VII. ORDNUNGSVORSCHRIFTEN

Teil C "DATENSCHUTZORDNUNG"

Geltungsbereich

§ 1. Diese Ordnung gilt unter Berücksichtigung der Betriebs- und Benützungsordnung des Zentralen Informatikdienstes (ZID) und des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999, in der geltenden Fassung, für alle Organe und Einrichtungen der Technischen Universität Graz als Auftraggeber, sofern personenbezogene Daten verwendet werden.

Aufgabengebiete

§ 2. (1) Aufgabengebiete im Sinne dieser Ordnung sind insbesondere die Behandlung personenbezogener Daten im Zusammenhang mit der
  1. Vollziehung des UG 2002 sowie sonstiger einschlägiger Vorschriften
  2. Vollziehung des Dienst- und Besoldungsrechts (Personalverwaltung für sämtliche Bedienstete, Vortragende und Prüferinnen/Prüfer)
  3. Vollziehung der Haushalts- und Verrechnungsvorschriften
  4. Vollziehung der Studienvorschriften
  5. Vollziehung des universitären Forschungsauftrages und von Forschungsprojekten.
(2) Jedenfalls darf die Benutzung der Daten nur in der Art und in dem Umfang erfolgen, als hierfür eine ausdrückliche gesetzliche Ermächtigung - bezogen auf die Datenarten, die Kreise der Betroffenen und die Empfänger der Daten - besteht oder die Verwendung für die Auftraggeberin/den Auftraggeber zur Wahrnehmung der ihr/ihm gesetzlich übertragenen Aufgaben nachweislich eine wesentliche Voraussetzung bildet.

Grundsätze für die Verwendung

§ 3. (1) Die Bestimmungen über die Verwendung (Verarbeiten und Übermitteln) von Daten im Sinne des 2. Abschnittes des DSG 2000 sowie die Regelungen dieser Ordnung sind anzuwenden. Insbesondere ist dabei auf die schutzwürdigen Geheimhaltungsinteressen gemäß §§ 8 und 9 DSG 2000 Bedacht zu nehmen.

(2) Die Bediensteten oder sonstigen Auftragnehmerinnen/Auftragnehmer der Technischen Universität Graz dürfen nur jene Daten verwenden, die zur Erfüllung der ihnen laut Satzung, Geschäftseinteilung, Vertrag oder sonstiger innerorganisatorischer Regelungen ausdrücklich übertragenen Aufgaben erforderlich sind. Wird dabei ein Aufgabengebiet von mehreren Personen oder Einrichtungen mit Hilfe derselben technischen Einrichtungen vollzogen, so ist sicherzustellen, dass jeder nur über die in seine Zuständigkeit fallenden Daten verfügen kann.

(3) Wird zur Verwendung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, dass die ersuchte Stelle die Zulässigkeit bzw. Notwendigkeit der Übermittlung beurteilen kann. Insbesondere ist darzulegen, durch welche gesetzlichen Bestimmungen der Auftraggeberin/dem Auftraggeber jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu ermittelnden Daten eine wesentliche Voraussetzung bilden. Die Begründung kann entfallen, wenn die Zulässigkeit der Übermittlung für die ersuchte Stelle offenkundig ist oder anlässlich eines vorangegangenen Amtshilfeersuchens gleicher Art festgestellt wurde.

Datensicherheitsmaßnahmen

§ 4. (1) Die Rektorin/der Rektor trägt als Dienststellenleiterin/Dienststellenleiter der Technischen Universität Graz die Verantwortung für die Einhaltung der Bestimmungen des DSG 2000 sowie der Regelungen dieser Ordnung und hat insbesondere alle dafür notwendigen Maßnahmen zur Gewährleistung der Datensicherheit im Sinne des § 14 DSG 2000 zu treffen.

(2) Im Rahmen der gemäß Abs. 1 zu treffenden Maßnahmen hat die Rektorin/der Rektor jene Personen oder Organisationseinheiten zu bestimmen, die die Zutritts- und Zugriffsberechtigungen vergeben, ändern, kontrollieren und entziehen sowie die Berechtigungen zum Betrieb der Datenverarbeitungsgeräte festlegen. Hierbei ist eine Identifikation jedes Zugriffsberechtigten vorzusehen. Im Falle von elektronisch gespeicherten Daten ist der Zugriff auf das Betriebssystem einschließlich der System- und Netzwerksoftware darüberhinaus durch geeignete Maßnahmen (Passwort, Lese- und Schreibschlüssel) zu sichern.

Schutz des Datengeheimnisses

§ 5. (1) Alle Bediensteten sind von ihren Vorgesetzten über ihre Pflichten nach dem DSG 2000 und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihnen einzuhaltenden Datensicherheitsvorschriften gemäß dieser Ordnung sowie allfälliger von der Rektorin/vom Rektor erlassener Richtlinien zu belehren und von diesbezüglichen Änderungen umgehend und nachweislich in Kenntnis zu setzen.

(2) Sofern Personen, die in keinem Dienstverhältnis zum Bund stehen, auf Grund einer Tätigkeit bei der oder für die Technische Universität Graz oder auf sonstige Weise Daten anvertraut werden oder zugänglich sind (Drittmittelpersonal, Fremdpersonal, Werkvertragsnehmerinnen/Werkvertragsnehmer, freie Dienstnehmerinnen/Dienstnehmer, Studierende), ist dafür zu sorgen, dass sich diese schriftlich zur Wahrung des Datengeheimnisses verpflichten und wie Bedienstete informiert und kontrolliert werden.

(3) Für allfällige Dienstleisterinnen/Dienstleister sind in einer vertraglichen Vereinbarung die näheren Bestimmungen gemäß § 11 DSG 2000 festzulegen. Weiters ist zu überprüfen, ob die Dienstleisterin/der Dienstleister ihre Dienstnehmer/seine Dienstnehmer zur Einhaltung des Dienstgeheimnisses verpflichtet hat.

(4) Zur Gewährleistung einer ordnungsgemäßen und sicheren Verwendung von Daten sind von der Rektorin/vom Rektor in allen universitären Einrichtungen geeignete organisatorische, personelle, technische und bauliche Maßnahmen zu setzen.

(5) Bei der Erzeugung von Ausdrucken jeglicher Art von personenbezogenen Daten (z.B. Personenlisten, Adressetiketten und dgl.) ist der Auftrag, der Zweck und das Datum der Erstellung zu protokollieren. Unbrauchbare oder nicht mehr benötigte Ausdrucke oder sonstige Datenträger sind vom Auftraggeber so zu vernichten, dass sie nicht mehr rekonstruiert werden können.

Grundsätze für die Übermittlung

§ 6. Jede Übermittlung von Daten bedarf der ausdrücklichen Zustimmung der Rektorin/des Rektors (eine schriftliche Delegierung ist zulässig) und ist samt Grundlagen der Ermächtigung, dem Umfang der Daten sowie dem Datum der Übermittlung zu protokollieren.
Einem Ersuchen um Übermittlung von Daten darf nur entsprochen werden, wenn es auf einen Einzelfall gerichtet ist.

Grundsätze für die Überlassung

§ 7. (1) Die in § 1 genannten Auftraggeberinnen/Auftraggeber dürfen unter den in § 10 DSG 2000 genannten Voraussetzungen Dienstleister in Anspruch nehmen. Jede Überlassung von Daten an Dienstleisterinnen/Dienstleister bedarf jedoch der vorherigen ausdrücklichen Zustimmung des Rektors (eine schriftliche Delegierung ist zulässig).

(2) Die Einhaltung der Pflichten der Dienstleisterin/des Dienstleisters gemäß § 11 DSG 2000 sowie jene nach § 5 Abs. 3 dieser Ordnung ist durch die Auftraggeber vertraglich abzusichern und entsprechend zu kontrollieren.

Angabe der Registernummer

§ 8. (1) Die Rektorin/der Rektor sorgt für die Durchführung und laufende Aktualisierung der Meldung gemäß § 17 DSG 2000 an die Datenschutzkommission. Jeder Auftraggeber im Sinne des § 1 hat die der Technischen Universität Graz danach zugeteilte Registernummer (DVR-Nummer) bei Übermittlungen von Daten bzw. Mitteilungen an Betroffene auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, anzuführen.

(2) Diese Verpflichtung gilt auch für allfällige Dienstleisterinnen/Dienstleister und ist daher in den Vertrag gemäß § 7 Abs. 2 ausdrücklich aufzunehmen.