Datenschutzbeauftragte beraten das Projektteam in Datenschutzfragen, überwachen die Einhaltung der Datenschutzvorschriften und sind Ansprechpartner für Datenschutzanfragen in Ihren jeweiligen Behörden.

Durch die frühzeitige Einbindung von Datenschutzbeauftragten, die Durchführung von Datenschutz-Folgenabschätzungen und die Implementierung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.

Durch klare Datenschutzerklärungen, Informationspflichten bei der Datenerhebung und die Bereitstellung von Kontaktdaten der Datenschutzbeauftragten.

Bei einer Datenschutzverletzung müssen umgehend Maßnahmen zur Schadensbegrenzung ergriffen, die Datenschutzbehörden informiert und gegebenenfalls die betroffenen Personen benachrichtigt werden.

Betroffene haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Anfragen dazu können an den zuständigen Datenschutzbeauftragten gerichtet werden.

Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. (Art. 4 Nr. 7 DS-GVO)

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. (Art. 4 Nr. 8 DS-GVO)

Art. 28 DS-GVO regelt die Auftragsverarbeitung, also die Bedingungen, unter denen ein Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Verantwortliche ist verpflichtet, die betroffenen Personen über die Überlassung ihrer Daten an den Auftragsverarbeiter zu informieren.

Nein, der Auftragsverarbeiter ist nicht verpflichtet, die betroffene Person über den Erhalt ihrer Daten zu informieren. Diese Informationspflicht trifft nur den Verantwortlichen.

Ein Auftragsverarbeitungsvertrag (AVV) muss immer dann gezeichnet werden, wenn ein Verantwortlicher (z.B. eine Behörde) einen Auftragsverarbeiter (z.B. einen IT-Dienstleister) beauftragt, personenbezogene Daten in seinem Namen zu verarbeiten. Dies ist erforderlich, um sicherzustellen, dass die Verarbeitung der Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) erfolgt und angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden.
In Bezug auf EfA-Online-Dienste ist beispielsweise ein AVV mit dem IT-Dienstleister des federführenden Landes zu zeichnen, wenn der Online-Dienst nachgenutzt werden soll. Sollte beim Transport der Daten ein weiter IT-DL beteiligt sein, ist auch mit ihm ein AVV zu schließen.
Bitte konsultieren Sie Ihren behördlichen Datenschutzbeauftragten, den in den jeweiligen Projekten weichen die vorliegenden Umstände und Beteiligte voneinander ab.

Im Rahmen des "Einer-für-Alle"-Prinzips (EfA) obliegt es den IT-Dienstleistern der federführenden Bundesländer, die Auftragsverarbeitungsverträge (AVV) für EfA-Online-Dienste bereitzustellen. Für weiterführende Informationen und zum Unterzeichnungsprozess des AVV stehen Ihnen die koordinierenden Projektteams der Fachressorts in Thüringen zur Verfügung. Sofern Sie Dienstleistungen des Thüringer Landesrechenzentrums (TLRZ) oder der Kommunalen Informationsverarbeitung Thüringen (KIV) in Anspruch nehmen, bei denen die Verarbeitung personenbezogener Daten im Vordergrund steht, bitten wir Sie, den entsprechenden AVV direkt bei der jeweiligen Einrichtung anzufordern.

Ein rechtzeitiges Einbeziehen des behördlichen Datenschutzbeauftragten in die Projekte ist essentiell, um die notwendigen Datenschutzmaßnahmen zu planen und umzusetzen. Der Auftragsverarbeitungsvertrag (AVV) muss zwingend unterzeichnet sein, bevor personenbezogene Daten im Rahmen eines Auftrags weisungsgebunden durch einen IT-Dienstleister verarbeitet werden. Das bedeutet konkret, dass der AVV bereits vor dem produktiven Einsatz eines Online-Dienstes, der personenbezogene Daten verarbeitet, abgeschlossen sein muss, um den Schutz dieser Daten gemäß den gesetzlichen Anforderungen zu gewährleisten.

Der AVV muss schriftlich abgeschlossen werden und bestimmte Mindestinhalte gemäß Art. 28 Abs. 3 DSGVO enthalten, wie etwa den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen.

Im Zusammenhang mit der Unterzeichnung eines AVV ist das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DS-GVO i.V.m. § 50 ThürDSG ein zentraler Bestandteil der Datenschutzmaßnahmen einer Behörde. Dies beinhaltet eine detaillierte Beschreibung der Verarbeitungszwecke, der Kategorien personenbezogener Daten, der betroffenen Personengruppen sowie der Empfänger der Daten und weiteres.

Die FITKO hat eine „FIT-Store-Muster-AVV“ für die Auftragsverarbeitung von Online-Diensten, die aus dem FIT-Store bezogen werden, in Abstimmung mit der Konferenz der deutschen Datenschutzbehörden (UAG der DSK) erarbeitet. Dabei ist es angedacht, dass der Muster-AVV zwischen dem dienstbetreibenden IT-Dienstleister des umsetzenden Landes und jeder nachnutzenden Behörde zu schließen ist. Die Lösung wird bereits von mehreren Ländern genutzt und wurde von den Datenschutzaufsichtsbehörden positiv aufgenommen.

Das OZG 2.0 führt zu einer differenzierten Betrachtung der datenschutzrechtlichen Verantwortlichkeit, die den verschiedenen Phasen der Datenverarbeitung von Online-Diensten Rechnung trägt: von der Bereitstellung und dem Transport der Daten bis hin zur Verarbeitung im Verwaltungsverfahren. Die Verantwortlichkeit wechselt dabei von zentralen Stellen der Länder zu den jeweiligen ausführenden Behörden, sobald die Daten übermittelt werden.
Diese strukturierte Trennung der Verantwortlichkeiten bedeutet, dass sowohl die zentralen Stellen als auch die zuständigen Behörden jeweils ihre eigenen datenschutzrechtlichen Pflichten erfüllen und die Rechte der Betroffenen wahren müssen. Dies hat direkte Auswirkungen auf die Gestaltung von AVV, da die Verträge die geteilten Verantwortlichkeiten und spezifischen Datenschutzanforderungen in diesem neuen Rahmen reflektieren müssen.