Allgemeine Dienstanweisung zum Datenschutz - FernUniversität in ...

Allgemeine Dienstanweisung zum Datenschutz, insbesondere bei der Verarbeitung personenbezogener Daten Inhalt

1 1.1 1.2 1.3 1.4 1.5

Allgemeines Grundlage Zweck Regelungsbereich Geltungsbereich Begriffsbestimmungen

2 2.1 2.2 2.3 2.31 2.32 2.33 2.34 2.4

Allgemeine Regelung über die Zuständigkeit und Verantwortlichkeit Grundsatz Dezentrale Gewährleistung des Datenschutzes (Dezernats- und institutsinterne Datenschutzfunktion) Zentrale Gewährleistung des Datenschutzes (Datenschutzbeauftragte/-beauftragter) Bestellung Aufgaben der/des Behördlichen Datenschutzbeauftragten Unterrichtungspflicht Organisatorische und fachliche Anbindung Allgemeine Maßnahmen zur Umsetzung

3 3.1 3.2 3.3 3.4 3.5 3.6 3.7

Besondere Zuständigkeiten Zentrum für Medien und IT (ZMI) Abgrenzung der Aufgaben Personalverwaltung Justitiariat Organisationseinheiten, die Vergaben und Aufträge erteilen Systemadministration Datenverarbeitung für wissenschaftliche Zwecke

4 4.1 4.2 4.3

Vernichtung von Datenträgern Aktenvernichtung Mikrofiche Beschreibbare und wiederbeschreibbare Datenträger

5

In-Kraft-Treten

Anlage 1 Anlage 2

Definitionen zum Datenschutz Zuständigkeiten für Daten

1

Allgemeines

1.1

Grundlage Grundlagen dieser Dienstanweisung sind: das Datenschutzgesetz des Landes Nordrhein-Westfalen (DSG NRW) in der aktuell gültigen Fassung, das Bundesdatenschutzgesetz (BDSG) in der aktuell gültigen Fassung, bereichsspezifische Rechtsvorschriften des Bundes oder Landes mit vorrangiger Geltung.

a) b) c) 1.2

Zweck Zweck dieser Dienstanweisung ist es, die rechtmäßige Verarbeitung personenbezogener Daten einschließlich der Datensicherheit (Datenschutz) durch die zuständigen Stellen der FernUniversität in Hagen zu gewährleisten. Damit soll das Recht der Person gewahrt werden, im Rahmen des geltenden Rechts selbst über Preisgabe und Verwendung sie betreffender Informationen zu bestimmen (Informationelles Selbstbestimmungsrecht).

1.3

Regelungsbereich Diese Dienstanweisung regelt Zuständigkeiten und Aufgaben im Bereich des Datenschutzes. Bestehende und künftige Regelungen, soweit sie den Datenschutz betreffen, sind dieser Dienstanweisung anzupassen.

1.4

Geltungsbereich Diese Dienstanweisung gilt für die Hochschulleitung, Fakultäten, Fachbereiche, Zentralen und wissenschaftlichen Einrichtungen sowie deren organisatorische Untergliederungen und für die Zentrale Hochschulverwaltung der FernUniversität.

1.5

Begriffsbestimmungen Für die in dieser Dienstanweisung verwendeten Begriffe gelten die Definitionen, die in den ihre Grundlage bildenden Gesetzen (1.1) verankert sind. Wesentliche Definitionen sind beispielhaft als Anlage 1 aufgeführt.

2

Allgemeine Regelung über die Zuständigkeit und Verantwortlichkeit

2.1

Grundsatz Die Organisationseinheiten (Ziffer 1.4) sind für die Einhaltung der jeweils anzuwendenden Vorschriften über den Datenschutz zuständig und verantwortlich, soweit sie im Rahmen ihrer bestehenden Aufgaben – – – –

2.2

personenbezogene Daten beschaffen, z. B. über Vordrucke oder Makros von der/dem Betroffenen bzw. aus automatisiert geführten Dateien anderer Stellen, Akten bzw. Dateien, die personenbezogene Daten enthalten, anlegen, verwalten, führen, nutzen oder vernichten bzw. löschen und versenden (auch Telefaxverkehr), Akten und Vorgänge im Rahmen von Amtshilfe versenden, Auskünfte erteilen und Einsicht gewähren.

Dezentrale Gewährleistung des Datenschutzes (Dezernats- und institutsinterne Datenschutzfunktion) In ihrer Zuständigkeit und Verantwortlichkeit für den Datenschutz übernehmen die Leitungen der Organisationseinheiten (Ziffer 1.4) die Aufgabe, die Vorgaben des Datenschutzes vor Ort umzusetzen und die dazu erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit zu veranlassen. Sie sind Ansprechpersonen der Organisationseinheiten für Belange des Datenschutzes.

2.3

Zentrale Gewährleistung des Datenschutzes (Datenschutzbeauftragte/-beauftragter)

2.31

Bestellung Die Kanzlerin/der Kanzler der FernUniversität in Hagen überträgt einer Mitarbeiterin oder einem Mitarbeiter die Funktion der/ des Behördlichen Datenschutzbeauftragten (BDSB) und bestellt eine allgemeine Vertreterin oder einen allgemeinen Vertreter.

2.32

Aufgaben der/des Behördlichen Datenschutzbeauftragten Die/Der BDSB ist zur Beantwortung aller Fragen, die Datenschutz und Datensicherheit betreffen, zuständig. Sie/Er hat gemäß § 32a DSG NRW insbesondere folgende Aufgaben: –

–

– –

–

–

–

–

–

– – –

Beratung der Hochschulleitung in Grundsatzfragen zum Datenschutz; Beratung und Unterstützung der Organisationseinheiten (Ziffer 1.4) einschließlich der Personalvertretung in allen Fragen des Datenschutzes und der Datensicherheit, Unmittelbare Ansprechperson aller Beschäftigten der FernUniversität in Hagen in Angelegenheiten des Arbeitnehmerdatenschutzes, ferner der Studierenden in Fragen zu Datenschutz und Datensicherheit, Federführung in der Korrespondenz mit dem/der Landesbeauftragten für den Datenschutz Nordrhein-Westfalen (LfD NRW), Führung des Verzeichnisses automatisiert geführter Verfahren (Verfahrensverzeichnis) für die Organisationseinheiten (Ziffer 1.4) gemäß § 32a Abs. 3 DSG NRW; Gewährung von Einsicht durch berechtigte Personen, Beteiligung bei der Planung und Entwicklung (sog. Vorabkontrolle gemäß § 10 Abs. 3 DSG NRW), Einführung und dem Betrieb von IT-Verfahren zur Verarbeitung personenbezogener Daten (z.B. Beratung und Mitarbeit bei der Erstellung einer Risikoanalyse, Abschätzung der Folgen und Prüfung der rechtlichen Zulässigkeit des Verfahrens); Beteiligung bei der Erarbeitung von Konzepten zur Datensicherheit im IT-Bereich, Veranlassung von sog. Datenschutzaudits gemäß § 10a DSG NRW (Prüfung und Bewertung von Datenschutzkonzepten durch unabhängige Gutachten, Veröffentlichung), Mitwirkung in Projekten mit datenschutzrelevanten Komponenten, insbesondere bei der Erarbeitung von Satzungen, Dienstvereinbarungen, Geschäftsordnungen, Richtlinien und Rundschreiben, Mitwirkung bei der Entwicklung von Formularen und Makros, mit denen personenbezogene Daten verarbeitet werden, und bei der Formulierung von Verträgen, deren Gegenstand die Verarbeitung personenbezogener Daten ist (z. B. Datenverarbeitung im Auftrag), Überwachung der Organisationseinheiten (Ziffer 1.4) auf die Einhaltung der Vorgaben zu Datenschutz und Datensicherheit; ggf. Auswertung von Protokolldateien; Überwachung von Auftragnehmern im Rahmen von Datenverarbeitung im Auftrag, Teilnahme an internen Arbeitskreisen; Vertretung der FernUniversität in externen Arbeitskreisen und Gremien, Entwicklung von Schulungskonzepten und Durchführung von Schulungen zu datenschutzrechtlichen Themen, ggf. in Zusammenarbeit mit anderen Stellen, Beratung in Angelegenheiten des Informationsfreiheitsgesetzes NRW (IFG NRW) von allgemeiner Bedeutung sowie in besonders gelagerten Einzelfällen,

Der/Dem BDSB ist zur Durchführung seiner Aufgaben Zugang zu allen Räumen, Einsicht in Akten und Dateien zu gewähren; die Einsicht in Personalakten bedarf grundsätzlich der Zustimmung der/des Betroffenen. Stellt die/der BDSB Verstöße gegen Vorgaben zu Datenschutz und Datensicherheit fest, kann sie/er diese beanstanden und die betroffene Organisationseinheit (Ziffer 1.4) zu einer Stellungnahme auffordern; mit der Beanstandung können Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbunden werden. Unbenommen von den obigen Zuständigkeiten sind die Rechte der Personalräte nach dem LPVG zu berücksichtigen.

2.33

Unterrichtungspflicht Die/Der BDSB ist aus allen Anlässen, die Gesetze, Rechtsvorschriften und verwaltungsinterne Regelungen - soweit sie die Verarbeitung personenbezogener Daten betreffen - festlegen, insbesondere bei Vorhaben von Software-Einsatz, Datenverarbeitung im Auftrag, Outsourcing (Funktionsübergang) oder Fremdnutzung zu übermittelnder Daten, sowohl von der Organisationsabteilung als auch von der betreffenden Organisationseinheit (Ziffer 1.4) aktuell unaufgefordert, rechtzeitig und umfassend zu informieren.

2.34

Organisatorische und fachliche Anbindung Die/Der BDSB ist gemäß § 32a Abs. 2 DSG NRW organisatorisch dem Büro der Kanzlerin/ des Kanzlers als Stabsstelle zugeordnet. Fachlich untersteht sie/er unmittelbar der Kanzlerin/ dem Kanzler. Die/Der BDSB arbeitet vertrauensvoll mit den Personalräten zusammen.

2.4

Allgemeine Maßnahmen zu Umsetzung Es sind Maßnahmen zu treffen, die geeignet sind, zu gewährleisten, dass –

nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),

–

personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),

–

personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),

–

jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),

–

festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),

–

die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).

Beim Kauf von Fremd-Software unter Beteiligung des Zentrums für Medien und IT und/oder der Abteilung Organisation/DV-Angelegenheiten sind diese für die Datensicherheit gewährleistenden Eigenschaften zuständig.

3

Besondere Zuständigkeiten

3.1

Zentrum für Medien und IT (ZMI) Das ZMI ist im technischen Sinne des Datenschutzes für die Gewährleistung von ITSicherheit für die Systeme zuständig und verantwortlich, die von ihm betreut werden. Die globale Entwicklung von Sicherheitsstandards zur IT-Sicherheit für alle Systeme an der FernUniversität sowie deren Überwachung erfolgt durch ein IT-Sicherheitsteam1.

3.2

Abgrenzung der Aufgaben Für einige der Organisationseinheiten (Ziffer 1.4) ist die Umsetzung datenschutzrechtlicher Vorgaben unmittelbar Teil ihrer Aufgabenstellung. Ihre Zuständigkeiten sind in der Anlage 2 zu finden.

3.3

1 2

Personalverwaltung Das Dezernat Personalverwaltung ist als personalbearbeitende Dienststelle für das Anlegen, Verwalten, Führen und Vernichten (Tilgen) von Personalakten oder Teilen davon gemäß den Vorgaben zum Datenschutz (z. B. §§ 102 ff LBG NRW etc.) zentral zuständig2.

Vgl. IT-Sicherheitsregelungen der FernUniversität, vorläufige Fassung vom 25.03.2003 Personalakten (auch in elektronischer Form) sind grundsätzlich nur in der Personalverwaltung zu führen und aufzubewahren. Sofern das Führen von Personalnebenakten (z. B. Urlaubsdatei) unabdingbar ist, so muss das Personaldezernat dem zustimmen.

3.4

Justitiariat In Rechtsfragen, die den Datenschutz oder das Recht auf Information nach dem IFG NRW wesentlich berühren, liegt die Bearbeitung von Strafanzeigen, Strafanträgen und Schadensersatzansprüchen sowie die Einleitung von Ordnungswidrigkeitenverfahren im Zusammenhang mit Verstößen gegen datenschutzrechtliche Vorgaben in der Zuständigkeit und Verantwortlichkeit des Justitiariats der FernUniversität. Im Übrigen ist die/der BDSB ausschließlich zuständig. Sie/Er kann das Justitiariat einschalten, wenn zu besonderen Rechtsfragen betreffend Datenschutz und Datensicherheit Rechtsgutachten einzuholen sind.

3.5

Organisationseinheiten (Ziffer 1.4), die Vergaben und Aufträge erteilen Organisationseinheiten (Ziffer 1.4), die Vergaben und Aufträge erteilen, weisen Bieterinnen und Bieter bzw. Auftragnehmerinnen und Auftragnehmer auf das Datengeheimnis hin und verpflichten sie nach dem Verpflichtungsgesetz zur Verschwiegenheit, soweit im Rahmen zu erteilender Vergaben und Aufträge personenbezogene Daten verarbeitet werden sollen. Werden bei zentralen Vergaben personenbezogene Daten von mehreren Stellen verarbeitet, so ist die Beachtung der Vorgaben zu Datenschutz und Datensicherheit durch alle beteiligten Stellen sicherzustellen. Die mit der Reparatur von IT-Geräten beauftragten Firmen sind ebenfalls auf die datenschutzrechtlichen Bestimmungen zu verpflichten. Der FernUniversität als Auftraggeberin sowie der/dem LfD NRW muss die Möglichkeit eingeräumt werden, die Einhaltung der Vorgaben zu Datenschutz und Datensicherheit zu kontrollieren. Auftragnehmerinnen und Auftragnehmer, die im Hinblick auf die Vorgaben des Datenschutzes nicht geeignet erscheinen, sind von den Vergaben und Aufträgen auszuschließen.

3.6

Systemadministration Die Administratorinnen/Administratoren (gem. den IT-Sicherheitsregeln und dem GVP) setzen die Vorgaben des technischen Datenschutzes um und dürfen aus Gründen des Datenschutzes den Inhalt von Dateien weder lesen noch auswerten oder verändern. Ausnahmen zur Missbrauchskontrolle kann die/der Dienstvorgesetzte mit vorheriger Zustimmung der Personalvertretung anordnen. Zur Behebung von Fehlfunktionen kann die Löschung von Daten erforderlich werden.

3.7

Datenverarbeitung für wissenschaftliche Zwecke Auf die Regelungen des § 28 DSG NRW wird verwiesen.

4

Vernichtung von Datenträgern

4.1

Aktenvernichtung Die Vernichtung von personenbezogenen Ausdrucken gemäß den geltenden Datenschutzbestimmungen, erfolgt durch eine spezielle Papierverwertungsfirma. Soweit keine Aktenvernichter der FernUniversität verwandt werden können, stehen in den Dienstgebäuden3 abgeschlossene Papiercontainer der Verwertungsfirma mit Einwurfschlitz für Ausdrucke mit personenbezogenen Daten zur Verfügung.

4.2

Mikrofiche Zu vernichtende Microfiche sind an die zuständige Stelle der Verwaltung4 zu leiten.

4.3

3 4

Beschreibbare und wiederbeschreibbare Datenträger Die Vernichtung von beschreibbaren und wiederbeschreibbaren Datenträgern, auf denen personenbezogene oder sonstige sensible Daten zu Sicherungszwecken gespeichert oder zwischengespeichert wurden, wie z. B. Disketten, CD R, CD RW, DVD oder Datensicherungsbänder, hat in der Weise zu erfolgen, dass die Datenträger vor der Vernichtung entweder durch eine neue Formatierung und Überschreibung oder bei Compactdisk R und RW sowie DVD durch Zerschneiden der Datenfläche unbrauchbar gemacht werden.

zurzeit:

AVZ, TGZ (IZ), ESG, K 5 und H 21

zurzeit:

Mikrofilmstelle

5

In-Kraft-Treten Diese Dienstanweisung tritt am 01.08.2005 in Kraft und gilt bis zum 30.09.2008. Sofern nach dem 30.09.08 keine neue Dienstanweisung erfolgt, gilt die Dienstanweisung fort. Mit gleichem Datum verlieren die unten aufgeführten bisherigen Dienstanweisungen / Verfügungen / Hinweise ihre Gültigkeit: –

Allgemeine Dienstanweisung für die datenschutzrechtliche Selbstkontrolle durch den Datenschutzbeauftragten der FeU vom 28.07.1987

–

Allgemeine Dienstanweisung zur personenbezogenen Datenverarbeitung vom 02.07.1990

–

Personenbezogene Datenverarbeitung für wissenschaftliche Zwecke (Verfügung vom 31.07.1990)

–

Vernichtung von Ausdrucken und Datenträgern mit personenbezogenen Daten

–

Hinweise zum Datenschutz im Telefaxverkehr

Hagen, den 28.11.2005

Für die FernUniversität in Hagen Die Kanzlerin

Der Rektor

gez.

gez.

Zdebel

Prof. Dr.-Ing. Hoyer

Anlage 1 Definitionen zum Datenschutz (Ziffer 1.5) (1)

Datenschutz ist der Schutz einer betroffenen Person vor einer unzulässigen Einschränkung ihres Rechts, selbst über die Preisgabe und Verwendung ihrer Daten zu bestimmen (Informationelles Selbstbestimmungsrecht).

(2)

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffene Person).

(3)

Datenverarbeitung umfasst als Oberbegriff das Erheben, Speichern, Verändern, Übermitteln, Sperren, Löschen sowie Nutzen personenbezogener Daten in Dateien und Akten.

a)

Im Einzelnen ist: Erheben (Erhebung) das Beschaffen von Daten über den Betroffenen,

b)

Speichern (Speicherung) das Erfassen, Aufnehmen oder Aufbewahren von Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung,

c)

Verändern (Veränderung) das inhaltliche Umgestalten gespeicherter Daten,

d)

Übermitteln (Übermittlung) das Bekanntgeben personenbezogener Daten an einen Dritten durch Weitergeben, Gewähren der Einsichtnahme oder Gestatten des Abrufes in einem automatisierten Verfahren,

e)

Sperren (Sperrung) das Verhindern weiterer Verarbeitung gespeicherter Daten,

f)

Löschen (Löschung) das Unkenntlichmachen gespeicherter Daten,

g)

Nutzen (Nutzung) jede sonstige Verwendung personenbezogener Daten, ungeachtet der dabei angewendeten Verfahren.

(4)

Anonymisieren (Anonymisierung) ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

(5)

Pseudonymisieren (Pseudonymisierung) ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Nutzung der Zuordnungsfunktion nicht oder nur mit einem unverhältnismäßigen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können. Die Daten verarbeitende Stelle darf keinen Zugriff auf die Zuordnungsfunktion haben; diese ist an dritter Stelle zu verwahren.

(6)

Dritter ist jede Person oder Organisationseinheit außerhalb der verantwortlichen Stelle; ausgenommen sind die betroffene Person sowie diejenigen Personen oder Stellen, die im Inland oder im übrigen Geltungsbereich der Rechtsvorschriften zum Schutz personenbezogener Daten der Mitgliedstaaten der Europäischen Union personenbezogene Daten im Auftrag verarbeiten.

(7)

Eine Datei ist jede Datensammlung, die nicht Akte ist (der Dateibegriff ist wegen Überflüssigkeit im neuen Datenschutzgesetz Nordrhein-Westfalen nicht mehr enthalten).

(8)

Eine Akte ist jede der Aufgabenerfüllung dienende Unterlage, die nicht Teil der automatisierten Datenverarbeitung ist.

(9)

Automatisiert ist eine Datenverarbeitung, wenn sie durch Einsatz eines gesteuerten technischen Verfahrens selbsttätig abläuft.

Anlage 2 Zuständigkeiten für Daten: Organisationseinheit

Verfahren / DV-System

Dezernat 2

Gebühren-, Belegungs- und Studierendendaten

Dezernat 2

Kurs-, Steuerungs- und Produktionsdaten

Dezernat 3

Personendaten und personenbezogene Finanzdaten

Dezernat 3

Finanz- und Sachverwaltungsdaten und Kostenrechnungsdaten

Dezernat 5

Liegenschaftsverwaltungsdaten

HÜF

Seminarverwaltungsdaten

ZMI

Integrierte Verzeichnisdienste (LDAP, Control-SA) LVU-Plattform Kurs-, Informations- und Steuerungssystem PKI-Verzeichnis IT-Geräteverwaltung ZenWorks Seminar- und Kursverwaltung Logdaten (temporär)

Campus Source

Softwaretechnologien für das Lehren und Lernen

Fakultäten / Prüfungsämter

Studierendenleistungsdaten

Ergänzungen für andere Organisationseinheiten werden laufend vom BDSB in Abstimmung mit diesen vorgenommen!