Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 - im Folgenden als "Verordnung" bezeichnet - hat seit dem 25. Mai 2018 einen neuen rechtlichen Rahmen für den Schutz personenbezogener Daten eingeführt.
Mit gesetzesvertretendem Dekret vom 10. August 2018 Nr. 101 wurden die Bestimmungen der Verordnung übernommen und der Datenschutzkodex, der mit gesetzesvertretendem Dekret vom 30. Juni 2003, Nr. 196 geregelt war, novelliert.
Mit dem Landesgesetz vom 21. Juli 2022, Nr. 6, und dem Dekret des Landeshauptmanns vom 26. März 2024, Nr. 3, wurden die Funktionsweise und die Struktur der Verwaltungs- und Organisationsstruktur der Landesverwaltung geregelt, auch um eine ordnungsgemäße Umsetzung und Zuweisung der Aufgaben und Verantwortlichkeiten an die verschiedenen Führungsebenen sicherzustellen.
Die wichtigsten Neuerungen im Bereich Datenschutz sind im Wesentlichen mit der zentralen Bedeutung des Grundsatzes der Rechenschaftspflicht gemäß Art. 5 Abs. 2 der Verordnung ("Accountability") verbunden, was – laut der Datenschutzbehörde „ein proaktives Handeln, das den konkreten Erlass von Maßnahmen, welche die Anwendung der Verordnung gewährleisten, beweist” bedeutet.
Der genannte Grundsatz der Rechenschaftspflicht ist strukturell mit der organisatorischen Struktur der Landesverwaltung verbunden, die aus mehreren unterschiedlichen Organisationsstrukturen wie Abteilungen und Ämter besteht, in denen personenbezogene Daten im Rahmen der jeweiligen Zuständigkeitsbereiche verarbeitet werden.
Die Hilfskörperschaften mit eigener Rechtspersönlichkeit, verwaltungstechnischer, organisatorischer und buchhalterischer Autonomie gelten hingegen als eigenständige Verantwortliche für die Verarbeitung personenbezogener Daten hinsichtlich der ihnen zugewiesenen Aufgaben.
In der Landesverwaltung spielt das Verzeichnis der Verarbeitungstätigkeiten personenbezogener Daten eine entscheidende Rolle, da es ein wesentliches Instrument darstellt, um die Einhaltung der Verordnung und der geltenden Datenschutzbestimmungen sicherzustellen. Es ermöglicht, alle Verarbeitungstätigkeiten personenbezogener Daten, die von der Landesverwaltung durchgeführt werden, nachzuvollziehen, einschließlich der Zwecke, der Kategorien der verarbeiteten Daten, der Empfänger, der ergriffenen Sicherheitsmaßnahmen und der Aufbewahrungsfristen.
Um den Grundsatz der Rechenschaftspflicht und der Datensicherheit zu gewährleisten, hat die Landesverwaltung als Verantwortlicher bereits Folgendes umgesetzt:
1) die Weiterbildung der Mitarbeiterinnen und Mitarbeiter durch interne Schulungen gefördert,
2) einen eigenen Datenschutzbeauftragten (DSB) ernannt,
3) die Südtiroler Informatik AG. als Auftragsverarbeiter im Rahmen der im entsprechenden Rahmenvertrag festgelegten Dienstleistungen benannt,
4.) Anweisungen zur Unterstützung des internen Anpassungsprozesses und zur Gewährleistung der Konformität mit der Verordnung durch die Rundschreiben des Generaldirektors Nr. 4 vom 23. Mai 2018 und Nr. 5 vom 5. April 2023 erteilt,
5.) sich mit einem automatisierten Verzeichnis der Datenverarbeitungstätigkeiten ausgestatten,
6.) die Methode zur Durchführung der Datenschutz-Folgenabschätzung in das oben genannte Verzeichnis integriert, für den Fall, dass Verarbeitungen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen.
Im Rahmen der Formalisierung der bereits eingeführten organisatorischen Struktur, in Bezug auf die oben erwähnten bereits umgesetzten Maßnahmen, beabsichtigt die Landesverwaltung:
a) Leitlinien zum Schutz der personenbezogenen Daten einzuführen, um die Zuständigkeiten für die Datenverarbeitung je nach Sachgebiet und entsprechendem Zuständigkeitsbereich den zuständigen Personen klar zuzuweisen,
b) im Rahmen der Aufgaben der in Buchstabe a) genannten Personen die Vorgehensweise zur Bearbeitung von Anfragen zur Ausübung der Rechte in Bezug auf die eigenen personenbezogenen Daten durch die betroffenen Personen zu beschreiben und das entsprechende Ablaufdiagramm in Anhang Nr. 2 festzulegen;
c) der Direktor/die Direktorin der Abteilung Bereichsübergreifende Dienste ist aufgrund der übertragenen und delegierten Verwaltungsaufgaben für die die Erfüllung der Meldepflichten gegenüber der Datenschutzbehörde im Falle der Meldung einer Verletzung des Schutzes personenbezogener Daten (Data Breach), gemäß des im Anhang vorgesehenen Verwaltungsschemas Nr. 1, zuständig;
d) der Direktor/die Direktorin der Abteilung Bereichsübergreifende Dienste ist für die Förderung und Umsetzung angemessener Maßnahmen im Bereich des Datenschutzes sowie für die Erteilung der entsprechenden Anweisungen an die für die Datenverarbeitung betrauten Personen zuständig;
e) die Abteilung Informatik mit der Festlegung der Sicherheitsmaßnahmen für alle Aspekte im Bereich der Informationstechnologie zu betrauen;
f) Die vom Generaldirektor erteilten Anweisungen in den Rundschreiben gemäß Punkt 4 oben bleiben aufrecht, ausgenommen das Verfahren in Punkt 4 des Rundschreibens Nr. 4/2018.
Mit Schreiben vom 16.04.2024, Prot. 359617, hat der Datenschutzbeauftragte der Landesverwaltung den vorliegenden Beschlussentwurf positiv begutachtet.
Dies alles vorausgeschickt beschließt
DIE LANDESREGIERUNG
einstimmig und in gesetzmäßiger Form:
1. die folgenden Personen werden mit der Verarbeitung personenbezogener Daten in ihren jeweiligen Zuständigkeitsbereichen, Delegierungen und Fachgebieten betraut:
a) den Ressortdirektor/die Ressortdirektorin pro tempore für die dem Ressort zugewiesenen und delegierten Zuständigkeiten,
b) den Abteilungsdirektor/die Abteilungsdirektorin pro tempore oder den Direktor/die Direktorin pro tempore einer anderen entsprechenden Organisationseinheit, die als gleichwertig zur Abteilung angesehen wird, für die zugewiesenen und delegierten Zuständigkeiten,
c) den Amtsdirektor/die Amtsdirektorin pro tempore oder den Direktor/die Direktorin pro tempore einer anderen entsprechenden Organisationseinheit, die als gleichwertig zum Amt angesehen wird, für die jeweils zugewiesenen und delegierten Zuständigkeiten,
d) die Personen, denen strategische und/oder komplexe Sonderaufträge gemäß Artikel 10 und 11 des Landesgesetzes vom 21. Juli 2022, Nr. 6, erteilt wurden.
2. Der Direktor/die Direktorin der Abteilung Bereichsübergreifende Dienste ist für die Meldepflichten gegenüber der Datenschutzbehörde im Falle einer Verletzung des Schutzes personenbezogener Daten (Data Breach), gemäß dem beigefügten Verfahrensschema Anlage Nr. 1, das wesentlicher Bestandteil dieses Beschlusses bildet, zuständig.
3. Der Direktor/die Direktorin der Abteilung Bereichsübergreifende Dienste ist für die Förderung und die Umsetzung angemessener Maßnahmen im Bereich des Datenschutzes sowie für die Erteilung der entsprechenden Anweisungen an die mit der Verarbeitung betrauten Personen zuständig.
4. Die mit der Verarbeitung betrauten Personen zu beauftragen, das automatisierte Register insbesondere in Bezug auf die Verarbeitungstätigkeitsblätter und die Ernennungen der autorisierten Personen zu aktualisieren und, falls erforderlich, die Datenschutz-Folgenabschätzung (DPIA), durchzuführen sowie spezifische Anweisungen für die zulässige Verarbeitung im Rahmen der Ernennungen der oben erwähnten Personen bereitzustellen.
5. Den zuständigen Personen, die von der Landesverwaltung mit dem Abschluss von Dienstleistungsverträgen ermächtigt sind, die Ernennung von externen Personen oder Unternehmen als Auftragsverarbeiter mittels einer entsprechenden schriftlichen Beauftragung vorzubehalten.
6. Die mit der Verarbeitung betrauten Personen, deren Einrichtungen personenbezogene Daten außerhalb der Verwaltung zur Erfüllung einer öffentlichen Aufgabe oder zur Erfüllung einer gesetzlichen Verpflichtung übermitteln müssen, aufzufordern, zu überprüfen, ob der Empfänger ein gemeinsam für die Datenverarbeitung Verantwortlicher oder ein eigenständiger Verantwortlicher ist und entsprechende Vereinbarungen gemäß den geltenden Vorschriften abzuschließen.
7. Die Verantwortung für die Bearbeitung von Anträgen zur Ausübung der Rechte der betroffenen Personen gemäß den Artikeln 12 bis 22 der in der Einleitung erwähnten Verordnung unter den zuständigen Personen zu verteilen, gemäß dem im Anhang Nr. 2 festgelegten Verfahren, das wesentlicher Bestandteil dieses Beschlusses bildet.
8. Die Abteilung Informatik mit der Einrichtung eines angemessenen Systems zur Verwaltung der Sicherheit personenbezogener Daten im Einklang mit der in den Prämissen genannten Verordnung zu beauftragen.
9. Die Ernennung der Südtiroler Informatik AG. als Auftragsverarbeiter im Rahmen der Leistungen gemäß der entsprechenden Rahmenvereinbarung oder Dienstleistungsverträge zu bestätigen.
10. Die Hilfskörperschaften mit eigener Rechtspersönlichkeit, verwaltungstechnischer, organisatorischer und buchhalterischer Autonomie als eigenständige Verantwortliche für die Verarbeitung personenbezogener Daten hinsichtlich der ihnen zugewiesenen Aufgaben zu bestimmen.
11. Die vom Generaldirektor erteilten Anweisungen in den Rundschreiben gemäß Punkt 4 der Prämissen bleiben aufrecht, mit Ausnahme des Verfahrens in Punkt 4 des Rundschreibens Nr. 4/2018.