Datenschutz. Datenschutzfolgenabschätzung (DSFA) professional

# 1.60

DIE DATENSCHUTZFOLGENABSCHÄTZUNG (DSFA)

In der EU-DSGVO wird bei Verarbeitungen, die ein hohes oder sehr hohes Risiko für den Betroffenen beinhalten könnten, eine DSFA Datenschutzfolgenabschätzung verlangt. Von früher bekannt ist uns die Vorabkontrolle. Sie sind sich ähnlich.

opus i folgt mit dieser dargebotenen Funktion dem Whitepaper Datenschutzfolgenabschätzung des Forum Privacy.
Deshalb ist eine DSFA, die mit diesem opus i Objekt (ordentlich) durchgeführt wird rechtssicher und belastbar.

VORARBEITEN

Erfassen Sie, bevor Sie mit der Bearbeitung der DSFA beginnen, die in der DSFA beteiligten ‘Elemente’. Dies sind die IT-Objekte des Betrachtungs-Scope, die Teammitglieder des DSFA-Teams usw. Siehe hier.
Im Betrachtungs-Scope können sich durchaus Menschen/Organisationen befinden, nämlich die Angreifer, also Unberechtigte.

Warnung In einer gut gemachten DSFA soll nicht ein einzelnes Objekt, z.B. einzelne Verarbeitung, betrachtet werden, sondern der oder ein Prozess, innerhalb dessen eine oder mehrere Verarbeitungen ablaufen.

Die DSFA wird grundsätzlich aus der Sicht der Betroffenen durchgeführt.
Die DSFA betrachtet die Risiken denen der Betroffene unterliegt, nicht die der IT.
Entgegen dem Whitepaper empfehlen wir die DSFA nicht online zu veröffentlichen - Gefahr der Beschwerde/Abmahnung.

Registerkarte ALLGEMEIN

BESCHREIBUNG ist eine kurze, allgemeine Info, aus der herausgehen sollte, um was es hier geht.

LINKS für den Fall, dass externe Dokumente in die Doku eingebunden werden sollen.

WIEDERVERWENDUNG

Jede DSFA kann für eine weitere DSFA wiederverwendet werden. Kopieren - Einfügen.
So könnten durchaus die aufwändigen Schritte 3, 4, 5 bzgl. des Arbeitsaufwandes minimiert werden.

Registerkarte SCHRITT 1

Hier wird die sogenannte SCHWELLWERTANALYSE dokumentiert.
Beachten Sie die in blauer Schrift hinterlegten Hinweise.

Wird eine der Indikatorfragen mit TRIFFT ZU markiert, ist dies ein sicherer Anhaltspunkt, dass eine DSFA durchzuführen ist.
Wird KEINE der Indikatorfragen mit TRIFFT ZU markiert, ist dies ein Anhaltspunkt, dass keine DSFA durchzuführen ist.
Speichern Sie aber auf jeden Fall die begonnene DSFA zum Nachweis.
Führen Sie nun anstatt der DSFA eine Risikobewertung (Risk Assessment) mit dem Objekt RISIKOBEWERTUNG DATENSCHUTZ  Risikobewertung durch - diese ist im Vorgehen sehr ähnlich.

Registerkarte SCHRITT 2

PLAN
Sie sollen bei der DSFA planvoll vorgehen. Als Anhaltspunkt kann der zugesteuerte Text angesehen werden. Der Text ist dem Whitepaper entnommen und sollte von Ihnen überarbeitet werden.
Sie können die zugrundeliegende Steuerdatei grundsätzlich auf Ihre Gegebenheiten anpassen.
[\Database\SystemFiles\INIs\”Sprache”\DP-PlanningThePIA.DE.rtf]

TEAM
Die DSFA soll nicht von einer Person alleine durchgeführt werden - ein Team sind mindestens zwei.

SCOPE
Wir betrachten nicht nur die Verarbeitung selbst sondern auch die Elemente, die benötigt werden, damit diese Verarbeitung überhaupt ausgeführt werden kann - sprich die IT. Betrachten Sie auch unberechtigte Dritte, die ein Interesse an den Daten haben (siehe Whitepaper).

INTERESSIERTE PARTEIEN
Um wirklich die Interessen der Betroffenen richtig zu erkennen, sollen auch die Interessensvertreter der Betroffenen bei der DSFA berücksichtigt werden. 

Registerkarte SCHRITT 3

Hier legen Sie die Grundlage zur Risikobewertung.
Beachten Sie die in blauer Schrift hinterlegten Hinweise.

Sie definieren, wie Sie die Eintrittswahrscheinlichkeiten von Schäden und die Schadenshöhen für den Scope und die verwendeten Daten einschätzen.
Prüfen Sie, ob Sie mit der Definition der Wahrscheinlichkeiten in der Spalte Erläuterung konform gehen oder diese korrigieren möchten. Ebenso mit dem Schadenausmaß.

Malen Sie die Matrix mit den Farben aus (linke Maustaste).
Grüne Farbe in der Zelle: Eintritt zu Schaden ist gering ... wir implementieren keine zusätzlichen Maßnahmen.
Gelbe Farbe in der Zelle: Eintritt zu Schaden ist so ausgeprägt, dass wir zusätzlichen Maßnahmen implementieren, wenn es wirtschaftlich/zeitlich (alarp) vertretbar ist.
Rote Farbe in der Zelle: Eintritt zu Schaden ist so ausgeprägt, dass wir auf jeden Fall durch das Implementieren von Maßnahmen das Risiko reduzieren sollten/müssen.

Hinterlegen Sie unbedingt Hinweise zu Ihren Festlegungen, damit Sie auch noch nach Jahren nachvollziehen können, warum Sie so und nicht anders entschieden haben.

Registerkarte SCHRITT 4

Hier dokumentieren Sie die Risikobewertung.
Beachten Sie die in blauer Schrift hinterlegten Hinweise.

LINKE SEITE der Registerkarte
Hier werden alle Weiteren Eigenschaften der im Scope befindlichen Objekte dargestellt; die linke Seite ist also zur Info.

RECHTE SEITE der Registerkarte
Hier stufen Sie zu jeder Gefährdung, die Sie als möglich einschätzen und deshalb mit Häkchen versehen, die Eintrittswahrscheinlichkeit und Schadenhöhen ein. Die angezeigte Farbe resultiert dann aus den jeweils tangierten Zellen der Risikomatrix.

Hinterlegen Sie Hinweise zur Einstufung.

Registerkarte SCHRITT 5

Hier dokumentieren Sie die Maßnahmen, die zu implementieren wären.
Beachten Sie die in blauer Schrift hinterlegten Hinweise.

LINKE SEITE der Registerkarte
Hier werden nochmal die Bewertung der Gefährdungen aus Schritt 4 dargestellt; die linke Seite ist also zur Info.

RECHTE SEITE der Registerkarte
Hier werden die Maßnahmen festgelegt (Häkchen), die jetzt implementiert werden sollen.
Alternativ, zur oberen Maßnahmentabelle, kann in der unteren rechten Tabelle ein IT-Sicherheitskonzept eingestellt werden.

Damit die rechte obere Tabelle überhaupt gefüllt werden kann, muss der Ordner markiert werden, in dem sich die Maßnahmen (Weitere Eigenschaft: Maßnahme) befinden:
Ordner der WeiterenEigenschaften      danach bitte im DSFA-Fenster aktualisieren Tabelle aktualisieren


Damit nicht zuviele Maßnahmen ausgewählt werden, kann über den türkis hinterlegten Link nachgeschaut werden, welche Maßnahmen innerhalb des gesamten Scopes, einschließlich die beim Mandanten hinterlegten Maßnahmen, bereits dokumentiert worden sind.
LinkBereitsHinterlegteMass


Damit die jetzt ausgewählten Maßnahmen beim richtigen Scope-Objekt - beim Speichern - hinterlegt werden, muss auf der Registerkarte “2:” genau dieses eine Scope-Objekt markiert werden.
im Scope ein Objekt markieren

Registerkarte SCHRITT 6

AKTUALISIERUNGSUNTERSTÜTZUNG
Beachten Sie die in blauer Schrift hinterlegten Hinweise.

Artikel 35 EU-DSGVO in Verbindung mit Artikel 32 (1) d verlangt, dass die DSFA in regelmäßigen Abständen auf Richtigkeit/Aktualität überprüft wird. Bisher waren dies nach allgemeinem Gebrauch ca. 12 Monate.

Erstellen Sie dazu ein ERINNERUNGSMAIL-Objekt (ErMail) Erinnerungs E-Mail und hängen diese ErMail direkt an die DSFA wie gezeigt.
Im Popup-Menü auf der Objektliste:
Neues Objekt / Dokument / E-Mail, automatische Erinnerung
Erinnerungsmail an die DSFA anhängen

Nehmen Sie als mögliche Textvorlage das Template 2.
Dauerhafte Änderungen an diesen Templates:
     \Database\SystemFiles\BCM1004\ReminderEMailTemplates\”Sprache”
ErMail Template2

Stand: 20180106

Weitere Informationen

In diesen, bzw. gleichinhaltlichen Verarbeitungen sollte eine DSFA stattfinden

- Zensus ...
- Sitzungsdienst
- Wahlen
- Telefon-/Online-Videokonferenzen
- Personalsachebarbeitung
- Corona-Besucherlisten
- Baugenehmigungsverfahren
- virtuelles Bauamt
- Pflegeprozess
- Leistungsgewährung
- Vormundschaftswesen
- Amtsärztlicher Dienst
- Ermittlungen nach IsFG
- Kinder- und Jugend-Gesundheitsdienst
- Sozial-Psychiatrischer Dienst
- Beistandsschaften
- Wohngeld
- Ermittlungen in Betreuungsverfahren
- Fallbearbeitung Prosoz
- ...Abrechnung
- Erziehungshilfen
- Jugendhilfe in Strafverfahren
- familiengerichtliche Verfahren
- Pflegekinderdienst
- e_Antrag_DRV
- RINA (Elektronischer Austausch von Sozialversicherungsdaten)
- Erfassung und Analyse von Fällen, Kontakten, Ausbrüchen
- Datenübertragung an Dritte, ...Dienstleister, ...GSA
- InVeKos
- KFZ-Zulassungsverfahren
- Bußgelder
- Ausländerangelegenheiten / Aufenthaltstitel / Datenabrufe
- elektr. Wasserbuch

Klicken für "home"
kronsoft3-mit-WZ

Bitte richten Sie Ihre Supportanfrage online an uns oder direkt aus opus i heraus über die implementierte Support-Mail-Funktion.
Sie erreichen uns zu normalen Bürozeiten unter der Telefonnummer +49  6858  6370
                                    
     kronsoft e.K.    Schillerstraße 10     66564 Ottweiler     Deutschland                                                                    Datenschutzerklärung

ISO 27001 Control
ISO 27001 Eigene Control
ISO 27001 Eigene Control
Risikomatrix
Risikobewertung
Hilfe
Benutzer Ordner
Allgemeiner Ordner
ISO 27001 Ordner
ISO 14001 Ordner
ISO 9001 Ordner
Container
ISO 27001 Control
ISO 27001 Eigene Control
Verarbeitung des Verantwortlichen
Software
implementiert
teilweise implementiert
nicht implementiert
Prozessstruktur Startelement
Kernprozess
Managementprozess
Unterstuetzungsprozess
Verarbeitung des Dienstleisters
Organisationseinheit
IT-Verbund
Prozess
Fachaufgabe
Warnung
wichtiger Hinweis
ISO 27001 Ordner
ISO 27001 Control
ISO 27001 Eigene Control
ISO 27001 Eigene Control
Eigenschaft
rBenutzer
rMitarbeiter
rPerson
rMandant
rLKWZwei1616
rPKWZwei1616

Neu
20210506

VDA-ISA (TISAX) Ordner
VDA-ISA (TISAX) Control
VDA-ISA (TISAX) Eigene Control
BCM-Ordner
ICS-Startelement
Turtle-Objekt

www.kronsoft.de     Impressum     Datenschutzerklärung
Die Version der WEB-Seite ist  63   (2023-06-27)