Gesetz Nr. CXII von 2011 über das Recht auf informationelle Selbstbestimmung und das Gesetz über die Informationsfreiheit Nr. 24 (3) und 30 (6) des Gesetzes lege ich hiermit das Datenschutz- und Datensicherheitssystem des Bürgermeisteramtes Verőce (im Folgenden: das Organ) als institutioneller Datenverantwortlicher wie folgt fest:

I.

ALLGEMEINE BESTIMMUNGEN

1. der Geltungsbereich des Kodex

1.1. Der persönliche Geltungsbereich dieses Reglements erstreckt sich auf die Mitarbeiter des Bürgermeisteramtes Verőce und die Mitarbeiter der Institution.

1.2. Der Geltungsbereich des Kodex erstreckt sich auf alle Verwaltungs- und Dokumentenmanagementverfahren des Organs, unabhängig von der verwendeten Datenverwaltungsmethode.

2. auslegende Bestimmungen

Dateneine Form der Informationsdarstellung, d. h. eine nicht interpretierte, aber interpretierbare Art der Übermittlung von Fakten und Ideen;

Persönliche Daten: Daten, die mit der betroffenen Person in Verbindung gebracht werden können, insbesondere ihr Name, ihr Erkennungszeichen und einer oder mehrere Faktoren, die für ihre physische, physiologische, psychische, wirtschaftliche, kulturelle oder soziale Identität kennzeichnend sind, sowie die Rückschlüsse, die aus den Daten auf die betroffene Person gezogen werden können;

Besondere Daten:

(a) personenbezogene Daten, aus denen die rassische oder ethnische Herkunft, die Staatsangehörigkeit, politische Meinungen oder Anschauungen, religiöse oder philosophische Überzeugungen, die Zugehörigkeit zu einer Interessengruppe oder zu einem Vertretungsorgan oder das Sexualleben hervorgehen,

b) personenbezogene Daten über die Gesundheit, pathologische Abhängigkeiten und personenbezogene Daten über Straftaten;

Daten von öffentlichem Interesse: Informationen oder Kenntnisse in jeglicher Form und mit jeglichem Mittel, die sich im Besitz einer öffentlichen oder lokalen Einrichtung oder Person befinden, die eine öffentliche Aufgabe wahrnimmt, und die sich auf ihre Tätigkeiten beziehen oder bei der Wahrnehmung ihrer öffentlichen Aufgaben anfallen, und die nicht unter den Begriff der personenbezogenen Daten fallen, unabhängig von der Art ihrer Verarbeitung, unabhängig davon, ob sie spezifischer oder kollektiver Natur sind, insbesondere Daten über die Befugnisse, Zuständigkeiten, Organisation, Struktur, berufliche Tätigkeiten, einschließlich einer Bewertung ihrer Wirksamkeit, die Art der gespeicherten Daten und die Rechtsvorschriften, die ihre Funktionsweise regeln, sowie Daten über die Verwaltung und die geschlossenen Verträge;

Informationen von öffentlichem Interesse: alle Daten, die nicht unter den Begriff "Daten von öffentlichem Interesse" fallen und deren Weitergabe, Veröffentlichung oder Bereitstellung gesetzlich vorgeschrieben ist und im öffentlichen Interesse liegt;

Beitrag: eine freiwillige, ausdrückliche und auf angemessene Informationen gestützte Willensbekundung der betroffenen Person, mit der sie der Verarbeitung der sie betreffenden personenbezogenen Daten ganz oder teilweise unmissverständlich zustimmt;

Datenkontrolleur: die natürliche oder juristische Person oder die nicht rechtsfähige Körperschaft, die allein oder gemeinsam mit anderen die Zwecke der Datenverarbeitung festlegt, die Entscheidungen über die Verarbeitung (einschließlich der verwendeten Mittel) trifft und durchführt oder sie von einem Auftragsverarbeiter in ihrem Namen durchführen lässt;

Verwaltung der Daten: jeder Vorgang oder jede Reihe von Vorgängen, die mit den Daten durchgeführt werden, unabhängig von dem verwendeten Verfahren, wie z. B. das Erheben, das Aufzeichnen, die Registrierung, die Organisation, die Speicherung, die Veränderung, die Verwendung, das Abrufen, die Offenlegung, die Übermittlung, der Abgleich oder die Verknüpfung, die Sperrung, die Löschung und die Vernichtung sowie die Verhinderung der Weiterverwendung, das Anfertigen von Fotografien, Audio- oder Videoaufzeichnungen und die Erfassung physischer Merkmale, die zur Identifizierung einer Person verwendet werden können (z. B. Fingerabdrücke, Handabdrücke, DNA-Proben, Iris-Scans);

Übermittlung von Daten: Bereitstellung der Daten an einen bestimmten Dritten;

Offenlegung gegenüber der Öffentlichkeit: die Daten für jedermann zugänglich zu machen;

Löschung von Daten: Daten so unkenntlich zu machen, dass eine Wiederherstellung nicht mehr möglich ist;

Vernichtung von Daten: die vollständige physische Zerstörung des Datenträgers, der die Daten enthält;

Datenverarbeitung: die Durchführung technischer Aufgaben im Zusammenhang mit Verarbeitungen, unabhängig von der Art und Weise und dem Ort der Anwendung, sofern die technische Aufgabe an den Daten durchgeführt wird;

Datenverarbeiter: eine natürliche oder juristische Person oder eine nicht rechtsfähige Körperschaft, die Daten auf der Grundlage eines Vertrags mit dem für die Verarbeitung Verantwortlichen, einschließlich eines aufgrund einer Rechtsvorschrift geschlossenen Vertrags, verarbeitet;

Die Datei: die Menge der in einem Register verwalteten Daten;

Dritte Person: eine andere natürliche oder juristische Person oder eine nicht rechtsfähige Körperschaft als die betroffene Person, der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter;

Geschäftsgeheimnis alle Tatsachen, Informationen, Lösungen oder Daten, die sich auf eine wirtschaftliche Tätigkeit beziehen, deren Bekanntgabe, Erwerb oder Verwendung durch Unbefugte die berechtigten finanziellen, wirtschaftlichen oder marktbezogenen Interessen des Rechtsinhabers, mit Ausnahme des ungarischen Staates, schädigen oder gefährden würde und für deren Geheimhaltung der Rechtsinhaber die erforderlichen Maßnahmen getroffen hat.

Verwalter: Die Person, die berechtigt ist, Benutzer und Berechtigungen für das Programm einzurichten.

3. allgemeine Bestimmungen

3.1. Alle Beamten und Angestellten müssen die Bestimmungen des Datenschutzkodex einhalten. Der Notar überwacht über den internen Prüfer, den Datenschutzbeauftragten, die Durchsetzung der Bestimmungen des Kodex sowie der Gesetze und sonstigen Vorschriften zum Datenschutz.

3.2. Der Präsident ist persönlich dafür verantwortlich, dass der Schutz der von dem Organ verarbeiteten personenbezogenen Daten gewährleistet ist; dazu gehören:

a. Daten, die von der Dienststelle bei der Erfüllung ihrer Aufgaben erzeugt und verwaltet werden.

b. Von einer anderen Einrichtung oder Abteilung übermittelte Daten.

c. die Daten, zu denen sie Zugang haben oder die sie nutzen dürfen.

d. Alle Daten, die nicht unmittelbar für die Erfüllung ihrer Aufgaben erforderlich sind, von denen sie aber im Rahmen ihrer Arbeit über verschiedene Informationskanäle Kenntnis erhalten haben.

3.3. Der Präsident ist persönlich für die Weitergabe von Informationen von öffentlichem Interesse innerhalb des Organs verantwortlich. Anträge auf Zugang zu Daten von öffentlichem Interesse sind an den Präsidenten oder den Kanzler zu richten, die für die Beantwortung dieser Anträge verantwortlich sind.

3.4. Das Organ kann personenbezogene Daten verarbeiten, wenn.

1. mit der Zustimmung der betroffenen Person, oder

2. sie durch ein Gesetz oder durch ein Dekret eines örtlichen Organs im Rahmen der gesetzlich festgelegten Befugnisse zu einem im öffentlichen Interesse liegenden Zweck angeordnet wird.
   

3.5. Zum Schutz der in den verschiedenen Registern elektronisch verwalteten Datensätze sollten geeignete technische Vorkehrungen getroffen werden, um sicherzustellen, dass die in den Registern gespeicherten Daten nicht direkt mit der betroffenen Person verknüpft und ihr zugeordnet werden können, es sei denn, dies ist gesetzlich zulässig.

3.6. Bei der Verarbeitung personenbezogener Daten dürfen das Recht auf den Schutz personenbezogener Daten und die Persönlichkeitsrechte der betroffenen Person nicht durch andere Interessen an der Verarbeitung, einschließlich der Weitergabe von Daten von öffentlichem Interesse, beeinträchtigt werden, es sei denn, eine Ausnahme ist gesetzlich vorgesehen.

3.7. Personenbezogene Daten dürfen nur für bestimmte Zwecke, für die Ausübung von Rechten und für die Erfüllung von Pflichten verarbeitet werden. In allen Phasen der Verarbeitung muss der Zweck der Verarbeitung erfüllt sein und die Erhebung und Verarbeitung der Daten muss nach Treu und Glauben und auf rechtmäßige Weise erfolgen.

3.8. Es dürfen nur personenbezogene Daten verarbeitet werden, die für den Zweck der Verarbeitung erforderlich und zur Erreichung dieses Zwecks geeignet sind. Personenbezogene Daten dürfen nur in dem Umfang und für die Dauer verarbeitet werden, die zur Erreichung des Zwecks erforderlich sind.

3.9. Die Datenverarbeitungsvorgänge müssen so konzipiert und durchgeführt werden, dass der Schutz der Privatsphäre der betroffenen Personen bei der Anwendung der einschlägigen Rechtsvorschriften gewährleistet ist.

3.10. Der Inhaber der Datenverarbeitung ist:

1. die erhaltenen Verschlusssachen nur zur Erfüllung seiner Aufgaben zu verwenden, sie nicht an Unbefugte weiterzugeben und keine Informationen ohne die Genehmigung seines Vorgesetzten zu verbreiten. Der für die Verarbeitung Verantwortliche verweigert unbefugten Antragstellern oder Antragstellern den Zugang zu den Daten und deren Verwendung. Der für die Verarbeitung Verantwortliche haftet persönlich für die Verarbeitung der Daten, von denen er Kenntnis erlangt.
   

2. ist verpflichtet, Geschäftsgeheimnisse, von denen er im Rahmen seiner Tätigkeit Kenntnis erlangt, gemäß dem Bürgerlichen Gesetzbuch offenzulegen. 81 des Bürgerlichen Gesetzbuches, sowie wesentliche Informationen über den Arbeitgeber und seine Tätigkeit. Darüber hinaus darf er Unbefugten keine Informationen mitteilen, von denen er in Ausübung seiner Tätigkeit Kenntnis erlangt hat und deren Offenlegung dem Arbeitgeber oder einer anderen Person schaden würde. Die Vertraulichkeit erstreckt sich nicht auf die in einem besonderen Gesetz über die Weitergabe von Daten von öffentlichem Interesse und über Daten, die im öffentlichen Interesse liegen, vorgesehene Auskunfts- und Informationspflicht.

3.11. Wer eine unrechtmäßige Verarbeitung feststellt, muss den für die Verarbeitung Verantwortlichen auffordern, die unrechtmäßige Verarbeitung einzustellen, und muss den Vorgesetzten und den Datenschutzbeauftragten über die Feststellung der unrechtmäßigen Verarbeitung, den für die Verarbeitung Verantwortlichen und die verarbeiteten Daten unterrichten. Der Vorgesetzte unterrichtet den Präsidenten über die Feststellung der unrechtmäßigen Verarbeitung und ergreift alle erforderlichen Maßnahmen, um die Unrechtmäßigkeit abzustellen und den durch die unrechtmäßige Verarbeitung entstandenen Schaden zu beheben und wiedergutzumachen.

II.

DIE DATENSCHUTZORGANISATION

1. der Präsident

Sie erfüllt die ihr gesetzlich zugewiesenen Aufgaben im Rahmen der:

• gibt eine Datenschutz- und Datensicherheitspolitik heraus.

• ernennt den Datenschutzbeauftragten des Organs.

• Entscheidet über die Person des externen Datenpflegers und den Vertrag zur Datenpflege.

• Kontrolle der Datenverwaltung, des Datenschutzes und der IT-Aufzeichnungen durch den Innenrevisor, die Direktoren, die Abteilungsleiter und den Datenschutzbeauftragten.
  

2. der Datenschutzbeauftragte

2.1. Mitwirkung und Unterstützung bei Entscheidungen im Zusammenhang mit der Datenverwaltung und Gewährleistung der Rechte der betroffenen Personen.

2.2. Gewährleistet die Einhaltung der Rechtsvorschriften zur Datenverwaltung, der internen Datenschutz- und Datensicherheitsrichtlinien und der Datensicherheitsanforderungen.

2.3. die bei ihr eingehenden Meldungen zu prüfen und, falls sie eine unzulässige Verarbeitung feststellt, den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter aufzufordern, diese einzustellen.

2.4. Ausarbeitung und ständige Aktualisierung der internen Datenschutz- und Datensicherheitspolitik.

2.5. Sorgt dafür, dass Datenschutzschulungen durchgeführt werden.

2.6. Auf Anfrage gibt er eine Stellungnahme zu den Vorschlägen des Verwaltungsrats und der Kommission ab, und zwar unter dem Gesichtspunkt des Datenschutzes.

2.7. Auf Anfrage gibt sie ihre Stellungnahme zu Datenanfragen ab.

2.8. Sie fasst die Aufzeichnungen über die Ablehnung von Anträgen auf Daten von öffentlichem Interesse und die Gründe für diese Ablehnung zusammen und informiert die nationale Behörde für Datenschutz und Informationsfreiheit bis zum 31. Januar jeden Jahres über die Ergebnisse.

2.9. Nimmt die vom Präsidenten von Fall zu Fall festgelegten Datenschutzaufgaben wahr.

3. der Kontrolleur

3.1. Verwaltet die mit seiner/ihrer Tätigkeit verbundenen Daten, andere Daten nur im Vertretungsfall, führt Aufzeichnungen.

3.2. Weitergabe von Daten an eine gesetzlich befugte Person oder Organisation.

3.3. Führt die Daten- und Melderegister.

3.4. Er speichert die empfangenen Daten.

3.5. Stellen Sie sicher, dass die Daten in dem vom Unternehmen geführten Register nicht von Unbefugten eingesehen werden können, und sorgen Sie für eine sichere Aufbewahrung des Registers.

3.6. Einhaltung der Bestimmungen über Datenmanagement, Datenschutz und Datensicherheit.

3.7. Melden Sie dem IT-Personal unverzüglich jede Funktionsstörung der Computerausrüstung oder jedes Problem mit der Handhabbarkeit der Datei.

3.8. Der für die Verarbeitung Verantwortliche muss seinen Vorgesetzten und den Datenschutzbeauftragten über jeden unbefugten Zugriff auf Daten oder jede unbefugte Verarbeitung von Daten in seinem System informieren.

III.

ANMELDE- UND MELDEVERFAHREN

1. die Verwaltung der Aufzeichnungen

1.1. Die Daten können elektronisch oder manuell erfasst werden. Auf den eigenen Speichermedien der Computer dürfen keine wesentlichen Dateien gespeichert werden; sie werden ausschließlich im Netz gespeichert.

1.2. Das Recht auf Datenzugriff legt fest, welche für die Verarbeitung Verantwortlichen das Recht haben, auf die gespeicherten Daten zuzugreifen (zu lesen) und welche für die Verarbeitung Verantwortlichen das Recht haben, die Daten zu modifizieren (eingeben, ändern, löschen).

1.3. Die Zugriffsrechte auf die auf dem Computer gespeicherten Daten werden vom Programmverwalter festgelegt. Der Verwalter führt ein aktuelles Verzeichnis der Zugriffsrechte der für die Datenverarbeitung Verantwortlichen.

1.4. Der Präsident, der Datenschutzbeauftragte, hat das Recht auf Einsicht in das Register der Auskunftsrechte.

2) Verfahren der Datenbereitstellung

2.1. Die Daten können auf Anfrage und von Amts wegen zur Verfügung gestellt werden.

2.2. Die Auskünfte können auf Antrag mündlich, schriftlich oder elektronisch erteilt werden. Im Falle einer mündlichen Anfrage werden die Daten mittels eines vom Antragsteller auszufüllenden Datenanforderungsformulars übermittelt (Anhang 1).

2.3. Die Datenanfragen werden manuell oder elektronisch in dem in Anhang 2 dargestellten Format eingereicht und aufgezeichnet.

2.4. Personenbezogene Daten dürfen nur übermittelt werden, wenn die rechtlichen Voraussetzungen für ihre Übermittlung erfüllt sind.

2.5. Bei der Beantragung von Daten, die zur Geltendmachung eines Rechts oder eines berechtigten Interesses erforderlich sind, muss der Antragsteller die Tatsache oder das Ereignis nachweisen, das die Verbindung zwischen den betreffenden Daten und der betroffenen Person für die Zwecke, für die die Daten bestimmt sind, herstellt oder hergestellt hat.

2.6. Jede Dienststelle darf einem Ersuchen um personenbezogene Daten nur dann nachkommen, wenn die angeforderten Daten von ihr verarbeitet werden.

2.7. Ersuchen um Daten von öffentlichem Interesse und Daten im öffentlichen Interesse sind an den Präsidenten zu richten.

2.8. Im Falle eines Konflikts zwischen personenbezogenen Daten und Daten von öffentlichem Interesse müssen das Grundrecht auf den Schutz personenbezogener Daten und das Grundrecht auf Zugang zu Daten von öffentlichem Interesse im Verhältnis zueinander ausgelegt werden, und die Rangfolge dieser beiden Grundrechte muss stets im Lichte des Gegenstands der zu prüfenden Angelegenheit festgelegt werden.

2.9. Bestehen Zweifel an der Rechtmäßigkeit, Durchführbarkeit oder sonstigen Zulässigkeit einer Datenanfrage, so holt jeder für die Verarbeitung Verantwortliche die Stellungnahme des Datenschutzbeauftragten ein.

2.10. Der Datenschutzbeauftragte entscheidet innerhalb von 3 Tagen nach Prüfung des Antrags, ob diesem stattgegeben werden kann oder hilft bei der Klärung der zweifelhaften Umstände.

2.11. Ersuchen um Informationen von öffentlichem Interesse sind innerhalb von 15 Tagen in verständlicher Form und mit den erforderlichen Angaben zu stellen. Die Frist kann einmalig um 15 Tage verlängert werden, wenn es sich um einen großen Umfang oder eine große Menge an Daten handelt. Jede Ablehnung eines Antrags ist innerhalb von 8 Tagen zu begründen.

2.12. Bevor dem Antrag stattgegeben wird, wird der Antragsteller innerhalb von acht Tagen nach Eingang des Antrags über die Höhe der gemäß Anhang 3 zu zahlenden Erstattung informiert.

2.13. Der Antragsteller kann den Antrag jederzeit zurückziehen, bis die Daten zur Verfügung gestellt worden sind.

2.14. Jede Dienststelle übermittelt dem Datenschutzbeauftragten bis zum 15. Januar eines jeden Jahres einen zusammenfassenden Bericht über die abgelehnten Anträge und die Gründe für die Ablehnung aus der Datei. Der Datenschutzbeauftragte fasst die von den Dienststellen übermittelten Berichte zusammen und informiert die nationale Behörde für Datenschutz und Informationsfreiheit bis zum 31. Januar.

2.15. Das Verfahren für den Zugang zu den Daten richtet sich entsprechend nach den Vorschriften über das Verfahren für die Bereitstellung von Daten.

2.16. Die Vorschriften über den Zugang zu Bild- und Tonmaterial gelten für die Datei. Die Höhe der Gebühr für die Bereitstellung der Daten ist in Anhang 3 festgelegt.

IV.

DATENSCHUTZ UND DATENSICHERHEIT

1. sicherheitstechnische Maßnahmen für die Infrastruktur

1.1. Andere Personen dürfen die Räumlichkeiten oder Arbeitsbereiche, in denen die Dateien verwaltet oder gespeichert werden, nur in Anwesenheit des Verwalters oder des zuständigen Leiters betreten oder sich dort aufhalten.

1.2. Die Kunden dürfen sich nur in dem für den Kundenempfang vorgesehenen Bereich aufhalten, und zwar stets in Anwesenheit eines Verwalters. Während der Abwesenheit der autorisierten Person müssen diese Bereiche geschlossen bleiben.

1.3. Der Serverraum darf nur in Anwesenheit eines IT-Beauftragten oder des Leiters der IT-Abteilung betreten oder reserviert werden. Niemand darf den Serverraum in Abwesenheit des IT-Beauftragten oder des IT-Chefs betreten.

1.4. Der Administrator, der die Datei verwaltet, muss sich während seiner Abwesenheit von den Programmen, die er benutzt, abmelden, um einen unbefugten Zugriff auf die Daten zu verhindern.

Die Computer müssen in den Büroräumen so aufgestellt und benutzt werden, dass die auf dem Bildschirm angezeigten Informationen für Unbefugte (z. B. Kunden usw.) nicht sichtbar sind. Während der Arbeitspausen ist der Computer so zurückzusetzen, dass Informationen und Dokumente nicht sichtbar sind.

1.5.Der für die Verarbeitung Verantwortliche behandelt seine eigenen Passwörter vertraulich und gibt sie unter keinen Umständen an Dritte weiter. Stellt der für die Verarbeitung Verantwortliche fest, dass sein Passwort einer unbefugten Person bekannt geworden ist, so ändert er sein Passwort unverzüglich und meldet dies dem Datenschutzbeauftragten.

1.6. Der Empfang von Schlüsseln zu Räumen und Datenspeichern wird durch die Unterschrift des Empfängers im Schlüsselbuch bestätigt. Das Schlüsselbuch ist vom Hausmeister auf dem neuesten Stand zu halten.

1.7. Die Schlüssel zu den Räumlichkeiten und Geräten, die für die Verwaltung und Speicherung der Dateien verwendet werden, dürfen vom Rechtsinhaber nicht, auch nicht vorübergehend, an eine andere Person weitergegeben werden.

1.8. Kopien von Schlüsseln zu Räumlichkeiten und Datenspeichern dürfen nur mit schriftlicher Genehmigung des Dienststellenleiters und nur in hinreichend begründeten Fällen angefertigt werden. Die Tatsache, dass Schlüssel kopiert wurden, und die Angaben zu der Person, die berechtigt ist, sie zu benutzen, werden in das Schlüsselregister eingetragen.

1.9. Der Alarm in den alarmgesicherten Räumlichkeiten wird vom Verwalter am Ende des Arbeitstages aktiviert. Die Alarmanlagen sind monatlich auf ihre Funktionsfähigkeit zu überprüfen. Die Tatsache und das Ergebnis der Kontrolle sind im Schlüsselbuch zu vermerken und durch Unterschrift zu bestätigen.

1.10. Soweit möglich, sollten die Alarmgeräte mit einer persönlichen Autorisierung (Code) versehen werden, um die Rückverfolgbarkeit zu gewährleisten. Die Aufzeichnungen über die Berechtigung sind von der Geschäftsleitung auf dem neuesten Stand zu halten.

1.11. In den Räumlichkeiten, insbesondere in den Computerräumen, müssen Feuerlöscher in ausreichender Anzahl und in entsprechendem Bereitschaftszustand für den Brandschutz installiert sein. Auch der Serverraum muss mit einer separaten Brandschutzanlage ausgestattet sein. Die für den Brandschutz verantwortliche Person hat dafür zu sorgen, dass die Feuerlöschgeräte vorhanden und funktionsfähig sind.

1.12. Alle Computer und IT-Geräte des Organs müssen am Ende des Tages ausgeschaltet und von der Stromversorgung getrennt werden. Server sind nur bei Bedarf auszuschalten, und die Nutzer sind im Voraus zu informieren.

1.13. Die Sicherheitsmaßnahmen für die Infrastruktur müssen bei Personalwechsel aktualisiert werden.

2. hardwarebezogene Sicherheitsmaßnahmen

2.1. Die Nutzung der EDV-Anlagen ist in erster Linie dem Betreiber der Anlage oder bei dessen Abwesenheit dem Personal der Abteilung oder dem IT-Personal gestattet. Nur das IT-Personal ist befugt, Server zu verwalten und ist für deren Betrieb und Sicherheit verantwortlich.

2.2. Die Installation der Hard- und Softwarekomponenten kann, wenn sie nicht vom Händler durchgeführt wird, nur von IT-Spezialisten vorgenommen werden.

2.3. Während der Arbeitszeit muss jederzeit ein Mitarbeiter der IT-Abteilung zur Verfügung stehen, um sicherzustellen, dass eventuelle Störungen des Computersystems behoben werden können.

2.4 Im Falle einer Störung des Computersystems benachrichtigt der für die Verarbeitung Verantwortliche das IT-Personal unter Angabe des Fehlers oder der Symptome. Das IT-Personal wird unverzüglich mit der Fehlersuche und der Behebung der Störung beginnen. Ausfälle von Servern und Diensten, die nicht von uns betrieben werden, werden dem Dienstanbieter gemeldet.

2.5. Die Wartung von Hardware-Geräten, mit Ausnahme von Multifunktionsgeräten und Desktop-Druckern, wird laufend von IT-Mitarbeitern durchgeführt. Kann die Reparatur nicht vor Ort durchgeführt werden, muss das defekte Gerät an eine Fachwerkstatt geschickt werden.

3. softwarebezogene Sicherheitsmaßnahmen

3.1. Nur IT-Mitarbeiter können Software auf dem gesamten IT-System installieren.

3.2. Die auf den Servern gespeicherten Daten sollten regelmäßig gesichert werden. Die Backups und ihre Speicherung werden vom IT-Personal durchgeführt.

3.3. Die Pflege der Daten erfolgt laufend durch den Dateiverwalter. Der Datenverwalter ist dafür verantwortlich, die von ihm verwaltete Datei auf dem neuesten Stand zu halten.

3.4. Die IT-Spezialisten unterstützen die für die Datenverarbeitung Verantwortlichen bei der Verwaltung und Nutzung von Computerprogrammen und Software.

4. die Sicherheitsmaßnahmen für Datenträger und Dokumente

4.1. Kopien von Dateien dürfen nur zu den Zwecken angefertigt werden, die für die Erfüllung der Aufgabe erforderlich sind, und zwar in den Grenzen der Datensicherheit.

4.2. Kopien von Dokumenten dürfen nur im Zusammenhang mit der Ausführung des Auftrags und nur in der gerechtfertigten Anzahl von Kopien angefertigt werden. Fehlerhafte, nicht verwendete Kopien sind zu vernichten.

4.3. Die Aufbewahrungsfrist und Archivierung von (manuellen) Datenträgern in Papierform richtet sich nach dem Archivierungsplan.

4.4. Nur der Präsident, der Verwalter, der Interne Prüfer und der Datenschutzbeauftragte haben Zugang zu den Akten. Der Zugang zu Dokumenten und das Kopieren von Dokumenten durch Außenstehende erfolgt nach Maßgabe der geltenden Rechtsvorschriften.

4.5. Digitale Speichermedien müssen nach der Freigabe, der Verschrottung, vor der Wiederverwendung durch ein Verfahren gelöscht werden, das zur Vernichtung der Daten führt. Ausrangierte Computerspeichermedien können nicht weggeworfen werden, sondern werden kontinuierlich von der IT-Abteilung eingesammelt, und da es sich um gefährliche Materialien handelt, ist das IT-Personal für ihre Entsorgung verantwortlich.

4.6. Die Übermittlung von Datenträgern (Dateien) oder einzelnen Daten zwischen Dienststellen unterliegt der Genehmigung des betreffenden Direktors/Dienststellenleiters. Es dürfen nur Daten übermittelt werden, die für die Erfüllung der Aufgabe erforderlich sind. Der Empfang der Daten (Datei, Datenträger) muss durch Unterschrift bestätigt werden.

4.7. Alle im Organ verwendeten Briefmarken müssen vor ihrer Ausgabe unter Angabe des Namens und der Stellung der zur Verwendung befugten Person registriert und der Empfang durch Unterschrift bestätigt werden. Der Kauf von Briefmarken wird vom zuständigen Direktor/Abteilungsleiter genehmigt, und die Verwaltung ist für das Kauf- und Registrierungsverfahren verantwortlich.

4.8. Die Briefmarken müssen stets verschlossen aufbewahrt werden und dürfen nicht, auch nicht vorübergehend, offen oder unbeaufsichtigt gelassen werden. Die Stempel dürfen nur von befugten Personen verwendet werden.

4.9. Der Stempel darf nicht, auch nicht vorübergehend, auf andere Personen übertragen werden, die nicht zur Verwendung des Stempels befugt sind, und die zur Verwendung des Stempels befugte Person haftet in vollem Umfang für jeden Verstoß gegen diese Verpflichtung und für alle daraus entstehenden Schäden.

V.

BESONDERE REGELN FÜR DEN UMGANG MIT DOKUMENTEN IM ZUSAMMENHANG MIT SITZUNGEN DES VERWALTUNGSRATS UND DER AUSSCHÜSSE (IM FOLGENDEN "VERWALTUNGSRATSSITZUNGEN" GENANNT)

1. Die Protokolle von Vorstandssitzungen, Ausschussprotokollen und Vorstandsbeschlüssen müssen in einheitlicher und registrierter Form geführt werden. Die Protokolle über nichtöffentliche Sitzungen werden an einem gesonderten, verschlossenen Ort aufbewahrt, jedoch zusammen mit den Protokollen der öffentlichen Sitzungen aufbewahrt. Die Protokolle werden zusammen mit den eingereichten Unterlagen aufbewahrt.

2. Die IT-Abteilung und der Präsident sind dafür verantwortlich, dass die Protokolle und Beschlüsse des Verwaltungsrats auf dem neuesten Stand gehalten werden.

3. Der Zugang zu den Protokollen der Ausschüsse und Organe - und die Bereitstellung von Informationen daraus - wird durch die in der Geschäftsordnung des Organs festgelegten Regeln für die Bereitstellung von Informationen geregelt.

4. Nur die Vertreter lokaler Organe können Informationen aus den Protokollen nichtöffentlicher Sitzungen und die Teile der Protokolle erhalten, die sich auf die in der nichtöffentlichen Sitzung behandelten Tagesordnungspunkte beziehen, oder es kann ihnen ein Zugangsrecht gewährt werden. Nichtmitglieder von Ausschüssen haben nur Zugang zu den Protokollen der nichtöffentlichen Sitzungen und zu den Vorlagen des Ausschusses, dem sie angehören. Diese Bestimmungen gelten nicht für Daten von öffentlichem Interesse und Daten, die öffentlich zugänglich sind. Die Möglichkeit des Zugangs zu Daten von öffentlichem Interesse und zu Daten von öffentlichem Interesse ist auch im Falle einer nichtöffentlichen Sitzung vorzusehen.

5. Die Tagesordnung einer nichtöffentlichen Sitzung - ihre Präsentation und das Protokoll - dürfen nur den örtlichen Mitgliedern zugestellt werden, und die Vorschläge für nichtöffentliche Sitzungen von Ausschüssen dürfen nur den betreffenden Ausschussmitgliedern zugestellt werden.

6. Eingaben und Protokolle an die Medien - in schriftlicher oder elektronischer Form -, die Bibliothek oder andere externe Personen oder Einrichtungen dürfen keine personenbezogenen Daten enthalten.

7. Für die Behandlung von Dokumenten im Zusammenhang mit den Sitzungen des Verwaltungsrats gelten die Bestimmungen der Vorschriften für die Verwaltung von Dokumenten.

8. Die Vorschläge des Verwaltungsrats werden auf Papier und über das Internet verbreitet, wobei die Zugangsrechte individuell festgelegt werden.

VI.

SCHLUSSBESTIMMUNGEN

1. Die in der Datenschutzpolitik festgelegten Pflichten und Befugnisse müssen in den Stellenbeschreibungen angegeben werden.

2. Diese Regeln werden am 1. Dezember 2017 in Kraft treten.