Rubriken

2. Allgemeine Regelung über die Zuständigkeit und Verantwortlichkeit

Illustration

2.1 Grundsatz

2.2 Dezentrale Gewährleitstung des Datenschutzes (Dezernats- und institutsinterne Datenschutzfunktion)

2.3 Zentrale Gewährleistung des Datenschutzes (Datenschutzbeauftragte/-beauftragter)

  1. Bestellung
  2. Aufgaben der/ des Behördlichen Datenschutzbeauftragten
  3. Unterrichtungspflicht
  4. Organisatorische und fachliche Anbindung

2.4 Allgemeine Maßnahmen zur Umsetzung


2.1 Grundsatz

Die Organisationseinheiten (Ziffer 1.4) sind für die Einhaltung der jeweils anzuwendenden Vorschriften über den Datenschutz zuständig und verantwortlich, soweit sie im Rahmen ihrer bestehenden Aufgaben

  • personenbezogene Daten beschaffen, z. B. über Vordrucke oder Makros von der / dem Betroffenen bzw. aus automatisiert geführten Dateien anderer Stellen,
  • Akten bzw. Dateien, die personenbezogene Daten enthalten, anlegen, verwalten, führen, nutzen oder vernichten bzw. löschen und versenden (auch Telefaxverkehr),
  • Akten und Vorgänge im Rahmen von Amtshilfe versenden,
  • Auskünfte erteilen und Einsicht gewähren.

2.2 Dezentrale Gewährleistung des Datenschutzes (Dezernats- und institutsinterne Datenschutzfunktion)

In ihrer Zuständigkeit und Verantwortlichkeit für den Datenschutz übernehmen die Leitungen der Organisationseinheiten (Ziffer 1.4) die Aufgabe, die Vorgaben des Datenschutzes vor Ort umzusetzen und die dazu erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit zu veranlassen. Sie sind Ansprechpersonen der Organisationseinheiten für Belange des Datenschutzes.

2.3 Zentrale Gewährleistung des Datenschutzes (Datenschutzbeauftragte/-beauftragter)

2.31 Bestellung

Die Kanzlerin / der Kanzler der FernUniversität in Hagen überträgt einer Mitarbeiterin oder einem Mitarbeiter die Funktion der / des Behördlichen Datenschutzbeauftragten (BDSB) und bestellt eine allgemeine Vertreterin oder einen allgemeinen Vertreter.

2.32 Aufgaben der/des Behördlichen Datenschutzbeauftragten

Die / Der BDSB ist zur Beantwortung aller Fragen, die Datenschutz und Datensicherheit betreffen, zuständig. Sie / Er hat gemäß § 32a DSG NRW insbesondere folgende Aufgaben:

