Best dsgvo verarbeitungsverzeichnis muster excel New Update

You are viewing this post: Best dsgvo verarbeitungsverzeichnis muster excel New Update

Neues Update zum Thema dsgvo verarbeitungsverzeichnis muster excel


Datenschutz-Folgenabschätzung (DSFA) mit Muster nach Art. 35 DSGVO | Datenbeschützerin Regina Stoiber New Update

5/5/2019 · Muster Datenschutz-Folgenabschätzung in Excel Wie versprochen erhalten Sie mit diesem Beitrag ein kostenloses Muster in Excel für eine Datenschutz-Folgenabschätzung. Zudem erhalten Sie die Schwellwertanalyse ebenfalls als …

+ hier mehr lesen

Read more

Datenschutz-Folgenabschätzung (DSFA) mit Vorlage nach Art

35 DSGVO Datenschutz, Risikomanagement 7 Kommentare

Wirklich „getraut“ haben sich bisher nur wenige an eine Datenschutz-Folgenabschätzung (DSFA) nach Art

35 DSGVO

Auch die Informationen, die man darüber finden kann, sind äußerst dürftig – zumindest wirklich gute

Wir haben uns intensiv mit dem Thema DSFA auseinandergesetzt

Die Erkenntnisse, Vorgehensweisen und Empfehlungen fasse ich (hoffentlich vertraut 🙂 ) kompakt und verständlich zusammen

Es gibt nicht den einen, den richtigen oder falschen Weg, eine Datenschutz-Folgenabschätzung durchzuführen

Neben der DSGVO gibt es sogar einen internationalen ISO-Standard

Die ISO/IEC 29134 (Guideline for privacy impact assessment) gibt dafür ein Regelwerk vor

Für unsere Leser und Kunden ist es mir wichtig, eine Lösung vorzustellen, die den gesetzlichen Anforderungen entspricht, aber auch praxisorientiert und umsetzbar ist

Exkurs Risikomanagement

Bevor wir uns im Detail mit DSFA befassen, ist es unerlässlich, die Grundpfeiler der Risikoanalyse zu verstehen

Die Datenschutz-Folgenabschätzung ist nichts anderes als eine Risikoabschätzung

An dieser Stelle möchte ich kurz auf die Grundlagen eingehen

Eine ausführliche Beschreibung finden Sie im Artikel Risikoanalyse durchführen

Definition von Risiko

Bei der Risikodefinition orientiere ich mich an der gängigen Norm, die sich auch in der Norm ISO 31000 wiederfindet

Ein Risiko ist definiert:

Risiko = Schaden x Eintrittswahrscheinlichkeit

Eine wichtige Voraussetzung bei der Durchführung von Gefährdungsbeurteilungen – ob DSFA, Gefährdungsbeurteilung, medizinische oder andere Risiken – ist die Systematik und Reproduzierbarkeit

Das heißt, wenn zwei Personen mit gleichem Wissen das gleiche Risiko einschätzen würden, müssten sie zum gleichen Ergebnis kommen

Schwierig wird dies bei der obigen Definition von Schaden und Eintrittswahrscheinlichkeit

Die Personen, die Risiken bewerten, müssen daher unterstützt werden

Üblicherweise werden Klassen verwendet, um Schäden und die Eintrittswahrscheinlichkeit zu bewerten

Diese Klassen müssen wiederum so beschrieben werden, dass klar ist, was damit gemeint ist

Ein detailliertes Beispiel finden Sie im Artikel zur Risikoanalyse

Vorläufige Definitionen der Datenschutz-Folgenabschätzung

Wie eben erwähnt, muss man sich überlegen, wie man Schaden und Eintrittswahrscheinlichkeit konkret definiert, bevor man mit der Erfassung möglicher Risikoszenarien beginnt

Aber ich bin nicht wirklich glücklich damit

Die Eintrittswahrscheinlichkeiten sind nicht konkret formuliert

Bei den möglichen Schadenskategorien werden zudem Schaden und Ursache in einen Topf geworfen

Die unbefugte Entfernung der Pseudonymisierung ist nach meinem Verständnis kein Schaden, sondern eine Ursache, die zu einem Schaden führen kann (zB Diskriminierung, Identitätsdiebstahl…)

Aus diesem Grund versuche ich, den Empfehlungen des Landesamtes für Datenschutz und der DSK zu folgen, passe sie aber an der einen oder anderen Stelle ein wenig an

WICHTIG! Die folgenden Schadensklassen und Eintrittswahrscheinlichkeiten sind rein beispielhaft

Prüfen Sie, ob diese für Sie überhaupt sinnvoll sind und passen Sie die Definitionen an

Schadenskategorien

Die Vorgaben des Landesamtes für Datenschutz finde ich größtenteils sehr gut und übernehme sie an dieser Stelle

Die Liste ist erweiterbar, gibt aber einen guten Anfang

Diskriminierung

Identitätsdiebstahl

Lebensgefahr

existenzielle Bedrohung

Finanzielle Schäden

Rufschädigung

Exposition

Verlust des Arbeitsplatzes

geheime Offenbarung

soziale Benachteiligung

wirtschaftliche Nachteile

andere Schadenskategorien möglich

Definition von Schadensklassen

Damit wir jedoch einschätzen können, wann der Schaden für die betroffene Person gering oder hoch ist, bedarf es weiterer Kriterien

Sie können diese Kriterien natürlich auch anders einordnen

Sehen Sie es einfach als Umsetzungsvorschlag und passen Sie es an Ihre Bedürfnisse an – wie oben erwähnt.

gering beherrschbar erheblich hoch Diskriminierung Benachteiligung des Betroffenen in einem Teil seines Lebens (zB Job durch Kollegen) Benachteiligung des Betroffenen im gesamten Lebensbereich Umgebung

Identitätsdiebstahl Identitätsdiebstahl Lebensgefahr Existenzgefährdung Existenzgefährdung Existenzieller Vermögensschaden im Rahmen eines Monatsgehalts im Rahmen mehrerer Monatsgehälter im Rahmen eines Jahresgehalts Verlust aller persönlichen Vermögensgegenstände (auch Immobilien etc.) Reputationsschaden Reputationsschaden des Betroffenen in einem Teil seines Lebens (z

B

am Arbeitsplatz) Reputationsschaden des Betroffenen im gesamten Lebensumfeld

Exposition des Betroffenen in einem Teil seines Lebens (z

B

bei der Arbeit) Exposition des Betroffenen im gesamten Lebensumfeld

Verlust des Arbeitsplatzes Verlust des Arbeitsplatzes Geheimnisse preisgeben Das Aufdecken von Geheimnissen hat Auswirkungen auf einen Teil des Lebens der betroffenen Person

Die Enthüllung von Geheimnissen wirkt sich auf das gesamte Leben der betroffenen Person aus

Soziale oder wirtschaftliche Benachteiligung Keine oder sehr geringe Auswirkungen auf das tägliche Leben Auswirkungen sind für die Betroffenen spürbar und führen zu geringfügigen Einschränkungen/Nachteilen

Auswirkungen haben Nachteile für die Betroffenen im Alltag

Auswirkungen haben große Nachteile für die Betroffenen und ggf

für ihr persönliches Umfeld (z

B

Familie)

Definition der Eintrittswahrscheinlichkeit

In diesem Fall nenne ich die Klassen, wie es in der Risikoanalyse üblich ist, niedrig bis sehr hoch

Den Namen können Sie selbstverständlich frei wählen:

Eintrittswahrscheinlichkeit Schätzung für die Zukunft Betrachtet man die Vergangenheit gering Vorfall tritt frühestens in 6 Jahren oder später auf Ein Vorfall ist noch nie aufgetreten oder ist vor mehr als 6 Jahren aufgetreten Mittel Vorfall tritt in den nächsten 4-6 Jahren auf Ein Vorfall ist passiert in den letzten 4-6 Jahren hohe Vorfälle treten in den nächsten 1-3 Jahren auf Vorfälle sind in den letzten 1-3 Jahren aufgetreten sehr hohe Vorfälle treten im nächsten Jahr auf Vorfälle sind im letzten Jahr aufgetreten

Definition von Risikoklassen

Das Risiko ergibt sich aus der Schadensklasse und der Klasse für die Eintrittswahrscheinlichkeit

Damit wir einen Risikowert berechnen können, hinterlegen wir für jede Klasse einen mathematischen Wert

Dieser Wert ist frei wählbar und kann genauso gut 10, 15, 20 oder 100, 200, 300 betragen

Uns geht es nur darum, das Risiko einfach kalkulieren zu können

Wann liegt ein Risiko vor? Vor der Durchführung der DSFA ist es wichtig zu definieren, wann ein Risiko wirklich ein Risiko darstellt

Es sollte klar sein, welches Risiko behandelt werden muss

In unserem Beispiel definieren wir, dass Risiken bis zu einem Wert von 3 automatisch akzeptiert werden

So werden beispielsweise Risiken mit geringem Schadensausmaß und maximal hoher Eintrittswahrscheinlichkeit akzeptiert (siehe Grafik unten)

Risiken mit Werten zwischen 4 und 8 stufen wir als mittlere Risiken ein, die einer Risikobehandlung bedürfen

Alle hohen Risiken mit einem Wert größer 8 müssen behandelt werden

Mehr Grundlagen zur Risikobehandlung finden Sie im Blogbeitrag zur Risikoanalyse

Risikomatrix mit Risikoakzeptanzgrad für die Datenschutz-Folgenabschätzung Vorarbeit

Beginnen wir endlich mit der eigentlichen Datenschutz-Folgenabschätzung

Ausgangspunkt Liste der Verfahren

Bevor das Thema DSFA überhaupt aufkommt, muss ein Verfahren zunächst in der Verfahrensübersicht beschrieben werden

Je besser die Dokumentation bereits in der Verfahrensbeschreibung ist, desto mehr Arbeit wird bei der Durchführung der DSFA eingespart

Überschneidung von Verfahrensverzeichnis und DSFA

Art

35 Abs

7 lit

a DSGVO erfordert eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, des Zwecks und ggf

der berechtigten Interessen des Verantwortlichen

Art

35 Abs

7 lit

b DSGVO ergänzt die Anforderung um eine Bewertung der Erforderlichkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Verhältnis zum Zweck

Der erfahrene Ersteller eines Verfahrensverzeichnisses freut sich: „Das haben wir alles schon im Verarbeitungsverzeichnis beschrieben.“ Okay, die Beurteilung der Erforderlichkeit und Verhältnismäßigkeit ist vielleicht nicht so detailliert beschrieben, aber das können Sie im Einzelfall zur Zweckbeschreibung hinzufügen, wenn es zu einer DSFA kommen sollte

Von der Verfahrensliste zur DSFA springen

Da es unser Ziel ist, redundante (d

h

doppelte) Daten bei der DSFA zu vermeiden, verknüpfen wir das Verfahrensverzeichnis gleich mit der DSFA

Das bedeutet, dass in der beigefügten Excel-Vorlage die Datenschutz-Folgenabschätzung ein separates Tabellenblatt in der Liste der Verfahren ist

Wie wird die „Schwelle“ ermittelt, ab der eine Datenschutz-Folgenabschätzung überhaupt erforderlich ist? Aus meiner Sicht ist das eigentlich der schwierigste Punkt

Nach mehreren Gesprächen mit Experten und den Behörden hat mein Vorschlag nun zwei Stufen

Schwellenanalyse zur Datenschutz-Folgenabschätzung

Schwellenanalyse Schritt 1 – Schaden

Bisher haben wir das Verfahren im Verfahrensverzeichnis beschrieben und so gut wie möglich dokumentiert

An dieser Stelle beschäftigen wir uns nun mit den möglichen Schäden im Verfahrensverzeichnis, die für die Betroffenen möglicherweise bestehen könnten

Uns interessiert hier (mit Blick auf die DSFA) eigentlich nur, ob von dem Verfahren ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht.

Der potenzielle Schaden muss hoch sein, die Eintrittswahrscheinlichkeit ebenfalls

Aus dieser Kombination ergibt sich nun ein hohes Risiko für den Betroffenen, entsprechend hoher Schaden und hohe Eintrittswahrscheinlichkeit

Hinsichtlich des Musters am Ende dieses Artikels müssen Sie abwägen, ob ein hoher Schaden für den Betroffenen überhaupt möglich ist

In der Stichprobe unterscheide ich noch zwischen „erheblichen“ und „hohen“ Schäden

Dabei stütze ich mich auf die oben beschriebenen Schadensklassen

Wenn Sie möglicherweise einen hohen oder erheblichen Schaden in Betracht ziehen, müssen Sie sich Gedanken über die Eintrittswahrscheinlichkeit machen

Wie wir wissen, besteht bei einer geringen Eintrittswahrscheinlichkeit kein hohes Risiko

Die genannten Klassen für die Eintrittswahrscheinlichkeit stehen wieder in der Vorlage zur Verfügung

Sie haben nun festgestellt, ob ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht

See also  Best controlling für dummies pdf download Update

Wenn ja, ist der zweite Schritt die Schwellenanalyse

Falls nicht, haben wir das Verfahren um wichtige Hinweise ergänzt und können damit jederzeit begründen, warum wir keine Datenschutz-Folgenabschätzung durchgeführt haben

Erwägungsgrund 91 listet sehr genau auf, wann eine DSFA durchgeführt werden muss

An dieser Stelle haben wir bereits die erste Voraussetzung erfüllt, dass ein hohes Risiko für die betroffene Person bestehen muss

Die weiteren Bewertungskriterien lassen sich in vier Hauptpunkte unterteilen.

Besonderheiten der Verarbeitung Die Verarbeitung einer großen Menge personenbezogener Daten Die Verarbeitung betrifft oder kann eine große Anzahl von Personen betreffen Einsatz neuer Technologien in großem Umfang Die Verarbeitung erschwert es den betroffenen Personen, ihre Rechte wahrzunehmen Die Verarbeitung erschwert oder verhindert die Daten von der Inanspruchnahme einer Dienstleistung oder Vertragserfüllung betroffene Person Verarbeitung von Daten schutzbedürftiger Personen Automatisierte Entscheidungsfindung in Bezug auf natürliche Personen durch systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage von Profiling personenbezogener Daten durch Verarbeitung besonderer Kategorien personenbezogener Daten durch Verarbeitung biometrischer Daten durch Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherheitsmaßnahmen Überwachung von Bereichen Umfangreiche Überwachung öffentlich zugänglicher Bereiche e (mittels optoelektronischer Geräte) Einschätzung der Aufsichtsbehörde Die zuständige Aufsichtsbehörde hat veröffentlicht das Verfahren bei der DSFA Schwarze Liste

Wenn Sie mindestens einen dieser vier Punkte mit „ja“ oder „trifft zu“ beantworten können, empfehle ich Ihnen, eine Datenschutz-Folgenabschätzung durchzuführen

Laut einer telefonischen Stellungnahme der bayerischen Aufsichtsbehörde ist Punkt 4 „Schwarze Liste der Aufsichtsbehörde“ allein keine zwingende Voraussetzung für die Durchführung einer Datenschutz-Folgenabschätzung

Ihr muss immer ein hohes Risiko für die Betroffenen vorausgegangen sein

Aber das haben wir in diesem Fall, denn sonst wären Sie nicht auf Schritt 2 der DSFA-Relevanz gegangen

Vorteil dieser 2-stufigen Schwellenanalyse

Was mir an dieser 2-stufigen Lösung – ohne Eigenlob – gefällt, ist die Nachvollziehbarkeit und die durchgängig systematische Vorgehensweise

Jeder noch so triviale Eingriff wird der Risikobewertung in Bezug auf ein hohes Risiko unterzogen

Damit entfällt eine „händische“ Vorauswahl ohne nachvollziehbare und dokumentierte Entscheidung

Für jedes Verfahren gelten die gleichen Bewertungsregeln

Um Aufwand zu sparen, gehen Sie nur dann in den zweiten Schritt der Schwellwertanalyse, wenn Sie im Verfahrensverzeichnis ein hohes Risiko nachweisen können

Für alle anderen Verfahren entfällt die Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung

Durchführung einer Datenschutz-Folgenabschätzung mit Vorlage

Wie bereits erwähnt, handelt es sich bei der DSFA um eine detaillierte Risikoanalyse

Es ist eigentlich eine nette Sache, wenn man sich einmal mit der Risikoanalyse vertraut gemacht hat

Ich bin jedenfalls ein Fan davon.

Im Folgenden beschreibe ich, was ich für nützliche Informationen für eine gute Risikoanalyse halte.

Das folgende Vorgehen orientiert sich an der ISO 31000 und findet sich auch in der ISO 27001 wieder

Mit der DSFA kann es inhaltlich komplex werden

Planen Sie ein Team, das die Risiken identifiziert, analysiert und bewertet

Du solltest das nicht alleine machen

Das Ergebnis kann nur dann qualitativ hochwertig sein, wenn Sie von allen Beteiligten den nötigen fachlichen Input einfordern

Informationen aus dem Verfahrensverzeichnis

Wie bereits oben erläutert, übernehmen wir die Inhalte eins zu eins aus dem Verfahrensverzeichnis

Bei Bedarf werden Anpassungen direkt im Verfahrensverzeichnis vorgenommen

Hinweise zur Excel-Vorlage:

Für die beigefügte Excel-Vorlage bedeutet dies, dass Sie mit folgendem Befehl auf den Inhalt der Prozedur zugreifen:

=Prozedurenverzeichnis!D3

In diesem Fall steht D3 für Spalte D3

Wenn sich die Prozedur in einer Zeile befindet, ersetzen Sie die 3 durch die entsprechende Zeilennummer

In Spalte D finden Sie den Verfahrensnamen, in Spalte E die Beschreibung, in Spalte F die Legalität

Die Personengruppen finden sich in Spalte I und die Datenkategorien in Spalte J.

Einige Pflichtangaben für die Datenschutz-Folgenabschätzung können direkt aus der Verfahrensliste entnommen werden

Beschreibung des Risikoszenarios

Zunächst einmal: Eine Datenschutz-Folgenabschätzung hat wahrscheinlich mehr als nur ein Risikoszenario, das bewertet wird

Daher müssen die folgenden Felder für jedes Szenario ausgefüllt werden

Aber was ist ein Risikoszenario?

Eine einfache Frage, die in der Praxis gar nicht so trivial zu beantworten ist

Ein Risikoszenario besteht aus mehreren Informationen

Dabei geht es nicht nur um das Szenario selbst, also den Vorfall (z

B

Erdbeben), sondern auch darum, was dieser Vorfall letztlich auslösen kann

Aber dazu in den folgenden Absätzen ausführlicher.

Beschreibung eines möglichen Vorfalls

Was ist das Schlimmste, was passieren kann? Dies wäre beispielsweise der Ausfall des IT-Systems, in dem personenbezogene Daten gespeichert sind

Dies ist der Incident oder nach ITIL der Incident oder Security Incident

Aus meiner Erfahrung bei der Durchführung von Risikoanalysen hören viele an diesem Punkt auf

Das ist aus meiner Sicht kein Risiko

Zum Risiko wird es erst mit der Aussage: “…führt zu”

Beschreibung des Schadens

Der Ausfall eines IT-Systems allein führt nicht zwangsläufig zu einem Schaden

Vergleichen wir es mit dem Ausfall eines IT-Systems für die Lohnbuchhaltung

Ein Ausfall wäre für die meisten Unternehmen 15 Tage im Monat kein Problem

Ein Schaden entsteht nur, wenn es an den anderen Tagen ausfällt, an denen die Personalabteilung die Gehaltsabrechnung bearbeiten möchte

Das heißt, um Schäden überhaupt greifbar zu machen, empfehle ich Ihnen, sich Gedanken über die „…führt zu“ zu machen

Wozu kann der Ausfall des IT-Systems führen? Welcher Schaden könnte dem Betroffenen dadurch entstehen? Betrachten wir ein Krankenhaus, würde ein Ausfall des IT-Systems bedeuten, dass die Patienten nicht mehr richtig versorgt werden könnten

Grund für das Auftreten des Vorfalls

Das sind Informationen, die Sie in vielen Risikoanalysen nicht finden werden

Aber ich finde sie sehr wichtig und hilfreich für das Verständnis des Szenarios und für mögliche Maßnahmen

Aber was ist die Ursache / der Grund / die Schwachstelle? Wie kann dieser Vorfall überhaupt passieren? Betrachten wir den Ausfall des IT-Systems noch einmal, kommen wir schnell zu der Erkenntnis, dass ein Ausfall des IT-Systems viele Gründe haben kann

Es kann daran liegen, dass im Rechenzentrum der Strom ausgefallen ist

Es könnte sich genauso gut um einen technischen Defekt am Server handeln

Jeder dieser Gründe muss wahrscheinlich mit unterschiedlichen Maßnahmen angegangen werden

Für unsere Datenschutz-Folgenabschätzung in Excel bedeutet das, dass wir dieses Szenario (Ausfall des IT-Systems) in eine neue Zeile kopieren, bis wir alle Ursachen ermittelt haben

Begutachtung des Schadens

Nur mit einer konkreten Beschreibung dessen, wozu der potenzielle Vorfall tatsächlich führen könnte, lässt sich der Schaden beziffern

Schauen wir uns noch einmal das Krankenhaus an, dessen IT-System ausfällt und die Patientenversorgung dadurch beeinträchtigt wird

Die Patientenversorgung wäre dann der zu bewertende potenzielle Schaden

Das Krankenhaus ist ein gutes Beispiel

Ein IT-System wird sicher nicht eingeführt, ohne vorher über grundlegende Schutzmaßnahmen hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität nachzudenken

Das bedeutet, dass in den meisten Fällen bereits Maßnahmen greifen, um den Schaden oder die potenzielle Eintrittswahrscheinlichkeit zu reduzieren

Natürlich sollten Sie auch diese bestehenden Maßnahmen in die Schadensbeurteilung einbeziehen

Schon vor Durchführung der DSFA haben wir Schadensklassen vorbildlich definiert

Auf diese beziehen wir uns jetzt.

Lebensgefahr ist in unserer Tabelle mit einem „hohen“ Schaden gekennzeichnet

Auch das wollen wir übernehmen

Eintrittswahrscheinlichkeit

Die Einschätzung der Eintrittswahrscheinlichkeit bezieht sich in der Regel auf die Ursache, die wir glücklicherweise explizit berücksichtigt haben

Das bedeutet aber auch, dass jede Ursache eine andere Eintrittswahrscheinlichkeit haben kann

Die Ermittlung dieser Eintrittswahrscheinlichkeit ist ein bisschen wie der Blick in eine Glaskugel

Manchmal ist es hilfreich, einen Blick auf die letzten Ereignisse zu werfen

Wie bei der Schadensbewertung sollten auch bestehende Schutzmaßnahmen in die Bewertung der Eintrittswahrscheinlichkeit einbezogen werden

Ein hochverfügbares System, verteilt auf zwei örtlich getrennte Rechenzentren, reduziert natürlich die Wahrscheinlichkeit eines Komplettausfalls des IT-Service

Die Wahrscheinlichkeit eines Stromausfalls, der zum Ausfall des IT-Systems führt, setzen wir auf „mittel“

Es gibt eine redundante Stromversorgung in zwei getrennten Stromkreisen, wodurch Ausfallzeiten minimiert werden

Weitere Daten zur Datenschutz-Folgenabschätzung

Jetzt konnten wir das Risiko bereits berechnen

Wir haben den Schaden bewertet und über die Eintrittswahrscheinlichkeit nachgedacht

Auch Art

35 DSGVO möchte wissen, ob Verhaltensregeln nach Art

40 bestehen und wenn ja, ob diese auch eingehalten werden

Ich denke, in den meisten Fällen gibt es noch keine behördlich genehmigten Verhaltenskodizes

Daher entfällt dieser Punkt wohl bei den meisten

Der Vollständigkeit halber möchte ich es aber erwähnen und in die Vorlage aufnehmen

Letztlich sind implementierte Verhaltensregeln nichts anderes als Schutzmaßnahmen

Dadurch wird entweder das Schadenspotenzial oder die Eintrittswahrscheinlichkeit reduziert

Dieser Wert sollte also eigentlich indirekt in die Bewertung einfließen

Mein Muster im Anhang enthält auch zwei Felder „Vertraulichkeit/Integrität“ und „Verfügbarkeit“

Das geht sogar in Richtung ISO 27001, hilft aber auch bei der Einordnung des Risikoszenarios

Aber im ersten Schritt ist es eher “nice to have”

Wichtiger ist mir zu erwähnen, dass Sie im Falle eines Verfügbarkeitsrisikos in der Szenariobeschreibung angeben, wie lange der von Ihnen bewertete Ausfall andauern wird

Der größtmögliche Schaden hängt stark von der Dauer der Ausfallzeit ab

Möglicherweise müssen Sie sogar häufiger ein Ausfallszenario mit unterschiedlichen Ausfallzeiten berücksichtigen

Risiko-Score

Endlich haben wir alle Daten zusammen

Da wir vorher ordentlich gearbeitet und unsere Vorarbeit gut gemacht haben, wird das Risiko nun quasi automatisch anhand der Risikomatrix ermittelt

Je nach Schadensklasse und gewählter Eintrittswahrscheinlichkeit ergibt sich ein Wert für das Risiko

Risikoergebnis einer Datenschutz-Folgenabschätzung durch Bewertung des Schadens und der Eintrittswahrscheinlichkeit

Es gibt keine Verhaltensregeln und sind daher nicht anwendbar.

In unserem Beispiel aus dem Bild besteht ein „rotes“ Risiko aufgrund eines erheblichen Schadenspotenzials und einer hohen Eintrittswahrscheinlichkeit, die wir als hoch definiert haben.

Risikobehandlung in die Datenschutz-Folgenabschätzung

Das bedeutet, dass wir für dieses Szenario eine Risikobehandlung durchführen müssen

Nur zur Wiederholung: Wie kann eine Risikobehandlung aussehen (Details siehe Blogbeitrag Risikoanalyse)

Minimieren: Indem durch zusätzliche Maßnahmen entweder das Schadenspotenzial oder die Eintrittswahrscheinlichkeit reduziert wird

See also  Best entwicklungsfelder mitarbeiter beispiele New

: Indem entweder der potenzielle Schaden oder die Eintrittswahrscheinlichkeit durch zusätzliche Maßnahmen reduziert werden Beseitigen : Vollständiges Vermeiden des Eintretens des Szenarios.

: Das Auftreten des Szenarios vollständig vermeiden

Übertragung : Übertragung des Risikos auf eine andere Person (z

B

Versicherungsunternehmen)

Ob dies jedoch bei der Verarbeitung personenbezogener Daten sinnvoll ist, bezweifle ich

Aber der Vollständigkeit halber erwähne ich diese Möglichkeit der Risikobehandlung hier

In Bezug auf die personenbezogenen Daten und die Person dahinter ist sehr genau abzuwägen, ob die Übertragung des Risikos die betroffene Person schützt

Ob dies jedoch bei der Verarbeitung personenbezogener Daten sinnvoll ist, bezweifle ich

Aber der Vollständigkeit halber erwähne ich diese Möglichkeit der Risikobehandlung hier

In Bezug auf die personenbezogenen Daten und die Person dahinter ist sehr genau abzuwägen, ob der Gefahrenübergang den Betroffenen schützt

Akzeptieren : Arbeitet im allgemeinen Risikomanagement, aber nicht in DSFA

Die Erwägungsgründe 90 und 94 der DSGVO befassen sich nur mit Minimierung und Eindämmung

: Arbeitet im allgemeinen Risikomanagement, aber nicht in DSFA

Die Erwägungsgründe 90 und 94 der DSGVO befassen sich nur mit Minimierung und Eindämmung

Ich erwähne mal die 5

Variante „ignorieren“, die mir ein Student in der Vorlesung vorgeschlagen hat, aber „ignorieren“ 🙂

Zurück zum Beispiel Krankenhaus oben

Daraus resultierte ein hohes Risiko (erheblicher Schaden, hohe Eintrittswahrscheinlichkeit)

Jetzt ist es an der Zeit, sich um zusätzliche Schutzmaßnahmen zu kümmern

Als zusätzliche Schutzmaßnahme kann ein Notstromaggregat sinnvoll sein

Eine Maßnahme, die man sich „nebenbei“ nicht leisten kann

Es geht um Kosten, es geht um Personal und vor allem um die Reduzierung des Risikos

Aus diesem Grund muss neu bewertet werden, ob die geplante Maßnahme das Risiko überhaupt mindert

Es kann sein, dass sich dadurch der Schaden oder die Eintrittswahrscheinlichkeit verändert

Beides ist möglich

Ich empfehle Ihnen, soweit möglich, über Maßnahmen nachzudenken, BEVOR Sie das Ergebnis der Datenschutz-Folgenabschätzung mit der Geschäftsführung besprechen

Veröffentlichung der Datenschutz-Folgenabschätzung

Verantwortlich für die Verarbeitung personenbezogener Daten ist stets die Geschäftsführung

Aus diesem Grund ist es zwingend erforderlich, dass Sie die Ergebnisse mit dem Management besprechen

Da Sie sich bereits im Vorfeld Gedanken über mögliche zusätzliche Schutzmaßnahmen gemacht haben, können Sie diese auch gleich ansprechen

Genehmigung einholen oder zumindest weitere Schritte klären

Dadurch erhalten Sie konkrete Handlungsleitlinien

Vergessen Sie nicht, die Ergebnisse mit dem Management zu dokumentieren

Diese können Sie auch der Excel-Vorlage der DSFA hinzufügen

So haben Sie alle wesentlichen Informationen an einem Ort

Umsetzung der Risikobehandlungsvorschläge

Sie haben nun entschieden, wie es weitergeht

Setzen Sie die Maßnahmen um

Vergessen Sie nicht zu prüfen, ob die Maßnahmen so wirksam sind, wie Sie es erwarten

Testen Sie also die Maßnahmen und dokumentieren Sie Ihre Ergebnisse

Datenschutz-Folgenabschätzung melden

Oft liest man von einer Form der Datenschutz-Folgenabschätzungsberichterstattung

Nachdem Sie alle Punkte erledigt haben, greifen Sie ohne lange nachzudenken zum Textprogramm und schreiben alles noch einmal auf – nur in anderer Form.

Das finde ich völlig übertrieben und reine Zeit- und Ressourcenverschwendung

Nirgendwo steht geschrieben, in welcher Form dieser Bericht vorgelegt werden muss

Die nun erstellte Dokumentation ist systematisch, konsistent und vollständig

Aus meiner Sicht passieren bei diesem Ansatz nur Fehler

Sie schreiben Inhalte doppelt, haben Redundanzen und müssen bei jeder Änderung der Quelle den Textbericht anpassen

Es passiert schneller, als Sie denken, dass Sie etwas verpassen

Wo ich bei Ihnen bin, ist die Aufbereitung der Ergebnisse für das Management

Dies entspricht jedoch keinem Bericht in Textform, sondern einer kompakten Darstellung auf ein bis zwei Seiten für die GF

Aber hier sind wir meistens in einer Präsentationsform

Dies ist meines Erachtens nicht gleichbedeutend mit einem Bericht für die Datenschutz-Folgenabschätzung

Eher ein kompaktes Management Summary

Zusammengefasst: Arbeiten Sie detailliert und sauber im Verfahrensverzeichnis und der DSFA und ersparen Sie sich redundantes Abtippen für einen textlichen Bericht

Meldung an die Behörde im Falle einer Datenschutz-Folgenabschätzung

Muss jede Datenschutz-Folgenabschätzung an die Behörde weitergeleitet werden? Nein! Sie müssen sich nur dann an die Behörde wenden, wenn Sie in der DSFA hohe Risiken erkennen und diese nicht durch geeignete Maßnahmen minimieren oder beseitigen können

Gute Nachrichten, nicht wahr? Ich bin mir sicher, dass Sie hohe Risiken in den meisten Fällen durch geeignete Maßnahmen reduzieren können

Hier zahlt es sich wiederum aus, dass Sie die DSFA nicht alleine durchgeführt, sondern von Anfang an ein Team eingebunden haben

Ist die Datenschutz-Folgenabschätzung eine einmalige Sache?

Wie jede Risikoanalyse ist auch die Datenschutz-Folgenabschätzung ein iterativer Prozess

Beginnen wir am Anfang

Im Datenschutzmanagement haben Sie grundsätzlich die Aufgabe, Ihre Verfahren regelmäßig zu überprüfen

Sind die beschriebenen Vorgehensweisen noch korrekt? Werden weiterhin dieselben Anwendungen verwendet und dieselben Ressourcen benötigt? Diese Fragen müssen Sie sich regelmäßig stellen

Sie wissen, worum es geht

Ihr Verfahren, das bisher eine DSFA erforderte, muss nun erneut einer Prüfung unterzogen werden

Haben sich die Rahmenbedingungen geändert? Bestehen die Risiken noch? Aufgrund von Änderungen in den Prozessen oder in der eingesetzten Technik kann dies dazu führen, dass sich auch die Risiken in der Datenschutz-Folgenabschätzung ändern

Aus diesem Grund empfehle ich Ihnen dringend, die DSFA regelmäßig zu überprüfen

Sie werden sicher bemerken, dass ich kein konkretes Datum nenne

Muss die Überprüfung jährlich, vierteljährlich oder alle fünf Jahre erfolgen? Hier gibt es keine konkreten Richtlinien

Ich würde mit einer jährlichen Risikoüberprüfung beginnen

Je nachdem, wie agil Ihr Prozess ist, können Sie den Zyklus entweder verkürzen oder aus sehr guten Gründen verlängern

Ausschluss von der Datenschutz-Folgenabschätzung

Interessanterweise gibt es sogar einen Ausschluss von der DSFA

Die DSGVO definiert, dass eine DSFA für Ärzte und Rechtsanwälte nicht verpflichtend ist

Ein Auszug aus Erwägungsgrund 91 gibt Folgendes wieder:

„… Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich angesehen werden, wenn die Verarbeitung personenbezogene Patienten- oder Klientendaten betrifft und von einem einzelnen Arzt, anderen Angehörigen der Gesundheitsberufe oder einem Anwalt durchgeführt wird

5In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht verpflichtend sein.“ Die Einschränkung sollte jedoch sorgfältig gelesen werden

Wie immer steckt der Teufel, oder in diesem Fall die DSFA, im Detail

Aber wie immer bieten wir Ihnen sehr gerne unsere Unterstützung an

Mein Team und ich freuen uns darauf, Sie bei der DSFA oder allgemein in Sachen Datenschutz und Informationssicherheit zu unterstützen

Zum Schluss: Ihre Erfahrungen

Ich bin sicher, Sie wissen es bereits

Nun möchte ich von Ihnen wissen, wie Sie bei der Durchführung einer Datenschutz-Folgenabschätzung abgeschnitten haben

Was waren die größten Hürden, die Sie bisher davon abgehalten haben, eine DSFA durchzuführen? War diese Beschreibung für Sie hilfreich? Sagen Sie es uns in den Kommentaren.

Muster-Datenschutz-Folgenabschätzung in Excel

Wie versprochen stellt Ihnen dieser Artikel eine kostenlose Excel-Vorlage für eine Datenschutz-Folgenabschätzung zur Verfügung

Außerdem erhalten Sie die Schwellenanalyse als Excel-Datei zur Ermittlung der DSFA-Relevanz

Die Vorlagen können Sie hier herunterladen:

Weitere Datenschutzvorlagen und Muster

Ausführlichere Vorlagen und Muster, sowie ausführliche Anleitungen und viele weitere Inhalte finden Sie in unserem Mentoring-Programm

Schützen Sie mit unserer Hilfe die Daten Ihrer Kunden, Mitarbeiter und Geschäftspartner

Werden Sie Teil des DSB-Mentoring-Programms

Erfahren Sie hier mehr

Häufig gestellte Fragen zu DSFA

Was ist eine Datenschutz-Folgenabschätzung?

Eine DSFA ist ein Instrument, das über das Verfahrensverzeichnis hinausgeht

Es dient der Beschreibung und Bewertung von Risiken für die Rechte und Freiheiten natürlicher Personen

Die Datenschutz-Folgenabschätzung muss auch die Korrekturmaßnahmen zur Risikominimierung berücksichtigen

Wann sollte eine DSFA durchgeführt werden?

Wenn Ihr Verfahren ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet.

Insbesondere beim Einsatz neuer Technologien, die voraussichtlich zu einem hohen Risiko für die betroffene Person führen.

Die DSFA muss durchgeführt werden, bevor die Verarbeitungstätigkeit beginnt.

die auszuführende Verarbeitungstätigkeit

Die Landesämter haben schwarze Listen veröffentlicht

Hierbei handelt es sich um Vorschläge, die jedoch nochmals gesondert geprüft werden müssen

Für die dort genannten Verfahren muss nicht zwingend eine DSFA durchgeführt werden

Entscheidend ist, ob für den Betroffenen ein hohes Risiko besteht

Wir schlagen daher eine zweistufige Begutachtung vor: 1

Kurzanalyse direkt am Eingriff

2

Wenn möglicherweise hohe Schäden möglich sind, dann weitere Risikobewertung

Wie ist das Verfahren zur Durchführung der DSFA? Der Prozess kann nicht einmal gesehen werden

Eine DSFA muss regelmäßig durchgeführt werden

Es kann durchaus sein, dass sich einzelne Parameter im Laufe der Zeit verändern

Grundsätzlich gliedert sich der Prozess einer Datenschutz-Folgenabschätzung in vier Schritte: Vorbereitung (Verfahren beschreiben, DSFA-Team zusammenstellen) Durchführung (Risikoerkennung und -bewertung) Umsetzung (beschlossene Maßnahmen umsetzen) Überprüfung (regelmäßige, z

B

jährliche Überprüfung der DSFA )

Kann die DSFA im Rahmen des Risikomanagements durchgeführt werden? Wir empfehlen Ihnen, die DSFA nicht als separates Tool zu betrachten

Integrieren Sie die Datenschutz-Folgenabschätzung in ein bestehendes Risikomanagementsystem

Beachten Sie jedoch unbedingt die besonderen Anforderungen der DSFA

Sie sollten Schadenskriterien und Eintrittswahrscheinlichkeiten global für das Unternehmen definieren

Hier sollten Sie keine unterschiedlichen Werte für die DSFA und das übrige Risikomanagement haben

Ein „hoher“ Schaden sollte in allen Fällen zu gleichem Verständnis im Unternehmen führen

Quellen

LDA Bayern – Planspiel DSFA

Teile diesen Beitrag

DSGVO erklärt Folge 16: Muster Verarbeitungsverzeichnis Art 30 DSGVO Update New

Video ansehen

Neues Update zum Thema dsgvo verarbeitungsverzeichnis muster excel

dsgvo verarbeitungsverzeichnis muster excel Einige Bilder im Thema

 Update  DSGVO erklärt Folge 16: Muster Verarbeitungsverzeichnis Art 30 DSGVO
DSGVO erklärt Folge 16: Muster Verarbeitungsverzeichnis Art 30 DSGVO Update New

Verzeichnis von Verarbeitungstätigkeiten – Tipps zur Umsetzung … Aktualisiert

22/2/2022 · Das Verarbeitungsverzeichnis braucht jeder Verantwortliche für Datenverarbeitungen, und jeder Auftragsverarbeiter von Daten. Wo immer personenbezogene Daten (nur für diese gilt die DSGVO) verarbeitet werden, …

+ mehr hier sehen

Read more

technisches Papier

Im Tagesgeschäft ist das Verzeichnis der Verarbeitungstätigkeiten oft nur dann ein Thema, wenn sich etwas im Unternehmen verändert – neue Software, neue Mitarbeiter, neue Prozesse

Oder wenn unerwartet eine Anfrage des Betroffenen hereinflattert

Aber auch wenn nichts dringend ist, sollten die Dokumentationspflichten der DSGVO gerade in den ruhigen Minuten thematisiert werden

See also  Best Choice excel vorlage t konten Update

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach der DSGVO

Eine der zentralsten Dokumentationspflichten aus der DSGVO stammt aus Art

30 und schreibt vor, dass ein „Verzeichnis der Verarbeitungstätigkeiten“ (VVT) geführt werden muss, dies wird meist „Verarbeitungsverzeichnis“ genannt

Darin müssen alle Datenverarbeitungen aufgeführt werden, die personenbezogene Daten betreffen

Es dient zunächst der Dokumentation und internen Transparenz

Wenn Sie wissen, welche Verarbeitungen im eigenen Unternehmen stattfinden, können Sie schnell und präzise auf Anfragen von Betroffenen reagieren

Auch das Verarbeitungsverzeichnis ist der Aufsichtsbehörde auf Verlangen vorzulegen

Es wird davon ausgegangen, dass es schon lange existiert und kontinuierlich gepflegt wird

Eine lange Frist für die Vorlage ist seitens der Behörde nicht zu erwarten

Wer braucht ein Verarbeitungsverzeichnis?

Jeder für die Datenverarbeitung Verantwortliche und jeder Datenverarbeiter benötigt das Verarbeitungsverzeichnis

Überall dort, wo personenbezogene Daten (die DSGVO gilt nur dafür) verarbeitet werden, muss diese Verarbeitung auch dokumentiert werden

Die Erhebung, Speicherung und Nutzung von Daten von Mitarbeitern eines Unternehmens ist eine solche Datenverarbeitung, ebenso wie Daten in einer Kundenakte

Auch wer eine Website betreibt, dort IP-Adressen von Website-Besuchern erfasst oder E-Mail-Adressen über ein Kontaktformular erhält, verarbeitet Daten

Alle Datenverarbeitungen werden dokumentiert und zusammengefasst: Das Verarbeitungsverzeichnis

Die Verpflichtung gilt wie alle DSGVO-Verpflichtungen für alle Verantwortlichen und Auftragsverarbeiter mit Sitz oder Niederlassung in Europa sowie für Verantwortliche und Auftragsverarbeiter, die Daten verarbeiten, auf die die DSGVO Anwendung findet

Hat der Verantwortliche oder Auftragsverarbeiter seinen Sitz außerhalb der EU, muss er einen Vertreter in der EU benennen, der dann für die Pflichten aus der DSGVO – einschließlich der Pflicht zur Führung des Verarbeitungsverzeichnisses – verantwortlich ist

Ausnahmen: Wer muss kein Verzeichnis der zu führenden Verarbeitungstätigkeiten führen?

In Kunst

30 Absatz 5 DSGVO gibt es Ausnahmen für diejenigen, die kein Verzeichnis der Verarbeitungstätigkeiten führen müssen – aber alle, die sich schon beim Überfliegen darüber freuen, dass die Pflicht nicht greift, wenn „weniger als 250 Beschäftigte“ in dem arbeiten Unternehmen ist leider zu früh, um sich zu freuen

Dies gilt nur, wenn die Verarbeitung „nur gelegentlich“ erfolgt und Daten aus den besonderen Kategorien des Art

9 Abs

1 DSGVO werden niemals verarbeitet (z

B

Gesundheitsdaten)

Aber was bedeutet „gelegentlich“ in diesem Zusammenhang? Die „nicht nur gelegentliche“ Verarbeitung von Daten ist in der heutigen Zeit der absolute Normalfall

Handwerker haben Websites, handhaben Kundentelefonnummern auf Smartphones, selbst kleine Produktionsbetriebe haben ihre Mitarbeiterdaten mittlerweile in elektronischen Akten und wickeln ihre Geschäfte per E-Mail ab

All dies ist mehr als nur eine „gelegentliche“ Datenverarbeitung, sodass auch in kleinen Unternehmen regelmäßig eine VVT ​​erstellt werden muss

Jeder, der es mit besonders geschützten Daten zu tun hat, etwa ein Pflegedienst, der Gesundheitsdaten speichert, oder eine kleine Beratungsstelle, die etwa in Diskriminierungsfällen auch schnell Informationen zur ethnischen Herkunft oder Weltanschauung verarbeitet

Werden besondere Kategorien von Daten verarbeitet, muss immer ein Verarbeitungsverzeichnis erstellt werden, unabhängig davon, wie „gelegentlich“ eine Verarbeitung erfolgt oder wie viele Mitarbeiter es gibt

Wer führt das Verarbeitungsverzeichnis im Unternehmen?

Für die Pflege und Erstellung des Verarbeitungsverzeichnisses ist der Verantwortliche persönlich verantwortlich

Dies ist regelmäßig der Inhaber oder gesetzliche Vertreter eines Unternehmens

Bei Unternehmen außerhalb der EU ist dies deren benannter Vertreter in der EU

Wie bei allen Datenschutzfragen sollte natürlich der betriebliche Datenschutzbeauftragte mit Rat und Tat zur Seite stehen

Die Verantwortung liegt jedoch bei der Geschäftsführung, also dem Geschäftsführer oder Inhaber

Die Inhalte des Verzeichnisses, also welche Daten in den einzelnen Abteilungen eines Unternehmens wie verarbeitet werden, müssen von den einzelnen Abteilungen bereitgestellt werden

Außerhalb der Abteilung fehlt es oft einfach an Detailkenntnissen, wie hier gearbeitet wird

Das Bearbeitungsverzeichnis ist also ein To-do für das gesamte Unternehmen

Was gehört in ein Verzeichnis der Verarbeitungstätigkeiten?

Der Inhalt des Verzeichnisses der Verarbeitungstätigkeiten ist in Art

30 Abs

1 dargestellt, hier sind insbesondere die Pflichtangaben aufgeführt

Die VVT ​​ist „schriftlich“ zu führen, es reicht aber auch eine digitale Version

Wie detailliert das Verarbeitungsverzeichnis sein muss, hängt davon ab, wie komplex das Unternehmen ist und wie viele verschiedene Verarbeitungsarten es gibt

Wo bereits Konzepte und Prozessbeschreibungen (z

B

für TOMs) vorhanden sind, müssen diese nicht dupliziert werden, sondern können beigefügt oder referenziert werden

Die Pflichtangaben sind:

Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten

Verarbeitungszwecke,

Beschreibung der Kategorien betroffener Personen und betroffener Daten,

Kategorien von Empfängern von Datenübermittlungen

Offenlegung aller Datenübermittlungen in Drittländer (außerhalb der EU) einschließlich aller dafür erforderlichen Garantien

Soweit möglich, die vorgesehenen Löschfristen für die Daten

Beschreibung der allgemeinen technischen und organisatorischen Maßnahmen

Was sind Verarbeitungstätigkeiten im Sinne der DSGVO? Die Verarbeitungstätigkeit unterscheidet sich von der Datenverarbeitung, sie ist weiter gefasst: Als Verarbeitungstätigkeit gilt jede Datenverarbeitung, die zu einem bestimmten Zweck erfolgt

Bei einer sehr kleinen Organisationseinheit kann dies auch bedeuten, dass beispielsweise die Personalabteilung als eine Verarbeitungstätigkeit zusammengefasst werden kann

In größeren Unternehmen sind damit meist einzelne Vorgänge gemeint, die zu einem bestimmten Zweck stattfinden, wobei auch mehrere Datenverarbeitungen stattfinden können

Verarbeitungsliste: Tipps zur Umsetzung

Liegt bisher keine datenschutzrechtliche Dokumentation vor, muss zunächst festgestellt werden, in welchen Fällen personenbezogene Daten beispielsweise von Kunden, Lieferanten oder Mitarbeitern erhoben und verarbeitet werden

Als erster Anhaltspunkt sollen hier alle im Unternehmen genutzten Anwendungen und Tools aufgelistet werden, in denen personenbezogene Daten gespeichert werden

Dies hilft auch, die Datenflüsse im Unternehmen zu ermitteln (Datenmapping)

Wenn Sie besonders viele miteinander verknüpfte Datenflüsse haben, können Sie diese zur besseren Übersicht in Datenflussdiagrammen darstellen

Diese Informationen dienen dann auch als Grundlage für das Verzeichnis der Verarbeitungstätigkeiten

In der Praxis wird dies der Übersichtlichkeit halber meist aus mehreren Verzeichnissen für verschiedene Verarbeitungstätigkeiten bestehen (z

B

Zeiterfassungssystem, CRM-System, Personalinformationssystem).

Wie detailliert das Ganze sein muss, ist umstritten

In der Praxis haben sehr kleine Unternehmen oft nur bis zu 10 Einträge im Verarbeitungsverzeichnis

In mittelständischen Unternehmen können das schnell 30 oder 40 Verarbeitungstätigkeiten umfassen

Das hängt auch davon ab, wie viele Prozesse digitalisiert werden und ob viele verschiedene Tools zum Einsatz kommen

In sehr großen Unternehmen sind 100 oder mehr Einträge möglich

Allerdings ist hier aufgrund des großen Angriffsfeldes für Beschwerden und Kontrollen durch Aufsichtsbehörden eine gute Dokumentation besonders wichtig

Für einen vertiefenden Einstieg bieten sich die GDD-Praxishilfe und der Bitkom-Leitfaden zum Verzeichnis der Verarbeitungstätigkeiten an

■ Was sind die Empfehlungen der Datenschutzaufsichtsbehörden?

Verarbeitet das Unternehmen besonders kritische oder besonders große Datenmengen, sollte neben der bloßen Auflistung der Verarbeitungstätigkeiten auch eine Dokumentation der internen Rechtmäßigkeitsprüfungen hinsichtlich der Verarbeitungstätigkeiten in Erwägung gezogen werden

Es wurden auch andere Schutzmaßnahmen für die betroffenen Datenverarbeitungstätigkeiten getroffen

Insgesamt dient das Verarbeitungsverzeichnis dazu, gegenüber der Aufsichtsbehörde nachzuweisen, dass im Unternehmen Datenschutzmaßnahmen eingeführt und eingehalten wurden

Diese zusätzlichen Informationen können weiteren Prüfungen und Fragen der Aufsichtsbehörden vorgreifen

Beispiele und Vorlagen für die Bearbeitung von Datensätzen

Die Pflichtangaben, die für jede Verarbeitungstätigkeit im VVT aufgeführt werden müssen, lassen sich nur umständlich aus dem Text der Verordnung ablesen

Mit einer Mustervorlage für ein Verzeichnis der Verarbeitungstätigkeiten lässt sich das Ganze auch von Verantwortlichen ohne große Rechtsabteilung managen

Auch wer als Auftragsverarbeiter tätig ist, muss etwas andere Pflichtangaben machen als ein Verantwortlicher

Es gibt eine Vielzahl von Vorlagen von Aufsichtsbehörden, darunter kostenlose Vorlagen für Vereine, Handwerksbetriebe, Arztpraxen, Onlineshops, Autowerkstätten, Beherbergungsbetriebe wie Hotels oder Ferienwohnungen, aber auch für WEG-Verwaltungen

Bearbeitung erstellen und pflegen Verzeichnis mit Software

Eine Alternative zu den Vorlagen, die auch auf Papier und handschriftlich ausgefüllt werden können, ist eine Datenschutzmanagement-Software

Auch bei diesen werden die Verarbeitungstätigkeiten nach den Pflichtangaben eingetragen, hier besteht aber auch die Möglichkeit, Textbausteine ​​zu verwenden

Die digitale Struktur erleichtert das Suchen, Gruppieren und Sortieren gerade bei längeren Bearbeitungsverzeichnissen

Wird im Unternehmen überwiegend digital gearbeitet, ist diese Handhabung unter Umständen auch einfacher zu handhaben als Eingaben in einem PDF, Excel-Sheet oder Word-Dokument

Bußgelder für unzureichende oder fehlende Verarbeitungsnachweise

Wird auf Verlangen einer Aufsichtsbehörde kein Verarbeitungsverzeichnis vorgelegt, droht ein Bußgeld, Art

83 Abs

4a DSGVO

Der rechtliche Rahmen der Bußgelder ist wie der übliche Rahmen der DSGVO: Bis zu 10 Millionen Euro oder bis zu 2 % des Jahresumsatzes für Unternehmen sind möglich

Im September 2021 verhängte die italienische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 800.000 Euro, weil die mit der Bereitstellung von Parkuhren betrauten Betreibergesellschaften völlig chaotische Datenflüsse hatten und zudem keine Verarbeitungsverzeichnisse vorlegen konnten

Schritt für Schritt mit der Auflistung der Verarbeitungstätigkeiten beginnen Schritt

Das Verarbeitungsregister klingt zunächst nach einer Mammutaufgabe, aber wenn Sie sich einmal damit beschäftigt haben, werden Sie auch diesen einschüchternden Teil der Dokumentationspflicht bewältigen können

Jeder weg beginnt mit dem ersten Schritt

Sich als stetiger Gang durch alle Abteilungen an das Bearbeitungsregister heranzutasten, führt eher zum Erfolg, als im Ernstfall hektisch sprinten zu müssen, nachdem die Aufsichtsbehörde bereits mit Bußgeldern droht

Ein Datenschutzmanagementsystem hilft hier sehr, um richtig zu strukturieren und einen sauberen Rahmen zu haben

Wer keine verwenden kann oder will, kann auch die Vorlagen nutzen, um die Informationsflut in den Griff zu bekommen

Einmal angelegt, ist die weitere Pflege bei Veränderungen im Unternehmen kein großes Thema mehr – und alle späteren Datenschutzthemen sind einfacher zu handhaben!

-Wie füllt man das Excel-Sheet für die Verfahrensverzeichnisse aus? Erklärungsvideo zur DSGVO Update

Video unten ansehen

Weitere Informationen zum Thema dsgvo verarbeitungsverzeichnis muster excel

dsgvo verarbeitungsverzeichnis muster excel Einige Bilder im Thema

 New  -Wie füllt man das Excel-Sheet für die Verfahrensverzeichnisse aus? Erklärungsvideo zur DSGVO
-Wie füllt man das Excel-Sheet für die Verfahrensverzeichnisse aus? Erklärungsvideo zur DSGVO Update

Weitere Informationen zum Thema anzeigen dsgvo verarbeitungsverzeichnis muster excel

Updating

Suche zum Thema dsgvo verarbeitungsverzeichnis muster excel

Updating

Danke dass Sie sich dieses Thema angesehen haben dsgvo verarbeitungsverzeichnis muster excel

Articles compiled by Msi-thailand.com. See more articles in category: Blog

Leave a Comment