§ 4 DSVO
Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung - DSVO)
Landesrecht Schleswig-Holstein
Titel: Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung - DSVO)
Normgeber: Schleswig-Holstein
Amtliche Abkürzung: DSVO
Referenz: 204-4-8

§ 4 DSVO – Dokumentation der Sicherheitsmaßnahmen

(1) Die technischen und organisatorischen Maßnahmen, die gemäß der §§ 5, 6 und 8 LDSG getroffen wurden, sind zu dokumentieren. Dabei kann auf die Darstellung nach § 3 Abs. 2 Bezug genommen werden.

(2) Die Erforderlichkeit und Angemessenheit der Sicherheitsmaßnahmen ist durch eine Analyse möglicher Gefährdungen für die Betroffenen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten zu dokumentieren (Risikoanalyse). Es ist darzulegen, welche Gefährdungen aus welchen Gründen nicht oder nur zum Teil durch die getroffenen Maßnahmen ausgeschlossen werden können (Restrisiko-Dokumentation).

(3) Die Dokumentation der technischen und organisatorischen Maßnahmen (Absatz 1) und die Analyse möglicher Gefährdungen (Absatz 2) müssen

  1. 1.

    Personal,

  2. 2.

    Räume und Gebäude,

  3. 3.

    informationstechnische Geräte und Programme und

  4. 4.

    die interne und externe Vernetzung der informationstechnischen Geräte

behandeln.

(4) Werden Daten verschlüsselt oder erfolgt eine elektronische Signierung, müssen die technischen und organisatorischen Maßnahmen zur Vergabe und zum Entzug von Schlüsseln sowie zur Schlüsselhinterlegung dokumentiert werden.

(5) Für die bei der Datenverarbeitung zu erzeugenden Protokolldaten gemäß der §§ 6 Abs. 2 und 4 sowie § 8 Abs. 4 LDSG ist unter Berücksichtigung von § 23 Abs. 2 LDSG zu dokumentieren, welche technischen und organisatorischen Maßnahmen hinsichtlich des Zugriffs, der Auswertung und der Löschung der Protokolldaten getroffen wurden.

(6) Das Datenschutzmanagement ist zu dokumentieren. Dies betrifft die getroffenen technischen und organisatorischen Maßnahmen, um die Tätigkeiten gemäß § 6 Abs. 5, § 8 Abs. 5 und § 10 Abs. 4 LDSG zu ermöglichen und zu unterstützen. Dazu gehören Aussagen zur Einbindung der oder des behördlichen Datenschutzbeauftragten in geplante Verfahren, zur Prüfung von Verfahren, zur Bearbeitung der Eingaben von Betroffenen und zu Kontrollen der technischen und organisatorischen Maßnahmen.

(7) Liegt eine Verarbeitung personenbezogener Daten im Auftrag gemäß § 17 LDSG vor, sind die beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen im Sinne von § 4 Abs. 1 und 2 von der Daten verarbeitenden Stelle zu dokumentieren.