In der Kopfzeile des Formulars ist der Name der automatisierten Verarbeitung, für die die Beschreibung erstellt wird, anzugeben.

Transkript

1 Hochschule Hannover - Der Datenschutzbeauftragte Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Vorbemerkung: Jede öffentliche Stelle 1, die Verfahren 2 zur automatisierten Verarbeitung 3 personenbezogener Daten 4 betreibt, ist gemäß 8 NDSG verpflichtet, die Datenverarbeitungsvorgänge in einer Verfahrensbeschreibung festzulegen. Um Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen, ist in der Verfahrensbeschreibung zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher automatisierten Verfahren zu welchem Zweck auf welche Weise verarbeitet werden und welche Datenschutzmaßnahmen dabei getroffen wurden. Das Präsidium der Hochschule Hannover hat mit Beschluss vom 30. November 2015 Die Zuständigkeit für die Erstellung der Verfahrensbeschreibungen wie folgt geregelt: 1. Die Verantwortlichkeit für die Erstellung von Verfahrensbeschreibungen der Verwaltungseinheiten obliegt der Leitung der jeweiligen Organisationseinheit. 2. Die Verantwortlichkeit für die Erstellung von Verfahrensbeschreibungen der Fakultäten obliegt dem jeweiligen Dekanat. 3. Die Verantwortlichkeit für die Erstellung von Verfahrensbeschreibungen bei Forschungsvorhaben obliegt der jeweiligen Projektleitung. An der Hochschule Hannover (HsH) wird dafür ein Musterformular 5 genutzt. Dieses besteht aus einem öffentlichen Teil 6, der in das Verfahrensverzeichnis aufgenommen wird und von jedermann eingesehen werden kann und einem behördeninternen Teil 7, der nur für den internen Gebrauch bestimmt ist. Die vollständig ausgefüllte Verfahrensbeschreibung ist zur Aufnahme in das Verfahrensverzeichnis dem Datenschutzbeauftragten zuzuleiten. 1 Daten verarbeitende Stelle ist gemäß 3 Abs. 3 NDSG jede Stelle, die selbst personenbezogene Daten verarbeitet oder durch andere im Auftrag verarbeiten lässt. 2 Unter einem Verfahren versteht man die Gesamtheit aller automatisierten Verarbeitungsschritte für einen bestimmten Verwaltungszweck (z.b. Prüfungsverwaltung). Verfahren sind einer Daten verarbeitenden Stelle zugeordnet. 3 Automatisierte Verarbeitung ist gemäß 3 Abs. 5 NDSG die Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Verarbeiten bedeutet hierbei das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen oder Nutzen von Daten. 4 Personenbezogene Daten sind gemäß 3 Abs. 1 NDSG Einzelangaben über persönliche oder sachliche Verhältnisse von bestimmten oder bestimmbaren natürlichen Personen (Betroffene) bis Ziffer 6 7 ab Ziffer 7 Seite 1 Letzte Änderung:

2 Diese Ausfüllhinweise sollen Ihnen dabei helfen, selbständig eine Verfahrensbeschreibung zu erstellen. Bei Rückfragen wenden Sie sich bitte an den Datenschutzbeauftragten der Hochschule Hannover Kopfzeile: Bezeichnung des Verfahrens In der Kopfzeile des Formulars ist der Name der automatisierten Verarbeitung, für die die Beschreibung erstellt wird, anzugeben. Dabei soll die komplette Bezeichnung (keine Abkürzung des Verfahrens bzw. der Programme) unter Verwendung eines möglichst sprechenden Namens verwendet werden. Z. B. Prüfungsverwaltung, Berufungsverfahren oder Zulassungsverfahren. Zudem ist anzugeben, ob es sich um eine erstmalige Beschreibung oder um eine Aktualisierung eines bereits bestehenden Verfahrens handelt. Zu 1. Zweckbestimmung des Verfahrens Der Zweck der Datenverarbeitung ist so präzise wie möglich und für einen Außenstehenden verständlich zu benennen. Insbesondere sollten die aus Sicht des Datenschutzes relevanten Aspekte (insbesondere der Zweck der automatisierten Verarbeitung) deutlich werden. Zu 2. Art der Daten, Kreis der Betroffenen und Angaben zur regelmäßigen Übermittlung Hier ist aufzuführen, welche Daten welcher Betroffenen verarbeitet werden und welcher Datenfluss zu anderen Behörden bzw. zu anderen Organisationseinheiten innerhalb der Hochschule erfolgt. Zu 2.1 Art der zu verarbeitenden Daten und Kreis der Personen, deren Daten verarbeitet werden Die Art der zu verarbeitenden Daten ist in den Zeilen der Tabelle aufzuführen (z. B. Name, Anschrift, Dienststelle, Geburtsdatum). Sachlich zusammengehörende Datenfelder können zu sinnvollen Gruppen zusammengefasst werden (z. B. PLZ, Ort, Straße und Hausnummer als Anschrift ). Sofern weitere Zeilen für die Eintragungen benötigt werden, können diese direkt in das Formular eingefügt werden. Sensible personenbezogene Daten wie z. B. Angaben über rassische und ethnische Herkunft, politische Meinung, religiöse Zugehörigkeit oder Gesundheit unterliegen einem besonderen Schutzbedarf und sind zur Kenntlichmachung in der Verfahrensbeschreibung durch Fettdruck hervorzuheben. Als Betroffene bezeichnet man die natürlichen Personen, deren Daten mit Hilfe des automatisierten Verfahrens verarbeitet werden. Der Kreis der Betroffenen ist so präzise wie möglich anzugeben. Zur Übersichtlichkeit können Überschriften zu einzelnen Betroffenenkreisen (z. B. Studierende der HsH) aufgeführt werden. Beispiele: Mitarbeiter der Seite 2 Letzte Änderung:

3 Organisationseinheit XY, Studierende des Studiengangs XY, Benutzer der Bibliothek, Teilnehmer der Veranstaltung XY usw. Zusätzlich ist die ungefähre Anzahl der Betroffenen zu beziffern. Zu 2.2 Herkunft und Empfänger bei regelmäßiger Übermittlung Für jede Stelle, bei der personenbezogene Daten gespeichert werden, ist eine Spalte vorzusehen. Geben Sie zusätzlich an, ob diese Stelle Daten übermittelt oder empfängt. Im einfachen Fall einer Übermittlung von Bewerbernamen und deren Mailadressen von Dezernat X an die Fakultät Y sähe die ausgefüllte Tabelle wie folgt aus: 2.1 Art der zu verarbeitenden Daten und Kreis der Personen, deren Daten verarbeitet werden Lfd. Nr. Art der Daten Betroffener Personenkreis 1 Bewerbername Bewerber für Bachelorstudiengang AB 2 Mailadresse Bewerber für Bachelorstudiengang AB 2.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung Übermittelnde Stelle Empfangende Stelle Übermittelte Daten (lfd. Nr. aus 2.1) Dezernat X Fakultät Y 1 & 2 Zu 3. Rechtsgrundlage der Verarbeitung Gemäß 4 NDSG ist die Verarbeitung personenbezogener Daten nur zulässig, wenn eine Rechtsvorschrift dies vorsieht. Sofern die Datenverarbeitung auf Grundlage von Einwilligungserklärungen der Betroffenen erfolgt, wäre 4 Abs. 1 Nr. 2 NDSG i.v.m. der Einwilligungserklärung anzugeben. In allen anderen Fällen lautet die Rechtsvorschrift dann 4 Abs. 1 Nr. 1 NDSG i.v.m. der jeweiligen Ermächtigungsnorm. Typische Ermächtigungsnormen im Hochschulbereich sind für die Verarbeitung von: - Studierendendaten: 17 Niedersächsisches Hochschulgesetz (NHG) i.v.m. der Ordnung zur Verarbeitung personenbezogener Daten an der Hochschule Hannover - Daten der Beschäftigten in Dienst- und Arbeitsverhältnissen: 24 NDSG - Daten von beamteten Beschäftigten: 50 Beamtenstatusgesetz (BeamtStG), 88 bis 95 des Niedersächsischen Beamtengesetzes (NBG) - Evaluationsdaten: 5 NHG i.v.m. der Evaluationsordnung Seite 3 Letzte Änderung:

4 - Daten für Forschungsvorhaben: 25 NDSG - Für die Beobachtung durch Bildübertragung (Videoüberwachung): 25a NDSG Allgemeine Ermächtigungsnormen: - Datenerhebung: 9 NDSG - Speicherung, Veränderung, Nutzung: 10 NDSG - Übermittlung an andere Behörden: 11 NDSG - Berichtigung, Löschung, Sperrung: 17 NDSG Auch Dienstvereinbarungen sind Rechtsvorschriften im Sinne des 4 NDSG. Zu 4. Datenverarbeitung durch Dritte (Auftragsdatenverarbeitung) In der Regel verarbeitet die Hochschule Hannover ihre Daten selbst. Für den Fall, dass Dritte (Auftragnehmer) mit der Datenverarbeitung beauftragt werden, ist dies in der Verfahrensbeschreibung kenntlich zu machen und der Name sowie die Anschrift des Auftragnehmers zu nennen. Ferner ist zu beschreiben, welche Datenverarbeitungsvorgänge vom Auftragnehmer übernommen werden. Die Auftragsdatenverarbeitung ist durch einen schriftlichen Vertrag nach Maßgabe des 6 NDSG zu regeln. Ein Vertragsmuster ist auf der Homepage des Datenschutzbeauftragten 8 abrufbar. Bitte sprechen Sie etwaige Vertragspartner bereits bei der Einholung etwaiger Angebote darauf an, dass wir im Rahmen unserer hoheitlichen Tätigkeit als Landesbehörde unter den Anwendungsbereich des NDSG (nicht BDSG) fallen. Für die Prüfung des Vertrages über eine Auftragsdatenverarbeitung können Sie sich an das Justiziariat wenden. Zu 5. Beabsichtigte Übermittlung von Daten in Staaten nach 14 NDSG Staaten nach 14 NDSG sind Staaten außerhalb des Europäischen Wirtschaftsraums (EU- Staaten, Island, Lichtenstein und Norwegen). Zum Beispiel die Schweiz. Die Übermittlung ist nur zulässig, wenn sie ausnahmsweise gesetzlich in einem Rechtsakt der EG oder internationalen Vertrag, vorgeschrieben bzw. geregelt ist. Zu 6. Fristen für die Sperrung und Löschung der Daten Grundsätzlich müssen personenbezogene Daten nach 3 NDSG gelöscht werden, wenn der Zweck Ihrer Speicherung erreicht wurde. Ferner sind Daten zu löschen, wenn die Rechtsgrundlage für die Erhebung der Daten wegfällt, etwa wenn eine Einwilligung widerrufen wird. Wenn andere gesetzliche Regelungen eine Aufbewahrung vorschreiben, werden die Daten nach Zweckerfüllung gesperrt 9 und nach Ablauf der Aufbewahrungsfrist gelöscht Sperren ist gemäß 3 Abs. 2 Nr. 5 NDSG das Kennzeichnen von Daten, um ihre weitere Verarbeitung einzuschränken. 10 Löschen ist gemäß 3 Abs. 2 Nr. 6 NDSG das Unkenntlich machen von Daten. Seite 4 Letzte Änderung:

5 Zu 7. Angaben zu Hard- und Software Bitte geben Sie an, welche Hard- und Software für das Verfahren eingesetzt wird. Sie können sich bei allen Verfahren, die von der Hochschul-IT betreut werden, an die Leitung der H-IT, Herrn Carsten Hellmich wenden. Zu 8. Technische und organisatorische Maßnahmen nach 7 NDSG Nach 7 NDSG muss die verantwortliche Stelle technische und organisatorische Sicherheitsmaßnahmen treffen, um eine datenschutzgerechte Verarbeitung personenbezogener Daten sicherzustellen. Zur Beantwortung der Fragen zu den technischen und organisatorischen Maßnahmen ist ggfs. die H-IT (Kontakt s.o.) einzubeziehen. Zu 9. Übermittlungsverfahren In den meisten Fällen werden Daten über das Intranet (hochschulintern) übermittelt. Die Übertragung an Dritte erfolgt häufig über das Internet. Werden (i.d.r. verschlüsselte) Datenträger (CDs, DVDs, Magnetbänder, USB Sticks) durch einen Boten persönlich übergeben oder mit der Post versandt, ist das Feld Datenträgeraustausch anzukreuzen. An automatisierten Abrufverfahren nimmt die Hochschule in der Regel nicht teil. Zu 10. Verfahren zur Sperrung, Löschung, Auskunftserteilung Hier ist anzugeben, wie die Sperrung und / oder Löschung erfolgt. Dies kann manuell von Bediensteten (z. B. durch Vernichtung von Speichermedien oder durch Eingabe eines Löschbefehls) oder automatisch durch Programme erfolgen. Mehrfachnennungen sind zulässig. Zu 11. Für das Verfahren innerhalb der HsH verantwortliche Organisationseinheit Innerhalb der HsH fertigt die für das jeweilige Verfahren fachlich federführende Organisationseinheit (OE), das Dekanat oder die Projektleitung die Verfahrensbeschreibung - ggf. unter Beteiligung der weiterhin beteiligten OEs 11 - an. Dabei ist auch anzugeben, welche Person als Ansprechpartner für etwaige Rückfragen zur Verfügung steht. Mit Zeichnung der Verfahrensbeschreibung übernimmt die unterzeichnende Person die Verantwortung dafür, dass das Verfahren so, wie dargestellt, betrieben wird. Wird das Verfahren abgeändert werden, so ist eine geänderte Verfahrensbeschreibung zu erstellen. 11 Häufig wird die Hochschul-IT an den Verfahren beteiligt sein. Seite 5 Letzte Änderung: