Satzungsteil
Datenschutzordnung
der Technischen Universität Graz

SA 92000 DASO 129-01

Der Senat der Technischen Universität Graz hat in seiner Sitzung am 24. Juni 2019 auf Vorschlag des Rektorates den Satzungsteil Datenschutzordnung der Technischen Universität Graz in der vorliegenden Form beschlossen.

Dieser Satzungsteil tritt mit Verlautbarung im Mitteilungsblatt am 7. August 2019 in Kraft.

§ 1 Geltungsbereich und Zuständigkeit

§ 2 Grundsätze der Verwendung

§ 3 Datensicherheitsmaßnahmen

§ 4 Schutz des Datengeheimnisses

§ 5 Grundsätze der Übermittlung

§ 6 Grundsätze der Überlassung

§ 7 Verarbeitungsverzeichnis

§ 1 Geltungsbereich und Zuständigkeit

(1) Diese Ordnung gilt unter Berücksichtigung der Datenschutz-Grundverordnung – DSGVO - sowie des Bundesgesetzes zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG), BGBl I Nr. 165/1999, in der geltenden Fassung, für alle Organe und Einrichtungen der Technischen Universität Graz als Verantwortliche, sofern personenbezogene Daten verwendet werden.

(2) Zur Wahrung des Datenschutzes von Mitarbeiterinnen und Mitarbeitern bildet die TU Graz einen Datenschutzbeirat zur Beschlussfassung über alle Fragen, die sich im Zusammenhang mit der Verarbeitung personenbezogener Daten von Mitarbeiterinnen und Mitarbeitern ergeben. Die Regelungen für diesen Beirat sind in der Rahmenbetriebsvereinbarung über die automationsgestützte Verarbeitung personenbezogener Daten von Arbeitnehmerinnen und Arbeitnehmern festgelegt. Das Aufgabengebiet betrifft personenbezogene Daten von Arbeitnehmerinnen und Arbeitnehmern.

(3) Das Rektorat bestellt zur Beratung in Angelegenheiten des Datenschutzes, die über den Bereich der Mitarbeiterinnen und Mitarbeiter hinausgehen, einen erweiterten Datenschutzbeirat. Dieser setzt sich zusammen aus:

  • zwei Rektoratsmitgliedern,
  • je zwei durch den Senat und die HTU nominierten Vertreterinnen bzw. Vertretern sowie
  • je eine nominierte Person aus den beiden Betriebsräten.
Für den erweiterten Datenschutzbeirat beschließt das Rektorat eine Geschäftsordnung. Das Aufgabengebiet betrifft unter Berücksichtigung des öffentlichen Auftrages der Universitäten insbesondere: Personenbezogene Daten von Studierenden, von weiteren Universitätsangehörigen (z. B. Privatdozentinnen und Privatdozenten, Forschungsstipendiatinnen und Forschungsstipendiaten) sowie von Externen (Bewerberinnen und Bewerbern um Stellen und Studien, Mitarbeiterinnen und Mitarbeitern von Dritten (extern und als Gäste)). Weiters beinhaltet es vertrauliche Daten ohne Bezug zu Personen, Verträgen, Arbeitsergebnissen usw. und Daten aus Forschungsprojekten (unter Berücksichtigung des FAIR-Data-Prinzips).

(4) Das Rektorat erlässt zur Umsetzung der Datenschutzordnung eine gesonderte Richtlinie zur Informationssicherheit der Technischen Universität Graz, die verpflichtend für alle Angehörigen der Technischen Universität Graz gilt.

§ 2 Grundsätze der Verwendung

(1) Die Bestimmungen über die Verwendung (Verarbeiten) von personenbezogenen Daten im Sinne der DSGVO und des DSG sowie die Regelungen dieser Ordnung sind anzuwenden. Insbesondere ist dabei auf die Grundsätze gemäß Artikel 5 und 6 der DSGVO Bedacht zu nehmen.

(2) Die Bediensteten oder sonstigen Auftragnehmerinnen und Auftragnehmer der Technischen Universität Graz dürfen nur jene Daten verwenden, die zur Erfüllung der ihnen laut Gesetz, Satzung, Geschäftseinteilung, Vertrag oder sonstiger innerorganisatorischer Regelungen ausdrücklich übertragenen Aufgaben erforderlich sind. Wird dabei ein Aufgabengebiet von mehreren Personen oder Einrichtungen mit Hilfe derselben technischen Einrichtungen vollzogen, so ist sicherzustellen, dass jede oder jeder nur über die in ihre oder seine Zuständigkeit fallenden Daten verfügen kann.

§ 3 Datensicherheitsmaßnahmen

(1) Die Rektorin oder der Rektor trägt als Dienststellenleiterin oder Dienststellenleiter der Technischen Universität Graz die Verantwortung für die Einhaltung der Bestimmungen der DSGVO und des DSG sowie der Regelungen dieser Ordnung und hat insbesondere alle dafür notwendigen Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Artikel 24, 25 und 32 DSGVO zu treffen.

(2) Im Rahmen der gemäß Abs. 1 zu treffenden Maßnahmen hat die Rektorin oder der Rektor jene Personen oder Organisationseinheiten zu bestimmen, die die Zutritts- und Zugriffsberechtigungen vergeben, ändern, kontrollieren und entziehen sowie die Berechtigungen zum Betrieb der Datenverarbeitungsgeräte festlegen.

§ 4 Schutz des Datengeheimnisses

(1) Alle Bediensteten sind von ihren Vorgesetzten über ihre Pflichten nach der DSGVO, insbesondere auch dem § 6 DSG und den innerorganisatorischen Datenschutzvorschriften sowie über die von ihnen einzuhaltenden Datensicherheitsvorschriften gemäß dieser Ordnung und allfälliger von der Rektorin oder vom Rektor erlassener Richtlinien zu belehren. Von diesbezüglichen Änderungen sind die Bediensteten unverzüglich und nachweislich in Kenntnis zu setzen.

(2) Sofern Personen, die in keinem Dienst- oder Arbeitsverhältnis zur Technischen Universität Graz stehen, auf Grund einer Tätigkeit bei der oder für die Technische Universität Graz oder auf sonstige Weise Daten anvertraut werden oder zugänglich sind (z. B. Werkvertragsnehmerinnen und Werkvertragsnehmer, freie Dienstnehmerinnen und freie Dienstnehmer, Studierende), ist dafür zu sorgen, dass sich diese schriftlich zur Wahrung des Datengeheimnisses verpflichten und wie Mitarbeiterinnen und Mitarbeiter informiert und kontrolliert werden.

(3) Für allfällige Auftragsverarbeiterinnen oder Auftragsverarbeiter oder mit der Technischen Universität Graz gemeinsam für die Verarbeitung Verantwortliche sind in einer vertraglichen Vereinbarung die näheren Bestimmungen gemäß der Artikel 26 oder Art 28 DSGVO festzulegen. Weiters ist zu überprüfen, ob die Auftragsverarbeiterinnen oder Auftragsverarbeiter oder mit der Technischen Universität Graz gemeinsam für die Verarbeitung Verantwortliche ihre oder seine Dienstnehmerinnen und Dienstnehmer zur Einhaltung des Dienstgeheimnisses verpflichtet haben.

(4) Zur Gewährleistung einer ordnungsgemäßen und sicheren Verwendung von Daten sind von der Rektorin oder vom Rektor in allen universitären Einrichtungen geeignete organisatorische, personelle, technische und bauliche Maßnahmen zu setzen.

§ 5 Grundsätze der Übermittlung

(1) Jede Übermittlung von Daten bedarf der ausdrücklichen Zustimmung der Rektorin oder des Rektors (eine schriftliche Delegierung ist zulässig) und ist samt Grundlagen der Ermächtigung, dem Umfang der Daten sowie dem Datum der Übermittlung zu protokollieren. Einem Ersuchen um Übermittlung von Daten darf nur entsprochen werden, wenn es auf einen Einzelfall gerichtet ist.

§ 6 Grundsätze der Überlassung

(1) Die Organe und Einrichtungen der TU Graz dürfen unter den in Artikel 26 oder 28 DSGVO genannten Voraussetzungen Auftragsverarbeiterinnen und Auftragsverarbeiter oder gemeinsam für die Verarbeitung Verantwortliche in Anspruch nehmen. Jede Überlassung von Daten an Auftragsverarbeiterinnen und Auftragsverarbeiter oder gemeinsam für die Verarbeitung Verantwortliche bedarf jedoch der vorherigen ausdrücklichen Zustimmung der Rektorin oder des Rektors (eine schriftliche Delegierung ist zulässig).

(2) Die Einhaltung der Pflichten der Auftragsverarbeiterinnen und Auftragsverarbeiter oder gemeinsam für die Verarbeitung Verantwortliche gemäß der Artikel 26 und 28 DSGVO sowie jene nach § 4 Abs. 3 dieser Ordnung ist durch die Verantwortlichen vertraglich abzusichern und entsprechend zu kontrollieren.

§ 7 Verarbeitungsverzeichnis

(1) Die Rektorin oder der Rektor bzw. die Datenschutzkoordination sorgt für die Erstellung und laufende Führung (Aktualisierung) eines Verarbeitungsverzeichnisses gemäß Artikel 30 DSGVO. Dieses Verzeichnis enthält sämtliche Verarbeitungsvorgänge für die gesamte TU Graz und ersetzt die bisherige Meldung an das Datenverarbeitungsregister.