Landesverordnung über ein Datenschutzaudit (Datenschutzauditverordnung DSAVO)
vom 3. April 2001

GVOBl Schl.-H. 4/2001, S. 51, GS Schl.-H. II, Gl. Nr. 204-4-2

Inhaltsübersicht

Aufgrund des § 4 Abs. 2 Landesdatenschutzgesetz (LDSG) vom 9. Februar 2000 (GVOBl. Schl.-H. S. 169) verordnet die Landesregierung:

§ 1 Zertifizierung von IT-Produkten

(1) Informationstechnische Produkte (IT-Produkte) werden auf Antrag der Hersteller- oder Vertriebsfirmen vom Unabhängigen Landeszentrum für Datenschutz zertifiziert, wenn das IT -Produkt den Rechtsvorschriften über den Datenschutz und die Datensicherheit entspricht. Das Zertifikat kann befristet werden. Es kann widerrufen werden, wenn die Voraussetzungen für die Erteilung nicht mehr vorliegen.

(2) IT-Produkte im Sinne dieser Verordnung sind Hardware, Software und automatisierte Verfahren, die zur Nutzung durch öffentliche Stellen geeignet sind.

(3) Zertifizierte Produkte können durch ein Gütezeichen nach der Anlage zu dieser Verordnung gekennzeichnet werden. Die Anlage ist Bestandteil dieser Verordnung. Das Gütezeichen muss die Registrierungsnummer und im Falle der Befristung die Gültigkeitsdauer enthalten. Das graphische Symbol darf die in der Anlage dargestellte Mindestgröße nicht unterschreiten.

(4) Das Unabhängige Landeszentrum für Datenschutz führt ein Register über alle zertifizierten IT-Produkte, das dort eingesehen oder in geeigneter Weise veröffentlicht werden kann.

§ 2 Verfahren

(1) Voraussetzung für einen Antrag nach § 1 Abs. 1 ist die Überprüfung des IT-Produktes durch hierfür vom Unabhängigen Landeszentrum für Datenschutz anerkannte Sachverständige nach § 3. Die Sachverständigen sind von den Hersteller- oder Vertriebsfirmen zu beauftragen.

(2) Erfüllt ein IT-Produkt nach den Feststellungen der oder des Sachverständigen die datenschutzrechtlichen Anforderungen legen die Antragstellerin oder der Antragsteller das entsprechende Gutachten mit einer schriftlichen Dokumentation der Prüfung dem Unabhängigen Landeszentrum für Datenschutz mit folgenden Angaben vor:
Zeitpunkt der Prüfung,
detaillierte Bezeichnung des IT-Produktes,
Zweck und Einsatzbereich,
besondere Eigenschaften des IT-Produktes, insbesondere zur Datenvermeidung und Datensparsamkeit (§ 4 Abs. 1 und § 11 Abs. 4 und 6 LDSG), Datensicherheit und Revisionsfähigkeit der Datenverarbeitung (§§ 5 und 6 LDSG), Gewährleistung der Rechte der Betroffenen (§§ 26 bis 30 LDSG)
Bewertung der besonderen Eigenschaften,
Zusammenfassung der Prüfung zum Zweck der Veröffentlichung durch das Unabhängige Landeszentrum für Datenschutz.
Das Unabhängige Landeszentrum für Datenschutz kann ergänzende Angaben und die Vorlage des zu zertifizierenden IT-Produktes anfordern.

§ 3 Anerkennung von Sachverständigen

(1) Das Unabhängige Landeszentrum für Datenschutz erteilt die Anerkennung zur oder zum Sachverständigen auf Antrag, wenn die erforderliche Fachkunde, Zuverlässigkeit und Unabhängigkeit nachgewiesen wird. Die Anerkennung kann fachlich beschränkt werden, wenn die Fachkunde nur für einen Teilbereich des Datenschutzes besteht.

(2) Liegen die Voraussetzungen für eine Anerkennung nach Abs. 1 nicht mehr vor, widerruft das Unabhängige Landeszentrum für Datenschutz die Anerkennung.

((3) Das Unabhängige Landeszentrum für Datenschutz führt eine Liste der anerkannten Sachverständigen, die auch fachliche Beschränkungen der Prüfungstätigkeit ausweist. Die Liste kann beim Unabhängigen Landeszentrum für Datenschutz eingesehen und in geeigneter Weise veröffentlicht werden.

§ 4 Gebühren

Das Unabhängige Landeszentrum für Datenschutz kann für die ihm durch diese Verordnung übertragenen Aufgaben Gebühren nach Maßgabe einer Gebührenordnung erheben.

§ 5 Inkrafttreten

Diese Verordnung tritt am Tage nach ihrer Verkündung in Kraft.