Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für die vom Zentralen IT-Management der Landesregierung Schleswig-Holstein betriebenen Basisdienste (Zentrale-Stelle-Basisdiensteverordnung - ZStBaDiVO) Vom 16. November 2020
Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für die vom Zentralen IT-Management der Landesregierung Schleswig-Holstein betriebenen Basisdienste (Zentrale-Stelle-Basisdiensteverordnung - ZStBaDiVO) Vom 16. November 2020
Zum 09.06.2023 aktuellste verfügbare Fassung der Gesamtausgabe
Nichtamtliches Inhaltsverzeichnis
| Titel | Gültig ab |
|---|---|
| Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für die vom Zentralen IT-Management der Landesregierung Schleswig-Holstein betriebenen Basisdienste (Zentrale-Stelle-Basisdiensteverordnung - ZStBaDiVO) vom 16. November 2020 | 27.11.2020 |
| Eingangsformel | 27.11.2020 |
| § 1 - Zentrale Stelle | 27.11.2020 |
| § 2 - Beteiligte Stellen | 27.11.2020 |
| § 3 - Verantwortlichkeit und Zusammenarbeit | 27.11.2020 |
| § 4 - Informations-, Meldungs- und Benachrichtigungspflichten | 27.11.2020 |
| § 5 - Verantwortlichkeit der zentralen Stelle | 27.11.2020 |
| § 6 - Verantwortlichkeit der beteiligten Stellen | 27.11.2020 |
| § 7 - Inkrafttreten | 27.11.2020 |
Aufgrund des § 7 Absatz 4 und § 40 Absatz 7 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet das Ministerium für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung:
§ 1 Zentrale Stelle
Zentrale Stelle nach § 7 Absatz 4 oder § 40 Absatz 7 des Landesdatenschutzgesetzes für die in der Anlage zu § 1 der Basisdiensteverordnung vom 16. November 2020 (GVOBl. Schl.-H. S. 862) aufgeführten Basisdienste ist die für das Zentrale IT-Management der Landesregierung Schleswig-Holstein (ZIT SH) zuständige oberste Landesbehörde.
§ 2 Beteiligte Stellen
Beteiligte Stellen sind diejenigen Träger der öffentlichen Verwaltung im Sinne des Landesverwaltungsgesetzes, die die Basisdienste jeweils nutzen.
§ 3 Verantwortlichkeit und Zusammenarbeit
(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)
1
oder § 21 Nummer 7 und § 39 des Landesdatenschutzgesetzes.
(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung oder § 21 Nummer 7 und § 39 des Landesdatenschutzgesetzes.
(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten der Datenschutz-Grundverordnung und des Landesdatenschutzgesetzes erfüllen die zentrale Stelle und die beteiligten Stellen jeweils in eigener Verantwortung.
(4) Die zentrale Stelle sowie die beteiligten Stellen unterstützen sich gegenseitig mit geeigneten Mitteln bei der Erfüllung ihrer Pflichten und arbeiten zusammen. Die zentrale Stelle stellt den beteiligten Stellen alle Informationen zur Verfügung, die für die Datenverarbeitung im Rahmen der Nutzung der Basisdienste und die damit einhergehenden Dokumentations- und Prüfpflichten erforderlich sind; insbesondere stellt die zentrale Stelle den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß § 6 notwendigen Informationen bereit.
Fußnoten
1)
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 S. 1), zuletzt berichtigt durch Verordnung vom 23. Mai 2018 (ABl. L 127 S. 2)
§ 4 Informations-, Meldungs- und Benachrichtigungspflichten
(1) Stellt die zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes. Sie informiert die beteiligte Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit.
(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes. Sie informiert die zentrale Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit. Sofern die Verletzung weitere beteiligte Stellen betrifft oder betreffen kann, werden diese von der zentralen Stelle informiert.
(3) Die Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes obliegen der beteiligten Stelle. Die zentrale Stelle soll die Meldung und die Benachrichtigung in geeigneten Fällen übernehmen, insbesondere wenn die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist oder die Ursache für die Verletzung mehr als eine beteiligte Stelle betrifft oder betreffen kann.
§ 5 Verantwortlichkeit der zentralen Stelle
(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit der Basisdienste nach § 7 Absatz 4 oder § 40 Absatz 7 des Landesdatenschutzgesetzes wie folgt:
1.
sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung oder § 40 und § 47 des Landesdatenschutzgesetzes und nach § 12 Absatz 2 und 3 oder § 24 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung oder § 46 Absatz 1 Satz 2 Nummer 9 und § 52 des Landesdatenschutzgesetzes, insbesondere achtet sie auf datenschutzfreundliche Technikgestaltung und Voreinstellungen nach Artikel 25 der Datenschutz-Grundverordnung oder § 47 des Landesdatenschutzgesetzes;
2.
sie nimmt die Basisdienste in ihr Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung oder § 46 des Landesdatenschutzgesetzes auf;
3.
sie ist zuständig für die Durchführung von Tests und deren Dokumentation gemäß § 7 Absatz 1 oder § 40 Absatz 4 des Landesdatenschutzgesetzes, zu denen sie von ihr ausgewählte beteiligte Stellen hinzuziehen kann; sie erteilt die Freigaben für die Basisdienste; einer Freigabe durch die beteiligten Stellen bedarf es nicht;
4.
sie ist zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung oder § 43 des Landesdatenschutzgesetzes und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung oder § 45 des Landesdatenschutzgesetzes; bei der Durchführung der Datenschutz-Folgenabschätzung kann sie von ihr ausgewählte beteiligte Stellen hinzuziehen;
5.
sie trifft die Auswahlentscheidung bezüglich des Auftragsverarbeiters bei der Übertragung von Verarbeitungstätigkeiten nach Artikel 28 der Datenschutz-Grundverordnung oder § 38 des Landesdatenschutzgesetzes; sie ist bei Auftragsverarbeitung verantwortlich nach Artikel 28 der Datenschutz-Grundverordnung oder § 38 des Landesdatenschutzgesetzes gegenüber den jeweiligen Auftragsverarbeitern;
6.
sie ist dafür zuständig, geplante Zertifizierungsverfahren nach Artikel 42 der Datenschutz-Grundverordnung zu begleiten.
(2) Die zentrale Stelle kann in den Nutzungsbestimmungen der Basisdienste gemäß § 3 Absatz 1 der Basisdiensteverordnung vom 16. November 2020 (GVOBl. Schl.-H. S. 862) auch datenschutzrechtliche Bestimmungen zur ordnungsgemäßen Nutzung der Basisdienste durch die beteiligten Stellen erlassen.
§ 6 Verantwortlichkeit der beteiligten Stellen
Die beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung der Basisdienste verantwortlich. Daraus folgt insbesondere:
1.
sie nehmen die Informationspflichten gegenüber betroffenen Personen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung oder § 31 des Landesdatenschutzgesetzes wahr;
2.
sie gewährleisten die Rechte der betroffenen Personen gemäß Artikel 15 bis 22 der Datenschutz-Grundverordnung oder § 33 bis § 37 des Landesdatenschutzgesetzes;
3.
sie nehmen die Verarbeitungstätigkeiten im Rahmen der Nutzung der Basisdienste in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung oder § 46 des Landesdatenschutzgesetzes auf.
§ 7 Inkrafttreten
Diese Verordnung tritt am Tage nach ihrer Verkündung in Kraft.
Die vorstehende Verordnung wird hiermit ausgefertigt und ist zu verkünden.
Kiel, 16. November 2020
Jan Philipp Albrecht
Minister für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung
Feedback