§ 9 LDSG, Technische und organisatorische Maßnahmen

§ 9 LDSG
Landesdatenschutzgesetz (LDSG)
Landesrecht Rheinland-Pfalz
Titel: Landesdatenschutzgesetz (LDSG)
Normgeber: Rheinland-Pfalz

Amtliche Abkürzung: LDSG
Referenz: 204-1

Abschnitt: Erster Abschnitt – Allgemeine Bestimmungen
 

(1) Die öffentlichen Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Bestimmungen dieses Gesetzes sowie anderer Vorschriften über den Datenschutz zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand unter Berücksichtigung der Art der zu schützenden personenbezogenen Daten und ihrer Verwendung in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

(2) Werden personenbezogene Daten automatisiert verarbeitet, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien und unter Berücksichtigung des jeweiligen Standes der Technik geeignet sind,

  1. 1.

    Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren (Zutrittskontrolle),

  2. 2.

    zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle),

  3. 3.

    zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),

  4. 4.

    zu gewährleisten, dass personenbezogener Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

  5. 5.

    zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle),

  6. 6.

    zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der auftraggebenden Stelle verarbeitet werden (Auftragskontrolle),

  7. 7.

    zu gewährleisten, dass personenbezogene Daten gegen zufällige und unrechtmäßige Zerstörung sowie gegen Verlust geschützt sind (Verfügbarkeitskontrolle),

  8. 8.

    zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Zweckbindungskontrolle),

  9. 9.

    die Verfahrensweisen bei der Verarbeitung personenbezogener Daten in einer Weise zu dokumentieren, dass sie in zumutbarer Weise nachvollzogen werden können (Dokumentationskontrolle), und

  10. 10.

    zu gewährleisten, dass festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Verarbeitungskontrolle).

(3) Die Landesregierung wird ermächtigt, nach Anhörung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit die in Absatz 2 genannten Anforderungen nach dem jeweiligen Stand der Technik durch Rechtsverordnung fortzuschreiben.

(4) Werden personenbezogene Daten in nicht-automatisierten Dateien oder in Akten verarbeitet, sind insbesondere Maßnahmen zu treffen, die verhindern, dass Unbefugte bei der Aufbewahrung, der Verarbeitung, dem Transport oder der Vernichtung auf diese Daten zugreifen können.

(5) Soweit Verfahren automatisierter Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn

  1. 1.

    besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden oder

  2. 2.

    die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit der Betroffenen zu bewerten einschließlich ihrer Fähigkeiten, ihrer Leistung oder ihres Verhaltens,

es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung der Betroffenen vorliegt oder die Verarbeitung der Zweckbestimmung eines Vertragsverhältnisses oder vertragsähnlichen Vertrauensverhältnisses mit den Betroffenen dient. Zuständig für die Vorabkontrolle ist der behördliche Datenschutzbeauftragte. Dieser wendet sich in Zweifelsfällen an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit .

(6) Die technischen und organisatorischen Maßnahmen nach den Absätzen 1, 2 und 4 sind durch Dienstanweisung im Einzelnen festzulegen. § 10 Abs. 2 Satz 1 Nr. 9 bleibt unberührt.

Diese Artikel im Bereich Internet, IT und Telekommunikation könnten Sie interessieren

Telekom-Störung in Deutschland – Haben Betroffene Anspruch auf Schadensersatz?

Telekom-Störung in Deutschland – Haben Betroffene Anspruch auf Schadensersatz?

Über 900.000 Telekom-Kunden sind teilweise bereits seit Sonntag von dem Ausfall bundesweit betroffen. Die Störung umfasst sowohl Internet, Telefonie als auch das Fernsehen. Eine mögliche… mehr

Störerhaftung: WLAN-Betreiber muss Passwort nicht verändern

Störerhaftung: WLAN-Betreiber muss Passwort nicht verändern

BGH zu Störerhaftung eines WLAN-Betreibers mehr

Gefährliche Kettenbriefe auf WhatsApp im Umlauf!

Gefährliche Kettenbriefe auf WhatsApp im Umlauf!

WhatsApp Nutzer sollten nicht auf zwei neue Kettenbriefe hereinfallen. Ansonsten landen sie schnell in einer Abofalle. Ferner ist ihr Smartphone durch Malware gefährdet. mehr