Verfahrensverzeichnis

Ähnliche Dokumente
Behörde / öffentliche Stelle

Verfahrensverzeichnis

Verfahrensverzeichnis nach 6 HDSG

Grundlagen des Datenschutzes

Datenschutz in Schulen

Datenschutz-Verfahrensverzeichnis Schuljahr 2007/08

So machen Sie sich und Ihre Website fit für die neue DSGVO!

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1)

Verfahrensverzeichnis

Verfahrensverzeichnis

Nr Verfassungs-, Verwaltungs- und Verfahrensrecht Datenschutzrecht Datenschutz im öffentlichen Bereich

Verfahrensbeschreibung gem. 8 des Niedersächsischen Datenschutzgesetzes (NDSG)

Verfahrensverzeichnis nach 6 HDSG

Verfahrensverzeichnis. Schule

Verfahrensbeschreibung

Verfahrensverzeichnis gemäß 7 LDSG (Stand )

AUFNAHMEANTRAG SC Wildpark Messel 1913 e.v. Stand:

Remote Support Datenschutz-

IN DEN SCHMUCKWELTEN PFORZHEIM.

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Bundesdatenschutzgesetz. E-Commerce Konferenz

SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Grundlagen des Datenschutzes

MPE-Garry GmbH. Öffentliches Verfahrensverzeichnis, gemäß 4g Abs. 2 i.v.m. 4e Nr. 1-8 BDSG. 13 April 2015 Verfasst von: Kilian Bauer

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Datenschutzrechtliche Bewertung der Wearables

Datenschutzrechtliche Bewertung der Wearables

Informationsschreiben nach Art. 13 DSGVO bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Behörde / öffentliche Stelle

Datenschutz im Verein

Verfahrensverzeichnis gemäß 7 LDSG (Stand )

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

SerNet. Das Datenschutzmodul - Verzeichnis der Verarbeitungstätigkeiten mit verinice nach DS-GVO

Einverständniserklärung zur Verarbeitung personenbezogener Daten für die Härtefallkommission des Landes Schleswig-Holstein

Datenschutz in the small

Datenschutz & Datensicherheit

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Die Europäische Datenschutz- Grundverordnung. Schulung am

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Anleitung zum Ausfüllen des Formulars

Datenschutzreform 2018

EU-Datenschutz- Grundverordnung

Datenschutz NEU EU-Datenschutz-Grundverordnung / Datenschutz-Anpassungsgesetz

Grundlagen des Datenschutzes. Musterlösung zur 3. Übung im SoSe 2008: Mediendatenschutz & Kundendatenschutz (2)

19-21 Zweiter Unterabschnitt Rechte des Betroffenen

Die Informationspflichten der Verantwortlichen

Datenschutzkonzept. der Alfred Hermann GmbH & Co. KG

Öffentliches Verfahrensverzeichnis nach 4 g Absatz 2 BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

MARMIND. Datenschutzbestimmungen

Datenschutzhinweise. Die nachfolgenden Datenschutzhinweise geben einen Überblick über die Erhebung und Verarbeitung Ihrer Daten.

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

EU-Datenschutz-Grundverordnung

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

DATENSCHUTZERKLAERUNG DATENSCHUTZERKLÄRUNG FÜR DEN DIENST PTV MAP&GUIDE INTERNET

Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Datenschutzerklärung Apps

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Formular Meldung nach 4d BDSG

Verpflichtungserklärung nach 5 des Bundesdatenschutzgesetzes (BDSG)

Öffentliches Verfahrensverzeichnis DIE LINKE. Bundestagsfraktion. Erstellt am

Verfahrensverzeichnis gemäß 7 LDSG

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen - Frau Bettina Ilgner - August-Schanz-Straße Frankfurt am Main

Bearbeitungshinweise Datenverarbeitungsverfahren

Workshop Datenschutz - ERFA-Kreis

Information zur Datenverarbeitung gem. Art. 13 und 14 DSGVO

EINWILLIGUNG IN DIE DATENVERARBEITUNG

Verfahrensbeschreibung gemäß 9 HmbDSG

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

Berater/in für die Anerkennungs- und Qualifizierungsberatung beim Türkischen Bund in Berlin-Brandenburg (TBB)

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Verfahrensverzeichnis nach 6 HDSG

Verordnung zur Gewährleistung des Datenschutzes beim Fundraising in der Bremischen Evangelischen Kirche (Datenschutzverordnung Fundraising - DSVO.

