Verfahrensbeschreibung Teil A (öffentlich) nach 9 Absatz 1 Nummern 1 bis 7 HmbDSG

Transkript

1 Geschäftszeichen: "[ Gz. ]" [Az. behdsb: x-003:[...] ] [Datum] Versions-Nr.: [VersNr.] Verfahrensbeschreibung Teil A (öffentlich) nach 9 Absatz 1 Nummern 1 bis 7 HmbDSG 1. Name und Anschrift der Daten verarbeitenden Stelle ( 9 Abs. 1 Nr. 1 HmbDSG) Rechtliche Verantwortung Präsidium [Straße] [PLZ] Hamburg Fachverantwortliche Stelle [Institut/Fachbereich/Betriebseinrichtung/etc.] 2. Bezeichnung des Verfahrens und seine Zweckbestimmungen ( 9 Abs. 1 Nr. 2 HmbDSG) 2.1 Bezeichnung des Verfahrens [Verfahren] Kurzbeschreibung des Verfahrens [ optional, nicht vom Gesetzgeber gefordert ] 2.2 Zweckbestimmungen (abschließende Aufzählung) Version: Formular_VerfB_Teil_A+B_(Version_extDSB151130).dotx Seite 1 von 7

2 3. Art der verarbeiteten Daten, Rechtsgrundlagen ihrer Verarbeitung oder die Ziele, zu deren Erfüllung die Kenntnis dieser Daten erforderlich ist ( 9 Abs. 1 Nr. 3 HmbDSG) 3.1 Kreis der Betroffenen und Art der jeweils verarbeiteten personenbezogenen Daten Es werden keine personenbezogenen Daten nach 5 Abs. 1 Satz 2 HmbDSG verarbeitet (Daten über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben) Es werden personenbezogene Daten nach 5 Abs. 1 Satz 2 HmbDSG verarbeitet personenbezogene Daten / Datenkategorien geordnet nach Betroffenengruppen (siehe Ziff. 4) Beispiel: (bitte nach Erstellen löschen) A A1 A2 Betroffenengruppe (z.b. Mitarbeiter, Studierende, etc.) konkretes pers.bez. Datum (z.b. Name, etc.) konkretes pers.bez. Datum (z.b. Anschrift, etc.) A3 konkretes pers.bez. Datum (z.b. Matrikelnummer, Personalnummer, etc. ) A4 B B1 B2 B3 Betroffenengruppe (z.b. Dozenten, Kunden, etc.) konkretes pers.bez. Datum (z.b. Kontoverbindung, etc.) konkretes pers.bez. Datum (z.b. TelefonNr, etc.) 3.2 Rechtsgrundlagen (ggf. differenziert nach der Art der verarbeiteten Daten) 3.3 Herkunft der Daten (ggf. differenziert nach der Art der verarbeiteten Daten) Version: Formular_VerfB_Teil_A+B_(Version_extDSB151130).dotx Seite 2 von 7

3 (nach 18 Absatz 1 Nummer 3 HmbDSG) [ optional, nicht vom Gesetzgeber gefordert ] 4. Kreis der Betroffenen / Betroffenengruppen A = B = = 5. (Kreis der) Empfängerinnen und Empfänger, die Daten erhalten können ( 9 Abs. 1 Nr. 5 HmbDSG) 5.1 Dritte Stellen (außerhalb der verantwortlichen Stelle nach Ziff. 1), die Daten erhalten können - inkl. Zuordnung der Daten, die die jeweilige Stelle erhält 5.2 Auftragsdatenverarbeiter Eine Datenverarbeitung im Auftrag nach 3 HmbDSG findet nicht statt Die gesamte Datenverarbeitung wird bei einem/mehreren externen Auftragnehmer/n durchgeführt Teile der Datenverarbeitung werden bei einem/mehreren externen Auftragnehmer/n durchgeführt Das Auftragsverhältnis ist schriftlich geregelt, 3 HmbDSG i.v.m. 7 und 8 HmbDSG werden beachtet Namen und Anschriften der Auftragnehmer (AN) [Firma/Dienstleister] [Anschrift] Seite 3 von 7

4 5.2.2 Personenbezogene Daten auf die der AN zugreifen kann (ggf. differenziert nach AN) 5.3 Empfängerinnen und Empfänger innerhalb der Daten verarbeitenden Stelle, die andere Aufgaben wahrnehmen - inkl. Zuordnung der Daten, die die jeweilige Stelle erhält 6. (Beabsichtigte) Datenübermittlung an Stellen außerhalb Bundesrepublik Deutschland ( 9 Abs. 1 Nr. 6 HmbDSG i.v.m. 17 Abs HmbDSG) eine Übermittlung nach 17 Abs HmbDSG findet nicht statt eine Übermittlung nach 17 Abs HmbDSG findet statt; folgende personenbezogene Daten werden an nachstehende Institutionen übermittelt: Empfangende Institutionen / Stellen (einschließlich vorhandener Rechtsgrundlagen und aller Zweckbestimmungen) 7. Fristen für die Sperrung und Löschung der Daten ( 9 Abs. 1 Nr. 7 HmbDSG) 7.1 Fristen für die Sperrung der Daten (ggf. differenziert nach der Art der verarbeiteten Daten) 7.2 Fristen für die Löschung der Daten (ggf. differenziert nach der Art der verarbeiteten Daten) Seite 4 von 7

