logo

Datenschutz

Die auf unseren Webseiten verwendeten Buttons stellen den direkten Kontakt zwischen NOBIS FUTURUM und Besuchern erst dann her sofern der Anfragebutton oder der Abrufbutton für ein Angebot genutzt wird und das Versenden beauftragt wurde. So schützen wir die Privatsphäre unserer Besucher vor der übertriebenen Neugierde sozialer Netzwerke wie Facebook, Google+ und Twitter. Für die Besucher reicht ein Klick, um eine Seite mit Freunden zu teilen. Die Nutzung unserer Websites ist ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name, Anschrift oder E-Mail-Adressen) erhoben werden, erfolgt dies stets auf freiwilliger Basis.

Erhebung und Verarbeitung nicht-personenbezogener Daten

Jeder Zugriff auf unserem Internetauftritt wird protokolliert. Die Speicherung dient internen systembezogenen und statistischen Zwecken. Dazu wird ein Statistikprogramm und Webanalysedienst benutzt. Beide verwenden so genannte "Cookies", Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Benutzung der Website ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Website (einschließlich Ihrer IP-Adresse) wird an einen Server übertragen und dort gespeichert. Diese Informationen werden benutzt um die Nutzung unserer Webseiten auszuwerten, um Reports über die Websiteaktivitäten für uns zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Diese Informationen werden gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben ist oder soweit Dritte diese Daten im Auftrag verarbeiten. In keinem Fall wird Ihre IP-Adresse mit anderen Daten in Verbindung gebracht. Die erhobenen Nutzungsdaten bleiben bei uns und werden nicht weitergegeben.

YouTube

Wir nutzen zum Einbinden von Videos den sogenannten „Erweiterten Datenschutzmodus“ des Anbieters YouTube. Dabei wird erst bei Abspielen des Videos ein Cookie auf Ihrem Rechner gespeichert. Laut YouTube werden jedoch keine personenbezogenen Cookie-Informationen für Wiedergaben von eingebetteten Videos mit erweitertem Datenschutz gespeichert. Weitere Informationen zur offiziellen Datenschutz-Politik von YouTube erhalten Sie hier: https://www.google.de/intl/de/policies/privacy/
Möchten Sie sichergehen, dass keine Daten von Ihnen bei YouTube gespeichert werden, so klicken Sie die eingebetteten Videos nicht an. Sie können die Installation der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern. Wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall möglicherweise nicht sämtliche Funktionen dieser Website nutzen können.

Nutzung und Weitergabe personenbezogener Daten

Soweit Sie uns personenbezogene Daten zur Verfügung gestellt haben, verwenden wir diese nur zur Beantwortung Ihrer Anfragen, zur Abwicklung mit Ihnen geschlossener Verträge und für die technische Administration. Daten, die Sie an uns per E-Mail übermitteln, werden ohne Verschlüsselung versandt. Auf die Datensicherheit während der E-Mail-übermittlung haben wir keinen Einfluss.
Ihre personenbezogenen Daten werden an Dritte nur weitergegeben oder sonst übermittelt, wenn dies zum Zwecke der Vertragsabwicklung notwendig sind – insbesondere Weitergabe von Informationen an Abholdienste, behandelnde Ärzte und Therapeuten und an die Pflegedienstleitung. Ferner, wenn dies zu Abrechnungszwecken erforderlich ist oder Sie zuvor eingewilligt haben. Sie haben das Recht, eine erteilte Einwilligung mit Wirkung für die Zukunft jederzeit zu widerrufen. Die Löschung der gespeicherten personenbezogenen Daten erfolgt, wenn Sie Ihre Einwilligung zur Speicherung widerrufen, wenn ihre Kenntnis zur Erfüllung des mit der Speicherung verfolgten Zwecks nicht mehr erforderlich ist oder wenn ihre Speicherung aus sonstigen gesetzlichen Gründen unzulässig ist.

Auskunftsrecht

Auf schriftliche Anfrage werden wir Sie gern über die zu Ihrer Person gespeicherten Daten informieren.

Sicherheitshinweis

Wir sind bemüht, Ihre personenbezogenen Daten durch Ergreifung aller technischen und organisatorischen Möglichkeiten so zu speichern, dass sie für Dritte nicht zugänglich sind. Bei der Kommunikation per E-Mail oder durch ein auf HTML-basierendes Kontaktformular kann die vollständige Datensicherheit von uns nicht gewährleistet werden, so dass wir Ihnen bei vertraulichen Informationen den Postweg empfehlen.

Anordnung über den Datenschutz

§ 1 Zweck und Anwendungsbereich
(1) Zweck dieser Anordnung ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.
(2) Diese Anordnung gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch die Besucher der Webseiten von NOBIS FUTURUM ohne Rücksicht auf ihre zivile Rechtsform.
§ 2 Begriffsbestimmungen
(1) Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).
(2) Automatisierte Verarbeitung ist die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten unter Einsatz von Datenverarbeitungsanlagen. Eine nicht automatisierte Datei ist jede nicht automatisierte Sammlung personenbezogener Daten, die gleichartig aufgebaut ist und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann.
(3) Erheben ist das Beschaffen von Daten über den Betroffenen.
(4) Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Im Einzelnen ist, ungeachtet der dabei angewendeten Verfahren,
1. Speichern das Erfassen, Aufnehmen oder Aufbewahren personenbezogener Daten auf einem Datenträger zum Zwecke ihrer weiteren Verarbeitung oder Nutzung,
2. Verändern das inhaltliche Umgestalten gespeicherter personenbezogener Daten,
3. Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass
a) die Daten an den Dritten weitergegeben werden oder
b) der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft,
4. Sperren das Kennzeichnen gespeicherter personenbezogener Daten, um ihre weitere Verarbeitung oder Nutzung einzuschränken,
5. Löschen das Unkenntlichmachen gespeicherter personenbezogener Daten.
(5) Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt.
(6) Anonymisieren ist das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
(7) Pseudonymisieren ist das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren.
(8) Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
(9) Empfänger ist jede Person oder Stelle, die Daten erhält. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. Dritte sind nicht der Betroffene sowie diejenigen Personen und Stellen, die im Geltungsbereich dieser Anordnung personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen.
(10) Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Dazu gehört nicht die Zugehörigkeit zu einer Kirche oder sonstigen Religionsgemeinschaft.
(11) Mobile personenbezogene Speicher- und Verarbeitungsmedien sind Datenträger,
1. die an den Betroffenen ausgegeben werden,
2. auf denen personenbezogene Daten über die Speicherung hinaus durch die ausgebende oder eine andere Stelle automatisiert verarbeitet werden können und
3. bei denen der Betroffene diese Verarbeitung nur durch den Gebrauch des Mediums beeinflussen kann.
(12) Beschäftigte sind insbesondere
4. in einem Arbeitsverhältnis stehende Personen,
5. zu ihrer Berufsbildung tätige Personen
6. Teilnehmende an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobungen.
9. sich für ein Beschäftigungsverhältnis Bewerbende sowie Personen, deren Beschäftigungsverhältnis beendet ist.

§ 2a Datenvermeidung und Datensparsamkeit
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und
Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig
personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisiere n oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und der Aufwand nicht außer Verhältnis zum angestrebten Schutzzweck steht.

§ 3 Zulässigkeit der Datenerhebung, -verarbeitung oder -nutzung
(1) Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten ist nur zulässig, soweit
1. diese Anordnung oder eine staatliche Rechtsvorschrift sie erlaubt oder anordnet oder
2. der Betroffene eingewilligt hat.
(1) Wird die Einwilligung bei dem Betroffenen eingeholt, ist er auf den Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Sie bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt
werden, ist die Einwilligungserklärung im äußeren Erscheinungsbild der Erklärung hervorzuheben.
(2) Soweit besondere Arten personenbezogener Daten (§ 2 Absatz 10) erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung darüber hinaus ausdrücklich auf diese Daten beziehen.
(3) Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorab-
kontrolle). Eine Vorabkontrolle ist insbesondere durchzuführen, wenn
1. besondere Arten personenbezogener Daten (§ 2 Absatz 10) verarbeitet werden oder
2. die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des
Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens, es sei denn, dass eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
(5) Zuständig für die Vorabkontrolle ist der betriebliche Datenschutzbeauftragte; soweit kein betrieblicher Datenschutzbeauftragter bestellt ist, ist für die Vorabkontrolle der Datenschutzbeauftragte von NOBIS FUTURUM zuständig.

§ 3a Meldepflicht und Verzeichnis
(1) Die in § 1 Absatz 2 genannten Stellen sind verpflichtet, Verfahren automatisierter Verarbeitung vor Inbetriebnahme dem Ordensdatenschutzbeauftragten zu melden.
(2) Die Meldung hat folgende Angaben zu enthalten
1. Name und Anschrift der verantwortlichen Stelle,
2. Vorstände, Geschäftsführer oder sonstige gesetzliche oder nach der Verfassung der Stelle berufene Leiter und die mit der Leitung der Datenverarbeitung beauftragten Personen,
3. Zweckbestimmungen der Datenerhebung, -verarbeitung oder -nutzung,
4. eine Beschreibung der betroffenen Personengruppen und der diesbezüglichen Daten oder Datenkategorien,
5. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können,
6. Regelfristen für die Löschung der Daten,
7. eine geplante Datenübermittlung ins Ausland,
8. eine allgemeine Beschreibung, die es ermöglicht, vorläufig zu beurteilen, ob die Maßnahmen zur Gewährleistung der Sicherheit der Bearbeitung angemessen sind,
9. zugriffsberechtigte Personen.
(3) Die Meldepflicht entfällt, wenn für die verantwortliche Stelle ein betrieblicher Daten-schutzbeauftragter nach § 20 bestellt wurde. Sie entfällt ferner, wenn die verantwortliche
Stelle personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt, hierbei in der Regel höchstens zehn Personen ständig mit der Erhebung, Verarbeitung oder Nutzung
personenbezogener Daten beschäftigt und entweder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines rechtsgeschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist.
(4) Die Angaben nach Absatz 2 sind von der Einrichtung unter dem Verbund von NOBIS FUTURUM in einem Verzeichnis vorzuhalten. Sie macht die Angaben nach Absatz 2
Nr. 1 bis 7 auf Antrag jedermann in geeigneter Weise verfügbar, der ein berechtigtes Interesse nachweist.

§ 4 Datengeheimnis
Den bei der Datenverarbeitung tätigen Personen ist untersagt, personenbezogene Daten   unbefugt zu erheben, zu verarbeiten oder zu nutzen (Datengeheimnis). Diese Personen sind bei der Aufnahme ihrer Tätigkeit auf das Datengeheimnis schriftlich zu verpflichten. Das   Datengeheimnis besteht auch nach Beendigung ihrer Tätigkeit fort.

§ 5 Unabdingbare Rechte des Betroffenen
(1) Die Rechte des Betroffenen auf Auskunft (§ 13) und auf Berichtigung, Löschung oder Sperrung (§ 14) können nicht durch Rechtsgeschäft ausgeschlossen oder beschränkt werden.
(2) Sind die Daten des Betroffenen automatisiert in einer Weise gespeichert, dass mehrere Stellen speicherungsberechtigt sind, und ist der Betroffene nicht in der Lage, festzustellen,
welche Stelle die Daten gespeichert hat, so kann er sich an jede dieser Stellen wenden. Diese ist verpflichtet, das Vorbringen des Betroffenen an die Stelle, die die Daten gespeichert hat, weiterzuleiten. Der Betroffene ist über die Weiterleitung und jene Stelle zu unterrichten.
§ 5a Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen
(1) Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie
1. zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts oder
2. zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Betroffenen überwiegen.
(2) Der Umstand der Beobachtung und die verantwortliche Stelle sind durch geeignete Maßnahmen erkennbar zu machen.
(3) Die Verarbeitung oder Nutzung von nach Absatz 1 erhobenen Daten ist zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich ist und keine Anhaltspunkte bestehen,
dass schutzwürdige Interessen der Betroffenen überwiegen.
(4) Werden durch Videoüberwachung erhobene Daten einer bestimmten Person zugeordnet, ist diese über eine Verarbeitung oder Nutzung entsprechend § 13 a zu benachrichtigen.
(5) Die Daten sind unverzüglich zu löschen, wenn sie zur Erreichung des Zwecks nicht mehr erforderlich sind oder schutzwürdige Interessen der Betroffenen einer weiteren Speicherung entgegenstehen.
§ 5b Mobile personenbezogene Speicher- und Verarbeitungsmedien
(1) Die Stelle, die ein mobiles personenbezogenes Speicher- und Verarbeitungsmedium ausgibt oder ein Verfahren zur automatisierten Verarbeitung personenbezogener Daten, das ganz oder teilweise auf einem solchen Medium abläuft, auf das Medium aufbringt, ändert oder hierzu bereithält, muss den Betroffenen
1. über ihre Identität und Anschrift,
2. in allgemein verständlicher Form über die Funktionsweise des Mediums einschließlich der Art der zu verarbeitenden personenbezogenen Daten,
3. darüber, wie er seine Rechte nach den §§ 13 und 14 ausüben kann und über die bei Verlust oder Zerstörung des Mediums zu treffenden Maßnahmen unterrichten, soweit
der Betroffene nicht bereits Kenntnis erlangt hat.
(2) Die nach Absatz 1 verpflichtete Stelle hat dafür Sorge zu tragen, dass die zur Wahrnehmung des Auskunftsrechts erforderlichen Geräte oder Einrichtungen in angemessenem Umfang zum unentgeltlichen Gebrauch zur Verfügung stehen.
(3) Kommunikationsvorgänge, die auf dem Medium eine Datenverarbeitung auslösen, müssen für den Betroffenen eindeutig erkennbar sein.

§ 6 Technische und organisatorische Maßnahmen im Geltungsbereich des
§ 1 Absatz 2, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieser Anordnung, insbesondere die in der Anlage zu dieser Anordnung genannten Anforderungen zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

§ 7 Einrichtung automatisierter Abrufverfahren
(1) Die Einrichtung eines automatisierten Verfahrens, das die Übermittlung
personenbezogener Daten durch Abruf ermöglicht, ist zulässig, soweit dieses Verfahren unter Berücksichtigung der schutzwürdigen Interessen der Betroffenen und der Aufgaben oder Geschäftszwecke der beteiligten Stellen angemessen ist. Die Vorschriften über die Zulässigkeit des einzelnen Abrufes bleiben unberührt.
(2) Die beteiligten Stellen haben zu gewährleisten, dass die Zulässigkeit des Abrufverfahrens kontrolliert werden kann. Hierzu ist schriftlich festzulegen:
1. Anlass und Zweck des Abrufverfahrens,
2. Dritte, an die übermittelt wird,
3. Art der zu übermittelnden Daten,
4. nach § 6 erforderliche technische und organisatorische Maßnahmen.
(3) Über die Einrichtung von Abrufverfahren ist der Datenschutzbeauftragte von NOBIS FUTURUM unter Mitteilung der Festlegungen des Absatz 2 zu unterrichten.
(4) Die Verantwortung für die Zulässigkeit des einzelnen Abrufs trägt der
Dritte, an den übermittelt wird. Die speichernde Stelle prüft die Zulässigkeit der Abrufe nur, wenn dazu Anlass besteht. Die speichernde Stelle hat zu gewährleisten, dass die Übermittlung personenbezogener Daten zumindest durch geeignete Stichprobenverfahren festgestellt und überprüft werden kann. Wird ein Gesamtbestand personenbezogener Daten abgerufen oder übermittelt (Stapelverarbeitung), so bezieht sich die Gewährleistung der Feststellung und Überprüfung nur auf die Zulässigkeit des Abrufes oder der Übermittlung des Gesamtbestandes.
(5) Die Absätze 1 bis 4 gelten nicht für den Abruf allgemein zugänglicher Daten. Allgemein
zugänglich sind Daten, die jedermann, sei es ohne oder nach vorheriger Anmeldung,
Zulassung oder Entrichtung eines Entgelts nutzen kann.
§ 8 Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag
(1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieser Anordnung
und anderer Vorschriften über den Datenschutzverantwortlich. Die in § 5 genannten Rechte sind ihm gegenüber geltend zu machen.
(2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:
1. der Gegenstand und die Dauer des Auftrages,
2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,
3. die nach § 6 zu treffenden technischen und organisatorischen Maßnahmen,
4. die Berichtigung, Löschung und Sperrung von Daten,
5. die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10.die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Der Auftraggeber hat sich zu Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.
(3) Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen diese Anordnung oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber unverzüglich darauf hinzuweisen.
(4) Die Absätze 1 bis 3 gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

§ 9 Datenerhebung
(1) Das Erheben personenbezogener Daten ist zu lässig, wenn ihre Kenntnis zur Erfüllung der Aufgaben der verantwortlichen Stellen erforderlich ist.
(2) Personenbezogene Daten sind beim Betroffenen zu erheben. Ohne seine Mitwirkung dürfen sie nur erhoben werden, wenn 1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
2. a) die zu erfüllende Aufgabe ihrer Art nach eine Erhebung bei anderen Personen oder Stellen erforderlich macht oder
b) die Erhebung beim Betroffenen einen unverhältnismäßigen Aufwand erfordern würde und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
(3) Werden personenbezogene Daten beim Betroffenen erhoben, so ist er, sofern er nicht bereits auf andere Weise Kenntnis erlangt hat, von der verantwortlichen Stelle über
1. die Identität der verantwortlichen Stelle,
2. die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und
3. die Kategorien von Empfängern nur, soweit der Betroffene nach den Umständen des Einzelfalles nicht mit der Übermittlung an diese rechnen muss, zu unterrichten. Werden sie beim Betroffenen aufgrund einer Rechtsvorschrift erhoben, die zur Auskunft verpflichtet, oder ist die Erteilung der Auskunft Voraussetzung für die Gewährung von Rechtsvorteilen, so ist der Betroffene hierauf, sonst auf die Freiwilligkeit seiner Angaben hinzuweisen. Soweit nach den Umstände n des Einzelfalles erforderlich oder auf Verlangen ist er über die Rechtsvorschrift und über die Folgen der Verweigerung von Angaben aufzuklären.
(4) Das Erheben besonderer Arten personenbezogener Daten (§ 2 Absatz 10) ist nur zulässig, soweit
1. eine Rechtsvorschrift dies vorsieht oder dies aus Gründen eines wichtigen öffentlichen Interesses zwingend erforderlich ist,
2. der Betroffene nach Maßgabe des § 3 Absatz 4 eingewilligt hat,
3. dies zum Schutz lebenswichtiger Interessen des Betroffenen oder eines Dritten erforderlich ist, sofern der Betroffene aus physischen oder rechtlichen Gründen außerstande ist, seine Einwilligung zu geben,
4. es sich um Daten handelt, die der Betroffene offenkundig öffentlich gemacht hat oder es zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich ist,
5. dies zur Abwehr einer erheblichen Gefahr für die öffentliche Sicherheit erforderlich ist oder dies zur Abwehr erheblicher Nachteile für das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls zwingend erforderlich ist,
6. der Auftrag der Einrichtung oder die Glaubwürdigkeit ihres Dienstes dies erfordert,
7. dies zum Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung oder Behandlung oder für die Verwaltung von Gesundheitsdiensten erforderlich ist und die Verarbeitung dieser Daten durch ärztliches Personal oder durch sonstige Personen erfolgt, die einer entsprechenden Geheimhaltungspflicht unterliegen,
8. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des  Betroffenen an dem Ausschluss der Erhebung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann,
9. dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses erforderlich ist.

§ 10 Datenspeicherung, -veränderung und -nutzung
(1) Das Speichern, Verändern oder Nutzen personenbezogener Daten ist zulässig, wenn es
zur Erfüllung der in der Zuständigkeit der verantwortlichen Stelle liegenden Aufgaben           erforderlich ist und es für die Zwecke erfolgt, für die die Daten erhoben worden sind. Ist keine Erhebung vorausgegangen, dürfen die Daten für die Zwecke geändert oder genutzt werden, für die sie gespeichert worden sind.
(2) Das Speichern, Verändern oder Nutzen für andere Zwecke ist nur zulässig, wenn
1. eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt und NOBIS FUTURUM
Interessen nicht entgegenstehen,
2. der Betroffene eingewilligt hat,
3. offensichtlich ist, dass es im Interesse des Betroffenen liegt, und kein Grund zu der Annahme besteht, dass er in Kenntnis des anderen Zwecks seine Einwilligung verweigern würde,
4. Angaben des Betroffenen überprüft werden müssen, weil tatsächliche Anhaltspunkte
für deren Unrichtigkeit bestehen,
5. die Daten allgemein zugänglich sind oder die verantwortliche Stelle sie veröffentlichen
dürfte, es sei denn, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Zweckänderung offensichtlich überwiegt,
6. es zur Abwehr einer Gefahr für die öffentliche Sicherheit oder erheblicher Nachteile für
das Gemeinwohl oder zur Wahrung erheblicher Belange des Gemeinwohls erforderlich
ist,
7. es zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Vollstreckung oder
zum Vollzug von Strafen oder Maßnahmen im Sinne des § 11 Absatz 1 Nr. 8 des
Strafgesetzbuches oder zur Vollstreckung von Bußgeldentscheidungen erforderlich ist,
8. es zur Abwehr einer schwerwiegenden Beeinträchtigung der Rechte einer anderen
Person erforderlich ist oder
9. es zur Durchführung wissenschaftlicher Forschung erforderlich ist, das
wissenschaftliche Interesse an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht werden kann.
(3) Eine Verarbeitung oder Nutzung für andere Zwecke liegt nicht vor, wenn sie der
Wahrnehmung von Aufsichts- und Kontrollbefugnissen, der Rechnungsprüfung oder der Durchführung von Organisationsuntersuchungen für die verantwortliche Stelle dient. Das gilt auch für die Verarbeitung oder Nutzung zu Ausbildungs- und Prüfungszwecken durch die verantwortliche Stelle, soweit nicht überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen.
(4) Personenbezogene Daten, die ausschließlich zu Zwecken der Datenschutzkontrolle, der
Datensicherung oder zur Sicherstellung eines ordnungsgemäßen Betriebes einer Datenverarbeitungsanlage gespeichert werden, dürfen nur für diese Zwecke verwendet werden.
(5) Das Speichern, Verändern oder Nutzen von besonderen Arten personenbezogener Daten (§ 2 Absatz 10) für andere Zwecke ist nur zulässig, wenn
1. die Voraussetzungen vorliegen, die eine Erhebung nach § 9 Absatz 5 Nr. 1 bis 6 oder 9
zulassen würden oder
2. dies zur Durchführung wissenschaftlicher Forschung erforderlich ist, das Interesse von NOBIS FUTURUM an der Durchführung des Forschungsvorhabens das Interesse des Betroffenen an dem Ausschluss der Zweckänderung erheblich überwiegt und der Zweck der Forschung auf andere Weise nicht oder nur mit unverhältnismäßigem Aufwand erreicht
werden kann. Bei der Abwägung nach Satz 1 Nr. 2 ist im Rahmen des Interesses von NOBIS FUTURUM das wissenschaftliche Interesse an dem Forschungsvorhaben besonders zu berücksichtigen.
(6) Die Speicherung, Veränderung oder Nutzung von besonderen Arten personenbezogener Daten (§ 2 Absatz 10) zu den in § 9 Abs. 5 Nr. 7 genannten Zwecken richtet sich nach den für die in § 9 Abs. 5 Nr. 7 genannten Personen geltenden Geheimhaltungspflichten.

§ 10a Datenerhebung, -verarbeitung und -nutzung für Zwecke des
Beschäftigungsverhältnisses
(1) Personenbezogene Daten eines Beschäftigteneinschließlich der Daten über die Religionszugehörigkeit, die religiöse Überzeugung und die Erfüllung von Loyalitätsobliegenheiten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben,
verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten eines Beschäftigten dann erhoben, verarbeitet oder genutzt werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht
begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat,
die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung,
Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind oder eine Rechtsvorschrift dies vorsieht.
(2) Absatz 1 ist auch anzuwenden, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden.
(3) Die Beteiligungsrechte nach der jeweils geltenden Mitarbeitervertretungsordnung bleiben unberührt.

§ 11 Datenübermittlung an öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten an Stellen im Geltungsbereich des
§ 1 ist zulässig, wenn 1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle oder der empfangenden Einrichtung liegenden Aufgaben erforderlich ist und
2. die Voraussetzungen vorliegen, die eine Nutzung nach § 10 zulassen würden.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
Erfolgt die Übermittlung auf Ersuchen der empfangenden öffentlichen Stelle, trägt diese die
Verantwortung. In diesem Falle prüft die übermittelnde Stelle nur, ob das
Übermittlungsersuchen im Rahmen der Aufgaben der empfangenden öffentlichen Stelle liegt, es sei denn, dass besonderer Anlass zur Prüfung der Zulässigkeit der Übermittlung besteht. § 7 Absatz 4 bleibt unberührt.
(3) Die empfangende Einrichtung darf die übermittelten Daten für den Zweck verarbeiten oder nutzen, zu dessen Erfüllung sie ihr übermittelt werden. Eine Verarbeitung oder
Nutzung für andere Zwecke ist nur unter den Voraussetzungen des § 10Absatz 2 zulässig.
(4) Für die Übermittlung personenbezogener Daten an öffentliche Stellen gelten die Absätze 1-3 entsprechend, sofern sichergestellt ist, dass bei dem Empfänger ausreichende Datenschutzmaßnahmen getroffen werden.
(5) Sind mit personenbezogenen Daten, die nach Absatz 1 übermittelt werden dürfen,
weitere personenbezogene Daten des Betroffenen oder eines Dritten in Akten so verbunden, dass eine Trennung nicht oder nur mit unvertretbarem Aufwand möglich ist, so ist die Übermittlung auch dieser Daten zulässig, soweit nicht berechtigte Interessen des Betroffenen oder eines Dritten an deren Geheimhaltung offensichtlich überwiegen; eine Nutzung dieser Daten ist unzulässig.

§ 12 Datenübermittlung an nicht öffentliche Stellen
(1) Die Übermittlung personenbezogener Daten an nicht öffentliche Stellen oder Personen
ist zulässig, wenn
1. sie zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden
Aufgaben erforderlich ist und die Voraussetzungen vorliegen, die eine Nutzung nach § 10
zulassen würden, oder
2. der Dritte, an den die Daten übermittelt werden, ein berechtigtes Interesse an der
Kenntnis der zu übermittelnden Daten glaubhaft darlegt und der Betroffene kein
schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat. Das Übermitteln
von besonderen Arten personenbezogener Daten (§ 2 Absatz 10) ist abweichend von
Satz 1 Nr. 2 nur zulässig, wenn die Voraussetzungen vorliegen, die eine Nutzung nach
§ 10 Absatz 5 und 6 zulassen würden oder soweit dies zur Geltendmachung, Ausübung oder Verteidigung rechtliche r Ansprüche erforderlich ist.
(2) Die Verantwortung für die Zulässigkeit der Übermittlung trägt die übermittelnde Stelle.
(3) In den Fällen der Übermittlung nach Absatz 1 Nr. 2 unterrichtet die übermittelnde Stelle
den Betroffenen von der Übermittlung seiner Daten. Dies gilt nicht, wenn damit zu rechnen
ist, dass er davon auf andere Weise Kenntnis erlangt, wenn die Unterrichtung wegen der Art der personenbezogenen Daten unter Berücksichtigung der schutzwürdigen Interessen des Betroffenen nicht geboten erscheint, wenn die Unterrichtung die öffentliche Sicherheit gefährden oder dem Wohl von NOBIS FUTURUM oder einer Einrichtung davon Nachteile bereiten würde.
(4) Der Dritte, an den die Daten übermittelt werden, darf diese nur für den Zweck
verarbeiten oder nutzen, zu dessen Erfüllung sie ihm übermittelt werden. Die übermittelnde Stelle hat ihn darauf hinzuweisen. Eine Verarbeitung oder Nutzung für andere Zwecke ist zulässig, wenn eine Übermittlung nach Absatz 1 zulässig wäre und die übermittelnde Stelle zugestimmt hat.

§ 13 Auskunft an den Betroffenen
(1) Dem Betroffenen ist auf Antrag Auskunft zu erteilen über:
1. die zu seiner Person gespeicherten Daten, auch soweit sie sich auf die Herkunft dieser
Daten beziehen,
2. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben
werden, und
3. den Zweck der Speicherung. In dem Antrag soll die Art der personenbezogenen Daten, über die Auskunft erteilt werden soll, näher bezeichnet werden. Sind die personenbezogenen Daten weder automatisiert noch in nicht automatisierten Dateien gespeichert, wird die Auskunft nur erteilt, soweit der Betroffene Angaben macht, die das Auffinden der Daten ermöglichen und der für die Erteilung der Auskunft erforderliche Aufwand nicht außer Verhältnis zu dem vom Betroffenen geltend gemachten Informationsinteresse steht. Die Leitung von NOBIS FUTURUM bestimmt das Verfahren, insbesondere die Form der Auskunftserteilung.
(2) Absatz 1 gilt nicht für personenbezogene Daten, die nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher, satzungsgemäßer oder vertraglicher Aufbewahrungsvorschriften
nicht gelöscht werden dürfen oder ausschließlich Zwecken der Datensicherung oder der
Datenschutzkontrolle dienen und eine Auskunftserteilung einen unverhältnismäßigen
Aufwand erfordern würde.
(3) Die Auskunftserteilung unterbleibt, soweit
1. die Auskunft die ordnungsgemäße Erfüllung der in der Zuständigkeit der
verantwortlichen Stelle liegenden Aufgaben gefährden würde,
2. die Auskunft dem Wohl von NOBIS FUTURUM selbst oder einer Einrichtung unter dem Verbund von NOBIS FUTURUM  Nachteile bereiten würde,
3. die Auskunft die öffentliche Sicherheit oder Ordnung gefährden würde,
4. die Daten oder die Tatsache ihrer Speicherung nach einer Rechtsvorschrift oder ihrem
Wesen nach, insbesondere wegen der über wiegenden berechtigten Interessen eines
Dritten, geheim gehalten werden müssen und deswegen das Interesse des Betroffenen
an der Auskunftserteilung zurücktreten muss.
(4) Die Ablehnung der Auskunftserteilung bedarf einer Begründung nicht, soweit durch die
Mitteilung der tatsächlichen oder rechtlichen Gründe, auf die die Entscheidung gestützt
wird, der mit der Auskunftsverweigerung verfolgte Zweck gefährdet würde. In diesem Fall
ist der Betroffene darauf hinzuweisen, dass er sich an den Datenschutzbeauftragten
wenden kann.
(5) Wird dem Betroffenen keine Auskunft erteilt, so ist sie auf sein Verlangen dem
Datenschutzbeauftragten zu erteilen, soweit nicht die Leitung von NOBIS FUTURUM und/oder eine zum Verbund gehörende Einrichtung im Einzelfall feststellt, dass dadurch das Wohl von NOBIS FUTURUM oder einer Einrichtung aus dem Verbund beeinträchtigt wird. Die Mitteilung des Datenschutzbeauftragten an den Betroffenen darf keine Rückschlüsse auf den Erkenntnisstand der verantwortlichen Stelle zulassen, sofern diese nicht einer weitergehenden Auskunft zustimmt.
(6) Die Auskunft ist unentgeltlich.

§ 13a Benachrichtigung
(1) Werden Daten ohne Kenntnis des Betroffenen erhoben, so ist er von der Speicherung, der Identität der verantwortlichen Stelle sowie über die Zweckbestimmungen der Erhebung,
Verarbeitung oder Nutzung zu unterrichten. Der Betroffene ist auch über die Empfänger
oder Kategorien von Empfängern von Daten zu unterrichten, soweit er nicht mit der
Übermittlung an diese rechnen muss. Sofern eine Übermittlung vorgesehen ist, hat die
Unterrichtung spätestens bei der ersten Übermittlung zu erfolgen.
(2) Eine Pflicht zur Benachrichtigung besteht nicht, wenn
1. der Betroffene auf andere Weise Kenntnis von der Speicherung oder der Übermittlung
erlangt hat,
2. die Unterrichtung des Betroffenen einen unverhältnismäßigen Aufwand erfordert oder
3. die Speicherung oder Übermittlung der personenbezogenen Daten durch eine
Rechtsvorschrift ausdrücklich vorgesehen ist.
(3) § 13 Absatz 2 und 3 gelten entsprechend.

§ 14 Berichtigung, Löschung oder Sperrung von Daten; Widerspruchsrecht
(1) Personenbezogene Daten sind zu berichtigen, wenn sie unrichtig sind. Wird festgestellt,
dass personenbezogene Daten, die weder automatisiert verarbeitet noch in nicht
automatisierten Dateien gespeichert sind, unrichtig sind, oder wird ihre Richtigkeit von dem Betroffenen bestritten, so ist dies in geeigneter Weise festzuhalten.
(2) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten
Dateien gespeichert sind, sind zu löschen, wenn
1. ihre Speicherung unzulässig ist oder
2. ihre Kenntnis für die verantwortliche Stelle zur Erfüllung der in ihrer Zuständigkeit
liegenden Aufgaben nicht mehr erforderlich ist.
(3) An die Stelle einer Löschung tritt eine Sperrung, soweit 1. einer Löschung gesetzliche, satzungsmäßige oder vertragliche Aufbewahrungsfristen entgegenstehen, 2. Grund zu der Annahme besteht, dass durch eine Löschung schutzwürdige Interessen des Betroffenen beeinträchtigt würden oder 3. eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich ist.

(4) Personenbezogene Daten, die automatisiert verarbeitet oder in nicht automatisierten Dateien gespeichert sind, sind ferner zu sperren, soweit ihre Richtigkeit vom Betroffenen bestritten wird und sich weder die Richtigkeit noch die Unrichtigkeit feststellen lässt.
(5) Personenbezogene Daten dürfen nicht für eine automatisierte Verarbeitung oder Verarbeitung in nicht automatisierten Dateien erhoben, verarbeitet oder genutzt werden, soweit der Betroffene dieser bei der verantwortlichen Stelle widerspricht und eine Prüfung ergibt, dass das schutzwürdige Interesse des Betroffenen wegen seiner besonderen persönlichen Situation das Interesse der verantwortlichen Stelle an dieser Erhebung, Verarbeitung oder Nutzung überwiegt. Satz 1 gilt nicht, wenn eine Rechtsvorschrift zur Erhebung, Verarbeitung oder Nutzung verpflichtet.
(6) Personenbezogene Daten, die weder automatisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind, sind zu sperren, wenn die verantwortliche Stelle im Einzelfall feststellt, dass ohne die Sperrung schutzwürdige Interessen des Betroffenen beeinträchtigt würden und die Daten für die Aufgabenerfüllung der Behörde nicht mehr erforderlich sind.
(7) Gesperrte Daten dürfen ohne Einwilligung des Betroffenen nur übermittelt oder genutzt
werden, wenn
1. es zu wissenschaftlichen Zwecken, zur Behebung einer bestehenden Beweisnot oder aus sonstigen, im überwiegenden Interesse der verantwortlichen Stelle oder eines Dritten liegenden Gründen unerlässlich ist und 2. die Daten hierfür übermittelt oder genutzt werden dürften, wenn sie nicht gesperrt wären.
(8) Von der Berichtigung unrichtiger Daten, der Sperrung bestrittener Daten sowie der Löschung oder Sperrung wegen Unzulässigkeit der Speicherung sind die Stellen zu verständigen, denen im Rahmen einer Datenübermittlung diese Daten zur Speicherung weitergegeben wurden, wenn dies keinen unverhältnismäßigen Aufwand erfordert und schutzwürdige Interessen des Betroffenen nicht entgegenstehen.

§ 15 Anrufung des Datenschutzbeauftragten
(1) Wer der Ansicht ist, dass bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch Stellen gemäß § 1 Absatz 2 gegen Vorschriften dieser Anordnung oder gegen andere Datenschutzvorschriften verstoßen worden ist oder ein solcher Verstoß bevorsteht, kann sich unmittelbar an den Datenschutzbeauftragten wenden.
(2) Auf ein solches Vorbringen hin prüft der Datenschutzbeauftragte den Sachverhalt.
Er fordert die betroffene Einrichtung von NOBIS FUTURUM zur Stellungnahme auf, soweit der Inhalt des Vorbringens den Tatbestand einer Datenschutzverletzung erfüllt.
(3) Niemand darf gemaßregelt oder benachteiligt werden, weil er sich im Sinne des Absatzes 1 an den Datenschutzbeauftragten gewendet hat.

§ 16 Bestellung des Datenschutzbeauftragten
(1) NOBIS FUTURUM bestellt für ihren Jurisdiktionsbereich einen Datenschutzbeauftragten; die Bestellung erfolgt für die Dauer von mindestens vier, höchstens acht Jahren. Die mehrmalige erneute Bestellung ist zulässig.
(2) Zum Datenschutzbeauftragten darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.
§ 17 Rechtsstellung des Datenschutzbeauftragten
(1) Der Datenschutzbeauftragte ist in Ausübung seiner Tätigkeit an Weisungen nicht gebunden und nur staatlichem Recht unterworfen. Die Ausübung seiner Tätigkeit geschieht in organisatorischer und sachlicher Unabhängigkeit. Die Dienstaufsicht ist so zu regeln, dass dadurch die Unabhängigkeit nicht beeinträchtigt wird.

 


(2) Der Datenschutzbeauftragte ist oberste Dienstbehörde im Sinne des
§ 96 Strafprozessordnung. Er trifft die Entscheidung über Aussagegenehmigungen für seinen Bereich in eigener Verantwortung. Der Datenschutzbeauftragte ist oberste Aufsichtsbehörde im Sinne des § 99 Verwaltungsgerichtsordnung.
(3) Der Datenschutzbeauftragte bestellt im Einvernehmen mit NOBIS FUTURUM einen
Vertreter, der im Fall seiner Verhinderung die unaufschiebbaren Entscheidungen trifft. Für
den Vertreter gilt § 16 Absatz 2 entsprechend.
(4) Der Datenschutzbeauftragte ist, auch nach Beendigung seines Auftrages, verpflichtet, über die ihm in seiner Eigenschaft als Datenschutzbeauftragtem bekannt gewordenen Angelegenheiten Verschwiegenheit zu bewahren. Dies gilt nicht für Mitteilungen im dienstlichen Verkehr oder über Tatsachen, die offenkundig sind oder ihrer Bedeutung nach keiner Geheimhaltung bedürfen.
(5) Der Datenschutzbeauftragte darf, auch wenn sein Auftrag beendet ist, über solche
Angelegenheiten ohne Genehmigung von NOBIS FUTURUM weder vor Gericht noch
außergerichtlich Aussagen oder Erklärungen abgeben. Die Genehmigung, als Zeuge auszusagen, wird in der Regel erteilt. Unberührt bleibt die gesetzlich begründete Pflicht, Straftaten anzuzeigen.

§ 18 Aufgaben des Datenschutzbeauftragten
(1) Der Datenschutzbeauftragte wacht über die Einhaltung der Vorschriften dieser
Anordnung sowie anderer Vorschriften über den Datenschutz. Er kann Empfehlungen zur
Verbesserung des Datenschutzes geben. Des Weiteren kann er die Leitung der Einrichtungen und Seniorpalace in Fragen des Datenschutzes beraten. Auf Anforderung der Leitung von NOBIS FUTURUM hat der Datenschutzbeauftragte Gutachten zu erstellen und Berichte zu erstatten.
(2) Die in § 1 Absatz 2 genannten Stellen sind verpflichtet, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Ihm ist dabei insbesondere
1. Auskunft zu seinen Fragen sowie Einsicht in alle Unterlagen und Akten zu gewähren,
die im Zusammenhang mit der Verarbeitung personenbezogener Daten stehen, namentlich in die gespeicherten Daten und in die Datenverarbeitungsprogramme,
2. während der Dienstzeit Zutritt zu allen Diensträumen, die der Verarbeitung und
Aufbewahrung automatisierter Dateien dienen, zu gewähren, soweit nicht sonstige Vorschriften entgegenstehen.
(3) Der Datenschutzbeauftragte wirkt auf die Zusammenarbeit mit den einzelnen Einrichtungen hin.
(5) Zu seinem Aufgabenbereich gehört die Zusammenarbeit mit staatlichen Beauftragten für den Datenschutz.

§ 19 Beanstandungen durch den Datenschutzbeauftragten
(1) Stellt der Datenschutzbeauftragte Verstöße gegen die Vorschriften dieser
Anordnung oder gegen andere Datenschutzbestimmungen oder sonstige Mängel bei der Verarbeitung personenbezogener Daten fest, so beanstandet er diese unter Setzung einer angemessenen Frist zur Behebung gegenüber der betroffenen Einrichtung, bzw. gegenüber NOBIS FUTURUM.
(2) Wird die Beanstandung nicht fristgerecht behoben, so verständigt der Datenschutzbeauftragte die Aufsicht führende Stelle und fordert sie zu einer Stellungnahme auf.
(3) Der Datenschutzbeauftragte kann von einer Beanstandung absehen oder auf eine
Stellungnahme der Aufsicht führenden Stelle verzichten, wenn es sich um unerhebliche
Mängel handelt, deren Behebung mittlerweile erfolgt ist.
(4) Mit der Beanstandung kann der Datenschutzbeauftragte Vorschläge zur
Beseitigung der Mängel und zur sonstigen Verbesserung des Datenschutzes verbinden.
(5) Die gemäß Abs. 2 abzugebende Stellungnahme soll auch eine Darstellung der
Maßnahmen enthalten, die aufgrund der Beanstandung des Ordensdatenschutzbeauftragten getroffen worden sind.
(6) Zur Gewährleistung der Vorschriften dieser Anordnung und anderer Vorschriften über
den Datenschutz kann der Datenschutzbeauftragte gegenüber der betroffenen Einrichtung Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer und organisatorischer Mängel
anordnen. Wird diese Anordnung nicht fristgemäß umgesetzt, hat sich der Datenschutzbeauftragte an die Aufsicht führende Stelle zu wenden, die zeitnah über die notwendigen Maßnahmen entscheidet.

§ 20 Ermächtigungen
Die zur Durchführung dieser Anordnung erforderlichen Regelungen trifft NOBIS FUTURUM
und legt insbesondere fest:
a) den Inhalt der Meldung gemäß § 3a
b) den Inhalt der schriftlichen Verpflichtungserklärung gemäß § 4 Satz 2,
c) die technischen und organisatorischen Maßnahmen gemäß § 6 Satz 1,
d) die Erfüllung der Aufgaben des betrieblichen Datenschutzes gemäß § 20 Absatz 9.

§ 21 Schlussbestimmung
Diese Anordnung tritt am 25.05.2018 in Kraft.

Verordnung zur Durchführung der Anordnung über Datenschutz

I. Meldung von Verfahren automatisierter Verarbeitung
 (1) Sofern Verfahren automatisierter Verarbeitungen meldepflichtig sind, sind diese vor
Inbetriebnahme schriftlich dem Datenschutzbeauftragten zu melden.
(2) Für die Meldung von Verfahren automatisierter Verarbeitung vor Inbetriebnahme
beziehungsweise die dem Datenschutzbeauftragten zur Verfügung zu stellende
Übersicht soll das Muster gemäß der Anlage zu dieser Verordnung verwandt werden.
II. Zu § 4 (1)
Zum Kreis der bei der Datenverarbeitung tätigen Personen im Sinne des § 4
gehören die in den Stellen gemäß § 1 Absatz 2 gegen Entgelt beschäftigten und
ehrenamtlich tätigen Personen. Sie werden belehrt über:
1. den Inhalt der Datenschutzordnung und anderer für ihre Tätigkeit geltender Datenschutzvorschriften; dies geschieht durch Hinweis auf die für den Aufgabenbereich des Mitarbeiters wesentlichen Grundsätze und im Übrigen auf die Texte in der jeweils gültigen Fassung. Diese Texte werden zur Einsichtnahme und etwaigen kurzfristigen Ausleihe bereitgehalten; dies wird dem Mitarbeiter bekannt gegeben,
2. die Verpflichtung zur Beachtung der in Nummer 1 genannten Vorschriften bei ihrer
Tätigkeit in der Datenverarbeitung, 3. mögliche disziplinarrechtliche bzw.
arbeitsrechtliche/rechtliche Folgen eines Verstoßes gegen die Datenschutzverordnung und andere für ihre Tätigkeit geltende Datenschutzvorschriften,
4. das Fortbestehen des Datengeheimnisses nach Beendigung der Tätigkeit bei der
Datenverarbeitung.
(2) Über die Beachtung der Verpflichtung ist von den bei der Datenverarbeitung tätigen
Personen eine schriftliche Erklärung nach näherer Maßgabe des Abschnittes III abzugeben. Die Urschrift der Verpflichtungserklärung wird zu den Personalakten der bei der Datenverarbeitung tätigen Personen genommen, welche eine Ausfertigung der Erklärung erhalten.
(3) Die Verpflichtung auf das Datengeheimnis erfolgt durch den Dienstvorgesetzten der in
der Datenverarbeitung tätigen Personen oder einen von ihm Beauftragten.
III. Zu § 4 Satz 2
(1) Die schriftliche Verpflichtungserklärung der bei der Datenverarbeitung tätigen Personen
gemäß § 4 Satz 2 hat zum Inhalt:
1. Angaben zur Identifizierung (Vor- und Zuname, Geburtsdatum und Anschrift sowie
Beschäftigungsdienststelle),
2. die Bestätigung, dass auf die für den Aufgabenbereich des Mitarbeiters wesentlichen
Grundsätze und im Übrigen auf die Texte in der jeweils gültigen Fassung sowie auf die
Möglichkeit der Einsichtnahme und etwaigen kurzfristigen Ausleihe dieser Texte hinge-
wiesen wurde,
3. die Verpflichtung, die Datenschutzverordnung und andere für ihre Tätigkeit geltende Datenschutzvorschriften in der jeweils gültigen Fassung sorgfältig einzuhalten,
4. die Bestätigung, dass sie über disziplinarrechtliche bzw. arbeitsrechtliche Folgen eines
Verstoßes gegen die Vorschriften belehrt wurden.
(2) Die schriftliche Verpflichtungserklärung ist von der bei der Datenverarbeitung tätigen
Person unter Angabe des Ortes und des Datums der Unterschriftsleistung zu unterzeichnen.
(3) Für die schriftliche Verpflichtungserklärung ist das Muster gemäß der Anlage zu
verwenden.
IV. zu § 6
Anlage 1
Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die
innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind,
1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene
Daten verarbeitet oder genutzt werden, zu verwehren(Zutrittskontrolle),
2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können
(Zugangskontrolle),
3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch
Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),
5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von
wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder
entfernt worden sind (Eingabekontrolle),
6. zu gewährleisten, dass personenbezogene Daten,  die im Auftrag verarbeitet werden, nur
entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftrags-
kontrolle),
7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle),
8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt
verarbeitet werden können.

Anlage 2
1.0 Aufgaben und Ziele dieser Anlage
Diese Anlage regelt den Einsatz von Arbeitsplatzcomputern in Einrichtungen und bei NOBIS FUTURUM. Sie ist als Ergänzung zu § 6 der Anordnung über den Datenschutz (und den
zu ihr ergangenen bereichsspezifischen Datenschutzregelungen in ihren jeweils geltenden
Fassungen anzusehen.
2.0 Arbeitsplatzcomputer / Datenverarbeitungsanlage
• Arbeitsplatzcomputer (APC) im Sinne dieser DVO sind alle selbständigen Systeme der
Datenverarbeitung, die von einer kirchlichen Stelle im Sinne des § 1 Abs. 2 zur Erfüllung ihrer Aufgaben genutzt werden.
• Sie können als Einzelgerät oder in Verbindung mit anderen Netzwerken bzw. anderen Systemen als Datenverarbeitungsanlage installiert sein.
• Als Netzwerk sind z.B. auch tragbare Geräte (Laptops bzw. Notebooks oder Netbooks),
Tabletcomputer und Mobiltelefone sowie Drucker bzw. Kopierer mit eigener Speichereinheit zu behandeln.
3.0 Allgemeine Grundsätze
3.1 Verantwortlichkeit der Mitarbeiter
• Mitarbeiter im Sinne dieser Anlage sind über die in § 2 Abs. 12 genannten
Beschäftigten hinaus auch ehrenamtliche Mitarbeiter, die APC verwenden.
• Jeder Mitarbeiter trägt die datenschutzrechtliche Verantwortung für eine vorschrifts-
mäßige Ausübung seiner Tätigkeit. Es ist ihm untersagt, personenbezogene Daten zu
einem anderen als dem in der jeweils rechtmäßigen Aufgabenerfüllung liegenden Zweck zu
verarbeiten oder zu übermitteln.
3.2 Verantwortlichkeit der Leitungen der Einrichtungen
• Die Leiter der Einrichtung sind letztlich die verantwortlichen Personen.
• Der einzelne Leiter legt fest, welche schutzwürdigen Daten auf Datenverarbeitungsanlagen gespeichert und verarbeitet werden.
• Ihm obliegt die zutreffende Einordnung der jeweiligen Daten in die Datenschutzklassen
nach diesen Richtlinien.
• Der Leiter klärt die Mitarbeiter über die Gefahren, die aus der Nutzung einer
Datenverarbeitungsanlage erwachsen, sowie über den möglichen Schaden, der
Einrichtungen aus einer Datenschutzverletzung erwachsen kann, auf.
• Der Leiter stellt sicher, dass ein Konzept zur datenschutzrechtlichen Ausgestaltung der Datenverarbeitungsanlagen erstellt wird.
• Der Leiter kann seine Aufgaben und Befugnisse nach dieser Durchführungsverordnung durch schriftliche Anordnung auf geeignete Mitarbeiter übertragen.
3.3 Technische und organisatorische Maßnahmen.
Mit der Eingabe, Speicherung, Verarbeitung und Nutzung personenbezogener Daten auf
Anlagen der elektronischen Datenverarbeitung darf erst begonnen werden, wenn die Daten
verarbeitende Stelle die nach der Anlage und die nach dieser Richtlinie erforderlichen technischen und organisatorischen Maßnahmen zum Schutz dieser Daten getroffen hat.
3.4 Mindestanforderungen
Unabhängig vom Grad der Schutzbedürftigkeit der Daten sind dabei zumindest folgende
Maßnahmen zu treffen:
• Das nach § 3a Abs. 4 SMMP zu führende Verzeichnis hat darüber hinaus den regel-
mäßigen Nutzer, den Standort und die interne Kennzeichnungs-Nummer zu enthalten.
• Alle bei der Verarbeitung personenbezogener Daten beteiligten Personen haben die Ver-
pflichtungserklärung gemäß § 4 Abs. 2 Satz 1 SMMP abzugeben. Den Mitarbeitern,
die die Verpflichtungserklärung unterschrieben haben, sind die jeweils gültige Anordnung über den Datenschutz, etwaige Verordnungen, Dienstanordnungen oder Dienstvereinbarungen und die in ihrem Arbeitsbereich zu beachtenden bereichsspezi-
fischen Datenschutzregelungen (Krankenhäuser, Arztpraxen andere Seniorenhilfeeinrichtungen etc.) in geschäftsüblicher Weise zugänglich zu machen.
• Es ist sicherzustellen, dass auf dienstlich genutzten Anlagen der elektronischen Datenver-
arbeitung ausschließlich autorisierte Programme zu dienstlichen Zwecken verwendet
werden. Die Benutzung privater Programme ist unzulässig.
• Werden Daten aus den Melderegistern der kommunalen Meldebehörden in Rechenzentren verarbeitet, so orientieren sich die Schutzmaßnahmen an den BSI-IT-
Grundschutzkatalogen. Rechenzentren im Sinne dieser Vorschrift sind die für den Betrieb
von größeren, zentral in mehreren Dienststellen eingesetzten Informations- und Kommu-
nikationssystemen erforderlichen Einrichtungen.
4.0 Datenschutzklassen
• Das Ausmaß der möglichen Gefährdung personenbezogener Daten bestimmt Art und
Umfang der Sicherungsmaßnahmen. Zur Erleichterung der Einordnung bedient sich diese
Anlage der Definition dreier Datenschutzklassen, die sich aus der Art der zu verarbeiten-
den Daten ergeben. Dem Dienststellenleiter, der die Einordnung vornimmt, steht es frei,
aus Gründen des Einzelfalles die zu verarbeitenden Daten anders einzuordnen als hier
vorgesehen. Diese Gründe sollen kurz dokumentiert werden.
• Bei der Einordnung in die einzelnen Datenschutzklassen ist auf die Daten abzustellen, die
vom Benutzer bewusst bearbeitet und gespeichert werden.
4.1 Datenschutzklasse I
Zur Datenschutzklasse I gehören personenbezogene Daten, deren Missbrauch keine
besonders schwer wiegende Beeinträchtigung des Betroffenen erwarten lässt. Hierzu gehören insbesondere Adressangaben ohne Sperrvermerke, z. B. Berufs-, Branchen- oder Geschäftsbezeichnungen.
4.2 Datenschutzklasse II
Zur Datenschutzklasse II gehören personenbezogene Daten, deren Missbrauch den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen beeinträchtigen kann. Hierzu gehören z.B. Daten über Mietverhältnisse, Geschäftsbeziehungen sowie Geburts- und Jubiläumsdaten, usw.
4.3 Datenschutzklasse III
Zur Datenschutzklasse III gehören personenbezogene Daten, deren Missbrauch die gesell-
schaftliche Stellung oder die wirtschaftlichen Verhältnisse des Betroffenen erheblich beein-
trächtigen kann. Hierzu gehören z.B. Daten über interne Handlungen, gesundheitliche Verhältnisse, strafbare Handlungen, religiöse oder politische Anschauungen, die Mitgliedschaft in einer Religionsgesellschaft, arbeitsrechtliche Rechtsverhältnisse, Diszipli-
narentscheidungen, usw. sowie Adressangaben mit Sperrvermerken.
4.4 Nicht elektronisch zu verarbeitende Daten
Daten, deren Kenntnis dem Arzt- und Therapeutengegeheimnis unterliegen sowie Daten über die Annahme einer Person an Kindes Statt (Adoptionsgeheimnis) sind in besonders hohem Maße schutzbedürftig. Ihre Ausspähung oder Verlautbarung würde dem Vertrauen in die Verschwiegenheit von Seniorpalace und deren Einrichtungen schweren Schaden zufügen. Daher dürfen diese Daten nicht auf APC verarbeitet werden, es sei denn, es handelte sich um aus dem staatlichen Bereich übernommene Daten.
4.5 Einordnung in die Datenschutzklassen
• Bei der Einordnung der zu speichernden personenbezogenen Daten in die vorgenannten
Schutzklassen ist auch deren Zusammenhang mit anderen gespeicherten Daten, der
Zweck ihrer Verarbeitung und das anzunehmende Missbrauchsinteresse zu berücksichti-
gen.
• Die Einordnung spricht der Dienststellenleiter aus; er soll einen etwa bestellten betriebli-
chen Datenschutzbeauftragten anhören und kann den Ordensdatenschutzbeauftragten
dazu anhören. Wenn keine Einordnung festgelegt ist, gilt automatisch die Datenschutzklasse III, sofern nicht die Voraussetzungen der Ziffer 4.4 vorliegen.
5.0 Besondere Gefahrenlagen
5.1 Nutzung privater Datenverarbeitungssysteme zu dienstlichen Zwecken
Die Verarbeitung personenbezogener Daten auf privat en Datenverarbeitungssystemen zu
dienstlichen Zwecken ist grundsätzlich unzulässig. Unter bestimmten Voraussetzungen
kann sie als Ausnahme vom Dienststellenleiter genehmigt werden. Die Genehmigung erfolgt schriftlich unter Nennung der Gründe.
5.2 Fremdzugriffe
Der Zugriff aus und von anderen Datenverarbeitungsanlagen durch Externe schafft besondere Gefahr en hinsichtlich der Ausspähung von Daten. Minimalanforderung ist eine Verpflichtung des Externen auf die SMMP. Art und Umfang der Zugriffe sind auf ein Mindestmaß zu reduzieren und gesondert zu regeln. Für die Fernwartung gilt § 8 SMMP entsprechend.
V. Zu § 12 Absatz 3 SMMP
(1) Die Unterrichtung des Betroffenen (§ 2 Absatz 1 SMMP) über eine Übermittlung
gemäß § 12 Absatz 3 Satz 1 SMMP erfolgt schriftlich.
(2) Sie enthält 1. die Bezeichnung der übermittelnden Stelle einschließlich der Anschrift,
2. die Bezeichnung des Dritten, an den die Daten übermittelt werden, einschließlich der An-
schrift, 3. die Bezeichnung der übermittelten Daten.
VI. Zu § 13 Absatz 1 SMMP
(1) Der Antrag des Betroffenen (§ 2 Absatz 1 SMMP) auf Auskunft ist schriftlich an die
verantwortliche Stelle (§ 2 Absatz 8 SMMP) zu richten oder dort zu Protokoll zu erklä-
ren.
(2) Der Antrag soll die Art der personenbezogenen Daten, über die Auskunft begehrt wird,
näher bezeichnen. Der Antrag auf Auskunft über personenbezogene Daten, die weder auto-
matisiert verarbeitet noch in einer nicht automatisierten Datei gespeichert sind, muss Anga-
ben enthalten, die das Auffinden der Daten ermöglichen.
(3) Der Antrag kann beschränkt werden auf Auskunft über
1. die zur Person des Betroffenen gespeicherten Daten oder
2. die Herkunft dieser Daten oder
3. die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben worden sind oder
4. den Zweck, zu dem diese Daten gespeichert sind (4) Vorbehaltlich der Regelung in § 13 Absatz 3 SMMP wird die Auskunft in dem beantragten Umfang von der verantwortlichen Stelle (§ 2 Absatz 8 SMMP) schriftlich erteilt.
(5) Wenn die Erteilung der beantragten Auskunft gemäß § 13 Absatz 2 oder 3 SMMP
zu unterbleiben hat, so ist dies dem Antragsteller schriftlich mitzuteilen. Die Versagung der
beantragten Auskunft soll begründet werden. Für den Fall, dass eine Begründung gemäß §
13 Absatz 4 SMMP nicht erforderlich ist, ist der Antragsteller darauf hinzuweisen, dass
er sich an den Datenschutzbeauftragten wenden kann; die Anschrift des Datenschutz- beauftragten ist ihm mitzuteilen.
VII. Zu § 13a SMMP
(1) Die Benachrichtigung des Betroffenen (§ 2 Absatz 1 SMMP) gemäß § 13 a Absatz 1
SMMP erfolgt, soweit die Pflicht zur Benachrichtigung nicht nach § 13a Absatz 2 und 3
entfällt, schriftlich durch die verantwortliche Stelle.
(2) Sie enthält
1. die zur Person des Betroffenen gespeicherten Daten,
2. die Bezeichnung der verantwortlichen Stelle,
3. den Zweck, zu dem die Daten erhoben, verarbeitet oder genutzt werden,
4. die Empfänger oder Kategorien von Empfängern, soweit der Betroffene nicht mit der
Übermittlung an diese rechnen muss.
VIII. Zu § 14 SMMP
(1) Der Betroffene (§ 2 Absatz 1 SMMP) kann schriftlich beantragen, ihn betreffende
personenbezogene Daten zu berichtigen oder zu löschen. Der Antrag ist schriftlich an die
Stellen gemäß § 1 Absatz 2 Nr. 2 und 3, im Falle des § 1 Absatz 2 Nr. 1 an NOBIS FUTURUM.
(2) In dem Antrag auf Berichtigung sind die Daten zu bezeichnen, deren Unrichtigkeit be-
hauptet wird. Der Antrag muss Angaben über die Umstände enthalten, aus denen sich die
Unrichtigkeit der Daten ergibt.
(3) In dem Antrag auf Löschung sind die personenbezogenen Daten zu bezeichnen, deren
Speicherung für unzulässig gehalten wird. Der Antrag muss Angaben über die Umstände
enthalten, aus denen sich die Unzulässigkeit der Speicherung ergibt.
(4) Die zuständige Stelle entscheidet schriftlich über Anträge gemäß Absatz 1. Die Entschei
dung ist dem Antragsteller bekannt zu geben. Im Falle des § 14 Absatz 8 SMMP sind
ihm die Stellen anzugeben, die von der Berichtigung , Löschung oder Sperrung verständigt
worden sind. Ist eine Verständigung aufgrund des § 14 Absatz 8 SMMP unterblieben,
sind dem Antragsteller die Gründe dafür mitzuteilen
(5) Der Widerspruch gemäß § 14 Absatz 5 SMMP ist schriftlich oder zur Niederschrift
bei der verantwortlichen Stelle (§ 2 Absatz 8 SMMP) einzulegen. Die Umstände, aus
denen sich das schutzwürdige Interesse des Betroffenen wegen seiner besonderen
persönlichen Situation ergibt, sind von dem Betroffenen darzulegen. Die verantwortliche Stelle entscheidet über den Widerspruch in geeigneter Form. Die Entscheidung ist dem Betroffenen bekannt zu geben.
Anlagen
1. Zu Abschnitt I. DVO SMMP (§ 3a SMMP Meldung von Verfahren automatisierter Verarbeitungen) Die Notwendigkeit für die in den nachfolgenden Formularen (Muster 1 und Muster 2) geforderten Angaben ergibt sich aus § 3a SMMP. Für jedes automatisierte Verfahren einer verantwortlichen Stelle füllt der Rechtsträger (§ 1 Absatz. 2 SMMP) ein Formular nach Muster 1 und Muster 2 aus.

 

Allgemeine Angaben (§ 3a Absatz 2 Nr. 1 und Nr. 2 SMMP)

1. Name :

Anschrift :
1.1 des Rechtsträgers (§ 1 Absatz 2 SMMP)
1.2 der verantwortlichen Stelle (Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt [§ 2 Absatz 8 SMMP])
(z.B. Adresse des Klienten oder Senioreneinrichtung oder Krankenhaus oder Betreuer)
2. Vertretung der verantwortlichen Stelle
2.1 der nach der Verfassung (Statut, Geschäftsordnung, Satzung) berufene Leiter der
verantwortlichen Stelle (z.B. Leiterin des Senioreneinrichtung)
2.2 mit der Leitung der Datenverarbeitung in der verantwortlichen Stelle beauftragte
Personen (z.B. beauftragte Mitarbeiterin in der Senioreneinrichtung oder Krankenhaus)
Besondere Angaben (§ 3a Absatz 2 Nr. 3 bis Nr. 7 SMMP)
3. Zweckbestimmung der Datenerhebung, -verarbeitung oder -nutzung (z.B. Mitglieder- und
Bestandspflege)
4. Betroffene Personengruppen und Daten oder Datenkategorien
4.1 Beschreibung der betroffenen Personengruppen (z. B. Mitarbeiter, Angehöriger, der
Bewohner, Betreuer usw.)
4.2 Beschreibung der diesbezüglichen Daten oder Datenkategorien
(Mit „Daten“ sind „personenbezogene Daten“ i. S. d. § 2 Absatz 1 SMMP gemeint, wie z.B. Name, Anschrift, Geburtsdatum, Religionszugehörigkeit. Grundsätzlich reicht jedoch die Angabe von Datenkategorien, z.B. Personaldaten, aus. Sogenannte „besondere Arten
personenbezogener Daten“ (vgl. § 2 Absatz 10 SMMP) sind entsprechend anzugeben.)
5. Empfänger oder Kategorien von Empfängern, denen die Daten mitgeteilt werden können
(Jede Person oder Stelle, die Daten erhält [§ 2 Absatz 9 SMMP]) (z.B. Behörden, kirchliche
Stellen, Versicherungen, ärztliches Personal usw.)
6. Regelfristen für die Löschung der Daten
7. Geplante Datenübermittlung ins Ausland
Muster 2
Allgemeine Angaben (§ 3a Absatz 2 Nr. 1 und Nr. 2 SMMP)
1. Name und Anschrift
1.1 des Rechtsträgers (§ 1 Absatz 2 SMMP)
1.2 der verantwortlichen Stelle (Jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt [§ 2 Absatz 8 SMMP])
2. Vertretung der verantwortlichen Stelle
2.1 der nach der Verfassung (Statut, Geschäftsordnung, Satzung) berufene Leiter der
verantwortlichen Stelle
2.2 mit der Leitung der Datenverarbeitung in der verantwortlichen Stelle beauftragte Perso-
nen
Besondere Angaben (§ 3a Absatz 2 Nr. 8 und Nr. 9 SMMP)
3. Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Konfigurations-
übersicht, Netzwerkstruktur, Betriebs- und Anwendungssoftware, spezielle Sicherungssoft-
ware usw.)
4. Zugriffsberechtigte Personen

 

....................................
Ort, Datum,  Unterschrift

 


Verpflichtungserklärung

Ich verpflichte mich,
1. die Anordnung über den Datenschutz des Verbundes der NOBIS FUTURUM
In der jeweils geltenden Fassung sowie die anderen für meine Tätigkeit geltenden
Datenschutzregelungen einschließlich der zu ihrer Durchführung ergangenen Bestimmungen sorgfältig einzuhalten und bestätige, dass ich auf die wesentlichen Grundsätze der für meine Tätigkeitgeltenden Bestimmungen hingewiesen wurde. Ich wurde ferner darauf hingewiesen, dass die SMMP und die Texte der übrigen für meine Tätigkeit geltenden Datenschutzvorschriften bei meiner Einrichtungsleitung eingesehen und auch für kurze Zeit ausgeliehen werden können.
2. das Datengeheimnis auch nach Beendigung meiner Tätigkeit zu beachten.
Ich bin darüber belehrt worden, dass ein Verstoß gegen das Datengeheimnis gleichzeitig
einen Verstoß gegen die Schweigepflicht darstellt, der disziplinarrechtliche beziehungsweise arbeitsrechtliche/rechtliche Folgen haben kann.
Diese Erklärung wird zu den Akten genommen.

Vor- und Zuname :

Anschrift :
 
Ort, Datum :

Unterschrift :      
 


IT-Richtlinien zur Umsetzung der Durchführungsverordnung zur Anordnung über den Datenschutz (SMMP)
Punkt IV. zu § 6, Anlage 2
Präambel
Die IT-Richtlinien definieren einen Mindeststandard für den kirchlichen Datenschutz. Dieser dient auch dazu, die überdiözesane Zusammenarbeit zu erleichtern (Datenschutzkonformität). Die zu etablierenden Datenschutzklassen (DSK) sind sowohl auf personenbezogene als auch auf schützenswerte nicht personenbezogene Daten anzuwenden (z.B. auf Buchhaltungsdaten
1. Nach den jeweiligen Datenschutzklassen erforderliche Maßnahmen
Die zum Schutz der Daten erforderlichen Maßnahmen richten sich nach der Einordnung in eine von drei Datenschutzklassen (vgl. SMMP IV. Anlage 2 zu § 6 SMMP Pkt. 4.1 - 4.3). Die jeweils erforderlichen Maßnahmen sind auch bei Auftragsdatenverarbeitung einzuhalten; die Kontrollierbarkeit der Durchführung der Maßnahmen durch den Auftraggeber ist sicher zu stellen.
2. Maßnahmen in den Datenschutzklassen
2.1 Maßnahmen in Datenschutzklasse I
Zum Schutz der in die Datenschutzklasse I einzuordnenden Daten ist ein Schutzniveau I zu definieren. Dieses setzt mindestens voraus: •
Der Arbeitsplatzcomputer (APC) ist nicht frei zugänglich, z.B.: in einem abschließbaren Gebäude oder unter ständiger Aufsicht.
Die Anmeldung am APC ist nur nach Eingabe eines benutzerdefinierten Kennwortes möglich.
Sicherungskopien der Datenbestände sind verschlossen aufzubewahren.
Vor der Weitergabe eines Datenträgers für einen anderen Einsatzzweck sind die auf ihm befindlichen Daten so zu löschen, dass ihre Wiederherstellung ausgeschlossen ist.
Nicht öffentlich verfügbare Daten sind nur dann weiter zu geben, wenn sie durch geeignete Schutzmaßnahmen geschützt sind. Die Art und Weise des Schutzes ist vor Ort zu
definieren.
2.2 Maßnahmen in Datenschutzklasse II
Zum Schutz der in die Datenschutzklasse II einzuordnenden Daten ist ein Schutzniveau II zu definieren. Dieses setzt mindestens voraus, dass neben dem Schutzniveau I mindestens folgende Voraussetzungen gegeben sind:
Die Anmeldung am APC ist nur nach Eingabe eines benutzerdefinierten Kennwortes möglich, dessen Erneuerung in regelmäßigen Abständen systemseitig vorgesehen wer-
den muss.
Das Laden des Betriebssystems der Datenverarbeitungsanlage darf nur mit dem dafür bereit gestellten Betriebssystem erfolgen (Boot-Schutz). Diese BIOS-Einstellung ist durch ein besonderes Passwort zu sichern, das nur dem Systemverwalter bekannt ist. Im Mehrbenutzer- oder Netzwerkbetrieb und bei einer PC/Host-Koppelung ist eine ab-
gestufte Rechteverwaltung erforderlich. Der Anwender sollte keine Administrationsrechte erhalten.
Sicherungskopien und Ausdrucke der Datenbestände sind vor Fremdzugriff und vor der gleichzeitigen Vernichtung mit den Originaldaten zu schützen.
Die Daten der Schutzklasse II sind auf zentralen Systemen in besonders gegen unbefugten Zutritt gesicherten Räumen zu speichern, sofern keine begründeten Ausnahmefälle gegeben sind. Die jeweils beteiligten Systeme und Transportwege sind nach dem aktuellen Stand der Technik angemessen zu schützen.
Eine Speicherung auf mobilen Datenträgern darf nur erfolgen, wenn diese mit einem geeigneten Zugriffsschutz ausgestattet sind.
2.3 Maßnahmen in Datenschutzklasse III
Zum Schutz der in die Datenschutzklasse III einzuordnenden Daten ist ein Schutzniveau III zu definieren. Dieses setzt voraus, dass neben dem Schutzniveau II mindestens folgende
Voraussetzungen gegeben sind:
Soweit es unvermeidlich ist, dass Daten der Datenschutzklasse III auf mobilen Geräten und Datenträgern gespeichert werden müssen, sind diese Daten verschlüsselt abzuspeichern.

Das Verschlüsselungsverfahren ist nach dem aktuellen Stand der Technik angemessen auszuwählen.
Besonderes Augenmerk muss dabei auf langfristige und nutzerunabhängige Lesbarkeit der
zu speichernden Daten gelegt werden. So müssen z.B. bei verschlüsselten Daten die Sicherheit des Schlüssels und die erforderliche Entschlüsselung auch im Datensicherungskonzept berücksichtigt werden. Anm.: Dies gilt nicht für die Festplatten von Druckern, sofern sichergestellt ist, dass diese nicht von einem Benutzerarbeitsplatz ausgelesen werden können.
3. Maßnahmen zur Datensicherung
Der Dienststellenleiter ist für die Erstellung und Umsetzung eines Datensicherungskonzep-
tes verantwortlich. Besonderes Augenmerk muss dabei auf die langfristige und nutzerunab-
hängige Lesbarkeit der zu speichernden Daten in der Datensicherung gelegt werden.
Zum Schutz des personenbezogenen Datenbestandes vor dessen Verlust sind regelmäßige
Datensicherungen erforderlich. Dabei sind u.a. folgende Aspekte mit zu berücksichtigen:
3.1 Sicherungskopien der verwendeten Programme
Es sind Sicherungskopien der verwendeten Programme in allen verwendeten Versionen an-
zulegen und möglichst von den Originaldatenträgern der Programme und den übrigen
Datenträgern getrennt aufzubewahren.
3.2 Zeitabstände bei der Datensicherung
Die Datensicherung soll in Umfang und Zeitabstand anhand der entstehenden Auswirkun-
gen eines Verlustes der Daten festgelegt werden.
4. Besondere Gefahrenlagen
4.1 Fernwartung
Eine Fernwartung von APC durch externe Unternehmer schafft besondere Gefahren hin-
sichtlich der Ausspähung von Daten. Sie darf daher  nur erfolgen, wenn der Beginn aktiv
seitens des Auftraggebers eingeleitet wurde und derVerlauf sowie das Ende mindestens
überprüfbar sind.
4.2 Auftragsdatenverarbeitung
Werden personenbezogene Daten auf zentralen Systeme n außerhalb des Geltungsbereiches der Anordnung über den kirchlichen Datenschutz (SMMP) gespeichert (z.B. Public Cloud), sind die Auftragnehmer auf die SMMP zu verpflichten. Ergänzend ist sicher zustellen, dass der physikalische Speicherort der Daten ausschließlich im Geltungsbereich des BDSG liegt. Sobald eine einheitliche europäische Datenschutzverordnung in Kraft ist, wird auf deren Geltungsbereich abgestellt.
4.3 Nutzung privater Datenverarbeitungssysteme
Werden im zu genehmigenden Einzelfall personenbezogene Daten auf privaten Datenverar
beitungsanlagen verarbeitet oder werden personenbezogene Daten auf private E-Mail-
Konten geleitet, sind die Nutzer schriftlich auf die Einhaltung dieser IT-Richtlinie zu ver-
pflichten. In dieser Erklärung verpflichten sich die Nutzer, betreffende personenbezogene
Daten durch die Dienststelle und auf deren Anforderung löschen zu lassen. Ergänzend soll
dem Nutzer eine spezifische Handlungsanleitung ausgehändigt werden, um den Schutz die-
ser Daten zu gewährleisten.
Der Dienststelle wird das Recht eingeräumt, die gespeicherten dienstlichen Daten aus wich-
tigem Grund auch ohne Einwilligung des Nutzers zu löschen und, falls dies unumgänglich
ist, die auf dem APC gespeicherten privaten Daten zu löschen.
4.4 Wartungsarbeiten in der Dienststelle durch externe Auftragnehmer
Bei der Durchführung von Wartungsarbeiten innerhalb der Dienststelle ist mit besonderer
Sorgfalt darauf zu achten und nach Möglichkeit auch technisch sicherzustellen, dass keine
Kopien der personenbezogenen Datenbestände gefertigt werden können. Muss dem War-
tungsdienst bei Vornahme der Arbeiten ein Passwort mitgeteilt werden, ist dieses sofort
nach deren Beendigung zu ändern.
4.5 Verschrottung und Vernichtung von Datenträgern Es sind Maßnahmen bei der Verschrottung bzw. Vernichtung von Datenträgern zu ergreifen, die die Lesbarkeit oder Wiederherstellbarkeit der Datenträger zuverlässig ausschließen.
4.6 Passwortlisten der Systemverwaltung
Der Systemverwalter muss alle nicht zurücksetzbarenPasswörter (z.B. BIOS- und Administ-
rationspasswörter) besonders gesichert aufbewahren.

 



Info
 
Otváracie hodiny
Ohľadne otváracích hodín sa informujte u nás telefonicky. Po telefonickej dohode je možné si dohodnúť presný termín.
Kontakty
FIRMA s.r.o.
Ulica 111
111 11 Mesto
Tel. & Email:

© Copyright 2022 - Alle Rechte vorbehalten - www.quanocens.eu | Cookies
Erstellung von Webseiten und eShops

© Copyright - Alle Rechte vorbehalten - www.quanocens.eu
Erstellung von Webseiten und eShops by GRANDIOSOFT
© Copyright
Cookie-Einstellungen
Wir verwenden essentielle Cookies für das Funktionieren unserer Website, die die Implementierung der Grundfunktionen der Website ermöglichen. Sie können diese Cookies deaktivieren, indem Sie die Einstellungen Ihres Internetbrowsers ändern, was den Betrieb der Website beeinträchtigen kann. Wir möchten auch nicht unbedingt erforderliche Cookies verwenden, um uns dabei zu helfen, den Betrieb unserer Website zu verbessern. Um sie zuzulassen, klicken Sie bitte auf Zustimmung.
Information über Cookies
Ich stimme zu Anpassen Ablehnen
Zurück
Detaillierte Cookie-Einstellungen
Wir verwenden Cookies, um die Grundfunktionen der Website sicherzustellen und Ihre Benutzererfahrung zu verbessern. Sie können Ihre Einwilligung für jede Kategorie jederzeit ändern.
Notwendige cookies
 
Technische Cookies sind für das reibungslose Funktionieren unserer Website unerlässlich. Diese werden hauptsächlich verwendet, um Ihre Produkte im Warenkorb zu speichern, Ihre Lieblingsprodukte anzuzeigen, Ihre Präferenzen und den Kaufprozess festzulegen. Wir benötigen Ihre Zustimmung nicht, um technische Cookies zu verwenden, aber wir verarbeiten sie auf der Grundlage unseres berechtigten Interesses. Sie können Ihren Browser so einstellen, dass er solche Dateien blockiert oder Sie darüber benachrichtigt. In diesem Fall funktionieren jedoch möglicherweise einige Teile unserer Website nicht richtig.
Analytische Cookies
 
Analytische Cookies ermöglichen es uns, die Leistung und die Anzahl der Besuche auf unserer Website zu messen.
Marketing-Cookies
 
Marketing-Cookies werden von Werbe- und sozialen Netzwerken verwendet, um die angezeigten Anzeigen so anzupassen, dass sie für Sie so interessant wie möglich sind.
Alle aktivieren Ausgewählte zulassen Ablehnen
Speichern Ablehnen