Inhaltspezifische Aktionen

1.71.00 Nr. 2 Datenschutz im öffentlichen Bereich

1.80.00 Nr. 2
 PDF Download als PDF-Dokument

Datenschutz im öffentlichen Bereich
 Hinweis vom 14. April 1999


Hess. Ministerium des
Inneren u. für Sport		 StAnz. Seite
Datenschutz im
öffentlichen Bereich		 14.04.1999 Nr. 17/1999 1226-1236






Datenschutz im öffentlichen Bereich

hier: Durchführung der §§ 6 (Verfahrensverzeichnis) und 15 (Gemeinsames Verfahren) des Hessischen Datenschutzgesetzes (HDSG) in der Fassung vom 7. Januar 1999 (GVBl. I S. 98)

Nach dem ab 1. Juni 1999 geltenden § 6 Abs. 1 HDSG hat jede der in § 3 Abs. 1 HDSG genannten öffentlichen Stellen, die im Rahmen eines automatisierten Verfahrens personenbezogene Daten speichert oder gemäß § 4 HDSG im Auftrag speichern lässt, sicherzustellen, dass der für den Einsatz des Verfahrens Zuständige ein für den behördlichen Datenschutzbeauftragten bestimmtes Verzeichnis nach dem als Anlage abgedruckten ersten Muster erstellt. Ein Verfahren ist die Gesamtheit aller automatisierten Verarbeitungsschritte zur rechtmäßigen Erfüllung eines bestimmten Verwaltungszweckes.

Ein solcher fachbezogener Verwaltungszweck ist zum Beispiel die automatisierte Zeiterfassung (Rechtsgrundlage § 34 HDSG) oder die Altlastensanierung (Rechtsgrundlage § 18 HAltlastG).

Für Standardverfahren, die ohne Anbindung an eine bestimmte Verwaltungsaufgabe übergreifend als "Werkzeug" für verschiedene Aufgaben eingesetzt werden, ist kein Verfahrensverzeichnis zu erstellen. Dies gilt zum Beispiel für Standardprogramme zur Erstellung und Weiterleitung von Texten aller Art, die allgemeine Schriftgutverwaltung oder für Telefonanlagen mit Speicher, die von der öffentlichen Stelle insgesamt genutzt werden. (Allerdings müssen auch für diese Verfahren die Zulässigkeitsvoraussetzungen des HDSG wie die Erforderlichkeit nach § 11 Abs. 1 oder die Vorabkontrolle nach § 7 Abs. 6 erfüllt sein.)

Wird ein Standardverfahren als "Werkzeug" zur Erfüllung eines bestimmten Verwaltungszweckes eingesetzt, dann ist diese Tatsache in das für die jeweilige Aufgabe zu erstellende Verfahrensverzeichnis (siehe 8.3 des ersten Musters) aufzunehmen, wenn das Standardverfahren in diese Verwaltungsaufgabe eingebunden und auf sie abgestellt ist.

Für Gemeinsame Verfahren nach § 15 HDSG ist ein Gesamtverzeichnis nach dem als Anlage abgedruckten zweiten Muster zu erstellen. Dieses Verzeichnis wird von der federführenden Stelle unter Mitwirkung aller Teilnehmer erstellt und bei ihr und allen Teilnehmern vom behördlichen Datenschutzbeauftragten aufbewahrt. Außerdem erhält die federführende Stelle ein Doppel der von den Teilnehmern zu erstellenden Verzeichnisse aller Verfahren nach § 6 HDSG, die Teil des Gemeinsamen Verfahrens sind.

Die abgedruckten Muster können als Vorlage für die Textverarbeitung Microsoft Word sowohl aus dem Hessischen Landesintranet als auch aus dem Internet unter folgenden Adressen heruntergeladen werden:



Landesintranet:
http://www.intern.hessen.de/HDSG-Vz

Internet:
http://www.hessen.de/hdsb/HDSG-Vz

Bei der Oberfinanzdirektion Frankfurt am Main - Referat Beschaffungswesen -, Rheingaustraße 186, 65203 Wiesbaden, ist der Vordruck zum Verfahrensverzeichnis nach § 6 HDSG (erstes Muster) unter der Nr. 1.210 erhältlich.



Wiesbaden, 14. April 1999

Hessisches Ministerium des Innern und für Sport



II B 2 - 98a 0801
Gült.-Verz. 300 -
StAnz. 17/1999 S. 1226

Verfahrensverzeichnis nach § 6 HDSG
____ lfd. Nr.
neues Verfahren
Änderung

Das Verzeichnis ist zur Einsichtnahme bestimmt (§ 6 Abs. 2 HDSG)


Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt.
Ausgenommen sind die Angaben nach § 6 Abs. 1 Satz 1 Ziffern 7, 8 und 11 HDSG


Das Verzeichnis ist nicht zur Einsichtnahme bestimmt (§ 6 Abs. 2 Satz 2 HDSG)


Das Verfahren ist Teil eines gemeinsamen Verfahrens nach § 15 HDSG federführende Stelle:
1. Name und Anschrift der datenverarbeitenden Stelle

1.1 Name und Anschrift

1.2 Organisationskennziffer, Amt, Abteilung, ggf. Sachgebiet

1.3 Name u. Anschrift des Auftragnehmers, wenn die Daten nach § 4 HDSG in Auftrag verarbeitet werden
2. Zweckbestimmung und Rechtsgrundlage der Datenverarbeitung

2.1 Zweckbestimmung

2.2 ggf. Bezeichnung des Verfahrens

2.3 Rechtsgrundlage (ggf. nach Art der DV unterschieden)
3. Art der gespeicherten Daten

lfd. Nr.
Datum nach § 7 Abs. 4
Ja Nein
































4. Kreis der Betroffenen

lfd. Nr.














5. Art regelmäßig übermittelter Daten, deren Empfänger sowie Art und Herkunft regelmäßig empfangener Daten

5.1
lfd. Nr. aus Ziffer 3 Empfänger der Daten













5.2
lfd. Nr. aus Ziffer 3 Herkunft der Daten












6. Zugriffsberechtigte Personen oder Personengruppen

lfd. Nr.
















7. Technische und organisatorische Maßnahmen (§ 10 Abs. 2 HDSG)

Folgende aufeinander aufbauende Festlegungen wurden getroffen:

Hinsichtlich der allgemeinen Sicherheit wird auf das vorhandene Sicherheitskonzept verwiesen.

Erläuterungen zu den einzelnen Maßnahmen, insbesondere soweit diese das Verfahren betreffen:
Zutrittskontrolle (z. B. DV-Technik in gesicherten Räumen, Sicherheitsschlösser vorhanden)






Benutzerkontrolle (z. B. Passwortregelungen zur Authentifizierung, automatische Bildschirmsperrung)






Zugriffskontrolle (z. B. Differenzierte Zugriffe auf einzelne Felder, unterschiedliche Berechtigungen)




Datenverarbeitungskontrolle (z. B. kein Zugriff auf Betriebssystemebene, Verschlüsselung von Daten)






Verantwortlichkeitskontrolle (z. B. Protokollierung der Dateneingabe, Aufbewahren der Protokolldaten)






Auftragskontrolle (z. B. klare Vertragsregelungen mit dem Auftragnehmer, Prüfung der Zuverlässigkeit)




Dokumentationskontrolle (z. B. klare und umsetzbare Dokumentation, Überprüfung der Maßnahme)






Organisationskontrolle (Festlegung klarer Zuständigkeiten und Verantwortlichkeiten)






8. Technik des Verfahrens

8.1

Einzelplatzrechner / Arbeitsplatzrechner / stand alone PC

Betriebssystem:


Unix
Windows NT
Windows
anderes


weiter mit Ziff. 8.3





8.2

Vernetzte Rechner
8.2.1 Hardware

Großrechner

Betriebssystem: (z.B. UNIX / OS)

Datenendgerät:
Terminal / Netz-PC (ohne Laufwerk/Festplatte)




PC (Arbeitsplatzrechner / Workstation)

Server

Betriebssystem: (z.B. Windows NT)

Datenendgerät:
Terminal / Netz -PC (ohne Laufwerk /Festplatte)




PC (Arbeitsplatzrechner / Workstation)


Sonstige eingesetzte Hardware ( z.B. Chipkarte, Kartenlesegeräte, Videogeräte)
8.2.2 Netzstruktur

Netz innerhalb der Behörde (Intranet)

Lan
Intranet
sonstiges_

Netz über externe Leitungen innerhalb eines geschlossenen Benutzerkreises (z.B. KIV, KGRZ, Hessische Landesverwaltung)


KIV / KGRZ
Netz der Landesverwaltung

sonstiges




(HCN 2000)


Offene Netze (z.B. Internet)
8.2.3 Datenspeicherung auf : Art der Daten (lfd. Nr. aus Ziffer 3):

Großrechner _

Server innerhalb der Behörde _

Server bei anderen Institutionen _

PC / Arbeitsplatzrechner
8.3

Eingesetzte Software (einschl. Standardverfahren) Version/Stand/Datum:

9. Fristen für die Löschung gem. § 19 Abs. 3 HDSG

Frist für Löschung:

 _
(ggfs. unterschiedliche Löschungsfristen für einzelne Datenarten aufführen) _

Frist oder Zeitpunkt für die Überprüfung der Erforderlichkeit der Datenbestände (§19 Abs. 3 HDSG)

 _

10. Beabsichtigte Datenübermittlung nach § 17 Abs. 2 HDSG
lfd. Nr. aus Ziffer 3 Empfänger







11. Begründetes Ergebnis der Vorabkontrolle gemäß § 7 Abs. 6 HDSG
Dokumentation der Vorabkontrolle


12. Begründetes Ergebnis der Vorabkontrolle gemäß § 7 Abs. 6 HDSG
Wenn der Raum einzelner Spalten nicht ausreicht, sind dort Buchstaben (o. andere Zeichen) einzutragen, die an dieser Stelle näher erläutert werden.







Gesamtverzeichnis für gemeinsame Verfahren nach § 15 HDSG
____ lfd. Nr.
neues Verfahren
Änderung

Das Verzeichnis ist zur Einsichtnahme bestimmt (§ 15 Abs. 2 Satz 2 HDSG)

Das Verzeichnis ist nur teilweise zur Einsichtnahme bestimmt.
Ausgenommen sind die Angaben nach § 6 Abs. 1 Satz 1 Ziffern 7, 8 und 11 HDSG

Das Verzeichnis ist nicht zur Einsichtnahme bestimmt (§ 6 Abs. 2 Satz 2 HDSG)

1. Bezeichnung der federführenden Stelle nach § 15 Abs. 2 Satz 1 HDSG und ggf. des Verfahrens

1.1 Name und Anschrift der federführenden Stelle

1.2 Organisationskennziffer, Amt, Abteilung, ggf. Sachgebiet

1.3 ggf. Bezeichnung des Verfahrens

1.4 Name und Anschrift des Auftragnehmers, wenn die Daten nach § 4 HDSG in Auftrag verarbeitet werden

2. Teilnehmer
lfd. Nr. Name und Anschrift öffentliche Stelle
Ja Nein





















3. Aufgabe der Teilnehmer (Zweckbestimmung ihrer Datenverarbeitung)
lfd. Nr. aus Ziffer 2















4. Art der gespeicherten Daten
lfd. Nr.
Datum nach § 7 Abs. 4 HDSG
Ja Nein





















5. Berechtigung für

5.1 Speicherung, Veränderung, Löschung
Teilnehmer
(lfd. Nr. aus Ziffer 2)		 Datenart
(lfd. Nr. aus Ziffer 4)		 ggf. Ergänzung der Berechtigung (z.B. auf bestimmte Anlässe, Zeiträume usw.)
















5.2 Abruf
Teilnehmer
(lfd. Nr. aus Ziffer 2)		 Datenart
(lfd. Nr. aus Ziffer 4)		 ggf. Ergänzung der Berechtigung (z.B. auf bestimmte Anlässe, Zeiträume usw.)
















5.3 Übermittlung
Teilnehmer
(lfd. Nr. aus Ziffer 2)		 Datenart
(lfd. Nr. aus Ziffer 4)		 ggf. Ergänzung der Berechtigung (z.B. auf bestimmte Anlässe, Zeiträume usw.)
















5.4 Sonstige Verarbeitung
Teilnehmer
(lfd. Nr. aus Ziffer 2)		 Datenart
(lfd. Nr. aus Ziffer 4)		 ggf. Ergänzung der Berechtigung (z.B. auf bestimmte Anlässe, Zeiträume usw.)
















6. Technische und organisatorische Maßnahmen (§10 Abs. 2 HDSG)

Folgende aufeinander aufbauende Festlegungen wurden getroffen:

Hinsichtlich der allgemeinen Sicherheit wird auf das vorhandene Sicherheitskonzept verwiesen.

Erläuterungen zu den einzelnen Maßnahmen, insbesondere soweit diese das Verfahren betreffen:
Zutrittskontrolle (z. B. DV-Technik in gesicherten Räumen, Sicherheitsschlösser vorhanden)






Benutzerkontrolle (z. B. Passwortregelungen zur Authentifizierung, automatische Bildschirmsperrung)






Zugriffskontrolle (z. B. Differenzierte Zugriffe auf einzelne Felder, unterschiedliche Berechtigungen)




Datenverarbeitungskontrolle (z. B. kein Zugriff auf Betriebssystemebene, Verschlüsselung von Daten)






Verantwortlichkeitskontrolle (z. B. Protokollierung der Dateneingabe, Aufbewahren der Protokolldaten)






Auftragskontrolle (z. B. klare Vertragsregelungen mit dem Auftragnehmer, Prüfung der Zuverlässigkeit)




Dokumentationskontrolle (z. B. klare und umsetzbare Dokumentation, Überprüfung der Maßnahme)






Organisationskontrolle (Festlegung klarer Zuständigkeiten und Verantwortlichkeiten)







7. Begründetes Ergebnis der Vorabkontrolle gemäß § 7 Abs. 6 HDSG
Dokumentation der Vorabkontrolle

8. Ergänzungen
Wenn der Raum einzelner Spalten nicht ausreicht, sind dort Buchstaben (o.andere Zeichen einzutragen, die hier näher erläutert werden