- Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig -
|
|
- Christa Tiedeman
- vor 8 Jahren
- Abrufe
Transkript
1 0ö5öaälo0##Qer234 Der Datenschutzbeauftragte Dr. Bernd Nörtemann - Kurzanleitung zum Ausfüllen des Vordrucks der TU Braunschweig - (in Anlehnung an die Ausfüllhinweise des Landesbeauftragten für den Datenschutz Niedersachsen; angepasst an den modifizierten Vordruck der TU Braunschweig) Diese Ausfüllhinweise und Erläuterungen finden Sie ebenso wie den Vordruck für die Verfahrensbeschreibungen in der jeweils aktuellsten Version unter 1 (unter dem Buchstaben V ) bzw. auf den Seiten des Datenschutzbeauftragten und des CIO. Letzte Aktualisierung: Juni 2014
2 0ö5öaälo0##Qer234 Vorwort zu dieser Anleitung: Datenschutz ist zu verstehen als der Schutz von natürlichen Personen auf informationelle Selbstbestimmung und Wahrung der Privatsphäre bzw. des Persönlichkeitsrechts bei der Datenverarbeitung. Der Kerngedanke des Datenschutzes besteht darin, dass jeder Mensch grundsätzlich selbst entscheiden sollte, welche seiner persönlichen Daten wem, wann, wozu und für wie lange zugänglich sein sollen. Zum Schutz dieser Persönlichkeitsrechte müssen Daten verarbeitende Stellen des Bundes und der Länder u.a. für jedes von ihnen betriebene Verfahren zur automatisierten Verarbeitung personenbezogener Daten vor der Inbetriebnahme eine Verfahrensbeschreibung erstellen und diese in der Folge aktuell halten. Der vom Landesbeauftragten für den Datenschutz Niedersachsen (LfD) den Behörden seines Verantwortlichkeitsbereiches als Muster zur Verfügung gestellte Vordruck und die dazu gehörigen kurzen Ausfüllhinweise wurden für die Einrichtungen der TU Braunschweig modifiziert. Die hier in Anlehnung an das Muster des LfD erstellte Anleitung soll eine konkrete Hilfestellung für das Erstellen der Verfahrensbeschreibung nach dem modifizierten Vordruck geben. Ergänzend bzw. alternativ zu dieser Kompaktanleitung steht jedoch zudem eine ausführliche Broschüre zur Verfügung, die zusätzlich zu den eigentlichen, unmittelbar am Vordruck orientierten Ausfüllhinweisen auch noch weitere Erläuterungen insbesondere zu den Begriffen, den Hintergründen und dem Ablauf bei der Erstellung der Verfahrensbeschreibungen gibt. 2
3 Ausfüllhinweise zur Verfahrensbeschreibung Öffentlicher Teil der Verfahrensbeschreibung (Nr. 1-8) Einzel- oder Sammelbeschreibung? Im Regelfall fertigt jede Daten verarbeitende Stelle an der TU Braunschweig 1 vorab für jedes von ihr eingeführte bzw. einzuführendes Verfahren eine gesonderte Verfahrensbeschreibung an. Eine Sammelbeschreibung für eine Mehrzahl von Verfahren kann erstellt werden, wenn die Angaben gleich bzw. gleichwertig sind. Eine Sammelbeschreibung kommt beispielsweise in Betracht, wenn a) innerhalb einer Stelle mehrere Benutzer gleiche oder gleichartige Verfahren nutzen (z.b. gleiche Anwendungen auf mehreren PC), b) mehrere Stellen bei einer Stelle gleiche Verfahren nutzen (z.b. die Institute als Stellen der TU Braunschweig als die übergeordnete Stelle ). Beispiele: - Verschiedene Lehrtätige an einem Institut nutzen für verschiedene Veranstaltungen das gleiche oder ähnliche Verfahren zum Führen von Teilnehmer- und Prüfungslisten jeweils an ihrem Arbeitsplatzrechner Verschiedene Mitarbeiterinnen und Mitarbeiter eines Institutes führen regelmäßig zu Forschungszwecken Befragungen durch, die in Art und Umfang einander sehr ähnlich sind und deren erhaltene Daten auf die gleiche bzw. eine ähnliche Art und Weise ausgewertet und verarbeitet werden. Mehrere Institute der TU Braunschweig nutzen dasselbe Auswertungstool einer Fakultät. Sammelverfahrensbeschreibungen müssen jedoch stets dann durch Einzelbeschreibungen oder Anlagen ergänzt werden, wenn bei einem einzelnen Verfahren wesentliche Merkmale (z.b. Art der personenbezogenen Daten, des automatisierten Verfahrens, der Verarbeitungsweise, der technischen und organisatorischen Datenschutzmaßnahmen) so von den in der Sammelbeschreibung genannten Merkmalen abweichen, dass sie ihre Gültigkeit verlieren. Wird die Sammelbeschreibung nicht von der Daten verarbeitenden Stelle selbst erstellt, so sind in der Verfahrensbeschreibung der Auftragnehmer und in einer zusätzlichen Liste alle Daten verarbeitenden Stellen anzugeben. Zu 1. Anzeigende Stelle (s.a. Punkt 15 des Vordrucks) Bei der öffentlichen Stelle handelt es sich formal um die Daten verarbeitende Stelle gemäß 3 Abs. 3 NDSG, also um die TU Braunschweig (daher ist die TU Braunschweig in dem Vordruck bereits angegeben). Da sich die meisten der zu beschreibenden Verfahren auf einzelne Institute (oder auf Sach- 1 Gegenüber Dritten wie auch dem Landesbeauftragten für den Datenschutz Niedersachsen (LfD) gilt im Regelfall die TU Braunschweig insgesamt als die anzeigende und Daten verarbeitende Stelle, jeweils vertreten durch die Institute und Einrichtungen, welche die Datenverarbeitung als untergeordnete Stelle tatsächlich durchführen. Letztere werden hier vereinfacht als die anzeigende und die Daten verarbeitende Stelle bezeichnet (soweit nicht anders zutreffend). 3
4 gebiete der Hochschulverwaltung) beschränken und diese für das Verfahren die primäre Verantwortung tragen, müssen auch sie als Institut/Einrichtung angegeben werden und die Verfahrensbeschreibung erstellen sowie in der Folge aktuell halten. Hinweis: Die Verfahrensbeschreibung ist im nicht-öffentlichen Teil der Verfahrensbeschreibung unter Punkt 15 von der Stelle (Institut/Einrichtung) zu unterschreiben, welche die Verfahrensbeschreibung erstellt hat. Da die Verfahrensbeschreibung häufig nicht von dem Leiter/Verantwortlichen der Einrichtung selbst erstellt wird, müssen sowohl vom Verantwortlichen als auch vom Bearbeiter jeweils der Name genannt und die Unterschrift geleistet werden. Hinweis: Name, Organisationseinheit und Telefonnummer der oder des Datenschutzbeauftragten werden (abweichend von den Mustervorgaben des Landesbeauftragten für den Datenschutz Niedersachsen, LfD) unter Punkt 17 (Genehmigungsprozess) genannt. Diese Angaben werden für evtl. Rückfragen benötigt, wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen und die Verfahrensbeschreibungen deshalb dem LfD nach 22 Abs. 5 NDSG vorgelegt werden müssen. Zu 2. Bezeichnung des Verfahrens Hier ist eine komplette Bezeichnung (keine Abkürzung des Verfahrens bzw. der Programme) unter Verwendung eines möglichst sprechenden" Namens zu verwenden, z.b. Teilnehmerliste für Praktika, Studierendenbefragung zum Einsatz mobiler Speichermedien usw. Bitte geben Sie