Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG)



Ähnliche Dokumente
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Systemsicherheit

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Datenschutz und Schule

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Datenschutz-Vereinbarung

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

Verfahrensbeschreibung gem. 8 des Niedersächsischen Datenschutzgesetzes (NDSG)

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Vernichtung von Datenträgern mit personenbezogenen Daten

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Leseprobe zum Download

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

D i e n s t e D r i t t e r a u f We b s i t e s

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

IT-Compliance und Datenschutz. 16. März 2007

In der Kopfzeile des Formulars ist der Name der automatisierten Verarbeitung, für die die Beschreibung erstellt wird, anzugeben.

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

BYOD Bring Your Own Device

Datenschutz eine Einführung. Malte Schunke

Landesbeauftragte für Datenschutz und Informationsfreiheit. Freie Hansestadt Bremen. Orientierungshilfe zur Erstellung eines Datenschutzkonzeptes

Verfahrensverzeichnis

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Behörde / öffentliche Stelle

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Grundlagen des Datenschutzes und der IT-Sicherheit

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Gesetzliche Grundlagen des Datenschutzes

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Datenschutz im Spendenwesen

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

DATENSCHUTZERKLÄRUNG

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Hinweise, Checkliste und Ablauf zur Vorabkontrolle nach 7 Abs. 6 Hessisches Datenschutzgesetz

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Technische und organisatorische Maßnahmen der

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Einführung in die Datenerfassung und in den Datenschutz

Meine Daten. Mein Recht

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Einführung in den Datenschutz

Der Datenschutzbeauftragte

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Erstellung eines Verfahrensverzeichnisses aus QSEC

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Gründe für ein Verfahrensverzeichnis

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Datenschutz der große Bruder der IT-Sicherheit

Checkliste: Technische und organisatorische Maßnahmen

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Niedersächsisches Datenschutzgesetz

Das Datenschutzregister der Max-Planck-Gesellschaft

Öffentliches Verfahrensverzeichnis

Benutzerverwaltung Business- & Company-Paket

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH

Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Rechtlicher Rahmen für Lernplattformen

Was Kommunen beim Datenschutz beachten müssen

Die integrierte Zeiterfassung. Das innovative Softwarekonzept

Datenschutz-Unterweisung

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

3. Verbraucherdialog Mobile Payment

Arbeitnehmerdatenschutz / Leistungs- und Verhaltenskontrollen

Vereinbarung zur Sicherstellung des Schutzauftrages bei Kindeswohlgefährdung gem. 8a SGB VIII

Datenschutzvereinbarung

Jahresbericht Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Transkript:

Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Nach 8 des Niedersächsischen Datenschutzgesetzes (NDSG) muss jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, in einer Verfahrensbeschreibung verschiedene gesetzlich festgelegte Angaben zu dem Verfahren machen. Die Verfahrensbeschreibung ist von der Daten verarbeitenden Stelle zu erstellen und dem Datenschutzbeauftragten zur Übernahme in das Verfahrensverzeichnis zu übergeben. Der Datenschutzbeauftragte macht auf Antrag Teile des Verfahrensverzeichnis für jedermann in geeigneter Weise zugänglich. Das Formular soll die Verfahrensbeschreibungen systematisieren und vereinfachen. Allgemeine Angaben Im Regelfall fertigt jede Daten verarbeitende Stelle für jedes von ihr eingeführte Verfahren eine gesonderte Verfahrensbeschreibung an, Eine Sammelbeschreibung für eine Mehrzahl von Verfahren kann erstellt werden, wenn die Angaben gleich sind. Eine Sammelbeschreibung kommt in Betracht, wenn a) innerhalb einer Stelle mehrere Benutzer gleiche oder gleichartige Verfahren nutzen (z. B. gleiche Anwendungen auf mehreren PC), b) mehrere Stellen bei einer Stelle gleiche Verfahren nutzen (z. B. das Einwohnerwesen in kommunalen Datenzentralen für mehrere Gemeinden, das ALB der Katasterämter). Wird die Sammelbeschreibung nicht von der Daten verarbeitenden Stelle selbst erstellt, so sind in der Verfahrensbeschreibung der Auftragnehmer und in einer zusätzlichen Liste alle Daten verarbeitenden Stellen anzugeben. Zu 1. Anzeigende Stelle Die Verfahrensbeschreibung ist von der Stelle zu unterschreiben, die die Verfahrensbeschreibung erstellt hat. Wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen und die Verfahrensbeschreibungen deshalb dem Niedersächsischen Datenschutzbeauftragten nach 22 Abs. 5 NDSG vorgelegt werden müssen, geben Sie bitte für eventuelle Rückfragen auch Name, Organisationseinheit und Telefonnummer der oder des internen Datenschutzbeauftragten an. Zu 2. Bezeichnung des Verfahrens Bei der Verfahrensbezeichnung ist ein möglichst sprechender" Name zu verwenden, z. B. Schülerverwaltung oder Vermieterverwaltung. Bitte geben Sie auch das Verfahren (Programmname) an, mit dem die Daten verarbeitet werden. Verknüpfungen zu anderen Verfahren sind dann anzugeben, wenn mithilfe der Verknüpfung automatische Suchvorgänge oder automatische Veränderungen von anderen Verfahren aus oder in anderen Verfahren durchgeführt werden. Zu 3. Bezeichnung der Daten verarbeitenden Stelle Daten verarbeitende Stelle ist jede Stelle, die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Wenn die Daten ausschließlich von dieser Stelle verarbeitet werden, kreuzen Sie dies an, sonst müssen alle Auftragnehmer mit Namen und Anschrift, sowie der Art der Datenverarbeitung angegeben werden.

Zu 4. Zweckbestimmung des Verfahrens Der Zweck der Datenverarbeitung ist so präzise wie möglich zu benennen. Zu 5. Rechtsgrundlage der Verarbeitung Nach 4 Abs. 1 NDSG ist die Verarbeitung personenbezogener Daten nur zulässig, wenn das NDSG oder eine andere Rechtsvorschrift sie erlaubt oder der Betroffene, d.h. die Person, deren Daten verarbeitet werden sollen, eingewilligt hat. In der Verfahrensbeschreibung ist daher zu dokumentieren, ob die Verarbeitung aufgrund einer Einwilligung oder aufgrund einer Rechtsvorschrift erfolgt. Erfolgt die Verarbeitung aufgrund einer Rechtsvorschrift, so ist sie zusammen mit den einschlägigen Paragraphen präzise anzugeben. Die Hochschule verarbeitet personenbezogene Daten nach 17 des Niedersächsischen Hochschulgesetzes (NHG), sowie gegebenenfalls nach 1. besonderer Rechtsvorschrift über die Zulässigkeit der Datenverarbeitung (z. B. 22 NMG), 2. einschlägiger Vorschrift des NDSG (z. B. 10 Abs. 1) oder 3. Einwilligung der Betroffenen ( 4 NDSG). Zu 6. Kreis der Betroffenen Betroffene sind die natürlichen Personen, deren Daten mit Hilfe des automatisierten Verfahrens verarbeitet werden. Der Kreis der Betroffenen ist so präzise wie möglich zu bezeichnen. So wäre etwa die Angabe "natürliche Personen" bei einem computergestützten Ausleihsystem einer Bibliothek viel zu allgemein. In diesem Fall lässt sich der Kreis der Betroffenen wesentlich genauer angeben, z. B. "alle Personen, die einen Leseausweis haben". Zu 7. Fristen für die Sperrung und Löschung der Daten Wer personenbezogene Daten mit Hilfe eines automatisierten Verfahrens verarbeitet, muss - beginnend mit der erstmaligen Speicherung von Daten - festlegen, wann welche Datenarten zu sperren oder zu löschen sind. Z. B.: "Löschung nach fünf Jahren aufgrund von...". Zu 8.1 Art der gespeicherten Daten Die Art der gespeicherten Daten ist listenmäßig aufzuführen (z. B. Name, Anschrift, Geburtsdatum). Hier geht es nicht darum, jedes einzelne im automatisierten Verfahren gespeicherte Datenfeld aufzuführen. Vielmehr sind sachlich zusammengehörende Datenfelder zu sinnvollen Gruppen zusammenzufassen und diese Datenarten dann allgemein verständlich zu benennen. Einzelmerkmale wie etwa "Postleitzahl", "Wohnort", "Straße" und "Hausnummer" können dabei zu einem Sammelmerkmal, in diesem Falle "Postanschrift", zusammengefasst werden. Zu 8.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung Anzukreuzen ist, welche Daten von welcher Stelle übermittelt worden sind bzw. welche Daten an welche Stelle regelmäßig übermittelt werden (ggf. auf gesondertem Blatt fortzusetzen). Zu 9. Angaben zu dem Verfahren nach Nr. 2 Bitte geben Sie hier die Bezeichnung des Verfahrens ein zweites Mal an, weil die Seiten der Anlage der Öffentlichkeit nicht zugänglich gemacht werden. Zu 11. Art der Geräte Unter Betriebssystem" reichen Angaben ohne exakte Versionsnummern wie z. B. MVS, BS 2000, Novell Netware, Windows NT, Linux. Bei vernetzten APC ist das Netzwerk-Betriebssystem ggf. zusätzlich anzugeben.

Zu 13. Verfahren zur Sperrung, Löschung, Auskunftserteilung Es ist anzugeben, ob Sperrung und Löschung manuell von Bediensteten (z. B. durch Vernichtung von Disketten oder durch Eingabe eines Löschbefehls) oder automatisch von selbstprüfenden Programmen durchgeführt werden. Zu 14. Technische und organisatorische Angaben nach 7 NDSG Alle Angaben beziehen sich nur auf die Geräte, mit denen das Verfahren genutzt wird. Für Arbeitsplätze in vernetzten Systemen kann auf die hierfür gesondert erstellte Beschreibung gleichartiger technischer und organisatorischer Maßnahmen verwiesen werden, soweit diese bereits vorliegt. Zugriffsberechtigte können sowohl Mitarbeiter der öffentlichen Stelle als auch Dritte sein. Nicht notwendig ist, die Zugriffsberechtigten namentlich aufzuführen. Dies würde einen hohen Änderungsbedarf des Verfahrensverzeichnisses nach sich ziehen. Vielmehr können die Zugriffsberechtigten auch funktionsbezogen aufgeführt werden. Eine Bezeichnung, wie z. B. "Mitarbeiter der Personalabteilung", sollte dabei nicht verwendet werden, da sie offen lässt, ob alle oder nur bestimmte Mitarbeiterinnen und Mitarbeiter dieser Abteilung zugriffsberechtigt sind. Empfehlenswert sind stattdessen Bezeichnungen wie z. B. "Alle Mitarbeiter der Personalabteilung, die Anträge auf... bearbeiten". Sofern die zugriffsberechtigten Mitarbeiter auf unterschiedliche Datenarten zugreifen können, sollte auch dies erkennbar sein.

Bezogene Gesetzestexte NDSG 4 Zulässigkeit der Datenverarbeitung (1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn 1. dieses Gesetz oder eine andere Rechtsvorschrift dies vorsieht oder 2. die Betroffenen eingewilligt haben. 7 Technische und organisatorische Maßnahmen (1) Öffentliche Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen. Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen. (2) Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, 1. Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Zugangskontrolle), 2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle), 3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle), 4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle), 5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle), 6. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit an wen übermittelt worden sind (Übermittlungskontrolle), 7. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle), 8. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 9. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Auftraggeber verarbeitet werden können (Auftragskontrolle), 10. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), 11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). (3) Ein automatisiertes Verfahren darf nur eingesetzt oder wesentlich geändert werden, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können, durch Maßnahmen nach Absatz 1 wirksam beherrscht werden können. Die nach Satz 1 zu treffenden Feststellungen sind schriftlich festzuhalten. (4) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. (5) Personenbezogene Daten, die in Akten oder in anderer Weise ohne Einsatz automatisierter Verfahren verarbeitet werden, sind insbesondere vor dem Zugriff Unbefugter zu schützen. 8 Verfahrensbeschreibung (1) Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung festzulegen: 1. die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung, 2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung, 3. den Kreis der Betroffenen, 4. die Art regelmäßig zu übermittelnder Daten, deren Empfänger, in den Fällen des 6 auch die

Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten, 5. die Absicht, Daten in Staaten nach 14 zu übermitteln, 6. Fristen für die Sperrung und Löschung der Daten, 7. die technischen und organisatorischen Maßnahmen nach 7, 8. die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung. (2) Satz 1 gilt nicht, wenn die Daten nur vorübergehend und zu einem anderen Zweck als dem der inhaltlichen Auswertung gespeichert werden, sowie für Register nach 8 a Abs. 4 und Verarbeitungen nach 8 a Abs. 5 Satz 1. 8 a Behördliche Datenschutzbeauftragte (4) Wird in einer öffentlichen Stelle ein Register geführt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse geltend machen, zur Einsichtnahme offen steht, so ist Absatz 1 nur anzuwenden, soweit in dieser öffentlichen Stelle andere automatisierte Verarbeitungen stattfinden. (5) Die Landesregierung wird ermächtigt, durch Verordnung die Pflicht zur Bestellung einer Beauftragten oder eines Beauftragten für den Datenschutz einzuschränken, soweit in einer öffentlichen Stelle automatisierte Verarbeitungen solche Daten betreffen, bei denen eine Beeinträchtigung des Rechts auf informationelle Selbstbestimmung nicht zu erwarten ist. 10 Speicherung, Veränderung, Nutzung; Zweckbindung (1) Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist und die Daten für diese Zwecke erhoben worden sind. Erlangt die öffentliche Stelle Kenntnis von personenbezogenen Daten, ohne diese erhoben zu haben, so darf sie diese Daten nur für Zwecke verarbeiten, für die sie diese Daten erstmals speichert. 22 Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des Landesbeauftragten (5) Beschreibungen nach 8 sind der Landesbeauftragten oder dem Landesbeauftragten zu übersenden, wenn die Verarbeitungen zur Erfüllung 1. der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder 2. polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen. NHG 17 Verarbeitung personenbezogener Daten (1) Die Hochschulen dürfen von Studienbewerberinnen und Studienbewerbern und Mitgliedern sowie Angehörigen, die nicht in einem Dienst- oder Arbeitsverhältnis z u ihr stehen, diejenigen personenbezogenen Daten verarbeiten, die für die Einschreibung, die Teilnahme an Lehrveranstaltungen und Prüfungen, die Nutzung von Hochschuleinrichtungen sowie die Kontaktpflege mit ehemaligen Hochschulmitgliedern erforderlich und durch Ordnungen festgelegt sind. Durch Ordnungen der Hochschule kann die Pflicht zur Verwendung von mobilen Speichermedien begründet werden, die der automatischen Datenerfassung oder -verarbeitung insbesondere für Zwecke der Zutrittskontrolle, Identitätsfeststellung, Zeiterfassung, Abrechnung oder Bezahlung dienen. (2) Die Hochschulen können von ihren Mitgliedern und Angehörigen personenbezogene Daten auch zur Beurteilung der Bewerbungssituation von Absolventinnen und Absolventen, der Lehr- und Forschungstätigkeit, des Studienangebots sowie des Ablaufs von Studium und Prüfung verarbeiten. Hierfür können durch Ordnungen der Hochschule Auskunftspflichten begründet und Erhebungen ohne Einwilligung der Betroffenen zugelassen werden. Dabei sind der Zweck, der Inhalt und Umfang der Auskunftspflicht, die Erhebungsmerkmale und das Erhebungsverfahren festzulegen.

Die Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren. Das Fachministerium kann zu hochschulstatistischen Zwecken Maßnahmen nach Satz 1 verlangen und dabei zur Sicherstellung der hochschulübergreifenden Vergleichbarkeit Vorgaben zum Erhebungs- und Aufbereitungsprogramm sowie zu den einzelnen Erhebungsmerkmalen machen. (3) Die Hochschulen dürfen die Daten nach den Absätzen 1 und 2 auch zur Erfüllung ihrer übrigen Aufgaben nach 3 sowie zur Evaluation nach 5 und zur Akkreditierung nach 6 Abs. 2 verarbeiten. (4) Die Hochschulen können die für die Bewilligung und Abwicklung eines Studiendarlehens nach 11a notwendigen personenbezogenen Daten an die an der Durchführung dieser Förderaufgabe beteiligten Kreditinstitute zur Verarbeitung weiterleiten. Zu diesem Zweck kann durch Vereinbarung zwischen dem Land und den an der Durchführung der Förderaufgabe beteiligten Kreditinstituten auch ein automatisiertes Abrufverfahren eingerichtet werden.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback