Justizverwaltungsvorschriften

I.

 

Die Landesjustizverwaltungen haben folgende bundeseinheitliche Verwaltungsvorschrift für die Gerichtsvollzieher betreffend den Einsatz von Informationstechnik (Gerichtsvollzieherordnung für den Einsatz von Informationstechnik - GVO-IT) beschlossen:

 

 

Gerichtsvollzieherordnung für den Einsatz von Informationstechnik (GVO-IT)

 

 

Inhaltsübersicht

 

 

Erster Abschnitt

Elektronisches Datenverarbeitungssystem

 

 

§ 1

Anwendungsbereich und Anwendbarkeitszeitpunkt

 

(1) Die Generalakten, Sonderakten und Sammelakten (Akten) sowie Verzeichnisse und Geschäftsbücher werden ab dem in der landesspezifischen Ergänzungsbestimmung genannten Zeitpunkt und in dem dort bestimmten Umfang elektronisch geführt. Die nachfolgenden Bestimmungen sind ab diesem Zeitpunkt anwendbar.

 

(2) Generalakten und Sonderakten, die vor dem in der landesspezifischen Ergänzungsbestimmung genannten Zeitpunkt in Papierform angelegt wurden, können in Papierform weitergeführt werden.

 

 

§ 2

Allgemeine Anforderungen und Zulassung des eAkten-Systems

 

(1) Die Akten, Geschäftsbücher und Verzeichnisse (eAkte) sind mithilfe eines eAkten-Systems, das eine Software nach dem Stand der Technik zur technischen Unterstützung bei der Aufgabenerledigung (Fachanwendung) sowie zur Führung, Speicherung und Bearbeitung der eAkte umfasst, zu führen und aufzubewahren. Das IT-System zum Betrieb des eAkten-Systems umfasst die Gesamtheit der vom Gerichtsvollzieher eingesetzten Hard- und Software.

 

(2) Das eAkten-System gewährleistet insbesondere, dass

1. die eAkte benutzbar, lesbar und auffindbar ist (Verfügbarkeit),

2. die Funktionen des eAkten-Systems nur genutzt werden können, wenn sich der Benutzer dem System gegenüber identifiziert und authentisiert (Identifikation und Authentisierung),

3. die eingeräumten Benutzungsrechte im eAkten-System verwaltet werden (Berechtigungsverwaltung),

4. die eingeräumten Benutzungsrechte vom eAkten-System geprüft werden (Berechtigungsprüfung),

5. die Vornahme von Veränderungen und Ergänzungen der eAkte im eAkten-System protokolliert wird (Beweissicherung),

6. eingesetzte Datensicherungssysteme ohne Sicherheitsrisiken wiederhergestellt werden können (Wiederaufbereitung),

7. etwaige Verfälschungen der gespeicherten Daten durch Fehlfunktionen des Systems durch geeignete technische Prüfmechanismen rechtzeitig bemerkt werden können (Unverfälschtheit),

8. die Funktionen des eAkten-Systems fehlerfrei ablaufen und auftretende Fehlfunktionen unverzüglich gemeldet werden (Verlässlichkeit),

9. der Austausch von Daten im eAkten-System und bei Einsatz öffentlicher Netze sicher erfolgen kann (Übertragungssicherheit) und

10. die Vollständigkeit der eAktenführung sowie alle Bearbeitungsvorgänge in der eAkte nachvollzogen werden können (Nachvollziehbarkeit).

 

(3) Das eAkten-System bedarf der Zulassung, die durch die Landesjustizverwaltungen gemeinsam erteilt wird.

 

 

§ 3

eAktenablage

 

Durch die Landesjustizverwaltung wird ein System zur zentralen Speicherung von Kopien der Dokumente der Akte (Repräsentate), Geschäftsbücher und Verzeichnisse sowie der Strukturdaten, der Fachverfahrensdaten und weiterer Daten bereitgestellt, über das die Dienstaufsicht, der Prüfungsbeamte, der Bezirksrevisor als Prüfungsbeamter im Sinne des § 79 Absatz 5 der Gerichtsvollzieherordnung (GVO) und das Vollstreckungs- und Beschwerdegericht im Rahmen der Aufgabenwahrnehmung auf den Datenbestand zugreifen und über das auch die im Vertretungsfalle erforderlichen Datenzugriffe abgewickelt werden können (eAktenablage). Die Zugriffe auf die eAktenablage werden unter Angabe eines Grundes für den jeweiligen Datenzugriff protokolliert; die Protokolle sind auch für den Gerichtsvollzieher einsehbar. Zudem soll über die in der eAktenablage gespeicherten Repräsentate nebst Strukturdaten und weiterer Daten eine Rekonstruktion der eAkte möglich sein.

 

 

§ 4

Elektronische Kommunikation

 

(1) Der Gerichtsvollzieher hat einen sicheren Übermittlungsweg im Sinne des § 130a Absatz 4 der Zivilprozessordnung in der Fassung der Bekanntmachung vom 5. Dezember 2005 (BGBl. I S. 3202; 2006 I S. 431; 2007 I S. 1781), die zuletzt durch Artikel 1 des Gesetzes vom 24. Oktober 2024 (BGBl. 2024 I Nr. 328) geändert worden ist, zu eröffnen und bei einer geplanten Abwesenheit die Weiterleitung der eingehenden elektronischen Nachrichten an seinen Vertreter sicherzustellen. In besonderen Fällen, zum Beispiel bei einer ungeplanten Abwesenheit, übernimmt die Dienstaufsicht die Sicherstellung der Weiterleitung der eingehenden elektronischen Nachrichten an den Vertreter.

 

(2) In gleicher Weise hat der Gerichtsvollzieher ein ausschließlich dienstlich genutztes E-Mail-Postfach zu unterhalten. Andere E-Mail-Postfächer dürfen in dienstlichen Angelegenheiten nicht genutzt werden. E-Mails müssen zur elektronischen Akte genommen werden können.

 

(3) Für den Versand und Empfang von elektronischen Nachrichten über das gemäß Absatz 1 eröffnete Postfach kann auch ein für den OSCI-gestützten elektronischen Rechtsverkehr zugelassenes Drittprodukt eingesetzt werden, das die Anbringung des vertrauenswürdigen Herkunftsnachweises (VHN 2) ermöglicht.

 

(4) Sensible Informationen (Daten, die der amtlichen Verschwiegenheitspflicht unterfallen, insbesondere personenbezogene Daten, Geschäftsgeheimnisse usw.) dürfen in elektronischer Form nur über das gemäß Absatz 1 eröffnete Postfach übertragen werden.

 

 

§ 5

Allgemeine IT-Sicherheitsmaßnahmen

 

(1) Das IT-System ist in gesicherten Räumen aufzustellen, zu denen nur Berechtigte Zutritt haben. Außerhalb des Geschäftszimmers sind mobile Endgeräte als Teil des IT-Systems (insbesondere Laptops) während der Nichtbenutzung sorgfältig zu verwahren; insbesondere dürfen unbeaufsichtigte mobile Endgeräte nicht sichtbar in Kraftfahrzeugen aufbewahrt werden. Mobile Datenträger sowie die Festplatten von mobilen Endgeräten müssen verschlüsselt sein.

 

(2) Software ist auf dem IT-System nur entsprechend den Herstellervorgaben zu installieren und stets aktuell zu halten; insbesondere ist für Betriebssysteme, Firewalls und Virenscanner die Funktion zur automatischen Aktualisierung zu aktivieren. Andere Anwendungen sind regelmäßig auf Aktualität zu prüfen und gegebenenfalls zu aktualisieren. Etwaige Funktionen des Betriebssystems (zum Beispiel bei Microsoft Windows) zur Übertragung von Diagnose- und Nutzungsdaten müssen, soweit technisch möglich, deaktiviert werden, ebenso nicht zugelassene Cloud- oder nicht benötigte Onlinefunktionen (wie zum Beispiel OneDrive, Sprachassistent Cortana).

 

(3) Die im IT-System verfügbaren Schutzmechanismen, insbesondere ein integrierter Viren- und Bedrohungsschutz oder eine Firewall, sind zu aktivieren und möglichst restriktiv zu konfigurieren. Nur für den Fall, dass keine integrierten Schutzmechanismen zur Verfügung stehen, müssen Viren- und Bedrohungsschutz und Firewall ergänzend installiert werden. Die Schutzmechanismen müssen so konfiguriert sein, dass sämtliche Übertragungen von Dateien auf oder von Datenträgern nur nach einer Sicherheitsprüfung durchgeführt werden. Außerdem müssen die Sicherheitsanwendungen automatisch sicherheitsrelevante Ereignisse protokollieren; die Protokolle sind in der Regel wöchentlich zu sichten. Im Falle einer festgestellten Infektion muss das IT-System umgehend vom Internet beziehungsweise Netzwerk getrennt und die Schadensbeseitigung unternommen werden. Die zuständigen Stellen sind unverzüglich über den Vorfall zu informieren; im Falle eines Fehlschlags der programmgestützten Schadensbeseitigung ist das weitere Vorgehen mit der Dienstaufsicht abzustimmen.

 

(4) Die seitens der Dienstaufsicht zur Verfügung gestellten Konfigurationsanleitungen für das IT-System sind zu beachten.

 

(5) Die Nutzung des IT-Systems darf außer zu Administrationszwecken nicht mit Konten mit Administratorenberechtigungen erfolgen, sondern nur mit Konten, die nur für die Aufgabenerfüllung erforderliche Berechtigungen haben.

 

(6) Zugänge und Verbindungen für den Fernzugriff auf das IT-System müssen auf das notwendige Maß beschränkt sein und sind nach dem jeweiligen Fernzugriff umgehend zu beenden. Zum Einsatz kommen dürfen nur Fernzugriffanwendungen, die auf sicheren Protokollen basieren. Bei Fernwartungszugriffen sind die Aktivitäten zu beobachten.

 

(7) Administrations- und Managementzugänge zum IT-System, zu Routern, Switchen oder anderen Netzwerkgeräten müssen nach dem Stand der Technik gesichert sein; insbesondere müssen voreingestellte Passwörter geändert werden. Der Betrieb eines kabellosen Netzwerks (WLAN) ist nur zulässig, wenn der Zugang nach dem Stand der Technik gesichert und passwortgeschützt ist. Bei der Auswahl und Beschaffung entsprechender Geräte ist darauf zu achten, dass sichere Protokolle und Administration unterstützt werden und das Gerät regelmäßig durch den Hersteller mit Updates versorgt wird.

 

 

§ 6

Maßnahmen bei Änderung des Beschäftigungsverhältnisses

 

(1) Bei Beendigung der Beschäftigung des Gerichtsvollziehers gemäß § 6 Absatz 1 GVO

1. ist der Dienstaufsicht eine vollständige Datensicherung des eAkten-Systems zur Verfügung zu stellen und zu den Daten der eAkte ein strukturierter maschinenlesbarer Datensatz im Dateiformat XML, der den nach § 5 Absatz 1 Nummer 2 der Verordnung über die technischen Rahmenbedingungen des elektronischen Rechtsverkehrs und über das besondere elektronische Behördenpostfach (Elektronischer-Rechtsverkehr-Verordnung - ERVV) vom 24. November 2017 (BGBl. I S. 3803), zuletzt geändert durch Artikel 43 des Gesetzes vom 12. Juli 2024 (BGBl. 2024 I Nr. 234), bekannt gemachten Definitions- oder Schemadateien entspricht, zu exportieren;

2. sind nach der Bestätigung des eAkten-Systems, dass der Export erfolgreich war, und anschließend der Bestätigung der Dienstaufsicht, dass die Daten erfolgreich importiert werden konnten, sämtliche elektronisch gespeicherten Daten des Gerichtsvollziehers zu löschen;

3. sind gegebenenfalls mithilfe der hinterlegten Zugangsdaten die elektronischen Nachrichten in den für den elektronischen Rechtsverkehr genutzten Postfächern sowie ausschließlich dienstlich genutzten E-Mail-Postfächern dem Vertreter oder Nachfolger zuzuleiten und anschließend die Postfächer, sofern diese im Falle einer Versetzung nicht weiterhin dienstlich benötigt werden, zu löschen;

4. sind die Aussteller der Signaturkarten über den Wegfall der bestätigten Eigenschaft (Attribut) als Gerichtsvollzieher in Kenntnis zu setzen und ist der Widerruf des Zertifikats zu veranlassen, sofern dieses im Falle einer Versetzung nicht weiterhin dienstlich benötigt wird;

5. werden die zuständigen Fremdauskunftsstellen (Bundeszentralamt für Steuern, Träger der gesetzlichen Rentenversicherung, Kraftfahrt-Bundesamt, berufsständische Versorgungseinrichtungen), das Versteigerungsportal (hier: Justizauktion) sowie das Registerportal um Löschung der Zugänge zu entsprechenden Online-Auskunftsdiensten gebeten, sofern diese im Falle einer Versetzung nicht weiterhin dienstlich benötigt werden.

 

(2) Wird die Beschäftigung des Gerichtsvollziehers unterbrochen, zum Beispiel durch Urlaub oder Krankheit, so trifft die Dienstbehörde die erforderlichen Anordnungen in entsprechender Anwendung von Absatz 1.

 

(3) Bei Beendigung oder Unterbrechung der Beschäftigung oder Versetzung wird die nach dem Umsatzsteuergesetz in der Fassung der Bekanntmachung vom 21. Februar 2005 (BGBl. I S. 386), das zuletzt durch Artikel 27 des Gesetzes vom 2. Dezember 2024 (BGBl. 2024 I Nr. 387) geändert worden ist, zuständige Organisationseinheit entsprechend unterrichtet.

 

 

Zweiter Abschnitt

Elektronische Akte und Geschäftsbücher

 

 

§ 7

eAkte und Repräsentat

 

(1) Elektronische Dokumente einschließlich zugehöriger Signaturdateien, strukturierte maschinenlesbare Datensätze und sonstige Dateien und Informationen sowie Einträge in elektronisch geführte Geschäftsbücher und Verzeichnisse gelten als zur Akte genommen, wenn sie bewusst und dauerhaft in der eAkte gespeichert worden sind. Sie sind in dem eAkten-System unveränderbar zu speichern.

 

(2) Die elektronischen Dokumente müssen durch das eAkten-System zusätzlich als Repräsentat im Format PDF/A in menschenlesbarer Form gespeichert werden und der Wiedergabe zugrunde liegen. Die Wiedergabe der Originaldatei muss möglich sein. Das Repräsentat muss den gesamten zur Akte gebrachten Inhalt mit Ausnahme der nur für die Datenverarbeitung notwendigen Struktur-, Definitions- und Schemadateien wiedergeben. Soweit die Wiedergabe eines Inhalts technisch nicht möglich ist, ist ein entsprechender Hinweis in das Repräsentat aufzunehmen. An die Stelle von Signaturdateien treten im Repräsentat Vermerke über das Ergebnis der automatisierten Signaturprüfung. Das Repräsentat muss druckbar, kopierbar und, soweit technisch möglich, durchsuchbar sein. Die Blätter des Repräsentats sind so fortlaufend zu nummerieren, dass sie eindeutig zitiert werden können. Die Identität des Repräsentats im Vergleich zur elektronischen Akte muss nachgewiesen sein. Veränderungen der Repräsentate sind nur zulässig, soweit sie erkennbar und nachvollziehbar sind.

 

(3) Einzeldokumente der Akte müssen verbunden werden können. Unter anderem zum Zwecke der Akteneinsicht oder für Drittstellenauskünfte müssen Repräsentate der Akte ausgewählt werden können und die Schwärzung von Inhalten sowie Bereinigung von Metadaten möglich sein. Eine von der zeitlichen Abfolge abweichende Veraktung muss als solche erkennbar sein.

 

(4) Elektronisch geführte Geschäftsbücher und Verzeichnisse sind als strukturierte maschinenlesbare Datensätze im Format XML, der den nach § 5 Absatz 1 Nummer 2 ERVV bekannt gemachten Definitions- oder Schemadateien entspricht, zu speichern. Die Einträge müssen als fortlaufend nummerierte Zeilen wiedergegeben werden können und durchsuchbar sein. Nachträgliche Veränderungen sind nur in Form von Streichungen, wobei die ursprüngliche Fassung lesbar bleiben muss, und Unterstreichungen sowie Markierungen zulässig. Die Veränderungen müssen die Herkunft und den Zeitpunkt erkennen lassen.

 

(5) Zu einer eAkte muss der Verfahrensstand gespeichert werden können. Insbesondere muss gespeichert werden können, dass das Verfahren ruhend gestellt ist. Eine auf die ruhenden Verfahren gefilterte Anzeige der eAkten muss möglich sein.

 

 

§ 8

Geschäftsnummern und Dienstregisternummern

 

Geschäftsnummern und Dienstregisternummern werden durch das eAkten-System verwaltet.

 

 

§ 9

Übermittlung der eAkte, Akteneinsicht

 

(1) Das eAkten-System erzeugt für die Übermittlung von Akten oder einzelnen Dokumenten an einen anderen Gerichtsvollzieher einen strukturierten maschinenlesbaren Datensatz im Dateiformat XML, der den nach § 5 Absatz 1 Nummer 2 ERVV bekannt gemachten Definitions- oder Schemadateien entspricht und sämtliche verfügbaren beziehungsweise übertragbaren Informationen (insbesondere die Stammdaten) enthält. Die Übermittlung erfolgt nur über das elektronische Gerichts- und Verwaltungspostfach (EGVP). Ist aus technischen Gründen eine Übermittlung vorübergehend oder im Ausnahmefall nicht möglich, so ist die Übermittlung der eAkte auch auf andere Weise, etwa in Papierform oder auf einem verschlüsselten physischen Datenträger, zulässig. Die Verfahrensdaten sind auch in diesem Fall im Format gemäß Satz 1 zu übertragen. Der übergebende Gerichtsvollzieher hat in diesem Fall dem empfangenden Gerichtsvollzieher die zur Entschlüsselung der Daten notwendigen Informationen auf gesondertem Weg mitzuteilen.

 

(2) Die neuen oder geänderten Repräsentate sowie neu hinzugefügte Inhalte der elektronischen Verzeichnisse und Geschäftsbücher werden regelmäßig (wenigstens arbeitstäglich) automatisch per EGVP an die eAktenablage einschließlich der nötigen Strukturinformationen zur Abbildung und Wiederherstellung der eAkte übermittelt.

 

(3) Die Bereitstellung von Akten an nach § 42 Absatz 1 und 3 GVO Berechtigte zur Einsichtnahme erfolgt durch Übermittlung des Inhalts der Akten auf einem sicheren Übermittlungsweg in der in Absatz 1 Satz 1 festgelegten Form. Auf Antrag wird Akteneinsicht durch Erteilung von Ausdrucken, durch Übermittlung von elektronischen Dokumenten oder durch Wiedergabe auf einem Bildschirm gewährt.

 

(4) Sonstigen Behörden und Dienststellen und den Gerichten, die nicht nach § 3 Zugriff auf die eAktenablage haben, ist Akteneinsicht nach Maßgabe von § 42 Absatz 4 GVO auf einem sicheren Übermittlungsweg in der in Absatz 1 Satz 1 festgelegten Form zu gewähren.

 

 

§ 10

Außendienst

 

Bearbeitungen der eAkte im Außendienst ohne Verbindung zum eAkten-System dürfen nur erfolgen, wenn die neuen Elemente und Änderungen in das eAkten-System arbeitstäglich automatisiert übernommen werden.

 

 

§ 11

Aufbewahrung und Löschung von Daten

 

Die Dauer der Aufbewahrung der eAkte richtet sich nach den Vorgaben der GVO. Das eAkten-System unterstützt bei der Überwachung der Löschfristen. Die eAktenablage überwacht die bei der Übermittlung von Dokumenten von dem eAkten-System mitgeteilten Löschfristen und ermöglicht eine Löschung in der eAktenablage erst nach Abschluss des Verfahrens und Ablauf der Löschfristen. Bereits vor Abschluss des Verfahrens in dem eAkten-System gelöschte Elemente werden in der eAktenablage gesperrt und können nur durch die Dienstaufsicht oder Prüfungsbeamten gelöscht werden.

 

 

§ 12

Elektronische Posteingänge, Signaturprüfung

 

(1) Qualifizierte elektronische Signaturen sind bei Abholung elektronischer Posteingänge oder erstmaliger Speicherung in dem eAkten-System automatisiert zu prüfen. Das Prüfergebnis ist in einem Prüfbericht zu den signierten Dateien abzuspeichern und zu den Akten zu nehmen.

 

(2) Noch nicht veraktete elektronische Posteingänge sind automatisiert in der eAktenablage zu speichern und nach Veraktung dort zu löschen.

 

 

Dritter Abschnitt

Führung der eAkte

 

 

§ 13

Führung der eAkte

 

(1) Zu veraktende in Papierform vorliegende Schriftstücke und sonstige Unterlagen (Papierdokumente) sind in ein elektronisches Dokument zu übertragen. Die bildliche und inhaltliche Übereinstimmung des elektronischen Dokuments mit den vorliegenden Papierdokumenten ist sicherzustellen. Das elektronische Dokument soll durchsuchbar sein. Die Papierdokumente dürfen frühestens sechs Monate nach der Übertragung vernichtet werden, sofern sie nicht rückgabepflichtig sind. Auch rückgabepflichtige Papierdokumente sind in ein elektronisches Dokument zu überführen, das zur Sonderakte zu nehmen ist; bis zur Rückgabe sind sie in der Papiersammelakte aufzubewahren. Sollte die Übertragung aus technischen Gründen oder aufgrund des Umfangs der Papierdokumente nicht geboten sein, ist in den Sonderakten ein Vermerk aufzunehmen, dass diese vorlagen und in der Papiersammelakte geführt werden.

 

(2) Die gespeicherten Dokumente sind anhand ihres Inhalts nach Möglichkeit automatisiert namentlich einheitlich zu benennen.

 

 

§ 14

Qualifizierte elektronische Signatur

 

(1) Dokumente, die nach materiellem Recht, den Verfahrensordnungen oder sonstigen Verwaltungsvorschriften mit einer eigenhändigen Unterschrift des Gerichtsvollziehers zu versehen sind, insbesondere Protokolle, Kostenrechnungen, Zustellungsnachweise und Eintragungsanordnungen, sind als elektronisch erstelltes Dokument mit einer qualifizierten elektronischen Signatur des Gerichtsvollziehers zu versehen.

 

(2) Das qualifizierte Zertifikat für elektronische Signaturen muss ein Attribut, das die Zugehörigkeit zur Landesjustizverwaltung erkennen lässt, enthalten.

 

 

§ 15

Führung der Geschäftsbücher und Verzeichnisse

 

(1) Geschäftsbücher werden nach ihrem Abschluss qualifiziert elektronisch signiert.

 

(2) Die Verzeichnisse und Geschäftsbücher müssen die Datenfelder der in der GVO oder den hierzu ergangenen landesspezifischen Ergänzungsbestimmungen genannten Vordrucke abbilden können.

 

(3) Abweichend von § 49 Absatz 6 GVO ist der Abrechnungsschein bei elektronischer Aktenführung qualifiziert elektronisch zu signieren, zur Akte zu nehmen und der zuständigen Stelle (zum Beispiel Kasse oder Zahlstelle) mittels EGVP zu übermitteln. Die Eingangsbestätigung gilt als Empfangsbescheinigung. Der von der zuständigen Stelle mit Buchungsvermerk und qualifizierter elektronischer Signatur zu versehende Abrechnungsschein ist als Abrechnungsbeleg in geeigneter Weise zur Akte zu nehmen. Bei Ablieferung durch Vermittlung einer weiteren zuständigen Stelle ist die Quittung dieser Stelle zur Akte zu nehmen.

 

 

§ 16

Zugriff auf das IT-System

 

Der Gerichtsvollzieher hat dem Prüfungsbeamten zum Zwecke der Prüfung und der Dienstaufsicht Zugriff auf das IT-System einschließlich des eAkten-Systems und der eingerichteten elektronischen Postfächer zu gewähren sowie auf Verlangen eine vollständige Datensicherung des eAkten-Systems zur Verfügung zu stellen.

 

 

Vierter Abschnitt

Ergänzende Vorschriften zu Datenschutz und Informationssicherheit

 

 

§ 17

Informationspflicht und Schulungen

 

Der Gerichtsvollzieher informiert sich fortlaufend über relevante Entwicklungen im IT-Bereich und der IT-Sicherheit und nimmt regelmäßig an Schulungen zu Aufgaben und Verantwortlichkeiten für Informationssicherheitsthemen teil.

 

§ 18

Dokumentation und Überprüfung

 

(1) Der Gerichtsvollzieher dokumentiert die zur Wahrung der Informationssicherheit und des Datenschutzes getroffenen Sicherheitsmaßnahmen anhand einer von der Justizverwaltung zur Verfügung gestellten Checkliste. Die dokumentierten Maßnahmen sind vom Gerichtsvollzieher auf Wirksamkeit und Angemessenheit zu prüfen und gegebenenfalls zu aktualisieren.

 

(2) Die Dokumentation ist einmal jährlich im Rahmen einer Geschäftsprüfung vorzulegen. Die inhaltliche Prüfung der Vorschritten der Informationssicherheit obliegt der hierfür zuständigen Stelle.

 

 

§ 19

Sicherheitsvorfall

 

Im Falle einer Störung des IT-Betriebs, die die Vertraulichkeit, die Integrität oder die Verfügbarkeit von Informationen beeinträchtigt oder beeinträchtigen kann und dazu führen kann, dass Informationen ausgespäht, manipuliert oder zerstört werden (Sicherheitsvorfall), ist unverzüglich die zuständige Stelle zu informieren und das weitere Vorgehen abzustimmen. Gleiches gilt für den Fall des Verdachts eines Sicherheitsvorfalls und des Verlustes von Datenträgern. Der nach Landesrecht Verantwortliche im Sinne des Artikels 4 Nummer 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) hat die Artikel 33 und 34 der Datenschutz-Grundverordnung zu beachten.

 

 

§ 20

Festlegung von Zuständigkeiten; Einsatz von Mitarbeitern und Mitarbeiterwechsel

 

(1) Im Falle der gemeinschaftlichen Nutzung von Gebäuden, Räumen, IT-Systemen oder Anwendungen durch mehrere Gerichtsvollzieher ist von diesen festzulegen und zu dokumentieren, wer für die Sicherheit jeweils zuständig ist. Zudem ist festzulegen, wer zu den Gebäuden und Räumlichkeiten zutrittsberechtigt ist. Die Ausgabe von Zutrittsmitteln ist zu dokumentieren.

 

(2) Bei der Beschäftigung von Mitarbeitern sind diese mithilfe eines Merkblattes zu informieren, wofür sie zuständig sind und welche Aufgaben sie wahrzunehmen haben. Sie sind nach dem Gesetz über die förmliche Verpflichtung nichtbeamteter Personen (Verpflichtungsgesetz) vom 2. März 1974 (BGBl. I S. 469, 547), zuletzt geändert durch § 1 Nummer 4 des Gesetzes vom 15. August 1974 (BGBl. I S. 1942), zu verpflichten und auf den rechtlichen Rahmen ihrer Tätigkeit hinzuweisen. Ihnen gegenüber ist festzulegen, welche Empfänger welche Informationen erhalten oder weitergeben dürfen und auf welchen Wegen dies zulässig ist; jeder Mitarbeiter hat dies beim Austausch von Informationen sicherzustellen. Zudem müssen sie mithilfe eines von der Justizverwaltung zur Verfügung gestellten Merkblattes regelmäßig in den ordnungsgemäßen und sicheren Umgang mit IT-Systemen einschließlich WLAN und möglichen Bedrohungen durch Schadsoftware eingewiesen und sensibilisiert werden. Zugangsberechtigungen und Zugriffsrechte dürfen nur an Mitarbeiter und nur soweit erteilt werden, wie es die Aufgabenerfüllung erfordert. Die Ausgabe von Zugangsmitteln ist zu dokumentieren. Bei dem Wechsel der Zuständigkeit oder Beendigung der Beschäftigung eines Mitarbeiters ist dafür Sorge zu tragen, dass die Zugangsberechtigungen eingezogen werden; zudem ist nochmals auf die Verschwiegenheitsverpflichtung hinzuweisen.

 

 

§ 21

Inventarisierung von Hard- und Software; Entsorgung von Informationen und Datenträgern

 

(1) Der Gerichtsvollzieher hat die gesamte für den Dienstbetrieb genutzte Hard- und Software in einer von der Justizverwaltung zur Verfügung gestellten Inventarliste zu erfassen und laufend aktuell zu halten.

 

(2) Vor der Entsorgung von Datenträgern, Teilen des IT-Systems oder schutzbedürftigen Informationen ist dafür Sorge zu tragen, dass die enthaltenen Daten sicher vernichtet beziehungsweise gelöscht werden. Mitarbeiter sind darüber zu unterrichten, welche Aufgaben sie zum sicheren Löschen und Vernichten zu erfüllen haben. Können Datenträger aufgrund eines Defekts nicht gelöscht werden, sind diese der Dienstaufsicht zur Entsorgung zu übergeben.

 

 

§ 22

Einsatz von Dienstleistern, Auftragsdatenverarbeitung

 

(1) Bei der Beauftragung von Dienstleistern, zum Beispiel für Wartungsarbeiten an IT-Systemen, Support für EDV oder Anwendungen, oder auch der Reinigung von Räumlichkeiten, ist eine Verpflichtung zur Einhaltung der Gesetze und internen Vorschriften anhand eines von der Justizverwaltung zur Verfügung gestellten Formulars durchzuführen und in geeigneter Weise zu dokumentieren.

 

(2) Nicht regelmäßig beauftragte Dienstleister sind beim Einsatz im Geschäftszimmer zu beaufsichtigen.

 

(3) Vor dem auch nur möglichen Zugriff auf vertrauliche Informationen oder personenbezogene Daten sind Verträge zur Auftragsdatenverarbeitung mit Vertraulichkeitsvereinbarung auf der Grundlage eines von der Justizverwaltung zur Verfügung gestellten Formulars zu schließen. Nach Beendigung der Tätigkeit ist sicherzustellen, dass keine Zugriffsmöglichkeit mehr besteht; insbesondere sind sämtliche Zugangsberechtigungen einzuziehen.

 

 

§ 23

Gebrauch von Passwörtern, Zugangsdaten

 

(1) Passwörter dürfen weder identisch sein noch mehrfach verwendet werden und müssen geheim gehalten werden. Im Falle eines Sicherheitsvorfalles oder auch nur eines Verdachts der Offenlegung von Passwörtern sind diese unverzüglich zu ändern.

 

(2) Passwörter müssen den landesspezifischen Regelungen entsprechen.

 

(3) Beim Verlassen des Bildschirmarbeitsplatzes ist der PC grundsätzlich zu sperren. Die Funktion zur automatischen Sperrung ist zu aktivieren. Für die Reaktivierung des PCs nach Sperrung ist die Eingabe eines Passworts zu verlangen. Während der Eingabe darf das Passwort nicht angezeigt werden.

 

(4) Sämtliche dienstlich genutzte Zugangsdaten und erforderliche Zertifikatsdateien sind der Dienstaufsicht zum Zwecke der Dienstaufsicht in geeigneter Weise zur Verfügung zu stellen.

 

 

§ 24

Datensicherung

 

(1) Der Datenbestand des eAkten-Systems ist arbeitstäglich in geeigneter Weise zu sichern. Der erfolgreiche Abschluss der Datensicherung ist durch Überprüfung, ob die Datensicherung wieder eingelesen werden kann, automatisiert zu kontrollieren und zu protokollieren. Die Datensicherung ist durch Verschlüsselung vor Missbrauch, Beschädigung oder Vernichtung zu schützen und möglichst räumlich getrennt vom Geschäftszimmer oder in anderer geeigneter Art und Weise (zum Beispiel in einem Safe oder einem vergleichbaren Verwahrort) zu lagern. Eine Sicherung darf erst dann gelöscht oder überschrieben werden, wenn eine neue Sicherung erfolgreich abgeschlossen worden ist.

 

(2) Der Einsatz von Cloud-Speichern ist nur nach Maßgabe etwaiger besonderer Landesvorgaben für den Einsatz der Cloud-Technologie zulässig. Im Falle der Speicherung in Cloud-Diensten müssen die Daten nach dem Stand der Technik verschlüsselt sein.

 

 

§ 25

Anwendungssicherheit

 

(1) In Anwendungen (zum Beispiel Textverarbeitungsprogrammen) dürfen Funktionen zur automatischen Ausführungen von eingebetteten Inhalten (Makros, Active-X-Steuerelemente usw.) nicht aktiviert sein. Sofern erforderlich, dürfen eingebettete Inhalte nur ausgeführt werden, wenn die Quelle vertrauenswürdig ist.

 

(2) Dateien aus externen Quellen, insbesondere Anhänge von E-Mails, dürfen nur geöffnet oder ausgeführt werden, wenn sie zuvor auf Schadsoftware überprüft worden sind. Dies gilt insbesondere für Dokumente und Dateien von externen Quellen, die unerwartet erhalten wurden oder von unbekannten Absendern beziehungsweise Quellen stammen.

 

(3) Als Webbrowser dürfen nur die nach landesrechtlicher Bestimmung zugelassenen Anwendungen eingesetzt werden.

 

 

II.

 

Diese AV tritt am Tag nach ihrer Veröffentlichung im Justizministerialblatt in Kraft.