Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. E n t w u r f

Ähnliche Dokumente
Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datenschutz-Vereinbarung

D i e n s t e D r i t t e r a u f We b s i t e s

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Erwartungen aus Sicht der Informationsfreiheit und des Datenschutzes

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz und Schule

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

IMI datenschutzgerecht nutzen!

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

3. Verbraucherdialog Mobile Payment

Checkliste «Datenbekanntgabe»

Für die MitarbeiterInnen kann das auch eine Verbesserung ihrer Arbeitsbedingungen

Homebanking-Abkommen

Datenschutz und Systemsicherheit

Rechtsverordnung zur Ergänzung und Durchführung des Kirchengesetzes über den Datenschutz der EKD (Datenschutzverordnung DSVO)

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

für gutes Programm. Datenschutz für Rundfunkteilnehmer/innen-Daten

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Datenschutz im Spendenwesen

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

Datenschutz der große Bruder der IT-Sicherheit

Dienstvereinbarung zur Einführung und Anwendung des Internetportals der Universität München

Orientierungshilfe. Datenschutz und Datensicherheit in Projekten: Projekt- und Produktivbetrieb

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Datenschutz-Unterweisung

Einführung in den Datenschutz

Drei Fragen zum Datenschutz im. Nico Reiners

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Telekommunikation Ihre Datenschutzrechte im Überblick

Monitoring und Datenschutz

Datenschutzbeauftragten bestellt.

Kirchliches Gesetz über die elektronische Verwaltung in der Evangelischen Landeskirche in Baden (EVerwG)

Datensicherheit. Datensicherheit. Datensicherheit. Datensicherheit

Der Datenschutzbeauftragte

2.4.7 Zugriffsprotokoll und Kontrollen

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Rechnungshöfe des Bundes und der Länder. Positionspapier zum Thema Aktenführung

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Elektronische Verwaltungsarbeit

61a - 61h Unterabschnitt 1 Erfassung und Übermittlung von Antragsdaten zur Herstellung von Dokumenten

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Einführung in die Datenerfassung und in den Datenschutz

BSI Technische Richtlinie

Vereinbarung zur Sicherstellung des Schutzauftrages bei Kindeswohlgefährdung gem. 8a SGB VIII

Datenschutzvereinbarung

Mittagsinfo zum Thema

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Der Landesbeauftragte für den Datenschutz Baden-Württemberg

GDD-Erfa-Kreis Berlin

Datenschutz ist Persönlichkeitsschutz

IT-Compliance und Datenschutz. 16. März 2007

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Datenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen?

Kirchlicher Datenschutz

UNIVERSITÄT ROSTOCK PERSONALRAT FÜR DIE WISSENSCHAFTLICH BESCHÄFTIGTEN (WPR)

Das digitale Klassenund Notizbuch

Arbeiten mit dem Outlook Add-In

Datenschutzbeauftragte

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Positionspapier zum Thema Aktenführung

Der betriebliche Datenschutzbeauftragte

Der Schutz von Patientendaten

Grundlagen des Datenschutzes und der IT-Sicherheit

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Dokumentation EGVP-Übertmittlungsfehler bei Server-Engpässen Vorgehensweise Seite 1 von 5

12a HmbDSG - Unterrichtung bei der Erhebung

Datenschutz in beratenden Berufen 10 Tipps & Fragen zum Umgang mit personenbezogenen Daten

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Leitfaden zur Nutzung des System CryptShare

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Big Data, Amtliche Statistik und der Datenschutz

Vereinbarung. über elektronische Schließanlagen und Zutrittskontrollsysteme. zwischen dem Vorstand und dem Betriebs/Personalrat

