Zum Hauptinhalt springen

Datenschutz

Erstellt am: 12. März 2026 | Zuletzt geändert: 12. März 2026 | Autor: Matthias, Enrico (GitLab)

Ziel des Dokuments: Dieses Dokument beschreibt die datenschutzrechtlichen Anforderungen, die bei der Entwicklung und dem Betrieb aller Systeme innerhalb der öffentlichen Verwaltung eingehalten werden müssen. Grundlage sind die DSGVO (EU 2016/679) sowie ergänzende nationale Datenschutzgesetze (BDSG, Landesdatenschutzgesetze). Weiterführende Sicherheitsaspekte finden sich im Dokument Sicherheit und Compliance.

star Grundsätze der datenschutzkonformen Systemgestaltungfeedback

Die Einhaltung des Datenschutzes ist kein nachgelagertes "Checkbox-Thema", sondern muss als "Privacy by Design and Default" von Beginn an in den Architekturentwurf einbezogen werden.

DSGVO-Compliance verpflichtet alle Systeme, die personenbezogene Daten verarbeiten, zur Einhaltung der Grundsätze der Datensparsamkeit, Zweckbindung und Speicherbegrenzung. Jede Erhebung oder Verarbeitung personenbezogener Daten muss auf einer eindeutigen Rechtsgrundlage beruhen (Art. 6 DSGVO). Im Kontext von Behördenregistern und OOTS-gespeisten Datenaustauschen ist insbesondere die Registermodernisierung und die Nationale Once-Only-Architektur (NOA) zu berücksichtigen.

Datensicherheit erfordert angemessene technische und organisatorische Maßnahmen (TOMs) zum Schutz personenbezogener Daten vor unberechtigtem Zugriff, Verlust oder Missbrauch (Art. 32 DSGVO). Dazu zählen Ende-zu-Ende-Verschlüsselung, rollenbasierte Zugriffskontrollen sowie eine vollständige Auditierbarkeit aller Datenzugriffe. Die technischen Grundlagen hierfür legt die Zero-Trust-Architektur.

Benutzerrechte müssen technisch durchsetzbar und barrierefrei zugänglich sein. Menschen haben das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) und Datenübertragbarkeit (Art. 20 DSGVO). Systeme sind daher so zu gestalten, dass diese Rechte ohne unverhältnismäßigen technischen Aufwand systemseitig bedient werden können.

Transparenz gegenüber Bürgerinnen und Bürgern ist ein zentrales Gebot der DSGVO. Alle Datenverarbeitungsprozesse müssen in verständlicher, leicht zugänglicher Sprache dokumentiert und kommuniziert werden. Besondere Berücksichtigung verdient hier das behördenweite Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO.