Ausfüllhinweise zum Formular Verfahrensbeschreibung gemäß 8 des Niedersächsischen Datenschutzgesetzes (NDSG) Nach 8 des Niedersächsischen Datenschutzgesetzes (NDSG) muss jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, in einer Verfahrensbeschreibung verschiedene gesetzlich festgelegte Angaben zu dem Verfahren machen. Die Verfahrensbeschreibung ist von der Daten verarbeitenden Stelle zu erstellen und dem Datenschutzbeauftragten zur Übernahme in das Verfahrensverzeichnis zu übergeben. Der Datenschutzbeauftragte macht auf Antrag Teile des Verfahrensverzeichnis für jedermann in geeigneter Weise zugänglich. Das Formular soll die Verfahrensbeschreibungen systematisieren und vereinfachen. Allgemeine Angaben Im Regelfall fertigt jede Daten verarbeitende Stelle für jedes von ihr eingeführte Verfahren eine gesonderte Verfahrensbeschreibung an, Eine Sammelbeschreibung für eine Mehrzahl von Verfahren kann erstellt werden, wenn die Angaben gleich sind. Eine Sammelbeschreibung kommt in Betracht, wenn a) innerhalb einer Stelle mehrere Benutzer gleiche oder gleichartige Verfahren nutzen (z. B. gleiche Anwendungen auf mehreren PC), b) mehrere Stellen bei einer Stelle gleiche Verfahren nutzen (z. B. das Einwohnerwesen in kommunalen Datenzentralen für mehrere Gemeinden, das ALB der Katasterämter). Wird die Sammelbeschreibung nicht von der Daten verarbeitenden Stelle selbst erstellt, so sind in der Verfahrensbeschreibung der Auftragnehmer und in einer zusätzlichen Liste alle Daten verarbeitenden Stellen anzugeben. Zu 1. Anzeigende Stelle Die Verfahrensbeschreibung ist von der Stelle zu unterschreiben, die die Verfahrensbeschreibung erstellt hat. Wenn die Verarbeitungen zur Erfüllung der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen und die Verfahrensbeschreibungen deshalb dem Niedersächsischen Datenschutzbeauftragten nach 22 Abs. 5 NDSG vorgelegt werden müssen, geben Sie bitte für eventuelle Rückfragen auch Name, Organisationseinheit und Telefonnummer der oder des internen Datenschutzbeauftragten an. Zu 2. Bezeichnung des Verfahrens Bei der Verfahrensbezeichnung ist ein möglichst sprechender" Name zu verwenden, z. B. Schülerverwaltung oder Vermieterverwaltung. Bitte geben Sie auch das Verfahren (Programmname) an, mit dem die Daten verarbeitet werden. Verknüpfungen zu anderen Verfahren sind dann anzugeben, wenn mithilfe der Verknüpfung automatische Suchvorgänge oder automatische Veränderungen von anderen Verfahren aus oder in anderen Verfahren durchgeführt werden. Zu 3. Bezeichnung der Daten verarbeitenden Stelle Daten verarbeitende Stelle ist jede Stelle, die personenbezogene Daten selbst verarbeitet oder durch andere im Auftrag verarbeiten lässt. Wenn die Daten ausschließlich von dieser Stelle verarbeitet werden, kreuzen Sie dies an, sonst müssen alle Auftragnehmer mit Namen und Anschrift, sowie der Art der Datenverarbeitung angegeben werden.
Zu 4. Zweckbestimmung des Verfahrens Der Zweck der Datenverarbeitung ist so präzise wie möglich zu benennen. Zu 5. Rechtsgrundlage der Verarbeitung Nach 4 Abs. 1 NDSG ist die Verarbeitung personenbezogener Daten nur zulässig, wenn das NDSG oder eine andere Rechtsvorschrift sie erlaubt oder der Betroffene, d.h. die Person, deren Daten verarbeitet werden sollen, eingewilligt hat. In der Verfahrensbeschreibung ist daher zu dokumentieren, ob die Verarbeitung aufgrund einer Einwilligung oder aufgrund einer Rechtsvorschrift erfolgt. Erfolgt die Verarbeitung aufgrund einer Rechtsvorschrift, so ist sie zusammen mit den einschlägigen Paragraphen präzise anzugeben. Die Hochschule verarbeitet personenbezogene Daten nach 17 des Niedersächsischen Hochschulgesetzes (NHG), sowie gegebenenfalls nach 1. besonderer Rechtsvorschrift über die Zulässigkeit der Datenverarbeitung (z. B. 22 NMG), 2. einschlägiger Vorschrift des NDSG (z. B. 10 Abs. 1) oder 3. Einwilligung der Betroffenen ( 4 NDSG). Zu 6. Kreis der Betroffenen Betroffene sind die natürlichen Personen, deren Daten mit Hilfe des automatisierten Verfahrens verarbeitet werden. Der Kreis der Betroffenen ist so präzise wie möglich zu bezeichnen. So wäre etwa die Angabe "natürliche Personen" bei einem computergestützten Ausleihsystem einer Bibliothek viel zu allgemein. In diesem Fall lässt sich der Kreis der Betroffenen wesentlich genauer angeben, z. B. "alle Personen, die einen Leseausweis haben". Zu 7. Fristen für die Sperrung und Löschung der Daten Wer personenbezogene Daten mit Hilfe eines automatisierten Verfahrens verarbeitet, muss - beginnend mit der erstmaligen Speicherung von Daten - festlegen, wann welche Datenarten zu sperren oder zu löschen sind. Z. B.: "Löschung nach fünf Jahren aufgrund von...". Zu 8.1 Art der gespeicherten Daten Die Art der gespeicherten Daten ist listenmäßig aufzuführen (z. B. Name, Anschrift, Geburtsdatum). Hier geht es nicht darum, jedes einzelne im automatisierten Verfahren gespeicherte Datenfeld aufzuführen. Vielmehr sind sachlich zusammengehörende Datenfelder zu sinnvollen Gruppen zusammenzufassen und diese Datenarten dann allgemein verständlich zu benennen. Einzelmerkmale wie etwa "Postleitzahl", "Wohnort", "Straße" und "Hausnummer" können dabei zu einem Sammelmerkmal, in diesem Falle "Postanschrift", zusammengefasst werden. Zu 8.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung Anzukreuzen ist, welche Daten von welcher Stelle übermittelt worden sind bzw. welche Daten an welche Stelle regelmäßig übermittelt werden (ggf. auf gesondertem Blatt fortzusetzen). Zu 9. Angaben zu dem Verfahren nach Nr. 2 Bitte geben Sie hier die Bezeichnung des Verfahrens ein zweites Mal an, weil die Seiten der Anlage der Öffentlichkeit nicht zugänglich gemacht werden. Zu 11. Art der Geräte Unter Betriebssystem" reichen Angaben ohne exakte Versionsnummern wie z. B. MVS, BS 2000, Novell Netware, Windows NT, Linux. Bei vernetzten APC ist das Netzwerk-Betriebssystem ggf. zusätzlich anzugeben.
Zu 13. Verfahren zur Sperrung, Löschung, Auskunftserteilung Es ist anzugeben, ob Sperrung und Löschung manuell von Bediensteten (z. B. durch Vernichtung von Disketten oder durch Eingabe eines Löschbefehls) oder automatisch von selbstprüfenden Programmen durchgeführt werden. Zu 14. Technische und organisatorische Angaben nach 7 NDSG Alle Angaben beziehen sich nur auf die Geräte, mit denen das Verfahren genutzt wird. Für Arbeitsplätze in vernetzten Systemen kann auf die hierfür gesondert erstellte Beschreibung gleichartiger technischer und organisatorischer Maßnahmen verwiesen werden, soweit diese bereits vorliegt. Zugriffsberechtigte können sowohl Mitarbeiter der öffentlichen Stelle als auch Dritte sein. Nicht notwendig ist, die Zugriffsberechtigten namentlich aufzuführen. Dies würde einen hohen Änderungsbedarf des Verfahrensverzeichnisses nach sich ziehen. Vielmehr können die Zugriffsberechtigten auch funktionsbezogen aufgeführt werden. Eine Bezeichnung, wie z. B. "Mitarbeiter der Personalabteilung", sollte dabei nicht verwendet werden, da sie offen lässt, ob alle oder nur bestimmte Mitarbeiterinnen und Mitarbeiter dieser Abteilung zugriffsberechtigt sind. Empfehlenswert sind stattdessen Bezeichnungen wie z. B. "Alle Mitarbeiter der Personalabteilung, die Anträge auf... bearbeiten". Sofern die zugriffsberechtigten Mitarbeiter auf unterschiedliche Datenarten zugreifen können, sollte auch dies erkennbar sein.
Bezogene Gesetzestexte NDSG 4 Zulässigkeit der Datenverarbeitung (1) Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn 1. dieses Gesetz oder eine andere Rechtsvorschrift dies vorsieht oder 2. die Betroffenen eingewilligt haben. 7 Technische und organisatorische Maßnahmen (1) Öffentliche Stellen haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um eine den Vorschriften dieses Gesetzes entsprechende Verarbeitung personenbezogener Daten sicherzustellen. Der Aufwand für die Maßnahmen muss unter Berücksichtigung des Standes der Technik in einem angemessenen Verhältnis zu dem angestrebten Zweck stehen. (2) Werden personenbezogene Daten automatisiert verarbeitet, so sind Maßnahmen zu treffen, die je nach Art der Daten und ihrer Verwendung geeignet sind, 1. Unbefugten den Zugang zu den Verarbeitungsanlagen zu verwehren (Zugangskontrolle), 2. zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können (Datenträgerkontrolle), 3. die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter Daten zu verhindern (Speicherkontrolle), 4. zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können (Benutzerkontrolle), 5. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können (Zugriffskontrolle), 6. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit an wen übermittelt worden sind (Übermittlungskontrolle), 7. zu gewährleisten, dass überprüft und festgestellt werden kann, welche Daten zu welcher Zeit von wem in Datenverarbeitungssysteme eingegeben worden sind (Eingabekontrolle), 8. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 9. zu gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen der Auftraggeber verarbeitet werden können (Auftragskontrolle), 10. zu gewährleisten, dass bei der Übertragung von Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können (Transportkontrolle), 11. die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird (Organisationskontrolle). (3) Ein automatisiertes Verfahren darf nur eingesetzt oder wesentlich geändert werden, soweit Gefahren für die Rechte Betroffener, die wegen der Art der zu verarbeitenden Daten oder der Verwendung neuer Technologien entstehen können, durch Maßnahmen nach Absatz 1 wirksam beherrscht werden können. Die nach Satz 1 zu treffenden Feststellungen sind schriftlich festzuhalten. (4) Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten wie möglich zu verarbeiten. (5) Personenbezogene Daten, die in Akten oder in anderer Weise ohne Einsatz automatisierter Verfahren verarbeitet werden, sind insbesondere vor dem Zugriff Unbefugter zu schützen. 8 Verfahrensbeschreibung (1) Jede öffentliche Stelle, die Verfahren zur automatisierten Verarbeitung personenbezogener Daten einrichtet oder ändert, hat in einer Beschreibung festzulegen: 1. die Bezeichnung der automatisierten Verarbeitung und ihre Zweckbestimmung, 2. die Art der gespeicherten Daten sowie die Rechtsgrundlage ihrer Verarbeitung, 3. den Kreis der Betroffenen, 4. die Art regelmäßig zu übermittelnder Daten, deren Empfänger, in den Fällen des 6 auch die
Auftragnehmer, sowie die Herkunft regelmäßig empfangener Daten, 5. die Absicht, Daten in Staaten nach 14 zu übermitteln, 6. Fristen für die Sperrung und Löschung der Daten, 7. die technischen und organisatorischen Maßnahmen nach 7, 8. die Betriebsart des Verfahrens, die Art der Geräte sowie das Verfahren zur Übermittlung, Sperrung, Löschung und Auskunftserteilung. (2) Satz 1 gilt nicht, wenn die Daten nur vorübergehend und zu einem anderen Zweck als dem der inhaltlichen Auswertung gespeichert werden, sowie für Register nach 8 a Abs. 4 und Verarbeitungen nach 8 a Abs. 5 Satz 1. 8 a Behördliche Datenschutzbeauftragte (4) Wird in einer öffentlichen Stelle ein Register geführt, das zur Information der Öffentlichkeit bestimmt ist und entweder der gesamten Öffentlichkeit oder allen Personen, die ein berechtigtes Interesse geltend machen, zur Einsichtnahme offen steht, so ist Absatz 1 nur anzuwenden, soweit in dieser öffentlichen Stelle andere automatisierte Verarbeitungen stattfinden. (5) Die Landesregierung wird ermächtigt, durch Verordnung die Pflicht zur Bestellung einer Beauftragten oder eines Beauftragten für den Datenschutz einzuschränken, soweit in einer öffentlichen Stelle automatisierte Verarbeitungen solche Daten betreffen, bei denen eine Beeinträchtigung des Rechts auf informationelle Selbstbestimmung nicht zu erwarten ist. 10 Speicherung, Veränderung, Nutzung; Zweckbindung (1) Das Speichern, Verändern und Nutzen personenbezogener Daten ist zulässig, wenn es zur Erfüllung der Aufgaben der öffentlichen Stelle erforderlich ist und die Daten für diese Zwecke erhoben worden sind. Erlangt die öffentliche Stelle Kenntnis von personenbezogenen Daten, ohne diese erhoben zu haben, so darf sie diese Daten nur für Zwecke verarbeiten, für die sie diese Daten erstmals speichert. 22 Aufgaben, Rechte und Pflichten der Landesbeauftragten oder des Landesbeauftragten (5) Beschreibungen nach 8 sind der Landesbeauftragten oder dem Landesbeauftragten zu übersenden, wenn die Verarbeitungen zur Erfüllung 1. der Aufgaben nach dem Niedersächsischen Verfassungsschutzgesetz oder 2. polizeilicher Aufgaben nach dem Niedersächsischen Gefahrenabwehrgesetz erfolgen. NHG 17 Verarbeitung personenbezogener Daten (1) Die Hochschulen dürfen von Studienbewerberinnen und Studienbewerbern und Mitgliedern sowie Angehörigen, die nicht in einem Dienst- oder Arbeitsverhältnis z u ihr stehen, diejenigen personenbezogenen Daten verarbeiten, die für die Einschreibung, die Teilnahme an Lehrveranstaltungen und Prüfungen, die Nutzung von Hochschuleinrichtungen sowie die Kontaktpflege mit ehemaligen Hochschulmitgliedern erforderlich und durch Ordnungen festgelegt sind. Durch Ordnungen der Hochschule kann die Pflicht zur Verwendung von mobilen Speichermedien begründet werden, die der automatischen Datenerfassung oder -verarbeitung insbesondere für Zwecke der Zutrittskontrolle, Identitätsfeststellung, Zeiterfassung, Abrechnung oder Bezahlung dienen. (2) Die Hochschulen können von ihren Mitgliedern und Angehörigen personenbezogene Daten auch zur Beurteilung der Bewerbungssituation von Absolventinnen und Absolventen, der Lehr- und Forschungstätigkeit, des Studienangebots sowie des Ablaufs von Studium und Prüfung verarbeiten. Hierfür können durch Ordnungen der Hochschule Auskunftspflichten begründet und Erhebungen ohne Einwilligung der Betroffenen zugelassen werden. Dabei sind der Zweck, der Inhalt und Umfang der Auskunftspflicht, die Erhebungsmerkmale und das Erhebungsverfahren festzulegen.
Die Daten sind zum frühestmöglichen Zeitpunkt zu anonymisieren. Das Fachministerium kann zu hochschulstatistischen Zwecken Maßnahmen nach Satz 1 verlangen und dabei zur Sicherstellung der hochschulübergreifenden Vergleichbarkeit Vorgaben zum Erhebungs- und Aufbereitungsprogramm sowie zu den einzelnen Erhebungsmerkmalen machen. (3) Die Hochschulen dürfen die Daten nach den Absätzen 1 und 2 auch zur Erfüllung ihrer übrigen Aufgaben nach 3 sowie zur Evaluation nach 5 und zur Akkreditierung nach 6 Abs. 2 verarbeiten. (4) Die Hochschulen können die für die Bewilligung und Abwicklung eines Studiendarlehens nach 11a notwendigen personenbezogenen Daten an die an der Durchführung dieser Förderaufgabe beteiligten Kreditinstitute zur Verarbeitung weiterleiten. Zu diesem Zweck kann durch Vereinbarung zwischen dem Land und den an der Durchführung der Förderaufgabe beteiligten Kreditinstituten auch ein automatisiertes Abrufverfahren eingerichtet werden.