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

FachInfo Dezember 2012

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Meine Daten. Mein Recht

Cloud Computing - und Datenschutz

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Transkript:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit E n t w u r f Gesetz zur Sicherung des Datenschutzes beim automatisierten Informationsmanagement in der öffentlichen Verwaltung 1 Anwendungsbereich und Begriffsbestimmung Dieses Gesetz regelt datenschutzrechtliche Rahmenbedingungen für das automatisierte Informationsmanagement der Hamburger Verwaltung, soweit personenbezogene Daten in elektronischen Akten und anderen automatisierten Dateien verarbeitet werden. Die Regelungen des Hamburgischen Datenschutzschutzgesetzes (HmbDSG) finden Anwendung, soweit dieses Gesetz nichts anderes bestimmt. Bereichsspezifische gesetzliche Regelungen und deren Umsetzung in automatisierten Verfahren zur Erfüllung besonderer Fachaufgaben gehen in ihrem Regelungsbereich diesem Gesetz vor. Ein automatisiertes Informationsmanagement ist die Gesamtheit der Regeln und Verfahren, mit denen Daten in elektronischen Dokumenten und Akten und anderen automatisierten Dateien sowohl innerhalb einer öffentlichen Stelle als auch zwischen öffentlichen Stellen verarbeitet werden. Eine automatisierte Datei ist eine Sammlung personenbezogener Daten, die durch automatisierte Verfahren verarbeitet werden kann. Eine elektronische Akte ist eine nach fachlichen Gesichtspunkten unter einem Aktenzeichen zusammengestellte automatisierte Datei, die das Verwaltungshandeln verbindlich dokumentiert und, soweit bisher eine Papierakte besteht, diese ersetzt. Sie kann gescannte Dokumente einer Papierakte und andere elektronische Daten und Dokumente enthalten. 2 Elektronische Aktenführung Öffentliche Stellen können Akten im Rahmen dieses Gesetzes auch in elektronischer Form führen. 19 Abs.6 HmbDSG findet keine Anwendung. Eine elektronische Akte muss zumindest dieselben Anforderungen an die Nachvollziehbarkeit und Vollständigkeit erfüllen wie eine Papierakte. Wird eine Papierakte durch eine elektronische Akte ersetzt, sind zur Erhaltung der Beweiskraft beim Scannen geeignete Signaturverfahren anzuwenden und der Zeitpunkt der Ersetzung der Papierakte festzulegen. Be-

2 reichsspezifische bundes- und landesgesetzliche Anforderungen an die Führung elektronischer Akten sowie 8 HmbDSG bleiben unberührt. 3 Datenschutzverantwortung bei der Entwicklung und Einführungsentscheidung Soll für mehrere Daten verarbeitenden Stellen ein System des automatisierten Informationsmanagements entwickelt, erworben oder eingeführt werden, hat die hierfür verantwortliche Behörde sicherzustellen, dass das System geeignet ist, das Grundrecht der Betroffenen auf informationelle Selbstbestimmung zu wahren. Eine solche allgemeine Vorabkontrolle im Sinne des 8 Abs.4 HmbDSG hat vor allem die technischen Instrumente und Optionen sowie die strukturellen organisatorischen Maßnahmen festzulegen, die es den Daten verarbeitenden Stellen ermöglichen, den Schutz personenbezogener Daten bei der Systemanwendung zu gewährleisten. Sie ist dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zur Stellungnahme zuzuleiten. 4 Datenschutzverantwortung der Daten verarbeitenden Stelle Die Nutzung eines zentral bereitgestellten Systems nach 3 entbindet die anwendenden Daten verarbeitenden Stellen nicht von der eigenen Datenschutzverantwortung nach 5 HmbDSG. Innerhalb der Zuständigkeiten insbesondere nach dem Hamburgischen Verwaltungsbehördengesetz und dem Bezirksverwaltungsgesetz sind die Daten verarbeitenden Stellen nach der jeweils übertragenen gesetzlichen Fachaufgabe voneinander abzugrenzen (funktioneller Behördenbegriff). Jede Daten verarbeitende Stelle, die beabsichtigt, elektronische Akten zu führen und diese gegebenenfalls mit anderen automatisierten Dateien in einem automatisierten Informationsmanagement weiter zu verarbeiten, hat in einer anwendungsbezogenen Vorabkontrolle nach 8 Abs.4 HmbDSG unter anderem zu prüfen, ob die zu scannenden Papierakten und die gespeicherten Dokumente personenbezogene Daten enthalten, welchen Schutzbedarf diese Daten haben und ob und gegebenenfalls durch welche technisch-organisatorischen Maßnahmen der Schutzbedarf erfüllt werden kann. Insbesondere sind die in 5 Abs.1 Satz 2 HmbDSG genannten Datenarten besonderer Sensibilität sowie Daten, die dem Sozial-, Personalakten- oder einem besonderen Amts- oder Berufsgeheimnis unterliegen, zu ermitteln. Diese Datenarten sind entweder bereits von der elektronischen Erfassung oder von der Anwendung des Informationsmanagementsystems auszuschließen oder nur in kleineren Einheiten und getrennten Verfahren oder mit stark

3 eingeschränkten Zugriffsrechten zu verarbeiten. Es ist festzulegen, wie nicht elektronisch erfasste personenbezogene Daten bei der Anwendung des Informationsmanagements berücksichtigt werden können. Soweit danach eine automatisierte Verarbeitung personenbezogener Daten in Betracht kommt, hat die Daten verarbeitende Stelle in einem schriftlichen Sicherheitskonzept Regelungen insbesondere darüber zu treffen, unter welchen organisatorische Bedingungen und technischen Schutzmaßnahmen nach dem Stand der Technik die personenbezogenen Daten im Informationsmanagement verarbeitet werden sollen, wer für welche Aufgabe Zugriff auf die elektronischen Akten und anderen automatisierten Dateien erhält, welcher Zweckbindung die Nutzung und Weiterverarbeitung unterliegen, ob und in welcher Form Daten aus diesen Dateien an Dritte übermittelt und wie lange die Daten in den Dateien gespeichert werden dürfen. Das Sicherheitskonzept ist den Mitarbeiterinnen und Mitarbeitern der öffentlichen Stelle jährlich bekanntzumachen und auf seine Einhaltung zu überprüfen. 5 Datenschutzverantwortung der Mitarbeiterinnen und Mitarbeiter Vor einer Speicherung von personenbezogenen Daten in einer elektronischen Akte oder einer anderen automatisierten Datei haben die fachlich zuständigen Mitarbeiterinnen und Mitarbeiter der öffentlichen Stelle zu prüfen, ob die erhaltenen Daten zur Erfüllung der Fachaufgabe erforderlich sind und ob ihr Schutzbedarf eine Speicherung in einer bestehenden elektronischen Akte oder Datei oder die Erstellung einer neuen elektronischen Akte zulässt. Dabei sind die Möglichkeiten des Informationsmanagements, insbesondere Such- und Auswertungsfunktionen und eventuelle Abrufrechte Dritter, besonders zu berücksichtigen. 5 Abs.3 HmbDSG gilt entsprechend für Einwände gegen die automatisierte Form der Verarbeitung. Wird ein Vorgang außerhalb der elektronischen Akte aufbewahrt, ist dies in der elektronischen Akte zu vermerken. Nicht erforderliche Daten sind dem Absender zurückzugeben oder, wenn dies nicht möglich ist, zu vernichten; elektronische Daten sind zu löschen. 14 Abs.2, und 19 Abs.3 Satz 2 HmbDSG gelten nicht für elektronische Akten. 6 Zugriffsrechte Soweit nach 4 und 5 personenbezogene Daten in elektronischen Akten und anderen automatisierten Dateien gespeichert werden dürfen, müssen sich Berechtigungen, auf diese zuzugreifen, entsprechend der fachlichen Zuständigkeit nach der Erforderlichkeit für die

4 Aufgabenerfüllung richten. Berechtigungen und Vertretungsbefugnisse sind auf möglichst wenige Personen zu beschränken und revisionssicher zu dokumentieren. Berechtigte dürfen auf elektronische Akten und andere automatisierte Dateien nur im Rahmen der gesetzlichen Zweckbindung und der Erforderlichkeit zugreifen. 7 Übermittlung aus und von elektronischen Akten Übermittlungen aus elektronischen Akten sind auf den erforderlichen Umfang zu beschränken; 14 Abs.2 HmbDSG gilt nicht. Bei einer Übermittlung auf Ersuchen hat die ersuchende Stelle der übermittelnden Stelle den Zweck und Gegenstand konkret zu bezeichnen. Die Übermittlung von elektronischen Akten als ganzen setzt auf Seiten der übermittelnden Stelle eine auf die ganze Akte bezogene gesetzliche Übermittlungsbefugnis und auf Seiten der empfangenden Stelle ein unbeschränktes Akteneinsichtsrecht voraus. Eine elektronische Akte kann nicht Gegenstand von automatisierten Abrufverfahren nach 11 HmbDSG oder einer gemeinsamen oder verbundenen automatisierten Datei nach 11a HmbDSG sein. 8 Protokollierung Zur Ermittlung und Vorbeugung unzulässiger Datenzugriffe auf elektronische Akten und andere automatisierte Dateien mit personenbezogenen Daten sind lesende, schreibende und verändernde Zugriffe zu protokollieren. Unter Berücksichtigung der Sensibilität der Daten und bei einem hinreichend fein differenzierten Zugriffsschutz kann der Umfang der Protokollierung lesender Zugriffe reduziert werden. Die Auswertung von Zugriffsprotokollen zu Sicherheitszwecken kann sich auf geeignete Stichproben beschränken. Die Daten verarbeitende Stelle hat im Rahmen der Risikoanalyse nach 8 Abs.4 HmbDSG ein Konzept zu Art, Umfang und Dauer der Protokollierung und zum Auswertungsverfahren zu erstellen. Für Protokolldaten gilt 28 Abs.7 HmbDSG. Die langfristige Dokumentation der Vorgangsbearbeitung (work flow) innerhalb eines automatisierten Informationsmanagementsystems bleibt unberührt. 9 Such- und Auswertungsfunktionen Die Suche in und Auswertung aus elektronischen Akten und automatisierten Dateien ist nur zulässig zu Zwecken der fachlichen Sachbearbeitung. Eine freie Suche oder Volltextrecherche in elektronischen Akten ist auf jeweils eine Akte, in automatisierten Dateien jeweils auf ein eng umschriebenes Sachgebiet zu begrenzen. Diese Beschränkungen sind soweit möglich technisch sicherzustellen.

5 Such- und Auswertungsfunktionendürfen außerhalb der Einzelsachbearbeitung insbesondere nicht zur Ermittlung der Verwaltungskontakte eines Bürgers oder einer Bürgerin und nicht zur Verhaltens- und Leistungskontrolle von Mitarbeiterinnen und Mitarbeitern genutzt werden. Die Einrichtung von Stellen mit der eigenen Fachaufgabe, elektronische Akten und andere automatisierte Dateien nach personenbezogenen Daten auszuwerten, ist vorbehaltlich der Möglichkeit nach 11 Abs.1 Satz 2 unzulässig. 10 Volltextsuche zu Kontroll- und Aufsichtszwecken Können elektronische Akten und andere automatisierte Dateien mit einer Volltextsuche oder namensbezogenen Metadaten ausgewertet werden, rechtfertigen bestehende Kontroll- und Aufsichtsrechte von Vorgesetzten keine dauernde Zugriffberechtigung für alle elektronischen Akten und Dateien aller unterstellten Mitarbeiterinnen und Mitarbeiter. Der Zugriff ist der kontrollberechtigten Person nach ihren Weisungen von der fachlich zuständigen Person oder mit deren Kenntnis im Einzelfall einzuräumen. 6 Abs.1 Satz 2 ist anzuwenden, 9 Abs.1 gilt entsprechend. Das Zugriffsrecht endet mit dem Abschluss der Kontroll- oder Aufsichtsmaßnahme. Soweit Beschäftigtendaten aus der elektronischen Vorgangsbearbeitung zu Leistungskontrollen genutzt werden sollen, sind der Personalrat und der behördliche Datenschutzbeauftragten zu beteiligen und die betroffenen Mitarbeiterinnen und Mitarbeiter zu unterrichten. 11 Auskunftsrecht der Betroffenen Die Daten verarbeitende Stelle muss ein angemessenes Verfahren zur Wahrnehmung der Betroffenenrechte nach 6 HmbDSG bereitstellen. Zur Erteilung von Auskünften nach 18 HmbDSG über die zu der betroffenen Person gespeicherten Daten kann sie abweichend von 9 Abs.1 Satz 2 im Rahmen einzelner Fachaufgaben eine aktenübergreifende Suche zulassen. Eine zu diesem Zweck durchgeführte namentliche (Volltext-)Suche in elektronischen Akten und Dateien ist zu protokollieren. Auskunftsverlangen und Suche sind gemeinsam zu dokumentieren. 18 Abs.1 Satz 3 HmbDSG gilt nicht für elektronische Akten. Die Auskunft ist für jede Fachaufgabe getrennt zu speichern und mit Ablauf des auf sie folgenden Kalenderjahres zu löschen. 12 Akteneinsichtsrecht bei elektronischer Aktenführung Sehen Gesetze das Recht von Verfahrensbeteiligten auf Einsicht in die Verfahrensakte vor, ist die Einsicht in eine elektronische Akte auf die verfahrensrelevanten Teile zu beschränken. Die Interessen Dritter sind zu wahren. 14 Abs.2 HmbDSG gilt nicht. Die Einsichtnahme erfolgt an einem separaten Bildschirm in der zuständigen Stelle unter Wahrung der technischen und organisatorischen Sicherheitsmaßnahmen oder durch Ausdruck.

6 5 HmbIfG bleibt unberührt. Bei der Entscheidung, ob die Information auf einem Datenträger herausgegeben werden kann, ist die Schutzbedürftigkeit gespeicherter personenbezogener Daten zu berücksichtigen. 32 und 33 HmbDSG finden Anwendung. 13 Straf- und Bußgeldvorschriften

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback