3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers"



Ähnliche Dokumente
Schleswig-Holstein Der echte Norden. 31. Januar 2017 Dataport Bildungstag

Vorabkontrolle nach LDSG - rechtliche und technische Prüfschritte. Dr. Thomas Probst

Vereinbarung über den Datenschutz und die Rechte des Personalrats beim Betrieb elektronischer Schließanlagen im Universitätsklinikum Heidelberg

Gutachten. Rezertifizierung im Auditverfahren gemäß 43 Abs. 2 LDSG

Gemeinsame Sichtweise zur Beteiligung der Personalräte in einer reorganisierten Personalverwaltung in der Landesverwaltung Schleswig-Holstein

Gutachten. Auditverfahren gemäß 43 Abs. 2 LDSG. IT-Sicherheitsmanagement der Kreisverwaltungen Nordfriesland, Schleswig-Flensburg und Nordbits AöR

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Gl.-Nr.: Fundstelle: Amtsbl. Schl.-H S Bekanntmachung des Innenministers vom 25. Juli IV 120 m

Verfahrensverzeichnis gemäß 7 LDSG (Stand )

Gutachten. Verarbeitung personenbezogener Daten mit IT-Systemen in der Stadtverwaltung Bad Schwartau

Nr Verfassungs-, Verwaltungs- und Verfahrensrecht Datenschutzrecht Datenschutz im öffentlichen Bereich

Rechtliches und Technisches Rezertifizierungsgutachten

Verwaltungsvorschrift Datenschutz an öffentlichen Schulen. Ministerium für Kultus, Jugend und Sport

Dienstvereinbarung über die Nutzung elektronischer Medien am Arbeitsplatz

Verfahrensverzeichnis gemäß 7 LDSG

Den Datenschutz nicht vergessen

Datenschutzerklärung Forschung

Anforderungen an künftige IT- Systeme aus der Sicht des Datenschutzes

1. Grundsätzliches. 2. Verfahren. 2.1 Einrichtung eines Zugangs zum Meldeportal

Vereinbarung. nach 94 Hamburgisches Personalvertretungsgesetz (HmbPersVG) über das Verfahren zur Bewertung von Dienstposten für Beamtinnen und Beamte

Personalakte Elektronische (Digitale) Personalakte

E-Akte und Datenschutz?

Datenschutz-Richtlinie der SenVital

Bekanntmachung des Thüringer Justizministeriums vom 03. Juni 2008 Az.: 5111/E 6/05

Zwischen. der Freien und Hansestadt Hamburg - vertreten durch den Senat. - Personalamt - und. dem DBB Hamburg. dem Deutschen Gewerkschaftsbund

Das neue Datenschutzrecht ab 25. Mai 2018 Anpassungsbedarf für HR. Leipzig, 27. Februar 2018

Datenschutz im SOA. Dr. Johann Bizer Stellvertretender Landesbeauftragter für den Datenschutz in Schleswig-Holstein

DER HESSISCHE DATENSCHUTZBEAUFTRAGTE

Verfahrensverzeichnis gemäß 7 LDSG (Stand )

Inhaltsverzeichnis. Vorwort zur zweiten Auflage... Vorwort zur ersten Auflage... Bearbeiterverzeichnis... Abkürzungsverzeichnis...

Vereinbarung zur Einführung eines einheitlich einsetzbaren Verfahrens für Personalmanagement in der Niedersächsischen

Datenschutz in Schulen

Informationen zur Verarbeitung personenbezogener Daten im Rahmen des Bewerbungsverfahrens

1. Ergänzungsvereinbarung. zur Vereinbarung nach 94 HmbPersVG über die Einführung einer bildschirmunterstützten

Zertifizierte Fortbildung zum/zur behördlichen Datenschutzbeauftragten (Land)

Verfahrensverzeichnis nach 7 LDSG (Landesdatenschutzgesetz Schleswig-Holstein)

Datenschutzerklärung nach DSGVO

Umsetzung der Datenschutzgrundverordnung auf Länderebene Rechtsforum 68. DFN-Betriebstagung

Änderungstarifvertrag Nr. 4 zum Tarifvertrag über die Arbeitsbedingungen der Personenkraftwagenfahrer der Länder (Pkw-Fahrer-TV-L) vom 9.

Datenschutzerklärung Bewerbungsmanagement

Vereinbarung gemäß 81 NPersVG über die Einführung und Anwendung eines Personalmanagementverfahrens (PMV) in der niedersächsischen Landesverwaltung

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

GAP FACHFORUM Datenschutz und Datensicherheit Neues und aktuelle Entwicklungen für die Wohnungswirtschaft

Amtliche Mitteilungen der Westfälischen Hochschule

Datenschutz und IT-Sicherheit an der UniBi

Praktischer Datenschutz

Dienstvereinbarung über die Einrichtung und Anwendung eines digitalen Schließsystems in der Fassung vom

Zwischenruf: Was sind eigentlich pflegerelevante Daten die gespeichert werden dürfen?

D i e n s t v e r e i n b a r u n g. gem. 36 MVG. über Einführung und Einsatz des mobilen Datenerfassungssystems. in der Diakonie-Sozialstation.

m Amtliche Mitteilungen / 36. Jahrgang 005/2017

Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) des Vereins

Dienstvereinbarung über die Einführung des IT-Verfahrens Kita-REWE für das ProFiskal der Kita-Eigenbetriebe (DV KITA-REWE)

Vereinbarung nach 94 HmbPersVG über die Vergabe von Zugriffsrechten. zwischen

äumg UNVER'TäT $KI Dienstvereinbarung

Grundsatz der Datenvermeidung und Datensparsamkeit ( 3 a BDSG-E) Mobile Speicher und Verarbeitungsmedien ( 6 c BDSG-E)

Dienstvereinbarung. zwischen. der Verwaltung des Universitätsklinikums Tübingen. und. dem Personalrat des Universitätsklinikums Tübingen.

Vereinbarung über die Auftragsdatenverarbeitung

Anlage 2: Gegenüberstellung des BbgDSG-alt mit der DSGVO und des BbgDSG-neu

Die EU-Datenschutz-Grundverordnung

Verfahrensverzeichnis nach 7 LDSG (Landesdatenschutzgesetz Schleswig-Holstein)

Satzungsbeilage der Technischen Universität Darmstadt 2.10

Dienstvereinbarung Chipkarte

Satzung. der Pädagogischen Hochschule Weingarten

Rechtsverordnung zur Durchführung des EKD-Datenschutzgesetzes (Datenschutzdurchführungsverordnung DSDVO) Vom 5. April 2017

Datenschutzrecht im Verein Sind Sie für die neue Datenschutzgrundverordnung gewappnet?

Gutachten. Auditverfahren gemäß 43 Abs. 2 LDSG. ekvsh -Dienst

LANDESKARTELLBEHÖRDE BADEN-WÜRTTEMBERG beim MINISTERIUM FÜR WIRTSCHAFT, ARBEIT UND WOHNUNGSBAU

Datenschutzerklärung zur Verwaltung von StudentInnen

der Ministerpräsidentin des Landes Schleswig-Holstein

Grundlagen des Datenschutzes Einführung in das Datenschutzrecht Grundschulung nach 46 Abs.6 BPersVG

Rechtsverordnung zur Durchführung des EKD-Datenschutzgesetzes (Datenschutzdurchführungsverordnung DSDVO)

- Muster - D i e n s t v e r e i n b a r u n g

Dienstvereinbarung zur Einführung und Nutzung von. Kommunikations und Collaborationssystemen. mit multimedialer VoIP Technik

RFID und Datenschutz in der öffentlichen Verwaltung. Dr. Flemming Moos Luther Rechtsanwaltsgesellschaft mbh

Kurzgutachten über das Auditverfahren gemäß 43 Abs. 2 LDSG

Die Datenschutzgrundverordnung

Reglement über die Video- überwachung auf öffentlichem Grund

Die Datenschutzgrundverordnung Fluch oder Segen für Betriebsräte?

