vom 3. April 2001
Landesverordnung über ein Datenschutzaudit (Datenschutzauditverordnung DSAVO) vom 3. April 2001
GVOBl Schl.-H. 4/2001, S. 51, GS Schl.-H. II, Gl. Nr. 204-4-2
Inhaltsübersicht
Aufgrund des § 4 Abs. 2 Landesdatenschutzgesetz (LDSG) vom 9. Februar 2000 (GVOBl. Schl.-H. S. 169) verordnet die Landesregierung:
§ 1 Zertifizierung von IT-Produkten
(1) Informationstechnische Produkte (IT-Produkte) werden auf Antrag der Hersteller- oder Vertriebsfirmen vom Unabhängigen Landeszentrum für Datenschutz zertifiziert, wenn das IT -Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht. Das Zertifikat kann befristet werden. Es kann widerrufen werden, wenn die Voraussetzungen für die Erteilung nicht mehr vorliegen.
(2) IT-Produkte im Sinne dieser Verordnung sind Hardware, Software und automatisierte Verfahren, die zur Nutzung durch öffentliche Stellen geeignet sind.
(3) Zertifizierte Produkte können durch ein Gütezeichen nach der Anlage zu dieser Verordnung gekennzeichnet werden. Die Anlage ist Bestandteil dieser Verordnung. Das Gütezeichen muss die Registrierungsnummer und im Falle der Befristung die Gültigkeitsdauer enthalten. Das graphische Symbol darf die in der Anlage dargestellte Mindestgröße nicht unterschreiten.
(4) Das Unabhängige Landeszentrum für Datenschutz führt ein Register über alle zertifizierten IT-Produkte, das dort eingesehen oder in geeigneter Weise veröffentlicht werden kann.
§ 2 Verfahren
(1) Voraussetzung für einen Antrag nach § 1 Abs. 1 ist die Überprüfung des IT-Produktes durch hierfür vom Unabhängigen Landeszentrum für Datenschutz anerkannte Sachverständige nach § 3. Die Sachverständigen sind von den Hersteller- oder Vertriebsfirmen zu beauftragen.
(2) Erfüllt ein IT-Produkt nach den Feststellungen der oder des
Sachverständigen die datenschutzrechtlichen Anforderungen legen
die Antragstellerin oder der Antragsteller das entsprechende
Gutachten mit einer schriftlichen Dokumentation der Prüfung dem
Unabhängigen Landeszentrum für Datenschutz mit folgenden Angaben
vor:
Zeitpunkt der Prüfung,
detaillierte Bezeichnung des IT-Produktes,
Zweck und Einsatzbereich,
besondere Eigenschaften des IT-Produktes, insbesondere zur
Datenvermeidung und Datensparsamkeit (§ 4 Abs. 1 und § 11 Abs. 4
und 6 LDSG), Datensicherheit und Revisionsfähigkeit der
Datenverarbeitung (§§ 5 und 6 LDSG), Gewährleistung der Rechte
der Betroffenen (§§ 26 bis 30 LDSG)
Bewertung der besonderen Eigenschaften,
Zusammenfassung der Prüfung zum Zweck der Veröffentlichung durch
das Unabhängige Landeszentrum für Datenschutz.
Das Unabhängige Landeszentrum für Datenschutz kann ergänzende
Angaben und die Vorlage des zu zertifizierenden IT-Produktes
anfordern.
§ 3 Anerkennung von Sachverständigen
(1) Das Unabhängige Landeszentrum für Datenschutz erteilt die Anerkennung zur oder zum Sachverständigen auf Antrag, wenn die erforderliche Fachkunde, Zuverlässigkeit und Unabhängigkeit nachgewiesen wird. Die Anerkennung kann fachlich beschränkt werden, wenn die Fachkunde nur für einen Teilbereich des Datenschutzes besteht.
(2) Liegen die Voraussetzungen für eine Anerkennung nach Abs. 1 nicht mehr vor, widerruft das Unabhängige Landeszentrum für Datenschutz die Anerkennung.
((3) Das Unabhängige Landeszentrum für Datenschutz führt eine Liste der anerkannten Sachverständigen, die auch fachliche Beschränkungen der Prüfungstätigkeit ausweist. Die Liste kann beim Unabhängigen Landeszentrum für Datenschutz eingesehen und in geeigneter Weise veröffentlicht werden.
§ 4 Gebühren
Das Unabhängige Landeszentrum für Datenschutz kann für die ihm durch diese Verordnung übertragenen Aufgaben Gebühren nach Maßgabe einer Gebührenordnung erheben.
§ 5 Inkrafttreten
Diese Verordnung tritt am Tage nach ihrer Verkündung in Kraft.