Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für die vom Zentralen IT-Management des Landes Schleswig-Holstein betriebenen automatisierten Verfahren (Zentrale-Stelle-Verordnung - ZStVO) Vom 18. Mai 2020

Anlage (zu § 1) Vom Zentralen IT-Management des Landes Schleswig-Holstein betriebene automatisierte Verfahren: 1. Elektronisches Dokumentenmanagement- und Vorgangsbearbeitungssystem der Landesbehörden (E-Akte - VIS allgemeine Verwaltungssachakte) Die E-Akte umfasst das Dokumentenmanagementsystem (DMS) - elektronische Registratur, - elektronische Recherche, - elektronische zentrale Ablage, - elektronische Aussonderung von Schriftgut und das Vorgangsbearbeitungssystem (VBS) - elektronische Vorgangsbearbeitung. 2. DigiPA - Verfahren zur Digitalisierung der Personalakten der Landesbehörden und zur ausschließlich elektronischen Personalaktenführung 3. Verfahren zur ressortübergreifenden Inventarisierung und Bestandsführung von IT-Objekten und Software zur Unterstützung der IT-Leitstellen (Ham.s.t.er) 4. Haushaltsverfahren für die IT des Landes Schleswig-Holstein (IT-Web) 5. Länderübergreifender Verzeichnisdienst für gemeinsam genutzte Verfahren (AD dpaor.de) 6. Systemtechnische Basis der Landesbehörden SH für die Bürokommunikation (+1-Infrastruktur) Die +1-Infrastruktur umfasst die Verfahren - +1.system - +1.fmd - Zentraler FAX-Service SH - übergreifende Multideviceplattform (MDP) für den Einsatz von Smartphones. 7. Betrieb einer landeseinheitlichen Netzplattform für Sprache und Daten (Landesnetz SH) 8. Sicherstellung der Festnetz-Telefonie der Landesbehörden im Sprachnetz SH 9. Digitale Zeitwirtschaft: einheitliches und zentrales IT-Verfahren der Landesverwaltung Schleswig-Holstein, mit den Komponenten Arbeitszeiterfassung zur Erfassung der Kommens- und Gehenszeiten einschließlich Abwesenheitszeiten, insbesondere Urlaub zur elektronischen Beantragung von Urlaub und Nachweis des Urlaubs, und Personaleinsatzplanung (PEP). 10. PERMIS-V-neu: Informationssystem zum Personalmanagement - Verwaltung von Mitarbeiterinnen und Mitarbeitern, Personalplanung, Stellenplan und Auswertungen 11. VeRA: Vertrags-, Rechnungs-, und Auftragsmanagement 12. Landesweiter Mailverbund Im Wesentlichen umfassen folgende Dienste den Funktionsumfang: - E-Mail-Empfang und -versand - Persönliche Postfächer und Funktionspostfächer - Persönliche Kalender und Gruppenkalender - Elektronischer Faxdienst - Gesicherter Dienstezugang für mobile Endgeräte - Nutzung von Adressbüchern 13. ITSM-SH: IT-Service-Management-System der Landesverwaltung Schleswig-Holstein zur Unterstützung der Geschäftsprozesse der IT-Organisationen 14. Schleswig-Holsteinischer Informationspool (SHIP): Extranet und Intranets der Landesverwaltung 15. Landesportal des Landes Schleswig-Holstein einschließlich dynamisch eingebundener Fach-Informationen (EfI-Plattform) 16. Übergreifendes Informationssicherheitsmanagementsystem (ISMS) für die Landesverwaltung Schleswig-Holstein 17. Videokommunikation: Zentrale Plattformen für die Landesverwaltung zur Durchführung von Videokonferenzen 18. Telefonkonferenzen: Zentrale Dienste für die Landesverwaltung zur Durchführung von Telefonkonferenzen 19. Dokumentationsdatenbank für die Telekommunikation-Infrastruktur des Landesnetzes Schleswig-Holstein 20. LAN Bereitstellung eines einheitlichen LAN-Standards

Aufgrund des § 7 Absatz 4 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet das Ministerium für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung:

§ 1 Zentrale StelleZentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für die in der Anlage aufgeführten automatisierten Verfahren und Standard-IT-Infrastrukturen ist die für das zentrale IT-Management zuständige oberste Landesbehörde. Die Anlage ist Bestandteil der Verordnung.

§ 2 Beteiligte StellenBeteiligte Stellen sind diejenigen Landesbehörden im Sinne des Landesverwaltungsgesetzes, die die in der Anlage aufgeführten automatisierten Verfahren jeweils nutzen.

§ 3 Verantwortlichkeit(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)1.(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung.(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten der Datenschutz-Grundverordnung erfüllen die zentrale Stelle und die beteiligten Stellen jeweils in eigener Verantwortung.

§ 4 Informations-, Meldungs- und Benachrichtigungspflichten(1) Stellt die zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Sie informiert die beteiligte Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit.(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Sie informiert die zentrale Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit. Sofern die Datenschutzverletzungen weitere beteiligte Stellen betreffen oder betreffen können, werden diese von der zentralen Stelle informiert.(3) Die Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung obliegen der beteiligten Stelle. Die zentrale Stelle soll die Meldung und die Benachrichtigung in geeigneten Fällen übernehmen, insbesondere wenn die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist oder die Ursache für die Verletzung mehr als eine beteiligte Stelle betrifft oder betreffen kann.

§ 5 Verantwortlichkeit der zentralen Stelle(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit der automatisierten Verfahren nach § 7 Absatz 4 des Landesdatenschutzgesetzes wie folgt:1. sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung und nach § 12 Absatz 2 und 3 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung, insbesondere achtet sie auf datenschutzfreundliche Technikgestaltung und Voreinstellungen nach Artikel 25 der Datenschutz-Grundverordnung;2. sie nimmt das automatisierte Verfahren in ihr Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf;3. sie ist zuständig für die Durchführung von Tests und deren Dokumentation gemäß § 7 Absatz 1 des Landesdatenschutzgesetzes, zu denen sie von ihr ausgewählte beteiligte Stellen hinzuziehen kann; sie erteilt die Freigabe für das automatisierte Verfahren; einer Freigabe durch die beteiligten Stellen bedarf es nicht;4. sie ist zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung; bei der Durchführung der Datenschutz-Folgenabschätzung kann sie von ihr ausgewählte beteiligte Stellen hinzuziehen;5. sie ist bei Auftragsverarbeitung verantwortlich nach Artikel 28 der Datenschutz-Grundverordnung gegenüber den jeweiligen Auftragsverarbeitern;6. sie ist dafür zuständig, geplante Zertifizierungsverfahren nach Artikel 42 der Datenschutz-Grundverordnung durch die Aufsichtsbehörde zu begleiten.(2) Die zentrale Stelle kann für die in der Anlage aufgeführten Verfahren Bestimmungen zur ordnungsgemäßen Nutzung des Verfahrens durch die beteiligten Stellen erlassen.

§ 6 Verantwortlichkeit der beteiligten Stellen(1) Die beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung der automatisierten Verfahren verantwortlich. Daraus folgt insbesondere:1. sie nehmen die Informationspflichten gegenüber betroffenen Personen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung wahr;2. sie gewährleisten die Rechte der betroffenen Personen gemäß Artikel 15 bis 22 der Datenschutz-Grundverordnung;3. sie nehmen die Verarbeitungstätigkeiten im Rahmen der Nutzung des automatisierten Verfahrens in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf.(2) Die zentrale Stelle stellt den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß Absatz 1 notwendigen Informationen in geeigneter Weise bereit.

§ 7 Inkrafttreten, AußerkrafttretenDiese Verordnung tritt am 30. Mai 2020 in Kraft. Sie tritt mit Ablauf von fünf Jahren nach ihrem Inkrafttreten außer Kraft.