - Zugangsberechtigungskonzept ( 6 Abs. 1 LDSG), - Zugriffsberechtigungskonzept mit Protokollierung der Zugriffe ( 6 Abs. 2 LDSG), - Kontrollkonzept ( 6 Abs. 2 LDSG), - Verschlüsselung (bei mobilen Geräten vgl. 6 Abs. 3 LDSG), - Revisionssicherheit bei der Anwendung ( 6 Abs. 4 LDSG). 5.4 Protokollierung der regelmäßigen Kontrollen ( 6 Abs. 5 LDSG). 6. Erprobung des Verfahrens (Test) Vor Aufnahme der Verarbeitung personenbezogener Daten sind die informationstechnischen Geräte und Programme zu erproben. Die Maßnahmen und deren Ergebnisse sind hierzu zu protokollieren ( 7 Abs. 1 DSVO).

- 4-7. Freigabe Die Freigabe ( 5 Abs. 3 S. 1 LDSG, 7 Abs. 2 DSVO) erfolgt i.d.r. durch die Leitung der Daten verarbeitenden Stelle. Die Freigabe kann zeitlich auch nach Durchführung der Vorabkontrolle erfolgen. 8. Abschluss der Vorabkontrolle Ein positiver Abschluss der Vorabkontrolle setzt voraus, dass die geplante personenbezogene Datenverarbeitung materiell-rechtlich zulässig ist und die ergriffenen Sicherheitsmaßnahmen im Hinblick auf die vorhandenen Risiken erforderlich und angemessen sind. Die Risikofaktoren sind unter Berücksichtigung der Schutzbedürftigkeit der personenbezogenen Daten mit den getroffenen Sicherheitsmaßnahmen abzugleichen. Ist das verbleibende Risiko zu hoch, ist zu prüfen, ob durch eine Nachbesserung der Technik des Verfahrens oder durch technisch-organisatorische Maßnahmen eine Verbesserung der Sicherheitssituation erreicht wird, die vertretbar ist. Der Inhalt der Prüfung und das Ergebnis der Vorabkontrolle werden schriftlich festgehalten. III. Hinweise zum Verfahren beim ULD Vorabkontrollverfahren bei Stellen, die keinen bdsb haben, werden vom ULD durchgeführt. Um die hierfür nötige Prüfung vornehmen zu können, hat die Daten verarbeitende Stelle die in der Checkliste unter 1. bis 6. erforderlichen Angaben zu machen. Dabei sollte darauf geachtet werden, dass die Angaben in einer an die Checkliste angepassten Form gemacht werden. Sind die Angaben zur Durchführung der Vorabkontrolle nicht ausreichend, so wird die Daten verarbeitende Stelle hierüber unterrichtet und darum gebeten, die fehlenden Nachweise nachzuliefern. IV. Rechtliche Grundlagen Im Folgenden werden die oben zitierten gesetzlichen Regelungen des Landesdatenschutzgesetzes (LDSG) sowie Art. 20 der Europäischen Datenschutzrichtlinie abgedruckt. Nicht abgedruckt ist die Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung DSVO v. 2. April 2001 GVOBl. Schl.-H. 4/2001, 49, GS Schl.-H. II Gl.Nr. 204-4-1, abzurufen unter www.datenschutzzentrum.de/material/recht/dsvo_01/dsvo_01.htm). Sämtliche Regelungen des allgemeinen Datenschutzrechtes in Schleswig-Holstein mit allen Ausführungsbestimmungen sind enthalten in der Broschüre Datenschutzrecht in Schlewig-Holstein, die in 2. Auflage (2002) unentgeltlich beim Unabhängigen Landeszentrum für Datenschutz angefordert werden kann. 9 LDSG Vorabkontrolle (1) Vor der Einrichtung oder wesentlichen Änderung 1. eines Verfahrens nach 8 Abs. 1 LDSG oder 2. eines automatisierten Verfahrens, in dem Daten im Sinne des 11 Abs. 3 LDSG verarbeitet werden, ist der oder dem behördlichen Datenschutzbeauftragten oder, wenn eine solche oder ein solcher nicht bestellt ist, dem Unabhängigen Landeszentrum für Datenschutz Gelegenheit zur Prüfung innerhalb einer angemessenen Frist zu geben, ob die Datenverarbeitung zulässig und die vorgesehenen Maßnahmen nach den 5 und 6 ausreichend sind (Vorabkontrolle).

