- Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig -

Transkript

1 0ö5öaälo0##Qer234 Der Datenschutzbeauftragte Dr. Bernd Nörtemann - Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig - (in Anlehnung an die Ausfüllhinweise des Landesbeauftragten für den Datenschutz Niedersachsen; angepasst an den modifizierten Vordruck der TU Braunschweig) Diese Ausfüllhinweise und Erläuterungen finden Sie ebenso wie den Vordruck für die Verfahrensbeschreibungen in der jeweils aktuellsten Version unter 1 (unter dem Buchstaben V ) bzw. auf den Seiten des Datenschutzbeauftragten und des CIO. Letzte Aktualisierung: Juni 2014

2 0ö5öaälo0##Qer234 Vorwort zu dieser Anleitung: Datenschutz ist zu verstehen als der Schutz von natürlichen Personen auf informationelle Selbstbestimmung und Wahrung der Privatsphäre bzw. des Persönlichkeitsrechts bei der Datenverarbeitung. Der Kerngedanke des Datenschutzes besteht darin, dass jeder Mensch grundsätzlich selbst entscheiden sollte, welche seiner persönlichen Daten wem, wann, wozu und für wie lange zugänglich sein sollen. Zum Schutz dieser Persönlichkeitsrechte müssen Daten verarbeitende Stellen des Bundes und der Länder u.a. für jedes von ihnen betriebene Verfahren zur automatisierten Verarbeitung personenbezogener Daten vor der Inbetriebnahme eine Verfahrensbeschreibung erstellen und diese in der Folge aktuell halten. Der vom Landesbeauftragten für den Datenschutz Niedersachsen (LfD) den Behörden seines Verantwortlichkeitsbereiches als Muster zur Verfügung gestellte Vordruck und die dazu gehörigen kurzen Ausfüllhinweise wurden für die Einrichtungen der TU Braunschweig modifiziert. Die hier in Anlehnung an das Muster des LfD erstellte Anleitung soll eine konkrete Hilfestellung für das Erstellen der Verfahrensbeschreibung nach dem modifizierten Vordruck geben. Ergänzend bzw. alternativ zu dieser Kompaktanleitung steht jedoch zudem eine ausführliche Broschüre zur Verfügung, die zusätzlich zu den eigentlichen, unmittelbar am Vordruck orientierten Ausfüllhinweisen auch noch weitere Erläuterungen insbesondere zu den Begriffen, den Hintergründen und dem Ablauf bei der Erstellung der Verfahrensbeschreibungen gibt. 2

3 Ausfüllhinweise zur Verfahrensbeschreibung Öffentlicher Teil der Verfahrensbeschreibung (Nr. 1-8) Einzel- oder Sammelbeschreibung? Im Regelfall fertigt jede Daten verarbeitende Stelle an der TU Braunschweig 1 vorab für jedes von ihr eingeführte bzw. einzuführendes Verfahren eine gesonderte Verfahrensbeschreibung an. Eine Sammelbeschreibung für eine Mehrzahl von Verfahren kann erstellt werden, wenn die Angaben gleich bzw. gleichwertig sind. Eine Sammelbeschreibung kommt beispielsweise in Betracht, wenn a) innerhalb einer Stelle mehrere Benutzer gleiche oder gleichartige Verfahren nutzen (z.b. gleiche Anwendungen auf mehreren PC), b) mehrere Stellen bei einer Stelle gleiche Verfahren nutzen (z.b. die Institute als Stellen der TU Braunschweig als die übergeordnete Stelle ). Beispiele: - Verschiedene Lehrtätige an einem Institut nutzen für verschiedene Veranstaltungen das gleiche oder ähnliche Verfahren zum Führen von Teilnehmer- und Prüfungslisten jeweils an ihrem Arbeitsplatzrechner Verschiedene Mitarbeiterinnen und Mitarbeiter eines Institutes führen regelmäßig zu Forschungszwecken Befragungen durch, die in Art und Umfang einander sehr ähnlich sind und deren erhaltene Daten auf die gleiche bzw. eine ähnliche Art und Weise ausgewertet und verarbeitet werden. Mehrere Institute der TU Braunschweig nutzen dasselbe Auswertungstool einer Fakultät. Sammelverfahrensbeschreibungen müssen jedoch stets dann durch Einzelbeschreibungen oder Anlagen ergänzt werden, wenn bei einem einzelnen Verfahren wesentliche Merkmale (z.b. Art der personenbezogenen Daten, des automatisierten Verfahrens, der Verarbeitungsweise, der technischen und organisatorischen Datenschutzmaßnahmen) so von den in der Sammelbeschreibung genannten Merkmalen abweichen, dass sie ihre Gültigkeit verlieren. Wird die Sammelbeschreibung nicht von der Daten verarbeitenden Stelle selbst erstellt, so sind in der Verfahrensbeschreibung der Auftragnehmer und in einer zusätzlichen Liste alle Daten verarbeitenden Stellen anzugeben. Zu 1. Anzeigende Stelle (s.a. Punkt 15 des Vordrucks) Bei der öffentlichen Stelle handelt es sich formal um die Daten verarbeitende Stelle gemäß 3 Abs. 3 NDSG, also um die TU Braunschweig (daher ist die TU Braunschweig in dem Vordruck bereits angegeben). Da sich die meisten der zu beschreibenden Verfahren auf einzelne Institute (oder auf Sach- 1 Gegenüber Dritten wie auch dem Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gilt im Regelfall die TU Braunschweig insgesamt als die anzeigende und Daten verarbeitende Stelle, jeweils vertreten durch die Institute und Einrichtungen, welche die Datenverarbeitung als untergeordnete Stelle tatsächlich durchführen. Letztere werden hier vereinfacht als die anzeigende und die Daten verarbeitende Stelle bezeichnet (soweit nicht anders zutreffend). 3

4 gebiete der Hochschulverwaltung) beschränken und diese für das Verfahren die primäre Verantwortung tragen, müssen auch sie als Institut/Einrichtung angegeben werden und die Verfahrensbeschreibung erstellen sowie in der Folge aktuell halten. Hinweis: Die Verfahrensbeschreibung ist im nicht-öffentlichen Teil der Verfahrensbeschreibung unter Punkt 15 von der Stelle (Institut/Einrichtung) zu unterschreiben, welche die Verfahrensbeschreibung erstellt hat. Da die Verfahrensbeschreibung häufig nicht von dem Leiter/Verantwortlichen der Einrichtung selbst erstellt wird, müssen sowohl vom Verantwortlichen als auch vom Bearbeiter jeweils der Name genannt und die Unterschrift geleistet werden. Hinweis: Name, Organisationseinheit und Telefonnummer der oder des Datenschutzbeauftragten werden (abweichend von den Mustervorgaben des Landesbeauftragten für den Datenschutz Niedersachsen, LfD) unter Punkt 17 (Genehmigungsprozess) genannt. Diese Angaben werden für evtl. Rückfragen benötigt, wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen und die Verfahrensbeschreibungen deshalb dem LfD nach 22 Abs. 5 NDSG vorgelegt werden müssen. Zu 2. Bezeichnung des Verfahrens Hier ist eine komplette Bezeichnung (keine Abkürzung des Verfahrens bzw. der Programme) unter Verwendung eines möglichst sprechenden" Namens zu verwenden, z.b. Teilnehmerliste für Praktika, Studierendenbefragung zum Einsatz mobiler Speichermedien usw. Bitte geben Sie dabei ggf. auch das Verfahren (Programmname) an, mit dem die Daten verarbeitet werden (z.b. unter Einsatz von Unipark ). Verknüpfungen zu anderen Verfahren sind dann anzugeben, wenn mithilfe der Verknüpfung automatische Suchvorgänge oder automatische Veränderungen von anderen Verfahren aus oder in anderen Verfahren durchgeführt werden (z.b. bei Zugriff auf SAP- oder HIS-Datenbanken). Zu 3. Bezeichnung der Daten verarbeitenden Stelle Daten verarbeitende Stelle ist jede Stelle (eine zentrale oder dezentrale Einrichtung, z.b. Institute oder Fakultäten), die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Wenn die Daten ausschließlich von dieser Stelle verarbeitet werden, kreuzen Sie dies an, sonst müssen alle Auftragnehmer mit Namen und Anschrift genannt sowie der schriftlich zu schließende Vertrag nach dem NDSG als Anlage beigefügt werden. Datenschutzrechtlich zu unterscheiden sind die Auftragsdatenverarbeitung und die Funktionsübertragung. Bei der Auftragsdatenverarbeitung bleibt die datenschutzrechtliche Verantwortung für die Verarbeitung und Nutzung der personenbezogenen Daten beim Auftraggeber. Er schreibt die technischen und organisatorischen Maßnahmen zur Datensicherung und zur Gewährleistung der Vertraulichkeit beim Auftragnehmer vor. Dem Serviceunternehmen wird nur die tatsächliche Verarbeitung oder Nutzung nach Weisung und unter materieller Verantwortung des Auftraggebers übertragen. Bei der Datenverarbeitung im Auftrag wird damit lediglich eine Hilfsfunktion der eigentlichen Aufgabe ausgelagert. Eine an der TU Braunschweig häufige Auftragsdatenverarbeitung erfolgt beispielsweise im Zusammenhang mit Befragungen für Forschungszwecke, bei denen die Auftragnehmer nur die Plattform für die Befragung stellen oder eine generalisierte Auswertung nach den strikten Vorgaben des jeweiligen Auftraggebers durchführen. 4

5 Werden dagegen die der Verarbeitung zugrunde liegenden (i.d.r. eigenverantwortlichen) Aufgaben oder Geschäftszwecke ganz oder teilweise abgegeben, erbringt der Auftragnehmer über die technische Durchführung hinaus materielle Leistungen mit Hilfe der überlassenen Daten, dann spricht die Kommentarliteratur von einer Funktionsübertragung. In diesem Fall muss einerseits die Datenübermittlung eine für die TU Braunschweig gültige Rechtsgrundlage haben und andererseits die Daten empfangende Stelle eine eigene Verfahrensbeschreibung zur Verarbeitung der Daten erstellen. Weitere Einzelheiten zur Auftragsdatenverarbeitung (Orientierungshilfe und Checkliste) entnehmen Sie bitte der entsprechenden Internetseite des LfD: Zu 4. Zweckbestimmung des Verfahrens Der Zweck der Datenverarbeitung ist so präzise wie möglich zu benennen. Zu benennen sind weniger die allgemeinen Geschäftszwecke als vielmehr die konkreten Zwecke der verschiedenen Datenverarbeitungsprozesse. Eine genauere Beschreibung des Verfahrens bzw. der Prozesse ist unter Punkt 9.2 des Vordrucks zu erstellen. Zu 5. Rechtsgrundlage der Verarbeitung Für die automatisierte Verarbeitung von personenbezogenen Daten bedarf es obligat einer entsprechenden Rechtsgrundlage, d.h., eines oder mehrerer Gesetze oder sonstiger verbindlicher Rechtsgrundlagen, welche Ihnen entweder gestatten, die automatisierte Verarbeitung personenbezogener Daten in der vorgesehenen Form vorzunehmen, oder welche die Verarbeitung sogar vorschreiben. Dies können beispielsweise Melde- oder Statistikgesetze oder etwa die Nds. AktO (Aktenordnung und Aktenplan für die niedersächsische Landesverwaltung) sein. Nach 4 Abs. 1 NDSG ist die Verarbeitung personenbezogener Daten nur zulässig, wenn das NDSG oder ein anderes Gesetz bzw. eine andere Rechtsvorschrift sie erlaubt oder der Betroffene, d.h. die Person, deren Daten verarbeitet werden sollen, eingewilligt hat. Bitte geben Sie die zutreffende(n) Rechtsgrundlage(n) an, z.b.: - Einwilligung der Betroffenen ( 4 NDSG). Die Einwilligung bedarf der Schriftform, es sei denn, dass wegen besonderer Umstände eine andere Form angemessen ist. Soweit die Einwilligung personenbezogener Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben betrifft, muss sie sich ausdrücklich auf diese Angaben beziehen. - Einschlägige Vorschrift des NDSG (z.b. 10 Abs. 1) oder einer anderen Rechtsvorschrift über die Zulässigkeit der Datenverarbeitung (z.b. 22 Niedersächsisches Meldegesetz, NMG). - Zutreffen der Forschungsklausel nach 25 Abs. 2 Nr. 3., d.h. wenn die Belange der Betroffenen hinter dem Interesse am Forschungsvorhaben zurücktreten müssen (s. Kap. 1.4 der Broschüre). Demnach dürfen vorhandene Daten abweichend von ihrer ursprünglichen Zweckbestimmung auch ohne Einwilligung der Betroffenen verarbeitet werden, wenn Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der Betroffenen der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht (1. Alternative) oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der Betroffenen erheblich überwiegt (2. Alternative). Der Verfahrensbeschreibung für die geplante Datenverarbeitung ist eine Begründung des öffentlichen Interesses. Diese sollte mit dem Datenschutzbeauftragten der TU 5

6 Braunschweig abgestimmt sein, da er im Rahmen des Bewilligungsprozesses bei der Verfahrensbeschreibung unter Punkt 17.1 eine Stellungnahme auch zu der Begründung abgibt, welche u.u. für die Bewilligung des Verfahrens durch das Präsidium maßgeblich ist. Datenschutzgesetze auf Bundes- und Landesebene gelten i.a. subsidiär. Dies bedeutet, dass Rechtsvorschriften in anderen Gesetzen, die für die Erhebung, Speicherung, Verarbeitung, Nutzung und Weitergabe personenbezogener Daten anzuwenden sind, Vorrang vor dem jeweiligen Datenschutzgesetz haben. Für die öffentlichen Stellen des Landes Niedersachsen gilt diesbezüglich 2 Abs. 6 NDSG, in dem es heißt: Besondere Rechtsvorschriften über die Verarbeitung personenbezogener Daten gehen den Bestimmungen dieses Gesetzes vor. Somit wird zugleich klar, dass das NDSG einen Querschnittscharakter aufweist. Es legt zwar einen einheitlichen Datenschutzstandard für alle Tätigkeiten öffentlicher Stellen fest, deren Aufgabenerledigung nicht durch datenschutzrechtlich relevante Besonderheiten geprägt wird. Soweit jedoch besondere Anforderungen an die Verwaltungstätigkeit in einzelnen Verwaltungsbereichen eine weitergehende Einschränkung des Rechts auf informationelle Selbstbestimmung erforderlich machen, gelten vorrangig die entsprechenden bereichsspezifischen (ggf. eingeschränkten) Datenschutzbestimmungen. Dieses Grundprinzip gilt für eine Vielzahl von Gesetzen, beispielsweise: im Polizeirecht und im Melderecht, im Sozialrecht und Sozialversicherungsrecht, im Telekommunikations- und Telemedienrecht; im Handelsrecht (z.b. 238 ff HGB (Buchführungspflicht) mit 257 (Aufbewahrungsfristen). In Deutschland relevante Gesetze und sonstige Rechtsvorschriften, die einen (möglichen) Bezug auf das Datenschutzrecht haben und als Rechtsgrundlage für die automatisierte Verarbeitung personenbezogener Daten dienen könnten, sind beispielsweise: Landesdatenschutzgesetze wie insbesondere das für die TU Braunschweig als öffentliche, Daten verarbeitende Stelle Niedersachsens bindende NDSG; Aktenordnung und Aktenplan für die niedersächsische Landesverwaltung (Nds. AktO); Gesetz über den unlauteren Wettbewerb; Gesundheitsstrukturgesetz bzw. Gesundheitsreformgesetz; Hochschulstatistikgesetze; Informations- und Kommunikationsdienste-Gesetz; KunstUrhG (Kunst- und Urheberrecht Gesetz von 1907); Landesstatistikgesetze; Meldegesetze; Sozialgesetzbuch ( 35: Sozialgeheimnis); Strafgesetzbuch ( 202a, 263a, 269, 303a, 303b); Teledienste-Datenschutzgesetz; Telekommunikationsgesetz; Telemediengesetz: Urheberrechtsgesetz; Verwaltungsverfahrensgesetz ( 4, 5, 30, 84); Wenn Sie gemäß einer Vorschrift eines dieser oder anderer Gesetze personenbezogene Daten speichern müssen, geben Sie bitte den oder die entsprechenden Paragraphen (mit Titel) an! Das NDSG mit Kommentaren können Sie hier von der Seite des LfD herunterladen (ausgedruckte Exemplare erhalten Sie auf Anfrage gern auch bei mir): ( 6

7 Zu 6. Kreis der Betroffenen Betroffene sind die natürlichen Personen, deren Daten mit Hilfe des automatisierten Verfahrens verarbeitet werden. Der Kreis der Betroffenen ist so präzise wie möglich zu bezeichnen. So wäre etwa die Angabe "natürliche Personen" bei einem computergestützten Ausleihsystem einer Bibliothek viel zu allgemein. In diesem Fall lässt sich der Kreis der Betroffenen wesentlich genauer angeben, z.b. "alle Personen, die einen Leseausweis haben". Zu 7. Fristen für die Sperrung und Löschung der Daten Ein wichtiger Grundsatz des Datenschutzes ist, dass einmal erhobene personenbezogene Daten nicht für immer und ewig gespeichert werden dürfen (z.b. weil man sie ja eventuell noch mal für irgendeinen Zweck gebrauchen könnte). Wer personenbezogene Daten mit Hilfe eines automatisierten Verfahrens verarbeitet, muss - beginnend mit der erstmaligen Speicherung von Daten - festlegen, wann welche Datenarten zu sperren oder zu löschen sind. Sperren: Kennzeichnung der Daten, die bewirkt, dass diese nicht mehr aufgerufen/verarbeitet werden können. Löschen: Endgültiges Beseitigen der Daten. Grundsätzlich müssen personenbezogene Daten gelöscht werden, wenn der Zweck ihrer Speicherung erreicht wurde (bzw. wenn sie für den primären Zweck, für den sie erhoben oder empfangen wurden, nicht mehr benötigt werden) und daher ihre Kenntnis für die Erreichung des Zwecks nicht mehr erforderlich ist. Allerdings kann es auch sein, dass diese eigentlich zu löschenden personenbezogenen Daten nicht gelöscht werden dürfen, weil etwa andere gesetzliche Regelungen eine Aufbewahrung vorschreiben. In einem solchen Fall tritt an die Stelle der Löschung die Sperrung der Daten. Personenbezogene Daten müssen in jedem Fall dann gelöscht werden, wenn für deren Speicherung keine Rechtsgrundlage bestand oder diese Rechtsgrundlage nicht mehr besteht. Wurden personenbezogene Daten ohne Rechtsgrundlage erhoben, weil beispielsweise in einem Formular unzulässige Informationen abgefragt wurden, dann müssen die Daten unverzüglich gelöscht werden. Eine Rechtsgrundlage kann zudem wegfallen, wenn beispielsweise eine freiwillige Einwilligung in die Verarbeitung und Nutzung personenbezogener Daten widerrufen wurde. Dadurch entfällt die Rechtsgrundlage, so dass die entsprechenden Informationen gelöscht werden müssen. Aufbewahrungsfristen können sich aus verschiedenen Gesetzen ergeben. Ansonsten ergeben sich Fristen teils aus dem Verfahren (z.b. Ablauf von Widerspruchsfristen) oder z.b. dem Ende von Nachweispflichten. Sofern keine spezialgesetzlichen Regelungen vorliegen, ist 17 NDSG zu beachten. Einzutragen in den Vordruck wäre also beispielsweise: "Löschung nach fünf Jahren aufgrund von...". Zu 8. Zu 8.1 Verarbeitete Daten und deren Übermittlung Art der gespeicherten Daten Die Art der gespeicherten Daten ist listenmäßig aufzuführen (z.b. Name, Anschrift, Geburtsdatum). Zur Übersichtlichkeit können Überschriften zu einzelnen Betroffenenkreisen (z.b. Studierende der TU Braunschweig ) aufgeführt werden; ggf. sind diese durch Unterstreichen zu kennzeichnen. Sachlich zusammengehörende Datenfelder sind zu sinnvollen Gruppen zusammenzufassen und diese Datenarten dann allgemein verständlich zu benennen. Einzelmerkmale wie etwa "Postleitzahl", "Wohnort", 7

8 "Straße" und "Hausnummer" können dabei zu einem Sammelmerkmal, in diesem Falle "Postanschrift", zusammengefasst werden. Besondere Arten personenbezogener Daten wie z.b. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben unterliegen einem besonderen Schutzbedarf und sind ggf. hervorgehoben anzugeben. Sollen solche sensiblen Daten verarbeitet werden, ist dies im Rahmen der Verfahrensbeschreibung ggf. ausdrücklich zu begründen (s. z.b. Zweck, Rechtsgrundlage, Prozessbeschreibung). Zu 8.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung Anzukreuzen ist, welche Daten von welcher Stelle übermittelt worden sind bzw. welche Daten an welche Stelle regelmäßig übermittelt werden (ggf. auf gesondertem Blatt fortzusetzen). Ob bzw. unter welchen Voraussetzungen und in welchem Umfang Sie personenbezogene Daten an Dritte übermitteln dürfen (rechtliche Grundlagen für eine beabsichtigte Datenübermittlung), entnehmen Sie bitte dem NDSG, z.b.: 11 Übermittlung innerhalb des öffentlichen Bereichs; 12 Automatisiertes Abrufverfahren; 13 Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs; 14 Übermittlung an Personen oder Stellen in Staaten außerhalb des Europäischen Wirtschaftsraums; 15 Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften. Zu 8.2 Beabsichtigte Übermittlung von Daten in Staaten nach 14 NDSG Die Angaben betreffen Datenübermittlungen an Personen oder Stellen in Staaten außerhalb der EU und des Europäischen Wirtschaftsraums (Island, Liechtenstein, Norwegen). Die Angabe des jeweiligen Staates wird nicht verlangt. Bitte beachten Sie, dass die Übermittlung nur statthaft ist, wenn sie in einem Gesetz, einem Rechtsakt der Europäischen Gemeinschaften oder einem internationalen Vertrag geregelt ist. Behördeninterner Teil der Verfahrensbeschreibung (Nr. 9-17) Zu 9. Bezeichnung und Beschreibung des Verfahrens Zu 9.1 Angaben zu dem Verfahren nach Nr. 2 Bitte geben Sie hier die Bezeichnung des Verfahrens ein zweites Mal an, weil die Seiten der Anlage der Öffentlichkeit nicht zugänglich gemacht werden. Zusätzlich zu den Angaben nach Nr. 2 sind hier auch Beginn und voraussichtliches Ende des Verfahrens zu nennen. Dadurch soll u.a. sichergestellt werden, dass automatisierte Verfahren zur Verarbeitung personenbezogener Daten nur bei Vorliegen einer genehmigten Verfahrensbeschreibung betrieben und Fristen zur Löschung oder Sperrung der Daten beachtet werden 8

9 Zu 9.2 Kurzdokumentation des Verfahrens bzw. der Prozesse Personenbezogene Verfahren bestehen aus a) Daten (und spezifizierten Datenformaten), b) IT-Systemen und c) den entsprechenden (teil-) automatisierten Prozessen. Während unter Nr. 1 bis 8 Angaben zu a) und b) erfragt wurden, ist hier (abhängig vom Umfang des Verfahrens) kurz, jedoch anschaulich zu dokumentieren, in welcher Weise personenbezogene Daten verarbeitet werden, wie die Prozesse bzw. Arbeitsabläufe gestaltet oder geplant sind, welche Regeln für die Prozesse oder Prozessschritte gelten, welche Berechtigungen die an dem Verfahren beteiligten Personen bei den Prozessen oder Prozessschritten haben und wie das Verfahren intern kontrolliert bzw. die Einhaltung sowohl der datenschutzrechtlichen als auch der sonstigen, dem Schutz vertraulicher Daten dienenden Vorgaben gewährleistet werden soll. Geben Sie bitte auch alle Personen an, die Zugriff auf die Daten haben, und differenzieren Sie bitte dabei: Wer darf was? Welche Personen dürfen welche Daten in welcher Form erheben, speichern, verändern, übermitteln, sperren, löschen und nutzen? Sofern unterschiedliche zugriffsberechtigte Mitarbeiter auf unterschiedliche Datenkategorien zugreifen können, sollte auch dies erkennbar sein. Stellen Sie Abläufe ggf. grafisch in einer Anlage dar, und weisen Sie dabei Verantwortlichkeiten eindeutig zu. Diese Angaben, die ggf. durch entsprechende (behördeninterne) Anlagen (s. Nr. 16) zu dokumentieren sind, sollen dazu dienen, den Prozess unter datenschutzrechtlichen Aspekten zu verstehen und in bereits vor Beginn des Verfahrens zu optimieren. Zu 10. Betriebsart des Verfahrens Beispiele: Dialog- oder Stapelverarbeitung, relationale Datenbank, Telekommunikations- oder Prozesssteuerungssystem, Einzelplatzrechner, vernetzte Rechner. Zu 11. Art der Geräte Unter Betriebssystem" reichen Angaben ohne exakte Versionsnummern wie z.b. Windows (7, ), Linux (Ubuntu, Mint, Debian, ), Mac OS, Novell Netware, bei mobilen Endgeräte ggf. IOS, Firefox OS, Android, Blackberry, Symbian usw.. Bei vernetzten APC ist das Netzwerk-Betriebssystem ggf. zusätzlich anzugeben. Eine dienstliche Verarbeitung personenbezogener Daten darf grundsätzlich nicht auf privaten Geräten erfolgen. Sollte dies dennoch unumgänglich sein, empfiehlt es sich dringend: eine schriftliche Festlegungen mit der Leitung der Hochschule individuell oder in Form einer allgemeinen Dienstvereinbarung zu treffen; dabei die Personalvertretung mit einzubeziehen, u.a. da die bei BYOD (Bring Your Own Device) verwendeten Technologien grundsätzlich dazu geeignet sind, Verhalten und Arbeitsweise der Beschäftigten zu überwachen und die Personalvertretung somit bei der Ausgestaltung der Vereinbarung und Nutzung ein Mitbestimmungsrecht hat; bei einer freiwilligen Einwilligung der Betroffenen (als Rechtsgrundlage der Verarbeitung) diese vorab über die Nutzung von BYOD zu informieren; zur Wahrung der technischen und organisatorischen Maßnahmen nach 7 NDSG die für die Administration der IT-Systeme an der jeweiligen Einrichtung verantwortlichen Personen zu informieren und zu beteiligen (s.a. unter Nr. 14). Eine vertragliche Individualvereinbarung oder eine Dienstvereinbarung sollte u.a. auch berücksichtigen, wie zwischen privaten und geschäftlichen Daten getrennt werden soll und ggf. wer wann und in welcher 9

10 Form Zugriff auf die Daten hat. Zudem sollte festgehalten sein, dass und welche Sicherheitsvorkehrungen insbesondere nach 7 NDSG einzurichten sind. Streng genommen muss sich damit andererseits auch die Hochschule das Recht schriftlich einräumen lassen, auf die Geräte zuzugreifen. Nur so kann dem Administrator eine Rechts- und Sicherheitsgrundlage für sein (erforderliches!) Mitwirken gegeben und er vor strafrechtlichen Konsequenzen geschützt werden. Zu regeln wäre idealerweise auch, wie mit den personenbezogenen Daten Dritter auf dem privaten Gerät zum Beispiel im Falle einer notwendigen Reparatur umgegangen wird. Kann diese nicht innerhalb der TU Braunschweig durchgeführt werden, müssen vor der Weitergabe des Geräts an einen Dritten ggf. eine Datensicherung durchgeführt und sensible Daten gelöscht werden. Eine Orientierungshilfe und Checkliste zum Thema Mobiles Arbeiten - datenschutzgerecht gestaltet finden Sie auf der Homepage des LfD unter: Einen ausführlichen Bericht über BYOD und die damit verbundenen Risiken und Lösungsvorschläge finden Sie im Jahresbericht 2012 des Berliner Beauftragten für Datenschutz und Informationsfreiheit unter: Zu 12. Übermittlungsverfahren Bitte beachten Sie insbesondere bei einem eventuellen automatischen Abrufverfahren die hierfür relevanten datenschutzrechtlichen Vorgaben gemäß 12 NDSG. Zu 13. Verfahren zur Sperrung, Löschung, Auskunftserteilung Es ist anzugeben, ob die Sperrung (sofern erforderlich) und die Löschung (i.d.r. immer erforderlich) manuell von Bediensteten (z.b. durch Vernichtung von Disketten oder durch Eingabe eines Löschbefehls) oder automatisch von selbstprüfenden Programmen durchgeführt werden. Falls hierbei unterschiedliche Datensätze unterschiedlich behandelt werden sollen, ist dies entsprechend darzustellen. Zu 14. Technische und organisatorische Angaben nach 7 NDSG Alle Angaben beziehen sich nur auf die Geräte, mit denen das Verfahren genutzt wird. Für Arbeitsplätze in vernetzten Systemen kann auf die hierfür gesondert erstellte Beschreibung gleichartiger technischer und organisatorischer Maßnahmen verwiesen werden, soweit diese bereits vorliegt. Zugriffsberechtigte können sowohl Mitarbeiter der öffentlichen Stelle als auch Dritte sein. Nicht notwendig ist, die Zugriffsberechtigten namentlich aufzuführen. Dies würde einen hohen Änderungsbedarf des Verfahrensverzeichnisses nach sich ziehen. Vielmehr können die Zugriffsberechtigten auch funktionsbezogen aufgeführt werden. Eine pauschale Bezeichnung, wie z.b. "Mitarbeiter der Personalabteilung", sollte dabei allerdings etwas konkretisiert werden, da sie ansonsten offen lässt, ob alle oder nur bestimmte Mitarbeiterinnen und Mitarbeiter dieser Abteilung zugriffsberechtigt sind. Empfehlenswert wäre in diesem Fall stattdessen beispielsweise die Bezeichnung "Alle Mitarbeiter der Personalabteilung, die Anträge auf... bearbeiten". Sofern die zugriffsberechtigten Mitarbeiter auf unterschiedliche Datenarten zugreifen können, sollte auch dies erkennbar sein. 10

11 Zu 14.4 Weitere wichtige technisch-organisatorische Maßnahmen. Beachten Sie hier bitte auch insbesondere die Vorgaben nach 7 NDSG, die ggf. bei der (vertraglich vereinbarten) Nutzung privater Geräte zur dienstlichen Verarbeitung personenbezogener Daten oder im Falle einer beabsichtigten Versendung oder Weiterleitung von s im Rahmen eines Verfahrens zu berücksichtigen sind. Eine Weiterleitun darf ebenso wie ein Abruf von s (z.b. durch eigene Endgeräte) keinesfalls automatisiert erfolgen, da beispielsweise der Absender einer an Sie davon ausgehen darf, dass seine E- Mail nicht an einen Drittanbieter (wie z.b. Gmail) mit teils bedenklichem datenschutzrechtlichen Hintergrund versendet wird. Hiervon würde auch eine verschlüsselte Weiterleitung der s nicht entbinden; diese wäre aber zumindest bei einer manuellen Weiterleitung von s ein geeignetes Instrumentarium, um die geforderte Transportkontrolle nach 7 Abs. 2 Satz 10 zu gewährleisten. Zu 15. Anzeigende Stelle (TU Braunschweig) Wie bereits zu Nr. 1 dargestellt, ist die anzeigende Stelle als die formal die Daten verarbeitende Stelle gemäß 3 Abs. 3 NDSG i.d.r. die TU Braunschweig. Da sich die meisten der zu beschreibenden Verfahren auf einzelne Institute (oder auf Sachgebiete der Hochschulverwaltung) beschränken und diese für das Verfahren die primäre Verantwortung tragen, müssen auch sie als Institut/Einrichtung angegeben werden und die Verfahrensbeschreibung erstellen sowie in der Folge aktuell halten. Die Verfahrensbeschreibung ist hier von der Stelle (Institut/Einrichtung) zu unterschreiben, welche die Verfahrensbeschreibung erstellt hat. Da die Verfahrensbeschreibung häufig nicht von dem Leiter/Verantwortlichen der Einrichtung selbst erstellt wird, müssen sowohl vom Verantwortlichen als auch vom Bearbeiter jeweils der Name genannt und die Unterschrift geleistet werden. Die IT-Administratoren der TU Braunschweig werden im Rahmen der Ordnung zur IT-Administration unter 4 Abs. 2 darauf hingewiesen werden, dass personenbezogene Daten grundsätzlich nur bei Vorliegen einer vom Präsidium zuvor genehmigten Verfahrensbeschreibung gemäß 8 NDSG für das betreffende System bzw. Verfahren (in der darin beschriebenen Weise) verarbeitet werden dürfen. Aus diesem Grund müssen die Einrichtungen der TU Braunschweig die Administratoren über die von ihnen erstellten Verfahrensbeschreibungen informieren. Gemäß 4 Abs. 3 ist ihnen das Verändern, Löschen, Erfassen, Nutzen oder Kopieren der Daten nur gestattet, soweit dies durch die jeweilige Verfahrensbeschreibung geregelt oder dies zur Aufrechterhaltung des laufenden Betriebes erforderlich ist. Zu 16. Anlagen (werden nur mit dem behördeninternen Teil aufbewahrt) Bitte fügen Sie der Verfahrensbeschreibung Unterlagen bei, die insbesondere zum Verständnis des Verfahrens bzw. der Prozesse beitragen (z.b. Systembeschreibungen) oder die im Rahmen des Verfahrens aus datenschutzrechtlichen Gründen erforderlich sind. Hierzu gehören beispielsweise Verträge zur Auftragsdatenverarbeitung, Datenschutzerklärungen, Verpflichtungserklärungen usw. Die Anlagen gehören ausschließlich zum behördlichen Teil und werden nicht veröffentlicht. Zu 17 Genehmigungsprozess Der Genehmigungsprozess ergibt sich aus der Dienstvereinbarung/Ordnung zur Verarbeitung personenbezogener Daten der TU Braunschweig. Der Ablauf des Genehmigungsprozesses ist zudem ausführlich in Kap. 3 der Broschüre ( Ausfüllhinweise und Erläuterungen zum Formular und Vorgehen ) dargestellt. 11

12 17.1 Stellungnahme des Datenschutzbeauftragten Name, Organisationseinheit und Telefonnummer der oder des Datenschutzbeauftragten werden hier abweichend von den Mustervorgaben des LfD genannt, da diese Angaben für evtl. Rückfragen benötigt werden. Dies ist beispielsweise dann der Fall, wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen und die Verfahrensbeschreibungen deshalb dem LfD nach 22 Abs. 5 NDSG vorgelegt werden müssen. Vor der Einführung eines neuen oder der wesentlichen Änderung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten prüft der DSB, ob gemäß 8a Abs. 3 i. V. m. 7 Abs. 3 NDSG eine Vorabkontrolle erforderlich ist (s. Kap. 4). Die jeweils zuständigen behördlichen Datenschutzbeauftragten haben die Angaben nach Nrn. 1 bis 8 der Verfahrensbeschreibungen jedermann in geeigneter Weise verfügbar zu machen ( 8 a Abs. 3 NDSG), d.h. zur Einsicht zur Verfügung zu stellen. Zu 17.2 Genehmigung des Präsidiums Verantwortlich für alle an der TU Braunschweig betriebenen Verfahren zur automatisierten Verarbeitung personenbezogener Daten ist die Leitung (vertreten durch den Präsidenten) der TU Braunschweig. Sie bildet im Sinne einer Gesamtverantwortlichkeit beispielsweise gegenüber dem LfD, aber auch gegenüber den Betroffenen, deren Daten an der TU Braunschweig verarbeitet werden die Daten verarbeitende Stelle. Auch wenn die eigentlichen Daten verarbeitenden Unterstellen vor allem die Institute, die Fakultäten, die Hochschulverwaltung sowie andere zentrale Einrichtungen einschließlich des GITZ als IT-Servicestelle sind und diese Einrichtungen die jeweiligen Verfahrensbeschreibungen erstellen und aktuell halten müssen, bleibt die Hochschule selbst die verantwortliche Stelle für die Datenverarbeitung. Sie muss ein sog. Verfahrensverzeichnis (bzw. ein Gesamtregister) führen, in welchem alle erforderlichen Angaben zu sämtlichen von ihr betriebenen automatisierten Verfahren vorhanden sind, mit denen sie personenbezogene Daten verarbeitet. Insbesondere aus diesen genannten Gründen muss jedes Verfahren zur automatisierten Verarbeitung personenbezogener Daten an der TU Braunschweig vor der Inbetriebnahme durch die Leitung bewilligt worden sein. 12