Rechtliche Fragestellungen 

Die rechtliche Dimension umfasst die Rahmenbedingungen für EfA-Dienste, inklusive Vertragsgestaltung und Verwaltungs- sowie Vergaberecht. Hier werden die rechtlichen Grundlagen für länderübergreifende Kooperationen geschaffen.

Datenschutz für Kommunen

Datenschutz bezieht sich auf die Einhaltung gesetzlicher Bestimmungen zum Schutz personenbezogener Daten. Ziel ist es, die Privatsphäre der Bürgerinnen und Bürger zu wahren und den Missbrauch von Daten zu verhindern. Eine datenschutzrechtliche Grundlage liefert die Datenschutz-Grundverordnung (DSGVO) der EU, das Bundesdatenschutzgesetz (BDSG) sowie das Thüringer Datenschutzgesetz (ThürDSG).

Häufige grundsätzliche Fragen zum Datenschutz:

Welche Rolle spielen Datenschutzbeauftragte in EfA-Projekten?

Datenschutzbeauftragte beraten das Projektteam in Datenschutzfragen, überwachen die Einhaltung der Datenschutzvorschriften und sind Ansprechpartner für Datenschutzanfragen in Ihren jeweiligen Behörden.

Wie wird der Datenschutz bei EfA-Projekten gewährleistet?

Durch die frühzeitige Einbindung von Datenschutzbeauftragten, die Durchführung von Datenschutz-Folgenabschätzungen und die Implementierung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten.

Wie wird die Transparenz gegenüber den Nutzern gewährleistet?

Durch klare Datenschutzerklärungen, Informationspflichten bei der Datenerhebung und die Bereitstellung von Kontaktdaten der Datenschutzbeauftragten.

Was passiert bei einer Datenschutzverletzung im Rahmen eines EfA-Projekts?

Bei einer Datenschutzverletzung müssen umgehend Maßnahmen zur Schadensbegrenzung ergriffen, die Datenschutzbehörden informiert und gegebenenfalls die betroffenen Personen benachrichtigt werden.

Wie können Betroffene ihre Datenschutzrechte ausüben?

Betroffene haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit. Anfragen dazu können an den zuständigen Datenschutzbeauftragten gerichtet werden.

Häufige Fragen zu datenschutzrechtlicher Verantwortlichkeit und Auftragsverarbeitungsverträgen:

Was ist ein Verantwortlicher gemäß DS-GVO?

Ein Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. (Art. 4 Nr. 7 DS-GVO)

Was ist ein Auftragsverarbeiter gemäß DS-GVO?

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. (Art. 4 Nr. 8 DS-GVO)

Was regelt Art. 28 DS-GVO - Auftragsverarbeiter?

Art. 28 DS-GVO regelt die Auftragsverarbeitung, also die Bedingungen, unter denen ein Auftragsverarbeiter personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Verantwortliche ist verpflichtet, die betroffenen Personen über die Überlassung ihrer Daten an den Auftragsverarbeiter zu informieren.

Muss der Auftragsverarbeiter die betroffene Person über den Erhalt ihrer Daten informieren?

Nein, der Auftragsverarbeiter ist nicht verpflichtet, die betroffene Person über den Erhalt ihrer Daten zu informieren. Diese Informationspflicht trifft nur den Verantwortlichen.

Mit wem ist ein Auftragsverarbeitungsvertrag zu schließen?

Ein Auftragsverarbeitungsvertrag (AVV) muss immer dann gezeichnet werden, wenn ein Verantwortlicher (z.B. eine Behörde) einen Auftragsverarbeiter (z.B. einen IT-Dienstleister) beauftragt, personenbezogene Daten in seinem Namen zu verarbeiten. Dies ist erforderlich, um sicherzustellen, dass die Verarbeitung der Daten im Einklang mit der Datenschutz-Grundverordnung (DSGVO) erfolgt und angemessene technische und organisatorische Maßnahmen zum Schutz der Daten getroffen werden.
In Bezug auf EfA-Online-Dienste ist beispielsweise ein AVV mit dem IT-Dienstleister des federführenden Landes zu zeichnen, wenn der Online-Dienst nachgenutzt werden soll. Sollte beim Transport der Daten ein weiter IT-DL beteiligt sein, ist auch mit ihm ein AVV zu schließen.
Bitte konsultieren Sie Ihren behördlichen Datenschutzbeauftragten, den in den jeweiligen Projekten weichen die vorliegenden Umstände und Beteiligte voneinander ab.

Wer stellt den Auftragsverarbeitungsvertrag (AVV) bereit?

Im Rahmen des "Einer-für-Alle"-Prinzips (EfA) obliegt es den IT-Dienstleistern der federführenden Bundesländer, die Auftragsverarbeitungsverträge (AVV) für EfA-Online-Dienste bereitzustellen. Für weiterführende Informationen und zum Unterzeichnungsprozess des AVV stehen Ihnen die koordinierenden Projektteams der Fachressorts in Thüringen zur Verfügung. Sofern Sie Dienstleistungen des Thüringer Landesrechenzentrums (TLRZ) oder der Kommunalen Informationsverarbeitung Thüringen (KIV) in Anspruch nehmen, bei denen die Verarbeitung personenbezogener Daten im Vordergrund steht, bitten wir Sie, den entsprechenden AVV direkt bei der jeweiligen Einrichtung anzufordern.

Zu welchem Zeitpunkt zeichnet man den Auftragsverarbeitungsvertrag (AVV)?

Ein rechtzeitiges Einbeziehen des behördlichen Datenschutzbeauftragten in die Projekte ist essentiell, um die notwendigen Datenschutzmaßnahmen zu planen und umzusetzen. Der Auftragsverarbeitungsvertrag (AVV) muss zwingend unterzeichnet sein, bevor personenbezogene Daten im Rahmen eines Auftrags weisungsgebunden durch einen IT-Dienstleister verarbeitet werden. Das bedeutet konkret, dass der AVV bereits vor dem produktiven Einsatz eines Online-Dienstes, der personenbezogene Daten verarbeitet, abgeschlossen sein muss, um den Schutz dieser Daten gemäß den gesetzlichen Anforderungen zu gewährleisten.

Was ist bei einen Auftragsverarbeitungsvertrag zu beachten?

Der AVV muss schriftlich abgeschlossen werden und bestimmte Mindestinhalte gemäß Art. 28 Abs. 3 DSGVO enthalten, wie etwa den Gegenstand und die Dauer der Verarbeitung, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten und die Kategorien betroffener Personen sowie die Pflichten und Rechte des Verantwortlichen.

Was ist in Zusammenhang mit der Zeichnung eines Auftragsverarbeitungsvertrags (AVV) für eine Kommune zu tun?

Im Zusammenhang mit der Unterzeichnung eines AVV ist das Verzeichnis von Verarbeitungstätigkeiten gem. Art. 30 DS-GVO i.V.m. § 50 ThürDSG ein zentraler Bestandteil der Datenschutzmaßnahmen einer Behörde. Dies beinhaltet eine detaillierte Beschreibung der Verarbeitungszwecke, der Kategorien personenbezogener Daten, der betroffenen Personengruppen sowie der Empfänger der Daten und weiteres.

Was hat es mit dem Fit-Store-Muster-AVV auf sich?

Die FITKO hat eine „FIT-Store-Muster-AVV“ für die Auftragsverarbeitung von Online-Diensten, die aus dem FIT-Store bezogen werden, in Abstimmung mit der Konferenz der deutschen Datenschutzbehörden (UAG der DSK) erarbeitet. Dabei ist es angedacht, dass der Muster-AVV zwischen dem dienstbetreibenden IT-Dienstleister des umsetzenden Landes und jeder nachnutzenden Behörde zu schließen ist. Die Lösung wird bereits von mehreren Ländern genutzt und wurde von den Datenschutzaufsichtsbehörden positiv aufgenommen.

Was ändert sich mit dem OZG 2.0?

Das OZG 2.0 führt zu einer differenzierten Betrachtung der datenschutzrechtlichen Verantwortlichkeit, die den verschiedenen Phasen der Datenverarbeitung von Online-Diensten Rechnung trägt: von der Bereitstellung und dem Transport der Daten bis hin zur Verarbeitung im Verwaltungsverfahren. Die Verantwortlichkeit wechselt dabei von zentralen Stellen der Länder zu den jeweiligen ausführenden Behörden, sobald die Daten übermittelt werden.
Diese strukturierte Trennung der Verantwortlichkeiten bedeutet, dass sowohl die zentralen Stellen als auch die zuständigen Behörden jeweils ihre eigenen datenschutzrechtlichen Pflichten erfüllen und die Rechte der Betroffenen wahren müssen. Dies hat direkte Auswirkungen auf die Gestaltung von AVV, da die Verträge die geteilten Verantwortlichkeiten und spezifischen Datenschutzanforderungen in diesem neuen Rahmen reflektieren müssen.


Kontakt bei weiteren Fragen:

Für allgemeine Anfragen können Sie sich gern per E-Mail an ozg@tfm.thueringen.de wenden.