Verordnung des Sozialministeriums und des Innenministeriums über die Verarbeitung personenbezogener Daten im Rahmen der Corona-Verordnung Datenverarbeitung durch das Landesgesundheitsamt für die Gesundheitsämter und die Ortspolizeibehörden (Corona-Verordnung Auftragsverarbeitung – CoronaVO Auftragsverarbeitung)
Vom 16. Juni 2020
Auf Grund von § 32 Sätze 1 und 2, § 28 Absatz 1 Sätze 1 und 2 des Infektionsschutzgeset-zes vom 20. Juli 2000 (BGBl. S. 1045), das zuletzt durch Artikel 1 des Gesetzes vom 27. März 2020 (BGBL. S. 587) geändert worden ist, in Verbindung mit § 8 Abs. 2 der Corona-Verordnung (CoronaVO) vom 9. Mai 2020, die zuletzt durch Verordnung vom 9. Juni 2020 (notverkündet gemäß § 4 Satz 1 des Verkündungsgesetzes) geändert worden ist, in Verbindung mit § 3 Absatz 1 und 2 der Corona-Verordnung Datenverarbeitung (CoronaVO Datenverarbeitung) vom 4. Mai 2020 (GBl. S. 276) wird verordnet:
(1) Im Rahmen des Bereitstellungs- und Abfrageverfahrens nach §§ 1 und 2 CoronaVO Datenverarbeitung verarbeitet das Landesgesundheitsamt (Auftragnehmer) für die Gesundheitsämter und für die Ortspolizeibehörden (jeweils einzeln Auftraggeber) personenbezogene Daten in deren Auftrag und nach deren Weisung. Der Auftrag umfasst die Einrichtung eines automatisierten Verfahrens für die Bereitstellung und Abfrage von personenbezogenen Daten durch die Gesundheitsämter, die Ortspoli-zeibehörden und den Polizeivollzugsdienst für die in §§ 1 und 2 CoronaVO Datenverarbeitung genannten Zwecke. Die dabei vom Auftragnehmer für die Auftraggeber durchgeführte Verarbeitung personenbezogener Daten im Sinne von Artikel 4 Nummer 2 und Artikel 28 Datenschutz-Grundverordnung (DS-GVO) erfolgt auf Grundlage dieser Verordnung. Die Auftraggeber sind hierbei Verantwortliche im Sinne von Artikel 4 Nummer 7 DS-GVO, der Auftragnehmer ist Auftragsverarbeiter im Sinne von Artikel 4 Nummer 8 DS-GVO.
(2) Im Rahmen der Durchführung des Bereitstellungs- und Abfrageverfahrens erhält der Auftragnehmer Zugriff auf die in § 1 Absatz 2 und 3, § 2 Absatz 1 Nummer 1 bis 3 der CoronaVO Datenverarbeitung genannten personenbezogenen Daten der ebenfalls in § 1 Absatz 2 und 3, § 2 Absatz 1 Nummer 1 bis 3 der CoronaVO Datenverarbeitung festgelegten betroffenen Personen.
(3) Die Erbringung der Datenverarbeitung findet ausschließlich in der Bundesrepublik Deutschland statt.
Die Auftraggeber sind im Rahmen dieser Verordnung für die Einhaltung der gesetzlichen Bestimmungen der Datenschutzgesetze, insbesondere für die Rechtmäßigkeit der Datenverarbeitung gemäß Artikel 6 Absatz 1 DS-GVO sowie für die Wahrung der Rechte der betroffenen Personen nach den Artikeln 12 bis 23 DS-GVO verantwortlich. Die Auftraggeber sind berechtigt, sich vor Beginn der Verarbeitung und sodann regelmäßig in angemessener Weise sowie bei besonderem Anlass von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie der in dieser Verordnung und der CoronaVO Datenverarbeitung festgelegten weiteren Verpflichtungen zu überzeugen. Der Auftragnehmer ist hierbei verpflichtet, den Auftraggebern auf Anforderung die erforderlichen Auskünfte zu erteilen, die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie Überprüfungen und Inspektionen vor Ort zu ermöglichen. Der Auftragnehmer hat, soweit erforderlich, bei diesen Kontrollen unterstützend mitzuwirken. Die Auftraggeber informieren den Auftragnehmer unverzüglich, wenn sie Fehler oder Unregelmäßigkeiten bei der Prüfung der Auftragsergebnisse feststellen.
(1) Der Auftragnehmer verarbeitet die Daten ausschließlich auf Weisung der Auftraggeber. Einer solchen Weisung bedarf es nicht, soweit sich die Pflicht zur Datenverarbeitung unmittelbar aus der CoronaVO Datenverarbeitung oder dieser Verordnung ergibt.
(2) Der jeweilige Auftraggeber erteilt alle Aufträge, Teilaufträge und Weisungen in der Regel schriftlich oder in einem dokumentierten elektronischen Format. Mündliche Weisungen sind unverzüglich schriftlich oder in einem dokumentierten elektronischen Format zu bestätigen.
(3) Die Verpflichtung zur Datenverarbeitung nur nach Weisung gilt nicht, sofern der Auftragnehmer zu einer anderen Verarbeitung durch das Recht der Union oder der Bundesrepublik Deutschland verpflichtet ist (z. B. Ermittlungen von Strafverfolgungs- oder Staatsschutzbehörden). In einem solchen Fall teilt der Auftragnehmer dem jeweiligen Auftraggeber diese rechtlichen Anforderungen vor der Verarbeitung mit, sofern das betreffende Recht eine solche Mitteilung nicht wegen eines wichtigen öffentlichen Interesses verbietet. Der Auftragnehmer wird den jeweiligen Auftraggeber unverzüglich darauf aufmerksam machen, wenn eine vom Auftraggeber erteilte Weisung seiner Meinung nach gegen gesetzliche Vorschriften verstößt. Der Auftragnehmer ist berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Auftraggeber nach Überprüfung bestätigt oder geändert wird.
(4) Die Weisungen sind für ihre Geltungsdauer und anschließend entsprechend den jeweiligen gesetzlichen Aufbewahrungspflichten aufzubewahren.
(1) Der Auftragnehmer verwendet die zur Verarbeitung überlassenen personenbezoge-nen Daten für keine anderen, insbesondere nicht für eigene Zwecke.
(2) Der Auftragnehmer hat die Regelungen der DS-GVO und des Landesdatenschutzgesetzes, insbesondere auch zur Auftragsverarbeitung, in ihren jeweils geltenden Fassungen einzuhalten. Der Auftragnehmer hat in seinem Verantwortungsbereich allgemein die innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Der Auftragnehmer hat über die gesamte Einrichtung und Durchführung des automatisierten Bereitstellungs- und Abfrageverfahrens für die Auftraggeber regelmäßig angemessene Überprüfungen durchzuführen. Er ergreift insbesondere geeignete technische und organisatorische Maßnahmen nach Maßgabe des § 5.
(3) Der Auftragnehmer macht die bei der Durchführung der Arbeiten befassten Mitarbeitenden vor Aufnahme der Tätigkeit mit den für sie maßgebenden Bestimmungen des Datenschutzes vertraut und verpflichtet sie für die Zeit ihrer Tätigkeit wie auch nach Beendigung des Beschäftigungsverhältnisses in geeigneter Weise zur Verschwiegenheit. Dies umfasst auch die Belehrung über die in diesem Auftragsverar-beitungsverhältnis bestehende Weisungs- und Zweckbindung.
(4) Bei der Erfüllung der Rechte der betroffenen Personen nach Artikeln 12 bis 23 DS-GVO durch die Auftraggeber, an der Erstellung der Verzeichnisse von Verarbei-tungstätigkeiten sowie bei der Erfüllung der Pflichten aus Art. 32 und 35 f. DS-GVO hat der Auftragnehmer im notwendigen Umfang mitzuwirken und die Auftraggeber soweit möglich angemessen zu unterstützen. Insbesondere unterstützt er nach Möglichkeit durch geeignete technische und organisatorische Maßnahmen die Auftraggeber dabei, ihrer Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III der DS-GVO genannten Rechte der betroffenen Person nachzukommen. Macht eine betroffene Person solche Rechte unmittelbar gegenüber dem Auf-tragnehmer geltend, so reagiert dieser nicht selbstständig, sondern verweist die betroffene Person unverzüglich an den jeweiligen Auftraggeber und wartet dessen Weisungen ab.
(5) Der Auftragnehmer hat personenbezogene Daten aus dem Auftragsverhältnis zu berichtigen, zu löschen oder deren Verarbeitung einzuschränken, wenn einer der Auftraggeber dies mittels einer Weisung verlangt und berechtigte Interessen des Auftragnehmers dem nicht entgegenstehen.
(6) Der Auftragnehmer teilt den Auftraggebern unverzüglich Störungen, Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen datenschutzrechtliche Bestimmungen oder die im Auftrag getroffenen Festlegungen sowie den Verdacht auf Datenschutzverletzungen oder Unregelmäßigkeiten bei der Verarbeitung personenbezogener Daten mit. Dies gilt vor allem im Hinblick auf eventuelle Melde- und Benachrichtigungspflichten der Auftraggeber nach Artikel 33 und Artikel 34 DS-GVO. Der Auftragnehmer hat den jeweiligen Auftraggeber erforderlichenfalls bei sei-nen Pflichten nach Artikel 33 und 34 DS-GVO angemessen zu unterstützen.
(1) Es wird für die konkrete Auftragsverarbeitung ein dem Risiko für die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen angemessenes Sicher-heitsniveau gewährleistet. Der Auftragnehmer trifft dazu alle erforderlichen technischen und organisatorischen Maßnahmen gemäß Artikel 32 DS-GVO, um die Daten der Auftraggeber unter Berücksichtigung des aktuellen Stands der Technik ange-messen zu schützen und Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste von Beginn an und auf Dauer sicherzustellen. Dabei sind neben dem Stand der Technik die Implementierungskosten und die Art, der Umfang und die Zwecke der Verarbeitung sowie die unterschiedliche Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen im Sinne von Artikel 32 Absatz 1 DS-GVO zu berücksichtigen.
(2) Insbesondere sind folgende Maßnahmen zu ergreifen:
- Alle im Rahmen des Bereitstellungs- und Abfrageverfahrens anfallenden Daten-übermittlungen zwischen dem Auftragnehmer und den in § 1 Absatz 1 Satz 2 dieser Verordnung genannten Stellen haben nach dem aktuellen technischen Verfahrensstand im Wege der Ende-zu-Ende-Verschlüsselung zu erfolgen.
- Voraussetzung für die Bereitstellung und die Abfrage ist eine sichere Authentifi-zierung der jeweils handelnden Dienststelle und der handelnden Person. Der Login erfolgt über eine zentrale Plattform.
- Der Neu-Eintrag und jede Veränderung eines Datensatzes (schreibender Zugriff) wird mit Zeitpunkt, Benutzernamen und IP-Adresse sowie GUID des Eintrags protokolliert. Jede Abfrage wird von Seiten des Auftragnehmers für die Stelle, von der Daten abgefragt werden, mit Zeitpunkt, Benutzernamen IP-Adresse und Inhalt der Abfrage sowie im Trefferfall GUID des abgerufenen Eintrags, im Falle der Abfrage durch den Polizeivollzugsdienst ergänzend mit Namen des Abfragenden und Abfragegrund, protokolliert. Die Protokollierungspflichten der abfra-genden Stelle aus § 3 Absatz 2 Satz 2 und 3 CoronaVO Datenverarbeitung bleiben unberührt.
- Der Abfragegrund muss jeweils so protokolliert werden, dass eine effektive nachträgliche Überprüfung ermöglicht wird, ob die Abfragevoraussetzungen vorlagen.
- Die Protokolldaten werden verschlüsselt gespeichert und insbesondere vor un-berechtigter Kenntnisnahme und Veränderung angemessen geschützt. Sie sind beim Auftragnehmer nach Mandanten getrennt und passwortgeschützt abzule-gen. Die beim Auftragnehmer gespeicherten Protokolldaten sind dem Auftragge-ber ausschließlich zu den in § 3 Absatz 2 Satz 7 CoronaVO Datenverarbeitung genannten Zwecken einschließlich des Zwecks der Durchführung von Kontrollen und Überprüfungsmaßnahmen nach § 2 dieser Verordnung zugänglich zu machen. Der Auftragnehmer erstellt mindestens einmal wöchentlich für die Auftraggeber Berichte mit täglich aggregierten Nutzungsstatistiken insbesondere über Häufigkeit und Art der Abfragen der von dem Auftraggeber eingestellten Daten je abrufender Stelle. Die Berichte sind so zu gestalten, dass sie eine angemessene Missbrauchskontrolle darstellen.
(1) Nimmt der Auftragnehmer die Dienste von Subunternehmern in Anspruch, um bestimmte Verarbeitungstätigkeiten im Namen der Auftraggeber auszuführen, so hat er diese sorgfältig nach Eignung und Zuverlässigkeit auszuwählen und sie entsprechend den Regelungen dieser Verordnung zu verpflichten und dabei sicherzustellen, dass der Auftraggeber seine Rechte aus dieser Verordnung (insbesondere seine Prüf- und Kontrollrechte) wahrnehmen kann. Hierbei müssen insbesondere hinreichende Garantien dafür geboten werden, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den datenschutzrechtlichen Vorgaben erfolgt. Das Unterauftragsverhältnis kann vorsehen, dass der Auftraggeber dem Subunternehmer unmittelbar Weisungen erteilen kann. Für diese gelten die Regelungen des § 3 entsprechend.
(2) Der Auftragnehmer hat den Auftraggebern das Unterauftragsverhältnis und die Person des Subunternehmers spätestens unverzüglich nach Eingehung des Unterauftragsverhältnisses anzuzeigen. Der Auftragnehmer haftet gegenüber den Auftraggebern für die Einhaltung der Pflichten des Subunternehmers.
(3) Ein Subunternehmer darf keine Unteraufträge zur Auftragsdatenverarbeitung erteilen.
Die Speicherung der Protokolldaten nach § 5 Absatz 2 Nr. 5 erfolgt für zwei Jahre, sofern nicht im Einzelfall eine längere Speicherung für einen der in § 3 Absatz 2 Satz 7 CoronaVO Datenverarbeitung genannten Zwecke erforderlich ist. Im Anschluss sind die Protokollda-ten sowie etwaige Kopien datenschutzgerecht zu löschen oder löschen zu lassen.
Diese Verordnung tritt am Tag nach ihrer Verkündung in Kraft. Sie tritt an dem Tag außer Kraft, an dem die CoronaVO Datenverarbeitung außer Kraft tritt.
Stuttgart, den 16. Juni 2020
Lucha
Strobl