Datenschutzordnung der TU Graz - Entwurf

Rektoratsbeschluss xxx/2018 vom x.x.2018

§ 1 Geltungsbereich

(1) Diese Ordnung gilt unter Berücksichtigung der Europäischen Datenschutz-Grundverordnung (DSGVO) und des österreichischen Datenschutzgesetzes (DSG) idgF für die Technische Universität Graz als datenschutzrechtlich Verantwortlicher, alle Organe und Einrichtungen der Technischen Universität Graz sowie für Universitätsangehörige, sofern personenbezogene Daten bei der Wahrnehmung ihrer Aufgaben verarbeitet werden.
(2) Das Rektorat bestellt zur Unterstützung in sämtlichen Belangen des Datenschutzes einen Datenschutzbeauftragten und eine Datenschutzkoordination sowie einen Datenschutzbeirat und beschließt eine Geschäftsordnung für den Datenschutzbeirat und die Datenschutzkoordination.
(3) Das Rektorat erlässt zur Umsetzung der Datenschutzordnung eine gesonderte Datenschutzrichtlinie, die verpflichtend für alle Angehörigen der TU Graz gilt.

top

§ 2 Aufgabengebiete

Aufgabengebiete im Sinne dieser Ordnung sind insbesondere die Behandlung personenbezogener Daten im Zusammenhang mit der

  1. Vollziehung des UG 2002 sowie sonstiger einschlägiger Vorschriften
  2. Vollziehung des Dienst‐ und Besoldungsrechts sowie Arbeitsrechts (Personalverwaltung für sämtliche Bedienstete, Vortragende und Prüferinnen/Prüfer)
  3. Vollziehung der Haushalts‐ und Verrechnungsvorschriften
  4. Vollziehung der Studienvorschriften
  5. Vollziehung des universitären Forschungsauftrages und von Forschungsprojekten.

top

§ 3 Grundsätze für die Verarbeitung

(1) Bei der Verarbeitung personenbezogener Daten sind die Bestimmungen der DSGVO (v.a. die Grundsätze des Kapitels II, die Bestimmungen über die Informationspflichten gegenüber betroffenen Personen im Sinne des Kapitels III, die Bestimmungen über die Übermittlung von Daten an Auftragsverarbeiter in Kapitel IV, sowie die Bestimmungen über die Übermittlung personenbezogener Daten an Drittländer oder Internationale Organisationen in Kapitel V), die Bestimmungen des DSG sowie die Regelungen dieser Ordnung anzuwenden.
Insbesondere ist dabei auf die Anforderungen der Rechtmäßigkeit der Verarbeitung gemäß Art. 6 ff DSGVO Bedacht zu nehmen.

(2) Die Mitarbeiter/innen und Auftragsverarbeiter der Technischen Universität Graz dürfen nur jene personenbezogenen Daten verarbeiten, die zur Erfüllung der ihnen laut Gesetz, Satzung, Geschäftseinteilung, Vertrag oder sonstiger innerorganisatorischer Regelungen ausdrücklich übertragenen Aufgaben erforderlich sind.
Wird dabei ein Aufgabengebiet von mehreren Personen oder Einrichtungen mit Hilfe derselben technischen Einrichtungen vollzogen, so ist sicherzustellen, dass jeder nur auf die in seine Zuständigkeit fallenden Daten zugreifen kann.

top

§ 4 Datenschutz- und Datensicherheitsmaßnahmen

(1) Die Rektorin/der Rektor trägt als Dienststellenleiterin/Dienststellenleiter der Technischen Universität Graz die Verantwortung für die Einhaltung der Bestimmungen der DSGVO und des Datenschutzgesetzes sowie der Regelungen dieser Ordnung und hat insbesondere geeignete – dem mit der Datenverarbeitung verbundenen Risiko angepasste – technische und organisatorische Maßnahmen zu treffen, um Datenschutz und Datensicherheit entsprechend der DSGVO zu gewährleisten und dies auch nachzuweisen (Art. 24, Art. 32 DSGVO).
(2) Im Rahmen der gemäß Abs. 1 zu treffenden Maßnahmen hat die Rektorin/der Rektor jene Personen oder Organisationseinheiten zu bestimmen, die die Zutritts‐ und Zugriffsberechtigungen vergeben, ändern, kontrollieren und entziehen sowie die Berechtigungen zum Betrieb der Datenverarbeitungsgeräte festlegen.
Zu den gem. Abs. 1 zu ergreifenden Maßnahmen gehören auch Maßnahmen zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen.

top

§ 5 Schutz des Datengeheimnisses

(1) Alle Mitarbeiter/innen sind über ihre Pflichten nach der DSGVO, dem DSG und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihnen einzuhaltenden Datensicherheitsvorschriften gemäß dieser Ordnung sowie allfälliger von der Rektorin/vom Rektor erlassener Richtlinien sowie über die Folgen einer Verletzung des Datengeheimnisses zu belehren.
Darüber hinaus sind alle Mitarbeiter/innen der TU Graz vertraglich auf das Datengeheimnis gem. § 6 DSG zu verpflichten.
(2) Sofern Personen, die in keinem Dienst‐ oder Arbeitsverhältnis zur Technischen Universität Graz stehen, auf Grund einer Tätigkeit bei der oder für die Technische Universität Graz oder auf sonstige Weise personenbezogene Daten anvertraut werden oder zugänglich sind (z. B. Werkvertragsnehmer/innen, freie Dienstnehmer/innen, Studierende), ist dafür zu sorgen, dass sich auch diese schriftlich zur Wahrung des Datengeheimnisses gem. § 6 DSG verpflichten und wie Mitarbeiter/innen belehrt und kontrolliert werden.
(3) Mit Auftragsverarbeitern (Dienstleistern) ist ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abzuschließen und insbesondere sicherzustellen, dass der Auftragsverarbeiter seine zur Datenverarbeitung befugten Mitarbeiter/innen auf das Datengeheimnis verpflichtet hat (sowie seinerseits entsprechende Verpflichtungserklärungen der Mitarbeiter/innen bei Sub-Auftragsverarbeitern sicherstellt).
(4) Zur Gewährleistung einer ordnungsgemäßen und sicheren Verwendung von Daten sind von der Rektorin/vom Rektor in allen universitären Einrichtungen geeignete organisatorische, personelle, technische und bauliche Maßnahmen zu setzen.

top

§ 6 Grundsätze für die Übermittlung

Jede Übermittlung von Daten an Dritte bedarf der ausdrücklichen Zustimmung der Rektorin/des Rektors (eine schriftliche Delegierung ist zulässig) und ist samt Grundlagen der Ermächtigung, dem Umfang der Daten sowie dem Datum der Übermittlung zu protokollieren.
Einem Ersuchen um Übermittlung von Daten darf nur entsprochen werden, wenn es auf einen Einzelfall gerichtet ist.

top

§ 7 Grundsätze für die Auftragsverarbeitung

(1) Die in § 1 genannten Verantwortlichen dürfen unter den in Art. 28 DSGVO genannten Voraussetzungen Auftragsverarbeiter in Anspruch nehmen.
Jede Übermittlung von Daten an Auftragsverarbeiter bedarf jedoch der vorherigen ausdrücklichen Zustimmung des Rektors (eine schriftliche Delegierung ist zulässig).
(2) Mit Auftragsverarbeitern (Dienstleistern) ist ein Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abzuschließen und insbesondere ist sicherzustellen, dass der Auftragsverarbeiter nur auf dokumentierte Weisung des Verantwortlichen tätig wird und geeignete technische und organisatorische Maßnahmen ergriffen hat, um eine mit der DSGVO konforme Datenverarbeitung zu gewährleisten.
Die Einhaltung der Pflichten ist entsprechend zu kontrollieren.