25. Mai 2018: Hinweise zur Datenschutz-Grundverordnung (DSGVO)

Wiesbaden. Die Datenschutz-Grundverordnung (DSGVO) ist am Freitag, den 25. Mai 2018 gültig geworden. Daher haben wir das Impressum des VEMAGS®-Portals entsprechend erweitert und um eine Datenschutzerklärung ergänzt, die Sie am Ende jeder Seite aufrufen können.

An dieser Stelle möchten wir Sie darüber hinaus auszugsweise über die mit dem Gültigwerden der DSGVO verbundenen Veränderungen und Regelungen informieren, ohne den „Informationspflichten bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ (siehe Artikel 13 der DSGVO) vorzugreifen. Dies ist Inhalt der Nutzungsbedingungen VEMAGS®, die wir Ihnen zeitnah in einem weiteren Beitrag hier im Portal vorstellen werden.

Die Rechtsnormen, auf denen das Antrags- und Genehmigungsverfahren für Großraum- und Schwertransporte (GST) beruht, geben vor, dass und dabei welche personenbezogenen Daten zu verarbeiten sind. Unter Verarbeitung zählt die DSGVO das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (siehe Artikel 4 „Begriffsbestimmungen“).

„Verantwortlicher“ gemäß Artikel 4 der DSGVO ist die bei Hessen Mobil angesiedelte Projektleitung VEMAGS®, die sich externer Dienstleister als „Auftragsverarbeiter“ bedient. Diese verarbeiten im Auftrag des Verantwortlichen die personenbezogenen Daten bzw. unterstützen die Projektleitung VEMAGS® bei ihren Aufgaben. Auf der Seite Partner finden Sie diese drei Dienstleister:

  • der Technische Betreiber VEMAGS®,
  • das VEMAGS®-Fach-Team und
  • das VEMAGS®-Technik-Team.

Dabei gelten die „Grundsätze für die Verarbeitung personenbezogener Daten“ (siehe Artikel 5 der DSGVO). Die „Rechtmäßigkeit der Verarbeitung“ (siehe Artikel 6 der DSGVO) wird über die Einwilligung zur Verarbeitung der Sie betreffenden personenbezogenen Daten über das Akzeptieren der Nutzungsbedingungen im Zuge der Registrierung (für Antragsteller) bzw. Einrichtung (für Behörden und die im Fachverfahren über die Anhörung zu beteiligenden Institutionen) unter Beachtung der „Bedingungen für die Einwilligung“ (siehe Artikel 7 der DSGVO) gewährleistet.

Verzeichnis von Verarbeitungstätigkeiten gemäß Artikel 30 der DSGVO
Für die Anwendung VEMAGS® haben wir ein „Verzeichnis von Verarbeitungstätigkeiten“ erstellt. Hierzu sind der „Verantwortliche“ und der „Auftragsverarbeiter“ verpflichtet. Diese Verzeichnisse werden der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt und sind somit nicht wie früher „öffentlich“.
Falls Sie aufgrund der für Sie geltenden Bestimmungen Ihrerseits zum Erstellen eines „Verzeichnis von Verarbeitungstätigkeiten“ (bisher auch als „Verfahrensverzeichnis“ bekannt) verpflichtet sind, möchten wir Sie mit den nachfolgenden, zentralen Punkten hierbei unterstützen:

  • Die Projektleitung VEMAGS® stellt die eGovernment-Anwendung VEMAGS® Verfahrensmodul – im Folgenden als „Anwendung VEMAGS®“ bezeichnet – öffentlichen und privatwirtschaftlichen Anwendern nach Maßgabe der Nutzungsbedingungen VEMAGS® zur Verfügung. Sie ist im Sinne des Datenschutzes die verantwortliche Stelle. Mit VEMAGS® können Antrags- und Genehmigungsverfahren (darunter fallen Erlaubnisse und Ausnahmegenehmigungen) für Großraum- und Schwertransporte bundesweit und gesetzeskonform nach §§ 29 (3) und 46 (1) Nr. 5 in Verbindung mit Nr. 2 StVO abgewickelt werden.
  • Begrifflich wird in der Anwendung VEMAGS® zwischen „Anwender“ und „Benutzer“ unterschieden. Anwender ist die Organisation (das Unternehmen, die Behörde, die Privatperson), die sich der Anwendung VEMAGS® bedienen möchte. Benutzer ist die natürliche Person innerhalb des Anwenders, die tatsächlich mit der Anwendung VEMAGS® arbeitet. Beide, Anwender wie Benutzer, werden in den Nutzungsbedingungen als „Nutzer“ bezeichnet.
  • Der Nutzer ist nicht berechtigt, auf andere Bereiche innerhalb der Anwendung VEMAGS®, für die er nicht als Berechtigter benannt ist, zuzugreifen. Dies wird durch die Anwendung VEMAGS® sichergestellt.
  • Es werden nur die für die Durchführung und Abwicklung der Dienste und Dienstleistungen von VEMAGS® erforderlichen personenbezogenen Daten des Nutzers und dies ausschließlich nach Maßgaben des Landesdatenschutzgesetzes des Landes, in dem die Projektleitung VEMAGS® als verantwortliche Stelle angesiedelt ist, dem Bundesdatenschutzgesetz BDSG (neu) und der EU-Datenschutzgrundverordnung erhoben und verarbeitet.
  • Der Nutzer willigt mit der Annahme der Nutzungsbedingungen in die Teilnahme an der Anwendung VEMAGS® ein. Die Daten werden ausschließlich für die Abwicklung der vorab beschriebenen Antrags- und Genehmigungsverfahren verwendet.
  • ZU BEACHTEN: Möchte eine EGB einen Antragsvorgang für einen Antragsteller initiieren, indem sie einen Antrag in der Anwendung für diesen Antragsteller erfasst (z.B. weil dieser den Antrag per Fax an die EGB übermittelt hat), muss die EGB hierfür die Einwilligung des Antragstellers einholen (es gilt Artikel 6 in Verbindung mit Artikel 7 der DSGVO).
  • WICHTIG: Die Nutzer können allenfalls deren Regelungen (im Sinne der DSGVO fallen hierunter auch die technischen und organisatorischen Maßnahmen, die die Nutzer ergreifen) für die Nutzung der Anwendung VEMAGS® beschreiben, da sie ja nicht die Anwendung VEMAGS® „bereitstellen oder betreiben“. Ein Beispiel für solche technische und organisatorische Maßnahmen (TOM) sind z.B. Arbeitsanweisungen, dass die Benutzer den Rechner sperren müssen, sobald der Arbeitsplatz verlassen wird oder Schutz- und Verwahrregelungen für Passwörter.

Nutzungsbedingungen VEMAGS®
Die bestehenden Nutzungsbedingungen werden bezüglich der seit heute gültigen DSGVO klarer formuliert. Dabei stellen wir das Akzeptieren der Nutzungsbedingungen von anwenderbezogen auf benutzerbezogen (Menschen, die einen Zugang über Anmeldedaten haben) um.

Verträge zur Auftragsverarbeitung gemäß Artikel 28 der DSGVO
Mit den für VEMAGS® tätigen Dienstleistern haben wir Verträge zur Auftragsverarbeitung abgeschlossen.

Nutzerfragen zu VEMAGS® und der DSGVO
Wiederholt erhielten wir Nutzeranfragen zur Erfordernis eines Auftragsverarbeitungs-Vertrages zwischen VEMAGS®-Nutzern und der Projektleitung VEMAGS® als der für die Anwendung VEMAGS® datenschutzrechtlich verantwortlichen Stelle.
Gemäß der vorgenannten Regelungen der DSGVO besteht das Erfordernis solcher Verträge zur Auftragsverarbeitung ausschließlich zwischen dem „Verantwortlichen“ (der Projektleitung VEMAGS®) und dem/den „Auftragsverarbeiter/n“ (siehe Verweis auf unsere Partner weiter oben in diesem Beitrag).
Die Nutzer der Anwendung VEMAGS® werden im Zuge der Initiierung und Bearbeitung der Antrags- und Genehmigungsverfahren nicht als Auftragsverarbeiter im Auftrag der Projektleitung VEMAGS® tätig, sondern in deren jeweiliger Rolle in den Antragsvorgängen gemäß der für sie geltenden Rechtsnormen nach Bundes- und Landesrecht.

Wir werden Sie auch weiterhin über die aktuellen Entwicklungen informieren.