Datenschutz

Feststellung des Schutzbedarfes der im Auftrag zu verarbeitenden Daten

→  Art. 5 Abs. 1 lit. f, Art. 5 Abs. 2 DSGVO

→  Art. 25 Abs. 1 ff. DSGVO

→  Art. 32 Abs. 1, Abs. 2 DSGVO

→ Art. 35 DSGVO

Eine grundlegende Schutzbedarfsfeststellung wurde exemplarisch durch das Projekt im Auftrag von Nordrhein-Westfalen pro Onlinedienst durchgeführt.

Ergebnis: „Schutzbedarf: hoch“

Es wird den datenschutzrechtlich Verantwortlichen empfohlen, diese Schutzbedarfsfeststellung zu prüfen und sich zu eigen zu machen.

Einhaltung von Löschfristen und zulässiger Speicherdauer auf Anwendungsebene

→  Art. 5 Abs. 1 lit. b DSGVO  (Zweckbindung)

→  Art. 5 Abs. 1 lit. e DSGVO  (Zweckbindung)

→  Art. 17 Abs. 1 lit. a, b,  DSGVO

Antragstellende Personen können jederzeit die Daten manuell löschen.

Antragstellende Personen haben die Möglichkeit, die eingegebenen Daten zwischenspeichern zu lassen. Das Projekt hat sich auf eine Dauer von 14 Tagen verständigt. Nach Ablauf der 14 Tage werden die Daten gelöscht.

Die Daten werden spätestens unmittelbar nach Absenden des Antrags auf der OSI-Infrastruktur gelöscht.

Die genaue Leistung wird durch den Auftragsverarbeitungsvertrag mit Dataport geregelt.

Prüfung der Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten

→  Art 6 Abs. 1-4 DSGVO i.V. m. Art. 28 Abs. 3 DSGVO

Die Rechtsgrundlage der Daten-verarbeitung folgt aus den §§ 67 ff. SGB X.

Daten dürfen nach § 67a SGB X erhoben werden, wenn ihre Kenntnis zur Erfüllung einer Aufgabe des öffentlichen Sozialleistungsträgers nach dem SGB erforderlich ist.

Nähere Details können der, durch Nordrhein-Westfalen erstellten, exemplarischen Datenschutzfolgeabschätzung (DSFA) im Kapitel 3.2 entnommen werden.

Es wird den datenschutzrechtlich Verantwortlichen empfohlen, diese DSFA zu prüfen und sich zu eigen zu machen.

Einholung und Dokumentation von Einwilligungserklärungen, Widerrufserklärungen und erforderlichen Maßnahmen im Falle eines Widerrufs

→ Art. 7 Abs. 1 ff. DSGVO

→ EWG 32 S. 1  DSGVO

→ EWG 42 DSGVO

→ EWG 43 DSGVO

Die Einwilligungserklärung inkl. der Informationen zum Datenschutz wird im Onlineantrag Wohngeld vor Beginn des Eingabeprozesses eingeblendet und abgefordert.

Maßnahmen zur Wahrung der Rechte der betroffenen Personen

→ Art. 12 DSGVO

→ Art. 13 - 21 DSGVO

Die betroffenen Personen werden zu Beginn der Antragsbearbeitung durch die Datenschutzhinweise über alle relevanten Punkte informiert.

Angabe von für die Verarbeitung im Auftrag maßgeblichen Datenschutzanforderungen

→ Art. 28 Abs. 3 lit. a – h DSGVO

Die Daten werden für festgelegte, eindeutige und legitime Zwecke verarbeitet. Die Daten, die erhoben werden, sind dem Zweck angemessen und auf das notwendige Maß beschränkt.

Eine Einzelaufstellung der verarbeitenden Daten ergibt sich aus dem Dokument „FIM-Stammdaten“.

Dokumentation der zum Schutz der Daten getroffenen Maßnahmen

→ Art. 30 Abs. 1 lit. f und g DSGVO

→ Art. 5 Abs. 2 DSGVO

Die Sicherheitskonzeption von Dataport für den Online-Dienst gewährleistet „Schutzbedarf: hoch“. Dies wurde im Auftrag des Landes Nordrhein-Westfalen durch das unabhängige externe Dienstleistungsunternehmen „Datenschutz Nord“ bestätigt.  

Erstellen und Aktualisierung eines Verzeichnisses aller Verarbeitungstätigkeiten

→ Art. 30 DSGVO

Der datenschutzrechtlich Verantwortliche innerhalb der Vollzugsbehörde führt ein Verzeichnis aller Verarbeitungstätigkeiten.

Prüfung Datenschutz-Folgeabschätzung

→ Art. 35 Abs. 1, 3 und 4 DSGVO

→ Art. 35 Abs. 7 ff. DSGVO

In diesem Kontext wurde eine Schwellwertanalyse durch das Projekt im Auftrag des Landes Nordrhein-Westfalen durchgeführt.

Diese ergab die Notwendigkeit einer Datenschutzfolgeabschätzung (DSFA).

Zur DSFA wurde ebenfalls eine Risikoanalyse und Umfeldanalyse erstellt.