Dienstvereinbarung Bildschirmarbeitsplätze

Dienstvereinbarung über den Einsatz eines Service Management Systems vom 14. Januar 2016 in der Fassung vom 12. Dezember 2018

Grundzüge der DSGVO Was bedeutet die DSGVO für Unternehmen? Eine Präsentation für den Fachverband der Gesundheitsbetriebe der WKO

Ordnung zur Einrichtung und zum Betrieb des Identitätsmanagements. an der Pädagogischen Hochschule Schwäbisch Gmünd. vom

Grundlagen des Datenschutzes

Verweise auf gesetzliche Vorschriften beziehen sich auf die Europäische Datenschutzgrundverordnung

Verwaltungsverordnung über den Einsatz von Informationstechnologie in der Evangelischen Kirche in Hessen und Nassau (IT-Verordnung ITVO)

DSA - Ausbildung zum Datenschutzassistent/in

Amtliche Mitteilungen / 36. Jahrgang 004/2017

Formblatt zu Nummer 1.3 der Dateienrichtlinie-Polizei.... <Bezeichnung des Verfahrens>

Informationen nach Art. 13 Datenschutzgrundverordnung (DSGVO)

Datenschutz in Kommunen: aktuelle Probleme und Empfehlungen

Best-Practice-Empfehlungen des LfDI Rheinland-Pfalz zum Datenschutz in der Kommunalverwaltung

Vorlage des Rechtsausschusses

Datenschutz-Verfahrensverzeichnis Schuljahr 2007/08

Dienstvereinbarung. nach 78 NPersVG für den Einsatz des SAP Systems zwischen dem Präsidenten und dem Personalrat der Hochschule Hannover

@rtus-vbs Betrachtung in rechtlicher, fachlicher und technischer Hinsicht

Einführung Datenschutz in der Pflege

zwischen der Freien und Hansestadt Hamburg vertreten durch den Senat Personalamt

D_09d Musterschulungsunterlage zum Datenschutz

Transkript:

3. Ergänzungsvereinbarung zur Grundlagenvereinbarung über die Einführung und Nutzung des integrierten HR IT Personalmanagementverfahrens - "KoPers" Datenschutz, Schutz vor Leistungs- und Verhaltenskontrolle zwischen dem Ministerpräsidenten des Landes Schleswig-Holstein vertreten durch den Beauftragten der Landesregierung für Zentrale IT-, Organisations- und Personalentwicklung einerseits und dem DBB Beamtenbund und Tarifunion Landesbund Schleswig-Holstein und dem Deutschen Gewerkschaftsbund - Bezirk Nord - als Spitzenorganisationen der Gewerkschaften andererseits Präambel Die Grundlagenvereinbarung zur Einführung und Nutzung des integrierten HR IT-Personalmanagementverfahrens- P&l 1 vom 13. Februar 2012, die für die Länder Freie und Hansestadt Hamburg und Schleswig-Holstein gleichermaßen gilt, enthält eine Fortentwicklungsklausel für ergänzende länderbezogene Regelungen. Die Vereinbarung "Datenschutz, Schutz vor Leistungs- und Verhaltenskontrolle" ist Teil der Fortentwicklung und ergänzender Bestandteil der Grundlagenvereinbarung. Die nach dem Ende des Projektes weiter notwendigen Regelungsinhalte dieser Ergänzungsvereinbarung sollen abschließend gelten und in die Vereinbarung nach 59 MBG Schi.-H. übergehen. 1 Gemeint ist das Verfahren "KaPers" (L VO zur Anderung der L VO über die zentrale Stelle für das Verfahren P&l Plus v. 3.12.2013) 1

