Data protection impact assessment

According to the General Data Protection Regulation, it must be documented and decided for each processing activity whether a data protection impact assessment (DPIA) is to be carried out. This is done in the course of a data protection impact assessment requirement assessment.

Related processing activities may be subject to the same DPIA necessity test to declare that a DPIA is or is not necessary for the processing activity.

A DPIA in HITGuard combines the DPIA requirement check and the subsequent DPIA. First, the requirement check is performed and then, depending on the result of the check, the documentation step can either be completed or a DPIA must consequently be performed and thus documented.

In HITGuard, these DPIA can be found and managed under the menu item "Privacy → DPIA".

There is also the possibility to store existing DPIA documents.

Important: A standard DPIA report and likewise a report for consultation with the data protection authority can be prepared.

To create a DPIA, click the "Plus" button in the DPIA overview ("Privacy → DPIA").

To edit a DPIA, double-click on the desired DPIA.

In the following picture you can find an overview of all DPIA:

The following describes the verification details of a DPIA.

Designation:

• A designation for the DPIA is assigned here.

Confirmers:

• Owners, directors, officers or other legally appointed corporate officers.

Processors:

• Those persons who are responsible for the processing activity in the company.

Auditor:

• The person who processes the DPIA. The user who creates the DPIA in HITGuard is suggested.

Version date:

• Here must be entered a date for the version of the DPIA.

Version number:

• Here must be entered a version number for the DPIA. This is for historization purposes.

Assigned processing activities:

• Here, processing activities can be assigned to the DPIA. The DPIA applies to all assigned processing activities.
• A processing activity can only be assigned to a DPIA if it does not yet belong to any DPIA.
• Main processing activity: The data of this processing activity are loaded as a result of the DPIA.

The necessity test is the step towards knowing whether a DPIA needs to be performed for the assigned processing activities.

To assess whether a DPIA is necessary, three cases are distinguished:

1. It is an exception to the DPIA.
2. The necessity of the DPIA is specified.
3. A threshold analysis is performed to determine whether a DPIA is necessary.

A DPIA necessity check or a DPIA may apply to related processing activities. This is the case if the processing activity address a similar risk. Therefore, it is possible to link several processing activities to the DPIA in the verification details. The processing activity marked as "Main processing activity" is the basis from which HITGuard draws the collected information from the processing activity (e.g., data categories, resources used, etc.) in the DPIA steps of the wizard.

There are cases in which it is not necessary to conduct a data protection impact assessment. These include, among others:

Anticipation:

If the processing activities have been reviewed and approved by the data protection authority before May 2018 and have not changed, the data protection impact assessment may be omitted.

Whitelisting:

If the processing activity is on the list of types of processing activities that do not require a DPIA that the supervisory authority may establish (Art. 35(5)), the DPIA may be omitted.

Similarity assessment:.

If the review of similar processing activities reveals similarly high risks due to their nature, scope, circumstances and purpose, then a data protection impact assessment may be carried out jointly (Art. 35 (1) GDPR).

Depending on whether it is an exception or not, this concludes the necessity test and the DPIA is done or continues to the next step.

Important: If "Yes" is selected, reasons must be given as to why no data protection impact assessment is to be carried out! Yes" means that the necessity test has been completed and no further test steps need to be performed.

Unlike the previous point, this one assumes that there is no exception to the DPIA.

There are cases where it is mandatory to perform a data protection impact assessment. These include:

• Art. 35(3) GDPR:

Concerns automated processing including profiling, extensive processing of special categories of personal data or criminal convictions and offences, and systematic, extensive monitoring of publicly accessible areas.

• Mention on the blacklist:

The supervisory authority draws up a list of processing activities for which a DPIA must be performed. Once this list has been published, it must be taken into account here.

Additionally, a rationale for the decision can be recorded.

Important:

• "Yes" skips the "Threshold Analysis" item, as DPIA is definitely to be performed.

Sofern die Erforderlichkeit einer DSFA nicht durch eine klare Verpflichtung zur Durchführung bzw. Nicht-Durchführung vorgegeben ist, liegt es im Ermessen des Verantwortlichen die Erforderlichkeit der Durchführung der DSFA zu beurteilen. Dabei helfen die Angaben der Art. 29 Datenschutzgruppe. Die Handhabung der Liste der Kriterien ist wie folgt, mittels einer Faustregel zu empfehlen: Ein hohes Risiko besteht jedenfalls, wenn mindestens zwei der Kriterien erfüllt sind. In diesem Fall sollte eine DSFA durchgeführt werden.

Um herauszufinden welche Kriterien erfüllt werden, sollte zuerst das Working Paper "248 Kriterien des europäischen Datenschutzausschusses" durchgegangen werden!

Im Anschluss muss entschieden werden, ob eine DSFA durchzuführen ist. Für diese Entscheidung muss eine Begründung festgehalten werden.

Die DSFA-Erforderlichkeitsprüfung sollte zu jeder Verarbeitungstätigkeit durchgeführt werden. Mit HITGuard können diese Überprüfungsschritte nachweislich dokumentiert werden. In manchen Fällen ist die Erforderlichkeitsprüfung für das Verarbeitungsregister zu dokumentieren. Die DSFA wurde aber bereits durchgeführt, wenn diese zum Beispiel gemeinsam mit einem externen Berater erstellt wurde. In diesem Fall möchten Sie ggf. keine weitere DSFA mehr in HITGuard dokumentieren. Für die zentrale Sammlung Ihrer Dokumente im Falle einer behördlichen Kontaktaufnahme möchten Sie alle Dokumente in HITGuard zusammenführen. In diesem Fall können Sie in diesem Schritt kennzeichnen, dass eine DSFA bereits erfolgt ist. Laden Sie den DSFA Bericht hier hoch und legen Sie fest, dass in HITGuard keine weiteren DSFA Dokumentationsschritte mehr durchzuführen sind.

Wichtig:

• Durch Setzen des "DSFA bereits durchgeführt" werden die nachfolgenden Schritte der DSFA deaktiviert, da die DSFA bereits vorhanden ist.

Wenn eine DSFA in HITGuard durchzuführen ist, sind zunächst die geplanten Verarbeitungstätigkeiten zu beschreiben.

Art. 35 Abs. 7 (a) DSGVO fordert eine systematische Beschreibung der geplanten Verarbeitungstätigkeiten inkl. dem Zwecke der Verarbeitung. Dazu wird Ihnen von HITGuard aus der Haupt-Verarbeitungstätigkeit der dort bereits erfasste Zweck der Verarbeitung geladen. Sie können diese Information um zusätzliche Informationen wie Einsatzgebiet, Nutzer, etc. ergänzen.

Auch die Zuständigkeiten für die Verarbeitung, wie den Verantwortlichen der Verarbeitungstätigkeit bzw. etwaige Auftragsverarbeiter und Informationen zur gemeinsamen Verarbeitung werden Ihnen aus der Haupt-VT präsentiert.

In diesem Punkt sind Normen und Standards anzuführen, die für die Verarbeitung herangezogen werden. Darunter fallen auch Richtlinien und Datenschutzzertifizierungen (Art. 42 DSGVO) sowie genehmigte Verhaltensregeln (Art 40 DSGVO).

Genehmigte Verhaltensregeln werden häufig als „Code of Conduct“ bezeichnet. Sie werden von einem Zusammenschluss, z.B. einem Verband oder Verein wie Berufsverbänden oder Kammern veröffentlicht. Der Zusammenschluss gibt die genehmigten Verhaltensregeln als verbindliche Vorgaben aus, um die datenschutzrechtliche Verhaltensweisen der Mitglieder festzulegen. In der DSFA ist zu beschreiben, ob es genehmigte Verhaltensregeln gemäß Art. 40 DSGVO gibt, zu denen das Unternehmen sich bekennen und deren Anforderungen sie umsetzen bzw. einhalten.

In der DSFA ist unter diesem Punkt eine detaillierte Darstellung der geplanten Verarbeitungstätigkeiten, einschließlich folgender Informationen zu finden: - alle verarbeiteten personenbezogenen Daten inklusive der Angaben zu Betroffenenkategorien, Empfänger und der Informationen zur Aufbewahrung der Daten - der dafür eingesetzten Informationssysteme (= Betriebsmittel)

HITGuard unterstützt Sie in diesem Punkt, da es alle relevanten Informationen dazu, die bereits in der Haupt-VT erfasst wurden, hier auflistet.

Hier kann außerdem eine Detaillierte Beschreibungen zu den eingesetzten IT-Betriebsmitteln erfasst werden. Weiters können Dokumente mit visualisierten Darstellungen zu IT-Betriebsmitteln und ihren Abhängigkeiten abgelegt werden.

In diesem Punkt der DSFA ist eine detaillierte Darstellung der geplanten Verarbeitungstätigkeiten, einschließlich folgender Informationen zu erfassen: - Beschreibung der Prozessschritte für eine detaillierte Darstellung der Funktionsweise und der Abläufe der Verarbeitungstätigkeit - Interne und externe Schnittstellen sowie Datenflüsse

Um die Erklärung zu verdeutlichen, können in diesem Schritt Dokumente wie Datenflussdiagramme beigelegt werden. Sie können neben der Erfassung einer ausführlichen Beschreibung auch ein Dokument hochladen.

In diesem Punkt der DSFA wird gemäß Art. 35 Abs. 7 (b) DSGVO die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungstätigkeiten begründet.

Dazu müssen mehrere Punkte geklärt werden:

• Rechtmäßigkeit der Verarbeitung:

Hier werden die Rechtmäßigkeiten der Verarbeitungen der einzelnen Datenkategorien aufgelistet. (Datenkategorien aus Haupt-VT)

• Zweckbindungsprinzip (Art. 5 Abs 1 b DSGVO):

Es muss erklärt werden warum die Verarbeitungszwecke bestimmt, eindeutig definiert und rechtmäßig sind.

• Datenminimierung (Art. 5 Abs. 1 c DSGVO):

Es muss erklärt werden warum die erhobenen Daten erforderlich, notwendig und relevant sind.

• Richtigkeit (Art. 5 Abs. 1 d DSGVO):

Es muss beschrieben werden, welche Schritte unternommen werden um die Qualität der Daten (Korrektheit, Aktualität, etc.) sicherzustellen.

Es können Maßnahmen und Kontrollen, die die Qualität der Daten sicherstellen, verknüpft werden.

• Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO):

Es muss die Speicherdauer (Löschfrist) der Daten inklusive Begründung für diese angegeben werden. Dies erfolgt allerdings schon im Schritt "Daten und Betriebsmittel" und wird daher hier nicht angeführt.

In diesem Punkt der DSFA wird erfasst was unternommen wird, um die Persönlichkeitsrechte der Betroffenen zu gewähren.

Dazu müssen mehrere Punkte der DSGVO geklärt werden:

• Informationspflicht (Art 12-14 DSGVO) und Einwilligung des Betroffenen (Art. 6 DSGVO):

Es muss beschrieben werden wie die Betroffenen über die Verarbeitung informiert werden, welche Informationen Ihnen auf welche Art und Weise zur Verfügung gestellt werden und wie die Einwilligung der Verarbeitung eingeholt wird, falls diese erforderlich ist.

Dafür können hier Maßnahmen und Kontrollen zum Nachweis der Einhaltung der Informationspflicht und Einwilligung des Betroffenen verknüpft werden.

• Betroffenenrechte (Art 13-22 DSGVO):

Es muss erklärt werden, wie Betroffene ihr Recht auf Auskunft, Berechtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragung und Widerspruch ausüben können.

Dafür können hier Maßnahmen und Kontrollen zum Nachweis der Einhaltung der Betroffenenrechte zugeordnet werden.

• Auftragsverarbeitung (Art 28 DSGVO):

Es muss erklärt werden, ob und warum die Verpflichtungen der Auftragsverarbeiter klar definiert und vertraglich geregelt sind.

Dazu wird eine Liste der Auftragsverarbeiter angezeigt. Diese kommen aus der Haupt-Verarbeitungstätigkeit.

• Datenübermittlung in Drittländer (Art 44-49 DSGVO):

Es muss erklärt werden, ob Datenübermittlungen in Länder außerhalb der EU stattfinden sowie ob und wie diese Daten angemessen geschützt werden.

Dazu wird eine Liste der Empfänger in Drittländer angezeigt. Diese kommt aus der Haupt-VT.

• Standpunkt der Betroffenen

Es muss beschrieben ob und wie der Standpunkt der Betroffenen erhoben wurde.

Falls er nicht erhoben wurde muss dies begründet werden!

Bei der Risikobewertung werden Risiken für die Rechte und Freiheiten der betroffenen Personen analysiert. D.h. die Analyse des Risikos erfolgt aus der Sicht des Betroffenen und nicht des Unternehmens. Dabei werden Risiken identifiziert und bewertet. Dies erfolgt im Bereich des Risikomanagements von HITGuard. Die identifizierten Gefährdungslagen - die weitgehend dem in der DSGVO verwendeten Begriff des Risikos entsprechen - können hier mit der DSFA verknüpft werden.

Zu den identifizierten Gefährdungslagen werden in HITGuard Maßnahmen und Kontrollen zur Risikobehandlung beschlossen. Diese Maßnahmen und Kontrollen werden vom Tool selbstständig anhand der verknüpften Gefährdungslagen in der DSFA dargestellt.

In diesem Punkt wird erfasst, ob der Rat des Datenschutzbeauftragten eingeholt wurde und ob die Datenschutzbehörde konsultiert wurde.

Gemäß Art. 35 Abs. 2 DSGVO hat der Verantwortliche bei der Durchführung einer DSFA den Rat des Datenschutzbeauftragten einzuholen, wenn ein Datenschutzbeauftragter benannt wurde. Diese Konsultation bzw. das Ergebnis daraus oder Gründe für ihre Nicht-Durchführung können und sollen hier dokumentiert werden.

Wenn aus einer DSFA hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, dann muss der Verantwortliche vor der Verarbeitung die Aufsichtsbehörde konsultieren, falls er keine Maßnahmen zur Eindämmung des Risikos trifft oder treffen kann. Auch dieser Schritt ist hier in HITGuard dokumentierbar indem dem sie die Entscheidung der Datenschutzbehörde erfassen bzw. auf den DSFA Bericht verweisen.