Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für die vom Zentralen IT-Management der Landesregierung Schleswig-Holstein betriebenen Onlinedienste (Zentrale-Stelle-Onlinediensteverordnung - ZStOnDiVO) Vom 17. April 2024

Aufgrund des § 7 Absatz 4 und § 40 Absatz 7 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet der Ministerpräsident:

§ 1 Zentrale StelleZentrale Stelle nach § 7 Absatz 4 und § 40 Absatz 7 des Landesdatenschutzgesetzes für die durch das Land Schleswig-Holstein auf dessen Verwaltungsportalen gemäß § 1 in Verbindung mit der Anlage der Basisdiensteverordnung vom 16. November 2020 (GVOBl. Schl.-H. S. 862) betriebenen digitalen Verwaltungsleistungen im Sinne von § 2 Absatz 3 des Onlinezugangsgesetzes vom 14. August 2017 (BGBl. I S. 3122, 3138), zuletzt geändert durch Artikel 16 des Gesetzes vom 28. Juni 2021 (BGBl. I S. 2250; 2023 I Nr. 230), (Onlinedienste) ist die für das Zentrale IT-Management der Landesregierung Schleswig-Holstein (ZIT SH) zuständige oberste Landesbehörde.

§ 2 Beteiligte StellenBeteiligte Stellen sind diejenigen Träger der öffentlichen Verwaltung, die die Onlinedienste jeweils nutzen.

§ 3 Verantwortlichkeit und Zusammenarbeit(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)1 oder § 21 Nummer 7 und § 39 des Landesdatenschutzgesetzes.(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung oder § 21 Nummer 7 und § 39 des Landesdatenschutzgesetzes.(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten der Datenschutz-Grundverordnung und des Landesdatenschutzgesetzes erfüllen die zentrale Stelle und die beteiligten Stellen jeweils in eigener Verantwortung.(4) Die zentrale Stelle sowie die beteiligten Stellen unterstützen sich gegenseitig mit geeigneten Mitteln bei der Erfüllung ihrer Pflichten und arbeiten zusammen. Die zentrale Stelle stellt den beteiligten Stellen alle Informationen zur Verfügung, die für die Datenverarbeitung im Rahmen der Nutzung der Onlinedienste und die damit einhergehenden Dokumentations- und Prüfpflichten erforderlich sind; insbesondere stellt die zentrale Stelle den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß § 6 notwendigen Informationen bereit.

§ 4 Informations-, Meldungs- und Benachrichtigungspflichten(1) Stellt die zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die für sie zuständige Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes. Sie informiert die beteiligte Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit.(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die für sie zuständige Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes. Sie informiert die zentrale Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit. Sofern die Verletzung weitere beteiligte Stellen betrifft oder betreffen kann, werden diese von der zentralen Stelle informiert.(3) Die Meldung an die jeweils zuständigen Aufsichtsbehörden nach Artikel 33 der Datenschutz-Grundverordnung oder § 41 des Landesdatenschutzgesetzes und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung oder § 42 des Landesdatenschutzgesetzes obliegen der beteiligten Stelle. Die zentrale Stelle übernimmt die Meldung und die Benachrichtigung in den Fällen, in denen die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist.

§ 5 Verantwortlichkeit der zentralen Stelle(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit der Onlinedienste nach § 7 Absatz 4 oder § 40 Absatz 7 des Landesdatenschutzgesetzes wie folgt:1. sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung oder § 40 und § 47 des Landesdatenschutzgesetzes und nach § 12 Absatz 2 und 3 oder § 24 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung oder § 46 Absatz 1 Satz 2 Nummer 9 und § 52 des Landesdatenschutzgesetzes, insbesondere achtet sie auf datenschutzfreundliche Technikgestaltung und Voreinstellungen nach Artikel 25 der Datenschutz-Grundverordnung oder § 47 des Landesdatenschutzgesetzes;2. sie nimmt die Onlinedienste in ihr Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung oder § 46 des Landesdatenschutzgesetzes auf;3. sie ist zuständig für die Durchführung von Tests und deren Dokumentation gemäß § 7 Absatz 1 oder § 40 Absatz 4 des Landesdatenschutzgesetzes, zu denen sie von ihr ausgewählte beteiligte Stellen hinzuziehen kann; sie erteilt die Freigaben für die Onlinedienste; einer Freigabe durch die beteiligten Stellen bedarf es nicht;4. sie ist zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung oder § 43 des Landesdatenschutzgesetzes und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung oder § 45 des Landesdatenschutzgesetzes; bei der Durchführung der Datenschutz-Folgenabschätzung kann sie von ihr ausgewählte beteiligte Stellen hinzuziehen;5. sie trifft die Auswahlentscheidung bezüglich des Auftragsverarbeiters bei der Übertragung von Verarbeitungstätigkeiten nach Artikel 28 der Datenschutz-Grundverordnung oder § 38 des Landesdatenschutzgesetzes; sie ist bei Auftragsverarbeitung verantwortlich nach Artikel 28 der Datenschutz-Grundverordnung oder § 38 des Landesdatenschutzgesetzes gegenüber den jeweiligen Auftragsverarbeitern;6. sie ist dafür zuständig, geplante Zertifizierungsverfahren nach Artikel 42 der Datenschutz-Grundverordnung zu begleiten.(2) Die zentrale Stelle kann gegenüber den beteiligten Stellen datenschutzrechtliche Bestimmungen für die ordnungsgemäße Nutzung der Onlinedienste erlassen.

§ 6 Verantwortlichkeit der beteiligten StellenDie beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung der Onlinedienste verantwortlich. Daraus folgt insbesondere:1. sie nehmen die Informationspflichten gegenüber betroffenen Personen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung oder § 31 des Landesdatenschutzgesetzes wahr;2. sie sind Anlaufstelle für die betroffenen Personen und gewährleisten deren Rechte gemäß Artikel 15 bis 22 der Datenschutz-Grundverordnung oder §§ 33 bis 37 des Landesdatenschutzgesetzes;3. sie nehmen die Verarbeitungstätigkeiten im Rahmen der Nutzung der Onlinedienste in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung oder § 46 des Landesdatenschutzgesetzes auf.

§ 7 InkrafttretenDiese Verordnung tritt am Tage nach ihrer Verkündung in Kraft.