§ 3 DSVO
Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung - DSVO)
Landesrecht Schleswig-Holstein
Titel: Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung - DSVO)
Normgeber: Schleswig-Holstein
Amtliche Abkürzung: DSVO
Referenz: 204-4-8

§ 3 DSVO – Verfahrensdokumentation

(1) Automatisierte Verfahren sind zu dokumentieren. Die Dokumentation muss eine schriftliche, verfahrensbezogene Darstellung

  1. 1.

    des Einsatzes von Informationstechnik (Absatz 2),

  2. 2.

    der Sicherheitsmaßnahmen (§ 4) und

  3. 3.

    des Vorgehens bei Test und Freigabe (§ 5)

enthalten. Von der Dokumentation kann ausnahmsweise abgesehen werden, wenn durch automatisierte Verfahren die Rechte der Betroffenen nur geringfügig berührt werden. In diesem Fall ist eine entsprechende Begründung schriftlich niederzulegen.

(2) Zur Darstellung des ordnungsgemäßen Einsatzes von Informationstechnik sind zu dokumentieren:

  1. 1.

    Die Rechtsgrundlage, der Verfahrenszweck (§ 7 Abs. 1 Satz 3 Nr. 2 LDSG), eine Datenfeldbeschreibung und die Maßnahmen zur Datenvermeidung und Datensparsamkeit nach § 4 Abs. 1 LDSG sowie zur Datentrennung nach § 11 Abs. 4 LDSG,

  2. 2.

    die für das Verfahren verwendeten informationstechnischen Geräte einschließlich des Standorts,

  3. 3.

    die für das Verfahren verwendeten Programme, die zur Inbetriebnahme getätigten Schritte und die für die Inbetriebnahme verantwortlichen Personen,

  4. 4.

    bei vernetzten informationstechnischen Geräten die physikalischen und logischen Verbindungen zu anderen informationstechnischen Geräten (Netzplan) sowie eine Darstellung, an welche Systeme welche personenbezogenen Daten innerhalb der Organisation übertragen werden, inklusive der Schnittstellen zu anderen Organisationen (Datenflussdiagramm),

  5. 5.

    die technischen und organisatorischen Vorgaben für die Datenverarbeitung einschließlich der Darstellung, welche Personen für welche Aspekte der Datenverarbeitung verantwortlich und berechtigt sind,

  6. 6.

    die vorgesehenen und durchgeführten Datenübermittlungen einschließlich der Empfängerinnen und Empfänger der Daten,

  7. 7.

    das Vorliegen einer Datenverarbeitung im Auftrag einschließlich der schriftlichen Vereinbarungen gemäß § 17 Abs. 3 LDSG,

  8. 8.

    die Maßnahmen zum Erfüllen von Auskunftsansprüchen von Betroffenen (§ 27 LDSG) und

  9. 9.

    die Maßnahmen für die Berichtigung, die Löschung und die Sperrung personenbezogener Daten (§ 28 LDSG).

(3) Die Dokumentation muss für sachkundige Personen in angemessener Zeit nachvollziehbar sein. Sie ist nach jeder Änderung des automatisierten Verfahrens fortzuschreiben und mindestens fünf Jahre nach der letzten automatisierten Verarbeitung personenbezogener Daten aufzubewahren.

(4) Jede Änderung an informationstechnischen Geräten, Programmen oder Verfahren einschließlich der Personen, die die Veränderungen vorgenommen haben, ist entsprechend Absatz 2 zu dokumentieren.

(5) Die Dokumentation mehrerer automatisierter Verfahren oder die Dokumentation von Teilbereichen eines automatisierten Verfahrens (Absatz 2) kann zusammengefasst werden.