1. Ziele Das IT-Verfahren KaPers muss die Anforderungen zum Datenschutz und zur Datensicherheit gemäß Landesdatenschutzgesetz Schi.-H. erfüllen. Hierbei sollen die Beschäftigten 2 vor einem missbräuchlichen Zugriff und einer missbräuchlichen Verarbeitung personenbezogener Daten und vor einer automatisierten Leistungs- und Verhaltenskontrolle geschützt werden. Die Informationsrechte der Beschäftigten und Personalvertretungen sollen erfüllt werden und die Regeln der Verarbeitung transparent und nachvollziehbar sein. Für den Fall begründeter und erforderlicher Kontrollen soll ein datenschutzfreundliches Verfahren schrittweiser Eskalation entsprechend der Vereinbarung über die Richtlinie zur Nutzung von Internet und E-Mail gewählt und vereinbart werden. Die zentrale Stelle gemäß Landesverordnung über die zentrale Stelle für das Verfahren KaPers vom 20. März 2012 (zuletzt geändert am 03. Dezember 2013) wird zur Erreichung der Ziele ein integriertes Datenschutz- und Sicherheitsmanagement einrichten. Dieses Datenschutz- und Sicherheitsmanagement beim Einsatz des IT-Verfahrens KoPers wird einem Datenschutzaudit durch das Unabhängige Landeszentrum für Datenschutz (ULD) unterzogen. 2. Grundsätze Im Sinne der genannten Ziele werden in dieser Vereinbarung Grundsätze zu folgenden Themenbereichen vereinbart: 1. Dokumentation 2. Auskunftsfähigkeit 3. Daten 4. Protokol/ierung 5. Auswertungen 6. Berechtigungskonzept 2.1 Dokumentation Die Verfahrensdokumentation nach 3 Datenschutzverordnung (DSVO) und das Verfahrensverzeichnis nach 7 LDSG wird durch die zentrale Stelle gem. Landesverordnung über die zentrale Stelle für das Verfahren KoPers erstellt. Die Dokumentation umfasst die folgenden Bereiche: 1. Dokumentation der Informationstechnik 2. Dokumentation der Sicherheitsmaßnahmen 3. Dokumentation des Vergehens bei Test- und Freigabe 2 Siehe Geltungsbereich in der Grundlagenvereinbarung zur Einführung und Nutzung des integrierten HR-IT Personalmanagementverfahrens- P&l vom 13.02.2012 2

Mit Hilfe der Verfahrensdokumentation wird kontinuierlich Transparenz über die gesamte Nutzung des Systems hergestellt. Sie beschreibt die Arbeitsweise der Organisation und wie bei der Verarbeitung personenbezogener Daten ein angemessenes Datenschutz- und Datensicherheitsniveau gewährleistet wird. Um sicherzugehen, dass die lnformationstechnik, die Programme und organisatorischen Regelungen die notwendigen Voraussetzungen erfüllen, werden Prozesse, Zeitpläne, Kontrollen usw. definiert. Zu den Prozessen gehören auch Änderungen des neuen Personalmanagementverfahrens KaPers (einschließlich Auswertungen) sowie die Vergabe bzw. der Entzug von Rollen und Rechten im Verfahren. Der notwendige Umfang der Dokumentation (Verfahrensdokumentation und -Verzeichnis) ergibt sich aus den Anforderungen von LDSG und DSVO. Die entsprechenden Hinweise des ULD werden beachtet. Die Dokumentation kann ausschließlich in elektronischer Form geführt werden (elektronische Akte). Die Dokumentation wird den Spitzenorganisationen auf Anfrage zur Verfügung gestellt. Neben dem Verfahrensverzeichnis ( 7 LDSG) werden im Verlauf des Projektes der Datenkatalog und die Liste der Standardauswertungen erstellt und in der jeweils aktuellen Fassung innerhalb der Verwaltung elektronisch bekannt gemacht (Intranet). 2.2 Auskunftsfähigkeit Die Standardprozesse, mit denen die Auskunftsrechte der Betroffenen und die Informationsrechte der Personalvertretungen und spezieller Anspruchsgruppen (z.b. SBV) gewährleistet werden, werden mit den Spitzenorganisationen der Gewerkschaften beraten und in der Verfahrensdokumentation (2.1) beschrieben. Es wird sichergestellt, dass die Daten verarbeitenden Stellen in der Lage sind, Auskunft an Berechtigte zu geben über die erhobenen und verarbeiteten Daten, die Zwecke der Verarbeitung, die Zugriffsrechte und die Auswertung der Daten. 2.3 Daten Art und Umfang der mit dem IT-Verfahren KaPers verarbeiteten Mitarbeiterdaten und die Zwecke der Nutzung werden in Verfahrensverzeichnis und Datenkatalog (siehe 2.1 Dokumentation) beschrieben. Rechtsgrundlagen für die Verarbeitung sind 85 LBG i.v.m. 23 Abs. 1 LDSG sowie die mit den jeweils zuständigen Interessenvertretungen nach 57 und 59 MBG getroffenen Vereinbarungen über den Umfang und den Zweck der Erhebung, Verarbeitung und Auswertung der Mitarbeiterdaten. Die Daten dürfen nur innerhalb der für Personalakten geltenden Aufbewahrungsfristen ( 91 LBG) verarbeitet werden. Vor Projektende wird ein Konzept für die elektronische Personalaktenführung erstellt und mit den Spitzenorganisationen beraten. 2.4 Protokollierung Art und Umfang der in dem IT-Verfahren KoPers durchgeführten Protokollierungen werden in der Verfahrensdokumentation (2.1) beschrieben. Hierbei werden die Einsichtsrechte nach 49 Abs. 2 MBG einbezogen. 3

Zweck der Protokollierungen ist die Durchführung der technischen und organisatorischen Maßnahmen nach den 5 und 6 LDSG. 2.5 Auswertungen Es werden keine Auswertungen mit dem Zweck der Leistungs- oder Verhaltenskontrolle einzelner Beschäftigter vorgenommen. Alle Auswertungen werden nach dem Grundsatz der Datensparsamkeit gestaltet. Es wird unterschieden zwischen nicht standardisierten Auswertungen, Standardauswertungen und Protokolldaten. Nicht standardisierte Auswertungen Nicht standardisierte Auswertungen werden nur zur Umsetzung der gesetzlichen und tarifvertragliehen Regelungen nach Maßgabe der 85 bis 92 des LBG (Personalverwaltung, Personalwirtschaft) vorgenommen. Sie sind vor der Erstellung unter Angabe des Zwecks zu begründen. Die zentrale Stelle achtet darauf, dass die zuständigen Mitbestimmungsgremien bzw. die Spitzenorganisationen der Gewerkschaften beteiligt wurden. Es ist technisch und organisatorisch sichergestellt, dass die personalverwaltenden Dienststellen keine Auswertungen frei konfigurieren. Diese Funktionalität steht nur der fachlichen Leitstelle zur Verfügung. Die zentrale Stelle dokumentiert und veröffentlicht die durchgeführten nicht standardisierten Auswertungen im Intranet. Standardauswertungen Zweck und Inhalt der mit dem IT-Verfahren KaPers zulässigen Standardauswertungen werden in der Dokumentation (2.1) beschrieben. Die zulässige Nutzung dieser Standardauswertungen richtet sich nach den übertragenen Aufgaben und sonstigen Schutz- und Nutzungsvorschriften und wird im Berechtigungskonzept (2.6) abschließend abgebildet. Protokolldaten Protokolldaten, die im Rahmen der Durchführung der technischen und organisatorischen Maßnahmen ( 5 und 6 LDSG) gespeichert oder in einem automatisierten Verfahren gewonnen werden, werden nicht mit dem Zweck einer individuellen Leistungs- und Verhaltenskontrolle der Anwenderinnen und Anwender des Verfahrens ausgewertet. 4

2.6 Berechtigungskonzept Die im IT-Verfahren KoPers definierte Berechtigungssteuerung wird in einem Berechtigungskonzept vollständig und verständlich beschrieben. Das Konzept ist Teil der Dokumentation (2.1 ). Rollen und Berechtigungen im Verfahren werden nur in dem Umfang vergeben, der zur Erfüllung der jeweiligen Aufgabe erforderlich ist. Die von der zuständigen Personalvertretung Bestimmten sind hierbei zu berücksichtigen. Hat ein Nutzer verschiedenartige Aufgaben, müssen ihm hierfür unterschiedliche Rollen im Verfahren zugewiesen werden. 3. Datenschutz-Behördenaudit des ULD 43 Abs. 2 LDSG eröffnet die Möglichkeit, die technischen und organisatorischen Sicherheitsmaßnahmen bei der Verarbeitung personenbezogener Daten sowie die datenschutzrechtliche Zulässigkeit der Datenverarbeitung im Rahmen eines Datenschutz Behördenaudits3 durch das Unabhängige Landeszentrum für Datenschutz (ULD) überprüfen und beurteilen zu lassen. Die zentrale Stelle gern. Landesverordnung über die zentrale Stelle für das Verfahren KaPers wird von dieser Möglichkeit Gebrauch machen. Im Auditverfahren werden die ausschließlich automatisiert durchgeführten Kernverfahren "Abrechnung" und "Verwaltung" des IT-Verfahrens KaPers betrachtet. Die Spitzenorganisationen der Gewerkschaften werden über das Audit informiert sowie in Abstimmung mit dem ULD in geplante Prüfungsschritte einbezogen. Erforderliche Unterlagen werden durch die zentrale Stelle zur Verfügung gestellt. Damit wird bezweckt, dass die aus Sicht der Spitzenorganisationen erforderlichen Präzisierungen in der Ausgestaltung der Dokumentations- bzw. Verfahrensanforderungen berücksichtigt werden. Diese Präzisierungen in der Ausgestaltung der Dokumentations- bzw. Verfahrensanforderungen können bis zu einem vereinbarten Zeitpunkt vor Beginn des Datenschutz-Behördenaudits eingebracht werden. Die im Auditverfahren durch das ULD erstellten Berichte werden den Spitzenorganisationen zur Verfügung gestellt und bei Bedarf diskutiert. Sollte das Audit nicht erfolgreich verlaufen oder wird die Durchführung des Auditverfahrens vorzeitig beendet, werden die Verhandlungen mit den Spitzenorganisationen der Gewerkschaften erneut aufgenommen mit dem Ziel, Regelungen zur Verhinderung unzulässiger Leistungs- und Verhaltenskontrolle und zur Sicherstellung der datenschutzrechtlichen Anforderungen an das neue IT-Verfahren zu vereinbaren. 3 Einzelheiten zum Verfahren enthalten die "Hinweise des Unabhängigen Landeszentrums für Datenschutz zur Durchführung eines Datenschutz-Behördenaudits nach 43 Abs. 2 LDSG" 5

4. Vorgehen bei der Einführung und Änderung des Verfahrens, Wiederholung des Audits Die Spitzenorganisationen der Gewerkschaften werden bei der Einführung und bei wesentlichen Änderungen im Verfahren im Rahmen der datenschutzrechtlich gebotenen Vorabkontrolle beteiligt. Das Zertifikat des ULD gilt für den Zeitraum von drei Jahren. Es ist vorgesehen, das Audit anschließend und entsprechend regelmäßig zu wiederholen (Rezertifizierung). Zu diesem Zeitpunkt zusätzlich eingeführte Verfahrensmodule (z. B. Reisemanagement) sollen dabei einbezogen werden. Die Spitzenorganisationen der Gewerkschaften werden den Regelungen dieser Vereinbarungen entsprechend Punkt 3 einbezogen. 5. Schlussbestimmungen Diese Ergänzungsvereinbarung tritt mit Unterzeichnung in Kraft. 6

~ ~ Harnburg und Kiel, den... ~... :.... r' Der Ministerpräsident des Landes Schleswig-Holstein - Staatskanzlei - Beauftragter der Landesregierung für Zentrale IT-, Organisations- und Personalentwicklung ~ r;... ~.. ~ Deutscher Gewerkschaftsbund - Landesbezirk Nord - '/ / :.-/ (, F V I... "(_'...,... Deutscher Beamtenbund - Landesbund Schleswig-Holstein -... fi...\.c... r~ :.-r :ft.~... 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback