Suche aufrufen
Menü aufrufen
47
1377
10
35.978
HITGuard User Guide
Toggle preferences menu
Persönliches Menü aufrufen
Nicht angemeldet
Ihre IP-Adresse wird öffentlich sichtbar sein, wenn Sie Änderungen vornehmen.

Datenschutz-Folgenabschätzung: Unterschied zwischen den Versionen

Aus HITGuard User Guide
Weitere Optionen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Faha (Diskussion | Beiträge)
Oberflächenadministratoren, Administratoren, translater, tsuser
10.837 Bearbeitungen
Faha (Diskussion | Beiträge)
Oberflächenadministratoren, Administratoren, translater, tsuser
10.837 Bearbeitungen
Zeile 76: Zeile 76:
<b>Wichtig:</b>
<b>Wichtig:</b>
:* "Ja" überspringt den Punkt "Schwellwertanalyse", da die DSFA definitiv durchzuführen ist.
:* "Ja" überspringt den Punkt "Schwellwertanalyse", da die DSFA definitiv durchzuführen ist.
:*Existiert bereits eine Datenschutzfolgenabschätzung für die Verarbeitungstätigkeit(en), so kann diese an dieser Stelle hochgeladen werden!
:*Durch setzten des "DSFA bereits durchgeführt" werden die nachfolgenden Schritte der DSFA deaktiviert, da die DSFA bereits vorhanden ist.


<b>Screenshot</b>
<b>Screenshot</b>
<b>beschreibung</b>


==== Schwellwertanalyse ====
==== Schwellwertanalyse ====

Version vom 8. September 2020, 10:51 Uhr

Für eine jede Verarbeitungstätigkeit (VT) muss, laut DSGVO, dokumentiert entschieden werden, ob eine Datenschutz-Folgeabschätzung (DSFA) durchzuführen ist. Dies erfolgt im Zuge einer sogenannten DSFA-Erforderlichkeitsprüfung.

Für verwandte VTs kann auch ein und dieselbe DSFA-Erforderlichkeitsprüfung gelten um zu erklären, dass eine DSFA für die VTs notwendig ist oder nicht.

Eine DSFA in HITGuard kombiniert die DSFA-Erforderlichkeitsprüfung und die folgende DSFA in einem. Zuerst wird die Erforderlichkeitsprüfung durchgeführt und anschließend je nach Ergebnis dieser muss im Anschluss eine DSFA durchgeführt werden oder nicht.

In HITGuard sind diese DSFA's unter dem Menüpunkt "Datenschutz → DSFA" zu finden und zu verwalten.


DSFA

Screenshot von der Übersicht der DSFA's

Um eine DSFA zu erstellen muss in der Übersicht der DSFA's ("Datenschutz → DSFA") der "Plus"-Button geklickt werden.

Um eine DSFA zu bearbeiten muss auf die gewünschte DSFA doppelt geklickt werden.

Überprüfungsdetails

Im Nachfolgenden, werden die Überprüfungsdetails einer DSFA näher beschrieben.

Screenshot Step 1

Bezeichnung:

  • Hier wird eine Bezeichnung für die DSFA vergeben.

Bestätiger:


Sachbearbeiter:

  • Hier kann eine Person eingetragen werden, welche die DSFA durchführen soll.

Prüfer:

  • Hier kann eine Person eingetragen werden, welche die Ausarbeitung der DSFA prüft.

Versionsdatum:

  • Hier muss ein Datum für die Version der DSFA eingetragen werden.

Versionsnummer:

  • Hier muss eine Versionsnummer für die Version der DSFA eingetragen werden. (für Historisierung)

Zugeordnete Verarbeitungstätigkeiten:

  • Hier können Verarbeitungstätigkeiten (VTs) zu der DSFA zugeordnet werden. Die DSFA gilt für alle zugeordneten VTs.
  • Eine VT kann einer DSFA nur zugeordnet werden, wenn sie noch zu keiner DSFA zugeordnet wurde.
  • Haupt-VT: Die Daten dieser VT werden in folge der DSFA geladen.

Erforderlichkeitsprüfung

Die Erforderlichkeitsprüfung ist der Schritt zur Erkenntnis ob für die zugeordneten VTs eine DSFA durchgeführt werden muss.

Um einzuschätzen ob eine DSFA notwendig ist, werden 3 Fälle unterschieden:

  1. Es handelt sich um eine Ausnahme von der DSFA
  2. Die Erforderlichkeit der DSFA ist vorgegeben
  3. Es wird eine Schwellwertanalyse durchgeführt

Ausnahme von der DSFA

Hier muss ausgewählt werden, ob für die Verarbeitungstätigkeit(en), aufgrund einer Ausnahme, keine Datenschutzfolgeabschätzung durchzuführen ist. Dies kann z.b aufgrund von Whitelisting oder einer Ähnilchkeitsprüfung der Fall sein.

Wichtig:

  • Wird "Ja" gewählt muss begründet werden wieso keine Datenschutzfolgeabschätzung durchzuführen ist!
  • "ja" bedeutet. dass die Erforderlichkeitsprüfung abgeschlossen ist und keine weiteren Prüfschritte durchzuführen sind.

Screenshot

Erforderlichkeit der DSFA vorgegeben

Im Gegensatz zum vorherigen Punkt setzt dieser voraus, dass keine Ausnahme von der DSFA vorhanden ist.

In diesem Punkt kann ausgewählt werden ob eine Dateschutzfolgeabschätzung aufgrund einer Vorgabe notwendig ist. Dies kann z.b der Fall sein wenn die VT auf einer Blacklist (Muss-Liste) oder auf eine der Fallgruppen für besonders riskante Verarbeitungstätigkeiten laut Art. 35 Abs. 3 der DSGVO zutrifft.

Es kann eine Begründung für die Entscheidung dokumentiert werden.

Wichtig:

  • "Ja" überspringt den Punkt "Schwellwertanalyse", da die DSFA definitiv durchzuführen ist.
  • Existiert bereits eine Datenschutzfolgenabschätzung für die Verarbeitungstätigkeit(en), so kann diese an dieser Stelle hochgeladen werden!
  • Durch setzten des "DSFA bereits durchgeführt" werden die nachfolgenden Schritte der DSFA deaktiviert, da die DSFA bereits vorhanden ist.

Screenshot

Schwellwertanalyse

Die Schwellwertanalyse empfiehlt je nach Bewertung der Checkboxen ob eine DSFA notwendig ist.

Um herauszufinden welche Checkboxen angehackt werden sollen, sollte zuerst das Working Paper 248 Kriterien des europäischen Datenschutzausschusses durchgegangen werden.

Wird 1 häckchen gesetzt, so wird eine DSFA empfohlen.

Werden 2 oder mehr häckchen gesetzt, so scheint eine DSFA als notwendig!

Im Anschluss muss entschieden werden ob eine DSFA durchzuführen ist. Für diese Entscheidung muss eine Begründung festgehalten werden.

Wichtig:

  • Existiert bereits eine Datenschutzfolgenabschätzung für die Verarbeitungstätigkeit(en), so kann diese an dieser Stelle hochgeladen werden!
  • Durch setzten des "DSFA bereits durchgeführt" werden die nachfolgenden Schritte der DSFA deaktiviert, da die DSFA bereits vorhanden ist.

Screenshot

Informationen zur Verarbeitung

Diese Seite gibt einen kurzen Überblick über die Verarbeitungstätigkeit.

Die Daten die hier angezeigt werden kommen aus der Haupt-Verarbeitungstätigkeit (setzbar bei Überprüfungsdetails).

Es können hier aber noch weitere Informationen zur Verarbeitung erfasst und dokumentiert werden.

Screenshot

Normen und Standards

In diesem Punkt werden Angaben zur Einhaltung von Verhaltensregeln erfasst.

Screenshot

Daten und Betriebsmittel

In diesem Punkt werden die Datenkategorien die verarbeitet werden sowie die Betriebsmittel (Ressourcen) die diese Daten verarbeiten aufgelistet. Diese kommen von der Haupt-VT.

Screenshot

Lebenszyklus von Daten und Prozessen

In diesem Punkt können detaillierte Angaben zu Funktionsweisen und Abläufen der Datenverarbeitung erfasst werden.

Existieren zu diesen Abläufen Datenflussdiagramme sollten diese in diesem Punkt hochgeladen werden.

Screenshot

Notwendigkeit und Verhältnismäßigkeit

In diesem Punkt wird die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung erklärt.

Dazu müssen mehrere Punkte geklärt werden:

  • Rechtmäßigkeit der Verarbeitung:
Hier werden die Rechtmäßigkeiten der Verarbeitungen der einzelnen Datenkategorien aufgelistet. (Datenkategorien aus Haupt-VT)
  • Zweckbindungsprinzip (Art. 5 Abs 1 b DSGVO):
Es muss erklärt werden warum die Verarbeitungszwecke bestimmt, eindeutig definiert und rechtmäßig sind.
  • Datenminimierung (Art. 5 Abs. 1 c DSGVO):
Es muss erklärt werden warum die erhobenen Daten erforderlich, notwendig und relevant sind.
  • Richtigkeit (Art. 5 Abs. 1 d DSGVO):
Es muss beschrieben werden, welche Schritte unternommen werden um die Qualität der Daten (Korrektheit, Aktualität, etc) sicherzustellen.
Es können Maßnahmen und Kontrollen die die Qualität der Daten sicherstellen verknüpft werden.
  • Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO):
Es muss die Speicherdauer (Löschfrist) der Daten inklusive Begründung für diese angegeben werden. Dies erfolgt allerdings schon im Schritt "Daten und Betriebsmittel" und wird deswegen hier nicht angeführt.

Screenshots

Persönlichkeitsrechte der Betroffenen

In diesem Punkt wird erfasst was unternommen wird um die Persönlichkeitsrechte der Betroffenen zu gewähren.

Dazu müssen mehrere Punkte geklärt werden:

  • Informationspflicht (Art 12-14 DSGVO) und Einwilligung des Betroffenen (Art. 6 DSGVO):
Es muss beschrieben werden wie die Betroffenen über die Verarbeitung informiert werden, welche Informationen Ihnen auf welche Art und Weise zur Verfügung gestellt wird und wie die Einwilligung der Verarbeitung eingeholt wird falls diese erforderlich ist.
Dafür können hier Maßnahmen und Kontrollen zum Nachweis der Einhaltung der Informationspflicht und Einwilligung des Betroffenen verknüpft werden.
  • Betroffenenrechte (Art 13-22 DSGVO):
Es muss erklärt werden, wie Betroffen Ihr Recht auf Auskunft, Berechtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragung und Widerspruch ausüben können.
Dafür können hier Maßnahmen und Kontrollen zum Nachweis der Einhaltung der Betroffenenrechte zugeordnet werden.
  • Auftragsverarbeitung (Art 28 DSGVO):
Es muss erklärt werden ob und wieso die Verpflichtungen der Auftragsverarbeiter klar definiert und vertraglich geregelt sind.
Dazu wird eine Liste der Auftragsverarbeiter angezeigt. Diese kommen aus der Haupt-VT.
  • Datenübermittlung in Drittländer (Art 44-49 DSGVO):
Es muss erklärt werden ob Datenübermittlung in Länder außerhalb der EU stattfinden und ob und wie diese Daten angemessen geschützt werden.
Dazu wird eine Liste der Empfänger in Drittländer angezeigt. Diese kommen aus der Haupt-VT.
  • Standpunkt der Betroffenen
Es muss beschrieben werden wie der Standpunkt der Betroffenen erhoben wurden.

Screenshots

Risikobewertung und Maßnahmenplanung

In diesem Punkt wird die Risikobewertung aus Betroffenensicht dargestellt.

Es sollen Gefährdungslagen die als Risikobewertung für die Verarbeitungstätigkeit(en) gelten mit der DSFA verknüpft werden.

Die angezeigten Maßnahmen und Kontrollen kommen direkt aus den Gefährdungslagen.

Screenshot

Konsultationen

In diesem Punkt wird erfasst ob der Rat des Datenschutzbeauftragten eingeholt wurde und ob die Datenschutzbehörde konsultiert wurde.

Rat des Datenschutzbeauftragten (DSB):

  • Ja, wurde eingeholt:
Rat des Datenschutzbeauftragten erfassen
Erklären ob bzw. wie dem Rat entsprochen wird.
  • Nein, wurde nicht eingeholt:
Begründen warum der Rat des Datenschutzbeauftragten nicht eingeholt wurde.

Wenn aus der DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko für den Betroffenen zur Folge hat und keine Maßnahmen zur Eindämmung des Risikos trifft, dann ist die Datenschutzbehörde zu konsultieren.

Wurde die Datenschutzbehörde konsultiert so ist ihre Entscheidung zu erfassen bzw. auf den DSFA Report zu verweisen.

Screenshot

Abgerufen von „https://userguide.hitguard.de/index.php?title=Datenschutz-Folgenabschätzung&oldid=5635
Zuletzt geändert
Diese Seite wurde zuletzt am 8. September 2020 um 10:51 Uhr bearbeitet.