echnische. n iversität lausthai Verfahrensbeschreibung gern. 8 des Nds. atenschutzgesetzes (NSG) Einzelbeschreibung der aten verarbeitenden Stelle Sammelbescln'eibung der aten verarbeitenden Stelle zu gleichwertigen Verfaln'en Sammelbescln'eibung durch Auftragnehmer (aten verarbeitende Stelle siehe beiliegende Liste) Z Ersterfassung Ändemng / Ergänzung Anzahl der Verfahren Verfaln'ensbeschreibungen über automatisierte Verfaln'en zur Erfüllung der Aufgaben nach dem NVerfSchG oder nach dem NGefAG sind in Kopie an den Landesbeauftragten für den atenschutz Niedersachsen zu senden. 1. Anzeigende Stelle Verfahrensbeschreibung erstellt von (Adresse, Geschäftszeichen) Planung, EV, Statistik -ezernat 5- Für Rückfragen: Causthal-Zellerfeld, den 26.05.04 Adolph-Roemer-Straße 2A Fon: Fax: Name der oder des atenschutzbeauftragten Herr r. N office 2. Bezeichnung des Verfahrens Bezeichnung des Verfahrens ntegrierte Standardsoftware SAP R/3 Release 4.7 Eingesetzte Programme Sap R/3 Module F, CO, F-AA und HR Verknüpfungen zu anderen Verfahren oder ateien bestehen Bezeichnung dieser anderen Verfahren oder ateien Fon 722587 Unterschrift (Ersteller der Verfahrensbeschreibung) angeordnet d. Leiter / Leiterin 3. Bezeichnung der aten verarbeitenden Stelle / Angaben zur Auftragsdatenverarbeitung Bezeichnung der aten verarbeitenden Stelle (bei Sammelbeschreibung durch Auftragnehmer siehe beiliegende Liste) TU-Clausthal Ort, atum CLZ, 26.05.2004 Z ie gesamte atenverarbeitung wird bei der aten verarbeitenden Stelle selbst durchgeführt. Teile der atenverarbeitung werden bei einem Auftragnehmer durchgeführt. as Auftragsverhältnis ist schriftlich geregelt, 6 NSG wird beachtet. Name und Anschrift der Aufh'agnehmer sowie Art der atenverarbeitung (z.b, Erfassung, Microverfilmung, Vernichtung) 2002-06-11 1/4
4. Zweckbestimmung des Verfahrens HNWES Ausnahmen von der Beschreibungspflicht bestehen für Verfahren, deren personenbezogene aten ausschließlich zu Zwecken der atenschutzkontrolle, der atensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer atenverarbeitungsanlage gespeichert und genutzt werden. Werden bei Verfahren die aten nicht zur inhaltlichen Auswertung gespeichert und spätestens 3 Mopate nach ihrer Erstellung gelöscht, so müssen diese Verfahren nicht aufgeführt werden. Mit Textverarbeitungssystemen erstellte okumente sind dannbeschreibungspflichtig, wenn sie personenbezogene aten enthalten, die durch automatisierte Verfahren ausgewertet werden können. Für die Auswertbarkeit kommt es darauf an, ob das System Funktionen enthält, die es ermöglichen, die okumente nach personenbezögenen Merkmalen zu erschließen. Verfahrensbeschreibungen sind auch anzulegen für ateien, die nach Autoren, Okumententypen mit gleicher Sensibilität und nhalten zusammengefasst sind (Bewilligungsbescheide, Gutachten), für Adressentabellen und für atenbankanwendungen. Finanzbuchhaltung (F) Abbildung des kaufmännischen Rechnungswesens fur den Landesbetieb Anlagenbuchhaltung (F-AA) Abbildung des Anlagevermögens und berechnung der Abschreibungen fur das kaufmännische Rechnungswesens fur des Landesbetiebes Controllimg (CO) Abbildung der Kosten- und Leistungsrechnung Personalwirtschaft (HR) in EinfUhrung: Personaladministration und Oranisitionsmanagement. Stellenverwaltung und -bewirtschatung. 5. Rechtsgrundlage der Verarbeitung 4 NSG 9 NSG 17 NHG 5 NHG 6. Kreis der Betroffenen SAP-Nutzer Bedienstete(HR) rittmittelpersonal (F!) Kreditoren/ebitoren(F) ungefähre Anzahl der Betroffenen 7. Fristen für die Sperrung und Löschung der aten 8.1 Art der gespeicherten aten Jeder Betroffenenkreis ist einzeln auf zufuhren; s. auch Musterfommlar 1_ -: "a-,------j a alle Personen gern. Ziffer 6! ----:-b----t---- c -------i -------- ~-- ~ - '. _! e! ~ c._-----j b_ d_---+ SAP-Nutzer(Name, Vomame)gem. GOB 238 Abs.l HGB i -~~ n Bedienstete (HR) Beschreibung aller Felde und Prozesse im Fachkinzept Peronalwirtschaft --t---------j-- 1 rittmittelpersonal Es werden Gehaltsbuchungen auf die entspre~he-nd-:-e--:' P-ro-:-jet-:-li-e g--:eb-\c-:-ht-~ ----,------1 ) - --- -i - 1 ---+-----~- ' - i Krecliton~nlebitoren Name, Anschrift, Bankverbindung_ 1_ e 2/ 4
8.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung Es findet keine regelmäßige Übermittlung statt K Personal abrechnungs ergebnisse aus Kidcap werden per Batch-lnput in das SAP-System gebucht. 8.3 Beabsichtigte Übermittlung von aten in Staaten nach 14 NSG Rechtsgmndlage für die Übemrittlung Zweck der Übermittlung 3/ 4
Anlage Behördenintemer Teil der Verfahrensbeschreibung gern. 8 des Nds. atenschutzgesetzes (NSG) 9. Angaben zu dem Verfahren nach Nr. 2 Bezeichnung des Verfahrens SAP R/3 4.7 Eingesetzte Programme Module siehe oben Verknüpfungen zu anderen Verfahren oder ateien bestehen Bezeichnung dieser anderen Verfahren oder ateien 10. Betriebsart des Verfahrens ~ Stapel (Batch)- ~ ialog- Betrieb Betrieb 11. Art der Geräte bitte zusätzl. angeben atenbank (Betriebssystemangaben ohne exakte Versionsnummern) ~ ~ Großrechner der Firma Rechner mittlerer Größe Vernetzte Arbeitsplatzcomputer (APC) Alleinstehende PC Sonstiges: Textverarbeitung atenfernüberh'agung 12. Übermittlungsverfahren COM-Mikrofiche-Austausch Standleitung ("V" oder "Hf") atenträger Austausch Wählleitung mit Modem Tabellenkalkulation ateitransfer mittels atenfemüberh'agung 13. Verfahren zur Sperrung, Löschung, Auskunftserteilung Manuelle Automatische Manuelle Sperrung Sperrung Löschung Verfahren der Auskunftserteilung Betriebssystem Sonstiges: Manuell Betriebssystem Win 2000 Server Betriebssystem Win XP schriftliche Einsichtnahme sonstiges: Mitteilung vor Ort 14. Technische und organisatorische Angaben nach 7 NSG 14.1 Bauliche Maßnahmen Grundsätzlich kein Publikumsverkehr in Räumen mit Arbeitsplatzcomputern (APC) oder Terminals. Alle Räume mit APC sind bei Abwesenheit der Bediensteten mit Sicherheitsschlössem verschlossen. Es werden nur APC eingesetzt (keine Zenh'alrechner wie Großrechner, Server, Mehrplatzsysteme). Betriebssystem sonstige FÜ Automatisiertes Abrufverfahren Automatische Löschung ~ Alle Zenh'alrechner sind in einer Sicherheitszone mit zusätzlicher Zugangskontrolle untergebracht. Sicherung wichtiger mobiler atenh'äger im separaten, gesicherten Archivraum oder Tresor. 14.2 Technische Maßnahmen Sicherung aller Rechner durch Passwort Magnetsh'eifenkarte / Chipkarte ie Begrenzung der Zugriffsrechte auf die zuständigen Bediensteten ist technisch gesichert. Verschlüsselung bei der Speicherung und ggf. bei der atenfernübertragung. Protokollierung von Systemaktivitäten (z.b. Benutzer-Login). Protokollierung des Zugriffs auf einzelne atensätze. Regelmäßige Auswertung der Protokolle. 14.3 Organisatorische Maßnahmen ie Zugriffsberechtigungen sind auf folgende Personen beschränkt: Eine ienstanweisung zum atenschutz ist vorhanden 14.4 Weitere wichtige technisch - organisatorische Maßnahmen Anlehnung an das Projekt Uni2001 4/ 4
echnische n iversität lausthai ~ Verfahrensbeschreibung gern. 8 des Nds. atenschutzgesetzes (NSG) Einzelbeschreibung der aten verarbeitenden Stelle Sammelbeschreibung der aten verarbeitenden Stelle zu gleichwertigen Verfahren Sammelbeschreibung durch Auftragnehmer (aten verarbeitende Stelle siehe beiliegende Liste) Ersterfassung Änderung / Ergänzung Anzahl der Verfahren Verfahrensbeschreibungen über automatisierte Verfahren zur Erfüllung der Aufgaben nach dem NVerfSchG oder nach dem NGefAG sind in Kopie an den Landesbeaufh'agten für den atenschutz Niedersachsen zu senden. 1. Anzeigende Stelle Verfahrensbeschreibung erstelt von (Adresse, Geschäftszeichen) Planung, EV, Statistik -ezernat 5- Für Rückfragen: Clausthal-Zellerfeld, den 26.05.04 Adolph-Roemer-Straße 2A Fon: Fax: Name der oder des atenschutzbeauftragten Herr r. Noffke 2. Bezeichnung des Verfahrens Bezeichnung des Verfahrens ntegrierte Standardsoftware SAP R/3 Release 4.7 Eingesetzte Programme Sap R/3 Module F, CO, F-AA und HR Verknüpfungen zu anderen Verfahren oder ateien bestehen Bezeichnung dieser anderen Verfahren oder ateien Fon 722587 Unterschrift (Ersteler der Verfahrensbeschreibung) angeordnet d. Leiter / Leiterin 3. Bezeichnung der aten verarbeitenden Stelle / Angaben zur Auftragsdatenverarbeitung Bezeichnung der aten verarbeitenden Stele (bei Sammelbeschreibung durch Auftragnehmer siehe beiliegende Liste) TU-Clausthal Ort, atum CLZ,26.05.2004 ie gesamte atenverarbeitung wird bei der aten verarbeitenden Stele selbst durchgeführt. Teile der atenverarbeitung werden bei einem Auftragnehmer durchgeführt. as Auftragsverhältnis ist schriftlich geregelt, 6 NSG wird beachtet. Name und Anschrift der Auftragnehmer sowie Art der atenverarbeitung (z.b, Erfassung, Microverfilmung, Vernichtung) 2002-06-11 1/4
4. Zweckbestimmung des Verfahrens HNWES Ausnahmen von der Beschreibungspflicht bestehen für Verfahren, deren personenbezogene aten ausschließlich zu Zwecken der atenschutzkontrolle, der atensicherung oder zur Sicherstellung des ordnungsgemäßen Betriebs einer atenverarbeitungsanlage gespeichert und genutzt werden. Werden bei Verfahren die aten nicht zur inhaltlichen Auswertung gespeichert und spätestens 3 Monate nach ihrer Erstellung gelöscht, so müssen diese Verfahren nicht aufgeführt werden. Mit Textverarbeitungssystemen erstellte okumente sind dann beschreibungspflichtig, wenn sie personenbezogene aten enthalten, die durch automatisierte Verfahren ausgewertet werden können. Für die Auswertbarkeit kommt es darauf an, ob das System Funktionen enthält, die es ermöglichen, die okumente nach personen bezogenen Merkmalen zu erschließen. Verfahrensbeschreibungen sind auch anzulegen für ateien, die nach Autoren, okumententypen mit gleicher Sensibilität und nhalten zusammengefasst sind (Bewilligungsbescheide, Gutachten), für Adressentabellen und für atenbankanwendungen. Finanzbuchhaltung (F) Abbildung des kaufmännischen Rechnungswesens für den Landesbetieb Anlagenbuchhaltung (F-AA) Abbildung des Anlagevelögens und berechnung der Abschreibungen für das kaufmännische Rechnungswesens für des Landesbetiebes Control1img (CO) Abbildung der Kosten- und Leistungsrechnung Personalwirtschaft (HR) in Einführung: Personaladministration und Oranisitionsmanagement. Stellen verwaltung und -bewirtschatung. 5. Rechtsgrundlage der Verarbeitung 4 NSG 9 NSG 17 NHG 5 NHG 6. Kreis der Betroffenen SAP-Nutzer Bedienstete(HR) rittmittelpersonal (F) Kreditoreniebitoren(F) ungefahre Anzahl der Betroffenen 7. Fristen für die Sperrung und Löschung der aten 8.1 Art der gespeicherten aten Jeder Betroffenenkreis ist einzeln aufzuführen; s. auch MusterfolTmlar ~---,liepeßon,n g'rn. Zilf" 6 1 ~; '1. ~Nutzer(Name,VOlT~me)gem.Go:B 238AbS.1-H-G-B-+-, ~l'~ cl! :Bedienstete (HR) Beschreibung aller Felde und Prozesse im Fachkinzept Peronalwit1schaft j ~ i JittmittelpersonaJ Es werden Gehaltsb~chungen auf die entsprec-henden Projetkte gebucht --- -- Kreditorenlebitoren Name,Anschrift, Ballkverbindung---=- ---=-. -_ -- -- 1--- ~ -- =+ ----+- -- --, ---- 1-- -1- - j ---_~,:-_--- ~------l 1-, - 1' -_--_-- --- -, -j ---- -1_--- 2/ 4
8.2 Herkunft oder Empfänger bei regelmäßiger Übermittlung Es findet keine regelmäßige Übermittlung statt K Personalabrechnungsergebnisse auskidcap werden per Batch-nput in das SAP-System gebucht. 8.3 Beabsichtigte Übermittlung von aten in Staaten nach 14 NSG Rechtsgmndlage für die Übermittlung Zweck der Übermittlung 3/ 4
Anlage Behördenintemer Teil der Verfahrensbeschreibung gern. 8 des Nds. atenschutzgesetzes (NSG) 9. Angaben zu dem Verfahren nach Nr. 2 Bezeiclmung des Verfahrens SAP R/3 4.7 Eingesetzte Programme Module siehe oben o Verknüpfungen zu anderen Verfahren oder ateien bestehen Bezeichnung dieser anderen Verfahren oder ateien 10. Betriebsart des Verfahrens ~ Stapel (Batch)- ~ ialog- Betrieb Beuieb 11. Art der Geräte o Großrechner der Firma bitte zusätzl. angeben atenbank (Beu'iebssystemangaben ohne exakte Versionsnul11l11ern) ~ Rechner mittlerer Größe ~ Vernetzte Arbeitsplatzcomputer (APC) o Alleinstehende PC Sonstiges: o atenfern- 0 Starldleitung überu'agung ("V" oder "Hf") 12. Übermittlungsverfahren o COM-Mikro- 0 atenu'äger fiche-austausch Austausch o Tabellenkalkulation o Wählleitung mit Modem o ateitransfer mittels atenfernüberh'agung 13. Verfahren zur Sperrung, Löschung, Auskunftserteilung o Manuelle 0 Automatische 0 Manuelle SpelTung SpelTung Löschung Verfahren der Auskunftserteilung o schriftliche 0 Einsichtnahme o sonstiges: Mitteilung vor Ort 14. Technische und organisatorische Angaben nach 7 NSG 14.1 Bauliche Maßnahmen o o o o Textverarbeitung Beu'iebssystem o Sonstiges: Manuell Betriebssystem Win 2000 Server Beu'iebssystem Will XP Betriebssystem sonstige FÜ Autornatisiertes Abrufverfahren Automatische Löschung o Grundsätzlich kein Publikumsverkehr in Räumen mit Arbeitsplatzcomputern (APC) oder Terminals, o Alle Räume mit APC sind bei Abwesenheit der Bediensteten mit Sicherheitsschlössern verschlossen, o Es werden nur APC eingesetzt (keine Zenu'alrechner wie Großrechner, Server, Mehrplatzsysteme ), ~ Alle Zenu'alrechner sind in einer Sicherheitszone mit zusätzlicher Zugangskontrolle untergebracht. o Sicherung wichtiger mobiler atenu'äger im separaten, gesicherten Archivraum oder Tresor. 14.2 Technische Maßnahmen Sicherung aller o o Magnetsu'eifenkarte / o Passwort Chipkarte Rechner durch ~ ie Begrenzung der Zugriffsrechte auf die zuständigen Bediensteten ist technisch gesichert. ~ Verschlüsselung bei der Speicherung und ggf. bei der atenfernüberu'agung, ~ Protokollierung von Systemaktivitäten (z,b, Benutzer-Login), o Protokollierung des Zugriffs auf einzelne atensätze, o Regelmäßige Auswertung der Protokolle, 14.3 Organisatorische M'aßnahmen ie Zugriffsberechtigungen sind auf folgende Personen beschränkt: o Eine ienstanweisung zum atenschutz ist vorhanden 14.4 Weitere wichtige technisch - organisatorische Maßnahmen Anlehnung an das Projekt Uni200 1 4/ 4