dabei ggf. auch das Verfahren (Programmname) an, mit dem die Daten verarbeitet werden (z.b. unter Einsatz von Unipark ). Verknüpfungen zu anderen Verfahren sind dann anzugeben, wenn mithilfe der Verknüpfung automatische Suchvorgänge oder automatische Veränderungen von anderen Verfahren aus oder in anderen Verfahren durchgeführt werden (z.b. bei Zugriff auf SAP- oder HIS-Datenbanken). Zu 3. Bezeichnung der Daten verarbeitenden Stelle Daten verarbeitende Stelle ist jede Stelle (eine zentrale oder dezentrale Einrichtung, z.b. Institute oder Fakultäten), die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Wenn die Daten ausschließlich von dieser Stelle verarbeitet werden, kreuzen Sie dies an, sonst müssen alle Auftragnehmer mit Namen und Anschrift genannt sowie der schriftlich zu schließende Vertrag nach dem NDSG als Anlage beigefügt werden. Datenschutzrechtlich zu unterscheiden sind die Auftragsdatenverarbeitung und die Funktionsübertragung. Bei der Auftragsdatenverarbeitung bleibt die datenschutzrechtliche Verantwortung für die Verarbeitung und Nutzung der personenbezogenen Daten beim Auftraggeber. Er schreibt die technischen und organisatorischen Maßnahmen zur Datensicherung und zur Gewährleistung der Vertraulichkeit beim Auftragnehmer vor. Dem Serviceunternehmen wird nur die tatsächliche Verarbeitung oder Nutzung nach Weisung und unter materieller Verantwortung des Auftraggebers übertragen. Bei der Datenverarbeitung im Auftrag wird damit lediglich eine Hilfsfunktion der eigentlichen Aufgabe ausgelagert. Eine an der TU Braunschweig häufige Auftragsdatenverarbeitung erfolgt beispielsweise im Zusammenhang mit Befragungen für Forschungszwecke, bei denen die Auftragnehmer nur die Plattform für die Befragung stellen oder eine generalisierte Auswertung nach den strikten Vorgaben des jeweiligen Auftraggebers durchführen. 4
5 Werden dagegen die der Verarbeitung zugrunde liegenden (i.d.r. eigenverantwortlichen) Aufgaben oder Geschäftszwecke ganz oder teilweise abgegeben, erbringt der Auftragnehmer über die technische Durchführung hinaus materielle Leistungen mit Hilfe der überlassenen Daten, dann spricht die Kommentarliteratur von einer Funktionsübertragung. In diesem Fall muss einerseits die Datenübermittlung eine für die TU Braunschweig gültige Rechtsgrundlage haben und andererseits die Daten empfangende Stelle eine eigene Verfahrensbeschreibung zur Verarbeitung der Daten erstellen. Weitere Einzelheiten zur Auftragsdatenverarbeitung (Orientierungshilfe und Checkliste) entnehmen Sie bitte der entsprechenden Internetseite des LfD: Zu 4. Zweckbestimmung des Verfahrens Der Zweck der Datenverarbeitung ist so präzise wie möglich zu benennen. Zu benennen sind weniger die allgemeinen Geschäftszwecke als vielmehr die konkreten Zwecke der verschiedenen Datenverarbeitungsprozesse. Eine genauere Beschreibung des Verfahrens bzw. der Prozesse ist unter Punkt 9.2 des Vordrucks zu erstellen. Zu 5. Rechtsgrundlage der Verarbeitung Für die automatisierte Verarbeitung von personenbezogenen Daten bedarf es obligat einer entsprechenden Rechtsgrundlage, d.h., eines oder mehrerer Gesetze oder sonstiger verbindlicher Rechtsgrundlagen, welche Ihnen entweder gestatten, die automatisierte Verarbeitung personenbezogener Daten in der vorgesehenen Form vorzunehmen, oder welche die Verarbeitung sogar vorschreiben. Dies können beispielsweise Melde- oder Statistikgesetze oder etwa die Nds. AktO (Aktenordnung und Aktenplan für die niedersächsische Landesverwaltung) sein. Nach 4 Abs. 1 NDSG ist die Verarbeitung personenbezogener Daten nur zulässig, wenn das NDSG oder ein anderes Gesetz bzw. eine andere Rechtsvorschrift sie erlaubt oder der Betroffene, d.h. die Person, deren Daten verarbeitet werden sollen, eingewilligt hat. Bitte geben Sie die zutreffende(n) Rechtsgrundlage(n) an, z.b.: - Einwilligung der Betroffenen ( 4 NDSG). Die Einwilligung bedarf der Schriftform, es sei denn, dass wegen besonderer Umstände eine andere Form angemessen ist. Soweit die Einwilligung personenbezogener Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben betrifft, muss sie sich ausdrücklich auf diese Angaben beziehen. - Einschlägige Vorschrift des NDSG (z.b. 10 Abs. 1) oder einer anderen Rechtsvorschrift über die Zulässigkeit der Datenverarbeitung (z.b. 22 Niedersächsisches Meldegesetz, NMG). - Zutreffen der Forschungsklausel nach 25 Abs. 2 Nr. 3., d.h. wenn die Belange der Betroffenen hinter dem Interesse am Forschungsvorhaben zurücktreten müssen (s. Kap. 1.4 der Broschüre). Demnach dürfen vorhandene Daten abweichend von ihrer ursprünglichen Zweckbestimmung auch ohne Einwilligung der Betroffenen verarbeitet werden, wenn Art und Verarbeitung der Daten darauf schließen lassen, dass ein schutzwürdiges Interesse der Betroffenen der Verarbeitung der Daten für das Forschungsvorhaben nicht entgegensteht (1. Alternative) oder das öffentliche Interesse an der Durchführung des Forschungsvorhabens das schutzwürdige Interesse der Betroffenen erheblich überwiegt (2. Alternative). Der Verfahrensbeschreibung für die geplante Datenverarbeitung ist eine Begründung des öffentlichen Interesses. Diese sollte mit dem Datenschutzbeauftragten der TU 5
6 Braunschweig abgestimmt sein, da er im Rahmen des Bewilligungsprozesses bei der Verfahrensbeschreibung unter Punkt 17.1 eine Stellungnahme auch zu der Begründung abgibt, welche u.u. für die Bewilligung des Verfahrens durch das Präsidium maßgeblich ist. Datenschutzgesetze auf Bundes- und Landesebene gelten i.a. subsidiär. Dies bedeutet, dass Rechtsvorschriften in anderen Gesetzen, die für die Erhebung, Speicherung, Verarbeitung, Nutzung und Weitergabe personenbezogener Daten anzuwenden sind, Vorrang vor dem jeweiligen Datenschutzgesetz haben. Für die öffentlichen Stellen des Landes Niedersachsen gilt diesbezüglich 2 Abs. 6 NDSG, in dem es heißt: Besondere Rechtsvorschriften über die Verarbeitung personenbezogener Daten gehen den Bestimmungen dieses Gesetzes vor. Somit wird zugleich klar, dass das NDSG einen Querschnittscharakter aufweist. Es legt zwar einen einheitlichen Datenschutzstandard für alle Tätigkeiten öffentlicher Stellen fest, deren Aufgabenerledigung nicht durch datenschutzrechtlich relevante Besonderheiten geprägt wird. Soweit jedoch besondere Anforderungen an die Verwaltungstätigkeit in einzelnen Verwaltungsbereichen eine weitergehende Einschränkung des Rechts auf informationelle Selbstbestimmung erforderlich machen, gelten vorrangig die entsprechenden bereichsspezifischen (ggf. eingeschränkten) Datenschutzbestimmungen. Dieses Grundprinzip gilt für eine Vielzahl von Gesetzen, beispielsweise: im Polizeirecht und im Melderecht, im Sozialrecht und Sozialversicherungsrecht, im Telekommunikations- und Telemedienrecht; im Handelsrecht (z.b. 238 ff HGB (Buchführungspflicht) mit 257 (Aufbewahrungsfristen). In Deutschland relevante Gesetze und sonstige Rechtsvorschriften, die einen (möglichen) Bezug auf das Datenschutzrecht haben und als Rechtsgrundlage für die automatisierte Verarbeitung personenbezogener Daten dienen könnten, sind beispielsweise: Landesdatenschutzgesetze wie insbesondere das für die TU Braunschweig als öffentliche, Daten verarbeitende Stelle Niedersachsens bindende NDSG; Aktenordnung und Aktenplan für die niedersächsische Landesverwaltung (Nds. AktO); Gesetz über den unlauteren Wettbewerb; Gesundheitsstrukturgesetz bzw. Gesundheitsreformgesetz; Hochschulstatistikgesetze; Informations- und Kommunikationsdienste-Gesetz; KunstUrhG (Kunst- und Urheberrecht Gesetz von 1907); Landesstatistikgesetze; Meldegesetze; Sozialgesetzbuch ( 35: Sozialgeheimnis); Strafgesetzbuch ( 202a, 263a, 269, 303a, 303b); Teledienste-Datenschutzgesetz; Telekommunikationsgesetz; Telemediengesetz: Urheberrechtsgesetz; Verwaltungsverfahrensgesetz ( 4, 5, 30, 84); Wenn Sie gemäß einer Vorschrift eines dieser oder anderer Gesetze personenbezogene Daten speichern müssen, geben Sie bitte den oder die entsprechenden Paragraphen (mit Titel) an! Das NDSG mit Kommentaren können Sie hier von der Seite des LfD herunterladen (ausgedruckte Exemplare erhalten Sie auf Anfrage gern auch bei mir): ( 6
7 Zu 6. Kreis der Betroffenen Betroffene sind die natürlichen Personen, deren Daten mit Hilfe des automatisierten Verfahrens verarbeitet werden. Der Kreis der Betroffenen ist so präzise wie möglich zu bezeichnen. So wäre etwa die Angabe "natürliche Personen" bei einem computergestützten Ausleihsystem einer Bibliothek viel zu allgemein. In diesem Fall lässt sich der Kreis der Betroffenen wesentlich genauer angeben, z.b. "alle Personen, die einen Leseausweis haben". Zu 7. Fristen für die Sperrung und Löschung der Daten Ein wichtiger Grundsatz des Datenschutzes ist, dass einmal erhobene personenbezogene Daten nicht für immer und ewig gespeichert werden dürfen (z.b. weil man sie ja eventuell noch mal für irgendeinen Zweck gebrauchen könnte). Wer personenbezogene Daten mit Hilfe eines automatisierten Verfahrens verarbeitet, muss - beginnend mit der erstmaligen Speicherung von Daten - festlegen, wann welche Datenarten zu sperren oder zu löschen sind. Sperren: Kennzeichnung der Daten, die bewirkt, dass diese nicht mehr aufgerufen/verarbeitet werden können. Löschen: Endgültiges Beseitigen der Daten. Grundsätzlich müssen personenbezogene Daten gelöscht werden, wenn der Zweck ihrer Speicherung erreicht wurde (bzw. wenn sie für den primären Zweck, für den sie erhoben oder empfangen wurden, nicht mehr benötigt werden) und daher ihre Kenntnis für die Erreichung des Zwecks nicht mehr erforderlich ist. Allerdings kann es auch sein, dass diese eigentlich zu löschenden personenbezogenen Daten nicht gelöscht werden dürfen, weil etwa andere gesetzliche Regelungen eine Aufbewahrung vorschreiben. In einem solchen Fall tritt an die Stelle der Löschung die Sperrung der Daten. Personenbezogene Daten müssen in jedem Fall dann gelöscht werden, wenn für deren Speicherung keine Rechtsgrundlage bestand oder diese Rechtsgrundlage nicht mehr besteht. Wurden personenbezogene Daten ohne Rechtsgrundlage erhoben, weil beispielsweise in einem Formular unzulässige Informationen abgefragt wurden, dann müssen die Daten unverzüglich gelöscht werden. Eine Rechtsgrundlage kann zudem wegfallen, wenn beispielsweise eine freiwillige Einwilligung in die Verarbeitung und Nutzung personenbezogener Daten widerrufen wurde. Dadurch entfällt die Rechtsgrundlage, so dass die entsprechenden Informationen gelöscht werden müssen. Aufbewahrungsfristen können sich aus verschiedenen Gesetzen ergeben. Ansonsten ergeben sich Fristen teils aus dem Verfahren (z.b. Ablauf von Widerspruchsfristen) oder z.b. dem Ende von Nachweispflichten. Sofern keine spezialgesetzlichen Regelungen vorliegen, ist 17 NDSG zu beachten. Einzutragen in den Vordruck wäre also beispielsweise: "Löschung nach fünf Jahren aufgrund von...". Zu 8. Zu 8.1 Verarbeitete Daten und deren Übermittlung Art der gespeicherten Daten Die Art der gespeicherten Daten ist listenmäßig aufzuführen (z.b. Name, Anschrift, Geburtsdatum). Zur Übersichtlichkeit können Überschriften zu einzelnen Betroffenenkreisen (z.b. Studierende der TU Braunschweig ) aufgeführt werden; ggf. sind diese durch Unterstreichen zu kennzeichnen. Sachlich zusammengehörende Datenfelder sind zu sinnvollen Gruppen zusammenzufassen und diese Datenarten dann allgemein verständlich zu benennen. Einzelmerkmale wie etwa "Postleitzahl", "Wohnort", 7
8 "Straße" und "Hausnummer" können dabei zu einem Sammelmerkmal, in diesem Falle "Postanschrift", zusammengefasst werden. Besondere Arten personenbezogener Daten wie z.b. Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben unterliegen einem besonderen Schutzbedarf und sind ggf. hervorgehoben anzugeben. Sollen solche sensiblen Daten verarbeitet werden, ist dies im Rahmen der Verfahrensbeschreibung ggf. ausdrücklich zu begründen (s. z.b. Zweck, Rechtsgrundlage, Prozessbeschreibung). Zu 8.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung Anzukreuzen ist, welche Daten von welcher Stelle übermittelt worden sind bzw. welche Daten an welche Stelle regelmäßig übermittelt werden (ggf. auf gesondertem Blatt fortzusetzen). Ob bzw. unter welchen Voraussetzungen und in welchem Umfang Sie personenbezogene Daten an Dritte übermitteln dürfen (rechtliche Grundlagen für eine beabsichtigte Datenübermittlung), entnehmen Sie bitte dem NDSG, z.b.: 11 Übermittlung innerhalb des öffentlichen Bereichs; 12 Automatisiertes Abrufverfahren; 13 Übermittlung an Personen oder Stellen außerhalb des öffentlichen Bereichs; 14 Übermittlung an Personen oder Stellen in Staaten außerhalb des Europäischen Wirtschaftsraums; 15 Übermittlung an Stellen öffentlich-rechtlicher Religionsgesellschaften. Zu 8.2 Beabsichtigte Übermittlung von Daten in Staaten nach 14 NDSG Die Angaben betreffen Datenübermittlungen an Personen oder Stellen in Staaten außerhalb der EU und des Europäischen Wirtschaftsraums (Island, Liechtenstein, Norwegen). Die Angabe des jeweiligen Staates wird nicht verlangt. Bitte beachten Sie, dass die Übermittlung nur statthaft ist, wenn sie in einem Gesetz, einem Rechtsakt der Europäischen Gemeinschaften oder einem internationalen Vertrag geregelt ist. Behördeninterner Teil der Verfahrensbeschreibung (Nr. 9-17) Zu 9. Bezeichnung und Beschreibung des Verfahrens Zu 9.1 Angaben zu dem Verfahren nach Nr. 2 Bitte geben Sie hier die Bezeichnung des Verfahrens ein zweites Mal an, weil die Seiten der Anlage der Öffentlichkeit nicht zugänglich gemacht werden. Zusätzlich zu den Angaben nach Nr. 2 sind hier auch Beginn und voraussichtliches Ende des Verfahrens zu nennen. Dadurch soll u.a. sichergestellt werden, dass automatisierte Verfahren zur Verarbeitung personenbezogener Daten nur bei Vorliegen einer genehmigten Verfahrensbeschreibung betrieben und Fristen zur Löschung oder Sperrung der Daten beachtet werden 8
9 Zu 9.2 Kurzdokumentation des Verfahrens bzw. der Prozesse Personenbezogene Verfahren bestehen aus a) Daten (und spezifizierten Datenformaten), b) IT-Systemen und c) den entsprechenden (teil-) automatisierten Prozessen. Während unter Nr. 1 bis 8 Angaben zu a) und b) erfragt wurden, ist hier (abhängig vom Umfang des Verfahrens) kurz, jedoch anschaulich zu dokumentieren, in welcher Weise personenbezogene Daten verarbeitet werden, wie die Prozesse bzw. Arbeitsabläufe gestaltet oder geplant sind, welche Regeln für die Prozesse oder Prozessschritte gelten, welche Berechtigungen die an dem Verfahren beteiligten Personen bei den Prozessen oder Prozessschritten haben und wie das Verfahren intern kontrolliert bzw. die Einhaltung sowohl der datenschutzrechtlichen als auch der sonstigen, dem Schutz vertraulicher Daten dienenden Vorgaben gewährleistet werden soll. Geben Sie bitte auch alle Personen an, die Zugriff auf die Daten haben, und differenzieren Sie bitte dabei: Wer darf was? Welche Personen dürfen welche Daten in welcher Form erheben, speichern, verändern, übermitteln, sperren, löschen und nutzen? Sofern unterschiedliche zugriffsberechtigte Mitarbeiter auf unterschiedliche Datenkategorien zugreifen können, sollte auch dies erkennbar sein. Stellen Sie Abläufe ggf. grafisch in einer Anlage dar, und weisen Sie dabei Verantwortlichkeiten eindeutig zu. Diese Angaben, die ggf. durch entsprechende (behördeninterne) Anlagen (s. Nr. 16) zu dokumentieren sind, sollen dazu dienen, den Prozess unter datenschutzrechtlichen Aspekten zu verstehen und in bereits vor Beginn des Verfahrens zu optimieren. Zu 10. Betriebsart des Verfahrens Beispiele: Dialog- oder Stapelverarbeitung, relationale Datenbank, Telekommunikations- oder Prozesssteuerungssystem, Einzelplatzrechner, vernetzte Rechner. Zu 11. Art der Geräte Unter Betriebssystem" reichen Angaben ohne exakte Versionsnummern wie z.b. Windows (7, ), Linux (Ubuntu, Mint, Debian, ), Mac OS, Novell Netware, bei mobilen Endgeräte ggf. IOS, Firefox OS, Android, Blackberry, Symbian usw.. Bei vernetzten APC ist das Netzwerk-Betriebssystem ggf. zusätzlich anzugeben. Eine dienstliche Verarbeitung personenbezogener Daten darf grundsätzlich nicht auf privaten Geräten erfolgen. Sollte dies dennoch unumgänglich sein, empfiehlt es sich dringend: eine schriftliche Festlegungen mit der Leitung der Hochschule individuell oder in Form einer allgemeinen Dienstvereinbarung zu treffen; dabei die Personalvertretung mit einzubeziehen, u.a. da die bei BYOD (Bring Your Own Device) verwendeten Technologien grundsätzlich dazu geeignet sind, Verhalten und Arbeitsweise der Beschäftigten zu überwachen und die Personalvertretung somit bei der Ausgestaltung der Vereinbarung und Nutzung ein Mitbestimmungsrecht hat; bei einer freiwilligen Einwilligung der Betroffenen (als Rechtsgrundlage der Verarbeitung) diese vorab über die Nutzung von BYOD zu informieren; zur Wahrung der technischen und organisatorischen Maßnahmen nach 7 NDSG die für die Administration der IT-Systeme an der jeweiligen Einrichtung verantwortlichen Personen zu informieren und zu beteiligen (s.a. unter Nr. 14). Eine vertragliche Individualvereinbarung oder eine Dienstvereinbarung sollte u.a. auch berücksichtigen, wie zwischen privaten und geschäftlichen Daten getrennt werden soll und ggf. wer wann und in welcher 9
10 Form Zugriff auf die Daten hat. Zudem sollte festgehalten sein, dass und welche Sicherheitsvorkehrungen insbesondere nach 7 NDSG einzurichten sind. Streng genommen muss sich damit andererseits auch die Hochschule das Recht schriftlich einräumen lassen, auf die Geräte zuzugreifen. Nur so kann dem Administrator eine Rechts- und Sicherheitsgrundlage für sein (erforderliches!) Mitwirken gegeben und er vor strafrechtlichen Konsequenzen geschützt werden. Zu regeln wäre idealerweise auch, wie mit den personenbezogenen Daten Dritter auf dem privaten Gerät zum Beispiel im Falle einer notwendigen Reparatur umgegangen wird. Kann diese nicht innerhalb der TU Braunschweig durchgeführt werden, müssen vor der Weitergabe des Geräts an einen Dritten ggf. eine Datensicherung durchgeführt und sensible Daten gelöscht werden. Eine Orientierungshilfe und Checkliste zum Thema Mobiles Arbeiten - datenschutzgerecht gestaltet finden Sie auf der Homepage des LfD unter: Einen ausführlichen Bericht über BYOD und die damit verbundenen Risiken und Lösungsvorschläge finden Sie im Jahresbericht 2012 des Berliner Beauftragten für Datenschutz und Informationsfreiheit unter: Zu 12. Übermittlungsverfahren Bitte beachten Sie insbesondere bei einem eventuellen automatischen Abrufverfahren die hierfür relevanten datenschutzrechtlichen Vorgaben gemäß 12 NDSG. Zu 13. Verfahren zur Sperrung, Löschung, Auskunftserteilung Es ist anzugeben, ob die Sperrung (sofern erforderlich) und die Löschung (i.d.r. immer erforderlich) manuell von Bediensteten (z.b. durch Vernichtung von Disketten oder durch Eingabe eines Löschbefehls) oder automatisch von selbstprüfenden Programmen durchgeführt werden. Falls hierbei unterschiedliche Datensätze unterschiedlich behandelt werden sollen, ist dies entsprechend darzustellen. Zu 14. Technische und organisatorische Angaben nach 7 NDSG Alle Angaben beziehen sich nur auf die Geräte, mit denen das Verfahren genutzt wird. Für Arbeitsplätze in vernetzten Systemen kann auf die hierfür gesondert erstellte Beschreibung gleichartiger technischer und organisatorischer Maßnahmen verwiesen werden, soweit diese bereits vorliegt. Zugriffsberechtigte können sowohl Mitarbeiter der öffentlichen Stelle als auch Dritte sein. Nicht notwendig ist, die Zugriffsberechtigten namentlich aufzuführen. Dies würde einen hohen Änderungsbedarf des Verfahrensverzeichnisses nach sich ziehen. Vielmehr können die Zugriffsberechtigten auch funktionsbezogen aufgeführt werden. Eine pauschale Bezeichnung, wie z.b. "Mitarbeiter der Personalabteilung", sollte dabei allerdings etwas konkretisiert werden, da sie ansonsten offen lässt, ob alle oder nur bestimmte Mitarbeiterinnen und Mitarbeiter dieser Abteilung zugriffsberechtigt sind. Empfehlenswert wäre in diesem Fall stattdessen beispielsweise die Bezeichnung "Alle Mitarbeiter der Personalabteilung, die Anträge auf... bearbeiten". Sofern die zugriffsberechtigten Mitarbeiter auf unterschiedliche Datenarten zugreifen können, sollte auch dies erkennbar sein. 10
11 Zu 14.4 Weitere wichtige technisch-organisatorische Maßnahmen. Beachten Sie hier bitte auch insbesondere die Vorgaben nach 7 NDSG, die ggf. bei der (vertraglich vereinbarten) Nutzung privater Geräte zur dienstlichen Verarbeitung personenbezogener Daten oder im Falle einer beabsichtigten Versendung oder Weiterleitung von s im Rahmen eines Verfahrens zu berücksichtigen sind. Eine Weiterleitun darf ebenso wie ein Abruf von s (z.b. durch eigene Endgeräte) keinesfalls automatisiert erfolgen, da beispielsweise der Absender einer an Sie davon ausgehen darf, dass seine E- Mail nicht an einen Drittanbieter (wie z.b. Gmail) mit teils bedenklichem datenschutzrechtlichen Hintergrund versendet wird. Hiervon würde auch eine verschlüsselte Weiterleitung der s nicht entbinden; diese wäre aber zumindest bei einer manuellen Weiterleitung von s ein geeignetes Instrumentarium, um die geforderte Transportkontrolle nach 7 Abs. 2 Satz 10 zu gewährleisten. Zu 15. Anzeigende Stelle (TU Braunschweig) Wie bereits zu Nr. 1 dargestellt, ist die anzeigende Stelle als die formal die Daten verarbeitende Stelle gemäß 3 Abs. 3 NDSG i.d.r. die TU Braunschweig. Da sich die meisten der zu beschreibenden Verfahren auf einzelne Institute (oder auf Sachgebiete der Hochschulverwaltung) beschränken und diese für das Verfahren die primäre Verantwortung tragen, müssen auch sie als Institut/Einrichtung angegeben werden und die Verfahrensbeschreibung erstellen sowie in der Folge aktuell halten. Die Verfahrensbeschreibung ist hier von der Stelle (Institut/Einrichtung) zu unterschreiben, welche die Verfahrensbeschreibung erstellt hat. Da die Verfahrensbeschreibung häufig nicht von dem Leiter/Verantwortlichen der Einrichtung selbst erstellt wird, müssen sowohl vom Verantwortlichen als auch vom Bearbeiter jeweils der Name genannt und die Unterschrift geleistet werden. Die IT-Administratoren der TU Braunschweig werden im Rahmen der Ordnung zur IT-Administration unter 4 Abs. 2 darauf hingewiesen werden, dass personenbezogene Daten grundsätzlich nur bei Vorliegen einer vom Präsidium zuvor genehmigten Verfahrensbeschreibung gemäß 8 NDSG für das betreffende System bzw. Verfahren (in der darin beschriebenen Weise) verarbeitet werden dürfen. Aus diesem Grund müssen die Einrichtungen der TU Braunschweig die Administratoren über die von ihnen erstellten Verfahrensbeschreibungen informieren. Gemäß 4 Abs. 3 ist ihnen das Verändern, Löschen, Erfassen, Nutzen oder Kopieren der Daten nur gestattet, soweit dies durch die jeweilige Verfahrensbeschreibung geregelt oder dies zur Aufrechterhaltung des laufenden Betriebes erforderlich ist. Zu 16. Anlagen (werden nur mit dem behördeninternen Teil aufbewahrt) Bitte fügen Sie der Verfahrensbeschreibung Unterlagen bei, die insbesondere zum Verständnis des Verfahrens bzw. der Prozesse beitragen (z.b. Systembeschreibungen) oder die im Rahmen des Verfahrens aus datenschutzrechtlichen Gründen erforderlich sind. Hierzu gehören beispielsweise Verträge zur Auftragsdatenverarbeitung, Datenschutzerklärungen, Verpflichtungserklärungen usw. Die Anlagen gehören ausschließlich zum behördlichen Teil und werden nicht veröffentlicht. Zu 17 Genehmigungsprozess Der Genehmigungsprozess ergibt sich aus der Dienstvereinbarung/Ordnung zur Verarbeitung personenbezogener Daten der TU Braunschweig. Der Ablauf des Genehmigungsprozesses ist zudem ausführlich in Kap. 3 der Broschüre ( Ausfüllhinweise und Erläuterungen zum Formular und Vorgehen ) dargestellt. 11
12 17.1 Stellungnahme des Datenschutzbeauftragten Name, Organisationseinheit und Telefonnummer der oder des Datenschutzbeauftragten werden hier abweichend von den Mustervorgaben des LfD genannt, da diese Angaben für evtl. Rückfragen benötigt werden. Dies ist beispielsweise dann der Fall, wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen und die Verfahrensbeschreibungen deshalb dem LfD nach 22 Abs. 5 NDSG vorgelegt werden müssen. Vor der Einführung eines neuen oder der wesentlichen Änderung eines automatisierten Verfahrens zur Verarbeitung personenbezogener Daten prüft der DSB, ob gemäß 8a Abs. 3 i. V. m. 7 Abs. 3 NDSG eine Vorabkontrolle erforderlich ist (s. Kap. 4). Die jeweils zuständigen behördlichen Datenschutzbeauftragten haben die Angaben nach Nrn. 1 bis 8 der Verfahrensbeschreibungen jedermann in geeigneter Weise verfügbar zu machen ( 8 a Abs. 3 NDSG), d.h. zur Einsicht zur Verfügung zu stellen. Zu 17.2 Genehmigung des Präsidiums Verantwortlich für alle an der TU Braunschweig betriebenen Verfahren zur automatisierten Verarbeitung personenbezogener Daten ist die Leitung (vertreten durch den Präsidenten) der TU Braunschweig. Sie bildet im Sinne einer Gesamtverantwortlichkeit beispielsweise gegenüber dem LfD, aber auch gegenüber den Betroffenen, deren Daten an der TU Braunschweig verarbeitet werden die Daten verarbeitende Stelle. Auch wenn die eigentlichen Daten verarbeitenden Unterstellen vor allem die Institute, die Fakultäten, die Hochschulverwaltung sowie andere zentrale Einrichtungen einschließlich des GITZ als IT-Servicestelle sind und diese Einrichtungen die jeweiligen Verfahrensbeschreibungen erstellen und aktuell halten müssen, bleibt die Hochschule selbst die verantwortliche Stelle für die Datenverarbeitung. Sie muss ein sog. Verfahrensverzeichnis (bzw. ein Gesamtregister) führen, in welchem alle erforderlichen Angaben zu sämtlichen von ihr betriebenen automatisierten Verfahren vorhanden sind, mit denen sie personenbezogene Daten verarbeitet. Insbesondere aus diesen genannten Gründen muss jedes Verfahren zur automatisierten Verarbeitung personenbezogener Daten an der TU Braunschweig vor der Inbetriebnahme durch die Leitung bewilligt worden sein. 12
Hinweise zum Erstellen eines Verfahrensverzeichnisses
Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...
MehrDatenschutz und Schule
Datenschutz und Schule - erste Impulse zum Themenbereich - Referent: Ingo Nebe Staatliches Schulamt Nordthüringen, Bahnhofstraße 18, 37339 Leinefelde-Worbis www.schulamt-nordthueringen.de Datenschutz und
MehrErstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am 13.01.2016
Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz Seminar am 13.01.2016 Prof. Dr. Stephan König, Robin Ziert, Anke Hirte, 13.01.2016 Die Datenschutzbeauftragten der
MehrAusfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG)
Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Nach 8 des Niedersächsischen Datenschutzgesetzes (NDSG) muss jede öffentliche Stelle, die Verfahren
Mehr17.11.2011. Datenschutz (Info-Veranstaltung f. Administratoren) 17.11.2011 H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?
17.11.2011 H. Löbner Der Datenschutzbeauftragte Volkszählungsurteil Grundsatzentscheidung des Bundesverfassungsgerichts (1983) Schutz des Grundrechts auf informationelle Selbstbestimmung als fachspezifische
MehrFestlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA
Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA Verantwortliche Stelle 1 Stand vom: 1. Bezeichnung des Verfahrens 2 2. Zweckbestimmung 3 und Rechtsgrundlage
MehrDatenschutz im Unternehmen. Was muss der Unternehmer wissen?
Was muss der Unternehmer wissen? Was ist Datenschutz nach BDSG? Basis: Recht auf informelle Selbstbestimmung Jeder Mensch kann selbst entscheiden, wem wann welche personenbezogene Daten zugänglich sein
MehrEinführung in die Datenerfassung und in den Datenschutz
Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche
MehrVerfahrensverzeichnis
Verfahrensverzeichnis Beschreibung des einzelnen Verfahrens nach 8 DSG NRW Lfd. Nr.: (wird vom DSB vergeben) Neues Verfahren / Erstmeldung Wesentliche Änderung (wird vom DSB ausgefüllt) Das Verfahren ist
MehrDatenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht
Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht Diplom-Informatiker Werner Hülsmann Konradigasse 24-78462-Konstanz Tel.:7531 / 365 90 5-4; FAX: -7 E-Mail: info@datenschutzconsulting.info
MehrInhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6
Datenschutz ist... Inhalt Datenschutz ist Grundrechtsschutz 4 Wessen Daten werden geschützt? 5 Wer muss den Datenschutz beachten? 6 Welche Daten werden vom Datenschutzrecht erfasst? 7 Wann dürfen personenbezogene
MehrCheckliste zur Erfüllung der Informationspflichten bei Datenerhebung
Checkliste 2006 Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung Nach 4 Abs. 3 BDSG Bitte lesen Sie vorab die Ausführungen zu dem Thema Datenschutz/Datenerhebung. So kommen Sie durch
MehrDiese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung
Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße
MehrEinführung in den Datenschutz
Einführung in den Datenschutz Grundlagen zu Recht und Praxis Inhaltsverzeichnis Was ist Datenschutz?... 3 Wo spielt Datenschutz in der Uni Bonn eine Rolle?... 4 Warum gibt es Datenschutz?... 5 Wo ist der
MehrDienstvereinbarung zur Einführung und Anwendung des Internetportals der Universität München
Dienstvereinbarung zur Einführung und Anwendung des Internetportals der Universität München Zur Gewährleistung der schutzwürdigen Belange der Beschäftigten sowie zur Wahrung der berechtigten Interessen
MehrKurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH
Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH Technischer Datenschutz Thorsten Sagorski Campus Duisburg LG 110 Behördlich bestellte Datenschutzbeauftragte Herr Tuguntke Leiter des Justitiariats
MehrTabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz
Tabelle: Maßn und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz (Verweis aus Maß M 7.5) Basierend auf den IT-Grundschutz-Katalogen Version 2006 Stand: November 2006, Stand der Tabelle: 22.08.07
Mehrvom 15. Januar 1991 (ABl. 1991 S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis
Verordnung zum Schutz von Patientendaten DSVO KH-Pfalz 50.02 Verordnung der Evangelischen Kirche der Pfalz (Protestantische Landeskirche) zum Schutz von Patientendaten in kirchlichen Krankenhäusern (DSVO
MehrD i e n s t e D r i t t e r a u f We b s i t e s
M erkblatt D i e n s t e D r i t t e r a u f We b s i t e s 1 Einleitung Öffentliche Organe integrieren oftmals im Internet angebotene Dienste und Anwendungen in ihre eigenen Websites. Beispiele: Eine
MehrNutzung dieser Internetseite
Nutzung dieser Internetseite Wenn Sie unseren Internetauftritt besuchen, dann erheben wir nur statistische Daten über unsere Besucher. In einer statistischen Zusammenfassung erfahren wir lediglich, welcher
MehrIn der Kopfzeile des Formulars ist der Name der automatisierten Verarbeitung, für die die Beschreibung erstellt wird, anzugeben.
Hochschule Hannover - Der Datenschutzbeauftragte Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Vorbemerkung: Jede öffentliche Stelle 1, die
MehrII 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team
Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des
MehrMonitoring und Datenschutz
Zentrum für Informationsdienste und Hochleistungsrechnen Monitoring und Datenschutz Dresden, 27.Mai 2008 Bundesrepublik Deutschland Grundrecht auf informationelle Selbstbestimmung: Der Betroffene kann
MehrBestandskauf und Datenschutz?
Bestandskauf und Datenschutz? von Rechtsanwältin Christine Loest Fachanwältin für Familienrecht/Mediatorin Kanzlei Michaelis Rechtsanwälte Die Bestandsübertragungen aller Versicherungsverträge (oder z.b.
MehrVerband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung
Verband Bildung und Erziehung Landesbezirk Südbanden Datenschutz, Sorgerecht und Schulanmeldung Neue VwV Datenschutz I. Allgemeines Zulässigkeit der Datenverarbeitung Datenerhebung... Datenlöschung und
MehrWAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer
MehrDatendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?
Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220
MehrDatenschutz im Jobcenter. Ihre Rechte als Antragsteller
Datenschutz im Jobcenter Ihre Rechte als Antragsteller Wieso braucht das Jobcenter Ihre persönlichen Daten? Arbeitsuchende erhalten Leistungen, wie zum Beispiel Geldleistungen, die ihren Unterhalt sichern
MehrDatenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten
Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene
MehrRösler-Goy: Datenschutz für das Liegenschaftskataster 1
Datenschutz für das Liegenschaftskataster Dipl.-Ing. Michael Rösler-Goy Landesamt für Vermessung und Geoinformation Bayern Rösler-Goy: Datenschutz für das Liegenschaftskataster 1 1. Wozu dient Datenschutz?
MehrInformationen zum Datenschutz im Maler- und Lackiererhandwerk
Institut für Betriebsberatung des deutschen Maler- und Lackiererhandwerks Frankfurter Straße 14, 63500 Seligenstadt Telefon (06182) 2 52 08 * Fax 2 47 01 Maler-Lackierer-Institut@t-online.de www.malerinstitut.de
MehrErstellung eines Verfahrensverzeichnisses aus QSEC
Erstellung eines Verfahrensverzeichnisses aus QSEC Im QSEC-Reporting-Modul steht ab der Version 4.2 ein neuer Bericht zur Verfügung. Es besteht nun die Möglichkeit, einen BDSG-konformen Datenschutzbericht
MehrGesetzliche Grundlagen des Datenschutzes
Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht
MehrIMI datenschutzgerecht nutzen!
