Cybersecurity Navigator Login

VV NDSG - Verwaltungsvorschiften zum Niedersächsischen Datenschutzgesetz

VV NDSG - Verwaltungsvorschiften zum Niedersächsischen Datenschutzgesetz

Sektor Staat und Verwaltung
Branche Regierung u. Verwaltung
Ebene Landesrecht
Bundesland Niedersachsen
Rechtsakt Untergesetzlich


  • Verwaltungsvorschiften zum Niedersächsischen Datenschutzgesetz
    VVNDSG
    Abschnitt 4.2 zu § 6; 6.1-6.4 zu § 7; 7 zu § 8; 15.1 zu § 14; 18.1 zu § 17
     

    Zu § 6 (Verarbeitung personenbezogener Daten im Auftrag)

    4.1   Soweit personenbezogene Daten im Rahmen der Wartung oder Fernwartung von Datenverarbeitungssystemen zwingend genutzt werden müssen, ist dies als Datenverarbeitung im Auftrag i.S. des § 6 zulässig. Ob weitergehende Schutzvorschriften (z.B. § 203 des Strafgesetzbuches [StGB]) berührt sind, ist gesondert zu prüfen.

    4.2   Lässt eine öffentliche Stelle des Landes personenbezogene Daten im Auftrag von einer Stelle außerhalb des Landes Niedersachsen verarbeiten, so hat der Auftraggeber die zuständige Datenschutzkontrollbehörde zu unterrichten. Handelt es sich bei dem Auftragnehmer um eine öffentliche Stelle eines anderen Landes oder des Bundes, so ist zuständige Datenschutzkontrollbehörde die oder der jeweilige Landesdatenschutzbeauftragte bzw. die oder der Bundesbeauftragte für den Datenschutz. Handelt es sich bei dem Auftragnehmer um eine nichtöffentliche Stelle, ist die nach § 38 BDSG zuständige Aufsichtsbehörde zu unterrichten.

    Im Rahmen der vertraglichen Verpflichtung nicht öffentlicher Stellen als Auftragnehmer, jederzeitige vom Auftraggeber veranlasste Kontrollen zu ermöglichen, ist auch das Prüfungsrecht der oder des Landesbeauftragten für den Datenschutz zu gewährleisten. In jedem Fall haben sich die Auftraggeber von der Beachtung der Regelungen des § 7 und der Einhaltung der erteilten Weisungen zu vergewissern.

     

     

    Zu § 7 (Technische und organisatorische Maßnahmen)

    6.1   Unabhängig davon, ob personenbezogene Daten in Akten oder automatisiert verarbeitet werden, haben die öffentlichen Stellen die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um eine datenschutzgerechte Verarbeitung der Daten sicherzustellen.

    Die Datensicherung kann dann als wirksam angesehen werden, wenn die getroffenen technischen und organisatorischen Maßnahmen in ihrer Gesamtheit einen hinreichenden Schutz der Daten vor Missbrauch bieten.

    6.2   Von einer Novellierung der nach Absatz 2 zu treffenden .Maßnahmen, um diese den veränderten technischen Begrifflichkeiten anzupassen, hat der Gesetzgeber Abstand genommen, weil eine entsprechende Neuregelung auch auf Bundesebene erst im Rahmen einer vom BMI beabsichtigten grundlegenden Novellierung des BDSG erfolgen soll und für die Zwischenzeit keine neuen Begriffe eingeführt werden sollten, die bereits in Kürze wieder geändert werden müssten. Neu ist die Regelung nach Nr. 8, mit der die Daten verarbeitende Stelle einer Forderung der EG-Datenschutzrichtlinie entsprechend nunmehr auch gesetzlich verpflichtet wird, die Verfügbarkeit der personenbezogenen Daten zu gewährleisten.

    Das Datensicherungskonzept ist regelmäßig zu überprüfen und dem Stand der Technik anzupassen. Dem jeweiligen Stand der Technik entsprechen fortschrittliche Maßnahmen, die die praktische Eignung zur Sicherstellung einer datenschutzgerechten Verarbeitung personenbezogener Daten gesichert erscheinen lassen, insbesondere mit Erfolg erprobt worden sind. Bei der Auswahl technischer Maßnahmen sollten grundsätzlich sicherheitsüberprüfte und zertifizierte Produkte bevorzugt werden. Einen aktuellen Nachweis über zertifizierte Produkte führt das Bundesamt für Sicherheit in der Informationstechnik, Godesberger Allee 183, 53133 Bonn.

    6.3  Verfahren, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien besondere Risiken in sich tragen, sind vor ihrer Einführung einer Vorabkontrolle (Technikfolgenabschätzung) durch die Beauftragte oder den Beauftragten für den Datenschutz zu unterziehen, um festzustellen, ob die mit der automatisierten Verarbeitung verbundenen Risiken für die Rechte der Betroffenen durch technische und organisatorische Maßnahmen wirksam beherrscht werden können. Personenbezogene Daten, deren automatisierte Verarbeitung besondere Risiken für die Rechte der Betroffenen mit sich bringen, sind solche, deren Missbrauch oder Verlust Existenz, Leben oder Freiheit der Betroffenen gefährden oder sie in ihrer gesellschaftlichen Stellung erheblich beeinträchtigen würden. Als neu sind Technologien einzustufen, die erstmals im Anwendungsbereich des NDSG zum Einsatz kommen und bei denen noch nicht abschätzbar ist, ob die mit der Verarbeitung verbundenen Risiken für die Rechte der Betroffenen mit Maßnahmen nach § 7 Abs. 2 beherrscht werden können.

    Die Ergebnisse der Technikfolgenabschätzung sind schriftlich zu dokumentieren. Dabei sind den denkbaren Gefährdungen die möglichen Sicherungs- und Vorbeugungsmaßnahmen gegenüberzustellen und verbleibende Gefahren für die Rechte der Betroffenen darzustellen und zu bewerten. Verfahrensalternativen zur angestrebten Lösung sind aufzuzeigen.

    6.4  Mit § 7 Abs. 4 wird der Grundsatz der Datensparsamkeit und -vermeidung eingeführt. Die Daten verarbeitenden Stellen werden verpflichtet, bei der Auswahl und dem Einsatz von automatisierten Verfahren das Ziel zu beachten, keine oder so wenig wie möglich personenbezogene Daten zu verarbeiten. Danach ist bereits im Vorfeld bei Entwicklung und Auswahl von Datenverarbeitungssystemen darauf hinzuwirken, dass keine oder möglichst wenig personenbezogene Daten verarbeitet werden müssen. Es gibt damit ein übergreifendes Gestaltungsprinzip vor, das aus dem Tele- und Medienrecht übernommen worden ist und das Entstehen von Daten mit Personenbezug oder Personenbeziehbarkeit von vornherein ausschließen oder auf ein Minimum beschränken will. Dieses Prinzip ist Bestandteil eines neuen Ansatzes, der über einen Systemdatenschutz eine Reduzierung der Risiken für die informationelle Selbstbestimmung erreichen will. Auswirkungen hat es z.B. hinsichtlich der Verarbeitung von personenbezogenen Daten der Beschäftigten, soweit diese benötigt werden für Zwecke der Dokumentation der Kommunikation (E-Mail-Adresse), der Protokollierung von Intra- und Internetnutzung sowie zur Überwachung der Nutzung der Datenverarbeitungsanlagen. Soweit zur Vermeidung von Missbräuchen oder zur Abwehr unzulässiger Zugriffe und Nutzungen eine Protokollierung notwendig ist, sind Systeme zu verwenden, die keine oder nur in geringem Umfang personenbezogene Daten benötigen.

     

     

    Zu § 8 (Verfahrensbeschreibung)

    7.  An die Stelle der Dateibeschreibung tritt die Verfahrensbeschreibung, die die aus der Anlage 1 ersichtlichen Punkte enthalten muss. Die Beschreibung erfolgt für das Verfahren und nicht für einzelne Dateien oder Verarbeitungsvorgänge. Soweit in bereichsspezifischen Vorschriften die Beschreibung einer automatisierten Datei gefordert ist, finden die Regelungen zur Verfahrensbeschreibung Anwendung (vgl. Nr. 2.3).

    Verfahren zur Speicherung personenbezogener Daten zu einem anderen Zweck als der inhaltlichen Auswertung, für die keine Beschreibung zu erstellen ist, sind z.B. solche, die ausschließlich Zwecken der Datenschutzkontrolle, der Datensicherung oder der Sicherstellung des ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage dienen und bei denen nach der verarbeitungstechnischen Nutzung die personenbezogenen Daten gelöscht oder überschrieben werden. Als vorübergehend ist eine Speicherung anzusehen, wenn die Daten innerhalb von drei Monaten nach ihrer Erstellung gelöscht werden.

    Nicht unter die Beschreibungspflicht fallen Register nach § 8a Abs. 4. Nach der Verordnung über Ausnahmen von der Pflicht zur Bestellung von Datenschutzbeauftragten nach § 8a entfällt die Beschreibungspflicht für die Tätigkeit der Notarinnen und Notare sowie für die Verfahren zur Textverarbeitung einschließlich der Übermittlung elektronischer Dokumente über Telekommunikationsdienste an die Empfängerinnen und Empfänger.

     

     

    Zu § 14 (Übermittlung an Personen oder Stellen in Staaten außerhalb des Europäischen Wirtschaftsraums)

    15.1   Auch wenn die in § 14 Abs.1 Satz 1 genannten Voraussetzungen nicht vorliegen, ist eine Übermittlung personenbezogener Daten an ausländische Personen und Stellen in Staaten außerhalb des Europäischen Wirtschaftsraums unter den gleichen Voraussetzungen zulässig, die bei einer Datenübermittlung an Personen oder Stellen in Staaten innerhalb des Europäischen Wirtschaftsraums (Inland, EU-Mitgliedsstaaten und die Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum, zurzeit Norwegen, Island und Lichtenstein) zu beachten sind (vgl. § 11 Abs.1 und § 13 Abs. 1), sofern im Empfängerland gleichwertige Datenschutzregelungen gelten. Als gleichwertig können Regelungen zur Gewährleistung eines Datenschutzstandards anerkannt werden, der zumindest dem entspricht, der sich aus der Verwirklichung der Grundsätze des Übereinkommens des Europarates über den Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten vom 28.Januar 1981 (BGBl. 1985 II S.538) ergibt. Dies gilt auch für Kanada, Israel, Ungarn, die Schweiz sowie die Vereinigten Staaten von Amerika. Im Hinblick auf den Umfang der Ausnahmen nach Absatz 2 wird in der Praxis eine Prüfung, ob im Empfängerland gleichwertige Datenschutzbestimmungen gelten, nur in Ausnahmefällen erforderlich werden. Soweit im Einzelfall Zweifel bestehen, ob im Empfängerland gleichwertige Datenschutzregelungen gelten, ist dem MI zu berichten.

    Ausländische Personen und nicht öffentliche Stellen sind entsprechend § 13 Abs. 2 zu verpflichten, die Daten nur für die Zwecke zu verarbeiten, zu denen sie ihnen übermittelt worden sind.

    15.2  Unabhängig von dem Vorliegen gleichwertiger Datenschutzbestimmungen dürfen personenbezogene Daten übermittelt werden, soweit die Ausnahmen des Absatzes 2 vorliegen. Bei öffentlichen Registern muss in den Fällen der Nr. 3 Buchst. b die ausländische Person oder Stelle das berechtigte Interesse an der Einsichtnahme glaubhaft machen.

