Datenschutzordnung der TU Graz

Rektoratsbeschluss 106/1/2010-R/Cz vom 06.07.2010

(vom Senat in der Sitzung am 18.10.2010 auch als Satzungsteil beschlossen)


§1 Geltungsbereich

(1) Diese Ordnung gilt unter Berücksichtigung des Datenschutzgesetzes 2000 (DSG 2000), BGBl I Nr. 165/1999, in der geltenden Fassung, für alle Organe und Einrichtungen der Technischen Universität Graz als Auftraggeber, sofern personenbezogene Daten verwendet werden.
(2) Das Rektorat bestellt zu dessen Unterstützung in sämtlichen Belangen des Datenschutzes einen Datenschutzbeauftragten und eine Stellvertretung sowie zu deren Unterstützung einen Datenschutzbeirat und beschließt eine Geschäftsordnung für den Datenschutzbeirat und die Datenschutzbeauftragten.
(3) Das Rektorat erlässt zur Umsetzung der Datenschutzordnung eine gesonderte Datenschutzrichtlinie, die verpflichtend für alle Angehörigen der TU Graz gilt.

top

§2 Aufgabengebiete

Aufgabengebiete im Sinne dieser Ordnung sind insbesondere die Behandlung personenbezogener Daten im Zusammenhang mit der

  1. Vollziehung des UG 2002 sowie sonstiger einschlägiger Vorschriften
  2. Vollziehung des Dienst‐ und Besoldungsrechts (Personalverwaltung für sämtliche Bedienstete, Vortragende und Prüferinnen/Prüfer)
  3. Vollziehung der Haushalts‐ und Verrechnungsvorschriften
  4. Vollziehung der Studienvorschriften
  5. Vollziehung des universitären Forschungsauftrages und von Forschungsprojekten.

top

§3 Grundsätze für die Verwendung

(1) Die Bestimmungen über die Verwendung (Verarbeiten und Übermitteln) von Daten im Sinne des 2. Abschnittes des DSG 2000 sowie die Regelungen dieser Ordnung sind anzuwenden. Insbesondere ist dabei auf die schutzwürdigen Geheimhaltungsinteressen gemäß §§8 und 9 DSG 2000 Bedacht zu nehmen.
(2) Die Bediensteten oder sonstigen Auftragnehmerinnen/Auftragnehmer der Technischen Universität Graz dürfen nur jene Daten verwenden, die zur Erfüllung der ihnen laut Gesetz, Satzung, Geschäftseinteilung, Vertrag oder sonstiger innerorganisatorischer Regelungen ausdrücklich übertragenen Aufgaben erforderlich sind. Wird dabei ein Aufgabengebiet von mehreren Personen oder Einrichtungen mit Hilfe derselben technischen Einrichtungen vollzogen, so ist sicherzustellen, dass jeder nur über die in seine Zuständigkeit fallenden Daten verfügen kann.
(3) Wird zur Verwendung von Daten Amtshilfe in Anspruch genommen, so ist das Amtshilfeersuchen so zu begründen, dass die ersuchte Stelle die Zulässigkeit bzw. Notwendigkeit der Übermittlung beurteilen kann.
Insbesondere ist darzulegen, durch welche gesetzlichen Bestimmungen der Auftraggeberin/dem Auftraggeber jene Aufgaben übertragen sind, zu deren Wahrnehmung die zu ermittelnden Daten eine wesentliche Voraussetzung bilden. Die Begründung kann entfallen, wenn die Zulässigkeit der Übermittlung für die ersuchte Stelle offenkundig ist oder anlässlich eines vorangegangenen Amtshilfeersuchens gleicher Art festgestellt wurde.

top

§4 Datensicherheitsmaßnahmen

(1) Die Rektorin/der Rektor trägt als Dienststellenleiterin/Dienststellenleiter der Technischen Universität Graz die Verantwortung für die Einhaltung der Bestimmungen des DSG 2000 sowie der Regelungen dieser Ordnung und hat insbesondere alle dafür notwendigen Maßnahmen zur Gewährleistung der Datensicherheit im Sinne des §14 DSG 2000 zu treffen.
(2) Im Rahmen der gemäß Abs. 1 zu treffenden Maßnahmen hat die Rektorin/der Rektor jene Personen oder Organisationseinheiten zu bestimmen, die die Zutritts‐ und Zugriffsberechtigungen vergeben, ändern, kontrollieren und entziehen sowie die Berechtigungen zum Betrieb der Datenverarbeitungsgeräte festlegen.

top

§5 Schutz des Datengeheimnisses

(1) Alle Bediensteten sind von ihren Vorgesetzten über ihre Pflichten nach dem DSG 2000 und den innerorganisatorischen Datenschutzvorschriften, insbesondere über die von ihnen einzuhaltenden Datensicherheitsvorschriften gemäß dieser Ordnung sowie allfälliger von der Rektorin/vom Rektor erlassener Richtlinien zu belehren und von diesbezüglichen Änderungen umgehend und nachweislich in Kenntnis zu setzen.
(2) Sofern Personen, die in keinem Dienst‐ oder Arbeitsverhältnis zur Technischen Universität Graz stehen, auf Grund einer Tätigkeit bei der oder für die Technische Universität Graz oder auf sonstige Weise Daten anvertraut werden oder zugänglich sind (z. B. Werkvertragsnehmerinnen/ Werkvertragsnehmer, freie Dienstnehmerinnen/Dienstnehmer, Studierende), ist dafür zu sorgen, dass sich diese schriftlich zur Wahrung des Datengeheimnisses verpflichten und wie Mitarbeiter und Mitarbeiterinnen informiert und kontrolliert werden.
(3) Für allfällige Dienstleisterinnen/Dienstleister sind in einer vertraglichen Vereinbarung die näheren Bestimmungen gemäß §11 DSG 2000 festzulegen. Weiters ist zu überprüfen, ob die Dienstleisterin/der Dienstleister ihre Dienstnehmer/seine Dienstnehmer zur Einhaltung des Dienstgeheimnisses verpflichtet hat.
(4) Zur Gewährleistung einer ordnungsgemäßen und sicheren Verwendung von Daten sind von der Rektorin/vom Rektor in allen universitären Einrichtungen geeignete organisatorische, personelle, technische und bauliche Maßnahmen zu setzen.

top

§6 Grundsätze für die Übermittlung

Jede Übermittlung von Daten bedarf der ausdrücklichen Zustimmung der Rektorin/des Rektors (eine schriftliche Delegierung ist zulässig) und ist samt Grundlagen der Ermächtigung, dem Umfang der Daten sowie dem Datum der Übermittlung zu protokollieren.
Einem Ersuchen um Übermittlung von Daten darf nur entsprochen werden, wenn es auf einen Einzelfall gerichtet ist.

top

§7 Grundsätze für die Überlassung

(1) Die in §1 genannten Auftraggeberinnen/Auftraggeber dürfen unter den in §10 DSG 2000 genannten Voraussetzungen Dienstleister in Anspruch nehmen.
Jede Überlassung von Daten an Dienstleisterinnen/Dienstleister bedarf jedoch der vorherigen ausdrücklichen Zustimmung des Rektors (eine schriftliche Delegierung ist zulässig).
(2) Die Einhaltung der Pflichten der Dienstleisterin/des Dienstleisters gemäß §11 DSG 2000 sowie jene nach §5 (3) dieser Ordnung ist durch die Auftraggeber vertraglich abzusichern und entsprechend zu kontrollieren.

top

§8 Angabe der Registernummer

(1) Die Rektorin/der Rektor bzw. der Datenschutzbeauftragte sorgt für die Durchführung und laufende Aktualisierung der Meldung gemäß §17 DSG 2000 an die Datenschutzkommission.
Jeder Angehörige der Technischen Universität Graz hat die der Technischen Universität zugeteilte Registernummer (DVR: 008 1833) bei Übermittlungen von Daten bzw. Mitteilungen an Betroffene auf jedem Schriftstück, das automationsunterstützt verarbeitete Daten enthält, ausnahmslos anzuführen.
(2) Diese Verpflichtung gilt auch für allfällige Dienstleisterinnen/Dienstleister und ist daher in den Vertrag gemäß §7 (2) ausdrücklich aufzunehmen.