Gegenstand und Geltungsbereich

Par. 1. (1) Diese EDV-Ordnung regelt alle Erfordernisse gemäß Par. 90 UOG und gemäß Par. 10 DSG. Sie stellt damit die Betriebs- und Benützungsordnung für das EDV-Zentrum und die Datensicherheitsvorschrift dar.

(2) Diese EDV-Ordnung gilt für alle Mitarbeiter des EDV-Zentrums und für dessen Benutzer. Darüberhinaus gilt soweit anwendbar, sinngemäß insbesondere Abschnitt 1 und Abschnitt 4 für sämtliche universitären Bereiche und Einrichtungen im autonomen Bereich, beziehungsweise für alle Universitätsangehörigen, soweit diese personenbezogene Daten verwenden und soweit für diese nicht eigene Regelungen erlassen worden sind.

Begriffe und ihre Bedeutung für die Universität

Par. 2. Neben den Begriffen des Par. 3 DSG verwendet diese EDV-Ordnung die nachfolgenden Bezeichnungen in folgender Bedeutung:

1. Daten

Bei der automationsunterstützten Datenverarbeitung ist zwischen personenbezogenen und nichtpersonenbezogenen Daten zu unterscheiden. Im folgenden werden unter dem Begriff "Daten" beide Kategorien von Daten verstanden. Personenbezogene Daten sind gemäß Par. 3 Z1 DSG auf einem Datenträger festgehaltene Angaben über bestimmte oder mit hoher Wahrscheinlichkeit bestimmbare Betroffene und zwar unabhängig davon, ob sie als schutzwürdig anzusehen sind oder nicht.

2. EDV-Einrichtungen

Unter EDV-Einrichtungen sind insbesondere Hardware, Software und Netzwerke zu verstehen.

3. Auftraggeber und Dienstleister im Sinne des DSG

(1) Als Auftraggeber können im öffentlichen Bereich (2. Abschnitt DSG) nur Organe der Universität im Rahmen ihrer örtlichen und sachlichen Zuständigkeit auftreten. Im Rahmen ihrer Privatrechtsfähigkeit können alle Rechtsträger (z.B. Universität, Institut, besondere Universitätseinrichtungen sowie Externe) als Auftraggeber des privaten Bereiches (3. Abschnitt DSG) auftreten. Auftraggeber für die Verarbeitung personenbezogener Daten kann z.B. sein

• das BMWF
• die Universität selbst als öffentlicher Rechtsträger
• die Universität und ihre Untergliederungen im Rahmen ihrer Privatsrechtsfähigkeit
• das EDV-Zentrum für den eigenen Aufgabenbereich
• externe Auftraggeber

(2) Dienstleister für die Verarbeitung personenbezogener Daten kann z.B. sein

• das EDV-Zentrum aufgrund gesetzlicher Bestimmungen (Par. 90 UOG)
• das EDV-Zentrum aufgrund von Dienstleistungsverträgen im Rahmen der Hoheitsverwaltung (Verarbeitung für andere Universitäten) und im privatrechtlichen Bereich sonstiger Auftraggeber
• die Institute im Rahmen ihrer Privatrechtsfähigkeit

4. Benutzer

Hierzu zählen alle Universitätseinrichtungen und alle Universitätsangehörigen, das BMWF und die Österreichische Akademie der Wissenschaften sowie externe Benutzer, soweit sie EDV-Einrichtungen der Universität verwenden.

5. Verantwortliche

Verantwortliche sind jeweils die für das Organ zeichnungsberechtigten Organwalter, soweit nicht durch diese EDV-Ordnung oder durch sonstige Anordnungen eigene Verantwortliche bestellt worden sind.

Allgemeine organisatorische und personelle Maßnahmen für die Verwendung personenbezogener Daten.

Aufgabenverteilung gem. Par. 10 Abs. 2 Z. 1 DSG

Par. 3. (1) Personenbezogene Daten dürfen von den einzelnen Organisationseinheiten und von deren Mitarbeitern nur im Rahmen ihrer Zuständigkeit verwendet werden. Die Zuständigkeit gründet sich auf gesetzliche Regelungen oder auf Aufträge übergeordneter Organe bzw. der zuständigen Verantwortlichen gem. Par. 2 Z. 5. Sie können genereller Natur sein (z.B. Geschäftseinteilung) oder für den Einzelfall erteilt werden.

Auftragsprinzip

(2) Personenbezogene Daten dürfen nur aufgrund von Aufträgen verwendet werden. Die Erteilung von Aufträgen hat in der jeweils üblichen Form (z.B. Vordrucke, mündlich, Zuteilung von Schriftstücken) zu erfolgen. Zur Erteilung von Aufträgen sind nur die Verantwortlichen gem. Par. 2 Z. 5 ermächtigt. Aufträge können genereller Natur sein oder im Einzelfall erteilt werden.

Belehrungspflicht gem. Par. 10 Abs. 2 Z. 3 DSG

(3) Auftraggeber und Dienstleister haben in ihrem jeweiligen Wirkungsbereich alle involvierten Personen in entsprechender Weise über ihre Pflichten gemäß DSG und sonstigen Datenschutzregelungen (z.B. Datenschutzverordnung für die Universität, EDV-Sicherheitsvorschriften) nachweislich zu belehren. Es wird empfohlen, diese Belehrung bei der Personalaufnahme durchzuführen und auch auf sonstige Sicherheitsvorschriften (z.B. Brandschutzordnung, Zutrittsordnung, etc.) auszudehnen und diese Belehrung jährlich zu wiederholen.

Registrierung und Verwendung von Registernummern

(4) 1. Von der Universitätsdirektion werden die Aufgabengebiete der Universitätsverwaltung unter der DVR-Nr. 0076554 registriert.

2. Soweit Institute und sonstige Universitätseinrichtungen im Rahmen dieser Aufgabenbereiche mittätig werden (z.B. Prüfungswesen), ist diese DVR-Nummer ergänzt durch die jeweilige Instituts-Nummer (DVR-Nr./Inst.-Nr.) auf allen Mitteilungen an die Betroffenen zu verwenden. Es wird empfohlen, diese DVR-Nummer inkl. dazugehöriger Instituts-Nummer an geeigneter Stelle im Briefkopf, im Schreiben oder auf dem Kuvert bzw. der Verpackung anzubringen.

3. Soweit Institute im Rahmen ihrer Aufgabengebiete (z.B. personenbezogene Forschung, Tätigkeit im Rahmen der Privatrechtsfähigkeit) personenbezogene Daten automationsunterstützt verarbeiten, haben sie als Auftraggeber selbst für die Registrierung Sorge zu tragen. Der Antrag ist im Dienstweg beim Datenverarbeitungsregister einzureichen.

Sonstige Regelungen

(5) 1. Personenbezogene Daten sind vertraulich zu behandeln und gegen Einsichtnahme durch Unbefugte zu sichern.

2. Zur Auskunftserteilung an den Betroffenen gem. Par. 11 DSG sind die zuständigen Auftraggeber befugt. Dienstleister haben gem. Par. 19 Z. 4 DSG die notwendigen technischen und organisatorischen Voraussetzungen für die Erfüllung der Auskunftspflicht des Auftraggebers zu schaffen. Auf die Datenschutzverordnung der Karl-Franzens-Universität Graz wird verwiesen.

3. Übermittlungen gem. Par. 3 Z. 9 DSG bedürfen eines konkreten Auftrages des Verantwortlichen und sollten möglichst nicht in mündlicher Form erfolgen. Nicht in der Registermeldung genannte Übermittlungen sind jedenfalls so zu protokollieren, dass über diese Übermittlungen im Anfragefall Auskunft erteilt werden kann.

EDV-Zentrum und seine Organe

Aufgaben

Par. 4. (1) Das EDV-Zentrum der Karl-Franzens-Universität Graz ist eine Dienstleistungseinrichtung gemäß Par. 90 UOG. Es koordiniert die Aufgaben der elektronischen Datenverarbeitung.

• in der wissenschaftlichen Forschung
• in der wissenschaftlichen Lehre
• in der zentralen Verwaltung der Universität
• im Bibliothekswesen sowie dem wissenschaftlichen Dokumentations- und Informationswesen
• im Studienförderungswesen

Organe

(2) Die Organe des EDV-Zentrums sind der Vorstand und der Abteilungsleiter. Der Vorstand wird auf Antrag oder nach Anhörung des obersten Kollegialorgans vom Bundesminister für Wissenschaft und Forschung auf jeweils zwei Jahre bestellt. Zur Durchführung der Aufgaben des EDV-Zentrums ist dem Vorstand ein Abteilungsleiter unterstellt. Er wird auf Antrag des Vorstandes vom Bundesminister für Wissenschaft und Forschung bestellt.

Der Vorstand

Par. 5. (1) Der Vorstand hat das EDV-Zentrum zu leiten, nach außen zu vertreten und für die Erfüllung seiner Aufgaben zu sorgen. Er untersteht als solcher bei Erfüllung seiner Aufgaben gem. Par. 4 Abs. 1 lit. a und lit. b dem Akademischen Senat und gem. Par. 4 Abs. 1 lit. c bis e dem Bundesminister für Wissenschaft und Forschung.

(2) Insbesondere obliegen dem Vorstand:

• Die Koordinierung und Kooperation mit den EDV-Zentren anderer Universitäten in bezug auf Daten- und Dienstleistungsaustausch.
• Der Erfahrungsaustausch, insbesondere die Mitwirkung bei der Erfüllung von Aufgaben, die sich auf mehrere oder alle österreichischen Universitäten beziehen.
• Die Vertretung der Interessen der Karl-Franzens-Universität Graz in allen das EDV-Zentrum betreffenden Angelegenheiten gegenüber den Behörden der Öffentlichkeit.
• Tätigkeiten im Rahmen der erweiterten Privatsrechtsfähigkeit zur Erzielung eigener Einnahmen.

Der Abteilungsleiter

Par. 6. (1) Der Abteilungsleiter untersteht unmittelbar dem Vorstand und hat diesen bei der Erfüllung seiner Aufgaben zu unterstützen und bei Verhinderung zu vertreten.

(2) Insbesondere obliegen dem Abteilungsleiter:

• Die Organisation und Überwachung des Betriebes des EDV-Zentrums im Geltungsbereich dieser Betriebs- und Benützungsordnung.
• Die Regelung der Diensteinteilung sowie die Anweisung und Kontrolle des ihm zugeteilten Personals unter der Dienstaufsicht des Vorstandes.
• Die Wahrnehmung der verwaltungstechnischen, finanziellen und sonstigen vertraglichen Angelegenheiten.
• Die Erteilung von Benützungsbewilligungen sowie die Zuweisung von EDV-Ressourcen an die Benutzer.
• Die Vorsorge für die Einsatzbereitschaft und den Ausbau der EDV-Einrichtungen des EDV-Zentrums.
• Die Vorsorge für die programmtechnische Betreuung der Benutzer sowie die Leitung und Koordination der Ausbildungsaufgaben und Projekte des EDV-Zentrums.
• g) Die Kooperation mit allenfalls eingesetzten EDV-Kommissionen sowie die Behandlung von Anregungen, Wünschen und Beschwerden der Benutzer.
• Die Überwachung der Einhaltung der geltenden Bestimmungen der EDV-Ordnung des EDV-Zentrums.

Einrichtungen des EDV-Zentrums

Par. 7. (1) Das EDV-Zentrum verwaltet die ihm übertragenen Hardware-, Software-, Netzwerk- und sonstigen -Einrichtungen. Die Verwaltung umfaßt die Verantwortung für die Benützung und die Betriebsbereitschaft der EDV-Einrichtungen sowie für die Beschaffung der notwendigen Betriebsmittel.

(2) Das EDV-Zentrum kann Geräte einem Benutzer im Rahmen der gesetzlichen Bestimmungen vorübergehend zur Verwaltung übertragen. Diese Übertragung bedarf der Schriftform und hat jedenfalls die genaue Gerätebezeichnung, den Aufstellungsort, den Namen des verantwortlichen Benutzers und die Dauer der Überlassung zu enthalten.

(3) Das EDV-Zentrum kann Geräte von Benutzern im Rahmen der gesetzlichen Bestimmungen zur Verwaltung übernehmen bzw. vom BMWF übertragen bekommen. Die Voraussetzungen für die Verwaltungsübernahme ist die Gewährleistung der Erfüllung der im Par. 4 Abs. 1 genannten Aufgaben. Diese Übernahme bedarf der Schriftform und hat jedenfalls die genaue Gerätebezeichnung, den Aufstellungsort, den Umfang der Betriebsbereitschaft und die Dauer der Übernahme zu enthalten.

Funktionen

Par. 8. Zur Erfüllung seiner Aufgaben hat das EDV-Zentrum insbesondere folgende Funktionen wahrzunehmen: Produktionsbetrieb, Systembetreuung, Benutzerbetreuung, Planung und Koordination, Wartung und Reparatur von EDV-Geräten, Beratung für Datenschutz und Datensicherheit sowie Verwaltung.

1. Produktionsbetrieb

Zum Produktionsbetrieb gehören:

• Die Bedienung der Anlagen einschließlich der Einteilung und Überwachung des Dienstes sowie die Dokumentation des Betriebsablaufes
• die Schulung und Autorisierung von Personal zum Betrieb der EDV-Einrichtungen
• die Überwachung der sachgerechten Bedienung der EDV-Einrichtungen
• die Obsorge für die Wartung der EDV-Einrichtungen
• die Lagerhaltung der EDV-Materialien durch die Verwaltung
• die Vorsorge für die Einhaltung der Bestimmungen über den Aufenthalt in den Betriebsräumen, über das Verhalten in Ausnahmefällen (Brand, Stromausfall, Ausfall der Klimaanlage usw.), über die Sicherung der Anlage und über den Datenschutz
• die Übernahme, Verwahrung und Ausfolgung von Datenträgern der Benutzer
• Durchführung von Datensicherungsläufen in periodischen Abständen (entsprechend dem jeweils geltenden Datensicherungskonzept des EDV-Zentrums) an den zentralen Rechenanlagen.

2. Systembetreuung

(1) Zur Systembetreuung gehören:

• Die Implementierung und Betreuung sämtlicher Komponenten der EDV-Einrichtungen (Hardware, Software, Netzwerk usw.)
• die Beschaffung oder Entwicklung der erforderlichen Systemkomponenten
• die Dokumentation der vorhandenen Systemkomponenten sowie erforderlichenfalls die Herausgabe von Benützerhandbüchern
• die Leistungsoptimierung des Gesamtsystems
• der Einsatz von Programmen zur statistischen Erfassung der Benützung und Leistung des Systems (Accounting)
• die Festlegung von Betriebsanweisungen insbesondere zum Zwecke des Datenschutzes

(2) Programmentwicklungen werden grundsätzlich durch die Auftraggeber selbst durchgeführt. Der Auftraggeber kann jedoch dabei die Beratung durch das EDV-Zentrum in Anspruch nehmen. Test-, Änderungs- und Produktionsläufe werden vom Auftraggeber selbst veranlaßt. Dieser erstellt auch die erforderliche Systemdokumentation.

3. Benutzerbetreuung

Zur Benutzerbetreuung gehört:

• Die Organisation und Abhaltung von Kursen über die Benützung der EDV-Einrichtungen
• die Erteilung von Benützungsbewilligungen und die Durchführung der Betriebsmittelvergabe
• die Herausgabe und Bereitstellung von Handbüchern und Informationsschriften der Systemkompenenten
• die individuelle Benutzerberatung
• die Durchführung von Benutzerversammlungen
• die Unterstützung der Auftraggeber in Vollziehung des DSG
• Beratung der Institute bei der Anschaffung von Hard- und Software.

4. Planung und Koordination

(1) Das EDV-Zentrum hat die im Bereich der Karl-Franzens-Universität Graz anfallenden allgemeinen Aufgaben der elektronischen Datenverarbeitung zu planen und zu koordinieren. Dazu gehört insbesondere:

• Die Erfassung des zukünftigen allgemeinen EDV-Bedarfes und die Obsorge für den Ausbau und die Weiterentwicklung der erforderlichen EDV-Einrichtungen
• die Koordination des Erwerbes von EDV-Einrichtungen der Universität, durch Herausgabe von Richtlinien und Schnittstellen. Diese Richtlinien sind nicht bindend; für Geräte die den Richtlinien nicht entsprechen und bei deren Anschaffung das EDV-Zentrum nicht befaßt wurde, kann keine Unterstützung und Betreuung durch das EDV-Zentrum (etwa in Par. 8 Z. 5) verlangt werden
• die Befassung des EDV-Zentrums im Zuge von Berufungsverhandlungen für den Ankauf von EDV-Geräten

(2) In grundsätzlichen EDV-Angelegenheiten ist mit den allenfalls eingesetzten EDV-Kommissionen zusammenzuarbeiten.

5. Wartung und Reparatur von EDV-Geräten

Das EDV-Zentrum hat die Universitätseinrichtungen in Fragen der Wartung bzw. der Reparatur von EDV-Geräten nach Maßgabe seiner Möglichkeiten zu unterstützen.

6. Verwaltung

Zur Verwaltung des EDV-Zentrums gehören:

• a) Die Gebarung, Verrechnung und Rechnungslegung gemäß den einschlägigen Rechnungsvorschriften des Bundes
• die Behandlung der einschlägigen Personalangelegenheiten
• die Führung des Inventars
• der Schriftverkehr
• die Bestellung der Büromaterialien und der EDV-Materialien
• die Verwaltung der Bibliothek des EDV-Zentrums.

Prognosen, Pläne, Vorschläge und Anträge

Par. 9. Das EDV-Zentrum hat dem Akademischen Senat und dem Bundesministerium für Wissenschaft und Forschung jeweils für das kommende Jahr

• kurz- und langfristige Bedarfsprognosen
• Erweiterungspläne für das EDV-System
• Erhebungen über den zukünftigen Personal- und Materialbedarf
• Budgetpläne und -anträge

vorzulegen.

Jahresbericht

Par. 10. Das EDV-Zentrum legt dem Akademischen Senat und dem Bundesministerium für Wissenschaft und Forschung alljährlich einen Bericht über seine Tätigkeit vor. Dieser Bericht enthält insbesondere die Rechenschaft über den Verbrauch an EDV-Ressourcen und an Materialien, sowie über den Einsatz des Personals im Bereich des EDV-Zentrums.

Zutritt

Par. 11. Zutritt zur Sicherheitszone (z.B. Rechnerraum, Datenarchiv) des EDV-Zentrums haben das Personal des EDV-Zentrums, das vom EDV-Zentrum autorisierte Wartungspersonal und das Reinigungspersonal. Andere Personen haben nur in Begleitung von Bediensteten des EDV-Zentrums Zutritt. Die Sicherheitszone ist als solche zu kennzeichnen und die Zugänge zu versperren.

Zugriff

Par. 12. Der Zugriff zu den EDV-Einrichtungen ist nur mit einer entsprechenden Benützungsbewilligung durch das EDV-Zentrum gestattet.

Betriebsberechtigung

Par. 13. Die EDV-Einrichtungen in Sicherheitszonen dürfen nur durch das vom EDV-Zentrum dazu befugte Personal betrieben werden.

Inhalt des Benützungsverhältnisses

Par. 14. (1) Das EDV-Zentrum ist eine Dienstleistungseinrichtung der Karl-Franzens-Universität Graz zur Durchführung der an der Karl-Franzens-Universität Graz und im Bereich des Bundesministeriums für Wissenschaft und Forschung anfallenden Aufgaben der elektronischen Datenverarbeitung. Das Dienstleistungsangebot des EDV-Zentrums umfaßt:

• Zuverfügungsstellung von Rechnerleistung
• Bereitstellung von Benutzerschnittstellen lt. Anwendersoftware
• Betreuung und Beratung der Benutzer - Koordination der EDV-Angelegenheiten im gesamten Universitätsbereich
• Wartung und Reparatur von EDV-Geräten im Universitätsbereich
• Beratung der Benutzer in Angelegenheiten des Datenschutzes und der Datensicherung

(2) Angehörige der Karl-Franzens-Universität Graz gem. Par. 22 UOG haben Anspruch auf eine Benützungsbewilligung.

(3) Nach Maßgabe der vorhandenen Kapazität sowie in Erfüllung getroffener Vereinbarungen können auch andere Universitäten und deren Einrichtungen sowie sonstige Stellen gemäß Par. 90 Abs. 2 UOG nach Erteilung einer Benützungsbewilligung Leistungen des EDV-Zentrums in Anspruch nehmen.

(4) Nach Maßgabe der vorhandenen Kapazität können Benützungsbewilligungen auch für andere als in Abs. 2 und 3 genannte Zwecke gemäß Par. 90 Abs. 3 UOG erteilt werden.

Beginn und Ende des Benützungsverhältnisses

Par. 15. (1) Alle Benutzer des EDV-Zentrums bedürfen einer Benützungsbewilligung durch das EDV-Zentrum. Diese wird auf schriftlichen Antrag für abgrenzbare Projekte in der Regel zeitlich begrenzt erteilt.

(2) Die Benützungsbewilligung kann eingeschränkt werden, wenn hierfür schwerwiegende Gründe vorliegen.

(3) Der Benutzer hat nach Beendigung der im Benutzungsantrag von ihm beschriebenen Aufgabe die Bewilligung abzumelden.

(4) Benutzern, die die zugeteilten Ressourcen für andere als im Anmeldeformular beschriebene Aufgaben verwenden bzw. die projektfremde Verwendung verschulden, kann die Benützungsbewilligung durch das EDV-Zentrum entzogen werden. Dies kann auch dann erfolgen, wenn ein Benutzer EDV-Ressourcen in einer den Gesamtbetrieb störenden Weise beansprucht bzw. Betriebsmittel nicht nach den Grundsätzen der Wirtschaftlichkeit, Sparsamkeit und Zweckmäßigkeit verwendet. Davon unabhängig gelten die Sanktionen nach Par. 48 bis 50 des Datenschutzgesetzes.

(5) Über Einsprüche gegen die Entziehung der Benützungsbewilligung entscheidet der Vorstand des EDV-Zentrums. Beschwerde gegen die Ablehnung eines Einspruches sind beim EDV-Zentrum einzubringen. Das EDV-Zentrum hat derartige Beschwerden mit einem Bericht dem obersten Kollegialorgan zur Entscheidung vorzulegen.

Rechte und Pflichten des Benutzers

Par. 16. (1) Der Benutzer kann nach Maßgabe der vorhandenen Ressourcen die für die Bearbeitung seiner Probleme mittels EDV notwendigen und für eine allgemeine Nutzung bestimmten EDV-Einrichtungen und sonstigen Betriebsmittel des EDV-Zentrums in Anspruch nehmen.

(2) Mit einer Benützungsbewilligung darf nur das beschriebene Projekt bearbeitet werden.

(3) Der Benutzer trägt die volle Verantwortung für die Verwendung seiner Benützungsbewilligung und hat die Weitergabe an andere Personen selbst zu verantworten. Grundsätzlich hat er sein Password geheimzuhalten und fallweise abzuändern.

(4) Die Benutzer sind verpflichtet, alle einschlägigen Benützungsregelungen zu beachten und den Anweisungen des autorisierten Personals, z.B. des Operatings, Folge zu leisten.

(5) Bei Beschädigungen besteht Schadenersatzpflicht gemäß den einschlägigen gesetzlichen Bestimmungen. (6) Will der Benutzer personenbezogene Daten verarbeiten, so hat er dies dem EDV-Zentrum schriftlich mitzuteilen und allenfalls gesonderte Regelungen für die Behandlung dieser Daten zu vereinbaren.

(7) Die Benutzer verpflichten sich, auf Anforderung einen schriftlichen Kurzbericht über das Ergebnis und die Notwendigkeit der von ihnen in Anspruch genommenen EDV-Leistungen dem EDV-Zentrum zuzuleiten.

(8) Das widerrechtliche Kopieren von im EDV-Zentrum vorhandenen EDV-Programmen ist untersagt. Werden Kopien widerrechtlich angefertigt, haftet der Benutzer für vom Lizenzgeber an das EDV-Zentrum gestellte Ansprüche. (9) Das EDV-Zentrum führt in periodischen Abständen (entsprechend dem jeweils geltenden Datensicherungskonzept des EDV-Zentrums) die Datensicherungsläufe durch. Darüber hinausgehende Sicherungen und Archivierungen sind vom Benutzer selbst in eigener Verantwortung durchzuführen. (10) Der Anschluss von EDV-Einrichtungen von Instituten oder besonderen Universitätseinrichtungen an das Datennetz der Karl-Franzens-Universität Graz ist mit dem EDV-Zentrum abzustimmen und gegebenfalls ist Kostenersatz zu leisten.

Zutritt und Zugriff

Par. 17. (1) Die Benutzer des EDV-Zentrums haben Zugang zu den Benützerräumen des EDV-Zentrums, nicht jedoch zu den Sicherheitszonen.

(2) Die zugeteilten Benützungsrechte werden von Einzelpersonen (individuellen Benutzern) ausgeübt, die dazu eine projektbezogene Benützungsbewilligung (Accountnummer) erhalten. (3) Die Öffnungs- und Betriebszeiten des EDV-Zentrums sind in geeigneter Weise bekannt zu machen.

(4) Der Benutzer hat das benützte Gerät so zu hinterlassen, dass danach eine Benützung durch andere möglich ist.

Richtlinen für die Zuteilung

von Betriebsmitteln und Rechenzeiten Par. 18. (1) Die Zuteilung der EDV-Ressourcen für die im Par. 14 angeführten Aufgaben erfolgt auf schriftliche Anmeldung nach Maßgabe der vorhandenen Kapazität. Das EDV-Zentrum teilt EDV-Ressourcen durch die Festlegung von Maximalwerten in bezug auf vorhandene Engpässe des EDV-Systems (wie z.B. Massenspeicher, Zentralspeicher, Druckkapazität u.dgl.) zu. Der Zuteilungsmodus und die Gültigkeitsdauer für die projektbezogene Benützungsbewilligung (Accountnummer) sind den Anschlägen zu entnehmen. Für Großprojekte können Sonderregelungen in bezug auf die EDV-Ressourcen-Zuteilung getroffen werden.

(2) Die Benutzer haben ihre mit den Einrichtungen des EDV-Zentrums zu bearbeitenden Projekte in je einem Anmeldeformular zu beschreiben. Dieses Formblatt ist vollständig auszufüllen und mit den Unterschriften des verantwortlichen Projektbearbeiters sowie des für die Betreuung des Projektes verantwortlichen Universitätsangestellten bzw. des Leiters der Lehrveranstaltung zu versehen. Der verantwortliche Projektbearbeiter bzw. der Leiter der Lehrveranstaltung ist der Auftraggeber im Sinne des Datenschutzgesetzes.

(3) Reicht die verfügbare Kapazität nicht aus oder treten störungsbedingte Ressourcenengpässe auf, so hat das EDV-Zentrum die gesetzlich vorgeschriebenen termingebundenen Arbeiten vorrangig zu unterstützen. Zu diesem Zweck haben die Benutzer bei der Anmeldung bereits den Umstand der Dringlichkeit anzugeben. Liegen mehrere termingebundene konkurrierende Arbeiten vor, so bemüht sich das EDV-Zentrum um eine Abstimmung mit den betroffenen Benutzern.

Verrechnung von EDV-Leistungen

Par. 19. (1) Die Betriebsmittel werden vom EDV-Zentrum nach Maßgabe der vom Bundesministerium für Wissenschaft und Forschung bewilligten Budgetmittel zur Verfügung gestellt. Für die im Par. 14 Abs. 2 und 3 genannten Benutzer ergibt sich aus der monatlichen Verbrauchs- und Kostenaufstellung des EDV-Zentrums keine Zahlungsverpflichtung. Das EDV-Zentrum kann für bestimmte Ge- und Verbrauchsmaterialien, wie z.B. Magnetbänder, Laserdrucke, usw., einen Kostenersatz verrechnen.

(2) Werden Betriebsmittel des EDV-Zentrums zu den im Par. 14 Abs. 3 genannten Zwecken eingesetzt, ist gemäß Par. 90 Abs. 3 UOG vom Benutzer eine angemessene Entschädigung zu entrichten. Die Höhe der Entschädigung für EDV-Leistungen ist vom EDV-Zentrum festzusetzen.

(3) Soweit dem Benutzer zur Verwendung von EDV-Einrichtungen eigens dafür gewidmete Mittel zur Verfügung stehen, ist von ihm der entsprechende Kostenersatz zu entrichten.

(4) Die Einnahmen des EDV-Zentrums aus solchen Benützungen werden gemäß Par. 90 Abs. 3 UOG zweckgebunden für das EDV-Zentrum verwendet.

Kommunikation mit Benutzern

Par. 20. (1) Abweichungen vom Normalbetrieb (wie z.B. Abschaltungen, Umstellungen) werden den Benutzern in geeigneter Form mitgeteilt. Es ist wünschenswert, in periodischen Mitteilungen und fallweisen Hinweisen über den laufenden Betrieb des EDV-Zentrums zu informieren.

(2) Das EDV-Zentrum sorgt in regelmäßigen Abständen für eine bestimmte Sicherung der auf Plattenspeicher abgelegten Daten zum Zweck der erleichterten Rekonstruktion und Datensicherung für jene Fälle, in denen der Auftraggeber selbst nicht ausreichend vorgesorgt hat. Diese Form der Datensicherung beinhaltet, dass nach Fehlern im EDV-System die Plattendateien von den Sicherungsbeständen des EDV-Zentrums nachgeladen werden können. Eine Information darüber erfolgt an die Benutzer in geeigneter Form. Darüberhinaus kann der aktuelle Stand der Dateien vom Benutzer durch Vergleich des letzten Änderungsdienstes festgestellt werden. Die Dauer der Aufbewahrung dieser Sicherheitsbestände wird den Benutzern in geeigneter Form bekanntgegeben. Nach Ablauf der Speicherungsdauer werden die Datenbestände vereinbarungsgemäß vom Auftraggeber oder vom Operating gelöscht.

(3) Das EDV-Zentrum führt nach Bedarf eine Benützerversammlung durch. Zu diesen Veranstaltungen sind alle Benutzer mit einer gültigen Benutzerbewilligung (Accountnummer) in geeigneter Form einzuladen. Die Benutzer sind dabei mindestens über Tätigkeit und zukünftige Entwicklungen der EDV-Einrichtungen zu informieren. Den Benutzern ist hierbei Gelegenheit zu geben, an die Leitung des EDV-Zentrums Anfragen und Anregungen zur Arbeit an den EDV-Einrichtungen zu richten.

(4) Zur Weiterbildung der Benutzer werden vom EDV-Zentrum Kurse über die Benützung der EDV-Einrichtungen abgehalten.

(5) Zur effektiven Nutzung der Betriebsmittel sind nach Maßgabe der Möglichkeiten die Benutzer programmtechnisch zu beraten.

(6) Die Benutzer haben ihre Vorschläge, Wünsche und Beschwerden an den Abteilungsleiter zu richten. Beschwerden können nur behandelt werden, wenn sie schriftlich eingereicht wurden.

Datensicherung und Datenschutz

Par. 21. (1) Das EDV-Zentrum ist für die sachgemäße Durchführung der periodischen Datensicherung gem. Par. 16 Abs. 9 verantwortlich. Die Verantwortung für die Datensicherung, insbesondere die Sicherung von Benutzerprogrammen und Benutzerdaten gegen Verlust bzw. Zerstörung bei der Verarbeitung oder Speicherung von Daten, obliegt dem Projektauftraggeber bzw. dem Benutzer der EDV-Einrichtungen. Der Projektauftraggeber sowie der Benutzer der EDV-Einrichtungen haben im Rahmen ihrer Projektverantwortlichkeit für die Erfüllung des Datenschutzes zu sorgen.

(2) Das EDV-Zentrum unterstützt den Benutzer bei der Sicherung bzw. Rekonstruktion von Daten im besonderen, bzw. durch die Überwachung der Einhaltung der EDV-Ordnung im allgemeinen.

(3) Grundsätzlich werden Daten, soweit sie für die Hardware- oder Software-Wartung überhaupt notwendig sind, nur im Verantwortungsbereich des Verarbeiters ausgewertet. Ist eine Überlassung an die Wartungsfirma unbedingt notwendig, so ist mit dem Übernehmer der Daten eine Geheimhaltungsverpflichtung zu vereinbaren. Der Auftraggeber erklärt sich damit einverstanden, daß eine Weitergabe seiner Daten unter den oben angeführten Bedingungen erfolgen darf.

Par. 22. (1) Für die Aufbewahrung von Daten ist grundsätzlich der Auftraggeber verantwortlich. Er hat die Dauer der Aufbewahrung entweder aufgrund gesetzlicher Vorschriften oder eigener organisatorischer Erfordernisse für jeden Datenbestand festzulegen. Für Datenträger die zur Aufbewahrung bzw. zur Benützung dem EDV-Zentrum übertragen worden sind, ist dieses verantwortlich.

(2) Um zerstörte Datenbestände wieder rekonstruieren zu können, wird auch bei kleinen Datenverarbeitungen empfohlen, in regelmäßigen Abständen möglichst im Generationsverfahren Sicherungskopien zu erzeugen und diese möglichst gesichert aufzubewahren (allenfalls disloziert).

(3) Betriebsprotokolle sind so lange aufzubewahren, dass die Nachvollziehbarkeit der jeweiligen Arbeitsabläufe und Datenveränderungen gemäß den gesetzlichen bzw. organisatorischen Erfordernissen sichergestellt ist.

Datenlöschung/Datenvernichtung

Par. 23. (1) Richtstellungen und Löschungen gemäß Par. 12 DSG hat der Auftraggeber unter Anwendung des für das Aufgabengebiet vorgesehenen Änderungsdienstes durchzuführen oder zu veranlassen.

(2) Nicht mehr benötigte Daten, insbesondere abgelaufene Datenbestände, Fehlausdrucke und Erfassungsformulare (Testdaten) sind so zu löschen bzw. zu vernichten, dass eine Rekonstruktion nicht möglich ist. Wenn aus Gründen der Wirtschaftlichkeit die physische Löschung von Daten auf ausschließlich automationsunterstützt lesbaren Datenträgern nur zu bestimmten Zeitpunkten vorgenommen werden kann, sind diese Daten bis dahin logisch und sodann physisch zu löschen. Die entsprechenden Datenträger sind bis zur physischen Löschung versperrt aufzubewahren.

(3) Bei Datenträgern, die zur Übermittlung bzw. Auslagerung vorgesehen sind, ist darauf zu achten, dass vor der Neubeschreibung der gesamte Datenträger zu löschen ist, damit nicht unbeabsichtigterweise Restdaten rekonstruiert werden können.

(4) Im Zusammenhang mit der Datensicherung sind die Bestimmungen des Par. 20 Abs. 2 sinngemäß anzuwenden.

Anonymisierung

Par. 24. Für Testzwecke sollen tunlichst anonymisierte Daten verwendet werden. Auch für die Erstellung statistischer Informationen reichen häufig anonymisierte Daten. Für die Anonymisierung ist ausschließlich der Auftraggeber zuständig. Ob die Anonymisierung in ausreichender Weise erfolgt ist, wäre vom Zuständigen im Einzelfall zu überwachen.

Transport von Daten

Par. 25. (1) Beim Transport von Datenträgern sind diese gegen unbefugten Einblick (Papier) bzw. Zugriff ausreichend zu sichern.

(2) Bei Versendung ist möglichst die Form der eingeschriebenen Sendung, allenfalls auch Wertpaket, zu wählen.

(3) Bei Datenfernübertragung sind besonders bei personenbezogenen Daten nach Möglichkeit geeignete Maßnahmen gegen Mißbrauch zu setzen (z.B. Verschlüsselung).

Programmtest und Programmübergabeverfahren

Par. 26. (1) Bei Programmtests sollten möglichst keine Echtdaten, allenfalls nur Kopien von Echtdaten, verwendet werden. Alle nicht zur Dokumentation verwendeten Testergebnisse (Ausdruck, Dateien) sind möglichst umgehend zu vernichten bzw. zu löschen.

(2) Der Auftraggeber hat jede Art von Programmen (selbst erstellte genauso wie Standardprogramme) nach Durchführung eines umfassenden Organisationstests und eines Abnahmeverfahrens abzunehmen. Die Ergebnisse des Abnahmetests und Abnahmeverfahrens sind zu dokumentieren. Bei Programmänderung ist analog vorzugehen. Der Beginn des Einsatzes eines neuen Programmes bzw. einer neuen Programmversion (Versionsnummer) und ihre Dauer bis zur Außerbetriebnahme sind ebenfalls zu dokumentieren, sodaß die jederzeitige Nachvollziehung einer Verarbeitung möglich ist.

Kategorisierung von Daten und Aufgabengebieten

Par. 27. Aus Gründen der Zweckmäßigkeit, Wirtschaftlichkeit und Sparsamkeit kann es sinnvoll sein, nicht für alle Daten und Aufgabengebiete einen gleich hohen Aufwand zu betreiben. In solchen Fällen wird empfohlen, die Maßnahmen abgestuft nach Sensibilitäts-, Geheimhaltungs-, Sicherheits- und allenfalls Protokollklassen nach Festlegung durch den Auftraggeber zu treffen. Es wird empfohlen, je Bereich maximal 3 Klassen zu unterscheiden.

Par. 28. (1) Es ist zu empfehlen, dass jeder Auftraggeber einen Mitarbeiter mit dieser Funktion beauftragt.

(2) Diesem Beauftragten obliegen insbesondere:

• Sammlung und Aktualisierung sämtlicher Sicherheitsregelungen
• b) Risikoanalyse
• Vorschläge für Sicherheitsmaßnahmen
• Auskunftserteilung für alle Mitarbeiter
• Kontrolle der Einhaltung der Sicherheitsanordnungen.

(3) Jeder Mitarbeiter ist verpflichtet, den Datenschutzbeauftragten auf allfällige Sicherheitsmängel und auf Verstöße gegen die Sicherheitsbestimmungen aufmerksam zu machen.

Par. 29. (1) Die Benutzer und die Bediensteten des EDV-Zentrums sind zur Einhaltung der Bestimmungen dieser EDV-Ordnung verpflichtet. Dienstverrichtungen zum Zweck der Sicherheit und des Datenschutzes haben Vorrang vor anderen Aufgaben. Bei Verletzung der EDV-Ordnung ist unbeschadet der dienstlichen Konsequenzen die Benützungsbewilligung zu entziehen. Die Strafbestimmungen des 6. Abschnittes des DSG und des Strafrechtsänderungsgesetzes 1987 bleiben unberührt.

(2) Diese EDV-Ordnung tritt am 1. Mai 1990 in Kraft. Die Betriebs- und Benützungsordnung des EDV-Zentrums der Karl-Franzens-Universität Graz gemäß Par. 90 UOG, verlautbart im Mitteilungsblatt Nr. 16a vom 15. 5.1981, und die Betriebsordnung gemäß DSG vom 1. 7.1980 treten außer Kraft.