     

    Zu § 17 (Berichtigung, Löschung und Sperrung)

    18.1   Bevor personenbezogene Daten nach § 17 Abs. 2 Satz 1 Nr. 2 gelöscht werden, haben die öffentlichen Stellen des Landes die Akten oder sonstigen Datenträger dem zuständigen Staatsarchiv zur Übernahme anzubieten (vgl. § 3 NArchG). Auf die speziellen Anbietungspflichten nach § 3 Abs. 6 Satz 1 und § 7 Abs. 3 NArchG wird hingewiesen.

    Soweit für die Aufbewahrung von Akten nicht bereichsspezifische Aufbewahrungsfristen vorgeschrieben sind, ist die Löschung nach § 17 Abs.2 Satz 1 Nr. 2 durchzuführen, wenn die in der Niedersächsischen Aktenordnung oder dem Niedersächsischen Aktenplan genannten Aufbewahrungsfristen abgelaufen sind.

    Bei der Aussonderung von Akten oder sonstigen Datenträgern ist darauf zu achten, dass die erforderlichen technischen und organisatorischen Maßnahmen getroffen werden, um personenbezogene Daten insbesondere vor dem Zugriff Unbefugter zu schützen (§ 7 Abs.1 und 4). Auch eine Zwischenlagerung des ausgesonderten Schriftguts bis zur Vernichtung muss diesen Anforderungen entsprechen.

    Zur Vernichtung von Schriftgut kann eine öffentliche Stelle auch eine andere Behörde beauftragen, die einen Aktenvernichter besitzt. Sowohl bei der Beauftragung einer anderen öffentlichen Stelle wie auch eines privaten Unternehmens handelt es sich um einen Auftrag i.S. des § 6. Der Auftrag zur Löschung personenbezogener Daten, die Weisungen zu technischen und organisatorischen Maßnahmen sowie die Zulassung von Unterauftragsverhältnissen sind daher nach § 6 Abs. 2 Satz 2 schriftlich festzuhalten. Das Muster eines Vertrages über die Vernichtung von Altpapier durch einen Privatunternehmer ist als Anlage 2 beigefügt.

    Für den Auftrag zur Vernichtung von Schriftgut mit Sozialdaten enthält § 80 SGB X eine bereichsspezifische Regelung.

    18.2   Eine Unterrichtungspflicht gemäß § 17 Abs. 4 besteht nach dem Sinn der Regelung nicht, wenn die Daten gelöscht werden, weil ihre Kenntnis für die Daten verarbeitende Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist (§ 17 Abs. 2 Satz 1 Nr. 2).

  • Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
  • Albrecht/Schmid, K&R 2013, 529 (E-Government)
  • BT-Drs. 18/4096
  • BT-Drs. 18/5121
  • Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
  • Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
  • Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
  • Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
  • Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
  • Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
  • Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
  • Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
  • Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
  • Geis, K&R 2002, 59 (Singnaturverordnung)
  • Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
  • Gola, K&R 2017, 145 (Interpretation der DSGVO)
  • Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
  • Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
  • Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
  • Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
  • Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
  • Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
  • König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
  • Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
  • Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
  • Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
  • Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
  • Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
  • Prell, NVwZ 2013, 1514 (E-Government)
  • Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
  • Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
  • Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
  • Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
  • Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
  • Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
  • Schulte/ Schröder, Handbuch des Technikrechts, 2011
  • Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
  • Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
  • Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
  • Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
  • Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
  • VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
  • Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
  • Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
  • Suche in Deutsch und Englisch

    Thema


    Ergebnis 1

    NIST FIPS 199:2004-02



    Ergebnis 2

    NIST FIPS 200:2006-03



    Ergebnis 3

    BSI TR 03105 Teil 1.1



    Ergebnis 4

    BSI TR 03105 Teil 1.2



    Ergebnis 5

    BSI TR 03105 Teil 2



    Ergebnis 6

    BSI TR 03105 Teil 3.1



    Ergebnis 7

    BSI TR 03105 Teil 3.2



    Ergebnis 8

    BSI TR 03105 Teil 3.3



    Ergebnis 9

    BSI TR 03105 Teil 3.4



    Ergebnis 10

    BSI TR 03105 Teil 4