DATENSCHUTZERKLÄRUNG. 1 Allgemeines. 2 Persönliche Daten. 3 Informationen über Cookies. 4 Rechte der betroffenen Person

Datenschutz in der Selbstständigkeit. Was muss man beachten?

Newsletter EU-Datenschutz-Grundverordnung (Merkblatt Nr. 8)

Hinweise zum Datenschutz

Datenschutz und IT-Sicherheit an der UniBi

Beitrittserklärung. für das Anwesen: Vor- und Zuname:... Geburtsdatum: Telefon/Telefax: Wohnanschrift:

Verfahrensverzeichnis

Verfahrensverzeichnis nach 6 HDSG

Newsletter EU-Datenschutz-Grundverordnung Nr. 8 Betroffenenrechte

Datenschutzerklärung für das Kundenportal der Kommunale Wasserwerke Leipzig GmbH. 1 Grundsatz, Änderungsvorbehalt. 2 Personenbezogene Daten

Transkript:

Der Datenschutzbeauftragte Verfahrensverzeichnis Zur öffentlichen Einsichtnahme nach 8 Abs. 2 Satz 1 DSG NRW elektronisch generiertes Dokument <-> PDF wurde erstellt am: 26.03.2010 <-> bearbeitet am 07.04.2010 Datenverarbeitende Stelle: Molekularbiologisches Zentrallabor (MZL) beim Biologisch- Medizinischen Forschungszentrum (BMFZ) der HHU Düsseldorf Verfahrensbezeichnung: MZL Auftragsabwicklung und Datenbank Nr. der Verfahrensbeschreibung: 2009/355/54 aktuelle Version: 4 Dieser Auszug der Dokumentation des Verfahrens ist für die Öffentlichkeit bestimmt ( 8 Abs. 1 Satz 1 DSG NRW) und wird in der Liste der Verfahrensverzeichnisse beim Datenschutzbeauftragten der Heinrich-Heine-Universität Düsseldorf geführt. 1. Name und Anschrift der datenverarbeitenden Stelle ( 3 Abs. 3 DSG NRW, 2 Abs. 2 DSG NRW) 1.1 Name und Anschrift: Name: Heinrich-Heine-Universität Düsseldorf Strasse: Moorenstr. 5 Plz: 40225 Ort: Düsseldorf Telefon: 0211-81 13165 Fax: 0211-81 11922 E-Mail: koehrer@uni-duesseldorf.de 1.2 Organisationskennziffer: Dezernat/Organisation: Amt / Institut: ggf. Sachgebiet: Biologisch-Medizinisches Forschungszentrum (BMFZ) Molekularbiologisches Zentrallabor (MZL) DNA-Analytik 1.3 Ersteller/in des Verfahrensverzeichnisses: Karl Köhrer angeordnet durch Leiter/in: - 1.4 Findet Auftragsdatenverarbeitung gem. 11 DSG NRW statt (Vertrag)?: ja Seite 1 von 7

1.5 Angaben zur Auftragsdatenverarbeitung / Name u. Anschrift des Auftragnehmers, sowie Angaben dazu, - welche Daten technisch gespeichert werden und - welche Bearbeitungsvorgänge durchgeführt werden. Die Finanzabteilung (Dezernat 2) des Universitätsklinikums der HHUD ist für die finanzielle Abwicklung der erbrachten Dienstleistungen zuständig. Ein Kooperationsvertrag ist in Vorbereitung. Name und Anschrift: Universitätsklinikum Düsseldorf, D 02 Finanzdezernat Dezernatsleiter: Herr Hans-Dieter Weigardt Moorenstr. 5, 40225 Düsseldorf Zur finanztechnischen Abwicklung werden der Finanzabteilung Kopien der erstellten Rechnung in Papierform zusammen mit den Auftragsunterlagen (z.b. Blockzettel mit den Informationen zum Auftrag) zugeschickt. Parallel dazu erhält die Finanzabteilung eine Zusammenstellung aller Rechnungsdaten (Arbeitsgruppe, Ansprechpartner, Kostenstelle, Blockzettelnummer, Auftragsnummer, Rechnungsbetrag, Abrechnungsmonat) in Form einer Excel-Liste per Email. Die Finanzabteilung veranlasst dann bei internen Auftraggebern eine entsprechende Umbuchung auf das Konto des MZL. Bei Rechnungen an externe Kunden überwacht sie den Zahlungseingang und leitet gegebenenfalls ein Mahnverfahren ein. 2. Bezeichnung, Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung 2.1 Bezeichnung des Verfahrens (Abkürzung + vollständiger Name = eindeutige Zuordnung) Der Verfahrensname muss eine eindeutige Zuordnung der Beschreibung zum entsprechenden Verfahren erlauben und die Gefahr der Verwechslung mit anderen Verfahren ausschliessen. Bestehen Verknüpfungen zu anderen Verfahrensdateien? "MZL Auftragsabwicklung und Datenbank" Es bestehen keine Verknüpfungen zu anderen Verfahrensdateien. 2.2 Zweckbestimmung (Der Zweck der Datenverarbeitung ist so präzise wie möglich zu benennen) Nach 4 Abs. 1 DSG NRW ist die Verarbeitung personenbezogener Daten nur zulässig, wenn das Datenschutzgesetz oder eine andere Rechtsvorschrift sie erlaubt oder die Person, deren Daten verarbeitet werden sollen, eingewilligt hat. Das Molekularbiologische Zentrallabor (MZL) führt für interessierte Personen/Arbeitsgruppen an der Heinrich-Heine-Universität, zum Teil aber auch für interessierte externe Auftraggeber DNA-Analysen durch. Zur Auftragsabwicklung (Probenbearbeitung und Kontakt zum Auftraggeber) und zur Rechnungserstellung werden Kunden und Probendaten erhoben. Seite 2 von 7

2.3 Rechtsgrundlage der Datenverarbeitung ist präzise anzugeben (spezielle Rechtsvorschrift oder Einwilligung gem. 4 DSG NRW) (ggf. nach Art der Datenverarbeitung unterscheiden - unmittelbaren Zusammenhang mit dem Zweck., z.b. Personaldaten, LBG NRW, BAT, TVöD, DSG NRW, BetrVG, GDSG NRW, StGB 103) Die "Datenschutzerklärung und Einwilligung des Molekularbiologischen Zentrallabors" (siehe Anlage) stellt die Grundlage zur Erhebung personenbezogener Daten dar. In dieser Datenschutzerklärung werden die Betroffenen vor der Erhebung der Daten über die Art, den Umfang und den Zweck sowie über ihre Rechte informiert. Erst wenn die Betroffenen ihr Einverständnis erklären, wird mit der Datenverarbeitung begonnen. 2.4 Werden automatisierte Einzelentscheidungen getroffen (z. B. Beurteilungen "29 Abs. 7 DSG NRW, 6a BDSG")? Beurteilungen dürfen nicht allein auf Informationen gestützt werden, die unmittelbar durch automatische Datenverarbeitung bekommen werden. Automatisierte Einzelentscheidungen sind nur zulässig, wenn der Betroffene vor der Entscheidung die Möglichkeit hat, seine persönlichen Interessen geltend zu machen. Nein 2.5 Gemeinsame Verfahren - Teilnehmer Gemeinsame Verfahren - Verbunddateien ( 4a DSG NRW) Nein 2.6 Gemeinsame Verfahren - Aufgabe der Teilnehmer Nein 3. Art der gespeicherten Daten Bei der Bildung von Sammelmerkmalen ist darauf zu achten, dass diese noch aussagekräftig bleiben! Handelt es sich um besondere sensitive Daten gem. 4 Abs. 3 DSG NRW (Erklärung siehe Hilfe. Bitte begründen Sie die datenschutzkonforme Verarbeitung der personenbezogenen Daten.)? Art der Daten sensible Daten Namensangaben (Anrede, Vorname, Nachname): Kontaktdaten (Dienstadresse, Arbeitsgruppe, Telefon, Email): Kostenstelle (zur internen Verrechnung/Umbuchung): Textfeld für Zusatzinformationen (freiwillig): 4. Schutzbedarf und Grundwerte Bitte ordnen Sie Ihre Daten in dem Eingabefeld unter 4.1 einer der u.a. Schutzstufen zu (Beispiele siehe Tabelle 1 und 2). Die Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität werden u.a. bedroht durch technisches Versagen, vorsätzliche Handlungen, Fahrlässigkeit oder Unkenntnis. 1. Schritt: In einer qualitativen Bewertung werden die Gefährdung der Grundwerte mit einer 3-stufigen Skala bewertet: - normal, - hoch, - sehr hoch Seite 3 von 7

2. Schritt: Ordnen Sie nun die passenden Schutzstufen zu und beschreiben Sie die Gefahren. Der Schutzbedarf der drei Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit wird getrennt ermittelt und bleibt getrennt stehen. 4.1 Risikoabschätzung In einer Risikobewertung werden der Schutzbedarf (Bundesamt für Sicherheit in der Informationstechnik = BSI) und die angenommenen Bedrohungen zusammengeführt. Abhängig von der Schutzstufenklassifizierung sind technische und organisatorische Maßnahmen unterschiedlicher Regelungstiefe zu beschreiben, die nach Einschätzung der datenverarbeitenden Stelle (Fachbereich) geeignet sind, den Schadensfall zu vermeiden bzw. die Schadenshöhe zu verringern. Vorstellbar ist, dass trotz der geplanten Maßnahmen ein Restrisiko verbleibt. Die datenverarbeitende Stelle hat dieses Restrisiko zu bewerten und ggf. als vertretbar zu beurteilen. Die meisten Verfahren zur Verarbeitung personenbezogener Daten können den Schutzstufen A bis C mit einem überwiegend NIEDRIGEN BIS MITTLEREN Schutzbedarf zugeordnet werden. Für diese Fälle sind die Grundschutzmaßnahmen des BSI ausreichend. Verfahren der Schutzstufen D und E (z. B. sensitive Daten nach 4 Abs. 3 DSG NRW - Sozialdaten, medizinische Daten, Personaldaten) erfordern weitergehende Maßnahmen, die unter besonderer Berücksichtigung der technischen, organisatorischen und personellen Gegebenheiten zu erarbeiten sind. Beurteilung der Schutzstufe nach BSI: Begründen Sie bitte die Schutzbedarfsfeststellung und zwar so, dass die getroffenen Entscheidungen nachvollzogen werden können. Als Beispiel dient die oben genannte Schutzstufentabelle 1. Datenart: Namensangaben (Anrede, Vorname, Nachname) Datenart: Kontaktdaten (Dienstadresse, Arbeitsgruppe, Telefon, Email) Datenart: Kostenstelle Datenart: Textfeld für freiwillige Zusatzinformationen Allgemeine Begründungen: Man kann von einer sehr geringen bis normalen Schutzbedarfskategorie ausgehen, weil: a) Die Konsequenzen aus Verstößen gegen Verträge, Vorschriften und Gesetze kaum zu Konventionalstrafen führen werden. b) Eine Beeinträchtigung des informationellen Selbstbestimmungsrechts durch den Einzelnen als tolerabel bezeichnet werden kann. c) Eine Beeinträchtigung der persönlichen Unversehrtheit nicht möglich scheint. Seite 4 von 7

5. Kreis der Betroffenen Es ist festzulegen, wer betroffen ist. Die Beschreibung sollte präzise erfolgen. Auch mehrere Personenkreise sind u. U. anzugeben. 1: Auftraggeber aus dem Universitätsklinikum Düsseldorf (UKD) 2: Auftraggeber aus der Heinrich-Heine-Universität (HHUD) 3: Externe Auftraggeber (nicht HHUD und nicht UKD) 6. Art regelmäßig zu übermittelnder Daten sowie deren Empfänger und Art und Herkunft regelmäßig empfangener Daten (Rechtsgrundlage: 9 DSG NRW) Zwei Fälle sind möglich: 1. Der automatisierte Abruf von Daten (automatisierte Direktabfrage, z.b. Online-Anschlüsse gem. 9 Abs. 1 bis 7 DSG NRW). 2. Regelmäßige Datenübermittlung ( außerhalb der automatisierten Direktabfrage, z.b. regelmäßige Datenübermittlung per DÜVO-Datenübermittlungsverordnung / Sozialversicherungsbeiträge an Krankenkassen gem. 9 Abs. 8 DSG NRW). Die Rechtsgrundlagen (entweder 9 Abs. 1-7 oder 9 Abs. 8 )sind jeweils anzugeben. Zusätzlich sind auch Angaben zur Datenerhebung und -übermittlung bzw. -weitergabe zu machen. 6.1 Art regelmäßig zu übermittelnder Daten sowie deren Empfänger (Drittstaaten sind gesondert unter Ziffer 11 anzugeben) 1: Im Falle einer Rechnungserstellung werden die Kundendaten (Anschrift, Kostenstelle, Auftragsnummer) benutzt und der Finanzabteilung des UKD zur administrativen Abwicklung (Rechnungswesen, Umbuchung) zur Verfügung gestellt. Auf Antrag des BMFZ werden anonymisierte Daten dem Vorstand des BMFZ zur Verfügung gestellt (siehe Datenschutzerklärung des MZL). 6.2 Art regelmäßig empfangener Daten sowie deren Herkunft 1: Namensangaben (Anrede, Vorname, Nachname) Diese Informationen werden bei der Registrierung von neuen Auftraggebern selbst in das Registrierformular eingetragen. 2: Kontaktdaten (Dienstadresse, Arbeitsgruppe, Telefon, Email) Diese Informationen werden bei der Registrierung von neuen Auftraggebern selbst in das Registrierformular eingetragen. 3: Kostenstelle (zur internen Verrechnung/Umbuchung) Diese Informationen werden bei der Registrierung von neuen Auftraggebern selbst in das Registrierformular eingetragen. 4: Angaben zur Probe (Bezeichnung, Konzentration, Größe, Reinheit, Sequenzierprimer, Schmelzpunkt des Primers) Seite 5 von 7

Diese Angaben zu den Proben, sowie freiwillige weitere Informationen zu der Art Probe und der durchzuführenden Analyse, machen registrierte Kunden online über ein Formular. In Ausnahmefällen (Sonderaufträge) senden die Auftraggeber die Angaben und Informationen zu den Proben per Email. Diese Probendaten werden dann von den Mitarbeitern des MZL in die MZL-Datenbank übernommen. 5: Textfeld für freiwillige Zusatzinformationen 10. Fristen für die Berichtigung, Sperrung und Löschung gem. ( 19 Abs. 1, 2 und 3 DSG NRW) Frist für die Berichtigung ( 19 Abs. 1 DSG NRW, 35 Abs. 1 BDSG): Nein, es gibt keine Möglichkeit zur automatisierten Löschung von Daten nach vorgegebenen Fristen. Frist für die Sperrung ( 19 Abs. 2 DSG NRW, 35 Abs. 3 und 4 BDSG, ggf. unterschiedliche Sperrfristen für einzelne Datenarten aufführen): Nach Auskunft unserer Innenrevision müssen allgemeine Daten nach dem HGB (Handelsgesetzbuch) 10 Jahre aufbewahrt werden, für Patientendaten besteht eine Aufbewahrungspflicht von 30 Jahren. Frist für die Löschung ( 19 Abs. 3 DSG NRW, 35 Abs. 2 BDSG, ggf. unterschiedliche Löschungsfristen für einzelne Datenarten aufführen): Nach 10 Jahren werden die erhobenen Daten der Kunden manuell gelöscht. Dies geschieht bei den jeweils zum Jahreswechsel anfallenden Arbeiten am Server und der MySQL-Datenbank mit einem einem SQL-Befehl. 11. Beabsichtigte Datenübermittlung in "Drittstaaten" ( 17 DSG NRW) 1: Nein 13. Abschliessende Bewertung des Fachbereichs 14. Ergänzungen (Gewährleistet das Verfahren die Rechte der Betroffenen auf Auskunft, Einsichtnahme, Widerspruch, Unterrichtung, Berichtigung, Sperrung und Löschung nach 5 DSG NRW? Bitte begründen Sie ihre Angaben.) Ja! Die Auftraggeber werden vor der Datenspeicherung über die Datenschutzerklärung des MZL informiert. Die Auftraggeber können jederzeit die in der Datenbank hinterlegten Angaben zum Auftraggeber einsehen und selbst ändern. Seite 6 von 7

Die gespeicherten personenbezogenen Daten werden auf Antrag der Auftraggeber gelöscht, sofern sie zur Wahrung berechtigter Interessen des MZL nicht mehr erforderlich sind. Der Zugang zu den hinterlegten Daten ist strikt geregelt und nur den unmittelbar beteiligten Mitarbeitern möglich. 15. Ergebnis Ergebnis der Vorabkontrolle durch den behördlichen/betrieblichen DSB Das Verfahren wird der Schutzstufe NORMAL zugeordnet! (X) Die technischen und organisatorischen Maßnahmen des Verfahrens sichern die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten des Betroffenen. (X) Das Restrisiko ist tragbar. ( ) Die technischen und organisatorischen Maßnahmen des Verfahrens sichern die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten der Betroffenen nur unzureichend. ( ) Es sind folgende Maßnahmen zum Schutz der Grundwerte zu ergreifen: Seite 7 von 7

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback