Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | |||
wiki:standard-datenschutzmodell:v20:teil_d:d2 [17.11.2019 14:40] Administrator |
wiki:standard-datenschutzmodell:v20:teil_d:d2 [17.11.2019 14:41] (aktuell) Administrator |
||
---|---|---|---|
Zeile 20: | Zeile 20: | ||
{{page> | {{page> | ||
- | {{page>._d2_d2_2}} | + | {{page>.:d2:d2_2}} |
- | + | {{page>.:d2:d2_3}} | |
- | == D2.3 Komponenten einer Verarbeitung oder Verarbeitungstätigkeit == | + | |
- | + | ||
- | Aus den Vorgaben der Datenschutz-Grundverordnung ergeben sich unmittelbar die Komponenten Daten, Systeme und Dienste. Bei der konkreten Modellierung von Verarbeitungstätigkeiten mit Personenbezug ist es jedoch notwendig, die folgenden drei Komponenten zu betrachten: | + | |
- | + | ||
- | - die personenbezogenen **Daten**, | + | |
- | - die beteiligten technischen **Systeme und Dienste** (Hardware, Microservices, | + | |
- | - die technischen, | + | |
- | + | ||
- | Der Ausdruck „Prozess“ ist in der DS-GVO nicht ausdrücklich enthalten. Jede Verarbeitungstätigkeit kann als Geschäftsprozess bzw. Fachverfahren modelliert werden; jede Verarbeitungstätigkeit besteht aus einzelnen Verarbeitungsschritten. Einzelne Verarbeitungen sind bspw. das Erheben, Erfassen, Ordnen oder Speichern bis zum Löschen oder Vernichten (vgl. [[wiki:datenschutzgrundverordnung: | + | |
- | + | ||
- | Methodisch stehen zunächst die Daten von Personen im Vordergrund, | + | |
- | + | ||
- | Die konkrete funktionale Gestaltung geschieht auf der Ebene 1, auf der anhand der Daten der Schutzbedarf durch die verantwortliche Stelle festzustellen bzw. festzusetzen ist. Diesen Schutzbedarf erben alle Daten, Systeme und Prozesse, die bei einer konkreten Verarbeitung auf den verschiedenen Ebenen zum Einsatz kommen. Anhand des Referenzmaßnahmen- Katalogs kann überprüft werden, ob getroffene oder geplante technische und organisatorische Maßnahmen dem Schutzbedarf angemessen sind. | + | |
- | + | ||
- | Bei diesen drei Kernkomponenten Daten, Systeme und Dienste sowie Prozesse spielen u. a. folgende spezielle Eigenschaften noch eine weitere zu beachtende Rolle: | + | |
- | + | ||
- | Bei Daten sind Eigenschaften von **Datenformaten** zu betrachten, mit denen Daten erhoben und verarbeitet werden. Datenformate können Einfluss auf die Qualität der Umsetzung der Gewährleistungsziele haben, z. B. in den Fällen, in denen nicht als abschließend geklärt gelten darf, welche Inhalte Dateien mit bestimmten Formaten aufweisen. So können im Datenbestand von Textdateien vermeintlich gelöschte Daten enthalten sein, die im Ausdruck nicht erscheinen; Grafikdateien können Metadaten bspw. bzgl. Kameramodell, | + | |
- | + | ||
- | Bei den beteiligten Systemen sind die **Schnittstellen** zu betrachten, die eine Fachapplikation mit der Nutzung von IT-Systemen der Ebene 3 sowie insbesondere zu anderen Systemen, die nicht innerhalb der vom Zweck definierten Systemgrenze liegen, aufweist. Neben diesen vertikalen Schnittstellen sind auch horizontale Schnittstellen zu betrachten, mit denen ein Risiko für die Zweckbindung einhergeht. Der Ausweis der Existenz von Schnittstellen sowie die Dokumentation von deren Eigenschaften sind von entscheidender Bedeutung für die rechtliche Verantwortlichkeit, | + | |
- | + | ||
- | Für jede Verarbeitungstätigkeit und deren Komponenten, | + | |
- | + | ||
- | Die Verantwortung für eine Verarbeitung liegt letztlich immer beim Verantwortlichen i. S. d. [[wiki: | + |