  • Beratung der Hochschulleitung in Grundsatzfragen zum Datenschutz; Beratung und Unterstützung der Organisationseinheiten (Ziffer 1.4) einschließlich der Personalvertretung in allen Fragen des Datenschutzes und der Datensicherheit,
  • Unmittelbare Ansprechperson aller Beschäftigten der FernUniversität in Hagen in Angelegenheiten des Arbeitnehmerdatenschutzes, ferner der Studierenden in Fragen zu Datenschutz und Datensicherheit,
  • Federführung in der Korrespondenz mit dem / der Landesbeauftragten für den Datenschutz Nordrhein-Westfalen (LfD NRW),
  • Führung des Verzeichnisses automatisiert geführter Verfahren (Verfahrensverzeichnis) für die Organisationseinheiten (Ziffer 1.4) gemäß § 32a Abs. 3 DSG NRW; Gewährung von Einsicht durch berechtigte Personen,
  • Beteiligung bei der Planung und Entwicklung (sog. Vorabkontrolle gemäß § 10 Abs. 3 DSG NRW), Einführung und dem Betrieb von IT-Verfahren zur Verarbeitung personenbezogener Daten (z. B. Beratung und Mitarbeit bei der Erstellung einer Risikoanalyse, Abschätzung der Folgen und Prüfung der rechtlichen Zulässigkeit des Verfahrens); Beteiligung bei der Erarbeitung von Konzepten zur Datensicherheit im IT-Bereich,
  • Veranlassung von sog. Datenschutzaudits gemäß § 10a DSG NRW (Prüfung und Bewertung von Datenschutzkonzepten durch unabhängige Gutachten, Veröffentlichung),
  • Mitwirkung in Projekten mit datenschutzrelevanten Komponenten, insbesondere bei der Erarbeitung von Satzungen, Dienstvereinbarungen, Geschäftsordnungen, Richtlinien und Rundschreiben,
  • Mitwirkung bei der Entwicklung von Formularen und Makros, mit denen personenbezogene Daten verarbeitet werden, und bei der Formulierung von Verträgen, deren Gegenstand die Verarbeitung personenbezogener Daten ist (z. B. Datenverarbeitung im Auftrag),
  • Überwachung der Organisationseinheiten (Ziffer 1.4) auf die Einhaltung der Vorgaben zu Datenschutz und Datensicherheit; ggf. Auswertung von Protokolldateien; Überwachung von Auftragnehmern im Rahmen von Datenverarbeitung im Auftrag,
  • Teilnahme an internen Arbeitskreisen; Vertretung der FernUniversität in externen Arbeitskreisen und Gremien,
  • Entwicklung von Schulungskonzepten und Durchführung von Schulungen zu datenschutzrechtlichen Themen, ggf. in Zusammenarbeit mit anderen Stellen,
  • Beratung in Angelegenheiten des Informationsfreiheitsgesetzes NRW (IFG NRW) von allgemeiner Bedeutung sowie in besonders gelagerten Einzelfällen.

Der / Dem BDSB ist zur Durchführung seiner Aufgaben Zugang zu allen Räumen, Einsicht in Akten und Dateien zu gewähren; die Einsicht in Personalakten bedarf grundsätzlich der Zustimmung der / des Betroffenen. Stellt die/der BDSB Verstöße gegen Vorgaben zu Datenschutz und Datensicherheit fest, kann sie/er diese beanstanden und die betroffene Organisationseinheit (Ziffer 1.4) zu einer Stellungnahme auffordern; mit der Beanstandung können Vorschläge zur Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbunden werden.

Unbenommen von den obigen Zuständigkeiten sind die Rechte der Personalräte nach dem LPVG zu berücksichtigen.

2.33 Unterrichtungspflicht

Die / Der BDSB ist aus allen Anlässen, die Gesetze, Rechtsvorschriften und verwaltungsinterne Regelungen - soweit sie die Verarbeitung personenbezogener Daten betreffen - festlegen, insbesondere bei Vorhaben von Software-Einsatz, Datenverarbeitung im Auftrag, Outsourcing (Funktionsübergang) oder Fremdnutzung zu übermittelnder Daten, sowohl von der Organisationsabteilung als auch von der betreffenden Organisationseinheit (Ziffer 1.4) aktuell unaufgefordert, rechtzeitig und umfassend zu informieren.

2.34 Organisatorische und fachliche Anbindung

Die / Der BDSB ist gemäß § 32a Abs. 2 DSG NRW organisatorisch dem Büro der Kanzlerin/ des Kanzlers als Stabsstelle zugeordnet. Fachlich untersteht sie/er unmittelbar der Kanzlerin / dem Kanzler. Die / Der BDSB arbeitet vertrauensvoll mit den Personalräten zusammen.

2.4 Allgemeine Maßnahmen zu Umsetzung

Es sind Maßnahmen zu treffen, die geeignet sind, zu gewährleisten, dass

  • nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),
  • personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),
  • personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
  • jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),
  • festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),
  • die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).

Beim Kauf von Fremd-Software unter Beteiligung des Zentrums für Medien und IT und / oder der Abteilung Organisation / DV-Angelegenheiten sind diese für die Datensicherheit gewährleistenden Eigenschaften zuständig.

Datenschutzbeauftragter 04.03.2010
FernUni-Logo FernUniversität in Hagen, D-58084 Hagen, Telefon: +49 (2331) 987-01, E-Mail: fernuni@fernuni-hagen.de