HSÜVG - Hessisches Sicherheitsüberprüfungsgesetz
HSÜVG - Hessisches Sicherheitsüberprüfungsgesetz |
| Sektor | Staat und Verwaltung |
|---|---|
| Branche | Regierung u. Verwaltung |
| Ebene | Landesrecht |
| Bundesland | Hessen |
| Rechtsakt | Gesetzlich |
§ 16 Datenerhebung
(1) Die zuständige Stelle und die mitwirkende Behörde dürfen die zur Erfüllung ihrer Aufgaben nach diesem Gesetz erforderlichen Daten erheben. Die betroffene Person sowie die sonstigen zu befragenden Personen und nicht öffentlichen Stellen sind auf den Zweck der Erhebung, die Auskunftspflichten nach diesem Gesetz und auf eine dienst-, arbeitsrechtliche oder sonstige vertragliche Mitwirkungspflicht, ansonsten auf die Freiwilligkeit ihrer Angaben hinzuweisen. Bei Sicherheitsüberprüfungen der in § 5 Abs. 1 Satz 1 Nr. 3 genannten Personen kann die Angabe der erhebenden Stelle gegenüber den sonstigen zu befragenden Personen oder nicht öffentlichen Stellen unterbleiben, wenn dies zum Schutz der betroffenen Person oder des Landesamtes für Verfassungsschutz erforderlich ist.
(2) Die zuständige Stelle erhebt die personenbezogenen Daten bei der betroffenen Person oder bei der einbezogenen Person. Reicht diese Erhebung nicht aus oder stehen ihr schutzwürdige Interessen der betroffenen oder der einbezogenen Person entgegen, können bei anderen geeigneten Personen oder Stellen, insbesondere Staatsanwaltschaften, Gerichten, Behörden, Verbänden, Arbeitskolleginnen oder Arbeitskollegen, Arbeitgeberinnen und Arbeitgebern, Geschäftspartnerinnen oder Geschäftspartnern, Daten erhoben werden.
§ 17 Sicherheitsakte und Sicherheitsüberprüfungsakte
(1) Die zuständige Stelle führt über die betroffene Person eine Sicherheitsakte, in die alle die Sicherheitsüberprüfung betreffenden Informationen aufzunehmen sind.
(2) Informationen über die persönlichen, dienstlichen und arbeitsrechtlichen Verhältnisse der Personen, die mit einer sicherheitsempfindlichen Tätigkeit befasst sind, sind zu der Sicherheitsakte zu nehmen, soweit sie für die sicherheitsmäßige Beurteilung erheblich sind. Dazu zählen insbesondere
1. Zuweisung und Übertragung einer sicherheitsempfindlichen Tätigkeit, die dazu erteilte Ermächtigung sowie deren Änderung und Beendigung,
2. Umsetzung, Abordnung, Versetzung und die Beendigung oder die Nichtaufnahme der sicherheitsempfindlichen Tätigkeit,
3. Änderungen des Familienstandes, des Namens, eines Wohnsitzes und der Staatsangehörigkeit sowie Beginn und Ende einer auf Dauer angelegten Lebensgemeinschaft,
4. Anhaltspunkte für Überschuldung, insbesondere Pfändungs- und Überweisungsbeschlüsse, Mitteilungen über abgeschlossene und laufende Insolvenzverfahren und
5. Straf- und Disziplinarsachen sowie dienst- und arbeitsrechtliche Maßnahmen.
(3) Die Sicherheitsakte ist keine Personalakte. Sie ist gesondert zu führen und darf weder der personalverwaltenden Stelle noch der betroffenen Person zugänglich gemacht werden; § 22 Abs. 6 bleibt unberührt. Im Falle des Wechsels der Dienststelle oder des Dienstherrn ist die Sicherheitsakte nach dort abzugeben, wenn auch dort eine sicherheitserhebliche Tätigkeit ausgeübt werden soll.
(4) Die mitwirkende Behörde führt über die betroffene Person eine Sicherheitsüberprüfungsakte, in die aufzunehmen sind:
1. Informationen, die die Sicherheitsüberprüfung, die durchgeführten Maßnahmen und das Ergebnis betreffen,
2. die Beendigung oder die Nichtaufnahme der sicherheitsempfindlichen Tätigkeit,
3. die in Abs. 2 Satz 2 Nr. 3 bis 5 genannten Daten.
(5) Die zuständige Stelle ist verpflichtet, die in Abs. 4 Nr. 2 und 3 genannten Daten unverzüglich der mitwirkenden Behörde zu übermitteln.
(6) Die Sicherheitsakte und Sicherheitsüberprüfungsakte dürfen auch in elektronischer Form geführt werden.
§ 18 Aufbewahrung und Vernichtung der Akten
(1) Die Sicherheitsakte und die Sicherheitsüberprüfungsakte sind gesondert aufzubewahren und gegen unbefugten Zugriff zu schützen.
(2) Die Sicherheitsakte ist bei der zuständigen Stelle spätestens ein Jahr nachdem feststeht, dass die betroffene Person keine sicherheitsempfindliche Tätigkeit aufnimmt, zu vernichten, es sei denn, sie willigt in die weitere Aufbewahrung ein oder es ist ein Widerspruchsverfahren oder ein Gerichtsverfahren wegen Nichtaufnahme der Tätigkeit anhängig. Im Übrigen sind die Sicherheitsakten bei der zuständigen Stelle fünf Jahre nach dem Ausscheiden aus der sicherheitsempfindlichen Tätigkeit zu vernichten, es sei denn, die betroffene Person willigt in die weitere Aufbewahrung ein oder es ist beabsichtigt, ihr in absehbarer Zeit erneut eine sicherheitsempfindliche Tätigkeit zu übertragen oder sie dazu zu ermächtigen. Willigt die betroffene Person in die weitere Aufbewahrung ein, so ist die Sicherheitsakte spätestens zehn Jahre ab den in Satz 1 und 2 bestimmten Zeitpunkten zu vernichten. Im Falle eines Widerspruchs- oder Gerichtsverfahrens ist die Sicherheitsakte nach rechtskräftigem Abschluss des Verfahrens zu vernichten. Für die Sicherheitsakten der in § 5 Abs. 1 Satz 1 Nr. 3 genannten Personen gilt Abs. 3 entsprechend.
(3) Die Sicherheitsüberprüfungsakte bei der mitwirkenden Behörde ist nach den in § 21 Abs. 2 Satz 1 Nr. 2 genannten Fristen zu vernichten.
(4) Das Hessische Archivgesetz vom 26. November 2012 (GVBl. S. 458) findet auf die Unterlagen der Sicherheitsüberprüfung keine Anwendung.
§ 19 Verarbeitung personenbezogener Daten in Dateien
(1) Die zuständige Stelle darf zur Erfüllung ihrer Aufgaben nach diesem Gesetz die in § 11 Abs. 1 Satz 1 Nr. 1 bis 6 genannten personenbezogenen Daten, ihre Aktenfundstelle und die der mitwirkenden Behörde sowie die Angaben zur Beschäftigungsstelle, Verfügungen zur Bearbeitung des Vorganges und Angaben der beteiligten Behörden in Dateien automatisiert speichern, verändern und nutzen.
(2) Die mitwirkende Behörde darf zur Erfüllung ihrer Aufgaben
1. die in § 11 Abs. 1 Satz 1 Nr. 1 bis 6 genannten personenbezogenen Daten der betroffenen und der nach § 3 Abs. 3 Satz 1 einbezogenen Person sowie die Aktenfundstelle,
2. Verfügungen zur Bearbeitung des Vorgangs sowie
3. sicherheitserhebliche Erkenntnisse und Erkenntnisse, die ein Sicherheitsrisiko begründen,
in Dateien automatisiert speichern, verändern und nutzen. Die Daten nach Satz 1 Nr. 1 dürfen auch in den nach § 6 Abs. 2 des Bundesverfassungsschutzgesetzes zulässigen gemeinsamen Dateien gespeichert werden.
§ 20 Übermittlung und Zweckbindung
(1) Die im Rahmen der Sicherheitsüberprüfung gespeicherten personenbezogenen Daten dürfen von der zuständigen Stelle oder mitwirkenden Behörde nur für
1. die mit der Sicherheitsüberprüfung verfolgten Zwecke,
2. Zwecke parlamentarischer Untersuchungsausschüsse oder der Parlamentarischen Kontrollkommission nach § 1 Abs. 1 Satz 2 des Verfassungsschutzkontrollgesetzes vom 25. Juni 2018 (GVBI. S. 302, 317),
genutzt und übermittelt werden. Die Übermittlung an Polizei und Staatsanwaltschaften zu Zwecken der Strafverfolgung ist zulässig, wenn die Strafverfolgung auf andere Weise erheblich weniger erfolgversprechend oder wesentlich erschwert wäre. Die zuständige Stelle darf die gespeicherten personenbezogenen Daten darüber hinaus für Zwecke der disziplinarrechtlichen Verfolgung sowie dienst- oder arbeitsrechtlicher Maßnahmen nutzen und übermitteln, wenn dies zu dem mit der Sicherheitsüberprüfung verfolgten Zweck erforderlich ist. Die mitwirkende Behörde darf die gespeicherten personenbezogenen Daten darüber hinaus zur Erfüllung ihrer gesetzlichen Aufgaben nach § 2 Abs. 1 und 2 des Hessischen Verfassungsschutzgesetzes im Rahmen des erforderlichen Umfangs nutzen und übermitteln, soweit dies zwingend erforderlich ist.
(2) Die Übermittlung der nach § 19 in Dateien gespeicherten Daten ist nur zulässig, soweit sie für die Erfüllung der in Abs. 1 genannten Zwecke erforderlich ist. Die nach § 19 Abs. 2 Satz 1 Nr. 1 gespeicherten Daten dürfen nach Maßgabe von Abs. 1 Satz 4 für Zwecke des Verfassungsschutzes genutzt und übermittelt werden.
(3) Die mitwirkende Behörde darf personenbezogene Daten nach Abs. 1 und 2 nur an öffentliche Stellen übermitteln.
(4) Die Nutzung oder Übermittlung unterbleibt, soweit gesetzliche Verwendungsregelungen entgegenstehen.
(5) Die Empfängerin oder der Empfänger darf die übermittelten Daten nur für den Zweck verarbeiten und nutzen, zu dessen Erfüllung sie ihr oder ihm übermittelt werden.
§ 21 Berichtigen, Löschen und Sperren personenbezogener Daten
(1) Die zuständige Stelle und die mitwirkende Behörde haben personenbezogene Daten zu berichtigen, wenn sie unrichtig sind. Wird festgestellt, dass personenbezogene Daten unrichtig sind, oder wird ihre Richtigkeit von der betroffenen Person bestritten, so ist dies bei den betreffenden Daten zu vermerken oder, falls die Daten in einer Datei gespeichert sind, auf sonstige Weise festzuhalten.
(2) In Dateien gespeicherte personenbezogene Daten sind zu löschen
1. von der zuständigen Stelle
a) spätestens nach einem Jahr, wenn die betroffene Person keine sicherheitsempfindliche Tätigkeit aufnimmt, es sei denn, sie willigt in die weitere Speicherung ein oder es ist ein Widerspruchsverfahren oder ein Gerichtsverfahren wegen Nichtaufnahme der Tätigkeit anhängig; § 18 Abs. 2 Satz 3 und 4 findet entsprechende Anwendung,
b) nach Ablauf von fünf Jahren nach dem Ausscheiden der betroffenen Person aus der sicherheitsempfindlichen Tätigkeit, es sei denn, sie willigt in die weitere Speicherung ein oder es ist beabsichtigt, sie in absehbarer Zeit mit einer sicherheitsempfindlichen Tätigkeit zu betrauen,
2. von der mitwirkenden Behörde
a) wenn die betroffene Person keine sicherheitsempfindliche Tätigkeit aufgenommen hat
aa) innerhalb eines Jahres, wenn keine sicherheitserheblichen Erkenntnisse angefallen sind,
bb) nach Ablauf von fünf Jahren, wenn sicherheitserhebliche Erkenntnisse angefallen sind,
b) nach dem Ausscheiden der betroffenen Person aus der sicherheitsempfindlichen Tätigkeit
aa) bei einfachen Sicherheitsüberprüfungen nach § 7 (Ü1) nach Ablauf von fünf Jahren,
bb) bei allen übrigen Überprüfungsarten nach zehn Jahren.
Im Übrigen sind in Dateien gespeicherte personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist.
(3) Die Löschung unterbleibt, wenn Grund zu der Annahme besteht, dass durch sie schutzwürdige Interessen der betroffenen Person beeinträchtigt werden. In diesem Fall sind die Daten zu sperren. Sie dürfen nur noch mit Einwilligung der betroffenen Person verarbeitet und genutzt werden.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- Albrecht/Schmid, K&R 2013, 529 (E-Government)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
- Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
- Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Geis, K&R 2002, 59 (Singnaturverordnung)
- Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
- Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
- Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
- Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
- Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
- Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
- König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
- Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
- Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
- Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
- Prell, NVwZ 2013, 1514 (E-Government)
- Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
- Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
- Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
- Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
- Schulte/ Schröder, Handbuch des Technikrechts, 2011
- Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
- Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
- Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
- Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
- Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
-
Ergebnis 41
BSI TR 03138
Deutsch: Ersetzendes Scannen; Version 1.2
Englisch: Replacement Scanning; Version 1.2
Ergebnis 42
BSI TR 03138 Anlage A
Deutsch: Ersetzendes Scannen - Anlage A: Ergebnis der Risikoanalyse; Version 1.2
Englisch: —
Ergebnis 43
BSI TR 03138 Anlage P
Deutsch: Ersetzendes Scannen - Anlage P: Prüfspezifikation; Version 1.3
Englisch: —
Ergebnis 44
BSI TR 03138 Anlage R
Deutsch: Ersetzendes Scannen - Anlage R: Unverbindliche rechtliche Hinweise; Version 1.2
Englisch: —
Ergebnis 45
BSI TR 03138 Anlage V
Deutsch: Ersetzendes Scannen - Anlage V: Exemplarische Gliederung einer Verfahrensanweisung; Version 1.2
Englisch: —
Ergebnis 46
BSI TR 03146
Deutsch: Elektronische Bildübermittlung zur Beantragung hoheitlicher Dokumente (E-Bild hD); Version 1.0
Englisch: —
Ergebnis 47
BSI TR 03147
Deutsch: Technische Richtlinie TR-03147 - Vertrauensniveaubewertung von Verfahren zur Identitätsprüfung natürlicher Personen; Version 1.0.5
Englisch: —
Ergebnis 48
BSI TL 03305
Deutsch: Für staatliche VS zugelassene abstrahlsichere /-arme Hardware
Englisch: —
Ergebnis 49
NIST FIPS 201-2:2013-09
Deutsch: —
Englisch: Personal Identity Verification (PIV) of Federal Employees and Contractors
Ergebnis 50
DIN SPEC 27099:2016-07
Deutsch: Informationstechnik - Sicherheitsverfahren - Hochsichere Netzwerk-Architektur zur Verwahrung hoch schutzbedürftiger Daten
Englisch: Information technology - Safety procedures - High-security network architecture for storage of highly vulnerable data