- Ausfüllhinweise und Erläuterungen zum Formular und Vorgehen -

Größe: px
Ab Seite anzeigen:

Download "- Ausfüllhinweise und Erläuterungen zum Formular und Vorgehen -"

Transkript

1 Der Datenschutzbeauftragte Dr. Bernd Nörtemann - Ausfüllhinweise und Erläuterungen zum Formular und Vorgehen - (in Anlehnung an die Ausfüllhinweise des Landesbeauftragten für den Datenschutz Niedersachsen; angepasst an den modifizierten Vordruck der TU Braunschweig) Diese Ausfüllhinweise und Erläuterungen finden Sie ebenso wie den Vordruck für die Verfahrensbeschreibungen in der jeweils aktuellsten Version unter https://www.tu-braunschweig.de/it/downloads/publikationen 1 (unter dem Buchstaben V ) bzw. auf den Seiten des Datenschutzbeauftragten und des CIO. Letzte Aktualisierung: Juni 2014

2 0ö5öaälo0##Qer234 Vorwort zu dieser Broschüre: Datenschutz ist zu verstehen als der Schutz von natürlichen Personen auf informationelle Selbstbestimmung und Wahrung der Privatsphäre bzw. des Persönlichkeitsrechts bei der Datenverarbeitung. Der Kerngedanke des Datenschutzes besteht darin, dass jeder Mensch grundsätzlich selbst entscheiden sollte, welche seiner persönlichen Daten wem, wann, wozu und für wie lange zugänglich sein sollen. Mit der Entwicklung der Digitaltechnik und der globalen Vernetzung hat die Bedeutung des Datenschutzes in enormer Weise zugenommen, da die Erhebung oder Erfassung von Daten, die Datenhaltung, -verarbeitung, -weitergabe, -analyse, -vernetzbarkeit und nicht zuletzt auch die Möglichkeiten zur Daten- und somit auch zur Identitätsmanipulation immer einfacher geworden sind. Gerade automatisierte Verfahren, mit denen personenbezogene Daten (d.h., persönliche Daten, die direkt oder aber auch nur indirekt, mit Hilfe weiterer Informationen oder Techniken auf die Person beziehbar sind) Daten digital verarbeitet werden, stellen ein hohes Gefahrenpotential in Bezug auf die Verletzung der Persönlichkeitsrechte bei der Datenverarbeitung dar. Dies gilt in besonderer Weise für Daten verarbeitende Behörden, zumal hier eine automatisierte Verarbeitung personenbezogener Daten mit großen Risiken und potentiellen Konsequenzen für die Betroffenen verbunden sein kann. Zum Schutz dieser Persönlichkeitsrechte müssen Daten verarbeitende Stellen des Bundes und der Länder i.d.r. eine(n) unabhängige(n) Datenschutzbeauftragte(n) bestellen und zudem für jedes von ihnen betriebene Verfahren zur automatisierten Verarbeitung personenbezogener Daten vor der Inbetriebnahme eine Verfahrensbeschreibung erstellen und diese in der Folge aktuell halten. Zu diesem Zweck stellt beispielsweise der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) den Behörden seines Verantwortlichkeitsbereiches einen Vordruck sowie dazu gehörige kurze Ausfüllhinweise zur Verfügung. Gerade in den Einrichtungen der TU Braunschweig, die bislang keine oder nur selten Verfahren zur automatisierten Verarbeitung personenbezogener Daten durchführen, erschließen sich jedoch die zu erfüllenden Anforderungen an das Ausfüllen des Vordrucks trotz dieser Ausfüllhinweise häufig nur sehr schwierig. Aus diesem Grund wurde nunmehr der an der TU Braunschweig verwendete Vordruck zum besseren Verständnis angepasst und um einige Angaben zum Verfahren und zu verschiedenen Prozessschritten ergänzt. Zudem werden mit der hier vorliegenden, umfangreichen Broschüre sowohl die wichtigsten Ausfüllhinweise zu dem modifizierten Vordruck als auch wesentliche Erläuterungen u.a. zu den verwendeten Begriffen und Hintergründen gegeben. Hierdurch sollen einerseits das Ausfüllen des Vordrucks erleichtert, andererseits aber auch das Verständnis und die Akzeptanz für das Verfahren erhöht werden. Wem dies zu viel ist: Eine Kurzanleitung zum Ausfüllen des Vordrucks steht ebenfalls zur Verfügung! 2

3 5öaälo0##Qer234 Der Datenschutzbeauftragte Dr. Bernd Nörtemann Technische Universität Braunschweig Bienroder Weg 87, Raum-Nr Braunschweig Tel. +49 (0) Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) 1 - Ausfüllhinweise und Erläuterungen zum Formular und Verfahren - Inhalt 1. Grundsätzliches zu Verfahrensbeschreibungen Begriffsbestimmungen Hintergrund, allgemeine Rechtsgrundlagen Grundregeln der automatisierten Verarbeitung personenbezogener Daten Sonderregelung gemäß 25 NDSG für Forschungsvorhaben Zweck und Verwendung der Verfahrensbeschreibungen Ausfüllhinweise A. Öffentlicher Teil B. Behördeninterner Teil Vorgehensweise Vorabkontrolle Gesetzliche Grundsätze und bezogene Gesetzestexte (NDSG, NHG) Allgemeines, gesetzliche Grundsätze Bezogene Gesetze (NDSG, NHG) Die Ausfüllhinweise wurden in enger Anlehnung an die Ausfüllhinweise des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) erstellt, kommentiert und in Hinsicht auf die Rahmenbedingungen und mögliche Fallbeispiele an der TU Braunschweig konkretisiert. 3

4 4

5 1 Grundsätzliches zu Verfahrensbeschreibungen 1.1 Begriffsbestimmungen (gemäß 3 NDSG) Personenbezogene Daten sind sämtliche Einzelangaben über persönliche oder sachliche Verhältnisse von bestimmten oder bestimmbaren natürlichen Personen. Im datenschutzrechtlichen Sprachgebrauch wird i.d.r. nicht zwischen personenbezogenen Daten und personenbeziehbaren Daten differenziert (s. Abb. 1). Letztere erlauben die Bestimmbarkeit einer Person mit Hilfe von Zusatzinformationen bzw. durch die Verknüpfbarkeit selbst scheinbar verschiedenster Daten, die ein jedes für sich genommen zunächst noch keine Bestimmung der Person gestatten. Da auch diese personenbeziehbaren Daten jedoch letztlich die Bestimmbarkeit einer Person ermöglichen (insbesondere aufgrund der immer besseren und schnelleren Verknüpf- und Auswertbarkeit verschiedenster Datensätze sowie der globalen Vernetzbarkeit der Daten), impliziert der Begriff personenbezogene Daten ausdrücklich auch die personenbeziehbaren Daten. Bei den personenbezogenen Daten lassen ggf. noch folgende Unterscheidungen treffen: Abb. 1: Personenbezogene Daten: personenbezogene und personenbeziehbare Daten i.s.d. 3 NDSG einfache bzw. direkte Daten: Name, Vorname, Geburtsdatum, Familienstand, Bankdaten, Anschrift, Telefonnummern, -Adresse, Ausweisnummer, Matrikelnummer, Benutzerkennung, Standortdaten, ; erweiterte bzw. indirekte Daten (Persönlichkeits- bzw. Verhältnisdaten): Einkommensverhältnis, Lebensstil, Einkaufsverhalten, ; sensible Daten, die grundsätzlich einen besonderen Schutzbedarf bedeuten: Herkunft, politische Meinung, Religion, sexuelle Orientierung, Gesundheitszustand / medizinische Daten,. Hinsichtlich der datenschutzrechtlichen Sicherungsziele (s. Kap. 1.3) begründen insbesondere die sensiblen Daten gemäß dem Schutzstufenkonzept 2 des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) in aller Regel einen besonderen Schutzbedarf, aus dem sich ggf. auch das Erfordernis für eine Vorabkontrolle und die sich dabei ergebenden erforderlichen Schutzmaßnahmen herleiten (s. Kap. 4). Streitfall IP-Adresse: Fast alle Webserver speichern für statistische Zwecke die IP-Adresse ihrer Besucher. Viele Datenschutzbehörden stufen nicht nur die statisch, sondern auch die dynamisch vergebenen Adressen als personenbezogene Daten ein, so dass eine Speicherung nur erfolgen darf, wenn die Daten z.b. zu Abrechnungszwecken notwendig sind. Jede weitere Speicherung ist unzulässig und kann u.u. per Abmahnung verfolgt werden. 2 s. 5

6 Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen und Nutzen personenbezogener Daten. Dabei ist im Einzelnen 1. Erheben das Beschaffen von Daten über die Betroffenen, 2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger, 3. Verändern das inhaltliche Umgestalten von Daten, 4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, dass a) die Daten durch die Daten verarbeitende Stelle weitergegeben werden oder b) Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsehen oder abrufen, 5. Sperren das Kennzeichnen von Daten, um ihre weitere Verarbeitung einzuschränken, 6. Löschen das Unkenntlichmachen von Daten, 7. Nutzen jede sonstige Verwendung von Daten. Daten verarbeitende Stelle ist jede Stelle, die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Dabei bildet die TU Braunschweig gegenüber dem LfD die Daten verarbeitende und hierfür verantwortliche Stelle. Innerhalb der TU Braunschweig gelten jedoch die jeweiligen Einrichtungen, welche die automatisierten Verfahren zur Verarbeitung personenbezogener Daten betreiben (Verfahrens- oder Prozessinhaber) als die jeweilige Daten verarbeitende und i.d.r. auch die hierfür verantwortliche (Unter-) Stelle. Diese haben auch die entsprechenden Verfahrensbeschreibungen zu erstellen. Hinweis: Verfahrensbeschreibungen dienen u.a. zur Vorlage bei Kontrollen des LfD und ersetzen quasi eine ansonsten zwingende gesetzliche Meldepflicht. Auch aus diesem Grund sind Daten verarbeitende Stellen gehalten, die Verfahrensbeschreibungen mit größter Sorgfalt zu erstellen und aktuell zu halten. Empfänger ist jede Person oder Stelle, die Daten erhält. Dritte sind Personen oder Stellen außerhalb der Daten verarbeitenden Stelle. Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im Auftrag personenbezogene Daten verarbeiten (Auftragnehmer). Automatisiertes Verfahren ist die Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Ein automatisiertes Verfahren umfasst sämtliche Programme oder Programmteile, mit denen die Daten verarbeitende Stelle personenbezogene Daten aufgrund einer bestimmten Rechtsgrundlage für einen bestimmten Zweck verarbeitet. Kennzeichnend für ein automatisiertes Verfahren ist die Verarbeitung personenbezogener Daten für einen bestimmten Zweck. Ein Bürokommunikations-Programm ist per se, d.h. für sich genommen und noch ohne einen konkreten Anwendungszweck, daher kein automatisiertes Verfahren, weil kein Bezug zur Verarbeitung personenbezogener Daten besteht. Im Gegensatz dazu sind aber das Bürokommunikations-Programm und eine oder mehrere damit erstellte Dateien, mit denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden, ein automatisiertes Verfahren. Faktisch wird es also kaum eine Institution an der TU Braunschweig geben, die kein automatisiertes Verfahren zur Verarbeitung personenbezogener Daten betreibt oder betreiben will. Um ein automatisiertes Verfahren handelt es sich z.b. auch, wenn eine mit Hilfe eines Tabellenkalkulationsprogramms erstellte Datei alle von einer Behörde zu überwachende Betriebe eines bestimmten Wirtschaftszweigs mit Prüfvermerken erfasst, die durch automatisierte Verfahren ausgewertet werden können. Für die Auswertbarkeit kommt es darauf an, ob das System Funktionen enthält, die es ermöglichen, die Dokumentensammlung insgesamt oder das einzelne Dokument nach personenbezogenen 6

7 Merkmalen zu erschließen (z.b. Zuordnung von Texten zu Personen über Dateiverzeichnisse und Verwaltungsfunktionen, Erschließen von Texten nach Namen und/oder Begriffen). Mit der Verwendung des Begriffs Verfahren zur automatisierten Verarbeitung wird letztlich die Gesamtheit aller automatisierten Verarbeitungsschritte für einen bestimmten Verwaltungszweck (z.b. automatisierte Zeiterfassung) angesprochen. Eine Verfahrensbeschreibung ist z.b. zu erstellen für: - Automatisierte Personalinformationssysteme und Personalmanagementverfahren; - automatisierte Gleitzeitverarbeitung oder Zeiterfassung geleisteter Arbeitszeiten bei umsatzsteuerpflichtigen Drittmittelprojekten; - sonstige Verfahren zum Berichtswesen und Controlling ; - Dokumentensammlungen, die nach Autoren, Dokumententypen mit gleicher Sensibilität und Inhalten zusammengefasst sind; - Forschungsvorhaben mit automatisierter Verarbeitung personenbezogener Daten wie z.b. insbesondere Befragungen von Mitarbeitern, Studierenden und sonstiger Personen; - (sonstige) Datenbankanwendungen (Programme zur Verwaltung, Pflege, Anzeige, Ausgabe und/oder Auswertung von Daten), z.b.: o Adressentabellen, o Adressbuch im dienstlich genutzten Handy, Smartphone, Tablet usw., o Lieferanten- oder Kundendatenbank o Genom-Datenbank o Benutzerdatenbank (Welcher Benutzer, welches Institut / Abteilung, wer ist DV Koordinator, sitzt in welchem Gebäude, nutzt welches Netz?). o Wissensdatenbanken (Knowledgebase), Hardwaredatenbanken (welcher Rechner mit welcher Ausstattung steht wo (ggf. sogar bei wem)? Netzwerkdatenbanken (welcher Netzwerkanschluss bietet welches Netz und befindet sich wo, bzw. welcher/s Institut / Mitarbeiter nutzt diesen)? - Videoüberwachungsanlagen (hier zudem in jedem Fall erforderlich: Vorabkontrolle, s. Kap. 4). Hinweis: Auch wenn es sich um kein automatisiertes Verfahren handelt, für das eine Dokumentationspflicht besteht, muss die zuständige Stelle Datenschutzvorkehrungen insbesondere nach 7 NDSG treffen. Bei der Textverarbeitung ist z.b. zu regeln, wann welche Texte mit personenbezogenem Inhalt zu löschen sind. Personenbezogene Verfahren bestehen aus drei Komponenten: - Daten (und spezifizierte Datenformate), - IT-Systeme (und spezifizierten Schnittstellen), sowie - (teil-) automatisierte Prozesse. Eine Akte ist gemäß 3 NDSG jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage und die Zusammenfassung solcher Unterlagen einschließlich der Bild- und Tonträger. Hierunter fallen nicht Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. 7

8 1.2 Hintergrund, allgemeine Rechtsgrundlagen (s.a. Kap. 2, Hinweise zu Nr. 5 des Vordrucks) NDSG. Gemäß Paragraph 8 des Niedersächsischen Datenschutzgesetzes ( 8 NDSG, s. Kap. 5) muss jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, dies vorab (d.h. vor der Inbetriebnahme!) in einer Beschreibung festlegen und diese Beschreibung nachfolgend aktuell halten. Diese Verfahrensbeschreibungen umfassen einen öffentlichen Teil, der auf Antrag jedermann einsehbar zu machen ist, sowie einen behördeninternen Teil, der unter anderem der weiter gehenden Dokumentation der jeweiligen Prozesse dient. Um Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen, ist in den Verfahrensbeschreibungen zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet werden und welche Datenschutzmaßnahmen dabei getroffen wurden bzw. werden. Dienstvereinbarung/Ordnung zur Verarbeitung personenbezogener Daten. Am trat an der TU Braunschweig die Dienstvereinbarung/Ordnung zur Verarbeitung personenbezogener Daten der TU Braunschweig in Kraft (Verk.-Blatt Nr. 824). Mit dieser Dienstvereinbarung/Ordnung wurde eine durch das NDSG sowie durch 17 NHG (Niedersächsisches Hochschulgesetz) geforderte, ergänzende Rechtsgrundlage zur Erhebung und sonstigen Verarbeitung personenbezogener Daten von Studienbewerberinnen und Studienbewerbern und Mitgliedern der TU Braunschweig sowie von Angehörigen, die nicht in einem Dienst- oder Arbeitsverhältnis zu ihr stehen, geschaffen. Nach ihr dürfen personenbezogene Daten im Rahmen eines automatisierten Verfahrens (erst dann) erhoben und weiter verarbeitet werden, wenn es zu den hierfür eingesetzten Verfahren eine von der bzw. von dem Datenschutzbeauftragten (DSB) der TU Braunschweig anerkannte Verfahrensbeschreibung gemäß 8 NDSG gibt und das Präsidium der TU Braunschweig das Verfahren bewilligt hat. Ausnahmen. Gemäß den Erläuterungen des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) zu den Verfahrensbeschreibungen 3 bestehen Ausnahmen von der Beschreibungspflicht u.a. für Verfahren, deren personenbezogene Daten ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert und genutzt werden. Ausgenommen sind auch Verfahren, deren Daten nur vorübergehend und zu einem anderen Zweck als dem der inhaltlichen Auswertung gespeichert werden. Als vorübergehend ist in diesem Zusammenhang eine Speicherung anzusehen, wenn die Daten innerhalb von 3 Monaten nach ihrer Erstellung gelöscht werden. Ausgenommen sind ferner öffentliche Register sowie Verfahren, von denen keine Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung zu erwarten sind. Näheres zu den Verfahrensbeschreibungen s. Kap Zulässigkeit der Datenverarbeitung. Gemäß 4 NDG ist eine automatisierte Verarbeitung personenbezogener Daten nur zulässig, wenn es das NDSG, ein anderes Gesetz oder eine andere Rechtsvorschrift wie z.b. die o.g. die Dienstvereinbarung/Ordnung zur Verarbeitung personenbezogener Daten der TU Braunschweig dies vorsieht oder die Betroffenen eingewilligt haben. Eine Einwilligung setzt sie die umfassende Informiertheit der Einwilligenden insbesondere über die Art der zu verarbeitenden Daten und den Zweck der Verarbeitung sowie über die Bedeutung der Einwilligung und das Recht auf jederzeitigen Widerruf mit den eventuellen jeweiligen Rechtsfolgen voraus. Sie muss freiwillig erfolgen, bedarf der Schriftform und entbindet nicht von den allgemeinen Grundsätzen des Datenschutzes bei der automatisierten Verarbeitung personenbezogener Daten. 3 s. 8

9 Eine Übersicht über die grundsätzliche Zulässigkeit einer automatisierten Verarbeitung personenbezogener Daten und das Erfordernis für das Erstellen einer Verfahrensbeschreibung ist in Abb. 2 schematisch dargestellt: Abb. 2: Zulässigkeit der automatisierten Verarbeitung personenbezogener Daten 1) Unzulässig veröffentliche Daten bleiben unzulässig. 2) Bestimmte Arten personen bezogener (z.b. sensibler Daten) dürfen u.u. nicht verarbeitet werden ( Verfahrensbeschreibung erforderlich). 3) 25 NDSG sieht für Forschungsvorhaben eine zusätzliche Rechtsgrundlage neben der freiwilligen Einwilligung und den ansonsten geltenden Rechtsvorschriften vor. Näheres hierzu s. Erläuterungen im Text bzw. beim LfD unter: Vereinfacht zusammengefasst: Die automatisierte Verarbeitung nicht öffentlich zugänglicher personenbezogener Daten ist verboten, es sei denn: 1. es liegt eine freiwillige (schriftliche) Einwilligung der (informierten) Betroffenen vor; 2. das NDSG oder ein anderes Gesetz oder eine andere bindende Rechtsvorschrift erlaubt die Verarbeitung. Eine zusätzliche Sonderregelung besteht gemäß 25 NDSG für Forschungsvorhaben: 3. Verarbeitung personenbezogener Daten für Forschungsvorhaben (s. hierzu Kap. 1.4). 9

10 Die dienstliche Nutzung von privaten Endgeräten als Problemfall. Wie zuvor beschrieben, setzt die Verarbeitung personenbezogener Daten grundsätzlich die Einwilligung des Betroffenen oder eine gesetzliche Grundlage voraus. Diese Rechtsgrundlagen gelten jedoch nur für die jeweilige Behörde, hier also die TU Braunschweig. Sollen private Endgeräte mit in ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten eingebunden werden, müsste die dienstliche Nutzung der privaten Geräte vertraglich mit der Hochschule geregelt sein (wobei eine individuelle Vereinbarung über die Auftragsdatenverarbeitung gemäß 6 NDSG für Privatpersonen i.d.r. nicht oder kaum möglich ist), bzw. die entsprechenden Geräte müssten ebenfalls unter der Kontrolle der Hochschule als Daten verarbeitenden Stelle stehen. Auch bei der dienstlichen Nutzung privater Endgeräte bleibt die Daten verarbeitende Stelle im Sinne des NDSG die Hochschule, die somit auch für die Einhaltung der datenschutzrechtlichen Vorschriften übergeordnet verantwortlich ist. Daher darf eine Verarbeitung personenbezogener Daten auf privaten IT- Systemen aus Gründen des Datenschutzes (und auch der Datensicherheit) nur dann erfolgen, wenn eine schriftliche Genehmigung der Hochschulleitung - beispielsweise im Rahmen einer allgemeinen Dienstvereinbarung - vorliegt und alle erforderlichen organisatorischen und technischen Maßnahmen zum Datenschutz gemäß 7 NDSG getroffen wurden. Hierzu wären idealerweise DV-Koordinatoren und IT-Administratoren der zugehörigen Einrichtung über die Nutzung der privaten Systeme zu informieren und bei der Umsetzung der organisatorischen und technischen Maßnahmen mit einzubeziehen. Auch unter haftungs- und ggf. strafrechtlichen Gesichtspunkten ist eine rechtliche wie auch technischorganisatorische Regelung für die dienstliche Nutzung privater Endgeräte unumgänglich. Geraten Daten von einem privaten (insbesondere einem mobilen) Gerät in falsche Hände, so wird es bei der Frage der Haftung für den hierdurch entstandenen Schaden entscheidend darauf ankommen, ob die Hochschule alle technisch-organisatorischen Maßnahmen getroffen hat, um einen Schaden nach bestem Ermessen auszuschließen. Aufgrund der besonderen organisatorischen Schwierigkeiten und den hohen technischen Anforderungen an Datensicherheit und Datenschutz wird grundsätzlich davon abgeraten, personenbezogene Daten automatisiert auf privaten (und dabei insbesondere auf mobilen) Endgeräten zu verarbeiten. Sollte dies dennoch erforderlich oder unumgänglich sein, ist in Ergänzung zu einer entsprechend umfassenden Verfahrensbeschreibung (s. hierzu Kap. 2, Nr. 11, der Ausfüllhinweise) auch eine vertragliche Regelung mit der Hochschule unbedingt erforderlich. Anderenfalls wäre die Verarbeitung rechtswidrig und könnte im Schadenfall (oder ggf. allein schon beim Bekanntwerden der Verarbeitung) erhebliche rechtliche und ggf. strafrechtliche Folgen haben. Zu den gesetzlichen Grundsätzen und den bezogenen Gesetzen s. Kap Grundregeln der automatisierten Verarbeitung personenbezogener Daten Häufig wird der Begriff des Datenschutzes fälschlicherweise mit dem der Datensicherheit gleichgesetzt oder verwechselt. Ein wirkungsvoller Datenschutz setzt zwar i.d.r. immer auch ein hohes Maß an Datensicherheit voraus, bezieht sich jedoch insbesondere auf den Schutz von Personen vor einer missbräuchlichen Erhebung und Verarbeitung von personenbezogenen (einschließlich personenbeziehbarer Daten, s. Kap. 1.1). Zweck des Datenschutzrechtes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (Wahrung des Rechts auf informationelle Selbstbestimmung). 10

11 Eine Abgrenzung zwischen Datenschutz und Datensicherheit zeigt Abb. 3. Datenschutz (engl.: data privacy; protection of data privacy): Gesamtheit der gesetzlichen und betrieblichen Maßnahmen zum Schutz der Rechte von Personen vor Verletzung der Vertraulichkeit und der Sicherheit des Informationshaushaltes. Demgegenüber bezieht sich der Begriff der Datensicherheit auf den Schutz der Daten vor Verlust, unbefugter Einsicht, Veränderung bzw. Manipulation, Missbrauch oder Ausspähung. Abb. 3: Datenschutz und Datensicherheit Datensicherheit: Gesamtheit der Maßnahmen, welche die Daten sowie die Hard- und Software in ihrem Bestand, ihrer Form und (bei Daten) ihrem Inhalt vor gewollten oder ungewollten Störungen durch Menschen oder Umwelt sowie vor unbefugter Einsicht schützen sollen. Der Begriff der Datensicherheit wird häufig gleichbedeutend zu dem Begriff der IT-Sicherheit verwendet, bezieht sich jedoch streng genommen eher auf die technischen Aspekte der IT-Sicherheit. Sowohl der Datenschutz als auch die Datensicherheit sind zudem wesentliche Bestandteile einer umfassenden Informationssicherheit. Einen schematischen Überblick über die Zusammenhänge zwischen Informationssicherheit, Datenschutz und Datensicherheit gibt Abb. 4: Abb. 4: Zusammenhang zwischen Informationssicherheit, Datenschutz und Datensicherheit 11

12 Prinzipien des Datenschutzes. Wesentliche Grundlagen des Datenschutzes (und somit auch der automatisierten Verarbeitung personenbezogener Daten) sind: a) Verbot mit Erlaubnisvorbehalt b) Erforderlichkeit, Datenvermeidung und Datensparsamkeit c) Direkterhebung und Zweckbindung d) Transparenz e) Datensicherheit, Einhaltung der Schutzziele f) Löschung g) Rechte der Betroffenen Zu a) Verbot mit Erlaubnisvorbehalt. Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist grundsätzlich verboten. Eine Ausnahme besteht nur dann, wenn es eine ausdrückliche gesetzliche Regelung dafür gibt oder die Betroffenen freiwillig (und i.d.r. schriftlich) in die Verarbeitung ihrer Daten eingewilligt haben. Anders ausgedrückt: Personenbezogene Daten dürfen nur verarbeitet (d.h. erhoben, gespeichert, verändert, verarbeitet, übermittelt oder in einer sonstigen Weise genutzt) werden, wenn dies durch ein Gesetz erlaubt ist oder wenn die betroffene Person bei hinreichender Informiertheit und freier Entscheidungsfähigkeit eingewilligt hat. Zu b) Erforderlichkeit, Datenvermeidung und Datensparsamkeit. Die Datenverarbeitung muss erforderlich sein, d.h. dass kein anderes Mittel zur Verfügung stehen darf, welches zur Erreichung des Zwecks genauso gut geeignet wäre, ohne jedoch zu sehr in die Rechte des Betroffenen einzugreifen. Anders ausgedrückt: Sofern andere Mittel zum Erreichen des Zwecks zur Verfügung stehen, dürfen grundsätzlich keine personenbezogenen Daten erhoben bzw. verarbeitet werden. Ist die Verarbeitung personenbezogener Daten zum Erreichen des Zweckes unabdingbar und liegt eine Rechtsgrundlage für die Verarbeitung vor, so ist sie stets an dem Ziel auszurichten, so wenige Daten wie möglich zu verarbeiten. Es dürfen also nicht erst einmal sämtliche Daten, die zu erlangen sind, wahllos gesammelt werden, nur um sie sicherheitshalber schon einmal alle zu haben. Zu c) Direkterhebung und Zweckbindung. Eine Datenerhebung, also das direkte Beschaffen von Daten, ist nur beim Betroffenen unmittelbar selbst zulässig. Das bedeutet, dass das Beschaffen von Daten nur unter Mitwirkung des Betroffenen erlaubt sein soll. Auch hiervon gibt es Ausnahmen, wie etwa die, dass eine Rechtsvorschrift die Erhebung vorschreibt oder eine rechtskonforme Erhebung beim Betroffenen selbst einen unverhältnismäßig großen Aufwand bedeuten würde. Der Zweck einer Erhebung von personenbezogenen Daten muss bereits bei der Erhebung bekannt gegeben werden; zu einem anderen Zweck dürfen die erhobenen Daten nicht verwendet werden. Für die Erstellung der Verfahrensbeschreibung bedeutet dies, dass Sie den Zweck der Datenerhebung und die spätere Verarbeitung von vornherein so genau und umfassend wie möglich darstellen sollten. Wollen Sie beispielsweise die Teilnehmer einer von Ihnen veranstalteten Tagung später regelmäßig anschreiben, sollten Sie hierfür bereits bei der Anmeldung zur Tagung die Einwilligung der Betroffenen einholen und den Zweck in der Verfahrensbeschreibung erläutern. Zu d) Transparenz. Das Prinzip Transparenz beschreibt die Anforderung, dass jeder Betroffene nicht nur wissen soll, dass Daten über ihn erhoben werden, sondern auch, welche Daten zu welchem Zweck bei welcher Stelle für wie lange und aus welchem Grund gespeichert und verarbeitet werden. Eine heimliche Datenerhebung ist grundsätzlich unzulässig und nur unter sehr strengen Voraussetzungen möglich. Zu e) Datensicherheit, Einhaltung der Schutzziele. Die Daten verarbeitende Stellen sind verpflichtet, dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder gegen Verlust gesichert werden. Diese Pflicht steht in direktem Zusammenhang mit weiteren Pflichten zur Gewähr- 12

13 leistung der Datensicherheit und zur Einhaltung der Schutz- und Sicherungsziele des Datenschutzes. Neben den klassischen Schutzzielen Verfügbarkeit, Integrität und Vertraulichkeit sowie Authentizität und Revisionsfähigkeit werden zunehmend auch die neueren Schutzziele Transparenz, Nichtverkettbarkeit und Intervenierbarkeit bei einer Vielzahl von Bestimmungen des Datenschutzrechts genannt. Wenn personenbezogene Daten verarbeitet werden, dann ist gemäß NDSG sicherzustellen, dass - nur Befugte auf Verfahren und Daten zugreifen und diese zur Kenntnis nehmen können (Vertraulichkeit; umzusetzen u.a. durch die Abschottung von Systemen und Prozessen, durch Rollentrennungen sowie durch die Verschlüsselung von Daten und Kommunikation); - personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können (Nichtverkettbarkeit; Umsetzung z.b. durch Anonymisierungs- und Pseudonymisierungsverfahren 4 ); - Daten unversehrt, vollständig und aktuell bleiben (Integrität; bei Daten werden z.b. Hash-Werte und bei Prozessen Soll-/Ist-Zustände verglichen ); - Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit; umzusetzen u.a. durch die redundante Auslegung von Datenbeständen, Systemen und Prozessen); - Verfahren vollständig dokumentiert sind, damit die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann (Transparenz; hierbei sind die Abläufe zu protokollieren und zu auditieren); - Verfahren so gestaltet werden, dass sie den Betroffenen die Ausübung der ihnen zustehenden Rechte (z.b. nach den 16 ff NDSG) wirksam ermöglichen (Intervenierbarkeit; hierzu ist es insbesondere notwendig, dem Betroffenen unmittelbar Zugriff auf seine Daten und Prozesse zu gewähren; zudem müssen Organisationen generell über ein gesteuertes Change-Management verfügen). Weitere Forderungen zur datenschutzgerechten Verarbeitung personenbezogener Daten (Einhaltung von Schutzzielen) bestehen u.a. darin, dass: - Daten jederzeit Ihrem Ursprung zugeordnet werden können (Authentizität); - festgestellt werden kann, wer wann welche Daten verarbeitet hat (Revisionsfähigkeit). - Zu f) Löschung. Werden die Daten nicht mehr für den primären Zweck, für den sie erhoben wurden, benötigt und ist man nicht gesetzlich verpflichtet, die Daten aufzuheben, dann müssen sie grundsätzlich gelöscht werden. Bei den (übergeordneten) gesetzlichen Aufbewahrungspflichten gibt es natürlich für unterschiedliche Datenkategorien unterschiedlich lange Aufbewahrungsfristen. Im Grundsatz heißt es daher: So kurz wie irgend möglich (nach dem NDSG und ggf. anderen Datenschutzvorschriften), aber so lange wie nötig (nach anderen Gesetzen und Rechtsvorschriften, die dem Datenschutzgesetz hier übergeordnet sind). - Zu g) Rechte der Betroffenen. Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist grundsätzlich verboten. Eine Ausnahme besteht nur dann, wenn es eine ausdrückliche gesetzliche Regelung dafür gibt oder die Betroffenen freiwillig in die Verarbeitung Ihrer Daten eingewilligt haben. Betroffene haben z.b. das Recht auf Auskunft und Einsichtnahme, Widerspruch aus besonderem Grund, Unterrichtung, Berichtigung, Sperrung und Löschung, Schadenersatz, Anrufung der Beauftragten für Datenschutz, sowie Auskunft aus dem Verfahrensverzeichnis. 4 Bei einer Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (z.b. einen Code) ersetzt. Im Gegensatz zur Anonymisierung bleiben Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, erhalten, und weitere Datensätze können hinzugefügt werden, ohne dass die Person als solche identifizierbar ist. 13

14 1.4 Sonderregelung gemäß 25 NDSG für Forschungsvorhaben Nach 25 NDSG dürfen für wissenschaftliche Forschungsvorhaben personenbezogene Daten auch verarbeitet werden, wenn Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der Betroffenen der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der Betroffenen erheblich überwiegt (s. Kap. 5, bezogene Gesetzestexte). Diese Forschungsklausel in 25 NDSG und weitere spezifische Regelungen in anderen Gesetzen werfen viele Fragen nach Auslegung und datenschutzgerechter Umsetzung auf. Antworten auf die häufig gestellten Fragen zum Thema Forschung von einer Begriffsbestimmung für wissenschaftliche Forschungsvorhaben bis hin zur Veröffentlichung von Forschungsergebnissen mit personenbezogenen Daten finden Sie auf der Internetseite des LfD unter: Einige wichtige Aspekte für die Anwendung des 25 NDSG sind: a) Zweckbindung. Die für ein Forschungsvorhaben genutzten Daten unterliegen einer besonderen, endgültigen Zweckbindung und dürfen daher nicht für andere als Zwecke der wissenschaftlichen Forschung weiterverarbeitet werden (Forschungsgeheimnis). Will eine Forschungsstelle auf bereits vorhandene Daten zurückgreifen, die für andere Zwecke oder auch für ein anderes Forschungsvorhaben erhoben oder gespeichert worden sind, so liegt darin eine Zweckänderung dieser Daten. Diese ist nach 25 Abs. 2 nur zulässig bei (s.a. Abb. 2, S. 5): - einer Einwilligung der Betroffenen, - beim Vorliegen einer entsprechenden Rechtsvorschrift (einschließlich Satzungen bzw. Ordnungen von Selbstverwaltungskörperschaften wie den Hochschulen), - einem Zutreffen der Forschungsklausel nach 25 Abs. 2 Nr. 3., d.h. wenn die Belange der Betroffenen hinter dem Interesse am Forschungsvorhaben zurücktreten müssen. Demnach dürfen vorhandene Daten abweichend von ihrer ursprünglichen Zweckbestimmung ohne Einwilligung der Betroffenen verarbeitet werden, wenn Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der Betroffenen der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht (1. Alternative) oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der Betroffenen erheblich überwiegt (2. Alternative). b) Zulässigkeit, Anonymisierung und getrennte Speicherung. Auch für die Verarbeitung von personenbezogenen Daten zu Forschungszwecken gelten stets die allgemeinen Datenschutzgrundsätze der 9 bis 15 NDSG. Sie werden durch 25 Abs. 2 bis 5 und 7 nur modifiziert und bleiben im Übrigen anwendbar. In jedem Fall bedarf es der Prüfung, ob die Datenverarbeitung für den bestimmten wissenschaftlichen Zweck im konkreten Umfang tatsächlich erforderlich (verhältnismäßig) ist. Die Verarbeitung personenbezogener Daten ist nur zulässig, solange und soweit anonymisierte Daten für den Zweck des Vorhabens nicht ausreichen. Forschende sollten daher prüfen, ob überhaupt ein Rückgriff auf Personendaten und damit eine Anwendung von 25 erforderlich ist. 14

15 Bei epidemiologischen oder entsprechenden Untersuchungen, bei denen eine Beibehaltung des Personenbezugs erforderlich ist, um später eingehende Daten dem richtigen Datensatz zuordnen zu können, ist eine Verschlüsselung zu empfehlen. Es ist dafür Sorge zu tragen, dass die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können, so früh wie möglich gesondert gespeichert bzw. gelöscht werden. Auswertungen dürfen nur aus den nicht-personenbezogenen Datenbeständen erfolgen. Bedarf es in Einzelfällen der Re-Identifizierung, so sollten die Identifikationskriterien abgetrennt und von einem Treuhänder oder einem ausdrücklich hierzu ermächtigten Mitarbeitenden verwaltet werden. Ein Treuhänder sollte von der forschenden Stelle unabhängig sein. Die Datei mit den Identifikationsmerkmalen muss spätestens gelöscht werden, wenn das Forschungsprojekt beendet ist. c) Datenerhebung in anderen Bundesländern. Wenn eine öffentliche niedersächsische Stelle Forschungsvorhaben durchführt, bei denen eine Datenerhebung in anderen Bundesländern erfolgt, hat die Forschungsstelle zunächst die Zulässigkeit der Datenerhebung nach niedersächsischem Recht zu prüfen. Ob die Datenübermittlung durch Stellen des Bundes oder anderer Bundesländer zulässig ist, richtet sich nach den für diese geltenden Datenschutzbestimmungen und ist von den übermittelnden Stellen in eigener Zuständigkeit zu prüfen; die Datenübermittlung durch Private richtet sich nach den Regeln des Bundesdatenschutzgesetzes. d) Öffentliches Interesse. Das öffentliche Interesse wird zunächst durch die Hochschule, den Hochschullehrer oder den sonstigen Forschenden als Inhaber des Forschungsrechts festgelegt. Der Begriff ist nicht nur im Sinne eines staatlichen oder Verwaltungsinteresses zu verstehen. Die Annahme des öffentlichen Interesses orientiert sich an der gesellschaftlichen oder wissenschaftlichen Bedeutung des untersuchten Gegenstands. Ist zu erwarten, dass mit Hilfe der Forschungsergebnisse besondere im Gemeinwohl liegende Maßnahmen ermöglicht werden (z.b. Vermeidung von Straftaten, Bekämpfung einer Krankheit, Beseitigung einer Umweltgefahr), so spricht dies in besonderem Maße für ein öffentliches Interesse. Das öffentliche Interesse kann durch Gesetze (z.b. Gesundheits- oder Umweltgesetze) oder durch ministerielle Entscheidungen bekräftigt werden. Die Begründung des öffentlichen Interesses ist der Verfahrensbeschreibung für die geplante Datenverarbeitung beizufügen. Es empfiehlt sich eine vorherige Abstimmung mit dem Datenschutzbeauftragten der TU Braunschweig, der im Rahmen des Bewilligungsprozesses bei der Verfahrensbeschreibung unter Punkt 17.1 eine Stellungnahme auch zu der Begründung abgibt. 15

16 1.5 Zweck und Verwendung der Verfahrensbeschreibungen Wie bereits unter 1.2 dargestellt, muss gemäß 8 NDSG jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, dies vorab in einer Beschreibung festlegen und diese Beschreibung nachfolgend aktuell halten. Für solch eine Verfahrensbeschreibung bietet der LfD einen Mustervordruck und kurze Ausfüllhinweise 5 hierzu an, wobei der Vordruck jedoch nicht zwingend vorgeschrieben ist und somit von der Daten verarbeitenden Behörde auf die jeweiligen Bedürfnisse und Verhältnisse angepasst werden kann. In der Verfahrensbeschreibung ist in jedem Fall festzulegen: - die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung, - die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung, - der Kreis der Betroffenen, - die Art der regelmäßig zu übermittelnden Daten, deren Empfänger, in den Fällen des 6 NDSG auch die Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten, - die Absicht, Daten in Staaten nach 14 NDSG zu übermitteln, - Fristen für die Sperrung und Löschung der Daten, - die technischen und organisatorischen Maßnahmen nach 7 NDSG, - die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung. Ausnahmen von der Beschreibungspflicht bestehen (wie bereits in Kap. 1.2 dargestellt) für Verfahren, deren personenbezogene Daten ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert und genutzt werden. Ausgenommen sind auch Verfahren, deren Daten nur vorübergehend und zu einem anderen Zweck als dem der inhaltlichen Auswertung gespeichert werden 6. Als vorübergehend ist eine Speicherung anzusehen, wenn die Daten innerhalb von 3 Monaten nach ihrer Erstellung gelöscht werden. Ausgenommen sind ferner öffentliche Register sowie Verfahren, von denen keine Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung zu erwarten sind. Mit Textverarbeitungssystemen (Textautomaten, PC oder Bürokommunikationssystemen) erstellte Dokumente sind dann beschreibungspflichtig, wenn sie personenbezogene Daten enthalten, die durch automatisierte Verfahren ausgewertet werden können. Für die Auswertbarkeit kommt es darauf an, ob das System Funktionen enthält, die es ermöglichen, die Dokumentensammlung insgesamt oder das einzelne Dokument nach personenbezogenen Merkmalen zu erschließen (z.b. Zuordnung von Texten zu Personen über Dateiverzeichnisse und Verwaltungsfunktionen, Erschließen von Texten nach Namen und/oder Begriffen). Verfahrensbeschreibungen sind auch anzulegen für Dokumentensammlungen, die nach Autoren, Dokumententypen mit gleicher Sensibilität und Inhalten zusammengefasst sind (z.b. Bewilligungsbescheide, Bußgeldbescheide, Gutachten des Ärztlichen Dienstes), für Adressentabellen und für Datenbankanwendungen. 5 s. 6 Eine nur vorübergehende Speicherung von personenbezogenen Daten begründet allein somit noch nicht von der Pflicht, eine Verfahrensbeschreibung zu erstellen. 16

17 Die Verfahrensbeschreibungen gliedern sich in einen so genannten öffentlichen Teil (Punkte 1 bis 8) und in einen behördeninternen Teil (Punkte 9 14); sie dienen dabei dementsprechend insbesondere: a) zur Dokumentation des jeweiligen Datenverarbeitungsverfahrens und dessen rechtlicher Konformität (Punkte 1 bis 17), sowie b) zur Unterrichtung der Öffentlichkeit (Punkte 1 bis 8). Zu a) Gemäß der Ordnung zur Verarbeitung personenbezogener Daten der Technischen Universität Braunschweig darf jedes automatisierte Verfahren zur Verarbeitung personenbezogener Daten erst dann in Betrieb genommen werden, wenn es hierzu eine Verfahrensbeschreibung gemäß 8 NDSG gibt, die von der bzw. von dem Datenschutzbeauftragten (DSB) der TU Braunschweig anerkannt und ggf. auch der Personalvertretung billigend zur Kenntnisnahme genommen wurde, und wenn das Präsidium der Hochschule das Verfahren bewilligt hat. Hierdurch soll eine gesetzeskonforme Vorgehensweise bei der automatisierten Verarbeitung personenbezogener Daten gewährleistet werden. Die Verfahrensbeschreibungen umfassen einen öffentlichen Teil, der auf Antrag jedermann einsehbar zu machen ist, sowie einen nicht-öffentlichen Teil (behördeninterner Teil), der unter anderem der weiter gehenden Dokumentation der jeweiligen Prozesse dient. Um Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen, ist in den Verfahrensbeschreibungen zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet werden und welche Datenschutzmaßnahmen dabei getroffen wurden bzw. werden. Gegenüber dem Mustervordruck des LfD wurde der an der TU Braunschweig verwendete Vordruck in einigen Punkten insbesondere zum besseren Verständnis modifiziert, jedoch auch u.a. um einen wesentlichen Punkt (Nr. 9.2) zur eigentlichen Beschreibung des Prozesses ergänzt. Zu b) Mit dem Artikel 21 Abs. 3 der EG-Datenschutzrichtlinie verpflichten sich die Mitgliedsstaaten, die Öffentlichkeit über Art und Umfang von automatisierten Verarbeitungen personenbezogener Daten zu unterrichten. Dies erfolgt durch die für die Verarbeitung Verantwortlichen oder durch eine andere von den Mitgliedstaaten benannte Stelle. Gemäß 8 Satz 1 Nrn. 1 bis 6 NDSG sind daher auf Antrag die entsprechenden Angaben in geeigneter Weise jedermann 7 durch die Daten verarbeitende Stelle bzw. dem für sie zuständigen behördlichen Datenschutzbeauftragten verfügbar zu machen. Um Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen, ist in der Verfahrensbeschreibung zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher automatisierter Verfahren und auf welche Weise verarbeitet werden und welche technischen und organisatorischen Datenschutzmaßnahmen (einschließlich der Sperrung und/oder Löschung der Daten) dabei getroffen wurden. Nach ihrer Anerkennung (und der Bewilligung des Verfahrens) wird die Verfahrensbeschreibung in ein Verfahrensverzeichnis aufgenommen und bis auf den behördeninternen Teil der Beschreibung (Punkt 9-17 des Vordrucks sowie Anlagen) in der Regel auf den Webseiten der Universität veröffentlicht 8. Weitere Einzelheiten sind dem kommentierten NDSG in den Erläuterungen zu 8 NDSG zu entnehmen (s. 7 Der Personenkreis, die in den öffentlichen Teil der Verfahrensbeschreibungen Einsicht nehmen können, ist nicht (z.b. auf den Kreis der Betroffenen) beschränkt. 8 Auch in dem öffentlichen Teil der Verfahrensbeschreibungen können ggf. solche Informationen verborgen ( geschwärzt ) werden, die zu einer Beeinträchtigung der Verfahrenssicherheit bzw. zu einer Verletzung von Betriebsgeheimnissen führen könnten. 17

18 2. Ausfüllhinweise zur Verfahrensbeschreibung A. Öffentlicher Teil der Verfahrensbeschreibung Einzel- oder Sammelbeschreibung? Im Regelfall fertigt jede Daten verarbeitende Stelle an der TU Braunschweig 9 vorab für jedes von ihr eingeführte bzw. einzuführendes Verfahren eine gesonderte Verfahrensbeschreibung an. Eine Sammelbeschreibung für eine Mehrzahl von Verfahren kann erstellt werden, wenn die Angaben gleich bzw. gleichwertig sind. Eine Sammelbeschreibung kommt beispielsweise in Betracht, wenn a) innerhalb einer Stelle mehrere Benutzer gleiche oder gleichartige Verfahren nutzen (z.b. gleiche Anwendungen auf mehreren PC), b) mehrere Stellen bei einer Stelle gleiche Verfahren nutzen (z.b. die Institute als Stellen der TU Braunschweig als die übergeordnete Stelle ). Beispiele: - Verschiedene Lehrtätige an einem Institut nutzen für verschiedene Veranstaltungen das gleiche oder ähnliche Verfahren zum Führen von Teilnehmer- und Prüfungslisten jeweils an ihrem Arbeitsplatzrechner Verschiedene Mitarbeiterinnen und Mitarbeiter eines Institutes führen regelmäßig zu Forschungszwecken Befragungen durch, die in Art und Umfang einander sehr ähnlich sind und deren erhaltene Daten auf die gleiche bzw. eine ähnliche Art und Weise ausgewertet und verarbeitet werden. Mehrere Institute der TU Braunschweig nutzen dasselbe Auswertungstool einer Fakultät. Sammelverfahrensbeschreibungen müssen jedoch stets dann durch Einzelbeschreibungen oder Anlagen ergänzt werden, wenn bei einem einzelnen Verfahren wesentliche Merkmale (z.b. Art der personenbezogenen Daten, des automatisierten Verfahrens, der Verarbeitungsweise, der technischen und organisatorischen Datenschutzmaßnahmen) so von den in der Sammelbeschreibung genannten Merkmalen abweichen, dass sie ihre Gültigkeit verlieren. Wird die Sammelbeschreibung nicht von der Daten verarbeitenden Stelle selbst erstellt, so sind in der Verfahrensbeschreibung der Auftragnehmer und in einer zusätzlichen Liste alle Daten verarbeitenden Stellen anzugeben. Zu 1. Anzeigende Stelle (s.a. Punkt 15 des Vordrucks) Bei der öffentlichen Stelle handelt es sich formal um die Daten verarbeitende Stelle gemäß 3 Abs. 3 NDSG, also um die TU Braunschweig (daher ist die TU Braunschweig in dem Vordruck bereits angegeben). Da sich die meisten der zu beschreibenden Verfahren auf einzelne Institute (oder auf Sach- 9 Gegenüber Dritten wie auch dem Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gilt im Regelfall die TU Braunschweig insgesamt als die anzeigende und Daten verarbeitende Stelle, jeweils vertreten durch die Institute und Einrichtungen, welche die Datenverarbeitung als untergeordnete Stelle tatsächlich durchführen. Letztere werden hier vereinfacht als die anzeigende und die Daten verarbeitende Stelle bezeichnet (soweit nicht anders zutreffend). 18

19 gebiete der Hochschulverwaltung) beschränken und diese für das Verfahren die primäre Verantwortung tragen, müssen auch sie als Institut/Einrichtung angegeben werden und die Verfahrensbeschreibung erstellen sowie in der Folge aktuell halten. Hinweis: Die Verfahrensbeschreibung ist im nicht-öffentlichen Teil der Verfahrensbeschreibung unter Punkt 15 von der Stelle (Institut/Einrichtung) zu unterschreiben, welche die Verfahrensbeschreibung erstellt hat. Da die Verfahrensbeschreibung häufig nicht von dem Leiter/Verantwortlichen der Einrichtung selbst erstellt wird, müssen sowohl vom Verantwortlichen als auch vom Bearbeiter jeweils der Name genannt und die Unterschrift geleistet werden. Hinweis: Name, Organisationseinheit und Telefonnummer der oder des Datenschutzbeauftragten werden (abweichend von den Mustervorgaben des Landesbeauftragten für den Datenschutz Niedersachsen, LfD) unter Punkt 17 (Genehmigungsprozess) genannt. Diese Angaben werden für evtl. Rückfragen benötigt, wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen und die Verfahrensbeschreibungen deshalb dem LfD nach 22 Abs. 5 NDSG vorgelegt werden müssen. Zu 2. Bezeichnung des Verfahrens Hier ist eine komplette Bezeichnung (keine Abkürzung des Verfahrens bzw. der Programme) unter Verwendung eines möglichst sprechenden" Namens zu verwenden, z.b. Teilnehmerliste für Praktika, Studierendenbefragung zum Einsatz mobiler Speichermedien usw. Bitte geben Sie dabei ggf. auch das Verfahren (Programmname) an, mit dem die Daten verarbeitet werden (z.b. unter Einsatz von Unipark ). Verknüpfungen zu anderen Verfahren sind dann anzugeben, wenn mithilfe der Verknüpfung automatische Suchvorgänge oder automatische Veränderungen von anderen Verfahren aus oder in anderen Verfahren durchgeführt werden (z.b. bei Zugriff auf SAP- oder HIS-Datenbanken). Zu 3. Bezeichnung der Daten verarbeitenden Stelle Daten verarbeitende Stelle ist jede Stelle (eine zentrale oder dezentrale Einrichtung, z.b. Institute oder Fakultäten), die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Wenn die Daten ausschließlich von dieser Stelle verarbeitet werden, kreuzen Sie dies an, sonst müssen alle Auftragnehmer mit Namen und Anschrift genannt sowie der schriftlich zu schließende Vertrag nach dem NDSG als Anlage beigefügt werden. Datenschutzrechtlich zu unterscheiden sind die Auftragsdatenverarbeitung und die Funktionsübertragung. Bei der Auftragsdatenverarbeitung bleibt die datenschutzrechtliche Verantwortung für die Verarbeitung und Nutzung der personenbezogenen Daten beim Auftraggeber. Er schreibt die technischen und organisatorischen Maßnahmen zur Datensicherung und zur Gewährleistung der Vertraulichkeit beim Auftragnehmer vor. Dem Serviceunternehmen wird nur die tatsächliche Verarbeitung oder Nutzung nach Weisung und unter materieller Verantwortung des Auftraggebers übertragen. Bei der Datenverarbeitung im Auftrag wird damit lediglich eine Hilfsfunktion der eigentlichen Aufgabe ausgelagert. Eine an der TU Braunschweig häufige Auftragsdatenverarbeitung erfolgt beispielsweise im Zusammenhang mit Befragungen für Forschungszwecke, bei denen die Auftragnehmer nur die Plattform für die Befragung stellen oder eine generalisierte Auswertung nach den strikten Vorgaben des jeweiligen Auftraggebers durchführen. 19

20 Werden dagegen die der Verarbeitung zugrunde liegenden (i.d.r. eigenverantwortlichen) Aufgaben oder Geschäftszwecke ganz oder teilweise abgegeben, erbringt der Auftragnehmer über die technische Durchführung hinaus materielle Leistungen mit Hilfe der überlassenen Daten, dann spricht die Kommentarliteratur von einer Funktionsübertragung. In diesem Fall wird also dem Dienstleister eine ganze Aufgabe übertragen, die er eigenverantwortlich wahrnimmt. Ein Beispiel hierfür könnte ein Forschungsverbundprojekt sein, bei dem ein Institut der TU Braunschweig Daten an ein Institut einer anderen Hochschule im Rahmen eines Forschungsvertrages übermittelt und das Daten empfangende Institut diese nach eigenen Maßgaben auswertet. In diesem Fall muss einerseits die Datenübermittlung eine für die TU Braunschweig gültige Rechtsgrundlage haben und andererseits die Daten empfangende Stelle eine eigene Verfahrensbeschreibung zur Verarbeitung der Daten erstellen. Deutliche Erkennungsmerkmale sind bei: Auftragsdatenverarbeitung: Funktionsübertragung: fehlende Entscheidungsbefugnis des Auftragnehmers; weisungsgebundene Unterstützung; fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen; Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt; Überlassung von Nutzungsrechten an den Daten; eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister; Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch). Soweit personenbezogene Daten im Rahmen der Wartung oder Fernwartung von Datenverarbeitungssystemen zwingend genutzt werden müssen, ist dies als Datenverarbeitung im Auftrag i.s. des 6 zulässig. Ob weitergehende Schutzvorschriften (z.b. 203 des Strafgesetzbuches [StGB]) berührt sind, ist gesondert zu prüfen. Lässt eine Daten verarbeitende Stelle der TU Braunschweig personenbezogene Daten im Auftrag von einer Stelle außerhalb des Landes Niedersachsen verarbeiten, so hat sie die zuständige Datenschutzkontrollbehörde zu unterrichten. Handelt es sich bei dem Auftragnehmer um eine öffentliche Stelle eines anderen Landes oder des Bundes, so ist die zuständige Datenschutzkontrollbehörde die oder der jeweilige Landesdatenschutzbeauftragte bzw. die oder der Bundesbeauftragte für den Datenschutz. Handelt es sich bei dem Auftragnehmer um eine nicht-öffentliche Stelle, ist die nach 38 BDSG zuständige Aufsichtsbehörde zu unterrichten. Im Rahmen der vertraglichen Verpflichtung nicht-öffentlicher Stellen als Auftragnehmer, jederzeitige vom Auftraggeber veranlasste Kontrollen zu ermöglichen, ist auch das Prüfungsrecht der oder des Landesbeauftragten für den Datenschutz zu gewährleisten. In jedem Fall haben sich die Auftraggeber von der Beachtung der Regelungen des 7 NDSG und der Einhaltung der erteilten Weisungen zu vergewissern. Weitere Einzelheiten zur Auftragsdatenverarbeitung (Orientierungshilfe und Checkliste) entnehmen Sie bitte der entsprechenden Internetseite des LfD: 20

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG)

Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Nach 8 des Niedersächsischen Datenschutzgesetzes (NDSG) muss jede öffentliche Stelle, die Verfahren

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

- Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig -

- Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig - 0ö5öaälo0##Qer234 Der Datenschutzbeauftragte Dr. Bernd Nörtemann - Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig - (in Anlehnung an die Ausfüllhinweise des Landesbeauftragten für den Datenschutz

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

M i t t e i l u n g s b l a t t. Der Rektor der Kunsthochschule Berlin (Weißensee) 8. März 2011 Bühringstraße 20, 13086 Berlin

M i t t e i l u n g s b l a t t. Der Rektor der Kunsthochschule Berlin (Weißensee) 8. März 2011 Bühringstraße 20, 13086 Berlin K u n s t h o c h s c h u l e B e r l i n ( W e i ß e n s e e ) K H B Hochschule für Gestaltung M i t t e i l u n g s b l a t t Herausgeber: Nr. 170 Der Rektor der Kunsthochschule Berlin (Weißensee) 8.

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Big Data in der Medizin

Big Data in der Medizin Big Data in der Medizin Gesundheitsdaten und Datenschutz Dr. Carola Drechsler Sommerakademie 2013 Inhalt Was bedeutet Big Data? Welche datenschutzrechtlichen Fragestellungen sind zu berücksichtigen? Welche

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Hinweise zum datenschutzgerechten Umgang mit personenbezogenen Daten

Hinweise zum datenschutzgerechten Umgang mit personenbezogenen Daten Hinweise zum datenschutzgerechten Umgang mit personenbezogenen Daten Diese Ausarbeitung soll allen Mitarbeiterinnen und Mitarbeitern der Hochschule für angewandte Wissenschaft und Kunst Hildesheim/Holzminden/Göttingen

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Memorandum GeoBusiness und Datenschutz

Memorandum GeoBusiness und Datenschutz Memorandum GeoBusiness und Datenschutz Teil 1 Verhaltensregeln zur Geodaten-Nutzung durch Wirtschaftsunternehmen - GeoBusiness Code of Conduct - anerkannt durch die zuständige Datenschutzaufsichtsbehörde

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datenschutzbeauftragter

Datenschutzbeauftragter Datenschutz- Einführung und Prinzipien Dr. Kai-Uwe Loser Internet- t Pranger (USA) Universität Dortmund Sexualstraftäter Straftäter allgemein Im Rahmen von Prostitution aufgegriffene Passfotos Universität

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen? Was muss der Unternehmer wissen? Was ist Datenschutz nach BDSG? Basis: Recht auf informelle Selbstbestimmung Jeder Mensch kann selbst entscheiden, wem wann welche personenbezogene Daten zugänglich sein

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung:

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Briefbogen des verwenden Unternehmens Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Die Verpflichtung hat in der Regel vor oder bei erstmaliger Aufnahme der Arbeit bei der verantwortlichen

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

Monitoring und Datenschutz

Monitoring und Datenschutz Zentrum für Informationsdienste und Hochleistungsrechnen Monitoring und Datenschutz Dresden, 27.Mai 2008 Bundesrepublik Deutschland Grundrecht auf informationelle Selbstbestimmung: Der Betroffene kann

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

--------------------------------------------------------------------------------

-------------------------------------------------------------------------------- Datenschutz Bericht von Sebastian Dähne Definition Datenschutz allgemein Warum Datenschutz? Begriffsbestimmungen Wie wird der Datenschutz in Deutschalnd geregelt -> Bundesdatenbschutzgesetz Die Rechte

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Big Data - Herausforderung Datenschutz meistern. Philip Liegmann Frankfurt am Main, 19. Mai 2015

Big Data - Herausforderung Datenschutz meistern. Philip Liegmann Frankfurt am Main, 19. Mai 2015 Big Data - Herausforderung Datenschutz meistern Philip Liegmann Frankfurt am Main, 19. Mai 2015 Inhalt/Agenda 01 Warum Datenschutz? 02 Überblick über das Bundesdatenschutzgesetz (BDSG) 03 Begriffe und

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr

Datenschutz. Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG. Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.

Datenschutz. Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG. Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg. Datenschutz Verarbeitung personenbezogener Daten auf den Rechenanlagen der GWDG Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

BDSG-Novelle I und II BDSG-Novelle I und II Eine Zusammenfassung der wichtigsten Neuerrungen Okt-12 Rechtsanwalt Matthias Marzluf 1 BDSG-Novelle I und II BDSG-Novelle II Okt-12 Rechtsanwalt Matthias Marzluf

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG)

Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) Hinweise zur Vorabkontrolle nach 9 Landesdatenschutzgesetz Schleswig-Holstein (LDSG) I. Grundsätzliches zur Vorabkontrolle Vor dem Einsatz von Gemeinsamen Verfahren und Abrufverfahren ( 8 Abs. 1 LDSG)

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Datenschutz in der betrieblichen Praxis

Datenschutz in der betrieblichen Praxis Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter Überblick zur

Mehr

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle) Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Datenschutzbestimmungen der MUH GmbH

Datenschutzbestimmungen der MUH GmbH Datenschutzerklärung MUH Seite 1 Datenschutzbestimmungen der MUH GmbH Stand: 20.06.2012 1. Unsere Privatsphäre Grundsätze 1.1 Bei der MUH nehmen wir den Schutz Ihrer persönlichen Daten sehr ernst und halten

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Prozessabläufe Datenschutzbeauftragten bestellen. P 001 Prozessablauf. 2 Mensch und Medien GmbH

Prozessabläufe Datenschutzbeauftragten bestellen. P 001 Prozessablauf. 2 Mensch und Medien GmbH V 2 Mensch und Medien GmbH 001 Beschreibung: Öffentliche und nichtöffentliche Stellen, die personenbezogene Daten erheben, speichern, verarbeiten oder nutzen, müssen unter bestimmten Umständen einen. Der

Mehr

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Verantwortliche Stelle 1 Stand vom: 1. Bezeichnung des Verfahrens 2 2. Zweckbestimmung 3 und Rechtsgrundlage

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung Verband Bildung und Erziehung Landesbezirk Südbanden Datenschutz, Sorgerecht und Schulanmeldung Neue VwV Datenschutz I. Allgemeines Zulässigkeit der Datenverarbeitung Datenerhebung... Datenlöschung und

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG und der IT-Sicherheit Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung"

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

Von Stefan Lang und Ralf Wondratschek

Von Stefan Lang und Ralf Wondratschek - Umgang von Betrieben mit - Mitarbeiterdaten - Kundendaten - Technisierung der Betriebe - Grenzen der Datensammlung / -speicherung bei Betrieben - Strafen - aktuelles Beispiel - Quellen Es gibt 2 Arten

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Datenschutz und Datensicherheit. Warum Datenschutz

Datenschutz und Datensicherheit. Warum Datenschutz Datenschutz und Datensicherheit 14.10.2003 1 Warum Datenschutz Imageverlust Steigende Sensibilität der Nutzer und Kunden für Datenschutzbelange Vorschrift durch Gesetze mithin Geldstrafen Höchststrafe

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Grundlagen zu Datenschutz und Datensicherheit im Unternehmen

Grundlagen zu Datenschutz und Datensicherheit im Unternehmen Grundlagen zu Datenschutz und Datensicherheit im Unternehmen Einführung In Deutschland hat sich das Datenschutzrecht aus dem in Artikel 2 des Grundgesetzes formulierten Persönlichkeitsrecht entwickelt.

Mehr

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG)

Datenschutz nach. Herzlich Willkommen. bei unserem Datenschutz-Seminar. Bundesdatenschutzgesetz (BDSG) Datenschutz nach Bundesdatenschutzgesetz (BDSG) Herzlich Willkommen bei unserem Datenschutz-Seminar 1 Vorstellung Matthias A. Walter EDV-Sachverständiger (DESAG) Datenschutzbeauftragter (TÜV) 11 Jahre

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Verfahrensbeschreibung gem. 8 des Nds. Datenschutzgesetzes (NDSG)

Verfahrensbeschreibung gem. 8 des Nds. Datenschutzgesetzes (NDSG) Verfahrensbeschreibung gem. 8 des Nds. Datenschutzgesetzes (NDSG) Einzelbeschreibung der Daten verarbeitenden Stelle Sammelbeschreibung der Daten verarbeitenden Stelle zu gleichartigen Verfahren Anzahl

Mehr

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis?

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? AnleiterInnentag 13.11.2014 Prof. Patjens www.dhbw-stuttgart.de Datenschutz Darf ich Sozialdaten weitergeben? Schweigepflicht

Mehr

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Diplom-Informatiker Werner Hülsmann Konradigasse 24-78462-Konstanz Tel.:7531 / 365 90 5-4; FAX: -7 E-Mail: info@datenschutzconsulting.info

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Bearbeitungshinweise

Bearbeitungshinweise DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Bearbeitungshinweise zur Meldung eines automatisierten Datenverarbeitungsverfahrens nach 4d des Bundesdatenschutzgesetzes (BDSG) zum Register nach 38 Absatz 2

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1 Datenschutz für das Liegenschaftskataster Dipl.-Ing. Michael Rösler-Goy Landesamt für Vermessung und Geoinformation Bayern Rösler-Goy: Datenschutz für das Liegenschaftskataster 1 1. Wozu dient Datenschutz?

Mehr

Infoblatt zu den Nutzungsmöglichkeiten der Mikrodaten Kraftfahrzeugverkehr in Deutschland 2010 - Dateien für wissenschaftliche Zwecke

Infoblatt zu den Nutzungsmöglichkeiten der Mikrodaten Kraftfahrzeugverkehr in Deutschland 2010 - Dateien für wissenschaftliche Zwecke Stand 04.03.2014 AZ UI 34/3512.2/700829/2008 Infoblatt zu den Nutzungsmöglichkeiten der Mikrodaten Kraftfahrzeugverkehr in Deutschland 2010 - Dateien für wissenschaftliche Zwecke Für Verkehrspolitik, planung

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Heintzmann Gruppe Internetpräsenz Datenschutzerklärung (privacy policy) nach 13 TMG (Telemediengesetz)

Heintzmann Gruppe Internetpräsenz Datenschutzerklärung (privacy policy) nach 13 TMG (Telemediengesetz) Heintzmann Gruppe Internetpräsenz Datenschutzerklärung (privacy policy) nach 13 TMG (Telemediengesetz) Die Heintzmann-Gruppe (nachfolgend -Heintzmann- genannt) legt großen Wert auf den Schutz Ihrer Daten

Mehr

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4 Datenschutz im Unternehmen Inhalt 1. Gesetzliche Grundlagen (Begriffsbestimmung) 2. Technisch-Organisatorische Maßnahmen 3. Pressespiegel 4. Praktische Umsetzung der Vorgaben im Betrieb 5. Datenschutz

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Datenschutzbestimmungen in kirchlichen Einrichtungen. Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster

Datenschutzbestimmungen in kirchlichen Einrichtungen. Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster Vortrag, gehalten am 05. September 2007 anlässlich des Fortbildungsseminars der BPG in Münster Wozu brauchen wir Datenschutzbestimmungen? Risiken der Informationsgesellschaft Information at your fingertips

Mehr

Datenschutzerklärung von SL-Software

Datenschutzerklärung von SL-Software Datenschutzerklärung von SL-Software Software und Büroservice Christine Schremmer, Inhaberin Christine Schremmer, Odenwaldring 13, 63500 Seligenstadt (nachfolgend SL-Software bzw. Wir genannt) ist als

Mehr