Verwaltungsvorschriften zum Datenschutzgesetz Sachsen-Anhalt
VV DSG LSA
Punkte 6; 7.2.2; 8.2.2; 14.1.1; 14.1.2; 14a 4.2.1; 15.2.1; 25.1.3; 25.3; 25.3.4

Zu § 6 (Technische und organisatorische Maßnahmen)
6.1 Datensicherheit
Das DSG LSA verwendet in § 6 nicht den Begriff Datensicherheit, regelt aber diesem Zweck dienende Maßnahmen, soweit sie für den Datenschutz von Bedeutung sind, also dem Schutz des Persönlichkeitsrechts dienen. Durch geeignete technische und organisatorische Vorkehrungen soll die Erfüllung der Vorschriften des DSG LSA gewährleistet werden, also der Beeinträchtigung schutzwürdiger Interessen Betroffener bei der Datenverarbeitung entgegengewirkt werden.

Datensicherheit bezeichnet also zunächst einen Zustand und beinhaltet darüber hinaus die Umsetzung aller technischen und organisatorischen Maßnahmen, die von einer öffentlichen Stelle zu treffen sind, um eine Verletzung des Persönlichkeitsrechts Einzelner bei der Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten zu verhindern. Diese Maßnahmen sind sowohl für automatisierte als auch für nicht-automatisierte Verfahren zu treffen und umzusetzen. Ziel aller getroffenen technischen und organisatorischen Maßnahmen ist eine störungsfreie und gegen Missbrauch gesicherte Datenverarbeitung. Maßnahmen der Datensicherheit sind für jede Art von Datenverarbeitung unerlässlich; besonders wichtig sind sie in automatisierten Verfahren. Jede Störung oder Verzögerung der Datenverarbeitung kann schwerwiegende Folgen haben.


6.1.1 Pflicht zur Datensicherheit
Nach Satz 1 sind Maßnahmen zur Gewährleistung der Datensicherheit unabhängig von der Art des Umgangs mit personenbezogenen Daten zu treffen. Der Verweis auf die Absätze 2 und 3 stellt klar, dass je nachdem, ob personenbezogene Daten automatisiert oder nicht-automatisiert erhoben, verarbeitet oder genutzt werden, unterschiedliche Anforderungen bestehen.

6.1.1.1 Verpflichtete Stelle
Zu den technischen und organisatorischen Maßnahmen ist jede öffentliche Stelle verpflichtet, die selbst oder im Auftrag solcher Stellen personenbezogene Daten erhebt, verarbeitet oder nutzt. Verpflichtet ist somit einmal die verantwortliche Stelle im Sinne des § 2 Abs. 8, zum anderen aber auch ein öffentlicher Auftragnehmer im Sinne des § 8 Abs. 4. Für andere Auftragnehmer ergibt sich die entsprechende Pflicht aus den für sie einschlägigen Datenschutzvorschriften, z. B. bei Auftragnehmern im Sinne des § 8 Abs. 5 oder 6, § 11 Abs. 4 BDSG.

Beauftragt eine verantwortliche Stelle ganz oder teilweise eine andere Stelle mit der Durchführung der Erhebung, Verarbeitung oder Nutzung, dann ist die Verantwortung für die Durchführung der Maßnahmen zwischen Auftraggeber und Auftragnehmer verteilt.


6.1.1.2 Pflichten der öffentlichen Stelle als Auftraggeber
Der Auftraggeber hat nach § 8 Abs. 2 Satz 1 bei Erteilung des Auftrages die vom Auftragnehmer vorgesehenen technischen und organisatorischen Maßnahmen zu berücksichtigen. Die Wirksamkeit dieser Maßnahmen ist ein Auswahlkriterium für die Vergabe des Auftrages. Dem Auftraggeber müssen aber nicht notwendigerweise alle im Einzelnen getroffenen Maßnahmen offengelegt werden; dies könnte zu einer Ausspähung führen.


6.1.1.3 Überprüfung der Maßnahmen des Auftragnehmers
Der Auftraggeber hat sich nach Maßgabe des § 8 Abs. 2 Satz 4 beim Auftragnehmer von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.


6.1.2 Angemessenheit der einzelnen Maßnahmen
Eine Datensicherheitsmaßnahme ist nicht schon allein deshalb zu treffen, weil sie objektiv geeignet ist, ein Höchstmaß an Datensicherheit zu gewährleisten. Alle Maßnahmen stehen unter dem Grundsatz der Angemessenheit (Abs. 1 Satz 2). Eine Maßnahme braucht dann nicht getroffen zu werden, wenn der durch sie verursachte Aufwand im Verhältnis zu dem vom Gesetz verlangten Schutz der Daten unangemessen groß wäre. Dieser Grundsatz darf jedoch nicht dazu führen, die dem DSG LSA unterliegende Datenverarbeitung ohne jede Sicherheitsmaßnahme zu lassen. Soweit im Einzelfall eine Anforderung nicht durch angemessene Maßnahmen voll erfüllt wird, ist die dadurch entstehende Lücke durch entsprechende Maßnahmen zur Erfüllung anderer Anforderungen zu schließen.

Ob eine Maßnahme als verhältnismäßig anzusehen ist, kann nur an Hand der konkreten Umstände des Einzelfalles entschieden werden. Dabei ist zwischen dem vom DSG LSA verlangten Schutz der Daten und dem durch die Maßnahme verursachten Aufwand abzuwägen.

Als Entscheidungshilfen bei der Angemessenheitsprüfung können neben der Art der verarbeiteten Daten und ihrer Schutzwürdigkeit auch die Menge der verarbeiteten Daten sowie die Art der eingesetzten Verfahren dienen; so erfordern z. B. Angaben über gesundheitliche Verhältnisse, strafbare Handlungen, religiöse oder politische Anschauungen weitergehende Schutzvorkehrungen. Gleiches gilt, je mehr Daten über Betroffene gespeichert werden (z. B. mit Hilfe einer Datenbank).

Es sind immer alle erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Ausführung der Vorschriften des DSG LSA zu gewährleisten. Satz 3 verpflichtet dazu, das Sicherheitskonzept fortzuschreiben, d. h. die Technikentwicklung zu beobachten und dementsprechend die Schutzmaßnahmen zu überprüfen und bei Bedarf neu einzurichten.


6.1.3 Auswahl der Maßnahmen
Der zur Datensicherheit Verpflichtete muss in eigener Verantwortung unter den in Betracht kommenden technischen und organisatorischen Maßnahmen jene auswählen, die den vorgeschriebenen Schutz der Daten gewährleisten. Sie sind vor dem Einsatz eines neuen oder geänderten Verfahrens im Einzelnen festzulegen und mit Beginn des Einsatzes zu realisieren. Im Falle der Auftragsdatenverarbeitung wirken Auftraggeber und Auftragnehmer zusammen. Für das gesamte Verfahren trägt der Auftraggeber die Verantwortung.

Für die Wirksamkeit der Datensicherheit ist die Summe aller Maßnahmen entscheidend. Die Datensicherheit ist dann ausreichend, wenn die getroffenen technischen -und organisatorischen Maßnahmen in ihrer Gesamtheit einen hinreichenden Schutz gegen die Beeinträchtigung schutzwürdiger Interessen der Betroffenen beim Umgang mit ihren Daten gewährleisten.


6.2 Anforderungen bei automatisierten Verfahren
Die neu eingeführten sechs Sicherheitsziele sind technologieunabhängig und zeigen einen Sicherheitsrahmen auf, der auch bei neuen Formen der Datenverarbeitung anwendbar ist. Das DSG LSA greift teilweise die auch für Sicherheit in der Informationstechnik (IT-Sicherheit) notwendigen Sicherheitsziele auf (Vertraulichkeit, Integrität, Verfügbarkeit), teilweise geht es mit den in Abs. 2 festgelegten weiteren Sicherheitszielen (Authentizität, Revisionsfähigkeit, Transparenz) im Interesse eines wirksamen Schutzes der personenbezogenen Daten darüber hinaus. Abhängig von den jeweiligen technischen Gegebenheiten sind im Einzelfall die Maßnahmen festzulegen, die den geforderten Sicherheitsrahmen erfüllen. Die Maßnahmen müssen zur Erreichung des angestrebten Schutzniveaus angemessen sein und das verbleibende Restrisiko tragbar machen. Dementsprechend ist vor dem Einsatz eines automatisierten Verfahrens

a) der Grad der Schutzbedürftigkeit der personenbezogenen Daten festzustellen,

b) eine Bedrohungs- und Risikoanalyse durchzuführen,

c) ein auf dem IT-Sicherheitskonzept basierendes Datensicherheitskonzept zu erstellen und umzusetzen sowie

d) eine entsprechende Kontrolle und Fortschreibung des Datensicherheitskonzeptes zu gewährleisten.

Diese Vorgehensweise ist auch Grundlage für die Verfahrensfreigabe und die Vorabkontrolle gemäß § 14 Abs. 2.


6.2.1 Vertraulichkeit
Vertraulichkeit ist gewährleistet, wenn die gespeicherten Daten nicht in die Hände Unbefugter geraten können. Das Ziel kann durch unterschiedliche Maßnahmen erreicht werden wie die sichere Aufbewahrung oder Unterbringung der verwendeten Hardware und Backup-Datenträger, die Nutzung von Verschlüsselungssoftware bei der Speicherung in unsicheren Umgebungen (z. B. Notebook, Laptop, lokaler PC) und bei der Datenübertragung in Netzwerken oder durch vertrauliche Behandlung von Angaben über verwendete Hard- und Software und die Systemkonfiguration. Beispiele:

a) sichere Unterbringung von Rechentechnik (z. B. Serverräume),

b) Schutz von Serverräumen vor unbefugtem Zugang,

c) Ausschluss der Nutzung von privater Hard- oder Software für dienstliche Belange oder Ausschluss der Nutzung dienstlicher Hard- oder Software für private Belange,

d) Sicherung von Hard- und Softwareschnittstellen,

e) Einsatz von Verschlüsselungsverfahren bei der Datenspeicherung oder der Datenübertragung (z. B. im lokalen Netz einer Behörde – LAN –, im Intranet des Landes – WAN – oder im Internet),

f) Einrichtung einer an der Aufgabenstellung orientierten restriktiven Benutzerverwaltung und Rechtevergabe (Sicherstellung des Zugriffs Berechtigter ausschließlich auf ihre Programme und ihren Datenbestand),

g) Ausnutzung und Aktivierung der Sicherheitseinstellungen von Betriebssystemen, Datenbankbetriebssystemen und anderen Verarbeitungsprogrammen,

h) Einrichtung von zuverlässigen Identifikations- und Authentisierungsmechanismen,

i) Festlegung von Anmeldeversuchsbeschränkungen (z. B. Sperrung der Benutzung nach mehr als drei Fehlversuchen),

j) Einrichtung von Zeitbeschränkungen, die sich an der regelmäßigen Arbeitszeit orientieren.


6.2.2 Integrität
Integrität ist gewährleistet, wenn Datenbestände unversehrt, vollständig und aktuell sind, also verlässlich richtig. Integrität muss während der Erhebung, allen Phasen der Verarbeitung und bei der Nutzung gegeben sein. Unter anderem muss gewährleistet sein, dass Daten nicht durch Computerviren oder andere Schadsoftware verfälscht werden. Dies ist beim Anschluss an das weltweite Internet besonders wichtig. Beispiele:

a) Plausibilitätskontrollen bei der Eingabe von Daten,

b) regelmäßige Überprüfung und Aktualisierung der Datenbestände,

c) Kontrolle der Durchführung von Reparaturen, Wartung oder Fernwartung von Hard- und Software durch Fremdfirmen,

d) Einsatz von Technologien zum Schutz vor schadenstiftender Software,

e) Einsatz von sogenannten Firewall-Systemen (Firewall = Brandschutzmauer) zur Abschottung von Verwaltungsnetzen gegenüber Fremdnetzen (z. B. dem Internet).


6.2.3 Verfügbarkeit
Verfügbarkeit liegt vor, wenn Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet oder genutzt werden können. Die Verfügbarkeit bezieht sich nicht nur auf die gespeicherten personenbezogenen Daten im engeren Sinne, sondern gleichermaßen auf die Hardware und die zur Verarbeitung erforderlichen Programme. Ein DV-System muss also in seiner Gesamtheit die vorgesehene Funktionalität bieten und zeitgerecht zur Verfügung stehen. Beispiele:

a) Maßnahmen zur Ausfallsicherheit des Verfahrens (z. B. Ersatz-Server; Einsatz redundanter Datenträger; schnelle Wiederanlaufverfahren oder Wiedereinspielung eines Datenbestandes; Ersatz-Rechenzentren),

b) Einsatz von Technik für eine unterbrechungsfreie Stromversorgung der Hardware (USV),

c) Durchführung einer zeitnahen und regelmäßigem Datensicherung des Datenbestandes (Backup) und der Überprüfung des Backup-Datenbestandes auf Nutzbarkeit,

d) Schutz vor Vandalismus oder gefährlichen äußeren Einflüssen (Feuer, Wasser, starke mechanische Belastung, magnetische Störungen),

e) Aufbewahrung von Datenträgern und sonstigen Backup-Medien in einem sogenannten DATA-Safe oder einem Datensicherungsraum (mit entsprechenden RAL-Prüfsiegeln).


6.2.4 Authentizität
Die Authentizität ist hauptsächlich bei elektronisch übertragenen Dokumenten bedroht. Dem kann durch Verfahren begegnet werden, bei denen die Herkunft der Daten nachvollziehbar ist. Bei der Bewertung der Verfahren sind verwendete Hardwarekomponenten und Programme einzubeziehen, z. B. beim e-Government oder beim elektronischen Zahlungsverkehr. Beispiel: Einsatz von Signaturverfahren, bei denen rechtsverbindlich festgestellt werden kann, ob die Daten von den Betroffenen autorisiert (z. B. digital signiert) sind oder wer Urheber von Daten ist, die nicht von den Betroffenen stammen (z. B. bei Datenübermittlung).


6.2.5 Revisionsfähigkeit
Revisionsfähig sind Daten, wenn nachprüfbar ist, wie Daten in einen Datenbestand gelangt sind und welche Veränderungen sie im Laufe der Zeit erfahren haben. Nachprüfbar muss sein, wer für das Aufnehmen bestimmter Daten in einen Datenbestand oder ihr Entfernen daraus die Verantwortung trägt. Dabei ist jedoch zu bedenken, dass Protokollierungsdaten selbst ein datenschutzrechtliches Risiko bergen. Sie unterliegen deshalb einer engen Zweckbindung nach § 10 Abs. 4. Beispiele:

a) Auswertung von Protokolldateien,

b) Nachvollziehen, wer in welcher Weise Daten eingegeben, verändert oder gelöscht hat, woher oder wohin Daten übermittelt wurden (z. B. Auswertungstools für Protokolldateien).


6.2.6 Transparenz
Automatisierte Verfahren sind in aktueller Form nachvollziehbar zu dokumentieren. Die einzelnen Verfahrensschritte müssen dabei so beschrieben werden, dass die systematische Richtigkeit der Prozesse nachvollziehbar wird. Dieses Sicherungsziel steht in unmittelbarem Zusammenhang mit § 15 (Auskunft) und § 23 (Durchführung der Aufgaben). Beispiele:

a) Dokumentation der Freigabe oder der Vorabkontrolle nach § 14 Abs. 2,

b) Dokumentation von wesentlichen Programmveränderungen oder laufende Fortschreibung der Programmdokumentation, so dass ein Verfahren in allen Verarbeitungsschritten dokumentiert ist und in zumutbarer Zeit nachvollzogen werden kann,

c) ordnungsgemäße Führung des Verfahrensverzeichnisses gemäß § 14 Abs. 3.


6.3 Nicht-automatisierte Verfahren
Nicht-automatisierte Verfahren sind solche Verfahren, in denen die Verfahrensschritte ohne Hilfe programmgesteuerter Geräte ablaufen. Dabei ist es unerheblich, ob diesen Verfahren automatisierte Verfahren vorausgehen oder nachfolgen. Datenverarbeitung in nicht-automatisierten Verfahren findet z. B. in manuellen Karteien, Sammlungen gleichartiger Formblätter oder herkömmlichen Akten statt.

Sammlungen von Datenträgern, die zugleich in automatisierten Verfahren verarbeitet werden, unterliegen hinsichtlich ihrer automatisierten Verarbeitung dem Abs. 2, hinsichtlich ihrer nicht-automatisierten Verarbeitung dem Abs. 3. Auch für diese Verfahren sind jedoch nach Abs. 1 geeignete technische und organisatorische Maßnahmen zu treffen, um der Beeinträchtigung schutzwürdiger Belange Betroffener entgegenzuwirken. Der Verhinderung des Zugriffs durch Unbefugte (Vertraulichkeit) kommt zentrale Bedeutung zu. Wenn dies erreicht ist, dann ist in aller Regel auch ausgeschlossen, dass jemand unbefugt Daten zur Kenntnis nehmen oder diese verändern oder löschen kann.

Notwendigkeit und Umfang einzelner Maßnahmen der Datensicherheit beurteilen sich nach den in Nrn. 6.1.1 bis 6.1.3 dargestellten Grundsätzen.

Besonders in nachstehenden Bereichen sind Maßnahmen angezeigt:

a) Erfassen und Bearbeiten von Daten,

b) Weitergeben von Daten, ihr Bereithalten zur Einsichtnahme und der Transport von Datenträgern,

c) Aufbewahren von Daten,

d) Vernichten von Datenträgern.

Soweit Vorentwürfe und Notizen nicht Bestandteil eines Vorgangs werden und personenbezogene Daten enthalten, ist eine ordnungsgemäße Vernichtung, z. B. mittels eines Aktenvernichters zu gewährleisten.

Zu § 7 (Einrichtung automatisierter Abrufverfahren)
Ein automatisiertes Abrufverfahren ist ein Datenverarbeitungsverfahren, in dem Einzeldaten oder ganze Datenbestände durch Abruf an einen Dritten (§ 2 Abs. 9) übermittelt (§ 2 Abs. 5 Satz 2 Nr. 3 Buchst. a Doppelbuchst. bb) werden können.

Wesentlich für den Abruf ist das Moment der Selbstbedienung. Werden Art und Umfang der zu übermittelnden Daten allein von der übermittelnden Stelle bestimmt und kann der Dritte nur den Zeitpunkt festlegen, liegt kein Abrufverfahren im Sinne des § 7 vor, so etwa bei der regelmäßigen Übermittlung der Kfz-Zulassungsdaten durch Zulassungsstellen an das Kraftfahrtbundesamt im automatisierten Verfahren. In Betracht kommt der Abruf eines Datensatzes, des Teils eines Datensatzes oder mehrerer Datensätze (eines Datenbestandes). Gegenstand eines Abrufs kann auch das Ergebnis einer Datenverarbeitung sein, z. B. des Vergleichs oder Abgleichs zweier Datenbestände.


7.1 Zulässigkeit automatisierter Abrufverfahren
Automatisierte Abrufverfahren sind wegen des erhöhten Gefährdungspotentials für das Persönlichkeitsrecht und der Änderung der Verantwortlichkeit für die Übermittlung vom Gesetzgeber nur eingeschränkt zugelassen. Eine vorweg genommene pauschalierte Prüfung muss ergeben haben, dass das Verfahren bei Abwägung der Interessen Betroffener am Ausschluss automatisierter Abrufe mit den Interessen der an Abrufen beteiligten Stellen angemessen ist. Wesentliche Faktoren sind die Dringlichkeit und die Häufigkeit von Übermittlungen. Die Prüfung erfolgt im Rahmen der Vorabkontrolle nach § 14 Abs. 2.

Außerdem müssen beim einzelnen Abruf die Voraussetzungen für eine Übermittlung im Einzelfall gegeben sein.


7.2.1 Kontrollierbarkeit
Satz 1 verlangt nur, dass die Zulässigkeit des Abrufverfahrens, nicht jedoch des einzelnen Abrufs kontrolliert werden kann. Satz 2 schreibt vor, welche Einzelheiten vor Inbetriebnahme des Verfahrens schriftlich festzulegen sind.


7.2.2 Festlegungen bei automatisierten Abrufverfahren
Technische und organisatorische Maßnahmen haben die zum Abruf bereithaltende und die zum Abruf berechtigte Stelle zu treffen. Es ist Aufgabe der verantwortlichen Stelle, die einzelnen Benutzer (die einzelnen Mitarbeiterinnen und Mitarbeiter) der abrufenden Stelle zu identifizieren und deren Abrufberechtigung festzustellen. Einzelheiten dieser und aller weiteren Maßnahmen zur Sicherheit des Verfahrens sind bei der Vereinbarung des Abrufverfahrens von der verantwortlichen Stelle und der abrufenden Stelle festzulegen. Erforderlich sind solche Maßnahmen, die in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck stehen (§ 6 Abs. 1 Satz 2).

Wegen der prinzipiellen Angreifbarkeit des öffentlichen Wählnetzes, insbesondere des Telefonnetzes, können bei besonders sensiblen Daten anstelle von Wählanschlüssen auch festgeschaltete Leitungen erforderlich sein.

Die erforderlichen Festlegungen sind unter Berücksichtigung des Ergebnisses der Vorabprüfung (Nr. 14.2.1) durch den Beauftragten für den Datenschutz (Nr. 14a.4.2.2) zu treffen.


7.3 Vorabunterrichtung des Landesbeauftragten für den Datenschutz
Die Unterrichtung des Landesbeauftragten für den Datenschutz ist so rechtzeitig durchzuführen, dass er die Zulässigkeit des Verfahrens vor dessen Einrichtung prüfen kann. Die Unterrichtung erfolgt, sofern alle beteiligten Stellen seiner Kontrolle unterliegen, nur durch die Stelle, die die Daten zum Abruf bereithält. Für die Unterrichtung können Auszüge aus Entwürfen zum Verfahrensverzeichnis verwendet werden. Das Ergebnis der Vorabkontrolle sollte schriftlich festgehalten werden.


7.4 Protokollierung und Prüfung einzelner Abrufe
Die Prüfung der Zulässigkeit des einzelnen Abrufs kann grundsätzlich nur im Nachhinein, also nach erfolgtem Abruf, durch Auswertung von Abrufprotokollierungen erfolgen.

Der Umfang der Protokollierung ist jeweils für das einzelne Abrufverfahren festzulegen. Zumindest für einen Teil der Abrufe werden Zeitpunkt und Inhalt (Anfragetext und Antworttext) sowie abrufende Stelle und abrufende Person dokumentiert. Eine Vollprotokollierung, d. h. eine lückenlose Protokollierung aller Abrufe mit allen genannten Details, ist grundsätzlich nicht gefordert. Gleichwohl kann sie unter besonderen Umständen geboten sein. Solche Umstände können sich aus der Sensibilität der gespeicherten Daten, der Art des Übertragungsweges, aus dem Benutzerkreis oder aus allen drei Kriterien ergeben. Selbst wenn alle Anforderungen des § 6 erfüllt sind, ist ein Eindringen über die Online-Verbindung in den Datenbestand durch Unbefugte nicht auszuschließen. Zwar dient die Einrichtung geeigneter Stichprobenverfahren der Gewährleistung der Kontrolle (durch den Landesbeauftragten für den Datenschutz oder die Aufsichtsbehörde), es ist aber vor allem Sache der verantwortlichen Stelle zu überprüfen, ob unbefugt auf die von ihr gespeicherten Daten zugegriffen wird. Dies schließt aber eine Schadenersatzpflicht der abrufenden Stelle für eintretende Schäden nicht aus.

Liegen keine besonderen Umstände vor, so erfolgt die Protokollierung in Form einer Auswahl oder ausschnittsweise, wobei sich die Ausschnitte auf Zeiträume, Benutzer oder Benutzergruppen, Datenarten oder Dateninhalte beziehen oder an definierte Ereignisse (z. B. Abrufhäufigkeit) anknüpfen können. Die Auswahl sollte flexibel und situationsangemessen sein. Eine statistisch gleichmäßige (repräsentative) Berücksichtigung des Gesamtaufkommens der Abrufe ist nicht geboten. Eine gezielte Auswahl nach bestimmten Kriterien, zu denen auch Zufallskriterien gehören können, erscheint am Wirkungsvollsten. Von entscheidender Bedeutung für die Missbrauchsprävention ist, dass die Art und Weise der Protokollierung nicht vorhersehbar ist; es muss immer das Risiko einer Protokollierung und Nachprüfung bestehen.

Die Protokolldaten müssen nicht in Papierform vorliegen; es reicht aus, wenn sie maschinenlesbar verfügbar sind.

Eine allgemeine Aussage, wie lange die Protokolle aufzubewahren sind, ist nicht möglich. Im Allgemeinen wird eine Aufbewahrungsdauer von längstens einem Jahr angemessen sein. Die verantwortliche Stelle muss in jedem Fall eine schriftliche Festlegung zur Aufbewahrungsdauer treffen.


7.5 Automatisierte Abrufe von allgemein zugänglichen Daten
Absatz 5 trifft Ausnahmeregelungen für den Abruf von allgemein zugänglichen Daten (z. B. Autorenverzeichnis einer öffentlichen Bibliothek; Nr. 2.1.3).


7.6 Abrufverfahren innerhalb öffentlicher Stellen
Bei Abrufverfahren innerhalb einer öffentlichen Stelle finden keine Übermittlungen an Dritte statt. Um Risiken für das Recht auf informationelle Selbstbestimmung bei dieser Form (stellen-)interner Datenweitergabe zu begegnen, ist bei der Einrichtung eines solchen Verfahrens eine Güterabwägung entsprechend Abs. 1 vorzunehmen. Ferner gelten Abs. 1 Satz 1 und 3 sowie Abs. 4 entsprechend. Auch ohne ausdrückliche Nennung des Abs. 5 unterliegt der interne Abruf von jedermann zugänglichen Daten keinen Beschränkungen.

Zu § 8 (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag)
§ 8 umfasst nur jene Fälle, in denen die tatsächliche Erhebung, Verarbeitung oder Nutzung personenbezogener Daten für eine andere Stelle erfolgt, der Auftraggeber aber für die Verarbeitung und deren Ergebnisse nach außen verantwortlich bleibt. Bedienen sich öffentliche Stellen zur Erledigung ihrer Aufgaben gemeinsamer Rechenzentren oder Rechenzentren anderer öffentlicher oder privater Stellen, liegt Auftragsdatenverarbeitung vor. Auftragsdatenverarbeitung ist auch gegeben bei externer Datenverarbeitung, Datenerfassung auf Datenträgern, Mikroverfilmung von Unterlagen, Vernichtung von Schriftgut und Datenträgern sowie bei der Auftragsarchivierung. Auftragsdatenverarbeitung liegt im Regelfall nicht vor, wenn personenbezogene Daten im Rahmen einer (teilweise) übertragenen Sachaufgabe erhoben, verarbeitet oder genutzt werden, z. B. bei der Berechnung und Zahlbarmachung von Personalausgaben durch eine zentrale Bezügestelle. Es handelt sich hierbei um Fälle der Funktionsübertragung.

Die Art der Rechtsbeziehung zwischen Auftraggeber und Auftragnehmer (Dienstvertrag, Werkvertrag, gemischtes Vertragsverhältnis) ist unbeachtlich.

§ 8 ist auch dann anwendbar, wenn der Auftragnehmer Daten in nicht-automatisierten Verfahren verarbeitet oder nutzt, weil das Gesetz nicht darauf abstellt, welches Verfahren angewendet wird.

Eine Handreichung zur Auslagerung von Aufgaben (Outsourcing) einschließlich Vertragsmustern ist unter http://www.sachsen-anhalt.de/LPSA/index. php?id=20554" abrufbar.


8.1 Verantwortlichkeit
Bei Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag bleibt der Auftraggeber verantwortliche Stelle. Er trägt die Verantwortung für die Einhaltung datenschutzrechtlicher Vorschriften und bleibt Adressat der Rechte des Betroffenen. Bei ihm ist das Verfahrensverzeichnis (Nr. 14.3) zu führen.

8.2.1 Auswahl des Auftragnehmers
Dem Auftraggeber obliegt bei der Auswahl des Auftragnehmers eine besondere Sorgfaltspflicht.


8.2.2 Form und Inhalt des Auftrags
Der Auftrag ist schriftlich zu erteilen. Dies ist auch zu beachten, wenn eine nicht-öffentliche Stelle mit der Vernichtung von Akten betraut wird (Nr. 8.6.2). Zu den erforderlichen Festlegungen des Auftraggebers gehören unter anderem die Abgrenzung der Verantwortungsbereiche von Auftraggeber und Auftragnehmer, Regelungen des Verfahrens zum Test und zur Freigabe der Programme, Verfahren zur Fortschreibung, Änderung, Löschung und Sperrung sowie die Vorgabe der erforderlichen technischen und organisatorischen Maßnahmen nach § 6. Ist der Auftragnehmer eine nicht-öffentliche Stelle kann vereinbart werden, dass nur Beschäftigte eingesetzt werden, die nach dem Verpflichtungsgesetz verpflichtet sind; dies kommt insbesondere in Betracht, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, die durch Berufs- oder besondere Amtsgeheimnisse geschützt sind.


8.2.3 Auftragserteilung durch die Fachaufsichtsbehörde
Von der Möglichkeit der Auftragserteilung durch die Fachaufsichtsbehörde dürfte dann Gebrauch gemacht werden, wenn für nachgeordnete Behörden mit gleicher Aufgabenstellung der Auftragnehmer aus Rationalisierungsgründen ein einheitliches Verfahren anwenden soll. Der Umfang der Weisungsbefugnisse von Fachaufsichtsbehörden und verantwortlicher Stelle gegenüber dem Auftragnehmer ist eindeutig abzugrenzen.


8.3 Weisungsgebundenheit des Auftragnehmers
Der Auftragnehmer ist an die Weisungen des Auftraggebers gebunden. Den Auftragnehmer trifft aber eine Hinweispflicht gegenüber dem Auftraggeber und unter bestimmten Voraussetzungen eine Pflicht zur Information des Landesbeauftragten für den Datenschutz, wenn er der Ansicht ist, dass eine Weisung des Auftraggebers gegen datenschutzrechtliche Vorschriften verstößt.


8.4 Öffentliche Stellen als Auftragnehmer
Da der Auftragnehmer in dieser Funktion nicht selbst verantwortliche Stelle ist, finden auf ihn nicht alle Vorschriften des DSG LSA Anwendung. Soweit öffentliche Stellen des Landes als Auftragnehmer (öffentliche Auftragnehmer) tätig werden, haben sie die in Abs. 4 genannten Vorschriften zu beachten. Für die meisten anderen Auftragnehmer trifft § 11 Abs. 4 BDSG vergleichbare Regelungen.


8.5 Von öffentlichen Stellen beherrschte Auftragnehmer
Von Adressaten des DSG LSA beherrschte privatrechtlich organisierte Auftragnehmer unterliegen der Kontrolle des Landesbeauftragten für den Datenschutz, soweit sie für öffentliche Stellen im Sinne des § 3 Abs. 1 personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen. Bei Auftragsdatenverarbeitung für nicht-öffentliche Stellen verbleibt es bei der Kontrollkompetenz der Aufsichtsbehörde nach § 38 BDSG.


8.6.1 Unterwerfung des Auftragnehmers
Der Auftraggeber hat vertraglich sicherzustellen, dass sich der Auftragnehmer, auf den das DSG LSA nicht anzuwenden ist, der Kontrolle des Landesbeauftragten für den Datenschutz unterwirft.

Die Unterwerfung führt im Fall der Auftragsdatenverarbeitung bei Auftragnehmern innerhalb des Landes zu einer Doppelüberwachung Zuständig kraft Gesetzes ist die Aufsichtsbehörde nach § 38 BDSG und aufgrund Unterwerfung zusätzlich der Landesbeauftragte für den Datenschutz. Bei Auftragnehmern außerhalb des Landes schafft die Unterwerfung eine Kontrollkompetenz des Landesbeauftragten für den Datenschutz. Allerdings wird er regelmäßig nicht außerhalb des Landes prüfen, weil eine Prüfung grundsätzlich im Wege der Amtshilfe durch die originär zuständige Kontrollinstanz durchgeführt werden kann. Dies entspricht den Zusammenarbeitsregelungen nach § 26 Abs. 4 BDSG und Art. 28 Abs. 6 der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. 10. 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31).


8.6.2 Unterrichtung des Landesbeauftragten für den Datenschutz über Auftragserteilung
Nach Satz 2 hat der Auftraggeber den Landesbeauftragten für den Datenschutz von der Auftragserteilung an einen Auftragnehmer, der nicht unter das DSG LSA fällt, zu unterrichten. Diese Pflicht besteht auch, wenn eine nichtöffentliche Stelle mit der Vernichtung von Akten betraut wird.

Zu § 14 (Durchführung des Datenschutzes)
14.1.1 Verantwortlichkeit für die Durchführung des Datenschutzes
Datenschutz ist Teil jeder (Fach-) Aufgabe. Dementsprechend liegt die Pflicht zur Einhaltung datenschutzrechtlicher Vorgaben grundsätzlich bei jeder verantwortlichen Stelle selbst.

Besonderes Gewicht hat der Gesetzgeber der Selbstkontrolle der Verwaltung beigemessen. Aus diesem Grund haben die obersten Landesbehörden und die sonstigen in Satz 1 genannten Stellen jeweils für ihren Organisationsbereich die Ausführung des DSG LSA sowie anderer Vorschriften über den Datenschutz sicherzustellen. Es müssen die organisatorischen Voraussetzungen für eine effektive Durchsetzung des Datenschutzes geschaffen werden. Aus der Verantwortung für die Sicherstellung des Datenschutzes folgt auch die Pflicht sicherzustellen, dass nur solche automatisierten Verfahren eingesetzt werden, die mit den Rechtsvorschriften über den Datenschutz in Einklang stehen. Orientierungshilfen für eine diesbezügliche Prüfung können sich aus Empfehlungen, Checklisten ergeben, die von den Datenschutzbeauftragten des Bundes und der Länder ins Internet eingestellt sind.


14.1.2 Unterrichtung des Landesbeauftragten für den Datenschutz
Um bei grundlegenden Planungen des Landes zum Aufbau oder zur Änderung von automatisierten Verfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Vorkehrungen zum Datenschutz treffen zu können, besteht die Pflicht, den Landesbeauftragten für den Datenschutz rechtzeitig und unaufgefordert zu unterrichten. Dabei ist der zuständige Beauftragte für den Datenschutz nach § 14a einzubinden. Die frühzeitige Einbindung des Landesbeauftragten für den Datenschutz bei grundlegenden Planungen bietet die Möglichkeit, dass die in der jeweiligen Projektierungs- und Realisierungsphase aus rechtlicher und technischer Sicht zu beachtenden Anforderungen des Datenschutzes nicht vernachlässigt werden. Hierdurch kann späteren zeit- und kostenaufwändigen Umplanungen entgegengewirkt werden. Die Unterrichtung ist an keine besondere Form gebunden.

Grundlegend sind solche Planungen, die den Aufbau oder die wesentliche Änderung bedeutsamer Automationsverfahren zur Erhebung, Verarbeitung oder Nutzung personenbezogener Daten betreffen. Als bedeutsam sind Verfahren insbesondere dann anzusehen, wenn sie landesweit oder ressortübergreifend zur Anwendung kommen (z. B. Personalverwaltungs- oder Dokumentenmanagementsysteme). Gleiches gilt für ressortspezifische Anwendungen, wenn sehr große Datenmengen bzw. die Daten einer Vielzahl von Personen verarbeitet werden (z. B. bei zu Übermittlungszwecken geführten Registern). Erfasst werden auch Planungen zur Gestaltung der technischen Infrastruktur, wie z. B. des eGoverment-Konzepts, soweit es um die Prüfung der Erforderlichkeit oder die Realisierung technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheitsziele des § 6 Abs. 2 im Allgemeinen geht. Die Unterrichtung über die anstehende Einrichtung von Abrufverfahren nach § 7 Abs. 3 bleibt unberührt.

Am Beispiel des eGovernment-Maßnahmeplans bedeutet dies: Die Unterrichtung obliegt der Stelle, die das jeweilige Verfahren plant oder ändert. So ist entsprechend dem eGovernment-Aktionsplan das Ministerium des Innern für die Bereitstellung der Basiskomponenten verantwortlich. Dem jeweiligen Fachressort obliegt dagegen die Zuständigkeit für die Umsetzung der einzelnen Leitprojekte. Die Regelung erfasst nicht Träger der Selbstverwaltung; diese sind aber nicht gehindert, entsprechend § 14 Abs. 1 Satz 2 zu verfahren. Dies gilt insbesondere in Fällen, in denen eine Beratung durch den Landesbeauftragten für den Datenschutz nach § 22 Abs. 4 gewünscht wird.


14.1.3 Anhörung des Landesbeauftragten für den Datenschutz beim Erlass von Vorschriften
Nach § 14 Abs. 1 Satz 3 ist der Landesbeauftragte für den Datenschutz vor dem Erlass von Rechts- und Verwaltungsvorschriften, die den Umgang mit personenbezogenen Daten regeln, zu hören; siehe hierzu auch § 40 Satz 2 der Gemeinsamen Geschäftsordnung der Ministerien – Allgemeiner Teil – (GGO LSA I, Beschluss der LReg. vom 15.3.2005, MBl. LSA S. 207, 231, zuletzt geändert durch Beschluss vom 20.3.2012, MBl. LSA S. 145). Die Pflicht zur Anhörung besteht auch, wenn nachgeordnete Landesbehörden oder der Aufsicht des Landes unterstehende juristische Personen einschlägige Rechtsvorschriften erlassen.


14.2 Vorabkontrolle
Regelmäßig wird die Vereinbarkeit von Verfahren mit dem Datenschutz im Rahmen ihrer Freigabe geprüft. Das Gesetz verzichtet auf formelle Festlegungen zur Freigabe für die Mehrzahl der Verfahren. Abstrakte Festlegungen könnten die Besonderheiten der einzelnen Verfahren nicht ausreichend berücksichtigen. Eine gesonderte Vorabprüfung ist nur vorgesehen, wenn mit personenbezogenen Daten besonderer Art (Nr. 2.1.2) umgegangen wird oder das Erheben, Verarbeiten oder Nutzen darauf gerichtet ist, die Persönlichkeit Betroffener zu bewerten (§ 4a). Ferner ist die Vorabkontrolle für automatisierte Abrufverfahren (§ 7) und den Einsatz mobiler personenbezogener Datenträger (§ 25) vorgeschrieben. Hierbei ist zu prüfen, ob das Verfahren datenschutzrechtlich zulässig ist und die vorgesehenen technischen und organisatorischen Maßnahmen ausreichen. Grundlage der Vorabprüfung sind die in § 23 Abs. 1 Satz 2 Nr. 1 genannten Unterlagen sowie Entwürfe für das Verfahrensverzeichnis. Vorabkontrollen sind auch im Anwendungsbereich des SOG LSA und des VerfSchG LSA durchzuführen.


14.3 Verfahrensverzeichnis
Absatz 3 verpflichtet die verantwortlichen Stellen, über die eingesetzten automatisierten Verfahren, mit deren Hilfe personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ein Verzeichnis zu führen. Geführt wird es grundsätzlich durch Beauftragte für den Datenschutz (Nr. 14a.4.1). Die Festlegungen, die im Verfahrensverzeichnis zu treffen sind, ergeben sich aus Satz 1 Nrn. 1 bis 9. Es wird empfohlen, das Verfahrensverzeichnis nach dem Muster der Anlage 3 zu führen. Die Führung kann auch in automatisierter Form erfolgen. Auf die Übergangsregelungen des § 32 zu früheren Dateifestlegungen nach § 14 Abs. 2 Satz 2, Errichtungsanordnungen nach § 33 Abs. 1 SOG LSA und Dateianordnungen nach § 13 Abs. 1 VerfSchG LSA wird verwiesen (Nr. 32.1.1).

Nach Satz 2 können die Festlegungen zum Verfahrensverzeichnis auch zentral von den in Abs. 1 genannten Stellen für ihren Organisationsbereich getroffen werden. Diese Möglichkeit dient der Verwaltungsvereinfachung, insbesondere wenn mehrere Stellen gleiche Verfahren betreiben. Zentrale Festlegungen müssen der jeweiligen verantwortlichen Stelle zugänglich sein, z. B. in Form von Abdrucken.

Für Verbunddateien, die beim Bundeskriminalamt oder dem Bundesamt für Verfassungsschutz geführt werden, reicht es aus, eine Kopie der entsprechenden Errichtungs- oder Dateianordnung, die die zuständige Bundesbehörde erstellt hat, zum Verfahrensverzeichnis zu nehmen.


14.4 Ausnahmen von der Aufnahme in das Verfahrensverzeichnis
Absatz 4 nimmt einzelne Verfahren von der Pflicht zur Aufnahme in das Verfahrensregister aus.


14.4.1 Register
Nummer 1 betrifft zur Information der Öffentlichkeit bestimmte Register, deren Führung aufgrund von Rechtsvorschriften vorgesehen ist (z. B. Grundbuch). Durch diese Rechtsvorschriften ist ausreichende Transparenz für die Betroffenen gegeben.


14.4.2 Verfahren zur Unterstützung der allgemeinen Bürotätigkeit
Auch Verfahren, die ausschließlich der Unterstützung der allgemeinen Bürotätigkeit dienen, sind grundsätzlich nicht in das Verfahrensverzeichnis aufzunehmen. Dies gilt grundsätzlich nur, wenn das Verfahren keine Beeinträchtigung der Rechte Betroffener erwarten lässt. Eine solche Beeinträchtigung ist nicht zu erwarten, wenn ein Verfahren ausschließlich dient

a) der Erstellung von Texten und die hierfür gespeicherten personenbezogenen Daten gelöscht werden, sobald sie nicht mehr benötigt werden,

b) dem internen Auffinden von Vorgängen, Anträgen oder Akten (Registraturverfahren),

c) der internen Überwachung von Terminen und Fristen (Termin- und Fristenkalender),

d) der Führung von Telefon-, Telefax- und sonstiger Kommunikations- und Teilnehmerverzeichnissen, die durch Dritte nicht abrufbar sind, oder

e) der Führung von Anschriftenverzeichnissen für die Versendung von Unterlagen an Betroffene.

Die Ausnahmeregelung gilt nicht für Verfahren, die über die beschriebenen Hilfsfunktionen hinausgehen. So dienen z. B. von Notaren zu führende Bücher auch als Nachweise über die ordnungsgemäße Erledigung ihrer Amtsgeschäfte.


14. Zu § 14a (Beauftragter für den Datenschutz)


14a.1.1 Pflicht zur Einsetzung von Beauftragten für den Datenschutz
Für öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, ist eine Beauftragte für den Datenschutz oder ein Beauftrager für den Datenschutz einzusetzen. Die öffentlichen Stellen sind grundsätzlich mit den verantwortlichen Stellen im Sinne des § 2 Abs. 8 identisch. Die Einsetzung hat schriftlich zu erfolgen; hierfür sollte das Muster der Anlage 4 verwendet werden.

Die Einsetzung von Beauftragten für den Datenschutz ist für solche öffentlichen Stellen nicht vorgesehen, die ausschließlich Verfahren im Sinne des § 14 Abs. 4 Nr. 2 durchführen (Nr. 14.4.2).


14a.1.2 Einsetzen von Beauftragten für den Datenschutz im nachgeordneten Bereich
Im nachgeordneten Bereich können Beauftragte für den Datenschutz auch durch Dienstaufsicht führende Behörden eingesetzt werden. Das erleichtert die Einsetzung einer Person als Beauftragten für den Datenschutz für mehrere Stellen, z. B. durch ein Schulamt für die unterstehenden Schulen.


14a.1.3 Notare und Beliehene
Notare und Beliehene (Nr. 3.1.2) haben Beauftragte für den Datenschutz erst einzusetzen, wenn fünf oder mehr Beschäftigte mit der automatisierten Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. Maßgeblich ist die Zahl der durchschnittlich Beschäftigten, auch wenn diese nicht vollbeschäftigt sind. Zu den Beschäftigten zählen auch Auszubildende.


14a.2.1 Anforderungen an Beauftragte für den Datenschutz
Beauftragte für den Datenschutz können nur natürliche Personen sein. Sie müssen fachkundig sein. Diese Personen müssen über die technischen, rechtlichen und organisatorischen Kenntnisse verfügen, die sie, abhängig von den Gegebenheiten der öffentlichen Stelle, in die Lage versetzen, ihre Aufgabe wahrzunehmen. Die Anforderungen an die Fachkunde sind nicht einheitlich, sondern hängen unter anderem von der Größe der öffentlichen Stelle, der Sensibilität der Daten und der eingesetzten Technik ab. Gefordert sind mindestens

a) Grundkenntnisse über Verfahren und Techniken der automatischen Datenverarbeitung,

b) allgemeine juristische Kenntnisse, Kenntnisse des Datenschutzrechts und sonstiger relevanter Vorschriften sowie

c) ausreichende Kenntnisse der Verwaltungsorganisation und -aufgaben.

Verfügen Beauftragte für den Datenschutz nicht von Anfang an über die erforderlichen Kenntnisse, müssen sie jedenfalls die Fähigkeit haben, sich diese Kenntnisse anzueignen.

Beauftragte für den Datenschutz müssen zuverlässig, also integer, verschwiegen und verantwortungsbewusst sein. Zweifel an der Zuverlässigkeit bestehen z. B. bei erheblichen Interessenkonflikten (Nr. 14a.2.4).


14a.2.2 Organisatorische Stellung von Beauftragten für den Datenschutz
Beauftragte für den Datenschutz sind in dieser Funktion, also insbesondere bei Wahrnehmung ihrer Beratungs- und Kontrolltätigkeit nach Abs. 4 Satz 2, weisungsfrei. Die Weisungsfreiheit entbindet Beauftragte für den Datenschutz jedoch nicht davon, nach Recht und Gesetz zu handeln, z. B. bei der Auskunftserteilung gegenüber Betroffenen.

Beauftragte für den Datenschutz sind in den Organigrammen der öffentlichen Stellen gesondert anzuführen. Die besondere Stellung der Beauftragten für den Datenschutz wird dadurch deutlich, dass sie sich unmittelbar an die Leitung der öffentlichen Stellen wenden können. Außerhalb ihrer Funktion sind Beauftragte für den Datenschutz an den Dienstweg gebunden. Auch können sie sich grundsätzlich nicht unmittelbar an den Landesbeauftragten für den Datenschutz wenden; dieses Recht steht ihnen nur zu, wenn Zweifelsfragen im Rahmen der Vorabkontrolle auftreten.


14a.2.3 Benachteiligungsverbot
Satz 3 sichert die Unabhängigkeit durch ein ausdrückliches Benachteiligungsverbot. Dadurch sind Beauftragte für den Datenschutz vor Umsetzungen, Kündigungen oder anderen Beeinträchtigungen geschützt, die aus einer nicht genehmen Wahrnehmung ihrer Funktion als Beauftragte für den Datenschutz herrühren könnten. Ob eine Benachteiligung vorliegt, kann gerichtlich überprüft werden.


14a.2.4 Art und Umfang der Tätigkeit
Grundsätzlich werden Beauftragte für den Datenschutz Angehörige des öffentlichen Dienstes sein. Sie müssen nicht Beschäftigte der Stelle sein, für die sie die Funktion des Beauftragten für den Datenschutz ausüben. Beauftragte für den Datenschutz müssen nicht hauptberuflich tätig sein. Im Einzelfall kann es ausreichen, die Funktion stundenweise oder fallbezogen auszuüben. Nehmen Beauftragte für den Datenschutz auch andere Aufgaben wahr, sind sie von diesen freizustellen, soweit es die Tätigkeit als Beauftragte für den Datenschutz erfordert. Es ist darauf zu achten, dass durch die sonstigen Aufgaben keine erheblichen Interessenkonflikte entstehen können. Dies kann z. B. bei Entscheidungskompetenzen in den Bereichen

a) Personalverwaltung oder

b) Informationstechnik

der Fall sein.

Die Einsetzung externer Beauftragter für den Datenschutz ist nicht ausgeschlossen. Sie kommt insbesondere bei öffentlichen Stellen im Sinne des § 3 Abs. 2 Nr. 1 (z. B. Eigenbetrieben) in Betracht. Sofern externe Beauftragte für den Datenschutz eingesetzt werden, sind diese bei Vorliegen der Voraussetzungen nach dem Verpflichtungsgesetz zur gewissenhaften Erfüllung ihrer Obliegenheiten zu verpflichten.


14a.3 Rechte und Pflichten der Beauftragten für den Datenschutz


14a.3.1/2 Einsicht in Datenverarbeitungsvorgänge
Um ihre Aufgaben erfüllen zu können, haben Beauftragte für den Datenschutz das Recht, Einsicht in Vorgänge über die Verarbeitung personenbezogener Daten zu nehmen. Die Kenntnisnahme ist auf das zur Aufgabenerledigung unerlässliche Maß zu beschränken. Der Einsicht entgegenstehende Berufs- oder besondere Amtsgeheimnisse sind zu beachten.


14a.3.3 Auskunfts- und Einsichtsrechte
Innerhalb der verantwortlichen Stelle stehen Beauftragten für den Datenschutz die gleichen Kontroll-, Auskunfts- und Einsichtsrechte wie dem Landesbeauftragten für den Datenschutz zu. Bedienstete können sich grundsätzlich ohne Einhaltung des Dienstweges an Beauftragte für den Datenschutz wenden, auch dann, wenn es sich nicht um eigene Angelegenheiten handelt. Sie sind nämlich stelleninterne Kontroll- und Beratungseinrichtungen.


14a.3.4 Verschwiegenheitspflicht
Nach Satz 4 dürfen Beauftragte für den Datenschutz die Identität betroffener, die sich an sie wenden, nicht gegen deren Willen preisgeben. Sofern einer Angelegenheit nicht anonymisiert nachgegangen werden kann, haben Beauftragte für den Datenschutz die Betroffenen hiervon zu unterrichten. Die Betroffenen haben dann selbst zu entscheiden, ob ihre Identität aufgedeckt werden soll.


14a.4 Aufgaben der Beauftragten für den Datenschutz


14a.4.1 Führen des Verfahrensverzeichnisses
Beauftragte für den Datenschutz führen das Verfahrensverzeichnis nach § 14 Abs. 3 Satz 1. Mithin erteilen sie hieraus auch Auskünfte an Interessierte.


Verfahren der Personalvertretungen werden entsprechend dem Urteil des BAG vom 29. 10. 1997 (NJW 1998, 2466) nicht in das vom Beauftragten für den Datenschutz geführte Verfahrensverzeichnis aufgenommen. Die Personalvertretung ist zwar Teil der verantwortlichen Stelle, unterliegt aber wegen ihrer Unabhängigkeit nicht der Kontrolle des Beauftragten für den Datenschutz, sondern nur der des Landesbeauftragten für den Datenschutz.


14a.4.2 Unterstützungspflicht
Beauftragte für den Datenschutz sind verpflichtet, die öffentlichen Stellen bei der Ausführung der Vorschriften des DSG LSA und anderer datenschutzrechtlicher Vorschriften zu unterstützen. Die Verantwortlichkeit für den Datenschutz liegt unverändert bei den verantwortlichen öffentlichen Stellen. Beauftragte für den Datenschutz haben dementsprechend keine Weisungsbefugnisse innerhalb der öffentlichen Stellen. Gleichwohl haben sie eine Garantenstellung innerhalb der öffentlichen Stellen. Ihre Aufgaben sind in Nr. 1 bis 3 nicht abschließend aufgezählt.


14a.4.2.1 Hinwirken auf die Beachtung datenschutzrechtlicher Vorschriften
Hinwirken auf die Beachtung datenschutzrechtlicher Vorschriften umfasst z. B. die Prüfung

a) der datenschutzrechtlichen Vereinbarkeit von Verfahren, über deren Einsatz öffentliche Stellen entscheiden,

b) von Dienstanweisungen zum Umgang mit personenbezogenen Daten,

c) ob die Individualrechte Betroffener auf Benachrichtigung, Auskunft, Berichtigung, Löschung und Sperrung (§§ 9, 15, 16) beachtet werden.

Dazu gehört es auch, Hinweise und Vorschläge zu unterbreiten

a) zur Datenvermeidung und Datensparsamkeit (§ 1 Abs. 2) und

b) zur Verbesserung technischer und organisatorischer Maßnahmen im Sinne des § 6.


14a.4.2.2 Vorabkontrolle
Beauftragte für den Datenschutz haben die Vorabkontrolle durchzuführen (Nr. 14.2).


14a.4.2.3 Vertrautmachen mit datenschutzrechtlichen Vorschriften
Beauftragte für den Datenschutz haben die mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigten Personen mit den einschlägigen datenschutzrechtlichen Vorschriften vertraut zu machen. Die Bedeutung und die Notwendigkeit des Datenschutzes ist verständlich zu machen. Beauftragte für den Datenschutz können dazu Mitarbeiterschulungen vornehmen, soweit solche nicht im Rahmen der zentralen Mitarbeiterfortbildung erfolgen.

Zu § 15 (Auskunft)
15.1 Allgemeines
§ 15 regelt im Interesse der Transparenz die grundsätzlich umfassende Auskunftserteilung an Betroffene. Der Anspruch kann formlos geltend gemacht werden. Während eines laufenden Verwaltungsverfahrens werden die Regelungen des § 15 durch § 1 VwVfG LSA i. V. m. § 29 VwVfG verdrängt. Zuständig für die Auskunftserteilung ist die verantwortliche Stelle. Gehen Auskunftsersuchen bei Auftragnehmern ein, sind diese an den Auftraggeber weiterzuleiten, sofern nicht der Auftragnehmer zur Auskunftserteilung berechtigt worden ist.

Bei der Auskunftserteilung muss die Identität von Antragstellern hinreichend überprüft sein. Fernmündliche Auskünfte sind nur zulässig, wenn die antragstellende Person identifiziert werden kann (z. B. durch Rückruf).


15.1.1.1 Auskunft über personenbezogene Daten und deren Herkunft und Übermittlung
Der Auskunftsanspruch besteht für alle zur Person gespeicherten Daten. Die ausdrückliche Erwähnung von Daten über die Herkunft oder ihre erfolgte Übermittlung hat nur klarstellende Bedeutung, verpflichtet die öffentliche Stelle aber nicht, solche Daten ausschließlich für Auskunftszwecke zu speichern.

Auskunft ist auch zu erteilen über die Dritten, an die personenbezogene Daten übermittelt worden sind; siehe auch die Sonderregelung des § 15 Abs. 3 Satz 1. Voraussetzung ist, dass die Tatsache der Übermittlung gespeichert ist; dies ist zumindest befristet überwiegend der Fall. Unter Berücksichtigung des Urteils des Europäischen Gerichtshofes vom 7. 5. 2009 – C 553/07 – erscheint eine Speicherung von Angaben über erfolgte Übermittlungen mindestens so lange angezeigt, wie eine Pflicht zur Verständigung von Stellen, denen Daten übermittelt worden sind, über erfolgte Berichtigungen, Sperrungen und Löschungen nach § 16 Abs. 6 besteht. Eine solche Speicherung erfolgt aber regelmäßig nicht, wenn die Übermittlung im Abrufverfahren erfolgt ist. Hier greift eine Sonderregelung (Nr. 15.1.1.3). § 15 Abs. 2 Nr. 1 bleibt unberührt.


15.1.1.2 Auskunft über Verarbeitung oder Nutzung
Als Rechtsgrundlage der Verarbeitung oder Nutzung kommt, soweit keine andere Rechtsvorschrift vorgeht, § 4 (Einwilligung) oder § 10 Abs. 1 in Betracht. Zum Zweck der Speicherung siehe Nrn. 9.3.3.2 und 10.1.1.


15.1.1.3 Auskunft über Dritte, an die Übermittlungen vorgesehen sind
Den Betroffenen ist Auskunft über alle die Dritten zu erteilen, an die Übermittlungen vorgesehen sind. Dies sind insbesondere Stellen, an die bei Vorliegen bestimmter Voraussetzungen oder zu bestimmten Stichtagen von Amts wegen Daten übermittelt werden. Dazu gehören auch die Stellen, die Übermittlungen durch Abruf (§ 7) bewirken können.


15.1.1.4 Automatisierte Entscheidungen
Im Fall automatisierter Entscheidungen wird auch über den logischen Aufbau der automatisierten Verarbeitung oder Nutzung Auskunft erteilt. Durch Transparenz soll den Betroffenen veranschaulicht werden, was mit ihren Daten geschieht. Die Grenzen des Auskunftsrechts können beim Schutz von Betriebs- oder Geschäftsgeheimnissen (z. B. Auskünften über die verwendete Software) liegen.


15.1.3 Auskunft aus Akten
Personenbezogene Daten in Sachakten können nur schwer personenbezogen selektiert werden. Es wird daher nur Auskunft erteilt, soweit die Betroffenen Angaben machen, die das Auffinden der Daten ermöglichen. Ferner wird dem erhöhten Verwaltungsaufwand bei der Auskunftserteilung aus Akten in der Weise Rechnung getragen, dass der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem von Betroffenen geltend gemachten Informationsinteresse stehen darf. Diese Prognose ist im Einzelfall zu erstellen.


15.1.4 Art der Auskunft
Die Auskunftserteilung kann auch durch Gewährung von Akteneinsicht erfolgen. Hierbei dürfen Betroffenen grundsätzlich nicht personenbezogene Daten unbeteiligter Dritter zur Kenntnis gelangen. Auch beschränkt sich die Auskunftserteilung auf die Teile der Akte, die personenbezogene Daten der betroffenen Person enthalten. Ein Recht auf Auskunft über Akteninhalte ohne Personenbezug ergibt sich nicht nach § 15, sondern gegebenenfalls aus anderen Gesetzen.


15.1a Auskunft über Daten, die aufgrund von Aufbewahrungsvorschriften nicht gelöscht werden dürfen
Bei den in Abs. 1a genannten personenbezogenen Daten handelt es sich regelmäßig um gesperrte Daten im Sinne des § 16 Abs. 3. Soweit Betroffene über Daten, die nach § 16 Abs. 3 Satz 1 Nr. 2 gesperrt sind, Auskunft begehren, ist die Ablehnung einer Auskunftserteilung grundsätzlich ermessensfehlerhaft.


15.2 Ausnahmen von der Auskunftspflicht
In Fällen des Abs. 2 besteht nur keine Auskunftspflicht, jedoch kein Auskunftsverbot.


15.2.1 Zwecke der Datensicherung oder der Datenschutzkontrolle
Datensicherung ist hier im Sinne von technischen Maßnahmen nach § 6 zu verstehen.


15.3 Unterrichtung des Landesbeauftragten für den Datenschutz bei Auskunftsverweigerung
Die Unterrichtung des Landesbeauftragten für den Datenschutz über die Versagung der Zustimmung zur Auskunftserteilung durch die genannten Sicherheitsbehörden erfolgt unverzüglich durch die für die Auskunftserteilung zuständige Stelle.


15.4 Auskunftsverweigerungsgründe
Der verantwortlichen Stelle steht bei Prüfung der Auskunftsverweigerungsgründe nach Nr. 1 bis 3 gemäß dem Urteil des BVerwG vom 3. 9. 1991 (BVerwGE 89, 14 = JZ 1992, 360) kein Ermessens- oder Beurteilungsspielraum zu. Es handelt sich um gerichtlich voll nachprüfbare unbestimmte Rechtsbegriffe. Die Auskunftsverweigerung ist nur dann gerechtfertigt, wenn das Interesse Betroffener an der Auskunftserteilung zurücktreten muss.


15.4.1 Gefährdung der Aufgabenerfüllung
Durch eine Häufung von Auskunftsersuchen wird die ordnungsgemäße Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben grundsätzlich nicht im Sinne der Nr. 1 gefährdet. Der Schutz der Funktionsfähigkeit der Behörden vor übermäßiger Belastung durch Auskunftsersuchen lässt sich erreichen, indem in solchen Fällen zunächst nur Zwischenbescheide und die Auskünfte selbst in angemessener Frist erteilt werden. Die ordnungsgemäße Erfüllung von Sicherheitsaufgaben der Polizei wäre aber z. B. dann gefährdet, wenn die Polizei im Rahmen der Bekämpfung besonders gefährlicher Kriminalität eingesetzte Informanten preisgeben müsste. Gegenüber diesem Geheimhaltungsinteresse kann dem Auskunftsinteresse Betroffener jedoch ausnahmsweise dann Vorrang zukommen, wenn ausreichende Anhaltspunkte dafür vorliegen, dass Informanten die Behörde wider besseres Wissen oder leichtfertig falsch über Betroffene informiert haben.


15.4.2 Gefährdung der öffentlichen Sicherheit oder Bereitung von Nachteilen für das Wohl des Bundes oder eines Landes
Die öffentliche Sicherheit wäre gefährdet, wenn im Falle der Auskunftserteilung die verfassungsmäßige Ordnung insgesamt oder wesentliche Rechtsgüter Einzelner wie Leib, leben oder Freiheit beeinträchtigt würden.

Vom Wohl des Bundes oder eines Landes sind nur wesentliche Interessen erfasst, die den Bestand oder die Funktionsfähigkeit des Staates betreffen. Hierzu zählen die innere und äußere Sicherheit des Bundes oder eines Landes und die freundschaftlichen Beziehungen zu anderen Staaten. Wegen dieser hohen Anforderungen ist die Ausnahmeregelung praktisch nicht bedeutsam.


15.4.3 Geheimhaltungsinteressen
Eine Rechtsvorschrift, nach der Daten oder die Tatsache ihrer Speicherung geheimgehalten werden müssen, ist z. B. § 61 Abs. 2 PStG. Ob personenbezogene Daten ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheimgehalten werden müssen, ist durch eine Güterabwägung im Einzelfall festzustellen. Diese Güterabwägung entfällt, wenn der Dritte der Auskunftserteilung zugestimmt hat. Die öffentliche Stelle ist aber grundsätzlich nicht verpflichtet, die Zustimmung des Dritten einzuholen.


15.5 Begründung der Ablehnung
Grundsätzlich ist die Ablehnung einer Auskunftserteilung zu begründen, soweit nicht einer der im Gesetz aufgezählten Ausnahmefälle vorliegt. In diesen Fällen sind die Betroffenen darauf hinzuweisen, dass sie sich an den Landesbeauftragten für den Datenschutz wenden können.


15.7 Kosten der Auskunft
Für die Auskunft werden Gebühren und Auslagen grundsätzlich nicht erhoben. Dies gilt nicht in Fällen des Abs. 1a, wenn mit der Auskunft besonderer Verwaltungsaufwand verbunden ist. In Angelegenheiten der Landesverwaltung und des übertragenen Wirkungskreises bestimmt sich die Gebühr nach § 1 i. V. m. lfd. Nr. 1 Tarifstellen 2.1., 2.2.1, 2.2.4 oder 2.2.5 der Anlage der Allgemeinen Gebührenordnung des Landes Sachsen-Anhalt (AllGO LSA) vom 30. 8. 2004 (GVBl. LSA S. 554), zuletzt geändert durch Verordnung vom 25. 7. 2007 (GVBl. LSA S. 279), in der jeweils geltenden Fassung.
 

Zu § 25 (Automatisierte Verfahren mittels mobiler personenbezogener Datenträger)
25.1 Zulässigkeit des Verfahrens
Automatisierte Verfahren, die auf mobilen personenbezogenen Datenträgern oder durch solche Datenträger ablaufen, dürfen von öffentlichen Stellen nur unter den Voraussetzungen der Nrn. 1 bis 3 eingesetzt werden. Ein Verfahren läuft auf dem Datenträger ab, wenn auf diesem selbst Daten der betroffenen Person verarbeitet werden. Es handelt sich hierbei um intelligente Datenträger (insbesondere Chipkarten), die § 6c Abs. 1 BDSG als mobile personenbezogene Speicher- und Verarbeitungsmedien definiert. Durch mobile personenbezogene Datenträger laufen Verfahren ab, soweit die Verwendung von intelligenten Datenträgern durch die Betroffenen korrespondierend zu den auf den Datenträgern stattfindenden Prozessen zur automatisierten Erhebung, Verarbeitung oder Nutzung von Daten bei einer öffentlichen Stelle führt (z. B. Führung sogenannter Schattenkonten). Aber auch die Verwendung nicht intelligenter mobiler personenbezogener Datenträger (z. B. Magnetkarten, nur maschinenlesbare Ausweise) durch die Betroffenen kann die automatische Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch öffentliche Stellen auslösen, z. B. bei der Arbeitszeiterfassung.


25.1.1 Zulassung durch oder aufgrund einer Rechtsvorschrift
Der Einsatz des Verfahrens ist durch Rechtsvorschrift vorgesehen, wenn ein Gesetz, eine Verordnung, eine Satzung oder gegebenenfalls auch eine Dienstvereinbarung dies vorsieht. Regelt eine Rechtsvorschrift nicht unmittelbar den Einsatz mobiler personenbezogener Datenträger, sondern lässt lediglich die Umsetzung einer Rechtsvorschrift den Einsatz solcher Datenträger geboten erscheinen, ist ein entsprechendes Verfahren als aufgrund einer Rechtsvorschrift vorgesehen zu betrachten. Dies gilt z. B.:

a) für die automatisierte Arbeitszeiterfassung, insbesondere im Hinblick auf die Regelungen des § 5 der Arbeitszeitverordnung zur gleitenden Arbeitszeit. Voraussetzung ist weiter, dass der Personalrat der elektronischen Zeiterfassung gemäß § 69 Nr. 3 des PersVG LSA zugestimmt hat;

b) wenn auf der Basis des Gesetzes zur Anpassung der Formvorschriften des Privatrechts und anderer Vorschriften an den modernen Rechtsgeschäftsverkehr vom 13. 7. 2001 (BGBl. I S. 1542) oder vergleichbarer Regelungen im VwVfG LSA, im SGB X, in der AO, elektronische Signaturen zum Einsatz kommen. Dies setzt voraus, dass die Arbeitsplätze der davon betroffenen Bediensteten mit chipkartenbasierten kryptographischen Schlüsseln und entsprechenden Zertifikaten ausgestattet sind;

c) wenn es sich um eine erforderliche technische Maßnahme im Sinne des § 6 Abs. 2 Satz 1 Nr. 4 und 5 zur Gewährleistung der Authentizität und Revisionsfähigkeit verarbeiteter oder genutzter personenbezogener Daten handelt.

Soweit öffentliche Bedienstete zu Zwecken der Zeiterfassung oder des e-Government mobile personenbezogene Datenträger zu verwenden haben, liegt dies im Übrigen im Rahmen des Direktionsrechts des Dienstherrn oder Arbeitgebers. Auch hierdurch ist der Einsatz der Datenträger als aufgrund einer Rechtsvorschrift vorgesehen anzusehen.


25.1.2 Einwilligung
Mit Einwilligung (§ 4) der Betroffenen ist der Einsatz von Verfahren mittels mobiler personenbezogener Datenträger stets zulässig.


25.1.3 Kontrolle von Zugangs- oder Zugriffsberechtigungen
Nr. 3 regelt ausdrücklich die Zulässigkeit des Einsatzes von Verfahren mittels mobiler personenbezogener Datenträger zur Kontrolle von Zugangs- oder Zugriffsberechtigungen, z. B. im Rahmen der Objektsicherung oder technisch-organisatorischer Maßnahmen nach § 6.


25.2 Grenzen der Erhebung, Verarbeitung oder Nutzung
Es dürfen im Rahmen des Verfahrens nicht mehr personenbezogene Daten erhoben, verarbeitet oder genutzt werden, als zur Erreichung des nach Abs. 1 zulässigen Zwecks erforderlich sind. Die Regelung konkretisiert das Prinzip der Datensparsamkeit (Nr. 1.2).


25.3 Transparenz des Verfahrens
Betroffene, die mobile personenbezogene Datenträger gegenüber öffentlichen Stellen verwenden, müssen darauf vertrauen können, dass mit ihren Daten ordnungsgemäß umgegangen und ein Missbrauch des Datenträgers durch Unbefugte verhindert wird. Um sich hiervon überzeugen zu können, muss das Verfahren für die Betroffenen transparent sein. Dies setzt Folgendes voraus:


25.3.1 Unterrichtung über die Stelle, die das Verfahren einsetzt
Die Betroffenen müssen Kenntnis über die Identität und die Anschrift der Stelle haben, die das jeweilige Verfahren einsetzt. Multifunktionale mobile personenbezogene Datenträger (z. B. Chipkarten) können durchaus für Verfahren verschiedener Stellen (auch öffentlicher oder nicht-öffentlicher Stellen nebeneinander) eingesetzt werden. Die das Verfahren einsetzende Stelle muss auch nicht mit der ausgebenden Stelle identisch sein.


25.3.2 Unterrichtung über die Funktionsweise
Die Betroffenen müssen darüber unterrichtet sein, wie der Datenträger funktioniert und welche Art von Daten, nicht welches einzelne Datum, verarbeitet wird.


25.3.3 Unterrichtung über die Möglichkeit der Wahrnehmung von Rechten
Die Betroffenen müssen unterrichtet sein, wie sie ihre Rechte auf Auskunft, Berichtigung, Sperrung oder Löschung geltend machen können. Hierzu gehört es, dass die das jeweilige Verfahren einsetzende Stelle den Betroffenen die Möglichkeit gibt, sich über die auf dem Datenträger gespeicherten Daten zu informieren, z. B. durch das Vorhalten von Lesegeräten im erforderlichen Umfang.


25.3.4 Unterrichtung über Maßnahmen bei Verlust oder Zerstörung
Die Betroffenen müssen wissen, was bei Verlust oder Zerstörung des Datenträgers zu veranlassen ist. Ansonsten bestünde die Gefahr, dass Unbefugte den Datenträger verwenden, dass Unbefugten unter Umständen auf dem Datenträger gespeicherte Daten zur Kenntnis gelangen oder mittels des Datenträgers gespeicherte Daten nicht mehr aktuell gehalten werden können.


25.4 Erkennbarkeit ablaufender Prozesse
Der Vorgang des Erhebens, Verarbeitens oder Nutzens mittels mobiler personenbezogener Datenträger muss für die Betroffenen erkennbar sein. Es darf beim Einsatz mobiler personenbezogener Datenträger keine heimliche Informationsbeschaffung geben. Auch dürfen Prozesse für die Betroffenen nicht ungewollt ablaufen, etwa durch Abbuchung von einem Guthabenkonto, ohne dass die Betroffenen dies merken können. Nicht gefordert ist, dass die Betroffenen stets auch erkennen, welche Daten im Einzelnen erhoben, verarbeitet oder genutzt werden. Der Vorgang des Erhebens, Verarbeitens oder Nutzens ist für Betroffene stets erkennbar, wenn sie gezielt handeln müssen, z. B. beim Eingeben des Datenträgers in ein dafür bestimmtes Eingabegerät. Im Falle berührungsloser Funktion ist der Vorgang durch entsprechenden Hinweis erkennbar zu machen, z. B. durch ein akustisches Signal. Nur in Ausnahmefällen wird ein deutlicher und unübersehbarer schriftlicher Hinweis genügen.