MeldDÜV - Verordnung über die Zulassung der Datenübermittlung von Meldebehörden an andere Behörden oder sonstige öffentliche Stellen des Landes Nordrhein-Westfalen
MeldDÜV - Verordnung über die Zulassung der Datenübermittlung von Meldebehörden an andere Behörden oder sonstige öffentliche Stellen des Landes Nordrhein-Westfalen |
| Sektor | Staat und Verwaltung |
|---|---|
| Branche | Regierung u. Verwaltung |
| Ebene | Landesrecht |
| Bundesland | Nordrhein-Westfalen |
| Rechtsakt | Untergesetzlich |
Verordnung über die Zulassung der Datenübermittlung von Meldebehörden an andere Behörden oder sonstige öffentliche Stellen des Landes Nordrhein-Westfalen
MeldDÜV
§§ 1 II, III, IV, V; 11 III, VI Nr. 7, VII, VIII, XI
§ 1 Begriff und Verfahren(1) Diese Verordnung regelt die Durchführung von Datenübermittlungen der Meldebehörden an öffentliche Stellen des Landes Nordrhein-Westfalen, der Länder und des Bundes sowie an öffentlich-rechtliche Religionsgesellschaften in den Fällen der §§ 33, 34, 36, 38, 39 und 42 des Bundesmeldegesetzes vom 3. Mai 2013 (BGBl. I S. 1084) in der jeweils geltenden Fassung.
(2) Datenübermittlungen erfolgen durch:
1. Datenübertragung,
2. das Bereithalten von Daten zum automatisierten Abruf (Abrufverfahren), soweit dies ausdrücklich zugelassen ist,
3. das Übersenden von Daten auf Datenträgern in gesicherter Form oder
4. die Weitergabe in schriftlicher Form.
Die Datenübermittlungen nach Nummer 1 und 2 erfolgen in gesicherter Form durch Nutzung gesicherter Datenübertragungswege, zum Beispiel über das Landesverwaltungsnetz, das sichere Verbindungsnetz des Bundes und der Länder, über nach dem Stand der Technik gesicherte Übertragungswege über das Internet oder über das Internet unter Zugrundelegung des Übermittlungsprotokolls OSCI-Transport (§§ 2, 3 der Ersten Bundesmeldedatenübermittlungsverordnung vom 1. Dezember 2014 (BGBl. I S. 1945), die durch Artikel 3 der Verordnung vom 1. Juli 2015 (BGBl. I S. 1101) geändert worden ist, in der im elektronischen Bundesanzeiger bekannt gemachten jeweils geltenden Fassung). Sofern die Möglichkeit eröffnet ist, ist die Satzbeschreibung OSCI-XMeld gemäß § 3 der Ersten Bundesmeldedatenübermittlungsverordnung zugrunde zu legen.
(3) Datenübermittlung an öffentliche Stellen über private Stellen oder Datenverarbeitung im Auftrag durch private Rechtsträger ist unzulässig, soweit sich aus den nachfolgenden Regelungen nichts anderes ergibt. Die durch Bundes- oder Landesrecht zulässige Übermittlung von Daten bleibt unberührt.
(4) Bei Datenübermittlungen ist der Datensatz für das Meldewesen - Einheitlicher Bundes-/Länderteil (DSMeld), von der Koordinierungsstelle für IT-Standards am 1. Mai 2015 herausgegeben (www.osci.de), in der jeweils geltenden Fassung - und der Datensatz für das Meldewesen - Landesteil Nordrhein-Westfalen (DSMeld-Teil NRW) (Anlage 1) - zugrunde zu legen.
Der von der Koordinierungsstelle für IT-Standards am 1. Mai 2015 herausgegebene DSMeld legt Form und Inhalt der zu übermittelnden Daten fest.
Die Übermittlungen an die Empfängerin oder den Empfänger erfolgen grundsätzlich in Form der Datenübertragung im XML-Format unmittelbar oder über Vermittlungsstellen.
(5) Soweit im Einzelfall eine Datenübertragung nach Absatz 2 Nummer 1 oder das Abrufverfahren bei der Meldebehörde vorübergehend nicht verfügbar oder nicht zugelassen ist, darf die Auskunft schriftlich oder mit Zustimmung der Empfängerin oder des Empfängers auf Datenträgern auf sicherem Weg versandt werden. Bei Versendung der Daten ist sicherzustellen, dass Maßnahmen nach den Artikeln 24, 25 und 32 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72, L 127 vom 23.5.2018, S. 2) sowie § 15 des Datenschutzgesetzes Nordrhein-Westfalen vom 17. Mai 2018 (GV. NRW. S. 244, ber. S. 278 und S. 404) auch im Bereich der Verschlüsselungstechnik und der Authentifizierung getroffen werden, um den Datenschutz und die Datensicherheit zu gewährleisten, insbesondere im Hinblick auf die Vertraulichkeit und die Unversehrtheit der Daten, die im Melderegister gespeichert sind und übermittelt werden. Entsprechendes gilt für die Verwendung eines anderen Datenformates. Daten auf Datenträgern sind von der Empfängerin oder von dem Empfänger zu löschen, sobald diese zur Aufgabenerfüllung nicht mehr erforderlich sind.
(6) Mit Ausnahme von Absatz 5 ist die Übermittlung in schriftlicher Form oder mittels Datenträger grundsätzlich nur dann zulässig, soweit nachfolgend nichts anderes bestimmt ist oder die für das Meldewesen zuständige Aufsichtsbehörde im Einzelfall zugestimmt hat. Bei Übermittlung in schriftlicher Form nach Satz 1 hat der Versand in verschlossenem Umschlag und mittels Postzustellungsauftrag zu erfolgen. Die Kosten in Höhe von 0,10 Euro pro Datensatz und die Versandkosten trägt die Empfängerin oder der Empfänger.
§ 11 Verfahren(1) Das Bereithalten von Daten zum automatisierten Abruf erfolgt durch die Meldebehörden für alle öffentlichen Stellen des Landes Nordrhein-Westfalen, anderer Länder und des Bundes über das von dem für Inneres zuständigen Ministerium betriebenen Meldeportal Behörden nach § 7 Absatz 1 und 2 des Meldegesetzes Nordrhein-Westfalen. Abrufe sind nur zulässig, wenn über die Identität der betroffenen Person oder Personen aufgrund der Suchkriterien kein Zweifel besteht. Für die in § 34 Absatz 4 Satz 1 des Bundesmeldegesetzes genannten Behörden kann das für Inneres zuständige Ministerium Ausnahmen zulassen.
(2) Der gleichzeitige Abruf von Daten zu einer Vielzahl von Personen kann vom für Inneres zuständigen Ministerium, bei Vorliegen der technischen Voraussetzungen und nach Klärung der Kostenfrage, zugelassen werden.
(3) Bei der Einrichtung von Abrufverfahren ist sicherzustellen, dass Abrufe nur durch hierzu Berechtigte erfolgen. Abrufe sind nur zulässig, wenn die Kenntnis der Daten für die Aufgabenerfüllung erforderlich ist. Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt die abrufende Stelle.
(4) Die Datenschutzkontrolle soll, soweit kein konkreter Anlass besteht, in der Regel durch die abrufende Stelle, grundsätzlich stichprobenhaft, mindestens einmal monatlich, erfolgen. Die behördlichen Datenschutzbeauftragten sind über die Datenschutzkontrolle zu unterrichten.
(5) Im Rahmen der nach dieser Verordnung zugelassenen Abrufverfahren dürfen die Daten nach Maßgabe der Absätze 7 und 8 bei der für die Hauptwohnung und der für die Nebenwohnung zuständigen Meldebehörde abgerufen werden.
(6) Das Meldeportal Behörden hat die Aufgabe:
1. die Kennung der abrufenden Stelle entgegenzunehmen und weiterzuleiten,
2. die Kennung der abrufenden Person oder den Namen der abrufenden Person und das Aktenzeichen der abrufenden Stelle entgegenzunehmen und weiterzuleiten,
3. den Zeitpunkt der Abrufe festzuhalten und weiterzuleiten,
4. die Auskunftsersuchen und Antworten entgegenzunehmen und weiterzuleiten,
5. darzustellen, ob Trefferlisten oder Detailantworten gegeben wurden,
6. die Daten für Zahlung von Gebühren und Auslagen festzuhalten und
7. die Datensicherheit zu gewährleisten.
(7) Das Meldeportal protokolliert, mit Ausnahme von Anfragen einer in § 34 Absatz 4 des Bundesmeldegesetzes genannten Behörde, Folgendes:
1. Namen beziehungsweise Kennung der abrufenden Stelle, der abfragenden Person, der angefragten Stelle und die angefragte Meldebehörde,
2. die Suchkriterien Name und Vorname der angefragten Person,
3. das Aktenzeichen der abrufenden Stelle,
4. den Zeitpunkt der Anfragen und der Weiterleitung,
5. ob Trefferlisten oder Detailantworten gegeben wurden,
6. die für die Geltendmachung von Gebühren und Auslagen erforderlichen Daten und
7. Grund des Abrufs.
Die Protokolle sind den abrufenden Stellen nach Aufforderung zur Datenschutzkontrolle zur Verfügung zu stellen.
(8) Eine Protokollierung von Anfragen von in § 34 Absatz 4 des Bundesmeldegesetzes genannten Behörden findet nicht statt. Zur Sicherung der Datenschutzkontrolle und des technischen Betriebes zeichnet das Meldeportal folgende Daten auf:
1. die Kennung der abrufenden Stelle,
2. den Zeitpunkt der Abrufe,
3. die Daten für Zahlung von Gebühren und Auslagen und
4. die angefragte Meldebehörde.
Die Aufzeichnungen sind den abrufenden Stellen nach Aufforderung zur Datenschutzkontrolle zur Verfügung zu stellen.
(9) Die Protokollierungspflicht der Meldebehörde nach § 40 Absatz 1 des Bundesmeldegesetzes sowie die ausschließliche Protokollierung der in § 34 Absatz 4 des Bundesmeldegesetzes genannten Behörden nach § 40 Absatz 3 des Bundesmeldegesetzes bleiben unberührt.
(10) Das Meldeportal Behörden ist berechtigt, Kennzahlen über die Nutzung und Auslastung des Betriebes zu dokumentieren.
(11) Die Datenübermittlungen nach Absatz 1 an öffentliche Stellen des Landes gemäß § 7 Absatz 1 des Meldegesetzes NRW erfolgen in gesicherter Form durch Nutzung gesicherter Datenübertragungswege, zum Beispiel über das Verbindungsnetz des Bundes und der Länder (DOI-Netz). Es ist die Satzbeschreibung OSCI-XMeld zugrunde zu legen.
(12) Ein Anschluss von privaten Rechtsträgern an das Meldeportal Behörden ist nicht zulässig, es sei denn, sie haben Aufgaben der öffentlichen Verwaltung in eigener Verantwortung übernommen und handeln in eigenem Namen.
- Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
- Albrecht/Schmid, K&R 2013, 529 (E-Government)
- BT-Drs. 18/4096
- BT-Drs. 18/5121
- Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
- Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
- Clauß/Köpsell, IT-Sicherheit 1/2012, 44 (Datenschutztechnologien Verwaltung)
- Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
- Eikel/Kohlhause, IT-Sicherheit 3/2012, 64 (United Communications)
- Fischer/Lemm, IT-Sicherheit 1/2012, 48 (Kommunales Cloud Computing)
- Frische/Ramsauer, NVwZ 2013, 1505 (Das E-Government-Gesetz)
- Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
- Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
- Geis, K&R 2002, 59 (Singnaturverordnung)
- Glombik, VR 2016, 306 (Europäischer elektr. Datenaustausch)
- Gola, K&R 2017, 145 (Interpretation der DSGVO)
- Hoffmann/Schulz/Brackmann, ZD 2013, 122 (öffentliche Verwaltung und soziale Medien)
- Johannes, MMR 2013, 694 (Elektronische Formulare, Verwaltungsverfahren)
- Kahler, CR 2015, 153 (Outsourcing im öffentl. Sektor, Amtsgeheimnis)
- Karg, DuD 2013, 702 (E-Akte, datenschutzrechtliche Anforderungen)
- Klimburg, IT-Sicherheit 2/2012, 45 (Datenschutz, Sicherheitskonzept, Verwaltung in NRW)
- Kramer, DSB 2015, Nr 04, 79 (Vorgaben für den behördlichen DSB)
- König, LKV 2010, 293 (Verwaltungsreform in Thüringen, E-Government)
- Laue, DSB 2011, Nr 9, 12 (§ 3a, Datenvermeidung und Datensparsamkeit)
- Leisterer/Schneider, K&R 2015, 681 (staatliches Informationshandeln im Bereich der IT-Sicherheit)
- Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
- Mayer, IT-Sicherheit, 5/2012, 68 (Mobility, ByoD)
- Oberthür/Hundt/Kroeger, RVaktuell 2017, 18 (E-Government-Gesetz)
- Prell, NVwZ 2013, 1514 (E-Government)
- Probst/Winters, CR 2015, 557 (eVergabe, elektr. Durchführung der Vergabe öffentl. Aufträge)
- Roßnagel, CR 2011, 23 (sicherer elektronischer Rechtsverkehr)
- Roßnagel, MMR 2015, 359 (eIDAS-VO, elektr. Signaturen für Vertrauensdienste)
- Roßnagel, NJW 2013, 2710 ( E-Government-Gesetz)
- Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
- Schrotz/Zdanowiecki, CR 2015, 485 (Cloud Computing im öffentl. Sektor, Datenschutz u. IT-Sicherheit)
- Schulte/ Schröder, Handbuch des Technikrechts, 2011
- Schulz, CR 2009, 267-272 (Der neue „E-Personalausweis”)
- Schulz, DuD 2015, 446 (Leitlinie für IT-Sicherheit in Kommunen)
- Schulz, MMR 2010, 75 (Chancen und Risiken von Cloud Computing in der öffentlichen Verwaltung)
- Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
- Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
- VGH Bayern, B. v. 01.12.2014 16a DZ 11.2411 (E-Mail-Kontrolle bei Beamten, Datensicherheit);
- Weidemann, DVP 2013, 232-234 (DE-Mail, Verwaltungszustellungsgesetz)
- Zaudig, IT-Sicherheit 4/2012, 64 (IT-Sicherheitsmanagement in der Kommunalbehörde)
-
Ergebnis 1
NIST FIPS 199:2004-02
Deutsch: —
Englisch: Standards for Security Categorization of Federal Information and Information Systems
Ergebnis 2
NIST FIPS 200:2006-03
Deutsch: —
Englisch: Minimum Security Requirements for Federal Information and Information Systems
Ergebnis 3
BSI TR 03105 Teil 1.1
Deutsch: —
Englisch: A framework for official electronic ID document conformity tests; Version 1.04.1
Ergebnis 4
BSI TR 03105 Teil 1.2
Deutsch: —
Englisch: Component specification RFID; Version 1.02.1
Ergebnis 5
BSI TR 03105 Teil 2
Deutsch: —
Englisch: Test plan for official electronic ID documents with secure contactless integrated circuit; Version 3.0
Ergebnis 6
BSI TR 03105 Teil 3.1
Deutsch: —
Englisch: Test plan for eMRTD Application Protocol and Logical Data Structure; Version 1.2.1
Ergebnis 7
BSI TR 03105 Teil 3.2
Deutsch: —
Englisch: Conformity Tests for Official Electronic ID Documents - Part 3.2: Test plan for eMRTDs with Advanced Security Mechanisms - EAC 1 Version 1.5
Ergebnis 8
BSI TR 03105 Teil 3.3
Deutsch: —
Englisch: Conformity Tests for Official Electronic ID Documents - Part 3.3: Test Plan for eID-Cards withAdvanced Security Mechanisms - EAC 2; Version 1.1
Ergebnis 9
BSI TR 03105 Teil 3.4
Deutsch: —
Englisch: Test plan for eID-cards with eSign-application acc. to BSI TR-03117; Version 1.0
Ergebnis 10
BSI TR 03105 Teil 4
Deutsch: —
Englisch: Test plan for ICAO-compliant proximity coupling devices (PCD) on layers 1-4; Version 3.0