Einführung / Änderung von Datenverarbeitungsverfahren

Das Datenschutzgesetz des Landes NRW (DSG NRW) verpflichtet die Hochschulen, die zur Einhaltung des Datenschutzes notwendigen technischen und organisatorischen Maßnahmen zu treffen und Sicherheitskonzepte zu erstellen.

Deshalb ist bei der Einführung oder wesentlichen Veränderung von Verfahren zur automatisierten Verarbeitung personenbezogener Daten (alle DV-gestützten Verfahren) ein gesetzlich vorgegebenes Prüfungs- und Dokumentationsverfahren einzuhalten.

Vorabkontrolle

Bereits in der Planungsphase ist vom Datenschutzbeauftragten in Zusammenarbeit mit der Einrichtung, die das Verfahren einführen will, eine Vorabkontrolle durchzuführen.

In der Regel sind im Rahmen der Vorabkontrolle z. B. die folgenden Fragen zu beantworten:

  • Kann das Verfahren die Zulässigkeit der Datenverarbeitung nach § 4 Abs.1 DSG NRW gewährleisten?
  • Wird durch das Verfahren der Grundsatz der Datensparsamkeit (§ 4 Abs.2 DSG NRW) erfüllt, oder gibt es bessere Alternativen hierzu?
  • Werden durch das Verfahren die Rechte der Betroffenen gemäß § 4 Abs.4 sowie gemäß § 5 DSG NRW (Auskunft, Einsichtnahme, Widerspruch, Unterrichtung, Berichtigung, Sperrung, Löschung) gewährleistet?

Das Verfahren darf nur eingesetzt werden, wenn keine Gefahren für das Recht auf informationelle Selbstbestimmung bestehen.  Das Ergebnis der Vorabkontrolle ist aufzuzeichnen.

Verfahrensverzeichnis

Jedes Verfahren, das automatisiert personenbezogene Daten verarbeitet, ist in einem Verfahrensverzeichnis aufzulisten.

Das Verfahrensverzeichnis dient dazu, den Überblick darüber zu behalten, wo sich in der Hochschule peronenbezogene Daten befinden und wie sie behandelt werden. So können mögliche „Datenlecks" schneller gefunden werden.

Im Verfahrensverzeichnis wird dokumentiert, dass

  1. die technischen und organisatorischen Maßnahmen des Verfahrens die Vertraulichkeit, die Integrität und die Verfügbarkeit der Daten des Betroffenen sichern
  2. das Restrisiko tragbar ist
  3. welcher Schutzstufe das Verfahren zuzuordnen ist (normal, hoch, sehr hoch)

 

Einzelne Punkte des Verfahrensverzeichnisses gemäß § 8 DSG NRW sind:

  • Verantwortliche Stelle ( Name, Anschrift, Telefon )
  • Zweckbestimmung und Rechtsgrundlage der DV
  • Art der gespeicherten Daten
  • Kreis der Betroffenen
  • Fristen für Sperrung und LöschungZugriffsberechtigte Personen oder Personengruppen
  • Erhalt und Weitergabe von Daten
  • Sicherheitskonzept
    (Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungsgebot)