- Ausfüllhinweise und Erläuterungen zum Formular und Vorgehen -

Größe: px
Ab Seite anzeigen:

Download "- Ausfüllhinweise und Erläuterungen zum Formular und Vorgehen -"

Transkript

1 Der Datenschutzbeauftragte Dr. Bernd Nörtemann - Ausfüllhinweise und Erläuterungen zum Formular und Vorgehen - (in Anlehnung an die Ausfüllhinweise des Landesbeauftragten für den Datenschutz Niedersachsen; angepasst an den modifizierten Vordruck der TU Braunschweig) Diese Ausfüllhinweise und Erläuterungen finden Sie ebenso wie den Vordruck für die Verfahrensbeschreibungen in der jeweils aktuellsten Version unter https://www.tu-braunschweig.de/it/downloads/publikationen 1 (unter dem Buchstaben V ) bzw. auf den Seiten des Datenschutzbeauftragten und des CIO. Letzte Aktualisierung: Juni 2014

2 0ö5öaälo0##Qer234 Vorwort zu dieser Broschüre: Datenschutz ist zu verstehen als der Schutz von natürlichen Personen auf informationelle Selbstbestimmung und Wahrung der Privatsphäre bzw. des Persönlichkeitsrechts bei der Datenverarbeitung. Der Kerngedanke des Datenschutzes besteht darin, dass jeder Mensch grundsätzlich selbst entscheiden sollte, welche seiner persönlichen Daten wem, wann, wozu und für wie lange zugänglich sein sollen. Mit der Entwicklung der Digitaltechnik und der globalen Vernetzung hat die Bedeutung des Datenschutzes in enormer Weise zugenommen, da die Erhebung oder Erfassung von Daten, die Datenhaltung, -verarbeitung, -weitergabe, -analyse, -vernetzbarkeit und nicht zuletzt auch die Möglichkeiten zur Daten- und somit auch zur Identitätsmanipulation immer einfacher geworden sind. Gerade automatisierte Verfahren, mit denen personenbezogene Daten (d.h., persönliche Daten, die direkt oder aber auch nur indirekt, mit Hilfe weiterer Informationen oder Techniken auf die Person beziehbar sind) Daten digital verarbeitet werden, stellen ein hohes Gefahrenpotential in Bezug auf die Verletzung der Persönlichkeitsrechte bei der Datenverarbeitung dar. Dies gilt in besonderer Weise für Daten verarbeitende Behörden, zumal hier eine automatisierte Verarbeitung personenbezogener Daten mit großen Risiken und potentiellen Konsequenzen für die Betroffenen verbunden sein kann. Zum Schutz dieser Persönlichkeitsrechte müssen Daten verarbeitende Stellen des Bundes und der Länder i.d.r. eine(n) unabhängige(n) Datenschutzbeauftragte(n) bestellen und zudem für jedes von ihnen betriebene Verfahren zur automatisierten Verarbeitung personenbezogener Daten vor der Inbetriebnahme eine Verfahrensbeschreibung erstellen und diese in der Folge aktuell halten. Zu diesem Zweck stellt beispielsweise der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) den Behörden seines Verantwortlichkeitsbereiches einen Vordruck sowie dazu gehörige kurze Ausfüllhinweise zur Verfügung. Gerade in den Einrichtungen der TU Braunschweig, die bislang keine oder nur selten Verfahren zur automatisierten Verarbeitung personenbezogener Daten durchführen, erschließen sich jedoch die zu erfüllenden Anforderungen an das Ausfüllen des Vordrucks trotz dieser Ausfüllhinweise häufig nur sehr schwierig. Aus diesem Grund wurde nunmehr der an der TU Braunschweig verwendete Vordruck zum besseren Verständnis angepasst und um einige Angaben zum Verfahren und zu verschiedenen Prozessschritten ergänzt. Zudem werden mit der hier vorliegenden, umfangreichen Broschüre sowohl die wichtigsten Ausfüllhinweise zu dem modifizierten Vordruck als auch wesentliche Erläuterungen u.a. zu den verwendeten Begriffen und Hintergründen gegeben. Hierdurch sollen einerseits das Ausfüllen des Vordrucks erleichtert, andererseits aber auch das Verständnis und die Akzeptanz für das Verfahren erhöht werden. Wem dies zu viel ist: Eine Kurzanleitung zum Ausfüllen des Vordrucks steht ebenfalls zur Verfügung! 2

3 5öaälo0##Qer234 Der Datenschutzbeauftragte Dr. Bernd Nörtemann Technische Universität Braunschweig Bienroder Weg 87, Raum-Nr Braunschweig Tel. +49 (0) Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) 1 - Ausfüllhinweise und Erläuterungen zum Formular und Verfahren - Inhalt 1. Grundsätzliches zu Verfahrensbeschreibungen Begriffsbestimmungen Hintergrund, allgemeine Rechtsgrundlagen Grundregeln der automatisierten Verarbeitung personenbezogener Daten Sonderregelung gemäß 25 NDSG für Forschungsvorhaben Zweck und Verwendung der Verfahrensbeschreibungen Ausfüllhinweise A. Öffentlicher Teil B. Behördeninterner Teil Vorgehensweise Vorabkontrolle Gesetzliche Grundsätze und bezogene Gesetzestexte (NDSG, NHG) Allgemeines, gesetzliche Grundsätze Bezogene Gesetze (NDSG, NHG) Die Ausfüllhinweise wurden in enger Anlehnung an die Ausfüllhinweise des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) erstellt, kommentiert und in Hinsicht auf die Rahmenbedingungen und mögliche Fallbeispiele an der TU Braunschweig konkretisiert. 3

4 4

5 1 Grundsätzliches zu Verfahrensbeschreibungen 1.1 Begriffsbestimmungen (gemäß 3 NDSG) Personenbezogene Daten sind sämtliche Einzelangaben über persönliche oder sachliche Verhältnisse von bestimmten oder bestimmbaren natürlichen Personen. Im datenschutzrechtlichen Sprachgebrauch wird i.d.r. nicht zwischen personenbezogenen Daten und personenbeziehbaren Daten differenziert (s. Abb. 1). Letztere erlauben die Bestimmbarkeit einer Person mit Hilfe von Zusatzinformationen bzw. durch die Verknüpfbarkeit selbst scheinbar verschiedenster Daten, die ein jedes für sich genommen zunächst noch keine Bestimmung der Person gestatten. Da auch diese personenbeziehbaren Daten jedoch letztlich die Bestimmbarkeit einer Person ermöglichen (insbesondere aufgrund der immer besseren und schnelleren Verknüpf- und Auswertbarkeit verschiedenster Datensätze sowie der globalen Vernetzbarkeit der Daten), impliziert der Begriff personenbezogene Daten ausdrücklich auch die personenbeziehbaren Daten. Bei den personenbezogenen Daten lassen ggf. noch folgende Unterscheidungen treffen: Abb. 1: Personenbezogene Daten: personenbezogene und personenbeziehbare Daten i.s.d. 3 NDSG einfache bzw. direkte Daten: Name, Vorname, Geburtsdatum, Familienstand, Bankdaten, Anschrift, Telefonnummern, -Adresse, Ausweisnummer, Matrikelnummer, Benutzerkennung, Standortdaten, ; erweiterte bzw. indirekte Daten (Persönlichkeits- bzw. Verhältnisdaten): Einkommensverhältnis, Lebensstil, Einkaufsverhalten, ; sensible Daten, die grundsätzlich einen besonderen Schutzbedarf bedeuten: Herkunft, politische Meinung, Religion, sexuelle Orientierung, Gesundheitszustand / medizinische Daten,. Hinsichtlich der datenschutzrechtlichen Sicherungsziele (s. Kap. 1.3) begründen insbesondere die sensiblen Daten gemäß dem Schutzstufenkonzept 2 des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) in aller Regel einen besonderen Schutzbedarf, aus dem sich ggf. auch das Erfordernis für eine Vorabkontrolle und die sich dabei ergebenden erforderlichen Schutzmaßnahmen herleiten (s. Kap. 4). Streitfall IP-Adresse: Fast alle Webserver speichern für statistische Zwecke die IP-Adresse ihrer Besucher. Viele Datenschutzbehörden stufen nicht nur die statisch, sondern auch die dynamisch vergebenen Adressen als personenbezogene Daten ein, so dass eine Speicherung nur erfolgen darf, wenn die Daten z.b. zu Abrechnungszwecken notwendig sind. Jede weitere Speicherung ist unzulässig und kann u.u. per Abmahnung verfolgt werden. 2 s. 5

6 Datenverarbeitung ist das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen und Nutzen personenbezogener Daten. Dabei ist im Einzelnen 1. Erheben das Beschaffen von Daten über die Betroffenen, 2. Speichern das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger, 3. Verändern das inhaltliche Umgestalten von Daten, 4. Übermitteln das Bekanntgeben von Daten an Dritte in der Weise, dass a) die Daten durch die Daten verarbeitende Stelle weitergegeben werden oder b) Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsehen oder abrufen, 5. Sperren das Kennzeichnen von Daten, um ihre weitere Verarbeitung einzuschränken, 6. Löschen das Unkenntlichmachen von Daten, 7. Nutzen jede sonstige Verwendung von Daten. Daten verarbeitende Stelle ist jede Stelle, die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Dabei bildet die TU Braunschweig gegenüber dem LfD die Daten verarbeitende und hierfür verantwortliche Stelle. Innerhalb der TU Braunschweig gelten jedoch die jeweiligen Einrichtungen, welche die automatisierten Verfahren zur Verarbeitung personenbezogener Daten betreiben (Verfahrens- oder Prozessinhaber) als die jeweilige Daten verarbeitende und i.d.r. auch die hierfür verantwortliche (Unter-) Stelle. Diese haben auch die entsprechenden Verfahrensbeschreibungen zu erstellen. Hinweis: Verfahrensbeschreibungen dienen u.a. zur Vorlage bei Kontrollen des LfD und ersetzen quasi eine ansonsten zwingende gesetzliche Meldepflicht. Auch aus diesem Grund sind Daten verarbeitende Stellen gehalten, die Verfahrensbeschreibungen mit größter Sorgfalt zu erstellen und aktuell zu halten. Empfänger ist jede Person oder Stelle, die Daten erhält. Dritte sind Personen oder Stellen außerhalb der Daten verarbeitenden Stelle. Dritte sind nicht die Betroffenen sowie diejenigen Personen und Stellen, die im Auftrag personenbezogene Daten verarbeiten (Auftragnehmer). Automatisiertes Verfahren ist die Verarbeitung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Ein automatisiertes Verfahren umfasst sämtliche Programme oder Programmteile, mit denen die Daten verarbeitende Stelle personenbezogene Daten aufgrund einer bestimmten Rechtsgrundlage für einen bestimmten Zweck verarbeitet. Kennzeichnend für ein automatisiertes Verfahren ist die Verarbeitung personenbezogener Daten für einen bestimmten Zweck. Ein Bürokommunikations-Programm ist per se, d.h. für sich genommen und noch ohne einen konkreten Anwendungszweck, daher kein automatisiertes Verfahren, weil kein Bezug zur Verarbeitung personenbezogener Daten besteht. Im Gegensatz dazu sind aber das Bürokommunikations-Programm und eine oder mehrere damit erstellte Dateien, mit denen personenbezogene Daten für einen bestimmten Zweck verarbeitet werden, ein automatisiertes Verfahren. Faktisch wird es also kaum eine Institution an der TU Braunschweig geben, die kein automatisiertes Verfahren zur Verarbeitung personenbezogener Daten betreibt oder betreiben will. Um ein automatisiertes Verfahren handelt es sich z.b. auch, wenn eine mit Hilfe eines Tabellenkalkulationsprogramms erstellte Datei alle von einer Behörde zu überwachende Betriebe eines bestimmten Wirtschaftszweigs mit Prüfvermerken erfasst, die durch automatisierte Verfahren ausgewertet werden können. Für die Auswertbarkeit kommt es darauf an, ob das System Funktionen enthält, die es ermöglichen, die Dokumentensammlung insgesamt oder das einzelne Dokument nach personenbezogenen 6

7 Merkmalen zu erschließen (z.b. Zuordnung von Texten zu Personen über Dateiverzeichnisse und Verwaltungsfunktionen, Erschließen von Texten nach Namen und/oder Begriffen). Mit der Verwendung des Begriffs Verfahren zur automatisierten Verarbeitung wird letztlich die Gesamtheit aller automatisierten Verarbeitungsschritte für einen bestimmten Verwaltungszweck (z.b. automatisierte Zeiterfassung) angesprochen. Eine Verfahrensbeschreibung ist z.b. zu erstellen für: - Automatisierte Personalinformationssysteme und Personalmanagementverfahren; - automatisierte Gleitzeitverarbeitung oder Zeiterfassung geleisteter Arbeitszeiten bei umsatzsteuerpflichtigen Drittmittelprojekten; - sonstige Verfahren zum Berichtswesen und Controlling ; - Dokumentensammlungen, die nach Autoren, Dokumententypen mit gleicher Sensibilität und Inhalten zusammengefasst sind; - Forschungsvorhaben mit automatisierter Verarbeitung personenbezogener Daten wie z.b. insbesondere Befragungen von Mitarbeitern, Studierenden und sonstiger Personen; - (sonstige) Datenbankanwendungen (Programme zur Verwaltung, Pflege, Anzeige, Ausgabe und/oder Auswertung von Daten), z.b.: o Adressentabellen, o Adressbuch im dienstlich genutzten Handy, Smartphone, Tablet usw., o Lieferanten- oder Kundendatenbank o Genom-Datenbank o Benutzerdatenbank (Welcher Benutzer, welches Institut / Abteilung, wer ist DV Koordinator, sitzt in welchem Gebäude, nutzt welches Netz?). o Wissensdatenbanken (Knowledgebase), Hardwaredatenbanken (welcher Rechner mit welcher Ausstattung steht wo (ggf. sogar bei wem)? Netzwerkdatenbanken (welcher Netzwerkanschluss bietet welches Netz und befindet sich wo, bzw. welcher/s Institut / Mitarbeiter nutzt diesen)? - Videoüberwachungsanlagen (hier zudem in jedem Fall erforderlich: Vorabkontrolle, s. Kap. 4). Hinweis: Auch wenn es sich um kein automatisiertes Verfahren handelt, für das eine Dokumentationspflicht besteht, muss die zuständige Stelle Datenschutzvorkehrungen insbesondere nach 7 NDSG treffen. Bei der Textverarbeitung ist z.b. zu regeln, wann welche Texte mit personenbezogenem Inhalt zu löschen sind. Personenbezogene Verfahren bestehen aus drei Komponenten: - Daten (und spezifizierte Datenformate), - IT-Systeme (und spezifizierten Schnittstellen), sowie - (teil-) automatisierte Prozesse. Eine Akte ist gemäß 3 NDSG jede sonstige amtlichen oder dienstlichen Zwecken dienende Unterlage und die Zusammenfassung solcher Unterlagen einschließlich der Bild- und Tonträger. Hierunter fallen nicht Vorentwürfe und Notizen, die nicht Bestandteil eines Vorgangs werden sollen. 7

8 1.2 Hintergrund, allgemeine Rechtsgrundlagen (s.a. Kap. 2, Hinweise zu Nr. 5 des Vordrucks) NDSG. Gemäß Paragraph 8 des Niedersächsischen Datenschutzgesetzes ( 8 NDSG, s. Kap. 5) muss jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, dies vorab (d.h. vor der Inbetriebnahme!) in einer Beschreibung festlegen und diese Beschreibung nachfolgend aktuell halten. Diese Verfahrensbeschreibungen umfassen einen öffentlichen Teil, der auf Antrag jedermann einsehbar zu machen ist, sowie einen behördeninternen Teil, der unter anderem der weiter gehenden Dokumentation der jeweiligen Prozesse dient. Um Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen, ist in den Verfahrensbeschreibungen zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet werden und welche Datenschutzmaßnahmen dabei getroffen wurden bzw. werden. Dienstvereinbarung/Ordnung zur Verarbeitung personenbezogener Daten. Am trat an der TU Braunschweig die Dienstvereinbarung/Ordnung zur Verarbeitung personenbezogener Daten der TU Braunschweig in Kraft (Verk.-Blatt Nr. 824). Mit dieser Dienstvereinbarung/Ordnung wurde eine durch das NDSG sowie durch 17 NHG (Niedersächsisches Hochschulgesetz) geforderte, ergänzende Rechtsgrundlage zur Erhebung und sonstigen Verarbeitung personenbezogener Daten von Studienbewerberinnen und Studienbewerbern und Mitgliedern der TU Braunschweig sowie von Angehörigen, die nicht in einem Dienst- oder Arbeitsverhältnis zu ihr stehen, geschaffen. Nach ihr dürfen personenbezogene Daten im Rahmen eines automatisierten Verfahrens (erst dann) erhoben und weiter verarbeitet werden, wenn es zu den hierfür eingesetzten Verfahren eine von der bzw. von dem Datenschutzbeauftragten (DSB) der TU Braunschweig anerkannte Verfahrensbeschreibung gemäß 8 NDSG gibt und das Präsidium der TU Braunschweig das Verfahren bewilligt hat. Ausnahmen. Gemäß den Erläuterungen des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) zu den Verfahrensbeschreibungen 3 bestehen Ausnahmen von der Beschreibungspflicht u.a. für Verfahren, deren personenbezogene Daten ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert und genutzt werden. Ausgenommen sind auch Verfahren, deren Daten nur vorübergehend und zu einem anderen Zweck als dem der inhaltlichen Auswertung gespeichert werden. Als vorübergehend ist in diesem Zusammenhang eine Speicherung anzusehen, wenn die Daten innerhalb von 3 Monaten nach ihrer Erstellung gelöscht werden. Ausgenommen sind ferner öffentliche Register sowie Verfahren, von denen keine Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung zu erwarten sind. Näheres zu den Verfahrensbeschreibungen s. Kap Zulässigkeit der Datenverarbeitung. Gemäß 4 NDG ist eine automatisierte Verarbeitung personenbezogener Daten nur zulässig, wenn es das NDSG, ein anderes Gesetz oder eine andere Rechtsvorschrift wie z.b. die o.g. die Dienstvereinbarung/Ordnung zur Verarbeitung personenbezogener Daten der TU Braunschweig dies vorsieht oder die Betroffenen eingewilligt haben. Eine Einwilligung setzt sie die umfassende Informiertheit der Einwilligenden insbesondere über die Art der zu verarbeitenden Daten und den Zweck der Verarbeitung sowie über die Bedeutung der Einwilligung und das Recht auf jederzeitigen Widerruf mit den eventuellen jeweiligen Rechtsfolgen voraus. Sie muss freiwillig erfolgen, bedarf der Schriftform und entbindet nicht von den allgemeinen Grundsätzen des Datenschutzes bei der automatisierten Verarbeitung personenbezogener Daten. 3 s. 8

9 Eine Übersicht über die grundsätzliche Zulässigkeit einer automatisierten Verarbeitung personenbezogener Daten und das Erfordernis für das Erstellen einer Verfahrensbeschreibung ist in Abb. 2 schematisch dargestellt: Abb. 2: Zulässigkeit der automatisierten Verarbeitung personenbezogener Daten 1) Unzulässig veröffentliche Daten bleiben unzulässig. 2) Bestimmte Arten personen bezogener (z.b. sensibler Daten) dürfen u.u. nicht verarbeitet werden ( Verfahrensbeschreibung erforderlich). 3) 25 NDSG sieht für Forschungsvorhaben eine zusätzliche Rechtsgrundlage neben der freiwilligen Einwilligung und den ansonsten geltenden Rechtsvorschriften vor. Näheres hierzu s. Erläuterungen im Text bzw. beim LfD unter: Vereinfacht zusammengefasst: Die automatisierte Verarbeitung nicht öffentlich zugänglicher personenbezogener Daten ist verboten, es sei denn: 1. es liegt eine freiwillige (schriftliche) Einwilligung der (informierten) Betroffenen vor; 2. das NDSG oder ein anderes Gesetz oder eine andere bindende Rechtsvorschrift erlaubt die Verarbeitung. Eine zusätzliche Sonderregelung besteht gemäß 25 NDSG für Forschungsvorhaben: 3. Verarbeitung personenbezogener Daten für Forschungsvorhaben (s. hierzu Kap. 1.4). 9

10 Die dienstliche Nutzung von privaten Endgeräten als Problemfall. Wie zuvor beschrieben, setzt die Verarbeitung personenbezogener Daten grundsätzlich die Einwilligung des Betroffenen oder eine gesetzliche Grundlage voraus. Diese Rechtsgrundlagen gelten jedoch nur für die jeweilige Behörde, hier also die TU Braunschweig. Sollen private Endgeräte mit in ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten eingebunden werden, müsste die dienstliche Nutzung der privaten Geräte vertraglich mit der Hochschule geregelt sein (wobei eine individuelle Vereinbarung über die Auftragsdatenverarbeitung gemäß 6 NDSG für Privatpersonen i.d.r. nicht oder kaum möglich ist), bzw. die entsprechenden Geräte müssten ebenfalls unter der Kontrolle der Hochschule als Daten verarbeitenden Stelle stehen. Auch bei der dienstlichen Nutzung privater Endgeräte bleibt die Daten verarbeitende Stelle im Sinne des NDSG die Hochschule, die somit auch für die Einhaltung der datenschutzrechtlichen Vorschriften übergeordnet verantwortlich ist. Daher darf eine Verarbeitung personenbezogener Daten auf privaten IT- Systemen aus Gründen des Datenschutzes (und auch der Datensicherheit) nur dann erfolgen, wenn eine schriftliche Genehmigung der Hochschulleitung - beispielsweise im Rahmen einer allgemeinen Dienstvereinbarung - vorliegt und alle erforderlichen organisatorischen und technischen Maßnahmen zum Datenschutz gemäß 7 NDSG getroffen wurden. Hierzu wären idealerweise DV-Koordinatoren und IT-Administratoren der zugehörigen Einrichtung über die Nutzung der privaten Systeme zu informieren und bei der Umsetzung der organisatorischen und technischen Maßnahmen mit einzubeziehen. Auch unter haftungs- und ggf. strafrechtlichen Gesichtspunkten ist eine rechtliche wie auch technischorganisatorische Regelung für die dienstliche Nutzung privater Endgeräte unumgänglich. Geraten Daten von einem privaten (insbesondere einem mobilen) Gerät in falsche Hände, so wird es bei der Frage der Haftung für den hierdurch entstandenen Schaden entscheidend darauf ankommen, ob die Hochschule alle technisch-organisatorischen Maßnahmen getroffen hat, um einen Schaden nach bestem Ermessen auszuschließen. Aufgrund der besonderen organisatorischen Schwierigkeiten und den hohen technischen Anforderungen an Datensicherheit und Datenschutz wird grundsätzlich davon abgeraten, personenbezogene Daten automatisiert auf privaten (und dabei insbesondere auf mobilen) Endgeräten zu verarbeiten. Sollte dies dennoch erforderlich oder unumgänglich sein, ist in Ergänzung zu einer entsprechend umfassenden Verfahrensbeschreibung (s. hierzu Kap. 2, Nr. 11, der Ausfüllhinweise) auch eine vertragliche Regelung mit der Hochschule unbedingt erforderlich. Anderenfalls wäre die Verarbeitung rechtswidrig und könnte im Schadenfall (oder ggf. allein schon beim Bekanntwerden der Verarbeitung) erhebliche rechtliche und ggf. strafrechtliche Folgen haben. Zu den gesetzlichen Grundsätzen und den bezogenen Gesetzen s. Kap Grundregeln der automatisierten Verarbeitung personenbezogener Daten Häufig wird der Begriff des Datenschutzes fälschlicherweise mit dem der Datensicherheit gleichgesetzt oder verwechselt. Ein wirkungsvoller Datenschutz setzt zwar i.d.r. immer auch ein hohes Maß an Datensicherheit voraus, bezieht sich jedoch insbesondere auf den Schutz von Personen vor einer missbräuchlichen Erhebung und Verarbeitung von personenbezogenen (einschließlich personenbeziehbarer Daten, s. Kap. 1.1). Zweck des Datenschutzrechtes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird (Wahrung des Rechts auf informationelle Selbstbestimmung). 10

11 Eine Abgrenzung zwischen Datenschutz und Datensicherheit zeigt Abb. 3. Datenschutz (engl.: data privacy; protection of data privacy): Gesamtheit der gesetzlichen und betrieblichen Maßnahmen zum Schutz der Rechte von Personen vor Verletzung der Vertraulichkeit und der Sicherheit des Informationshaushaltes. Demgegenüber bezieht sich der Begriff der Datensicherheit auf den Schutz der Daten vor Verlust, unbefugter Einsicht, Veränderung bzw. Manipulation, Missbrauch oder Ausspähung. Abb. 3: Datenschutz und Datensicherheit Datensicherheit: Gesamtheit der Maßnahmen, welche die Daten sowie die Hard- und Software in ihrem Bestand, ihrer Form und (bei Daten) ihrem Inhalt vor gewollten oder ungewollten Störungen durch Menschen oder Umwelt sowie vor unbefugter Einsicht schützen sollen. Der Begriff der Datensicherheit wird häufig gleichbedeutend zu dem Begriff der IT-Sicherheit verwendet, bezieht sich jedoch streng genommen eher auf die technischen Aspekte der IT-Sicherheit. Sowohl der Datenschutz als auch die Datensicherheit sind zudem wesentliche Bestandteile einer umfassenden Informationssicherheit. Einen schematischen Überblick über die Zusammenhänge zwischen Informationssicherheit, Datenschutz und Datensicherheit gibt Abb. 4: Abb. 4: Zusammenhang zwischen Informationssicherheit, Datenschutz und Datensicherheit 11

12 Prinzipien des Datenschutzes. Wesentliche Grundlagen des Datenschutzes (und somit auch der automatisierten Verarbeitung personenbezogener Daten) sind: a) Verbot mit Erlaubnisvorbehalt b) Erforderlichkeit, Datenvermeidung und Datensparsamkeit c) Direkterhebung und Zweckbindung d) Transparenz e) Datensicherheit, Einhaltung der Schutzziele f) Löschung g) Rechte der Betroffenen Zu a) Verbot mit Erlaubnisvorbehalt. Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist grundsätzlich verboten. Eine Ausnahme besteht nur dann, wenn es eine ausdrückliche gesetzliche Regelung dafür gibt oder die Betroffenen freiwillig (und i.d.r. schriftlich) in die Verarbeitung ihrer Daten eingewilligt haben. Anders ausgedrückt: Personenbezogene Daten dürfen nur verarbeitet (d.h. erhoben, gespeichert, verändert, verarbeitet, übermittelt oder in einer sonstigen Weise genutzt) werden, wenn dies durch ein Gesetz erlaubt ist oder wenn die betroffene Person bei hinreichender Informiertheit und freier Entscheidungsfähigkeit eingewilligt hat. Zu b) Erforderlichkeit, Datenvermeidung und Datensparsamkeit. Die Datenverarbeitung muss erforderlich sein, d.h. dass kein anderes Mittel zur Verfügung stehen darf, welches zur Erreichung des Zwecks genauso gut geeignet wäre, ohne jedoch zu sehr in die Rechte des Betroffenen einzugreifen. Anders ausgedrückt: Sofern andere Mittel zum Erreichen des Zwecks zur Verfügung stehen, dürfen grundsätzlich keine personenbezogenen Daten erhoben bzw. verarbeitet werden. Ist die Verarbeitung personenbezogener Daten zum Erreichen des Zweckes unabdingbar und liegt eine Rechtsgrundlage für die Verarbeitung vor, so ist sie stets an dem Ziel auszurichten, so wenige Daten wie möglich zu verarbeiten. Es dürfen also nicht erst einmal sämtliche Daten, die zu erlangen sind, wahllos gesammelt werden, nur um sie sicherheitshalber schon einmal alle zu haben. Zu c) Direkterhebung und Zweckbindung. Eine Datenerhebung, also das direkte Beschaffen von Daten, ist nur beim Betroffenen unmittelbar selbst zulässig. Das bedeutet, dass das Beschaffen von Daten nur unter Mitwirkung des Betroffenen erlaubt sein soll. Auch hiervon gibt es Ausnahmen, wie etwa die, dass eine Rechtsvorschrift die Erhebung vorschreibt oder eine rechtskonforme Erhebung beim Betroffenen selbst einen unverhältnismäßig großen Aufwand bedeuten würde. Der Zweck einer Erhebung von personenbezogenen Daten muss bereits bei der Erhebung bekannt gegeben werden; zu einem anderen Zweck dürfen die erhobenen Daten nicht verwendet werden. Für die Erstellung der Verfahrensbeschreibung bedeutet dies, dass Sie den Zweck der Datenerhebung und die spätere Verarbeitung von vornherein so genau und umfassend wie möglich darstellen sollten. Wollen Sie beispielsweise die Teilnehmer einer von Ihnen veranstalteten Tagung später regelmäßig anschreiben, sollten Sie hierfür bereits bei der Anmeldung zur Tagung die Einwilligung der Betroffenen einholen und den Zweck in der Verfahrensbeschreibung erläutern. Zu d) Transparenz. Das Prinzip Transparenz beschreibt die Anforderung, dass jeder Betroffene nicht nur wissen soll, dass Daten über ihn erhoben werden, sondern auch, welche Daten zu welchem Zweck bei welcher Stelle für wie lange und aus welchem Grund gespeichert und verarbeitet werden. Eine heimliche Datenerhebung ist grundsätzlich unzulässig und nur unter sehr strengen Voraussetzungen möglich. Zu e) Datensicherheit, Einhaltung der Schutzziele. Die Daten verarbeitende Stellen sind verpflichtet, dafür Sorge zu tragen, dass personenbezogene Daten gegen zufällige Zerstörung oder gegen Verlust gesichert werden. Diese Pflicht steht in direktem Zusammenhang mit weiteren Pflichten zur Gewähr- 12

13 leistung der Datensicherheit und zur Einhaltung der Schutz- und Sicherungsziele des Datenschutzes. Neben den klassischen Schutzzielen Verfügbarkeit, Integrität und Vertraulichkeit sowie Authentizität und Revisionsfähigkeit werden zunehmend auch die neueren Schutzziele Transparenz, Nichtverkettbarkeit und Intervenierbarkeit bei einer Vielzahl von Bestimmungen des Datenschutzrechts genannt. Wenn personenbezogene Daten verarbeitet werden, dann ist gemäß NDSG sicherzustellen, dass - nur Befugte auf Verfahren und Daten zugreifen und diese zur Kenntnis nehmen können (Vertraulichkeit; umzusetzen u.a. durch die Abschottung von Systemen und Prozessen, durch Rollentrennungen sowie durch die Verschlüsselung von Daten und Kommunikation); - personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können (Nichtverkettbarkeit; Umsetzung z.b. durch Anonymisierungs- und Pseudonymisierungsverfahren 4 ); - Daten unversehrt, vollständig und aktuell bleiben (Integrität; bei Daten werden z.b. Hash-Werte und bei Prozessen Soll-/Ist-Zustände verglichen ); - Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit; umzusetzen u.a. durch die redundante Auslegung von Datenbeständen, Systemen und Prozessen); - Verfahren vollständig dokumentiert sind, damit die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann (Transparenz; hierbei sind die Abläufe zu protokollieren und zu auditieren); - Verfahren so gestaltet werden, dass sie den Betroffenen die Ausübung der ihnen zustehenden Rechte (z.b. nach den 16 ff NDSG) wirksam ermöglichen (Intervenierbarkeit; hierzu ist es insbesondere notwendig, dem Betroffenen unmittelbar Zugriff auf seine Daten und Prozesse zu gewähren; zudem müssen Organisationen generell über ein gesteuertes Change-Management verfügen). Weitere Forderungen zur datenschutzgerechten Verarbeitung personenbezogener Daten (Einhaltung von Schutzzielen) bestehen u.a. darin, dass: - Daten jederzeit Ihrem Ursprung zugeordnet werden können (Authentizität); - festgestellt werden kann, wer wann welche Daten verarbeitet hat (Revisionsfähigkeit). - Zu f) Löschung. Werden die Daten nicht mehr für den primären Zweck, für den sie erhoben wurden, benötigt und ist man nicht gesetzlich verpflichtet, die Daten aufzuheben, dann müssen sie grundsätzlich gelöscht werden. Bei den (übergeordneten) gesetzlichen Aufbewahrungspflichten gibt es natürlich für unterschiedliche Datenkategorien unterschiedlich lange Aufbewahrungsfristen. Im Grundsatz heißt es daher: So kurz wie irgend möglich (nach dem NDSG und ggf. anderen Datenschutzvorschriften), aber so lange wie nötig (nach anderen Gesetzen und Rechtsvorschriften, die dem Datenschutzgesetz hier übergeordnet sind). - Zu g) Rechte der Betroffenen. Das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten ist grundsätzlich verboten. Eine Ausnahme besteht nur dann, wenn es eine ausdrückliche gesetzliche Regelung dafür gibt oder die Betroffenen freiwillig in die Verarbeitung Ihrer Daten eingewilligt haben. Betroffene haben z.b. das Recht auf Auskunft und Einsichtnahme, Widerspruch aus besonderem Grund, Unterrichtung, Berichtigung, Sperrung und Löschung, Schadenersatz, Anrufung der Beauftragten für Datenschutz, sowie Auskunft aus dem Verfahrensverzeichnis. 4 Bei einer Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (z.b. einen Code) ersetzt. Im Gegensatz zur Anonymisierung bleiben Bezüge verschiedener Datensätze, die auf dieselbe Art pseudonymisiert wurden, erhalten, und weitere Datensätze können hinzugefügt werden, ohne dass die Person als solche identifizierbar ist. 13

14 1.4 Sonderregelung gemäß 25 NDSG für Forschungsvorhaben Nach 25 NDSG dürfen für wissenschaftliche Forschungsvorhaben personenbezogene Daten auch verarbeitet werden, wenn Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der Betroffenen der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der Betroffenen erheblich überwiegt (s. Kap. 5, bezogene Gesetzestexte). Diese Forschungsklausel in 25 NDSG und weitere spezifische Regelungen in anderen Gesetzen werfen viele Fragen nach Auslegung und datenschutzgerechter Umsetzung auf. Antworten auf die häufig gestellten Fragen zum Thema Forschung von einer Begriffsbestimmung für wissenschaftliche Forschungsvorhaben bis hin zur Veröffentlichung von Forschungsergebnissen mit personenbezogenen Daten finden Sie auf der Internetseite des LfD unter: Einige wichtige Aspekte für die Anwendung des 25 NDSG sind: a) Zweckbindung. Die für ein Forschungsvorhaben genutzten Daten unterliegen einer besonderen, endgültigen Zweckbindung und dürfen daher nicht für andere als Zwecke der wissenschaftlichen Forschung weiterverarbeitet werden (Forschungsgeheimnis). Will eine Forschungsstelle auf bereits vorhandene Daten zurückgreifen, die für andere Zwecke oder auch für ein anderes Forschungsvorhaben erhoben oder gespeichert worden sind, so liegt darin eine Zweckänderung dieser Daten. Diese ist nach 25 Abs. 2 nur zulässig bei (s.a. Abb. 2, S. 5): - einer Einwilligung der Betroffenen, - beim Vorliegen einer entsprechenden Rechtsvorschrift (einschließlich Satzungen bzw. Ordnungen von Selbstverwaltungskörperschaften wie den Hochschulen), - einem Zutreffen der Forschungsklausel nach 25 Abs. 2 Nr. 3., d.h. wenn die Belange der Betroffenen hinter dem Interesse am Forschungsvorhaben zurücktreten müssen. Demnach dürfen vorhandene Daten abweichend von ihrer ursprünglichen Zweckbestimmung ohne Einwilligung der Betroffenen verarbeitet werden, wenn Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der Betroffenen der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht (1. Alternative) oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der Betroffenen erheblich überwiegt (2. Alternative). b) Zulässigkeit, Anonymisierung und getrennte Speicherung. Auch für die Verarbeitung von personenbezogenen Daten zu Forschungszwecken gelten stets die allgemeinen Datenschutzgrundsätze der 9 bis 15 NDSG. Sie werden durch 25 Abs. 2 bis 5 und 7 nur modifiziert und bleiben im Übrigen anwendbar. In jedem Fall bedarf es der Prüfung, ob die Datenverarbeitung für den bestimmten wissenschaftlichen Zweck im konkreten Umfang tatsächlich erforderlich (verhältnismäßig) ist. Die Verarbeitung personenbezogener Daten ist nur zulässig, solange und soweit anonymisierte Daten für den Zweck des Vorhabens nicht ausreichen. Forschende sollten daher prüfen, ob überhaupt ein Rückgriff auf Personendaten und damit eine Anwendung von 25 erforderlich ist. 14

15 Bei epidemiologischen oder entsprechenden Untersuchungen, bei denen eine Beibehaltung des Personenbezugs erforderlich ist, um später eingehende Daten dem richtigen Datensatz zuordnen zu können, ist eine Verschlüsselung zu empfehlen. Es ist dafür Sorge zu tragen, dass die Merkmale, mit denen Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person zugeordnet werden können, so früh wie möglich gesondert gespeichert bzw. gelöscht werden. Auswertungen dürfen nur aus den nicht-personenbezogenen Datenbeständen erfolgen. Bedarf es in Einzelfällen der Re-Identifizierung, so sollten die Identifikationskriterien abgetrennt und von einem Treuhänder oder einem ausdrücklich hierzu ermächtigten Mitarbeitenden verwaltet werden. Ein Treuhänder sollte von der forschenden Stelle unabhängig sein. Die Datei mit den Identifikationsmerkmalen muss spätestens gelöscht werden, wenn das Forschungsprojekt beendet ist. c) Datenerhebung in anderen Bundesländern. Wenn eine öffentliche niedersächsische Stelle Forschungsvorhaben durchführt, bei denen eine Datenerhebung in anderen Bundesländern erfolgt, hat die Forschungsstelle zunächst die Zulässigkeit der Datenerhebung nach niedersächsischem Recht zu prüfen. Ob die Datenübermittlung durch Stellen des Bundes oder anderer Bundesländer zulässig ist, richtet sich nach den für diese geltenden Datenschutzbestimmungen und ist von den übermittelnden Stellen in eigener Zuständigkeit zu prüfen; die Datenübermittlung durch Private richtet sich nach den Regeln des Bundesdatenschutzgesetzes. d) Öffentliches Interesse. Das öffentliche Interesse wird zunächst durch die Hochschule, den Hochschullehrer oder den sonstigen Forschenden als Inhaber des Forschungsrechts festgelegt. Der Begriff ist nicht nur im Sinne eines staatlichen oder Verwaltungsinteresses zu verstehen. Die Annahme des öffentlichen Interesses orientiert sich an der gesellschaftlichen oder wissenschaftlichen Bedeutung des untersuchten Gegenstands. Ist zu erwarten, dass mit Hilfe der Forschungsergebnisse besondere im Gemeinwohl liegende Maßnahmen ermöglicht werden (z.b. Vermeidung von Straftaten, Bekämpfung einer Krankheit, Beseitigung einer Umweltgefahr), so spricht dies in besonderem Maße für ein öffentliches Interesse. Das öffentliche Interesse kann durch Gesetze (z.b. Gesundheits- oder Umweltgesetze) oder durch ministerielle Entscheidungen bekräftigt werden. Die Begründung des öffentlichen Interesses ist der Verfahrensbeschreibung für die geplante Datenverarbeitung beizufügen. Es empfiehlt sich eine vorherige Abstimmung mit dem Datenschutzbeauftragten der TU Braunschweig, der im Rahmen des Bewilligungsprozesses bei der Verfahrensbeschreibung unter Punkt 17.1 eine Stellungnahme auch zu der Begründung abgibt. 15

16 1.5 Zweck und Verwendung der Verfahrensbeschreibungen Wie bereits unter 1.2 dargestellt, muss gemäß 8 NDSG jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, dies vorab in einer Beschreibung festlegen und diese Beschreibung nachfolgend aktuell halten. Für solch eine Verfahrensbeschreibung bietet der LfD einen Mustervordruck und kurze Ausfüllhinweise 5 hierzu an, wobei der Vordruck jedoch nicht zwingend vorgeschrieben ist und somit von der Daten verarbeitenden Behörde auf die jeweiligen Bedürfnisse und Verhältnisse angepasst werden kann. In der Verfahrensbeschreibung ist in jedem Fall festzulegen: - die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung, - die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung, - der Kreis der Betroffenen, - die Art der regelmäßig zu übermittelnden Daten, deren Empfänger, in den Fällen des 6 NDSG auch die Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten, - die Absicht, Daten in Staaten nach 14 NDSG zu übermitteln, - Fristen für die Sperrung und Löschung der Daten, - die technischen und organisatorischen Maßnahmen nach 7 NDSG, - die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung. Ausnahmen von der Beschreibungspflicht bestehen (wie bereits in Kap. 1.2 dargestellt) für Verfahren, deren personenbezogene Daten ausschließlich zu Zwecken der Datenschutzkontrolle, der Datensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage gespeichert und genutzt werden. Ausgenommen sind auch Verfahren, deren Daten nur vorübergehend und zu einem anderen Zweck als dem der inhaltlichen Auswertung gespeichert werden 6. Als vorübergehend ist eine Speicherung anzusehen, wenn die Daten innerhalb von 3 Monaten nach ihrer Erstellung gelöscht werden. Ausgenommen sind ferner öffentliche Register sowie Verfahren, von denen keine Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung zu erwarten sind. Mit Textverarbeitungssystemen (Textautomaten, PC oder Bürokommunikationssystemen) erstellte Dokumente sind dann beschreibungspflichtig, wenn sie personenbezogene Daten enthalten, die durch automatisierte Verfahren ausgewertet werden können. Für die Auswertbarkeit kommt es darauf an, ob das System Funktionen enthält, die es ermöglichen, die Dokumentensammlung insgesamt oder das einzelne Dokument nach personenbezogenen Merkmalen zu erschließen (z.b. Zuordnung von Texten zu Personen über Dateiverzeichnisse und Verwaltungsfunktionen, Erschließen von Texten nach Namen und/oder Begriffen). Verfahrensbeschreibungen sind auch anzulegen für Dokumentensammlungen, die nach Autoren, Dokumententypen mit gleicher Sensibilität und Inhalten zusammengefasst sind (z.b. Bewilligungsbescheide, Bußgeldbescheide, Gutachten des Ärztlichen Dienstes), für Adressentabellen und für Datenbankanwendungen. 5 s. 6 Eine nur vorübergehende Speicherung von personenbezogenen Daten begründet allein somit noch nicht von der Pflicht, eine Verfahrensbeschreibung zu erstellen. 16

17 Die Verfahrensbeschreibungen gliedern sich in einen so genannten öffentlichen Teil (Punkte 1 bis 8) und in einen behördeninternen Teil (Punkte 9 14); sie dienen dabei dementsprechend insbesondere: a) zur Dokumentation des jeweiligen Datenverarbeitungsverfahrens und dessen rechtlicher Konformität (Punkte 1 bis 17), sowie b) zur Unterrichtung der Öffentlichkeit (Punkte 1 bis 8). Zu a) Gemäß der Ordnung zur Verarbeitung personenbezogener Daten der Technischen Universität Braunschweig darf jedes automatisierte Verfahren zur Verarbeitung personenbezogener Daten erst dann in Betrieb genommen werden, wenn es hierzu eine Verfahrensbeschreibung gemäß 8 NDSG gibt, die von der bzw. von dem Datenschutzbeauftragten (DSB) der TU Braunschweig anerkannt und ggf. auch der Personalvertretung billigend zur Kenntnisnahme genommen wurde, und wenn das Präsidium der Hochschule das Verfahren bewilligt hat. Hierdurch soll eine gesetzeskonforme Vorgehensweise bei der automatisierten Verarbeitung personenbezogener Daten gewährleistet werden. Die Verfahrensbeschreibungen umfassen einen öffentlichen Teil, der auf Antrag jedermann einsehbar zu machen ist, sowie einen nicht-öffentlichen Teil (behördeninterner Teil), der unter anderem der weiter gehenden Dokumentation der jeweiligen Prozesse dient. Um Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen, ist in den Verfahrensbeschreibungen zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher automatisierter Verfahren auf welche Weise verarbeitet werden und welche Datenschutzmaßnahmen dabei getroffen wurden bzw. werden. Gegenüber dem Mustervordruck des LfD wurde der an der TU Braunschweig verwendete Vordruck in einigen Punkten insbesondere zum besseren Verständnis modifiziert, jedoch auch u.a. um einen wesentlichen Punkt (Nr. 9.2) zur eigentlichen Beschreibung des Prozesses ergänzt. Zu b) Mit dem Artikel 21 Abs. 3 der EG-Datenschutzrichtlinie verpflichten sich die Mitgliedsstaaten, die Öffentlichkeit über Art und Umfang von automatisierten Verarbeitungen personenbezogener Daten zu unterrichten. Dies erfolgt durch die für die Verarbeitung Verantwortlichen oder durch eine andere von den Mitgliedstaaten benannte Stelle. Gemäß 8 Satz 1 Nrn. 1 bis 6 NDSG sind daher auf Antrag die entsprechenden Angaben in geeigneter Weise jedermann 7 durch die Daten verarbeitende Stelle bzw. dem für sie zuständigen behördlichen Datenschutzbeauftragten verfügbar zu machen. Um Transparenz und Auskunftsfähigkeit gegenüber Betroffenen sowie Revisionsfähigkeit zu erreichen, ist in der Verfahrensbeschreibung zu dokumentieren, welche personenbezogenen Daten mit Hilfe welcher automatisierter Verfahren und auf welche Weise verarbeitet werden und welche technischen und organisatorischen Datenschutzmaßnahmen (einschließlich der Sperrung und/oder Löschung der Daten) dabei getroffen wurden. Nach ihrer Anerkennung (und der Bewilligung des Verfahrens) wird die Verfahrensbeschreibung in ein Verfahrensverzeichnis aufgenommen und bis auf den behördeninternen Teil der Beschreibung (Punkt 9-17 des Vordrucks sowie Anlagen) in der Regel auf den Webseiten der Universität veröffentlicht 8. Weitere Einzelheiten sind dem kommentierten NDSG in den Erläuterungen zu 8 NDSG zu entnehmen (s. 7 Der Personenkreis, die in den öffentlichen Teil der Verfahrensbeschreibungen Einsicht nehmen können, ist nicht (z.b. auf den Kreis der Betroffenen) beschränkt. 8 Auch in dem öffentlichen Teil der Verfahrensbeschreibungen können ggf. solche Informationen verborgen ( geschwärzt ) werden, die zu einer Beeinträchtigung der Verfahrenssicherheit bzw. zu einer Verletzung von Betriebsgeheimnissen führen könnten. 17

18 2. Ausfüllhinweise zur Verfahrensbeschreibung A. Öffentlicher Teil der Verfahrensbeschreibung Einzel- oder Sammelbeschreibung? Im Regelfall fertigt jede Daten verarbeitende Stelle an der TU Braunschweig 9 vorab für jedes von ihr eingeführte bzw. einzuführendes Verfahren eine gesonderte Verfahrensbeschreibung an. Eine Sammelbeschreibung für eine Mehrzahl von Verfahren kann erstellt werden, wenn die Angaben gleich bzw. gleichwertig sind. Eine Sammelbeschreibung kommt beispielsweise in Betracht, wenn a) innerhalb einer Stelle mehrere Benutzer gleiche oder gleichartige Verfahren nutzen (z.b. gleiche Anwendungen auf mehreren PC), b) mehrere Stellen bei einer Stelle gleiche Verfahren nutzen (z.b. die Institute als Stellen der TU Braunschweig als die übergeordnete Stelle ). Beispiele: - Verschiedene Lehrtätige an einem Institut nutzen für verschiedene Veranstaltungen das gleiche oder ähnliche Verfahren zum Führen von Teilnehmer- und Prüfungslisten jeweils an ihrem Arbeitsplatzrechner Verschiedene Mitarbeiterinnen und Mitarbeiter eines Institutes führen regelmäßig zu Forschungszwecken Befragungen durch, die in Art und Umfang einander sehr ähnlich sind und deren erhaltene Daten auf die gleiche bzw. eine ähnliche Art und Weise ausgewertet und verarbeitet werden. Mehrere Institute der TU Braunschweig nutzen dasselbe Auswertungstool einer Fakultät. Sammelverfahrensbeschreibungen müssen jedoch stets dann durch Einzelbeschreibungen oder Anlagen ergänzt werden, wenn bei einem einzelnen Verfahren wesentliche Merkmale (z.b. Art der personenbezogenen Daten, des automatisierten Verfahrens, der Verarbeitungsweise, der technischen und organisatorischen Datenschutzmaßnahmen) so von den in der Sammelbeschreibung genannten Merkmalen abweichen, dass sie ihre Gültigkeit verlieren. Wird die Sammelbeschreibung nicht von der Daten verarbeitenden Stelle selbst erstellt, so sind in der Verfahrensbeschreibung der Auftragnehmer und in einer zusätzlichen Liste alle Daten verarbeitenden Stellen anzugeben. Zu 1. Anzeigende Stelle (s.a. Punkt 15 des Vordrucks) Bei der öffentlichen Stelle handelt es sich formal um die Daten verarbeitende Stelle gemäß 3 Abs. 3 NDSG, also um die TU Braunschweig (daher ist die TU Braunschweig in dem Vordruck bereits angegeben). Da sich die meisten der zu beschreibenden Verfahren auf einzelne Institute (oder auf Sach- 9 Gegenüber Dritten wie auch dem Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gilt im Regelfall die TU Braunschweig insgesamt als die anzeigende und Daten verarbeitende Stelle, jeweils vertreten durch die Institute und Einrichtungen, welche die Datenverarbeitung als untergeordnete Stelle tatsächlich durchführen. Letztere werden hier vereinfacht als die anzeigende und die Daten verarbeitende Stelle bezeichnet (soweit nicht anders zutreffend). 18

19 gebiete der Hochschulverwaltung) beschränken und diese für das Verfahren die primäre Verantwortung tragen, müssen auch sie als Institut/Einrichtung angegeben werden und die Verfahrensbeschreibung erstellen sowie in der Folge aktuell halten. Hinweis: Die Verfahrensbeschreibung ist im nicht-öffentlichen Teil der Verfahrensbeschreibung unter Punkt 15 von der Stelle (Institut/Einrichtung) zu unterschreiben, welche die Verfahrensbeschreibung erstellt hat. Da die Verfahrensbeschreibung häufig nicht von dem Leiter/Verantwortlichen der Einrichtung selbst erstellt wird, müssen sowohl vom Verantwortlichen als auch vom Bearbeiter jeweils der Name genannt und die Unterschrift geleistet werden. Hinweis: Name, Organisationseinheit und Telefonnummer der oder des Datenschutzbeauftragten werden (abweichend von den Mustervorgaben des Landesbeauftragten für den Datenschutz Niedersachsen, LfD) unter Punkt 17 (Genehmigungsprozess) genannt. Diese Angaben werden für evtl. Rückfragen benötigt, wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen und die Verfahrensbeschreibungen deshalb dem LfD nach 22 Abs. 5 NDSG vorgelegt werden müssen. Zu 2. Bezeichnung des Verfahrens Hier ist eine komplette Bezeichnung (keine Abkürzung des Verfahrens bzw. der Programme) unter Verwendung eines möglichst sprechenden" Namens zu verwenden, z.b. Teilnehmerliste für Praktika, Studierendenbefragung zum Einsatz mobiler Speichermedien usw. Bitte geben Sie dabei ggf. auch das Verfahren (Programmname) an, mit dem die Daten verarbeitet werden (z.b. unter Einsatz von Unipark ). Verknüpfungen zu anderen Verfahren sind dann anzugeben, wenn mithilfe der Verknüpfung automatische Suchvorgänge oder automatische Veränderungen von anderen Verfahren aus oder in anderen Verfahren durchgeführt werden (z.b. bei Zugriff auf SAP- oder HIS-Datenbanken). Zu 3. Bezeichnung der Daten verarbeitenden Stelle Daten verarbeitende Stelle ist jede Stelle (eine zentrale oder dezentrale Einrichtung, z.b. Institute oder Fakultäten), die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Wenn die Daten ausschließlich von dieser Stelle verarbeitet werden, kreuzen Sie dies an, sonst müssen alle Auftragnehmer mit Namen und Anschrift genannt sowie der schriftlich zu schließende Vertrag nach dem NDSG als Anlage beigefügt werden. Datenschutzrechtlich zu unterscheiden sind die Auftragsdatenverarbeitung und die Funktionsübertragung. Bei der Auftragsdatenverarbeitung bleibt die datenschutzrechtliche Verantwortung für die Verarbeitung und Nutzung der personenbezogenen Daten beim Auftraggeber. Er schreibt die technischen und organisatorischen Maßnahmen zur Datensicherung und zur Gewährleistung der Vertraulichkeit beim Auftragnehmer vor. Dem Serviceunternehmen wird nur die tatsächliche Verarbeitung oder Nutzung nach Weisung und unter materieller Verantwortung des Auftraggebers übertragen. Bei der Datenverarbeitung im Auftrag wird damit lediglich eine Hilfsfunktion der eigentlichen Aufgabe ausgelagert. Eine an der TU Braunschweig häufige Auftragsdatenverarbeitung erfolgt beispielsweise im Zusammenhang mit Befragungen für Forschungszwecke, bei denen die Auftragnehmer nur die Plattform für die Befragung stellen oder eine generalisierte Auswertung nach den strikten Vorgaben des jeweiligen Auftraggebers durchführen. 19

20 Werden dagegen die der Verarbeitung zugrunde liegenden (i.d.r. eigenverantwortlichen) Aufgaben oder Geschäftszwecke ganz oder teilweise abgegeben, erbringt der Auftragnehmer über die technische Durchführung hinaus materielle Leistungen mit Hilfe der überlassenen Daten, dann spricht die Kommentarliteratur von einer Funktionsübertragung. In diesem Fall wird also dem Dienstleister eine ganze Aufgabe übertragen, die er eigenverantwortlich wahrnimmt. Ein Beispiel hierfür könnte ein Forschungsverbundprojekt sein, bei dem ein Institut der TU Braunschweig Daten an ein Institut einer anderen Hochschule im Rahmen eines Forschungsvertrages übermittelt und das Daten empfangende Institut diese nach eigenen Maßgaben auswertet. In diesem Fall muss einerseits die Datenübermittlung eine für die TU Braunschweig gültige Rechtsgrundlage haben und andererseits die Daten empfangende Stelle eine eigene Verfahrensbeschreibung zur Verarbeitung der Daten erstellen. Deutliche Erkennungsmerkmale sind bei: Auftragsdatenverarbeitung: Funktionsübertragung: fehlende Entscheidungsbefugnis des Auftragnehmers; weisungsgebundene Unterstützung; fehlende (vertragliche) Beziehung des Auftragnehmers zum Betroffenen; Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt; Überlassung von Nutzungsrechten an den Daten; eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister; Sicherstellen der Rechte von Betroffenen (Benachrichtigungspflicht, Auskunftsanspruch). Soweit personenbezogene Daten im Rahmen der Wartung oder Fernwartung von Datenverarbeitungssystemen zwingend genutzt werden müssen, ist dies als Datenverarbeitung im Auftrag i.s. des 6 zulässig. Ob weitergehende Schutzvorschriften (z.b. 203 des Strafgesetzbuches [StGB]) berührt sind, ist gesondert zu prüfen. Lässt eine Daten verarbeitende Stelle der TU Braunschweig personenbezogene Daten im Auftrag von einer Stelle außerhalb des Landes Niedersachsen verarbeiten, so hat sie die zuständige Datenschutzkontrollbehörde zu unterrichten. Handelt es sich bei dem Auftragnehmer um eine öffentliche Stelle eines anderen Landes oder des Bundes, so ist die zuständige Datenschutzkontrollbehörde die oder der jeweilige Landesdatenschutzbeauftragte bzw. die oder der Bundesbeauftragte für den Datenschutz. Handelt es sich bei dem Auftragnehmer um eine nicht-öffentliche Stelle, ist die nach 38 BDSG zuständige Aufsichtsbehörde zu unterrichten. Im Rahmen der vertraglichen Verpflichtung nicht-öffentlicher Stellen als Auftragnehmer, jederzeitige vom Auftraggeber veranlasste Kontrollen zu ermöglichen, ist auch das Prüfungsrecht der oder des Landesbeauftragten für den Datenschutz zu gewährleisten. In jedem Fall haben sich die Auftraggeber von der Beachtung der Regelungen des 7 NDSG und der Einhaltung der erteilten Weisungen zu vergewissern. Weitere Einzelheiten zur Auftragsdatenverarbeitung (Orientierungshilfe und Checkliste) entnehmen Sie bitte der entsprechenden Internetseite des LfD: 20

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG) Valerij Serediouk SE Designing for Privacy HU WS 09 / 10 1 Gliederung Einführung Zweck und Anwendungsbereich des BDSG

Mehr

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten

Mehr

Einführung in den Datenschutz

Einführung in den Datenschutz Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der

Mehr

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG)

Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Nach 8 des Niedersächsischen Datenschutzgesetzes (NDSG) muss jede öffentliche Stelle, die Verfahren

Mehr

In der Kopfzeile des Formulars ist der Name der automatisierten Verarbeitung, für die die Beschreibung erstellt wird, anzugeben.

In der Kopfzeile des Formulars ist der Name der automatisierten Verarbeitung, für die die Beschreibung erstellt wird, anzugeben. Hochschule Hannover - Der Datenschutzbeauftragte Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Vorbemerkung: Jede öffentliche Stelle 1, die

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am 13.01.2016

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am 13.01.2016 Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz Seminar am 13.01.2016 Prof. Dr. Stephan König, Robin Ziert, Anke Hirte, 13.01.2016 Die Datenschutzbeauftragten der

Mehr

Datenschutz und Schule

Datenschutz und Schule Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art 1 2 3 Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art Nervensystem der Gesellschaft entwickelt. Neben vielen

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

DATENSCHUTZERKLÄRUNG

DATENSCHUTZERKLÄRUNG DATENSCHUTZERKLÄRUNG Wir freuen uns über Ihr Interesse an unserer Website. Der Schutz Ihrer Privatsphäre ist für uns sehr wichtig. Nachstehend möchten wir Sie ausführlich über den Umgang mit Ihren Daten

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG) Mustermann GmbH Musterstr. 123 12345 Musterstadt Sehr geehrte(r) Frau/Herr, aufgrund Ihrer Aufgabenstellung in unserem Unternehmen gilt

Mehr

12a HmbDSG - Unterrichtung bei der Erhebung

12a HmbDSG - Unterrichtung bei der Erhebung Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Big Data in der Medizin

Big Data in der Medizin Big Data in der Medizin Gesundheitsdaten und Datenschutz Dr. Carola Drechsler Sommerakademie 2013 Inhalt Was bedeutet Big Data? Welche datenschutzrechtlichen Fragestellungen sind zu berücksichtigen? Welche

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

M i t t e i l u n g s b l a t t. Der Rektor der Kunsthochschule Berlin (Weißensee) 8. März 2011 Bühringstraße 20, 13086 Berlin

M i t t e i l u n g s b l a t t. Der Rektor der Kunsthochschule Berlin (Weißensee) 8. März 2011 Bühringstraße 20, 13086 Berlin K u n s t h o c h s c h u l e B e r l i n ( W e i ß e n s e e ) K H B Hochschule für Gestaltung M i t t e i l u n g s b l a t t Herausgeber: Nr. 170 Der Rektor der Kunsthochschule Berlin (Weißensee) 8.

Mehr

Datenschutzrechtliche Regelungen zur Forschung mit personenbezogenen Daten

Datenschutzrechtliche Regelungen zur Forschung mit personenbezogenen Daten Bundesdatenschutzgesetz (BDSG) i.d.f. vom 23.05.2001 (BGBl. I S. 904) 14 Datenspeicherung, -veränderung und -nutzung (1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten

Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Verarbeitung personenbezogener Daten bei Errichtung und Betrieb von Verzeichnisdiensten Matthias Herber Datenschutzbeauftragter der TU Dresden Kontakt: datenschutz@tu-dresden.de AK Verzeichnisdienste Duisburg,

Mehr

Datenschutz-Schulung

Datenschutz-Schulung Datenschutz-Schulung Revowerk ist gesetzlich dazu verpflichtet, seine Stammkundenbetreuer im Bereich Datenschutz zu schulen und sie vertraglich auf die Einhaltung der Datenschutzrichtlinien zu verpflichten.

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

- Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig -

- Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig - 0ö5öaälo0##Qer234 Der Datenschutzbeauftragte Dr. Bernd Nörtemann - Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig - (in Anlehnung an die Ausfüllhinweise des Landesbeauftragten für den Datenschutz

Mehr

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung Verband Bildung und Erziehung Landesbezirk Südbanden Datenschutz, Sorgerecht und Schulanmeldung Neue VwV Datenschutz I. Allgemeines Zulässigkeit der Datenverarbeitung Datenerhebung... Datenlöschung und

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken in der Regierung von Mittelfranken 2 Wesentliche Elemente des Datenschutzes im Unternehmen 3 Teil A Datenschutz im Unternehmen Teil A Allgemeines zum Datenschutz 4 I. Schutz der personenbezogenen Daten

Mehr

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Nr.147. Gesetz zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Erzbistum Paderborn - PatDSG Zum Schutz von personenbezogenen

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) zwischen der CSL-Beratung UG haftungsbeschränkt und - nachstehend Auftragnehmer genannt - dem Benutzer des Beratungsassistenten

Mehr

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1. Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch

Mehr

Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG)

Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG) Unterweisung gemäß 5 Bundesdatenschutzgesetz (BDSG) Die Erfindung des Datenschutzes 1983: Volkszählungsurteil des Bundesverfassungsgerichts Grundrecht auf informationelle Selbstbestimmung als Teil des

Mehr

Verfahrensverzeichnis

Verfahrensverzeichnis Verfahrensverzeichnis Beschreibung des einzelnen Verfahrens nach 8 DSG NRW Lfd. Nr.: (wird vom DSB vergeben) Neues Verfahren / Erstmeldung Wesentliche Änderung (wird vom DSB ausgefüllt) Das Verfahren ist

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n)

Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Bestellungsvertrag für eine(n) externe(n) Datenschutzbeauftragte(n) Vertrag über Dienstleistungen einer/eines externen Datenschutzbeauftragten nach 4f Bundesdatenschutzgesetz -"BDSG"- zwischen vertreten

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Die Erschließung von Nachlässen und der Datenschutz

Die Erschließung von Nachlässen und der Datenschutz Die Erschließung von Nachlässen und der Datenschutz Workshop Erschließung von Nachlässen Göttingen 12./13. November 2009 Dr. Harald Müller (Handschriftlicher) Nachlass Manuskripte Persönliche Dokumente

Mehr

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Verantwortliche Stelle 1 Stand vom: 1. Bezeichnung des Verfahrens 2 2. Zweckbestimmung 3 und Rechtsgrundlage

Mehr

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH Technischer Datenschutz Thorsten Sagorski Campus Duisburg LG 110 Behördlich bestellte Datenschutzbeauftragte Herr Tuguntke Leiter des Justitiariats

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Schutz der Sozialdaten

Schutz der Sozialdaten Andreas Pirack Schutz der Sozialdaten Andreas Pirack 1 Interessenkollision Individuum Allgemeinheit Recht auf Privatsphäre Recht auf Privatsphäre Öffentliches Interesse 2 Informationelles Selbstbestimmungsrecht

Mehr

Monitoring und Datenschutz

Monitoring und Datenschutz Zentrum für Informationsdienste und Hochleistungsrechnen Monitoring und Datenschutz Dresden, 27.Mai 2008 Bundesrepublik Deutschland Grundrecht auf informationelle Selbstbestimmung: Der Betroffene kann

Mehr

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH

Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Datenschutzbestimmungen Extranet der Flughafen Berlin Brandenburg GmbH Version 1.1 2012-07-11 Personenbezogene Daten Die Flughafen Berlin Brandenburg GmbH im Folgenden FBB genannt erhebt, verarbeitet,

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de

Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de Datenschutzerklärung der emco electroroller GmbH für die emcoelektroroller.de Wir freuen uns über Ihr Interesse an unserer Website. Der Schutz Ihrer Privatsphäre ist für uns sehr wichtig. Nachstehend informieren

Mehr

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6 Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene

Mehr

17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz? 17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische

Mehr

Datenschutz eine Einführung. Malte Schunke

Datenschutz eine Einführung. Malte Schunke Datenschutz eine Einführung Malte Schunke Gliederung 1. Wieso Datenschutz? 2. Was hat das mit mir zu tun? 3. Begriffserklärungen Pause 4. Wichtige Rechtsvorschriften 5. Datenschutz in der Arztpraxis Wieso

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen? Was muss der Unternehmer wissen? Was ist Datenschutz nach BDSG? Basis: Recht auf informelle Selbstbestimmung Jeder Mensch kann selbst entscheiden, wem wann welche personenbezogene Daten zugänglich sein

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010 Lutz Grammann Datenschutz für Administratoren St. Pius-Stift Cloppenburg 13. Oktober 2010 06. Oktober 2010 Datenschutz für Administratoren 1 Erwartungen an Administratoren Mitwirkung bei der Gestaltung

Mehr

Secorvo. Partner und Unterstützer

Secorvo. Partner und Unterstützer Partner und Unterstützer Datenschutz Anspruch und Wirklichkeit im Unternehmen Karlsruher IT-Sicherheitsinitiative, 31.03.2004 Dirk Fox fox@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin Dienstvereinbarung über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems an der Freien Universität Berlin 31. Juli 2009 Gliederung der Dienstvereinbarung über den

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Erläuterungen zum Abschluss der Datenschutzvereinbarung Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 des Sächsischen Datenschutzgesetzes (SächsDSG) i. d. F. der Bekanntmachung vom 25. August 2003 (SächsGVBl. S. 330), Rechtsbereinigt mit Stand vom 31.

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG Die Server von blau direkt werden in einem Nürnberger Rechenzentrum betrieben. Mit den beteiligten Dienstleistern wurden ordnungsgemäße

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Von Stefan Lang und Ralf Wondratschek

Von Stefan Lang und Ralf Wondratschek - Umgang von Betrieben mit - Mitarbeiterdaten - Kundendaten - Technisierung der Betriebe - Grenzen der Datensammlung / -speicherung bei Betrieben - Strafen - aktuelles Beispiel - Quellen Es gibt 2 Arten

Mehr

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -

Mehr

Datenschutz in der Bildung

Datenschutz in der Bildung Eine Unmöglichkeit? Dr. Walter Kicherer Urheberrechtstag LEARNTEC 2014 4. Februar 2014 Agenda. Die Dienststelle des Landesbeauftragten Personenbezogene Daten Gesetzesgrundlage (BDSG, LDSG) Zulässigkeit

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Datenschutzordnung (DSO) der Freien evangelischen Gemeinden

Datenschutzordnung (DSO) der Freien evangelischen Gemeinden Datenschutzordnung (DSO) der Freien evangelischen Gemeinden Begriffsbestimmungen: FeGs= zum Bund gehörige FeG- Ortsgemeinden, FeG- Kreise, Arbeitszweige des Bundes, Verwaltung des Bundes. Erforderlichkeit=

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

--------------------------------------------------------------------------------

-------------------------------------------------------------------------------- Datenschutz Bericht von Sebastian Dähne Definition Datenschutz allgemein Warum Datenschutz? Begriffsbestimmungen Wie wird der Datenschutz in Deutschalnd geregelt -> Bundesdatenbschutzgesetz Die Rechte

Mehr

Webinar Betrieblicher Datenschutz

Webinar Betrieblicher Datenschutz Webinar Betrieblicher Datenschutz In Zusammenarbeit mit der Wirtschaftsförderung Kreis Coesfeld Robert Kandzia 10. Oktober 2013 10:00 Uhr Ziele Ursprünge und Begriff Terminologie im Datenschutz typische

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz

Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Eine Veranstaltung der IHK Regensburg am 27.10.2009 Referentin: Sabine Sobola, Rechtsanwältin, Lehrbeauftragte für IT-Recht

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr