Landesverordnung über die Festlegung der zentralen Stelle nach dem Landesdatenschutzgesetz für das von der oberen Fischereibehörde des Landes Schleswig-Holstein betriebene automatisierte Verfahren für Fischereischeine und die Entrichtung der Fischereiabgabe (Zentrale-Stelle-Verordnung Fischerei - ZStVOFisch)Vom 1. Oktober 2025

Aufgrund des § 7 Absatz 4 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet das Ministerium für Landwirtschaft, ländliche Räume, Europa und Verbraucherschutz:

§ 1 Zentrale StelleDie zentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) für das automatisierte Verfahren DigiFischDok und das Fischereiregister ist die obere Fischereibehörde gemäß § 42 Absatz 1 des Landesfischereigesetzes vom 10. Februar 1996 (GVOBl. 1996, 211) in Verbindung mit § 2 Nr. 6 der Landesverordnung über die Errichtung eines Landesamtes für Landwirtschaft und nachhaltige Landentwicklung vom 21. November 2022 (GVOBl. 2022, 956). Bei DigiFischDok handelt es sich um ein elektronisches Verfahren als Daten haltendes und verarbeitendes System zur Unterstützung und Durchführung von automatisierten Abläufen zur Erteilung von Fischereischeinen, Fischereischeinen mit Begleitung, Urlauberfischereischeinen und zur Entrichtung der Fischereiabgabe inklusive der Erstellung elektronischer Dokumente gemäß § 2a Absatz 1 der Landesverordnung zur Durchführung des Fischereigesetzes vom 1. Juni 2018, zuletzt geändert durch Verordnung vom 1. Oktober 2025 (GVOBl. Schl.-H. 2025/142).

§ 2 Beteiligte StellenBeteiligte Stellen sind die örtlichen Ordnungsbehörden des Landes Schleswig-Holstein, die das Verfahren DigiFischDok nutzen.

§ 3 Verantwortlichkeit(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)1.(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung.(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten, insbesondere der Datenschutz-Grundverordnung und des Landesdatenschutzgesetzes erfüllen die zentrale Stelle und die beteiligten Stellen jeweils in eigener Verantwortung.

§ 4 Informations-, Meldungs- und Benachrichtigungspflichten(1) Stellt die zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Sie informiert die beteiligte Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit.(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Sie informiert die zentrale Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit. Sofern die Datenschutzverletzungen weitere beteiligte Stellen betreffen oder betreffen können, werden diese von der zentralen Stelle informiert.(3) Die Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung obliegen der beteiligten Stelle. Die zentrale Stelle soll die Meldung und die Benachrichtigung in geeigneten Fällen übernehmen, insbesondere wenn die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist oder die Ursache für die Verletzung mehr als eine beteiligte Stelle betrifft oder betreffen kann.

§ 5 Verantwortlichkeit der zentralen Stelle(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit des automatisierten Verfahrens und des Betriebs des Fischereiregisters wie folgt:1. Sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung und nach § 12 Absatz 2 und 3 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung, insbesondere achtet sie auf datenschutzfreundliche Technikgestaltung und Voreinstellung nach Artikel 25 der Datenschutz-Grundverordnung;2. Sie nimmt das automatisierte Verfahren in ihr Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf;3. Sie ist zuständig für die Durchführung von Tests und deren Dokumentation gemäß § 7 Absatz 1 des Landesdatenschutzgesetzes, zu denen sie von ihr ausgewählte beteiligte Stellen hinzuziehen kann; sie erteilt die Freigabe für das automatisierte Verfahren; einer Freigabe durch die beteiligten Stellen bedarf es nicht;4. Sie ist zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung; bei der Durchführung der Datenschutz-Folgenabschätzung kann sie von ihr ausgewählte beteiligte Stellen hinzuziehen;5. Sie ist bei Auftragsverarbeitung verantwortlich nach Artikel 28 der Datenschutz-Grundverordnung gegenüber den jeweiligen Auftragsverarbeitern;6. Sie ist dafür zuständig, geplante Zertifizierungsverfahren nach Artikel 42 der Datenschutz-Grundverordnung durch die Aufsichtsbehörde zu begleiten.(2) Die zentrale Stelle kann Bestimmungen zur ordnungsgemäßen Nutzung des Verfahrens durch die beteiligten Stellen erlassen.

§ 6 Verantwortlichkeit der beteiligten Stellen(1) Die beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung der automatisierten Verfahren verantwortlich. Daraus folgt insbesondere, dass sie1. die Informationspflichten gegenüber betroffenen Personen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung wahrnehmen,2. die Rechte der betroffenen Personen gemäß Artikel 15 bis 22 der Datenschutz-Grundverordnung gewährleisten und3. die Verarbeitungstätigkeiten im Rahmen der Nutzung des automatisierten Verfahrens in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung aufnehmen.(2) Die zentrale Stelle stellt den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß Absatz 1 notwendigen Informationen in geeigneter Weise bereit.

§ 7 InkrafttretenDiese Verordnung tritt mit Wirkung vom 1. Oktober 2025 in Kraft.