Öffentliches Verfahrensverzeichnis

Transkript

1 Öffentliches Verfahrensverzeichnis gemäß Datenschutzgesetz in der Fassung der Bekanntmachung vom zuletzt geändert durch Gesetz vom Stand: Name und Anschrift der verantwortlichen Stelle Nachbarschaftshaus Urbanstraße e.v. Urbanstraße Berlin 2. Gesetzliche Vertretung Alexander Münsterkötter, Vorstand Nadja Bisemeier, Vorstand Wilfried Retka, Vorstand Christine Nimtsch, Vorstand Matthias Winter, Geschäftsführer 3. Datenschutzbeauftragter Andreas Fischer

2 Arbeitsbereich Ergänzende Betreuung Schulsozialarbeit sowie weitere Projekte zur Lernförderung 1. Name und Anschrift der Daten verarbeitenden Stelle Nachbarschaftshaus Urbanstraße Ergänzende Betreuung und weitere Projekte in der Bürgermeister-Herz-Grundschule sowie Schulsozialarbeit und Lernförderprojekte Wilmsstraße Berlin Tel Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung Zweckbestimmung Personenbezogene Daten werden im Rahmen der Verwaltung, der Organisation und pädagogischen Arbeit der Kooperationsprojekte des Nachbarschaftshauses mit der Bürgermeister-Herz-Grundschule von Erziehungsberechtigten und Kindern sowie zur Dokumentation von Beratungen erhoben und gespeichert. Rechtsgrundlage (ggf. nach Art der Datenverarbeitung unterscheiden) KitaFöG, RVTAG, QVTAG, KJHG, AG-KJHG, SGB XII 3. Kreis der Betroffenen lfd. Nr. Betroffene oder Betroffenengruppen 1 Vertragspartner der ergänzenden Betreuung 2 Teilnehmende an Beratungen und Fördermaßnahmen in der Schule 3

3 4. Kategorien der verarbeiteten Daten und deren Löschungs- bzw. Aufbewahrungsfristen 4.1 Kategorien der verarbeiteten Daten lfd. Nr. Kategorien Inhalt 1 Persönliche Daten Name, Anschrift, Geburtsdatum und -ort, Telefon, - Adresse, Familienstand, Anzahl der Kinder, Berlinpass, Bankverbindung, ergänzender Förderbedarf, ärztliche Befunde / Besonderheiten 2 Kontaktdaten und Daten als Grundlage pädagogischintegrativer Arbeit Name, Anschrift, Geburtsdatum und -ort, Telefon, - Adresse, Familienstand, Anzahl der Kinder, ergänzender Förderbedarf, Besonderheiten 3 Zuwendungsgeber Bewilligungsbescheide, Änderungsbescheide, Berlinpass, ergänzender Förderbedarf 4.2 Löschungs- und Aufbewahrungsfristen lfd. Nr. aus 4.1 (Daten- Kategorie) Wie lange werden die gespeicherten Daten aufbewahrt bzw. wann werden sie gelöscht? 10 Jahre in Papierform analog der Buchhaltung in der Verwaltung 2 Jahre nach Verlassen der Schule 10 Jahre in Papierform analog der Buchhaltung in der Verwaltung 4.3. Zugriffsberechtigte Personen oder Personengruppen lfd. Nr. aus 4.1 (Daten- Kategorie) Welche Personen oder Personengruppen dürfen auf die gespeicherten Daten zugreifen? 1 Verwaltungsmitarbeitende 2 Integrationsfachkräfte, Schulsozialarbeiter*innen, Pädagogische Mitarbeiter*innen 3 Verwaltungsmitarbeitende

4 5. Datenübermittlung 5.1 Empfänger von zu übermittelnden Daten lfd. Nr. aus 4.1 (Daten- Kategorie) An welche Stellen werden Daten übermittelt? Senatsverwaltung Schule, ISBJ Integrierte Software Berliner Jugendhilfe Interne Datennutzung Bezirksämter 5.2 Herkunft empfangener Daten lfd. Nr. aus 4.1 (Daten- Kategorie) Von welchen Stellen werden Daten empfangen? ISBJ, Bezirksämter Teilnehmende persönlich durch Selbstauskunft und Entbindung von der Schweigepflicht, Schule Teilnehmende persönlich durch Selbstauskunft, ISBJ lfd. Nr. aus 4.1 (Daten- Kategorie) 3 Von welchen Stellen werden Daten empfangen? Senatsschulverwaltung, Jugendamt, Bezirksämter 6. Übermittlung an Stellen außerhalb der Mitgliedstaaten der Europäischen Union nein ja (aufgeführt in Punkt 5.2)

5 7. Art der eingesetzten Hard- und Software Hardware PC Laptop Server Anzahl der PC (vernetzt / Stand Alone / Betriebssystem), Anzahl der Server (Betriebssystem / Art der Vernetzung), Anzahl mobiler Geräte (Notebooks) 1 PC, Windows 7, nicht vernetzt (Verwaltung), 1 PC, Windows 10 vernetzt (Schulsozialarbeit) 2 Laptops, Windows 7, vernetzt (Schulsozialarbeit) Software Betriebs- und Anwendungsprogramme, Datenbankanwendungen (auch webbasierte Lösungen). Ferner Sicherheitssoftware, Datensicherungs- und Fernwartungstools. ISBJ Integrierte Software Berliner Jugendhilfe Zertifikat, Benutzernahme und Passwort ProVHort der Firma GPO Verwaltungsprogramm lokal Wir nehmen eine tägliche Datensicherung vor.

6 Technische und organisatorische Maßnahmen i.s.d. 9 BDSG 1. Zutrittskontrolle Maßnahmen, die geeignet sind, Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Alarmanlage Manuelles Schließsystem Schlüsselregelung (Schlüsselausgabe etc.) Protokollierung der Besucher Lichtschranken / Bewegungsmelder Automatisches Zugangskontrollsystem Sicherheitsschlösser Sorgfältige Auswahl von Reinigungspersonal Videoüberwachung der Zugänge Personenkontrolle beim Pförtner / Empfang 2. Zugangskontrolle Maßnahmen, die geeignet sind zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Zuordnung von Benutzerrechten Passwortvergabe Authentifikation mit Benutzername / Passwort Einsatz einer Hardware-Firewall Einsatz einer Software-Firewall Einsatz von Anti-Viren-Software Sperren von externen Schnittstellen (USB) Verschlüsselung von Datenträgern in Laptops / Notebooks Verschlüsselung von Smartphone-Inhalten Zuordnung von Benutzerprofilen zu IT- Systemen 3. Zugriffskontrolle Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Erstellen eines Berechtigungskonzepts Anzahl der Administratoren auf das Notwendigste reduziert Protokollierung von Zugriffen auf Anwendungen, insbesondere bei der Eingabe, Änderung und Löschung von Daten Verwaltung der Rechte durch Systemadministrator Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel Sichere Aufbewahrung von Datenträgern

7 physische Löschung von Datenträgern vor Wiederverwendung ordnungsgemäße Vernichtung von Datenträgern (DIN 32757) Einsatz von Aktenvernichtern bzw. Dienstleistern (nach Möglichkeit mit Datenschutz-Gütesiegel) Protokollierung der Vernichtung Verschlüsselung von Datenträgern 4. Weitergabekontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Einrichtungen von Standleitungen bzw. VPN-Tunneln -Verschlüsselung SSL Dokumentation der Empfänger von Daten und der Zeitspannen der geplanten Überlassung bzw. vereinbarter Löschfristen Weitergabe von Daten in anonymisierter oder pseudonymisierter Form Erstellen einer Übersicht von regelmäßigen Abruf- und Übermittlungsvorgängen Beim physischen Transport: sichere Transportbehälter/-verpackungen Beim physischen Transport: sorgfältige Auswahl von Transportpersonal und fahrzeugen 5. Eingabekontrolle Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Protokollierung der Eingabe, Änderung und Löschung von Daten Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) Erstellen einer Übersicht, aus der sich ergibt, mit welchen Applikationen welche Daten eingegeben, geändert und gelöscht werden können. Aufbewahrung von Formularen, von denen Daten in automatisierte Verarbeitungen übernommen worden sind Vergabe von Rechten zur Eingabe, Änderung und Löschung von Daten auf Basis eines Berechtigungskonzepts

8 6. Auftragskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Auswahl des Auftragnehmers unter Sorgfaltsgesichtspunkten (insbesondere hinsichtlich Datensicherheit) schriftliche Weisungen an den Auftragnehmer (z.b. durch Auftragsdatenverarbeitungsvertrag) i.s.d. 11 Abs. 2 BDSG Auftragnehmer hat Datenschutzbeauftragten bestellt Wirksame Kontrollrechte gegenüber dem Auftragnehmer vereinbart vorherige Prüfung der und Dokumentation der beim Auftragnehmer getroffenen Sicherheitsmaßnahmen Verpflichtung der Mitarbeiter des Auftragnehmers auf das Datengeheimnis ( 5 BDSG) Sicherstellung der Vernichtung von Daten nach Beendigung des Auftrags laufende Überprüfung des Auftragnehmers und seiner Tätigkeiten Vertragsstrafen bei Verstößen 7. Verfügbarkeitskontrolle Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Unterbrechungsfreie Stromversorgung (USV) Geräte zur Überwachung von Temperatur und Feuchtigkeit in Serverräumen Feuer- und Rauchmeldeanlagen Alarmmeldung bei unberechtigten Zutritten zu Serverräumen Testen von Datenwiederherstellung Aufbewahrung von Datensicherung an einem sicheren, ausgelagerten Ort Klimaanlage in Serverräumen Schutzsteckdosenleisten in Serverräumen Feuerlöschgeräte in Serverräumen Erstellen eines Backup- & Recoverykonzepts Erstellen eines Notfallplans Serverräume nicht unter sanitären Anlagen

9 8. Trennungsgebot Maßnahmen, die gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern Erstellung eines Berechtigungskonzepts Versehen der Datensätze mit Zweckattributen/Datenfeldern Festlegung von Datenbankrechten Logische Mandantentrennung (softwareseitig) Verschlüsselung von Datensätzen, die zu demselben Zweck verarbeitet werden Bei pseudonymisierten Daten: Trennung der Zuordnungsdatei und der Aufbewahrung auf einem getrennten, abgesicherten IT-System Trennung von Produktiv- und Testsystem 9. Fristen für die Sperrung und Löschung Für die folgenden Fristen gilt als Stichtag der des Kalenderjahres nach Beendigung der Erfüllung der Zuständigkeit bzw. des Zweckes. Lfd. Nr.4 Kategorie Löschfristen 4.1 Nr.1 Personenbezogene Daten der Teilnehmenden 10 Jahre 4.1 Nr Nr. 3 Kontaktdaten ISBJ, Bezirksämter 2 Jahre 10 Jahre 10. Datenübermittlungen an Drittstaaten Eine Datenübermittlung an Drittstaaten erfolgt nicht.

10 11. Ergebnisse der Vorabkontrollen nach 4 d Abs. 5 und 6 BDSG Ausgangspunkt der Vorabkontrolle ist eine datenschutzrechtliche Überprüfung vor Einführung eines Verfahrens mittels EDV. Die Durchführung dieser Vorabkontrolle erfolgt durch den betrieblichen Datenschutzbeauftragten. Die Ergebnisse der Vorabkontrolle werden schriftlich dokumentiert. Über die Entscheidung einer Nutzung bzw. Änderung eines automatischen Verfahrens erfolgt durch die Geschäftsführung Ulrich Mahnke, Sabine Retzlaff Datum Verantwortlich für die Erstellung (in Druckbuchstaben) Unterschrift des Verantwortlichen