Dienstanweisung über den Datenschutz und die Datensicherung an der Universität Trier

(weitere Informationen auf der Internetseite http://rlp.juris.de/rlp/DSG_RP_rahmen.htm )

 

1. Anmeldepflicht

1.1 Gemäß § 27 Abs. 1. LDSG sind dem Landesbeauftragten für den Datenschutz zu melden:

  • alle Verfahren einschließlich der von ihnen betroffenen Dateien, mit denen personenbezogene Daten verarbeitet werden,
  • alle manuell geführten Dateien, aus denen personenbezogene Daten an Dritte übermittelt werden.

Die Anmeldung hat vor derersten Speicherung personenbezogener Daten durch den Anwender (das sind die Universitätsstellen bzw. -angehörigen, die solche Daten speichern wollen) über den Datenschutzbeauftragten der Universität Trier und das Ministerium für Wissenschaft, Weiterbildung, Forschung und Kultur zu erfolgen. Die Anmeldung soll sechs Wochen vor der ersten Speicherung dem Ministerium vorliegen. Formblätter hierzu sind bei dem Datenschutzbeauftragten der Universität (Herrn Dostert - Telefon: 201-4214) erhältlich.

1.2 Personenbezogene Daten sind nach der Begriffsbestimmung des Landesdatenschutzgesetzes Einzelangaben über persönliche oder sachliche Verhältnisse einer Person, wenn ihre Identität aufgrund dieser Einzelangaben festgestellt werden kann (z.B. Anschrift, Geburtsdatum, Familienstand, Einkommen, Staatsangehörigkeit, Berufsbezeichnung, Grundbesitz, Kfz-Kennzeichen, Werturteile, Prognosedaten).

 

2. Pflicht zur Geheimhaltung

2.1 Gemäß § 8 Abs. 1 LDSG ist allen Anwendern, die personenbezogene Daten verarbeiten, untersagt, diese Daten zu einem anderen als dem zur jeweiligen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder unbefugt zu offenbaren. Das Datengeheimnis besteht auch nach Beendigung der Tätigkeit fort.

2.2 Gemäß § 8 Abs. 2 LDSG sind alle Anwender, die personenbezogene Datenverarbeiten, bei der Aufnahme ihrer Tätigkeit über ihre Pflichten nach Absatz 2.1 sowie die sonstigen bei ihrer Tätigkeit zu beachtenden Vorschriften über den Datenschutz zu unterrichten und auf deren Einhaltung zu verpflichten. Die Verpflichtung erfolgt durch den unmittelbaren Vorgesetzten unter Anwendung des Vordrucks gemäß Anlage.

Dem/der Verpflichteten ist eine Durchschrift der Verpflichtung zusammen mit dem Text des Landesdatenschutzgesetzes in der jeweils geltenden Fassung sowie die Dienstanweisung auszuhändigen.

Die allgemeinen Geheimhaltungs- und Amtsverschwiegenheitspflichten (z.B. § 30 Verwaltungsverfahrensgesetz, § 70 Landesbeamtengesetz) bleiben unberührt.

 

3. Auskunfterteilung

Das Recht auf Auskunfterteilung über gespeicherte Daten ist unterschiedlich geregelt für

  • Mitarbeiterinnen/Mitarbeiter der Universität (s. Nr. 3.1)
  • andere Personen (s. Nr. 3.2).

 

3.1 Nach § 6 und § 18 LDSG sowie § 102 c LBG können Mitarbeiterinnen und Mitarbeiter im Hinblick auf ihre bei der Universität gespeicherten Daten Auskunft verlangen über z.B.

  • die zu ihrer Person gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger beziehen,
  • den Zweck der Speicherung und
  • Personen und Stellen, an die regelmäßig ihre Daten übermittelt werden, wenn diese Daten automatisiert verarbeitet werden.

3.2 Andere Personen können nach § 18 LDSG Auskunft beantragen über

  • die zu ihrer Person gespeicherten Daten und
  • die Stellen, denen diese Daten regelmäßig übermittelt werden.

3.3 Auskünfte nach Nr. 3.1 und 3.2 erteilen jeweils für ihren Zuständigkeitsbereich die Dekane/Dekaninnen, die Leiter/Leiterinnen wissenschaftlicher bzw. zentraler Einrichtungen oder Betriebseinheiten sowie die Abteilungsleiter/Abteilungsleiterinnen der zentralen Verwaltung gegen Erstattung der entstandenen Kosten.

 

4. Sicherungsmaßnahmen

 Zur Gewährung des Datenschutzes sind folgende Sicherungsmaßnahmen zu beachten:

 
4.1 Zugangskontrolle

Unbefugten ist der Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren. Deshalb sind

4.1.1 Räume oder Datenverarbeitungsanlagen, in/mit denen personenbezogene Daten verarbeitet werden, bei Abwesenheit der berechtigten Personen, auch wenn dies nur vorübergehend ist, zu verschließen/zu sichern. Gleichzeitig sollte ein Passwortschutz im Bios oder Vergleichbarem eingerichtet werden.

4.1.2 Datenträger mit personenbezogenen Daten (Disketten, Ausdrucke), sofern nicht mit ihnen gearbeitet wird, unter Verschluss zu halten.

 

4.2 Speicher-, Zugriffs-, Benutzer- und Datenträgerkontrolle

Es ist zu verhindern, dass Datenverarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung von Unbefugten benutzt werden können. Weiterhin ist zu verhindern, dass Datenträger unbefugt gelesen, kopiert, verändert, gelöscht oder entfernt werden können oder dass durch Unbefugte Eingaben vorgenommen werden. Es ist zu gewährleisten, dass berechtigte Personen ausschließlich auf die ihrer Berechtigung unterliegenden Daten zugreifen können.

4.2.1 Deshalb ist die Speicherung, Übermittlung, Veränderung und Löschung von Daten sowie deren Auswertung und Ausdruck nur auf Anweisung der Dekane/Dekaninnen, der Leiter/Leiterinnen der wissenschaftlichen und zentralen Einrichtungen und Betriebseinheiten sowie der Leiter/Leiterinnen der Abteilungen der zentralen Verwaltung sowie deren jeweiligen Beauftragten zulässig.

4.2.2 Die Fertigung der Kopie eines Datenträgers mit personenbezogenen Daten (z.B. Diskette) ist nur zulässig, wenn dies für die Aufgabenerfüllung oder zum Zweck der Datensicherung erforderlich ist. Bei Herstellung einer Kopie sind Zeitpunkt und Anlass aufzuzeichnen. Die Kopien sind getrennt von dem Originalbestand aufzubewahren.

4.2.3 Der Datenträger ist mit einem Aufkleber zu versehen, der folgende Angaben enthält:

  • Bezeichnung des Datenträgers
  • Kennzeichnung des Datenträgers als Original oder Kopie
  • Daten der letzten Änderung
  • Namenszeichnung des Verantwortlichen.

4.2.4 Der Zugang zu den Dateien mit personenbezogenen Daten ist nur für Dekane/Dekaninnen, Leiter/Leiterinnen der wissenschaftlichen und zentralen Einrichtungen und Betriebseinheiten sowie den Leitern/Leiterinnen der Abteilungen der zentralen Verwaltung sowie deren jeweiligen Beauftragten zulässig.

4.2.5 Ohne besondere Genehmigung des Präsidenten ist es unzulässig, Daten-verarbeitungsanlagen, auf den personenbezogene Daten gespeichert sind, mit Datenverarbeitungsanlagen zu vernetzen, die zu Lehr- oder Forschungszwecken eingesetzt werden.

Eine solche Genehmigung kann erteilt werden, wenn durch Vorlage eines Datenschutzkonzeptes der Nachweis erbracht wird, dass die personenbezogenen Daten durch Benutzer oder Benutzergruppen zu gruppenspezifischen Zugriffsberechtigungen oder durch benutzerbezogene Authentisierungsverfahren wirksam geschützt werden können. Die Genehmigung ist mit der Auflage zu verbinden, dass das vorgeschlagene Datenschutzkonzept in die Praxis umzusetzen ist.

Der Antrag ist zunächst an den Datenschutzbeauftragten der Universität Trier zu richten. Ein Anschluss nicht zugangsgeschützter Personalcomputer an ein Netz, auf dem personenbezogene Daten verarbeitet werden, ist nicht zulässig.

 
4.3 Eingabekontrolle

Es ist sicherzustellen, dass nachträglich feststellbar ist, welche personen-bezogenen Daten in welcher Zeit von wem in ein Datenverarbeitungssystem eingegeben worden sind. Deshalb sind Eingabe, Veränderung und Löschung solcher Daten automatisiert zu protokollieren. Ist dies aus technischen Gründen nicht möglich, sind sie in anderer Weise zu protokollieren.

Weiterhin hat die Personalabteilung mit dem Personalrat eine Dienstvereinbarung zu treffen, welche Stellen innerhalb der Personalverwaltung welche Informationen aus dem System erhalten dürfen, sowie unter welche Voraussetzungen entsprechende Auswertungen wem zur Verfügung gestellt werden dürfen.

4.4 Übermittlungskontrolle

Die Übermittlung personenbezogener Daten an Dritte ist unter Angabe des Empfängers und des Anlasses festzuhalten. Werden personenbezogene Daten als Ausdruck weitergegeben, so ist in den Auszügen auf die Geheimhaltungsvorschriften hinzuweisen.

4.5 Transportkontrolle

Die Versendung von Datenträgern mit personenbezogenen Daten (z.B. Disketten) ist in einem verschlossenen Umschlag durchzuführen. Die Versendung bzw. die Übergabe ist schriftlich festzuhalten. Die Übergabe von Hand zu Hand ist vorzuziehen.

4.6 Installation von Anwendungssoftware

Das eigenmächtige Installieren jeglicher Software auf den Computern der Dienststelle, soweit auf diesen personenbezogene Daten im Sinne von Abs. 1 gespeichert bzw. bearbeitet werden, wird untersagt.

 

5. Einwilligung der Betroffenen

Die Verarbeitung personenbezogener Daten ist zulässig, soweit die oder der Betroffene eingewilligt hat oder das Landesdatenschutzgesetz oder eine andere Rechtsvorschrift dies erlaubt und die Verarbeitung nach Maßgabe der Bestimmungen des Landesdatenschutzgesetzes erfolgt, sofern dem nicht besondere Rechtsvorschriften des Bundes oder Landes vorgehen. Auf die Ausnahmeregelung des § 5 des Landesdatenschutzgesetzes wird hingewiesen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Im Bereich der wissenschaftlichen Forschung kann ein solcher besonderer Umstand auch vorliegen, wenn durch die Schriftform der bestimmte Forschungszweck erheblich beeinträchtigt würde. In diesem Fall sind die Gründe, aus denen sich die erhebliche Beeinträchtigung des Forschungszweckes ergibt, schriftlich festzuhalten, ebenso die sich aus nachfolgendem ergebenden Hinweise. Die oder der Betroffene ist in geeigneter Weise über die Bedeutung der Einwilligung, den Verwendungszweck der Daten und den möglichen Empfängerkreis aufzuklären. Dabei ist die oder der Betroffene unter Darlegung der Rechtsfolgen darauf hinzuweisen, dass die Einwilligung verweigert und mit Wirkung für die Zukunft widerrufen werden kann.

 

6. Kontrolle

Die Kontrolle der Einhaltung dieser Dienstanweisung obliegt den Dekanen/Dekaninnen, Leitern/Leiterinnen der wissenschaftlichen und zentralen Einrichtungen und Betriebseinheiten sowie den Leitern/Leiterinnen der Abteilungen der zentralen Verwaltung.

 

Trier, im Januar 1999

 

Der Präsident

 

Professor Dr. Rainer Hettich