Berliner Beauftragter für Datenschutz und Informationsfreiheit IMI datenschutzgerecht nutzen! Schulung zum Binnenmarktinformationssystem IMI, IT Dienstleistungszentrum Berlin, 6./11. Juni 2012 1 Warum
MehrGrundlagen des Datenschutzes und der IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter
Mehr%HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ
%HVRQGHUH$UWHQ3HUVRQHQEH]RJHQHU'DWHQ Bestimmte Daten dürfen nur mit ausdrücklicher Einwilligung bzw. nur in Ausnahmefällen verarbeitet werden. Hierzu gehören zum Beispiel Krankheitsdaten selbstverständlich
MehrMeine Daten. Mein Recht
Meine Daten Mein Recht... auch in der Schule Ihr Landesbeauftragter für den Datenschutz Mecklenburg-Vorpommern Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern Karsten Neumann Besuchsanschrift:
Mehr10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.
M erkblatt Vorabkontrolle 1 Einleitung Öffentliche Organe des Kantons Zürich müssen Projekte und Vorhaben dem Datenschutzbeauftragten zur Prüfung unterbreiten, wenn diese Datenbearbeitungen beinhalten,
MehrDatenschutz eine Einführung. Malte Schunke
Datenschutz eine Einführung Malte Schunke Gliederung 1. Wieso Datenschutz? 2. Was hat das mit mir zu tun? 3. Begriffserklärungen Pause 4. Wichtige Rechtsvorschriften 5. Datenschutz in der Arztpraxis Wieso
MehrDer Datenschutzbeauftragte
Die Zulässigkeit von Videoüberwachungsmaßnahmen am Arbeitsplatz unterliegt sehr strengen gesetzlichen Anforderungen und erfordert immer eine ausführliche Abwägung der betroffenen Interessen des Kameraverwenders
MehrDatenschutz und Datensicherung (BDSG) Inhaltsübersicht
Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit
Mehr4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin
4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin Vortrag zum Thema Qualitätssicherung und Datenschutz, Anforderungen an den Datenschutz aus der Sicht des
MehrDatenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -
INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -
MehrDatenschutz im Spendenwesen
Datenschutz im Spendenwesen Corinna Holländer, Referentin beim Berliner Beauftragten für f r Datenschutz und Informationsfreiheit (Bereiche: Wirtschaft, Sanktionsstelle) Berlin, den 16. Mai 2011 1 Gliederung
MehrWenn Sie jünger als 18 sind, benötigen Sie vor dem Zugriff auf die Dienste die Zustimmung Ihrer Eltern.
Nutzungsbedingungen für Endanwender (kostenlose Anwendungen) 1. Begriffsbestimmungen Für die Zwecke der vorliegenden Bestimmungen gelten die folgenden Begriffsbestimmungen: Anwendung bedeutet jede potenzielle
MehrDatenschutz-Unterweisung
Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie
MehrHaftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten
Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten Joachim Frost, Berater für Datenschutz Stellung des Datenschutzbeauftragten -Berater der Geschäftsleitung -weisungsfrei in Fachfragen -nur
MehrRechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)
1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich
MehrDatenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?
Was ist Datenschutz, und weshalb betrifft er unser Unternehmen? 1 Herzlich willkommen! Die Themen heute: Datenschutz ein aktuelles Thema Gründe für einen guten Datenschutz Welche Grundregeln sind zu beachten?
MehrBeratungskonzept für die Datenschutz-Betreuung. durch einen externen Beauftragten für den Datenschutz
Beratungskonzept für die Datenschutz-Betreuung durch einen externen Beauftragten für den Datenschutz Die nachstehenden Informationen sollen Geschäftsführern und anderen Führungskräften von Unternehmen
MehrArbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen
Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen in Call Centern Harald Stelljes Mitarbeiter beim Landesbeauftragten für den Datenschutz Bremen Arndtstr. 1 27570 Bremerhaven Tel.: +49 (0471)
MehrGründe für ein Verfahrensverzeichnis
1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in
MehrDas Persönliche Budget in verständlicher Sprache
Das Persönliche Budget in verständlicher Sprache Das Persönliche Budget mehr Selbstbestimmung, mehr Selbstständigkeit, mehr Selbstbewusstsein! Dieser Text soll den behinderten Menschen in Westfalen-Lippe,
MehrBefragung zum Migrationshintergrund
Befragung zum Migrationshintergrund Ziel der Befragung ist es, Statistiken zum Arbeitsmarkt und zur Grundsicherung für Personen mit und ohne Migrationshintergrund darzustellen. Hierfür bitten wir um Ihre
MehrIMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.
IMMANUEL DIAKONIE Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist. Sehr geehrte Damen und Herren, der Datenschutz ist uns in der Immanuel Diakonie wichtig! Patienten, Bewohner
MehrVerordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)
Verordnung zum Schutz von Patientendaten DSVO-KH 858-1 Archiv Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH) vom 10. Oktober
MehrDatenschutzvereinbarung
Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und
MehrDatenschutz-Vereinbarung
Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die
MehrX. Datenvermeidung und Datensparsamkeit nach 3a BDSG
X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten
MehrE-Mail-Seminar: Datenschutz an Schulen
E-Mail-Seminar: Datenschutz an Schulen Autorin: Veronika Höller Lektion 3: Datenübermittlung/-austausch In dieser Lektion erfahren Sie alles über das Thema Datenübermittlung und -austausch. Es werden u.
MehrFachbericht zum Thema: Anforderungen an ein Datenbanksystem
Fachbericht zum Thema: Anforderungen an ein Datenbanksystem von André Franken 1 Inhaltsverzeichnis 1 Inhaltsverzeichnis 1 2 Einführung 2 2.1 Gründe für den Einsatz von DB-Systemen 2 2.2 Definition: Datenbank
MehrQuelle: Kirchliches Amtsblatt 2005 / Stück 10
Quelle: Kirchliches Amtsblatt 2005 / Stück 10 Nr.147. Gesetz zum Schutz von Patientendaten in katholischen Krankenhäusern und Einrichtungen im Erzbistum Paderborn - PatDSG Zum Schutz von personenbezogenen
MehrArbeitshilfen zur Auftragsdatenverarbeitung
Arbeitshilfen zur Auftragsdatenverarbeitung 1 Abgrenzung Die vorliegenden Excel-Tabellen dienen nur als Beispiel, wie anhand von Checklisten die datenschutzrechtlichen Voraussetzungen für die Vergabe einer
MehrDatenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG
Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG Version 1.0 Ausgabedatum 20. März 2013 Status in Bearbeitung in Abstimmung freigegeben Kontakt Angelika
MehrVereinbarung zur Sicherstellung des Schutzauftrages bei Kindeswohlgefährdung gem. 8a SGB VIII
Die Senatorin für Bildung und Wissenschaft Vereinbarung zur Sicherstellung des Schutzauftrages bei Kindeswohlgefährdung gem. 8a SGB VIII zwischen dem Amt für Soziale Dienste / Jugendamt und der Senatorin
MehrComputer & Netzwerktechnik. Externer Datenschutzbeauftragter
Computer & Netzwerktechnik Externer Datenschutzbeauftragter Zweck des Bundesdatenschutzgesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem
MehrSeite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort
Anlage 1 Erstes Anschreiben an den/die Beschäftigte/ -n Frau/Herrn Vorname Name Straße PLZ Ort Betriebliches Eingliederungsmanagement (BEM) Sehr geehrte(r) Frau/Herr, wir möchten Sie über Hintergrunde
MehrDATENSCHUTZERKLÄRUNG
DATENSCHUTZERKLÄRUNG Wir freuen uns über Ihr Interesse an unserer Website. Der Schutz Ihrer Privatsphäre ist für uns sehr wichtig. Nachstehend möchten wir Sie ausführlich über den Umgang mit Ihren Daten
MehrInformationen und Richtlinien zur Einrichtung eines Online Kontaktformulars auf Ihrer Händlerwebseite
Informationen und Richtlinien zur Einrichtung eines Online Kontaktformulars auf Ihrer Händlerwebseite Stand: Juli 2011 S. 2 Was ist das Online Kontaktformular? S. 2 Wozu brauche ich das Online Kontaktformular?
MehrSie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.
Widerrufsbelehrung Nutzt der Kunde die Leistungen als Verbraucher und hat seinen Auftrag unter Nutzung von sog. Fernkommunikationsmitteln (z. B. Telefon, Telefax, E-Mail, Online-Web-Formular) übermittelt,
MehrEinwilligungserklärung
Einwilligungserklärung für (Name der Person) zur Erfassung und Speicherung persönlicher Daten und Bilder sowie die Veröffentlichung von Bildern und Texten im Internet und in Druckmedien gegenüber der Leitung
MehrWiderrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen
Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen Häufig werden Handwerker von Verbrauchern nach Hause bestellt, um vor Ort die Leistungen zu besprechen. Unterbreitet der Handwerker
Mehrtêt, dass jede öffentliche Wiedergabe - das ist das Angebot an einen unbestimmten Personenkreis - einen Straftatbestand darstellt.
Recht Benutzungsordnungen Recht Sachverhalte geregelt wissen will, Recht têt, dass jede öffentliche Wiedergabe - das ist das Angebot an einen unbestimmten Personenkreis - einen Straftatbestand darstellt.
MehrDatenschutz im Jobcenter. Ihre Rechte als Antragsteller
Datenschutz im Jobcenter Ihre Rechte als Antragsteller Wieso braucht das Jobcenter Ihre persönlichen Daten? Arbeitsuchende erhalten Leistungen, wie zum Beispiel Geldleistungen, die ihren Unterhalt sichern
MehrAufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland
Aufbewahrung von erweiterten Führungszeugnissen Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland Nach 72a Abs. 1 SGB VIII dürfen Träger der öffentlichen Jugendhilfe keine Personen hauptamtlich beschäftigen
MehrTelekommunikation Ihre Datenschutzrechte im Überblick
Telekommunikation Ihre Datenschutzrechte im Überblick Inhalt Bestands- und Verkehrsdaten 5 Vertragsschluss 6 Bonitätsabfrage 7 Telefonbuch und Auskunft 8 Rechnung und Einzelverbindungsnachweis 9 Auskunftsrecht
MehrAnmeldeverfahren. Inhalt. 1. Einleitung und Hinweise
Anmeldeverfahren Inhalt In dieser Anleitung finden Sie eine detaillierte Beschreibung der verschiedenen Anmeldeverfahren bzw. Zugangsberechtigungen anhand der verschiedenen Szenarien, die für Sie in der
MehrBefragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher
Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) ist vom Bundesamt für Ernährung und Landwirtschaft beauftragt worden,
MehrBerliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)
Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz
MehrIT-Compliance und Datenschutz. 16. März 2007
IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot
MehrDatenschutz ist Persönlichkeitsschutz
Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was
Mehr- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),
2. Einwilligung in die Erhebung und Verwendung von Gesundheitsdaten und eventuellen Angaben zu Ihrer Religionszugehörigkeit sowie Schweigepflichtentbindungserklärung Die Regelungen des Versicherungsvertragsgesetzes,
MehrOrdner Berechtigung vergeben Zugriffsrechte unter Windows einrichten
Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten Was sind Berechtigungen? Unter Berechtigungen werden ganz allgemein die Zugriffsrechte auf Dateien und Verzeichnisse (Ordner) verstanden.
MehrAUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ
AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes
MehrMan kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.
Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der
MehrAnleitung WLAN BBZ Schüler
Anleitung WLAN BBZ Schüler Wir möchten Sie darauf hinweisen, dass eine Weitergabe Ihres Kennworts an Dritte untersagt ist. Sollten Sie den Verdacht haben, dass Ihr Passwort weiteren Personen bekannt ist,
Mehr1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt 1.1.5. schützen. 1.1.7 Wissen, was man unter personenbezogenen 1.1.8 1.1.
Datenschutz DLGI Dienstleistungsgesellschaft für Informatik Am Bonner Bogen 6 53227 Bonn Tel.: 0228-688-448-0 Fax: 0228-688-448-99 E-Mail: info@dlgi.de, URL: www.dlgi.de Dieser Syllabus darf nur in Zusammenhang
MehrBeschreibung E-Mail Regeln z.b. Abwesenheitsmeldung und Weiterleitung
Outlook Weiterleitungen & Abwesenheitsmeldungen Seite 1 von 6 Beschreibung E-Mail Regeln z.b. Abwesenheitsmeldung und Weiterleitung Erstellt: Quelle: 3.12.09/MM \\rsiag-s3aad\install\vnc\email Weiterleitung
MehrRechtsverordnung zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzverordnung DSVO)
Datenschutzverordnung EKM DSVO 941 Rechtsverordnung zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzverordnung DSVO) Vom 9. April 2002 (ABl. EKKPS S. 103; ABl.
MehrAnleitung für die Lohnmeldung via ELM-Standard mittels PartnerWeb
Ausgleichskasse Gewerbe St. Gallen Lindenstrasse 137 Postfach 245 9016 St. Gallen Telefon 071 282 29 29 Telefax 071 282 29 30 info@ahv-gewerbe.ch www.ahv-gewerbe.ch Anleitung für die Lohnmeldung via ELM-Standard
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit
und der IT-Sicherheit Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit 9.1 Vergleich Sicherheitsziele & Aufgabe: Kontrollbereiche Ordnen Sie die im BDSG genannten Kontrollbereiche
MehrDatenschutzerklärung zum Online Bewerbungsverfahren für Stellen bei deutschen VOLVO Gesellschaften
1 Datenschutzerklärung zum Online Bewerbungsverfahren für Stellen bei deutschen VOLVO Gesellschaften Die VOLVO Gruppe ist sich bewusst, dass Ihnen der Schutz Ihrer personenbezogenen Daten sehr wichtig
MehrPersonalisierte Email versenden
1. Starten Sie Excel und Word und klicken in der Word-Menüleiste auf Extras (WICHTIG: personalisierte Emails werden aus Word versendet) 2. wählen Sie nun Briefe und Sendungen 3. und starten den Seriendruck-Assistent.
MehrDas Datenschutzregister der Max-Planck-Gesellschaft
Das Datenschutzregister der Max-Planck-Gesellschaft Dr. Wilfried Grieger wgriege@gwdg.de http://www.gwdg.de/~wgriege Gesellschaft für wissenschaftliche Datenverarbeitung mbh Göttingen Am Fassberg, 37077
MehrPrüfkatalog zur Datenschutzverträglichkeit von sog. Mitarbeiterbefragungen (MAB) für Beschäftigte im öffentlichen Dienst in Niedersachsen
Die Landesbeauftragte für den Datenschutz Niedersachsen Prüfkatalog zur Datenschutzverträglichkeit von sog. Mitarbeiterbefragungen (MAB) für Beschäftigte im öffentlichen Dienst in Niedersachsen Projektname:
MehrGrundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen
und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre
MehrFacebook und Datenschutz Geht das überhaupt?
Folie 1 Facebook und Datenschutz Geht das überhaupt? Dipl.-Ing. Michael Foth CISA, CGEIT CFE, CRISC Datenschutzbeauftragter des Landessportverbandes Schleswig-Holstein e. V. Folie 2 Themen Webseite Facebook
MehrDatenschutzbeauftragte
MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist
Mehr