BALVI iP ZStVO
DE - Landesrecht Schleswig-Holstein

Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für das Fachverfahren BALVI iP (Zentrale-Stelle-Verordnung BALVI iP -BALVI iP ZStVO) Vom 28. Juni 2021

Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für das Fachverfahren BALVI iP (Zentrale-Stelle-Verordnung BALVI iP -BALVI iP ZStVO) Vom 28. Juni 2021
Zum 09.06.2023 aktuellste verfügbare Fassung der Gesamtausgabe

Nichtamtliches Inhaltsverzeichnis

TitelGültig ab
Landesverordnung über die zentrale Stelle nach dem Landesdatenschutzgesetz für das Fachverfahren BALVI iP (Zentrale-Stelle-Verordnung BALVI iP - BALVI iP ZStVO) vom 28. Juni 202113.08.2021
Eingangsformel13.08.2021
§ 1 - Zentrale Stelle13.08.2021
§ 2 - Beteiligte Stellen13.08.2021
§ 3 - Verantwortlichkeit und Zusammenarbeit13.08.2021
§ 4 - Informations-, Meldungs- und Benachrichtigungspflichten13.08.2021
§ 5 - Verantwortlichkeit der zentralen Stelle13.08.2021
§ 6 - Verantwortlichkeit der beteiligten Stellen13.08.2021
§ 7 - Inkrafttreten13.08.2021
Aufgrund des § 7 Absatz 4 des Landesdatenschutzgesetzes vom 2. Mai 2018 (GVOBl. Schl.-H. S. 162) verordnet das Ministerium für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung:

§ 1 Zentrale Stelle

Zentrale Stelle nach § 7 Absatz 4 des Landesdatenschutzgesetzes für das automatisierte Fachverfahren Bundeseinheitliche Anwendungen für Lebensmittelsicherheits- und Veterinärüberwachungs-Informationsverarbeitung - integriertes Programm (BALVI iP) ist die für die fachliche Koordination des automatisierten Fachverfahrens BALVI iP zuständige oberste Landesbehörde.

§ 2 Beteiligte Stellen

Beteiligte Stellen sind die Behörden der Träger der öffentlichen Verwaltung im Sinne des Landesverwaltungsgesetzes, die das automatisierte Verfahren jeweils nutzen.

§ 3 Verantwortlichkeit und Zusammenarbeit

(1) Die zentrale Stelle ist nach Maßgabe der §§ 4 und 5 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung)
1
.
(2) Die beteiligten Stellen sind jeweils nach Maßgabe der §§ 4 und 6 verantwortlich im Sinne des Artikel 4 Nummer 7 und Artikel 26 der Datenschutz-Grundverordnung.
(3) Die nicht im Rahmen der §§ 4 bis 6 zugewiesenen Pflichten der Datenschutz-Grundverordnung erfüllen die zentrale Stelle und die beteiligten Stellen jeweils in eigener Verantwortung.
(4) Die zentrale Stelle sowie die beteiligten Stellen unterstützen sich gegenseitig mit geeigneten Mitteln bei der Erfüllung ihrer Pflichten und arbeiten zusammen. Die zentrale Stelle stellt den beteiligten Stellen alle Informationen zur Verfügung, die für die Datenverarbeitung im Rahmen der Nutzung des automatisierten Verfahrens und die damit einhergehenden Dokumentations- und Prüfpflichten erforderlich sind; insbesondere stellt die zentrale Stelle den beteiligten Stellen die für die Wahrnehmung ihrer Verantwortlichkeit gemäß § 6 notwendigen Informationen bereit.
Fußnoten
1)
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 S. 1, ber. 2016 ABl. L 314 S. 72, ber. 2018 ABl. L 127 S. 2)

§ 4 Informations-, Meldungs- und Benachrichtigungspflichten

(1) Stellt die zentrale Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Sie informiert die beteiligte Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit.
(2) Stellt die beteiligte Stelle eine Verletzung des Schutzes personenbezogener Daten fest, bewertet sie die Erforderlichkeit einer Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und einer Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung. Sie informiert die zentrale Stelle unverzüglich über die Verletzung und teilt ihr das Ergebnis ihrer Bewertung mit. Sofern die Datenschutzverletzungen weitere beteiligte Stellen betreffen oder betreffen können, werden diese von der zentralen Stelle informiert.
(3) Die Meldung an die Aufsichtsbehörde nach Artikel 33 der Datenschutz-Grundverordnung und die Benachrichtigung der betroffenen Person nach Artikel 34 der Datenschutz-Grundverordnung obliegen der beteiligten Stelle, bei der die Verletzung des Schutzes personenbezogener Daten eingetreten ist. Die zentrale Stelle soll die Meldung und die Benachrichtigung in geeigneten Fällen übernehmen, insbesondere wenn die Verletzung des Schutzes personenbezogener Daten bei der zentralen Stelle eingetreten ist oder die Ursache für die Verletzung mehr als eine beteiligte Stelle betrifft oder betreffen kann.

§ 5 Verantwortlichkeit der zentralen Stelle

(1) Die zentrale Stelle gewährleistet die Ordnungsmäßigkeit des automatisierten Verfahrens nach § 7 Absatz 4 des Landesdatenschutzgesetzes insbesondere wie folgt:
1.
sie gewährleistet die Einhaltung der Grundsätze nach Artikel 5 der Datenschutz-Grundverordnung für das automatisierte Verfahren;
2.
sie gewährleistet geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung und nach § 12 Absatz 2 und 3 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung, insbesondere achtet sie auf datenschutzfreundliche Technikgestaltung und Voreinstellungen nach Artikel 25 der Datenschutz-Grundverordnung;
3.
sie ist zuständig für die Durchführung von Tests und deren Dokumentation gemäß § 7 Absatz 1 des Landesdatenschutzgesetzes, zu denen sie von ihr ausgewählte beteiligte Stellen hinzuziehen kann; sie erteilt die Freigabe für das automatisierte Verfahren; einer Freigabe durch die beteiligten Stellen bedarf es nicht;
4.
sie ist zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung; bei der Durchführung der Datenschutz-Folgenabschätzung kann sie von ihr ausgewählte beteiligte Stellen hinzuziehen;
5.
sie ist bei Auftragsverarbeitung verantwortlich nach Artikel 28 der Datenschutz-Grundverordnung gegenüber den jeweiligen Auftragsverarbeitern;
6.
sie ist dafür zuständig, das automatisierte Verfahren in ihr Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung aufzunehmen;
7.
sie ist dafür zuständig, geplante Zertifizierungsverfahren nach Artikel 42 der Datenschutz-Grundverordnung durch die Aufsichtsbehörde zu begleiten.
(2) Die zentrale Stelle kann Bestimmungen zur ordnungsgemäßen Nutzung des automatisierten Verfahrens durch die beteiligten Stellen erlassen.

§ 6 Verantwortlichkeit der beteiligten Stellen

(1) Die beteiligten Stellen sind für ihre Datenverarbeitung im Rahmen der Nutzung des automatisierten Verfahrens verantwortlich. Daraus folgt insbesondere:
1.
sie gewährleisten die Einhaltung der Grundsätze nach Artikel 5 der Datenschutz-Grundverordnung im Hinblick auf die konkrete Datenverarbeitung;
2.
sie setzen für die konkrete Verarbeitung personenbezogener Daten geeignete technische und organisatorische Maßnahmen nach Artikel 24, 25 und 32 der Datenschutz-Grundverordnung und nach § 12 Absatz 2 und 3 des Landesdatenschutzgesetzes sowie die Dokumentation nach Artikel 5 Absatz 2 der Datenschutz-Grundverordnung um;
3.
sie nehmen die Informationspflichten gegenüber betroffenen Personen gemäß Artikel 13 und 14 der Datenschutz-Grundverordnung wahr;
4.
sie gewährleisten die Rechte der betroffenen Personen gemäß Artikel 15 bis 22 der Datenschutz-Grundverordnung;
5.
sie nehmen die Verarbeitungstätigkeiten im Rahmen der Nutzung des automatisierten Verfahrens in ihre Verzeichnisse von Verarbeitungstätigkeiten nach Artikel 30 der Datenschutz-Grundverordnung auf;
6.
sie sind zuständig, soweit erforderlich, für die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutz-Grundverordnung und gegebenenfalls für eine Konsultation nach Artikel 36 der Datenschutz-Grundverordnung.
(2) Werden von einer beteiligten Stelle Verfahrensmängel bei der Datenverarbeitung festgestellt, hat sie die zentrale Stelle unverzüglich zu unterrichten.

§ 7 Inkrafttreten

Die vorstehende Verordnung tritt am Tage nach ihrer Verkündung in Kraft.
Die vorstehende Verordnung wird hiermit ausgefertigt und ist zu verkünden.
Kiel, 28. Juni 2021
Jan Philipp Albrecht
Minister für Energiewende, Landwirtschaft, Umwelt, Natur und Digitalisierung
Markierungen
Leseansicht