5 Hinweis: Die vorstehend genannten Informationen können auf Antrag von jeder Person beim behördlichen Datenschutzbeauftragten eingesehen werden (vgl. 9 Absatz 3 Satz 2 HmbDSG). Die nachstehenden Angaben gemäß 9 Absatz 1 Nummern 8 und 9 HmbDSG sollen ebenfalls auf Antrag einsehbar sein, da dadurch die Sicherheit des Verfahrens nicht beeinträchtigt wird. (vgl. 9 Absatz 3 Satz 2 HmbDSG) Die nachstehenden Angaben gemäß 9 Absatz 1 Nummern 8 und 9 HmbDSG sollen nicht veröffentlicht werden, um die Sicherheit des Verfahrens nicht zu beeinträchtigen! (vgl. 9 Absatz 3 Satz 2 HmbDSG) Seite 5 von 7

6 Verfahrensbeschreibung Teil B nach 9 Absatz 1 Nummern 8 und 9 HmbDSG 8. Technische und organisatorische Maßnahmen nach 8 HmbDSG ( 9 Abs. 1 Nr. 8 HmbDSG) Durch folgende Maßnahmen wird sichergestellt, dass nur Befugte die personenbezogenen Daten verarbeiten können (Vertraulichkeit, vgl. ( 8 Abs. 2 Nr. 1 HmbDSG), die personenbezogenen Daten während der Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben (Integrität, vgl. 8 Abs. 2 Nr. 2 HmbDSG), die personenbezogenen Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit, vgl. 8 Abs. 2 Nr. 3 HmbDSG), die personenbezogenen Daten ihrem Ursprung zugeordnet werden können (Authentizität, vgl. 8 Abs. 2 Nr. 4 HmbDSG) und wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit, vgl. 8 Abs. 2 Nr. 5 HmbDSG). Hinweis für die Erstellerin / den Ersteller: Verweisen Sie ggf. auf das Sicherheitskonzept, die Risikoanalyse/Vorabkontrolle, etc. (die Unterlagen sind dann beizufügen und sind ggf. mit zu veröffentlichen) Maßnahmen bei nicht-automatisierter Verarbeitung (sofern relevant) Durch folgende Maßnahmen ist sichergestellt, dass bei nicht-automatisierter Verarbeitung personenbezogenen Daten der Zugriff Unbefugter bei der Bearbeitung, der Aufbewahrung, dem Transport und der Vernichtung verhindert wird (vgl. 8 Abs.3 HmbDSG): Hinweis für die Erstellerin / den Ersteller: Verweisen Sie ggf. auf das Sicherheitskonzept, die Risikoanalyse/Vorabkontrolle, etc. (die Unterlagen sind dann beizufügen und sind ggf. mit zu veröffentlichen) Seite 6 von 7

7 Informationen zur Vorabkontrolle nach 8 Abs. 4 HmbDSG Die Prüfung, Bewertung und schriftliche Dokumentation der Informationssicherheit des Verfahrens (Vorabkontrolle/Risikoanalyse) wurde durchgeführt (vgl. u.a. 8 Abs. 4 HmbDSG). Die Einführung / Änderung des automatisierten Verfahrens ist zulässig, da die Gefahren für die Rechte der Betroffenen durch die realisierten technischen und organisatorischen Maßnahmen ( 8 Abs. 2 HmbDSG) wirksam beherrscht werden Technische und organisatorische Maßnahmen sind nicht erforderlich, da ihr Aufwand nicht in einem angemessenen Verhältnis zur Schutzwürdigkeit der der Daten der Betroffenen stehen ( 8 Abs. 4 Satz 2 HmbDSG i.v.m. 8 Abs. 1 Satz 2 HmbDSG) 9. Art der Geräte, die Stellen, bei denen sie aufgestellt sind sowie das Verfahren zur Übermittlung, Sperrung, Löschung, Auskunftserteilung und Benachrichtigung ( 9 Abs. 1 Nr. 9 HmbDSG) 9.1 Art der eingesetzten Hard- und Software und Stellen, bei denen sie aufgestellt sind Standorte) Hinweis für die Erstellerin / den Ersteller: Verweisen Sie ggf. auf das IT-Konzept, Projekt-Konzept, Pflichten- und Lastenheft, etc. (die Unterlagen sind dann beizufügen) 9.2 Beschreibung der Verfahrensabläufe zur Übermittlung, Sperrung, Löschung, Auskunftserteilung und Benachrichtigung Übermittlung: Sperrung: Löschung: Auskunftserteilung: Auskunftsansprüche von Betroffenen nach 6 und 18 HmbDSG oder spezialgesetzlichen Rechtsgrundlagen werden von der / dem behördlichen Datenschutzbeauftragten sowie von der fachverantwortlichen Stelle erfüllt. Beide gewährleisten zudem das Recht auf Einsichtnahme in diese Verfahrensbeschreibung. Benachrichtigung: Seite 7 von 7