Versions Compared

Old Version 61

changes.mady.by.user Philipp Richter

Saved on

compared with

New Version Current

changes.mady.by.user Philipp Richter

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Datenschutzrechtliche Fragen

Gibt es eine Vorlage für einen Eintrag ins Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 Abs. 1 DSGVO bzw. ersetzt das Datenschutzkonzept den entsprechenden Eintrag?

...

Welche datenschutzrechtlichen Änderungen haben sich durch in Kraft treten des OZG-Änderungsgesetzes (“OZG 2.0”) seit Juli 2024 ergeben?

Bis zum in Kraft treten des OZG-Änderungsgesetzes lag die datenschutzrechtliche Verantwortlichkeit bei den jeweiligen (Ausländer-)Behörden vor Ort und mussten Auftragsverarbeitungsvereinbarungen mit der AKDB geschlossen werden. Mit § 8a Abs. 4 OZG n. F. ist die datenschutzrechtliche Verantwortlichkeit im Sinne Art. 4 Nr. 7 Hs. 2 DSGVO seit Juli 2024 auf das Ministerium des Innern und Kommunales Brandenburg (MIK BB) als „die den länderübergreifenden Onlinedienst betreibende Behörde“ übergegangen. Ein Abschluss von Auftragsverarbeitungsvereinbarungen ist damit nicht mehr nötig.

Muss ein Eintrag ins Verzeichnis der Verarbeitungstätigkeiten (VVT) gem. Art. 30 Abs. 1 DSGVO

...

Ist neben der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (Projekt-DSFA) noch eine eigene DSFA durch die Verantwortlichen zu erstellen?

...

für den Online-Dienst vorgenommen werden?

Nein. Mit in Kraft treten desOZG-Änderungsgesetzes (vgl. oben) muss für den Online-Dienst kein Eintrag mehr in das örtliche VVT erfolgen. Das Verzeichnis führt das MIK BB als die datenschutzrechtlich verantwortliche Behörde zentral. Unabhängig davon sind Einträge für die weitere Verarbeitung der Daten im Fachverfahren vor Ort notwendig. Diese sollten jedoch ohnehin bereits vorliegen.

Ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO vor Ort zu erstellen?

Nein. Mit in Kraft treten desOZG-Änderungsgesetzes (vgl. oben) ist die datenschutzrechtliche Verantwortlichkeit auf das MIK BB übergegangen und damit auch die Verantwortung für die Erstellung einer DSFA. Diese liegt insoweit auch zentral im MIK vor.

Welche Informationen für die Betroffenen nach Art. 13 DSGVO müssen wir

...

bereitstellen?

Die Informationen zur Verarbeitung personenbezogener Daten Für die Bereitstellung der Datenschutzinformationen nach Art. 13 DSGVO allein durch den Online-Dienst (z. B. temporäre serverseitige Verarbeitung, Weiterleitung an die Ausländerbehörde) werden zentral ist das MIK BB als datenschutzrechtlich verantwortliche Behörde zuständig. Entsprechende Angaben finden sich im Online-Dienst zur Verfügung gestellt. Ergänzend dazu müssen Sie noch ein Informationsblatt gem. Art. 13 DSGVO bereitstellen. Auf Nachfrage kann Ihnen hierfür eine Vorlage zur Verfügung gestellt werden. Das Informationsblatt muss sodann auf Ihre Website hochgeladen und über das Management-Tool unter “Variables/informationsblatt_abh_link” zum Online-Dienst verlinkt werden. Als örtliche Behörde müssen Sie für den Online-Dienst daher keine zusätzlichen Informationen bereitstellen.

Verlangt die Einbettung des Online-Dienstes in die eigene Website nicht die Zustimmung des Nutzers für die Anzeige externer Inhalte?

...

Gibt es ein IT-Sicherheitskonzept für den Online-Dienst?

Ja. Eine vollständige Zurverfügungstellung des IT-Sicherheitskonzepts für die Kommunen ist im IT-Sicherheitsmanagement des ZIT-BB und auch der AKDB aber nicht vorgesehen. Der Grund dafür ist vor allem die Vertraulichkeit der im Informationssicherheitsmanagementsystem hinterlegten Informationen. Das gilt insbesondere vor dem – auch Praktikabilitäts- und Zweckmäßigkeitsfragen aufwerfenden – Hintergrund, dass an dem Online-Dienst zumindest mittelbar eine Reihe von IT-Systemen beteiligt sind.Die vollständige Zurverfügungstellung eines IT-Sicherheitskonzepts ist datenschutzrechtlich zudem nicht erforderlich. Weder aus den Vorschriften zur Auftragsverarbeitung in Art. 28 DSGVO noch aus den Pflichten des Verantwortlichen geht die konkrete verpflichtende Form des Nachweises und der Kontrolle der technischen und organisatorischen Maßnahmen beim Verantwortlichen hervor. Nach hiesiger Auffassung genügt eine Zusammenfassung der für den Online-Dienst wesentlichen technischen und organisatorischen Maßnahmen, wie sie bereitgestellt wurde, in Verbindung mit der vertraglich bereits sichergestellten Möglichkeit weitergehender Kontrollen, etwa im Rahmen einer Einsichtnahme.

Gibt es einen Schutz vor dem Hochladen falscher Dateiformate und schadhaften Antragsanlagen bzw. Schadcode für den Online-Dienst?

...