- 5 - (2) Absatz 1 gilt nicht für den Abruf von Datenbeständen, die jedermann ohne oder nach besonderer Zulassung zur Benutzung offen stehen oder deren Veröffentlichung zulässig wäre. 5 LDSG Allgemeine Maßnahmen zur Datensicherung (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen. Dabei ist insbesondere 1. Unbefugten der Zugang zu Datenträgern, auf denen personenbezogene Daten gespeichert sind, zu verwehren, 2. zu verhindern, daß personenbezogene Daten unbefugt verarbeitet werden oder Unbefugten zur Kenntnis gelangen können, 3. zu gewährleisten, daß die datenverarbeitende Person, der Zeitpunkt und Umfang der Datenverarbeitung festgestellt werden kann. (2) Es sind die technischen und organisatorischen Maßnahmen zu treffen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Automatisierte Verfahren sind vor ihrem erstmaligen Einsatz und nach Änderungen durch die Leiterin oder den Leiter der datenverarbeitenden Stelle oder eine befugte Person freizugeben. (3) Die Landesregierung regelt durch Verordnung die Anforderungen an das Sicherheitskonzept sowie die Freigabe automatisierter Verfahren und weitere Einzelheiten einer ordnungsgemäßen Datenverarbeitung der öffentlichen Stellen. Das Unabhängige Landeszentrum für Datenschutz ist anzuhören. 6 LDSG Besondere Maßnahmen zur Datensicherung (1) Automatisierte Verfahren sind so zu gestalten, daß eine Verarbeitung personenbezogener Daten erst möglich ist, nachdem die Berechtigung der Benutzerin oder des Benutzers festgestellt worden ist. (2) Zugriffe, mit denen Änderungen an automatisierten Verfahren bewirkt werden können, dürfen nur den dazu ausdrücklich berechtigten Personen möglich sein. Die Zugriffe dieser Personen sind zu protokollieren und zu kontrollieren. (3) Werden personenbezogene Daten mit Hilfe informationstechnischer Geräte von der datenverarbeitenden Stelle außerhalb ihrer Räumlichkeiten verarbeitet, sind die Datenbestände zu verschlüsseln. Die datenverarbeitende Stelle hat sicherzustellen, daß sie die Daten entschlüsseln kann. (4) Sollen personenbezogene Daten ausschließlich automatisiert gespeichert werden, ist zu protokollieren, wann, durch wen und in welcher Weise die Daten gespeichert wurden. Entsprechendes gilt für die Veränderung und Übermittlung der Daten. Die Protokolldatenbestände sind ein Jahr zu speichern. Es ist sicherzustellen, daß die Verfahren und Geräte, mit denen die gespeicherten Daten lesbar gemacht werden können, verfügbar sind. (5) Die datenverarbeitenden Stellen haben die ordnungsgemäße Anwendung der automatisierten Verfahren zu überwachen. 7 LDSG Verfahrensverzeichnis (1) Die Daten verarbeitende Stelle erstellt für jedes von ihr betriebene automatisierte Verfahren ein Verfahrensverzeichnis. Dieses Verzeichnis kann auch von einer Stelle für eine andere geführt werden. Es enthält Angaben über 1. Name und Zweck der Daten verarbeitenden Stelle,

- 6-2. Zweckbestimmung und Rechtsgrundlagen des Verfahrens, 3. den Kreis der Betroffenen, 4. die Kategorien der verarbeiteten Daten, 5. die Personen und Stellen, die Daten erhalten oder erhalten dürfen einschließlich der Auftragnehmenden, 6. geplante Datenübermittlungen an Stellen außerhalb der Mitgliedstaaten der Europäischen Union, 7. die datenschutzrechtliche Beurteilung der oder des behördlichen Datenschutzbeauftragten, soweit eine solche vorliegt, 8. eine allgemeine Beschreibung der nach den 5 und 6 zur Einhaltung der Datensicherheit getroffenen Maßnahmen. 8 LDSG Gemeinsame Verfahren und Abrufverfahren (1) Ein automatisiertes Verfahren, das mehreren Daten verarbeitenden Stellen gemeinsam die Verarbeitung personenbezogener Daten (gemeinsames Verfahren) oder die Übermittlung personenbezogener Daten durch Abruf (Abrufverfahren) ermöglicht, darf nur eingerichtet werden, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben der beteiligten Stellen angemessen ist. 10 LDSG Behördliche Datenschutzbeauftragte (1) Die Daten verarbeitende Stelle kann schriftlich eine behördliche oder einen behördlichen Datenschutzbeauftragten bestellen. Mehrere Daten verarbeitenden Stellen können gemeinsam eine behördliche Datenschutzbeauftragte oder einen behördlichen Datenschutzbeauftragten bestellen. 11 LDSG Zulässigkeit der Datenverarbeitung (3) Die Verarbeitung personenbezogener Daten über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, die Gesundheit oder das Sexualleben sowie von Daten, die einem besonderen Berufs- oder Amtsgeheimnis unterliegen, ist nur zulässig... Art. 20 Europäische Datenschutzrichtlinie (EU-DSRL) Vorabkontrolle (1) Die Mitgliedstaaten legen fest, welche Verarbeitungen spezifische Risiken für die Rechte und Freiheiten der Personen beinhalten können, und tragen dafür Sorge, dass diese Verarbeitungen vor ihrem Beginn geprüft werden. (2) Solche Vorprüfungen nimmt die Kontrollstelle nach Empfang der Meldung des für die Verarbeitung Verantwortlichen vor, oder sie erfolgen durch den Datenschutzbeauftragten, der im Zweifelsfall die Kontrollstelle konsultieren muss.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback