You are viewing this post: Best dsgvo verarbeitungsverzeichnis muster excel New Update
Neues Update zum Thema dsgvo verarbeitungsverzeichnis muster excel
Table of Contents
Datenschutz-Folgenabschätzung (DSFA) mit Muster nach Art. 35 DSGVO | Datenbeschützerin Regina Stoiber New Update
5/5/2019 · Muster Datenschutz-Folgenabschätzung in Excel Wie versprochen erhalten Sie mit diesem Beitrag ein kostenloses Muster in Excel für eine Datenschutz-Folgenabschätzung. Zudem erhalten Sie die Schwellwertanalyse ebenfalls als …
Read more
Datenschutz-Folgenabschätzung (DSFA) mit Vorlage nach Art
35 DSGVO Datenschutz, Risikomanagement 7 Kommentare
Wirklich „getraut“ haben sich bisher nur wenige an eine Datenschutz-Folgenabschätzung (DSFA) nach Art
35 DSGVO
Auch die Informationen, die man darüber finden kann, sind äußerst dürftig – zumindest wirklich gute
Wir haben uns intensiv mit dem Thema DSFA auseinandergesetzt
Die Erkenntnisse, Vorgehensweisen und Empfehlungen fasse ich (hoffentlich vertraut 🙂 ) kompakt und verständlich zusammen
Es gibt nicht den einen, den richtigen oder falschen Weg, eine Datenschutz-Folgenabschätzung durchzuführen
Neben der DSGVO gibt es sogar einen internationalen ISO-Standard
Die ISO/IEC 29134 (Guideline for privacy impact assessment) gibt dafür ein Regelwerk vor
Für unsere Leser und Kunden ist es mir wichtig, eine Lösung vorzustellen, die den gesetzlichen Anforderungen entspricht, aber auch praxisorientiert und umsetzbar ist
Exkurs Risikomanagement
Bevor wir uns im Detail mit DSFA befassen, ist es unerlässlich, die Grundpfeiler der Risikoanalyse zu verstehen
Die Datenschutz-Folgenabschätzung ist nichts anderes als eine Risikoabschätzung
An dieser Stelle möchte ich kurz auf die Grundlagen eingehen
Eine ausführliche Beschreibung finden Sie im Artikel Risikoanalyse durchführen
Definition von Risiko
Bei der Risikodefinition orientiere ich mich an der gängigen Norm, die sich auch in der Norm ISO 31000 wiederfindet
Ein Risiko ist definiert:
Risiko = Schaden x Eintrittswahrscheinlichkeit
Eine wichtige Voraussetzung bei der Durchführung von Gefährdungsbeurteilungen – ob DSFA, Gefährdungsbeurteilung, medizinische oder andere Risiken – ist die Systematik und Reproduzierbarkeit
Das heißt, wenn zwei Personen mit gleichem Wissen das gleiche Risiko einschätzen würden, müssten sie zum gleichen Ergebnis kommen
Schwierig wird dies bei der obigen Definition von Schaden und Eintrittswahrscheinlichkeit
Die Personen, die Risiken bewerten, müssen daher unterstützt werden
Üblicherweise werden Klassen verwendet, um Schäden und die Eintrittswahrscheinlichkeit zu bewerten
Diese Klassen müssen wiederum so beschrieben werden, dass klar ist, was damit gemeint ist
Ein detailliertes Beispiel finden Sie im Artikel zur Risikoanalyse
Vorläufige Definitionen der Datenschutz-Folgenabschätzung
Wie eben erwähnt, muss man sich überlegen, wie man Schaden und Eintrittswahrscheinlichkeit konkret definiert, bevor man mit der Erfassung möglicher Risikoszenarien beginnt
Aber ich bin nicht wirklich glücklich damit
Die Eintrittswahrscheinlichkeiten sind nicht konkret formuliert
Bei den möglichen Schadenskategorien werden zudem Schaden und Ursache in einen Topf geworfen
Die unbefugte Entfernung der Pseudonymisierung ist nach meinem Verständnis kein Schaden, sondern eine Ursache, die zu einem Schaden führen kann (zB Diskriminierung, Identitätsdiebstahl…)
Aus diesem Grund versuche ich, den Empfehlungen des Landesamtes für Datenschutz und der DSK zu folgen, passe sie aber an der einen oder anderen Stelle ein wenig an
WICHTIG! Die folgenden Schadensklassen und Eintrittswahrscheinlichkeiten sind rein beispielhaft
Prüfen Sie, ob diese für Sie überhaupt sinnvoll sind und passen Sie die Definitionen an
Schadenskategorien
Die Vorgaben des Landesamtes für Datenschutz finde ich größtenteils sehr gut und übernehme sie an dieser Stelle
Die Liste ist erweiterbar, gibt aber einen guten Anfang
Diskriminierung
Identitätsdiebstahl
Lebensgefahr
existenzielle Bedrohung
Finanzielle Schäden
Rufschädigung
Exposition
Verlust des Arbeitsplatzes
geheime Offenbarung
soziale Benachteiligung
wirtschaftliche Nachteile
…
andere Schadenskategorien möglich
Definition von Schadensklassen
Damit wir jedoch einschätzen können, wann der Schaden für die betroffene Person gering oder hoch ist, bedarf es weiterer Kriterien
Sie können diese Kriterien natürlich auch anders einordnen
Sehen Sie es einfach als Umsetzungsvorschlag und passen Sie es an Ihre Bedürfnisse an – wie oben erwähnt.
gering beherrschbar erheblich hoch Diskriminierung Benachteiligung des Betroffenen in einem Teil seines Lebens (zB Job durch Kollegen) Benachteiligung des Betroffenen im gesamten Lebensbereich Umgebung
Identitätsdiebstahl Identitätsdiebstahl Lebensgefahr Existenzgefährdung Existenzgefährdung Existenzieller Vermögensschaden im Rahmen eines Monatsgehalts im Rahmen mehrerer Monatsgehälter im Rahmen eines Jahresgehalts Verlust aller persönlichen Vermögensgegenstände (auch Immobilien etc.) Reputationsschaden Reputationsschaden des Betroffenen in einem Teil seines Lebens (z
B
am Arbeitsplatz) Reputationsschaden des Betroffenen im gesamten Lebensumfeld
Exposition des Betroffenen in einem Teil seines Lebens (z
B
bei der Arbeit) Exposition des Betroffenen im gesamten Lebensumfeld
Verlust des Arbeitsplatzes Verlust des Arbeitsplatzes Geheimnisse preisgeben Das Aufdecken von Geheimnissen hat Auswirkungen auf einen Teil des Lebens der betroffenen Person
Die Enthüllung von Geheimnissen wirkt sich auf das gesamte Leben der betroffenen Person aus
Soziale oder wirtschaftliche Benachteiligung Keine oder sehr geringe Auswirkungen auf das tägliche Leben Auswirkungen sind für die Betroffenen spürbar und führen zu geringfügigen Einschränkungen/Nachteilen
Auswirkungen haben Nachteile für die Betroffenen im Alltag
Auswirkungen haben große Nachteile für die Betroffenen und ggf
für ihr persönliches Umfeld (z
B
Familie)
Definition der Eintrittswahrscheinlichkeit
In diesem Fall nenne ich die Klassen, wie es in der Risikoanalyse üblich ist, niedrig bis sehr hoch
Den Namen können Sie selbstverständlich frei wählen:
Eintrittswahrscheinlichkeit Schätzung für die Zukunft Betrachtet man die Vergangenheit gering Vorfall tritt frühestens in 6 Jahren oder später auf Ein Vorfall ist noch nie aufgetreten oder ist vor mehr als 6 Jahren aufgetreten Mittel Vorfall tritt in den nächsten 4-6 Jahren auf Ein Vorfall ist passiert in den letzten 4-6 Jahren hohe Vorfälle treten in den nächsten 1-3 Jahren auf Vorfälle sind in den letzten 1-3 Jahren aufgetreten sehr hohe Vorfälle treten im nächsten Jahr auf Vorfälle sind im letzten Jahr aufgetreten
Definition von Risikoklassen
Das Risiko ergibt sich aus der Schadensklasse und der Klasse für die Eintrittswahrscheinlichkeit
Damit wir einen Risikowert berechnen können, hinterlegen wir für jede Klasse einen mathematischen Wert
Dieser Wert ist frei wählbar und kann genauso gut 10, 15, 20 oder 100, 200, 300 betragen
Uns geht es nur darum, das Risiko einfach kalkulieren zu können
Wann liegt ein Risiko vor? Vor der Durchführung der DSFA ist es wichtig zu definieren, wann ein Risiko wirklich ein Risiko darstellt
Es sollte klar sein, welches Risiko behandelt werden muss
In unserem Beispiel definieren wir, dass Risiken bis zu einem Wert von 3 automatisch akzeptiert werden
So werden beispielsweise Risiken mit geringem Schadensausmaß und maximal hoher Eintrittswahrscheinlichkeit akzeptiert (siehe Grafik unten)
Risiken mit Werten zwischen 4 und 8 stufen wir als mittlere Risiken ein, die einer Risikobehandlung bedürfen
Alle hohen Risiken mit einem Wert größer 8 müssen behandelt werden
Mehr Grundlagen zur Risikobehandlung finden Sie im Blogbeitrag zur Risikoanalyse
Risikomatrix mit Risikoakzeptanzgrad für die Datenschutz-Folgenabschätzung Vorarbeit
Beginnen wir endlich mit der eigentlichen Datenschutz-Folgenabschätzung
Ausgangspunkt Liste der Verfahren
Bevor das Thema DSFA überhaupt aufkommt, muss ein Verfahren zunächst in der Verfahrensübersicht beschrieben werden
Je besser die Dokumentation bereits in der Verfahrensbeschreibung ist, desto mehr Arbeit wird bei der Durchführung der DSFA eingespart
Überschneidung von Verfahrensverzeichnis und DSFA
Art
35 Abs
7 lit
a DSGVO erfordert eine systematische Beschreibung der geplanten Verarbeitungsvorgänge, des Zwecks und ggf
der berechtigten Interessen des Verantwortlichen
Art
35 Abs
7 lit
b DSGVO ergänzt die Anforderung um eine Bewertung der Erforderlichkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge im Verhältnis zum Zweck
Der erfahrene Ersteller eines Verfahrensverzeichnisses freut sich: „Das haben wir alles schon im Verarbeitungsverzeichnis beschrieben.“ Okay, die Beurteilung der Erforderlichkeit und Verhältnismäßigkeit ist vielleicht nicht so detailliert beschrieben, aber das können Sie im Einzelfall zur Zweckbeschreibung hinzufügen, wenn es zu einer DSFA kommen sollte
Von der Verfahrensliste zur DSFA springen
Da es unser Ziel ist, redundante (d
h
doppelte) Daten bei der DSFA zu vermeiden, verknüpfen wir das Verfahrensverzeichnis gleich mit der DSFA
Das bedeutet, dass in der beigefügten Excel-Vorlage die Datenschutz-Folgenabschätzung ein separates Tabellenblatt in der Liste der Verfahren ist
Wie wird die „Schwelle“ ermittelt, ab der eine Datenschutz-Folgenabschätzung überhaupt erforderlich ist? Aus meiner Sicht ist das eigentlich der schwierigste Punkt
Nach mehreren Gesprächen mit Experten und den Behörden hat mein Vorschlag nun zwei Stufen
Schwellenanalyse zur Datenschutz-Folgenabschätzung
Schwellenanalyse Schritt 1 – Schaden
Bisher haben wir das Verfahren im Verfahrensverzeichnis beschrieben und so gut wie möglich dokumentiert
An dieser Stelle beschäftigen wir uns nun mit den möglichen Schäden im Verfahrensverzeichnis, die für die Betroffenen möglicherweise bestehen könnten
Uns interessiert hier (mit Blick auf die DSFA) eigentlich nur, ob von dem Verfahren ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ausgeht.
Der potenzielle Schaden muss hoch sein, die Eintrittswahrscheinlichkeit ebenfalls
Aus dieser Kombination ergibt sich nun ein hohes Risiko für den Betroffenen, entsprechend hoher Schaden und hohe Eintrittswahrscheinlichkeit
Hinsichtlich des Musters am Ende dieses Artikels müssen Sie abwägen, ob ein hoher Schaden für den Betroffenen überhaupt möglich ist
In der Stichprobe unterscheide ich noch zwischen „erheblichen“ und „hohen“ Schäden
Dabei stütze ich mich auf die oben beschriebenen Schadensklassen
Wenn Sie möglicherweise einen hohen oder erheblichen Schaden in Betracht ziehen, müssen Sie sich Gedanken über die Eintrittswahrscheinlichkeit machen
Wie wir wissen, besteht bei einer geringen Eintrittswahrscheinlichkeit kein hohes Risiko
Die genannten Klassen für die Eintrittswahrscheinlichkeit stehen wieder in der Vorlage zur Verfügung
Sie haben nun festgestellt, ob ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht
Wenn ja, ist der zweite Schritt die Schwellenanalyse
Falls nicht, haben wir das Verfahren um wichtige Hinweise ergänzt und können damit jederzeit begründen, warum wir keine Datenschutz-Folgenabschätzung durchgeführt haben
Erwägungsgrund 91 listet sehr genau auf, wann eine DSFA durchgeführt werden muss
An dieser Stelle haben wir bereits die erste Voraussetzung erfüllt, dass ein hohes Risiko für die betroffene Person bestehen muss
Die weiteren Bewertungskriterien lassen sich in vier Hauptpunkte unterteilen.
Besonderheiten der Verarbeitung Die Verarbeitung einer großen Menge personenbezogener Daten Die Verarbeitung betrifft oder kann eine große Anzahl von Personen betreffen Einsatz neuer Technologien in großem Umfang Die Verarbeitung erschwert es den betroffenen Personen, ihre Rechte wahrzunehmen Die Verarbeitung erschwert oder verhindert die Daten von der Inanspruchnahme einer Dienstleistung oder Vertragserfüllung betroffene Person Verarbeitung von Daten schutzbedürftiger Personen Automatisierte Entscheidungsfindung in Bezug auf natürliche Personen durch systematische und eingehende Bewertung persönlicher Aspekte natürlicher Personen auf der Grundlage von Profiling personenbezogener Daten durch Verarbeitung besonderer Kategorien personenbezogener Daten durch Verarbeitung biometrischer Daten durch Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten sowie damit zusammenhängende Sicherheitsmaßnahmen Überwachung von Bereichen Umfangreiche Überwachung öffentlich zugänglicher Bereiche e (mittels optoelektronischer Geräte) Einschätzung der Aufsichtsbehörde Die zuständige Aufsichtsbehörde hat veröffentlicht das Verfahren bei der DSFA Schwarze Liste
Wenn Sie mindestens einen dieser vier Punkte mit „ja“ oder „trifft zu“ beantworten können, empfehle ich Ihnen, eine Datenschutz-Folgenabschätzung durchzuführen
Laut einer telefonischen Stellungnahme der bayerischen Aufsichtsbehörde ist Punkt 4 „Schwarze Liste der Aufsichtsbehörde“ allein keine zwingende Voraussetzung für die Durchführung einer Datenschutz-Folgenabschätzung
Ihr muss immer ein hohes Risiko für die Betroffenen vorausgegangen sein
Aber das haben wir in diesem Fall, denn sonst wären Sie nicht auf Schritt 2 der DSFA-Relevanz gegangen
Vorteil dieser 2-stufigen Schwellenanalyse
Was mir an dieser 2-stufigen Lösung – ohne Eigenlob – gefällt, ist die Nachvollziehbarkeit und die durchgängig systematische Vorgehensweise
Jeder noch so triviale Eingriff wird der Risikobewertung in Bezug auf ein hohes Risiko unterzogen
Damit entfällt eine „händische“ Vorauswahl ohne nachvollziehbare und dokumentierte Entscheidung
Für jedes Verfahren gelten die gleichen Bewertungsregeln
Um Aufwand zu sparen, gehen Sie nur dann in den zweiten Schritt der Schwellwertanalyse, wenn Sie im Verfahrensverzeichnis ein hohes Risiko nachweisen können
Für alle anderen Verfahren entfällt die Prüfung der Notwendigkeit einer Datenschutz-Folgenabschätzung
Durchführung einer Datenschutz-Folgenabschätzung mit Vorlage
Wie bereits erwähnt, handelt es sich bei der DSFA um eine detaillierte Risikoanalyse
Es ist eigentlich eine nette Sache, wenn man sich einmal mit der Risikoanalyse vertraut gemacht hat
Ich bin jedenfalls ein Fan davon.
Im Folgenden beschreibe ich, was ich für nützliche Informationen für eine gute Risikoanalyse halte.
Das folgende Vorgehen orientiert sich an der ISO 31000 und findet sich auch in der ISO 27001 wieder
Mit der DSFA kann es inhaltlich komplex werden
Planen Sie ein Team, das die Risiken identifiziert, analysiert und bewertet
Du solltest das nicht alleine machen
Das Ergebnis kann nur dann qualitativ hochwertig sein, wenn Sie von allen Beteiligten den nötigen fachlichen Input einfordern
Informationen aus dem Verfahrensverzeichnis
Wie bereits oben erläutert, übernehmen wir die Inhalte eins zu eins aus dem Verfahrensverzeichnis
Bei Bedarf werden Anpassungen direkt im Verfahrensverzeichnis vorgenommen
Hinweise zur Excel-Vorlage:
Für die beigefügte Excel-Vorlage bedeutet dies, dass Sie mit folgendem Befehl auf den Inhalt der Prozedur zugreifen:
=Prozedurenverzeichnis!D3
In diesem Fall steht D3 für Spalte D3
Wenn sich die Prozedur in einer Zeile befindet, ersetzen Sie die 3 durch die entsprechende Zeilennummer
In Spalte D finden Sie den Verfahrensnamen, in Spalte E die Beschreibung, in Spalte F die Legalität
Die Personengruppen finden sich in Spalte I und die Datenkategorien in Spalte J.
Einige Pflichtangaben für die Datenschutz-Folgenabschätzung können direkt aus der Verfahrensliste entnommen werden
Beschreibung des Risikoszenarios
Zunächst einmal: Eine Datenschutz-Folgenabschätzung hat wahrscheinlich mehr als nur ein Risikoszenario, das bewertet wird
Daher müssen die folgenden Felder für jedes Szenario ausgefüllt werden
Aber was ist ein Risikoszenario?
Eine einfache Frage, die in der Praxis gar nicht so trivial zu beantworten ist
Ein Risikoszenario besteht aus mehreren Informationen
Dabei geht es nicht nur um das Szenario selbst, also den Vorfall (z
B
Erdbeben), sondern auch darum, was dieser Vorfall letztlich auslösen kann
Aber dazu in den folgenden Absätzen ausführlicher.
Beschreibung eines möglichen Vorfalls
Was ist das Schlimmste, was passieren kann? Dies wäre beispielsweise der Ausfall des IT-Systems, in dem personenbezogene Daten gespeichert sind
Dies ist der Incident oder nach ITIL der Incident oder Security Incident
Aus meiner Erfahrung bei der Durchführung von Risikoanalysen hören viele an diesem Punkt auf
Das ist aus meiner Sicht kein Risiko
Zum Risiko wird es erst mit der Aussage: “…führt zu”
Beschreibung des Schadens
Der Ausfall eines IT-Systems allein führt nicht zwangsläufig zu einem Schaden
Vergleichen wir es mit dem Ausfall eines IT-Systems für die Lohnbuchhaltung
Ein Ausfall wäre für die meisten Unternehmen 15 Tage im Monat kein Problem
Ein Schaden entsteht nur, wenn es an den anderen Tagen ausfällt, an denen die Personalabteilung die Gehaltsabrechnung bearbeiten möchte
Das heißt, um Schäden überhaupt greifbar zu machen, empfehle ich Ihnen, sich Gedanken über die „…führt zu“ zu machen
Wozu kann der Ausfall des IT-Systems führen? Welcher Schaden könnte dem Betroffenen dadurch entstehen? Betrachten wir ein Krankenhaus, würde ein Ausfall des IT-Systems bedeuten, dass die Patienten nicht mehr richtig versorgt werden könnten
Grund für das Auftreten des Vorfalls
Das sind Informationen, die Sie in vielen Risikoanalysen nicht finden werden
Aber ich finde sie sehr wichtig und hilfreich für das Verständnis des Szenarios und für mögliche Maßnahmen
Aber was ist die Ursache / der Grund / die Schwachstelle? Wie kann dieser Vorfall überhaupt passieren? Betrachten wir den Ausfall des IT-Systems noch einmal, kommen wir schnell zu der Erkenntnis, dass ein Ausfall des IT-Systems viele Gründe haben kann
Es kann daran liegen, dass im Rechenzentrum der Strom ausgefallen ist
Es könnte sich genauso gut um einen technischen Defekt am Server handeln
Jeder dieser Gründe muss wahrscheinlich mit unterschiedlichen Maßnahmen angegangen werden
Für unsere Datenschutz-Folgenabschätzung in Excel bedeutet das, dass wir dieses Szenario (Ausfall des IT-Systems) in eine neue Zeile kopieren, bis wir alle Ursachen ermittelt haben
Begutachtung des Schadens
Nur mit einer konkreten Beschreibung dessen, wozu der potenzielle Vorfall tatsächlich führen könnte, lässt sich der Schaden beziffern
Schauen wir uns noch einmal das Krankenhaus an, dessen IT-System ausfällt und die Patientenversorgung dadurch beeinträchtigt wird
Die Patientenversorgung wäre dann der zu bewertende potenzielle Schaden
Das Krankenhaus ist ein gutes Beispiel
Ein IT-System wird sicher nicht eingeführt, ohne vorher über grundlegende Schutzmaßnahmen hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität nachzudenken
Das bedeutet, dass in den meisten Fällen bereits Maßnahmen greifen, um den Schaden oder die potenzielle Eintrittswahrscheinlichkeit zu reduzieren
Natürlich sollten Sie auch diese bestehenden Maßnahmen in die Schadensbeurteilung einbeziehen
Schon vor Durchführung der DSFA haben wir Schadensklassen vorbildlich definiert
Auf diese beziehen wir uns jetzt.
Lebensgefahr ist in unserer Tabelle mit einem „hohen“ Schaden gekennzeichnet
Auch das wollen wir übernehmen
Eintrittswahrscheinlichkeit
Die Einschätzung der Eintrittswahrscheinlichkeit bezieht sich in der Regel auf die Ursache, die wir glücklicherweise explizit berücksichtigt haben
Das bedeutet aber auch, dass jede Ursache eine andere Eintrittswahrscheinlichkeit haben kann
Die Ermittlung dieser Eintrittswahrscheinlichkeit ist ein bisschen wie der Blick in eine Glaskugel
Manchmal ist es hilfreich, einen Blick auf die letzten Ereignisse zu werfen
Wie bei der Schadensbewertung sollten auch bestehende Schutzmaßnahmen in die Bewertung der Eintrittswahrscheinlichkeit einbezogen werden
Ein hochverfügbares System, verteilt auf zwei örtlich getrennte Rechenzentren, reduziert natürlich die Wahrscheinlichkeit eines Komplettausfalls des IT-Service
Die Wahrscheinlichkeit eines Stromausfalls, der zum Ausfall des IT-Systems führt, setzen wir auf „mittel“
Es gibt eine redundante Stromversorgung in zwei getrennten Stromkreisen, wodurch Ausfallzeiten minimiert werden
Weitere Daten zur Datenschutz-Folgenabschätzung
Jetzt konnten wir das Risiko bereits berechnen
Wir haben den Schaden bewertet und über die Eintrittswahrscheinlichkeit nachgedacht
Auch Art
35 DSGVO möchte wissen, ob Verhaltensregeln nach Art
40 bestehen und wenn ja, ob diese auch eingehalten werden
Ich denke, in den meisten Fällen gibt es noch keine behördlich genehmigten Verhaltenskodizes
Daher entfällt dieser Punkt wohl bei den meisten
Der Vollständigkeit halber möchte ich es aber erwähnen und in die Vorlage aufnehmen
Letztlich sind implementierte Verhaltensregeln nichts anderes als Schutzmaßnahmen
Dadurch wird entweder das Schadenspotenzial oder die Eintrittswahrscheinlichkeit reduziert
Dieser Wert sollte also eigentlich indirekt in die Bewertung einfließen
Mein Muster im Anhang enthält auch zwei Felder „Vertraulichkeit/Integrität“ und „Verfügbarkeit“
Das geht sogar in Richtung ISO 27001, hilft aber auch bei der Einordnung des Risikoszenarios
Aber im ersten Schritt ist es eher “nice to have”
Wichtiger ist mir zu erwähnen, dass Sie im Falle eines Verfügbarkeitsrisikos in der Szenariobeschreibung angeben, wie lange der von Ihnen bewertete Ausfall andauern wird
Der größtmögliche Schaden hängt stark von der Dauer der Ausfallzeit ab
Möglicherweise müssen Sie sogar häufiger ein Ausfallszenario mit unterschiedlichen Ausfallzeiten berücksichtigen
Risiko-Score
Endlich haben wir alle Daten zusammen
Da wir vorher ordentlich gearbeitet und unsere Vorarbeit gut gemacht haben, wird das Risiko nun quasi automatisch anhand der Risikomatrix ermittelt
Je nach Schadensklasse und gewählter Eintrittswahrscheinlichkeit ergibt sich ein Wert für das Risiko
Risikoergebnis einer Datenschutz-Folgenabschätzung durch Bewertung des Schadens und der Eintrittswahrscheinlichkeit
Es gibt keine Verhaltensregeln und sind daher nicht anwendbar.
In unserem Beispiel aus dem Bild besteht ein „rotes“ Risiko aufgrund eines erheblichen Schadenspotenzials und einer hohen Eintrittswahrscheinlichkeit, die wir als hoch definiert haben.
Risikobehandlung in die Datenschutz-Folgenabschätzung
Das bedeutet, dass wir für dieses Szenario eine Risikobehandlung durchführen müssen
Nur zur Wiederholung: Wie kann eine Risikobehandlung aussehen (Details siehe Blogbeitrag Risikoanalyse)
Minimieren: Indem durch zusätzliche Maßnahmen entweder das Schadenspotenzial oder die Eintrittswahrscheinlichkeit reduziert wird
: Indem entweder der potenzielle Schaden oder die Eintrittswahrscheinlichkeit durch zusätzliche Maßnahmen reduziert werden Beseitigen : Vollständiges Vermeiden des Eintretens des Szenarios.
: Das Auftreten des Szenarios vollständig vermeiden
Übertragung : Übertragung des Risikos auf eine andere Person (z
B
Versicherungsunternehmen)
Ob dies jedoch bei der Verarbeitung personenbezogener Daten sinnvoll ist, bezweifle ich
Aber der Vollständigkeit halber erwähne ich diese Möglichkeit der Risikobehandlung hier
In Bezug auf die personenbezogenen Daten und die Person dahinter ist sehr genau abzuwägen, ob die Übertragung des Risikos die betroffene Person schützt
Ob dies jedoch bei der Verarbeitung personenbezogener Daten sinnvoll ist, bezweifle ich
Aber der Vollständigkeit halber erwähne ich diese Möglichkeit der Risikobehandlung hier
In Bezug auf die personenbezogenen Daten und die Person dahinter ist sehr genau abzuwägen, ob der Gefahrenübergang den Betroffenen schützt
Akzeptieren : Arbeitet im allgemeinen Risikomanagement, aber nicht in DSFA
Die Erwägungsgründe 90 und 94 der DSGVO befassen sich nur mit Minimierung und Eindämmung
: Arbeitet im allgemeinen Risikomanagement, aber nicht in DSFA
Die Erwägungsgründe 90 und 94 der DSGVO befassen sich nur mit Minimierung und Eindämmung
Ich erwähne mal die 5
Variante „ignorieren“, die mir ein Student in der Vorlesung vorgeschlagen hat, aber „ignorieren“ 🙂
Zurück zum Beispiel Krankenhaus oben
Daraus resultierte ein hohes Risiko (erheblicher Schaden, hohe Eintrittswahrscheinlichkeit)
Jetzt ist es an der Zeit, sich um zusätzliche Schutzmaßnahmen zu kümmern
Als zusätzliche Schutzmaßnahme kann ein Notstromaggregat sinnvoll sein
Eine Maßnahme, die man sich „nebenbei“ nicht leisten kann
Es geht um Kosten, es geht um Personal und vor allem um die Reduzierung des Risikos
Aus diesem Grund muss neu bewertet werden, ob die geplante Maßnahme das Risiko überhaupt mindert
Es kann sein, dass sich dadurch der Schaden oder die Eintrittswahrscheinlichkeit verändert
Beides ist möglich
Ich empfehle Ihnen, soweit möglich, über Maßnahmen nachzudenken, BEVOR Sie das Ergebnis der Datenschutz-Folgenabschätzung mit der Geschäftsführung besprechen
Veröffentlichung der Datenschutz-Folgenabschätzung
Verantwortlich für die Verarbeitung personenbezogener Daten ist stets die Geschäftsführung
Aus diesem Grund ist es zwingend erforderlich, dass Sie die Ergebnisse mit dem Management besprechen
Da Sie sich bereits im Vorfeld Gedanken über mögliche zusätzliche Schutzmaßnahmen gemacht haben, können Sie diese auch gleich ansprechen
Genehmigung einholen oder zumindest weitere Schritte klären
Dadurch erhalten Sie konkrete Handlungsleitlinien
Vergessen Sie nicht, die Ergebnisse mit dem Management zu dokumentieren
Diese können Sie auch der Excel-Vorlage der DSFA hinzufügen
So haben Sie alle wesentlichen Informationen an einem Ort
Umsetzung der Risikobehandlungsvorschläge
Sie haben nun entschieden, wie es weitergeht
Setzen Sie die Maßnahmen um
Vergessen Sie nicht zu prüfen, ob die Maßnahmen so wirksam sind, wie Sie es erwarten
Testen Sie also die Maßnahmen und dokumentieren Sie Ihre Ergebnisse
Datenschutz-Folgenabschätzung melden
Oft liest man von einer Form der Datenschutz-Folgenabschätzungsberichterstattung
Nachdem Sie alle Punkte erledigt haben, greifen Sie ohne lange nachzudenken zum Textprogramm und schreiben alles noch einmal auf – nur in anderer Form.
Das finde ich völlig übertrieben und reine Zeit- und Ressourcenverschwendung
Nirgendwo steht geschrieben, in welcher Form dieser Bericht vorgelegt werden muss
Die nun erstellte Dokumentation ist systematisch, konsistent und vollständig
Aus meiner Sicht passieren bei diesem Ansatz nur Fehler
Sie schreiben Inhalte doppelt, haben Redundanzen und müssen bei jeder Änderung der Quelle den Textbericht anpassen
Es passiert schneller, als Sie denken, dass Sie etwas verpassen
Wo ich bei Ihnen bin, ist die Aufbereitung der Ergebnisse für das Management
Dies entspricht jedoch keinem Bericht in Textform, sondern einer kompakten Darstellung auf ein bis zwei Seiten für die GF
Aber hier sind wir meistens in einer Präsentationsform
Dies ist meines Erachtens nicht gleichbedeutend mit einem Bericht für die Datenschutz-Folgenabschätzung
Eher ein kompaktes Management Summary
Zusammengefasst: Arbeiten Sie detailliert und sauber im Verfahrensverzeichnis und der DSFA und ersparen Sie sich redundantes Abtippen für einen textlichen Bericht
Meldung an die Behörde im Falle einer Datenschutz-Folgenabschätzung
Muss jede Datenschutz-Folgenabschätzung an die Behörde weitergeleitet werden? Nein! Sie müssen sich nur dann an die Behörde wenden, wenn Sie in der DSFA hohe Risiken erkennen und diese nicht durch geeignete Maßnahmen minimieren oder beseitigen können
Gute Nachrichten, nicht wahr? Ich bin mir sicher, dass Sie hohe Risiken in den meisten Fällen durch geeignete Maßnahmen reduzieren können
Hier zahlt es sich wiederum aus, dass Sie die DSFA nicht alleine durchgeführt, sondern von Anfang an ein Team eingebunden haben
Ist die Datenschutz-Folgenabschätzung eine einmalige Sache?
Wie jede Risikoanalyse ist auch die Datenschutz-Folgenabschätzung ein iterativer Prozess
Beginnen wir am Anfang
Im Datenschutzmanagement haben Sie grundsätzlich die Aufgabe, Ihre Verfahren regelmäßig zu überprüfen
Sind die beschriebenen Vorgehensweisen noch korrekt? Werden weiterhin dieselben Anwendungen verwendet und dieselben Ressourcen benötigt? Diese Fragen müssen Sie sich regelmäßig stellen
Sie wissen, worum es geht
Ihr Verfahren, das bisher eine DSFA erforderte, muss nun erneut einer Prüfung unterzogen werden
Haben sich die Rahmenbedingungen geändert? Bestehen die Risiken noch? Aufgrund von Änderungen in den Prozessen oder in der eingesetzten Technik kann dies dazu führen, dass sich auch die Risiken in der Datenschutz-Folgenabschätzung ändern
Aus diesem Grund empfehle ich Ihnen dringend, die DSFA regelmäßig zu überprüfen
Sie werden sicher bemerken, dass ich kein konkretes Datum nenne
Muss die Überprüfung jährlich, vierteljährlich oder alle fünf Jahre erfolgen? Hier gibt es keine konkreten Richtlinien
Ich würde mit einer jährlichen Risikoüberprüfung beginnen
Je nachdem, wie agil Ihr Prozess ist, können Sie den Zyklus entweder verkürzen oder aus sehr guten Gründen verlängern
Ausschluss von der Datenschutz-Folgenabschätzung
Interessanterweise gibt es sogar einen Ausschluss von der DSFA
Die DSGVO definiert, dass eine DSFA für Ärzte und Rechtsanwälte nicht verpflichtend ist
Ein Auszug aus Erwägungsgrund 91 gibt Folgendes wieder:
„… Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich angesehen werden, wenn die Verarbeitung personenbezogene Patienten- oder Klientendaten betrifft und von einem einzelnen Arzt, anderen Angehörigen der Gesundheitsberufe oder einem Anwalt durchgeführt wird
5In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht verpflichtend sein.“ Die Einschränkung sollte jedoch sorgfältig gelesen werden
Wie immer steckt der Teufel, oder in diesem Fall die DSFA, im Detail
Aber wie immer bieten wir Ihnen sehr gerne unsere Unterstützung an
Mein Team und ich freuen uns darauf, Sie bei der DSFA oder allgemein in Sachen Datenschutz und Informationssicherheit zu unterstützen
Zum Schluss: Ihre Erfahrungen
Ich bin sicher, Sie wissen es bereits
Nun möchte ich von Ihnen wissen, wie Sie bei der Durchführung einer Datenschutz-Folgenabschätzung abgeschnitten haben
Was waren die größten Hürden, die Sie bisher davon abgehalten haben, eine DSFA durchzuführen? War diese Beschreibung für Sie hilfreich? Sagen Sie es uns in den Kommentaren.
Muster-Datenschutz-Folgenabschätzung in Excel
Wie versprochen stellt Ihnen dieser Artikel eine kostenlose Excel-Vorlage für eine Datenschutz-Folgenabschätzung zur Verfügung
Außerdem erhalten Sie die Schwellenanalyse als Excel-Datei zur Ermittlung der DSFA-Relevanz
Die Vorlagen können Sie hier herunterladen:
Weitere Datenschutzvorlagen und Muster
Ausführlichere Vorlagen und Muster, sowie ausführliche Anleitungen und viele weitere Inhalte finden Sie in unserem Mentoring-Programm
Schützen Sie mit unserer Hilfe die Daten Ihrer Kunden, Mitarbeiter und Geschäftspartner
Werden Sie Teil des DSB-Mentoring-Programms
Erfahren Sie hier mehr
Häufig gestellte Fragen zu DSFA
Was ist eine Datenschutz-Folgenabschätzung?
Eine DSFA ist ein Instrument, das über das Verfahrensverzeichnis hinausgeht
Es dient der Beschreibung und Bewertung von Risiken für die Rechte und Freiheiten natürlicher Personen
Die Datenschutz-Folgenabschätzung muss auch die Korrekturmaßnahmen zur Risikominimierung berücksichtigen
Wann sollte eine DSFA durchgeführt werden?
Wenn Ihr Verfahren ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen beinhaltet.
Insbesondere beim Einsatz neuer Technologien, die voraussichtlich zu einem hohen Risiko für die betroffene Person führen.
Die DSFA muss durchgeführt werden, bevor die Verarbeitungstätigkeit beginnt.
die auszuführende Verarbeitungstätigkeit
Die Landesämter haben schwarze Listen veröffentlicht
Hierbei handelt es sich um Vorschläge, die jedoch nochmals gesondert geprüft werden müssen
Für die dort genannten Verfahren muss nicht zwingend eine DSFA durchgeführt werden
Entscheidend ist, ob für den Betroffenen ein hohes Risiko besteht
Wir schlagen daher eine zweistufige Begutachtung vor: 1
Kurzanalyse direkt am Eingriff
2
Wenn möglicherweise hohe Schäden möglich sind, dann weitere Risikobewertung
Wie ist das Verfahren zur Durchführung der DSFA? Der Prozess kann nicht einmal gesehen werden
Eine DSFA muss regelmäßig durchgeführt werden
Es kann durchaus sein, dass sich einzelne Parameter im Laufe der Zeit verändern
Grundsätzlich gliedert sich der Prozess einer Datenschutz-Folgenabschätzung in vier Schritte: Vorbereitung (Verfahren beschreiben, DSFA-Team zusammenstellen) Durchführung (Risikoerkennung und -bewertung) Umsetzung (beschlossene Maßnahmen umsetzen) Überprüfung (regelmäßige, z
B
jährliche Überprüfung der DSFA )
Kann die DSFA im Rahmen des Risikomanagements durchgeführt werden? Wir empfehlen Ihnen, die DSFA nicht als separates Tool zu betrachten
Integrieren Sie die Datenschutz-Folgenabschätzung in ein bestehendes Risikomanagementsystem
Beachten Sie jedoch unbedingt die besonderen Anforderungen der DSFA
Sie sollten Schadenskriterien und Eintrittswahrscheinlichkeiten global für das Unternehmen definieren
Hier sollten Sie keine unterschiedlichen Werte für die DSFA und das übrige Risikomanagement haben
Ein „hoher“ Schaden sollte in allen Fällen zu gleichem Verständnis im Unternehmen führen
Quellen
LDA Bayern – Planspiel DSFA
Teile diesen Beitrag
DSGVO erklärt Folge 16: Muster Verarbeitungsverzeichnis Art 30 DSGVO Update New
Neues Update zum Thema dsgvo verarbeitungsverzeichnis muster excel
dsgvo verarbeitungsverzeichnis muster excel Einige Bilder im Thema
Verzeichnis von Verarbeitungstätigkeiten – Tipps zur Umsetzung … Aktualisiert
22/2/2022 · Das Verarbeitungsverzeichnis braucht jeder Verantwortliche für Datenverarbeitungen, und jeder Auftragsverarbeiter von Daten. Wo immer personenbezogene Daten (nur für diese gilt die DSGVO) verarbeitet werden, …
Read more
technisches Papier
Im Tagesgeschäft ist das Verzeichnis der Verarbeitungstätigkeiten oft nur dann ein Thema, wenn sich etwas im Unternehmen verändert – neue Software, neue Mitarbeiter, neue Prozesse
Oder wenn unerwartet eine Anfrage des Betroffenen hereinflattert
Aber auch wenn nichts dringend ist, sollten die Dokumentationspflichten der DSGVO gerade in den ruhigen Minuten thematisiert werden
Das Verzeichnis der Verarbeitungstätigkeiten (VVT) nach der DSGVO
Eine der zentralsten Dokumentationspflichten aus der DSGVO stammt aus Art
30 und schreibt vor, dass ein „Verzeichnis der Verarbeitungstätigkeiten“ (VVT) geführt werden muss, dies wird meist „Verarbeitungsverzeichnis“ genannt
Darin müssen alle Datenverarbeitungen aufgeführt werden, die personenbezogene Daten betreffen
Es dient zunächst der Dokumentation und internen Transparenz
Wenn Sie wissen, welche Verarbeitungen im eigenen Unternehmen stattfinden, können Sie schnell und präzise auf Anfragen von Betroffenen reagieren
Auch das Verarbeitungsverzeichnis ist der Aufsichtsbehörde auf Verlangen vorzulegen
Es wird davon ausgegangen, dass es schon lange existiert und kontinuierlich gepflegt wird
Eine lange Frist für die Vorlage ist seitens der Behörde nicht zu erwarten
Wer braucht ein Verarbeitungsverzeichnis?
Jeder für die Datenverarbeitung Verantwortliche und jeder Datenverarbeiter benötigt das Verarbeitungsverzeichnis
Überall dort, wo personenbezogene Daten (die DSGVO gilt nur dafür) verarbeitet werden, muss diese Verarbeitung auch dokumentiert werden
Die Erhebung, Speicherung und Nutzung von Daten von Mitarbeitern eines Unternehmens ist eine solche Datenverarbeitung, ebenso wie Daten in einer Kundenakte
Auch wer eine Website betreibt, dort IP-Adressen von Website-Besuchern erfasst oder E-Mail-Adressen über ein Kontaktformular erhält, verarbeitet Daten
Alle Datenverarbeitungen werden dokumentiert und zusammengefasst: Das Verarbeitungsverzeichnis
Die Verpflichtung gilt wie alle DSGVO-Verpflichtungen für alle Verantwortlichen und Auftragsverarbeiter mit Sitz oder Niederlassung in Europa sowie für Verantwortliche und Auftragsverarbeiter, die Daten verarbeiten, auf die die DSGVO Anwendung findet
Hat der Verantwortliche oder Auftragsverarbeiter seinen Sitz außerhalb der EU, muss er einen Vertreter in der EU benennen, der dann für die Pflichten aus der DSGVO – einschließlich der Pflicht zur Führung des Verarbeitungsverzeichnisses – verantwortlich ist
Ausnahmen: Wer muss kein Verzeichnis der zu führenden Verarbeitungstätigkeiten führen?
In Kunst
30 Absatz 5 DSGVO gibt es Ausnahmen für diejenigen, die kein Verzeichnis der Verarbeitungstätigkeiten führen müssen – aber alle, die sich schon beim Überfliegen darüber freuen, dass die Pflicht nicht greift, wenn „weniger als 250 Beschäftigte“ in dem arbeiten Unternehmen ist leider zu früh, um sich zu freuen
Dies gilt nur, wenn die Verarbeitung „nur gelegentlich“ erfolgt und Daten aus den besonderen Kategorien des Art
9 Abs
1 DSGVO werden niemals verarbeitet (z
B
Gesundheitsdaten)
Aber was bedeutet „gelegentlich“ in diesem Zusammenhang? Die „nicht nur gelegentliche“ Verarbeitung von Daten ist in der heutigen Zeit der absolute Normalfall
Handwerker haben Websites, handhaben Kundentelefonnummern auf Smartphones, selbst kleine Produktionsbetriebe haben ihre Mitarbeiterdaten mittlerweile in elektronischen Akten und wickeln ihre Geschäfte per E-Mail ab
All dies ist mehr als nur eine „gelegentliche“ Datenverarbeitung, sodass auch in kleinen Unternehmen regelmäßig eine VVT erstellt werden muss
Jeder, der es mit besonders geschützten Daten zu tun hat, etwa ein Pflegedienst, der Gesundheitsdaten speichert, oder eine kleine Beratungsstelle, die etwa in Diskriminierungsfällen auch schnell Informationen zur ethnischen Herkunft oder Weltanschauung verarbeitet
Werden besondere Kategorien von Daten verarbeitet, muss immer ein Verarbeitungsverzeichnis erstellt werden, unabhängig davon, wie „gelegentlich“ eine Verarbeitung erfolgt oder wie viele Mitarbeiter es gibt
Wer führt das Verarbeitungsverzeichnis im Unternehmen?
Für die Pflege und Erstellung des Verarbeitungsverzeichnisses ist der Verantwortliche persönlich verantwortlich
Dies ist regelmäßig der Inhaber oder gesetzliche Vertreter eines Unternehmens
Bei Unternehmen außerhalb der EU ist dies deren benannter Vertreter in der EU
Wie bei allen Datenschutzfragen sollte natürlich der betriebliche Datenschutzbeauftragte mit Rat und Tat zur Seite stehen
Die Verantwortung liegt jedoch bei der Geschäftsführung, also dem Geschäftsführer oder Inhaber
Die Inhalte des Verzeichnisses, also welche Daten in den einzelnen Abteilungen eines Unternehmens wie verarbeitet werden, müssen von den einzelnen Abteilungen bereitgestellt werden
Außerhalb der Abteilung fehlt es oft einfach an Detailkenntnissen, wie hier gearbeitet wird
Das Bearbeitungsverzeichnis ist also ein To-do für das gesamte Unternehmen
Was gehört in ein Verzeichnis der Verarbeitungstätigkeiten?
Der Inhalt des Verzeichnisses der Verarbeitungstätigkeiten ist in Art
30 Abs
1 dargestellt, hier sind insbesondere die Pflichtangaben aufgeführt
Die VVT ist „schriftlich“ zu führen, es reicht aber auch eine digitale Version
Wie detailliert das Verarbeitungsverzeichnis sein muss, hängt davon ab, wie komplex das Unternehmen ist und wie viele verschiedene Verarbeitungsarten es gibt
Wo bereits Konzepte und Prozessbeschreibungen (z
B
für TOMs) vorhanden sind, müssen diese nicht dupliziert werden, sondern können beigefügt oder referenziert werden
Die Pflichtangaben sind:
Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
Verarbeitungszwecke,
Beschreibung der Kategorien betroffener Personen und betroffener Daten,
Kategorien von Empfängern von Datenübermittlungen
Offenlegung aller Datenübermittlungen in Drittländer (außerhalb der EU) einschließlich aller dafür erforderlichen Garantien
Soweit möglich, die vorgesehenen Löschfristen für die Daten
Beschreibung der allgemeinen technischen und organisatorischen Maßnahmen
Was sind Verarbeitungstätigkeiten im Sinne der DSGVO? Die Verarbeitungstätigkeit unterscheidet sich von der Datenverarbeitung, sie ist weiter gefasst: Als Verarbeitungstätigkeit gilt jede Datenverarbeitung, die zu einem bestimmten Zweck erfolgt
Bei einer sehr kleinen Organisationseinheit kann dies auch bedeuten, dass beispielsweise die Personalabteilung als eine Verarbeitungstätigkeit zusammengefasst werden kann
In größeren Unternehmen sind damit meist einzelne Vorgänge gemeint, die zu einem bestimmten Zweck stattfinden, wobei auch mehrere Datenverarbeitungen stattfinden können
Verarbeitungsliste: Tipps zur Umsetzung
Liegt bisher keine datenschutzrechtliche Dokumentation vor, muss zunächst festgestellt werden, in welchen Fällen personenbezogene Daten beispielsweise von Kunden, Lieferanten oder Mitarbeitern erhoben und verarbeitet werden
Als erster Anhaltspunkt sollen hier alle im Unternehmen genutzten Anwendungen und Tools aufgelistet werden, in denen personenbezogene Daten gespeichert werden
Dies hilft auch, die Datenflüsse im Unternehmen zu ermitteln (Datenmapping)
Wenn Sie besonders viele miteinander verknüpfte Datenflüsse haben, können Sie diese zur besseren Übersicht in Datenflussdiagrammen darstellen
Diese Informationen dienen dann auch als Grundlage für das Verzeichnis der Verarbeitungstätigkeiten
In der Praxis wird dies der Übersichtlichkeit halber meist aus mehreren Verzeichnissen für verschiedene Verarbeitungstätigkeiten bestehen (z
B
Zeiterfassungssystem, CRM-System, Personalinformationssystem).
Wie detailliert das Ganze sein muss, ist umstritten
In der Praxis haben sehr kleine Unternehmen oft nur bis zu 10 Einträge im Verarbeitungsverzeichnis
In mittelständischen Unternehmen können das schnell 30 oder 40 Verarbeitungstätigkeiten umfassen
Das hängt auch davon ab, wie viele Prozesse digitalisiert werden und ob viele verschiedene Tools zum Einsatz kommen
In sehr großen Unternehmen sind 100 oder mehr Einträge möglich
Allerdings ist hier aufgrund des großen Angriffsfeldes für Beschwerden und Kontrollen durch Aufsichtsbehörden eine gute Dokumentation besonders wichtig
Für einen vertiefenden Einstieg bieten sich die GDD-Praxishilfe und der Bitkom-Leitfaden zum Verzeichnis der Verarbeitungstätigkeiten an
■ Was sind die Empfehlungen der Datenschutzaufsichtsbehörden?
Verarbeitet das Unternehmen besonders kritische oder besonders große Datenmengen, sollte neben der bloßen Auflistung der Verarbeitungstätigkeiten auch eine Dokumentation der internen Rechtmäßigkeitsprüfungen hinsichtlich der Verarbeitungstätigkeiten in Erwägung gezogen werden
Es wurden auch andere Schutzmaßnahmen für die betroffenen Datenverarbeitungstätigkeiten getroffen
Insgesamt dient das Verarbeitungsverzeichnis dazu, gegenüber der Aufsichtsbehörde nachzuweisen, dass im Unternehmen Datenschutzmaßnahmen eingeführt und eingehalten wurden
Diese zusätzlichen Informationen können weiteren Prüfungen und Fragen der Aufsichtsbehörden vorgreifen
Beispiele und Vorlagen für die Bearbeitung von Datensätzen
Die Pflichtangaben, die für jede Verarbeitungstätigkeit im VVT aufgeführt werden müssen, lassen sich nur umständlich aus dem Text der Verordnung ablesen
Mit einer Mustervorlage für ein Verzeichnis der Verarbeitungstätigkeiten lässt sich das Ganze auch von Verantwortlichen ohne große Rechtsabteilung managen
Auch wer als Auftragsverarbeiter tätig ist, muss etwas andere Pflichtangaben machen als ein Verantwortlicher
Es gibt eine Vielzahl von Vorlagen von Aufsichtsbehörden, darunter kostenlose Vorlagen für Vereine, Handwerksbetriebe, Arztpraxen, Onlineshops, Autowerkstätten, Beherbergungsbetriebe wie Hotels oder Ferienwohnungen, aber auch für WEG-Verwaltungen
Bearbeitung erstellen und pflegen Verzeichnis mit Software
Eine Alternative zu den Vorlagen, die auch auf Papier und handschriftlich ausgefüllt werden können, ist eine Datenschutzmanagement-Software
Auch bei diesen werden die Verarbeitungstätigkeiten nach den Pflichtangaben eingetragen, hier besteht aber auch die Möglichkeit, Textbausteine zu verwenden
Die digitale Struktur erleichtert das Suchen, Gruppieren und Sortieren gerade bei längeren Bearbeitungsverzeichnissen
Wird im Unternehmen überwiegend digital gearbeitet, ist diese Handhabung unter Umständen auch einfacher zu handhaben als Eingaben in einem PDF, Excel-Sheet oder Word-Dokument
Bußgelder für unzureichende oder fehlende Verarbeitungsnachweise
Wird auf Verlangen einer Aufsichtsbehörde kein Verarbeitungsverzeichnis vorgelegt, droht ein Bußgeld, Art
83 Abs
4a DSGVO
Der rechtliche Rahmen der Bußgelder ist wie der übliche Rahmen der DSGVO: Bis zu 10 Millionen Euro oder bis zu 2 % des Jahresumsatzes für Unternehmen sind möglich
Im September 2021 verhängte die italienische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 800.000 Euro, weil die mit der Bereitstellung von Parkuhren betrauten Betreibergesellschaften völlig chaotische Datenflüsse hatten und zudem keine Verarbeitungsverzeichnisse vorlegen konnten
Schritt für Schritt mit der Auflistung der Verarbeitungstätigkeiten beginnen Schritt
Das Verarbeitungsregister klingt zunächst nach einer Mammutaufgabe, aber wenn Sie sich einmal damit beschäftigt haben, werden Sie auch diesen einschüchternden Teil der Dokumentationspflicht bewältigen können
Jeder weg beginnt mit dem ersten Schritt
Sich als stetiger Gang durch alle Abteilungen an das Bearbeitungsregister heranzutasten, führt eher zum Erfolg, als im Ernstfall hektisch sprinten zu müssen, nachdem die Aufsichtsbehörde bereits mit Bußgeldern droht
Ein Datenschutzmanagementsystem hilft hier sehr, um richtig zu strukturieren und einen sauberen Rahmen zu haben
Wer keine verwenden kann oder will, kann auch die Vorlagen nutzen, um die Informationsflut in den Griff zu bekommen
Einmal angelegt, ist die weitere Pflege bei Veränderungen im Unternehmen kein großes Thema mehr – und alle späteren Datenschutzthemen sind einfacher zu handhaben!
-Wie füllt man das Excel-Sheet für die Verfahrensverzeichnisse aus? Erklärungsvideo zur DSGVO Update
Weitere Informationen zum Thema dsgvo verarbeitungsverzeichnis muster excel
dsgvo verarbeitungsverzeichnis muster excel Einige Bilder im Thema
Weitere Informationen zum Thema anzeigen dsgvo verarbeitungsverzeichnis muster excel
Updating
Suche zum Thema dsgvo verarbeitungsverzeichnis muster excel
Updating
Danke dass Sie sich dieses Thema angesehen haben dsgvo verarbeitungsverzeichnis muster excel
Articles compiled by Msi-thailand.com. See more articles in category: Blog