Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:standard-datenschutzmodell:v20:teil_d [17.11.2019 14:03] Administrator |
wiki:standard-datenschutzmodell:v20:teil_d [17.11.2019 14:07] (aktuell) Administrator |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
{{page> | {{page> | ||
- | + | {{page>.:teil_d:d2}} | |
- | === D2 Verarbeitungstätigkeiten === | + | {{page>.:teil_d:d3}} |
- | + | {{page>.:teil_d_d4}} | |
- | Die DS-GVO verwendet „Verarbeitungstätigkeit“ in [[wiki: | + | |
- | + | ||
- | //„Im Sinne dieser Verordnung bezeichnet der Ausdruck (...) Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, | + | |
- | + | ||
- | [[wiki: | + | |
- | + | ||
- | * Namen und Kontaktdaten des Verantwortlichen, | + | |
- | * die Zwecke der Verarbeitung, | + | |
- | * eine Beschreibung der Kategorien betroffener Personen, personenbezogener Daten und Empfänger sowie ggfs. die Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, | + | |
- | * die vorgesehenen Fristen für die Löschung, | + | |
- | * eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß [[wiki: | + | |
- | + | ||
- | Diese allgemeine Beschreibung einer Verarbeitung stellt noch keine ausreichende Dokumentation von Verarbeitungstätigkeiten dar und erfüllt allein noch nicht die Anforderungen an Transparenz gemäß [[wiki: | + | |
- | + | ||
- | Die Funktion der vollständigen Dokumentation einer Verarbeitung besteht darin, dass alle relevanten Komponenten einer Verarbeitungstätigkeit aufgrund der bestehenden Rechenschaftspflicht prüffähig sind, um diese einer datenschutzrechtlichen Beurteilung unterziehen zu können. Prüffähigkeit bedeutet dabei, dass die Funktionen aller Komponenten, | + | |
- | + | ||
- | Diese Prüfbilanz bezüglich funktionaler Eigenschaften sowie der getroffenen technischen und organisatorischen Maßnahmen der Verarbeitungstätigkeit muss dann wiederum einer rechtlichen Beurteilung der Rechtskonformität bzw. Ordnungsmäßigkeit insgesamt unterzogen werden können unter der Fragestellung, | + | |
- | + | ||
- | == D2.1 Ebenen einer Verarbeitung oder Verarbeitungstätigkeit == | + | |
- | + | ||
- | Um eine personenbezogene Verarbeitung vollständig zu erfassen, hat es sich bewährt, bei der Gestaltung oder Prüfung von Verarbeitungstätigkeiten zumindest drei verschiedene Ebenen der Darstellung wesentlicher Einflussgrößen oder Bestandteile zu unterscheiden. Wesentlich ist das Verständnis, | + | |
- | + | ||
- | Auf der **Ebene 1** ist eine personenbezogene Verarbeitung im datenschutzrechtlichen Sinne angesiedelt. Diese Verarbeitung findet bspw. im Rahmen eines privatrechtlich agierenden Unternehmens oder einer Behörde, die dem öffentlichen Recht unterliegt, statt, für deren Aktivitäten der Verantwortliche verantwortlich ist. Diese Ebene entspricht dem, was vielfach als ein „Fachverfahren“ und „Geschäftsprozess“ mit einem bestimmten funktionalen Ablauf der Verarbeitungstätigkeit verstanden wird. Auf dieser Ebene des Verständnisses einer Verarbeitung werden die für eine Verarbeitungstätigkeit erforderlichen personenbezogenen Daten sowie die gesetzlichen Anforderungen bestimmt. Der Verantwortliche definiert entsprechende Rollen und Berechtigungen an den personenbezogenen Daten und bestimmt die zu verwendenden IT-Systeme und Prozesse. Wesentlich für die datenschutzrechtlich angemessen funktionale Gestaltung dieser Ebene ist die **Bestimmung des Zwecks** oder der Zwecke der Verarbeitungstätigkeit. | + | |
- | + | ||
- | Auf der **Ebene 2** ist die praktische Umsetzung der Verarbeitung und des Zwecks angesiedelt. Diese umfasst zum einen in der Regel die Rolle der Sachbearbeitung sowie die IT- Applikation(en), | + | |
- | Fachverfahrens“ bezeichnen lässt. Die Sachbearbeitung und die Fachapplikation müssen die funktionalen und (datenschutz-)rechtlichen Anforderungen, | + | |
- | + | ||
- | Auf der **Ebene 3** ist die IT-Infrastruktur angesiedelt, | + | |
- | + | ||
- | == D2.2 Zweck == | + | |
- | + | ||
- | Ob eine Verarbeitung einem legitim gesetzten Zweck folgt und ob der Zweck der Verarbeitung hinreichend bestimmt ist, muss vor der Anwendung des SDM geklärt sein (siehe Abschnitt D4.2). | + | |
- | + | ||
- | Bei der Umsetzung des spezifischen Zwecks einer Verarbeitung hat es sich bewährt, zwei weitere Aspekte zu beachten, um auch zu einer hinreichenden Zweckbindung der Verarbeitungstätigkeit zu gelangen: | + | |
- | + | ||
- | * Zusätzlich zur Zweckbestimmung sind die Aspekte der **Zweckabgrenzung** bzw. der **Zwecktrennung** zu betrachten. So sollte festgelegt werden, welche (verwandte) Zwecke nicht mit der Verarbeitungstätigkeit umgesetzt werden sollen. Das erleichtert eine rechtskonforme Abtrennung der Verarbeitungstätigkeiten untereinander sowie insbesondere die Trennung von Datenbeständen, | + | |
- | * Es ist auch der Aspekt der **Zweckbindung** zu beachten. Die Zweckbindung einer Verarbeitung muss einerseits durch deren geeignete Funktionalität und durch geeignete Auswahl der zu verarbeitenden Produktions- oder Nutzdaten sichergestellt werden (horizontale Gestaltung). Die Zweckbindung einer Verarbeitung muss aber auch durch eine geeignete Ebenen-übergreifende Gestaltung (siehe Abschnitt D2.1) sichergestellt werden (vertikale Gestaltung). So ist es in der Regel nicht vom Zweck abgedeckt und operativ auch nicht notwendig, dass neben den befugten Sachbearbeitern und deren Vorgesetzte auch noch IT-Administratoren, | + | |
- | + | ||
- | == D2.3 Komponenten einer Verarbeitung oder Verarbeitungstätigkeit == | + | |
- | + | ||
- | Aus den Vorgaben der Datenschutz-Grundverordnung ergeben sich unmittelbar die Komponenten Daten, Systeme und Dienste. Bei der konkreten Modellierung von Verarbeitungstätigkeiten mit Personenbezug ist es jedoch notwendig, die folgenden drei Komponenten zu betrachten: | + | |
- | + | ||
- | - die personenbezogenen **Daten**, | + | |
- | - die beteiligten technischen **Systeme und Dienste** (Hardware, Microservices, | + | |
- | - die technischen, | + | |
- | + | ||
- | Der Ausdruck „Prozess“ ist in der DS-GVO nicht ausdrücklich enthalten. Jede Verarbeitungstätigkeit kann als Geschäftsprozess bzw. Fachverfahren modelliert werden; jede Verarbeitungstätigkeit besteht aus einzelnen Verarbeitungsschritten. Einzelne Verarbeitungen sind bspw. das Erheben, Erfassen, Ordnen oder Speichern bis zum Löschen oder Vernichten (vgl. [[wiki: | + | |
- | + | ||
- | Methodisch stehen zunächst die Daten von Personen im Vordergrund, | + | |
- | + | ||
- | Die konkrete funktionale Gestaltung geschieht auf der Ebene 1, auf der anhand der Daten der Schutzbedarf durch die verantwortliche Stelle festzustellen bzw. festzusetzen ist. Diesen Schutzbedarf erben alle Daten, Systeme und Prozesse, die bei einer konkreten Verarbeitung auf den verschiedenen Ebenen zum Einsatz kommen. Anhand des Referenzmaßnahmen- Katalogs kann überprüft werden, ob getroffene oder geplante technische und organisatorische Maßnahmen dem Schutzbedarf angemessen sind. | + | |
- | + | ||
- | Bei diesen drei Kernkomponenten Daten, Systeme und Dienste sowie Prozesse spielen u. a. folgende spezielle Eigenschaften noch eine weitere zu beachtende Rolle: | + | |
- | + | ||
- | Bei Daten sind Eigenschaften von **Datenformaten** zu betrachten, mit denen Daten erhoben und verarbeitet werden. Datenformate können Einfluss auf die Qualität der Umsetzung der Gewährleistungsziele haben, z. B. in den Fällen, in denen nicht als abschließend geklärt gelten darf, welche Inhalte Dateien mit bestimmten Formaten aufweisen. So können im Datenbestand von Textdateien vermeintlich gelöschte Daten enthalten sein, die im Ausdruck nicht erscheinen; Grafikdateien können Metadaten bspw. bzgl. Kameramodell, | + | |
- | + | ||
- | Bei den beteiligten Systemen sind die **Schnittstellen** zu betrachten, die eine Fachapplikation mit der Nutzung von IT-Systemen der Ebene 3 sowie insbesondere zu anderen Systemen, die nicht innerhalb der vom Zweck definierten Systemgrenze liegen, aufweist. Neben diesen vertikalen Schnittstellen sind auch horizontale Schnittstellen zu betrachten, mit denen ein Risiko für die Zweckbindung einhergeht. Der Ausweis der Existenz von Schnittstellen sowie die Dokumentation von deren Eigenschaften sind von entscheidender Bedeutung für die rechtliche Verantwortlichkeit, | + | |
- | + | ||
- | Für jede Verarbeitungstätigkeit und deren Komponenten, | + | |
- | + | ||
- | Die Verantwortung für eine Verarbeitung liegt letztlich immer beim Verantwortlichen i. S. d. [[wiki: | + | |
- | + | ||
- | === D3 Risiken und Schutzbedarf === | + | |
- | + | ||
- | Die DS-GVO knüpft die Anforderungen an technische und organisatorische Maßnahmen an das mit der Verarbeitung der personenbezogenen Daten verbundene Risiko für die Rechte und Freiheiten betroffener Personen. | + | |
- | + | ||
- | Im Kurzpapier Nr. 18 „Risiken für die Rechte und Freiheiten natürlicher Personen“ ((https:// | + | |
- | Ein Risiko im Sinne der DS-GVO ist das Bestehen der Möglichkeit des Eintritts eines Ereignisses, | + | |
- | Gemäß [[wiki: | + | |
- | + | ||
- | Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung bestimmt werden. | + | |
- | + | ||
- | Aufgabe des Verantwortlichen ist, diese Risiken zu identifizieren, | + | |
- | + | ||
- | Dieses Kapitel D3 gibt Hilfestellungen, | + | |
- | + | ||
- | == D3.1 Risiken für Betroffene == | + | |
- | + | ||
- | a) Ausgangspunkt von Überlegungen zum Risiko ist die Verarbeitungstätigkeit, | + | |
- | + | ||
- | b) [[wiki: | + | |
- | Analyse“ durchführen. Diese Analyse muss für jede Verarbeitungstätigkeit, | + | |
- | + | ||
- | Wenn das Ergebnis der Schwellwert-Analyse ein „voraussichtlich hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ ist, dann muss das eine Auswirkung auf die Gestaltung der Verarbeitungstätigkeit sowie deren Prüfbarkeit haben. | + | |
- | Die methodisch zentrale Frage zur Gestaltung einer Verarbeitungstätigkeit besteht deshalb darin, wie für eine Verarbeitungstätigkeit die Höhe des Risikos zu bestimmen ist. | + | |
- | + | ||
- | == D3.2 Risikobetrachtung == | + | |
- | + | ||
- | == D3.2.1 Schwellwert-Analyse == | + | |
- | + | ||
- | Ziel der Schwellwert-Analyse ist es festzustellen, | + | |
- | Risikos“ durch eine Verarbeitungstätigkeit wird folgendes Vorgehen vorgeschlagen, | + | |
- | + | ||
- | 1. Prüfen, ob die Verarbeitungstätigkeit, | + | |
- | + | ||
- | 2. Prüfen, ob die betrachtete Verarbeitungstätigkeit zu den besonders riskanten Verarbeitungstätigkeiten gem. [[wiki: | + | |
- | + | ||
- | 3. Prüfen, ob auf die Verarbeitungstätigkeit Eigenschaften zutreffen, die in der Auflistung von Verarbeitungstätigkeiten mit „voraussichtlich hohem Risiko“ des Working Paper 248 rev. 01 ((Dieses Arbeitspapier wurde ursprünglich durch die Vorgängerinstitution des EDSA, die Artikel-29- Arbeitsgruppe, | + | |
- | + | ||
- | - Bewerten oder Einstufen (Scoring)\\ („Evaluation or scoring“) | + | |
- | - Automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung\\ („Automated-decicion making with legal or similar significant effect“) | + | |
- | - Systematische Überwachung\\ („Systematic monitoring“) | + | |
- | - Vertrauliche Daten oder höchst persönliche Daten\\ („Sensitive data or data of a highly personal nature“) | + | |
- | - Datenverarbeitung in großem Umfang\\ („Data processed in a large scale“) | + | |
- | - Abgleichen oder Zusammenführen von Datensätzen\\ („Matching or combining datasets“) | + | |
- | - Daten zu schutzbedürftigen Betroffenen\\ (Data concerning vulnerable data subjects“) | + | |
- | - Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen\\ („Innovative use or applying new technological or organisational solutions“) | + | |
- | - Betroffene werden an der Ausübung ihres Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrages gehindert\\ („When the processing in itself prevents data subjects from exercising a right or using a service or a contract“) | + | |
- | + | ||
- | 4. Prüfen, ob Art, Umfang, Umstände oder Zwecke (ErwG 76 DS-GVO) der Verarbeitungstätigkeit das Risiko für betroffene Personen erhöhen. Hierfür ist es ratsam, entsprechende Praxiserfahrungen und konkretisierende Gerichtsurteile in die Prüfung eines eventuell bestehenden hohen Risikos einzubeziehen. | + | |
- | + | ||
- | == D3.2.2 Risiko-Identifikation == | + | |
- | + | ||
- | Zur Identifikation konkreter Risiken für die Rechte und Freiheiten der betroffenen Personen, die auch durch spezifische Besonderheiten der Verarbeitungstätigkeit entstehen können, bietet es sich an, die folgenden Fragen zu stellen: | + | |
- | + | ||
- | a) Welche Schäden können für betroffene Personen auf der Grundlage der zu verarbeitenden Daten auftreten? | + | |
- | b) Wodurch, d. h. durch welche Ereignisse kann es zu dem Schaden kommen?\\ | + | |
- | c) Durch welche Handlungen und Umstände kann es zum Eintritt dieser Ereignisse kommen?\\ | + | |
- | + | ||
- | Insbesondere bei diesem Schritt kann es vorkommen, dass in Ausnahmefällen Risiken identifiziert werden, die zu sehr schwerwiegenden Auswirkungen für betroffene Personen führen können, etwa zu einer Gefahr für Leib und Leben. In solchen Fällen ist es sinnvoll, einen sehr hohen Schutzbedarf anzunehmen. Die durch das SDM vorgeschlagenen technischen und organisatorischen Maßnahmen sind dafür jedoch nicht ausgelegt, so dass in einem solchen Fall, wie auch bereits bei hohem Schutzbedarf, | + | |
- | + | ||
- | Neben den spezifischen Datenschutz-Risiken einer Verarbeitungstätigkeit selbst sind auch die Risiken der Informationssicherheit zu betrachten. Diese Risiken beziehen sich auf den Schutz der Geschäftsprozesse der Organisation. Zur Bearbeitung dieser Risiken hat sich der IT-Grundschutz des BSI bewährt (https:// | + | |
- | + | ||
- | == D3.2.3 Risikobewertung == | + | |
- | + | ||
- | Es ist die Aufgabe des Verantwortlichen und ggfs. des Auftragsverarbeiters, | + | |
- | + | ||
- | == D3.3 Risikohöhe, | + | |
- | + | ||
- | Der Schutzbedarf einer natürlichen Person bei der Verarbeitung personenbezogener Daten in Bezug auf ihre Rechte und Freiheiten ergibt sich aus dem Risiko, das von der Verarbeitungstätigkeit und deren Eingriffsintensität ausgeht. Die DS-GVO kennt nur die Begriffe „Risiko“ und „hohes Risiko“, wobei „Risiko“ hier als „normales Risiko“ bezeichnet wird. Daneben verwendet die DS-GVO die Formulierung „voraussichtlich nicht zu einem Risiko“ führend ([[wiki: | + | |
- | + | ||
- | Der Schutzbedarf ergibt sich aus dem Risiko der Verarbeitungstätigkeit, | + | |
- | + | ||
- | * **kein oder geringes Risiko** der Verarbeitung -> **normaler Schutzbedarf** für von der Verarbeitung betroffene Personen | + | |
- | * **normales Risiko** der Verarbeitung -> **normaler Schutzbedarf** für von der Verarbeitung betroffene Personen | + | |
- | * **hohes Risiko** der Verarbeitung -> **hoher Schutzbedarf** für von der Verarbeitung betroffene Personen | + | |
- | + | ||
- | Während der durch das Ausgangsrisiko definierte Schutzbedarf betroffener Personen bzgl. der Verarbeitungstätigkeit konstant bleibt, können die Risiken der Verarbeitung für die betroffenen Personen durch technische und organisatorische Maßnahmen verringert werden. Diese Maßnahmen verändern nicht den Schutzbedarf, | + | |
- | + | ||
- | Die Methodik des IT-Grundschutz des BSI nutzt zur Gewährleistung der Informationssicherheit ebenfalls das Konzept der Schutzbedarfseinstufungen, | + | |
- | + | ||
- | Wegen der unterschiedlichen Zielrichtungen von IT-Grundschutz des BSI (Gewährleistung der Informationssicherheit einer Organisation) und „operativem Datenschutz“ mit Hilfe des SDM (Gewährleistung der Rechte und Freiheiten natürlicher Personen) kann nicht ausgeschlossen werden, dass die Schutzbedarfsfeststellungen nach Grundschutz und nach SDM für dieselbe Verarbeitung unterschiedlich ausfallen. Kommt es zu unterschiedlichen Bewertungen, | + | |
- | + | ||
- | == D3.4 Bestimmung technischer und organisatorischer Maßnahmen insbesondere bei hohem Risiko == | + | |
- | + | ||
- | Grundsätzlich sind Datenverarbeitungsprozesse und damit die Spezifikation der Datenverarbeitung so zu gestalten, dass, wenn möglich, die Verarbeitung ohne Personenbezug erfolgt oder zumindest die Risiken gemindert werden. Wurde beispielsweise als Risiko identifiziert, | + | |
- | + | ||
- | - Es sind die Maßnahmen des Referenzmaßnahmen-Katalogs umzusetzen, die bei normalem Ausgangsrisiko bzw. normalem Schutzbedarf zu ergreifen sind. | + | |
- | - Zusätzliche Maßnahmen aus dem Referenzmaßnahmen-Katalog sind umzusetzen. | + | |
- | - Zusätzlich sind individuelle Maßnahmen auszuwählen. Ein Beispiel für eine individuelle Maßnahme könnte darin bestehen, bestimmte Vorgänge einer Verarbeitungstätigkeit nur auf Antrag bzw. nach einer Prüfung freizugeben und diese Tätigkeit dann im Betrieb zu überwachen, | + | |
- | - Die Wirkung einer Maßnahme kann erhöht wird, indem Skalierungsmöglichkeiten genutzt werden.\\ Ein Beispiel hierfür ist die Erhöhung der Länge eingesetzter kryptografischer Schlüssel. Ein anderes Beispiel wäre die Sicherung von Protokolldaten, | + | |
- | - Auf alle schon getroffenen Maßnahmen sind ihrerseits technische und organisatorische Maßnahmen anzuwenden, um die Wirksamkeit, | + | |
- | + | ||
- | Zu beachten ist, dass neue Risiken durch ergriffene technische und organisatorische Maßnahmen entstehen können. Diese Risiken sind zu bewerten und angemessen zu reduzieren. Als Beispiel kann eine Vollprotokollierung von Mitarbeiter-Handlungen gefordert sein, die zugleich das Risiko birgt, dass durch Auswertungen dieses Protokolls eine unzulässige Leistungs- und Verhaltenskontrolle stattfindet. Wird in diesem Schritt eine Verarbeitung so verändert, dass die getroffenen Maßnahmen zu neuen Risiken, die höher sind als das Ausgangsrisiko, | + | |
- | + | ||
- | === D4 Datenschutzmanagement mit dem Standard- Datenschutzmodell === | + | |
- | + | ||
- | Das Datenschutzmanagement ist eine umfassende Methode, um systematisch alle Anforderungen des Datenschutzrechts in einer Organisation umzusetzen. Im Folgenden wird ein Datenschutzmanagement im Zusammenspiel mit dem SDM näher beschrieben. | + | |
- | + | ||
- | == D4.1 Rechtliche Grundlagen des Datenschutzmanagements == | + | |
- | + | ||
- | Der Verantwortliche ist für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss den Nachweis darüber erbringen können. Konkret muss der Verantwortliche gemäß [[wiki: | + | |
- | + | ||
- | Damit der Verantwortliche den detaillierten Anforderungen in Bezug auf die operative Umsetzung der Betroffenenrechte und seinen Rechenschafts- und Nachweispflichten (vgl. Abschnitt B1.8) nachkommen kann, ist eine systematische Vorgehensweise bei der Prüfung und Beurteilung erforderlich, | + | |
- | + | ||
- | == D4.2 Vorbereitungen == | + | |
- | + | ||
- | Vor dem Start des DSM-Zyklus sind ebenso wie vor der Anwendung des SDM ((S. hierzu bereits Fn. 5.)) die folgenden drei Voraussetzungen zu klären: | + | |
- | + | ||
- | - Klarheit über die sachlichen Verhältnisse, | + | |
- | - Prüfung der Zulässigkeit der Verarbeitung. ((Zur Differenzierung zwischen Zulässigkeit und Rechtmäßigkeit s. Kapitel A1.)) | + | |
- | - Weitere materiellrechtliche Beurteilungen der Rechtmäßigkeit dieser Verarbeitung. | + | |
- | + | ||
- | Zur Feststellung der sachlichen Verhältnisse beim Verantwortlichen der Verarbeitungstätigkeit sind beispielsweise folgende Fragen zu klären: | + | |
- | + | ||
- | * Welche Stellen sind an der Verarbeitung beteiligt? | + | |
- | * Wer trägt für welche Teile der Verarbeitung die Verantwortung? | + | |
- | * Welche Geschäftsprozesse des Verantwortlichen werden durch die Verarbeitung unterstützt? | + | |
- | * Welche Daten werden in welchen Schritten und unter Nutzung welcher Systeme und Netze verarbeitet? | + | |
- | * Welche Personen nehmen die Datenverarbeitung vor und durch welche Personen erfolgt eine Kontrolle? | + | |
- | * Welche Hilfsprozesse werden zur Unterstützung der Verarbeitungstätigkeit betrieben? | + | |
- | + | ||
- | Im Rahmen der Prüfung der Zulässigkeit der Verarbeitung ist die Rechtsgrundlage für die Verarbeitung zu bestimmen. Dazu können bei der Verarbeitung personenbezogenen Daten ((Werden besondere Kategorien personenbezogener Daten verarbeitet, | + | |
- | + | ||
- | * Bilden Einwilligungen der Betroffenen die Rechtsgrundlage der Verarbeitungstätigkeit? | + | |
- | * Ist die Verarbeitung für die Erfüllung eines Vertrags erforderlich, | + | |
- | * Ist die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich, | + | |
- | * Ist die Verarbeitung erforderlich, | + | |
- | * Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, | + | |
- | * Ist die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich? | + | |
- | Die materiellrechtliche Bewertung beurteilt, inwieweit die vom Verantwortlichen geplante und gegebenenfalls von der Aufsichtsbehörde zu prüfende Verarbeitungstätigkeit grundsätzlich zulässig ist. Darüber hinaus gibt sie Antworten insbesondere auf die folgenden Fragen, die die Anwendung des SDM vorbereiten: | + | |
- | * Welches nationale Datenschutzrecht ist auf die Verarbeitung anzuwenden? | + | |
- | * Welche legitimen Zwecke können mit der Verarbeitung verfolgt werden und welche | + | |
- | Zweckänderungen sind im Zuge der Verarbeitung zulässig? | + | |
- | * Welche Daten sind für die Erfüllung der zulässigen Zwecke erheblich und erforderlich? | + | |
- | * Welche Rechtsgrundlagen bestehen zur Übermittlung von Daten an Personen innerhalb und außerhalb der beteiligten Stellen sowie von diesen an Dritte? | + | |
- | * Sind die erforderlichen Vereinbarungen getroffen, wenn mehrere Verantwortliche in die Verarbeitungstätigkeit involviert sind und gemeinsam verantwortlich sind ([[wiki: | + | |
- | * Sind Auftragsverarbeiter in die Verarbeitung involviert und sind die | + | |
- | Rechtsverhältnisse zwischen ihnen geregelt ([[wiki: | + | |
- | * Welchen, auf den Einzelfall bezogenen, besonderen Anforderungen müssen die technischen und organisatorischen Maßnahmen genügen? | + | |
- | + | ||
- | Ausführlichkeit und Detaillierungsgrad insbesondere der Feststellungen zu den sachlichen Verhältnissen werden von Verarbeitung zu Verarbeitung variieren, ebenso wie der Grad der Formalisierung des Vorgehens von informeller Befragung bis hin zum Einsatz von standardisierten Fragebögen. Eine strukturierte Zusammenfassung der Ergebnisse ist unabhängig davon ebenso üblich wie für die weiteren Schritte unentbehrlich. Die Feststellungen zu den sachlichen Verhältnissen gehen in die Phase 1 | + | |
- | „Planen/ | + | |
- | + | ||
- | == D4.3 Spezifizieren und Prüfen == | + | |
- | + | ||
- | Grundlegende Voraussetzung für ein Spezifizieren (siehe Abschnitt D4.5.1) und ein späteres Prüfen (siehe Abschnitt D4.5.3) ist die Festlegung, wie die Gewährleistungsziele für die betrachtete Datenverarbeitung operationalisiert werden. | + | |
- | + | ||
- | * In Abhängigkeit vom festgestellten Risiko (siehe dazu auch Abschnitt D3) und unter Bezug auf die konkreten rechtlichen Anforderungen sind die aus den jeweiligen Gewährleistungszielen resultierenden Eigenschaften der Verarbeitungstätigkeit qualitativ näher zu bestimmen: **Verfügbarkeit** //Innerhalb von welchen Prozessen ist für wen die Verfügbarkeit von welchen Daten zu gewährleisten? | + | |
- | * **Integrität** //Welche Daten sind auf eine identifizierte oder identifizierbare Person bezogen und müssen daher unversehrt und aktuell gehalten werden?// Wie wird sichergestellt, | + | |
- | * **Vertraulichkeit** //Wem ist die Kenntnisnahme welcher Daten zu verwehren? Welche Prozesse, Systeme und Dienste sind potentiell für unbefugte Zugriffe anfällig?// | + | |
- | * **Transparenz** //Wie und in welcher Form ist die Datenverarbeitung gegenüber betroffenen Personen und Aufsichtsbehörden transparent zu halten?// Es sind Anforderungen an die Informations- und Auskunftspflichten gemäß [[wiki: | + | |
- | * **Intervenierbarkeit** //In welcher Ausprägung sind Betoffenenrechte zu gewähren?// | + | |
- | * **Nichtverkettung** //Welche Zweckänderungen sind zulässig? Welche Zwecke von Hilfsprozessen leiten sich aus den Kernprozessen legitim ab?// Benötigt werden lediglich Aussagen zu solchen Zwecken, welche die Verantwortlichen tatsächlich verfolgen bzw. zu verfolgen beabsichtigen. Maßnahmen zur Gewährleistung der Nichtverkettung sollen mit dem Ziel ergriffen werden, die Verarbeitung oder Nutzung der Daten für alle außer den festgelegten legitimen Zwecken auszuschließen. | + | |
- | * **Datenminimierung** //Auf welche Weise wird das Gebot der Datenminimierung umgesetzt?// | + | |
- | * **Belastbarkeit** //Sind Systeme und Prozesse auf Ereignisse, welche Störungen der regulären Abläufe verursachen, | + | |
- | + | ||
- | Nachdem die Gewährleistungsziele bzgl. der Verarbeitungstätigkeit qualitativ konkretisiert wurden, können technische und organisatorische Maßnahmen bestimmt werden. Zu diesem Zweck werden die Ergebnisse der Datenschutzfolgen-Abschätzung herangezogen, | + | |
- | + | ||
- | Zum Ersten können die Gewährleistungsziele quantitativ näher bestimmt werden. Beispiele für Präzisierungen sind Antworten auf folgende Fragen: Für welchen Zeitraum ist der Verlust der Verfügbarkeit der Daten für die Betroffenen in welchem Grad tolerabel? Mit welcher Verzögerung soll die Aktualität der Daten garantiert werden? Mit welcher zeitlichen Präzision muss die Verarbeitung im Nachhinein nachvollzogen werden können? In welchem zeitlichen Rahmen muss der Verantwortliche in der Lage sein, die jeweiligen Betroffenenrechte zu gewähren? Wie lange dürfen Daten zu welchen Zwecken verarbeitet werden, bevor diese von der Verarbeitung ausgeschlossen oder gelöscht werden? | + | |
- | + | ||
- | Zum Zweiten bildet das Ergebnis der Risikoprüfung bzw. der Datenschutz-Folgenabschätzung die Grundlage für die Abwägung zwischen der Wahrung der Interessen der Betroffenen und dem hierfür erforderlichen Aufwand des Verantwortlichen. Für übliche Verarbeitungskontexte ist das Ergebnis einer solchen Abwägung durch die Darstellung typischer Referenzmaßnahmen in Kapitel D1 vorgezeichnet. | + | |
- | + | ||
- | Zum Dritten fließt das Ergebnis der Datenschutz-Folgenabschätzung in die Bewertung der Restrisiken ein, die nach Umsetzung der Maßnahmen verbleiben, die mit einem Aufwand ergriffen werden können, der in angemessenem Verhältnis zum Zweck der Verarbeitung besteht. Diese Risiken können von dem Interesse Dritter oder Beteiligter abhängen, die Gewährleistungsziele zu verletzen, sei es um Daten der Betroffenen unbefugt zur Kenntnis zu nehmen, um sie für illegitime Zwecke, über das erforderliche Maß hinaus oder in intransparenter Weise zu verarbeiten. | + | |
- | + | ||
- | == D4.4 Datenschutzmanagement-Prozess == | + | |
- | + | ||
- | Ausgehend von den Vorbereitungen (siehe Abschnitt D4.2) kann bestimmt werden, in welcher Ausprägung die Gewährleistungsziele (siehe Abschnitt D4.3) anzuwenden und zu betrachten sind. | + | |
- | + | ||
- | Der DSM-Prozess (siehe Abbildung 1) wird in Anlehnung an den bewährten PDCA-Zyklus ausgestaltet. Der Datenschutz-PDCA-Zyklus (DSM-Zyklus) umfasst die folgenden vier Phasen: | + | |
- | + | ||
- | * Plan: Planen und Spezifizieren / DSFA / Dokumentieren | + | |
- | * Do: Implementieren / Protokollieren | + | |
- | * Check: Kontrollieren / Prüfen / Beurteilen | + | |
- | * Act: Verbessern | + | |
- | + | ||
- | Das SDM unterstützt den Verantwortlichen bei der Durchführung von Schwellwertanalyse und Datenschutz-Folgenabschätzung und der daraus resultierenden Auswahl eines Satzes von technischen und organisatorischen Maßnahmen (Soll-Werte), | + | |
- | + | ||
- | Die zum Ende von Phase 3 getroffene Beurteilung kann in der Folge sowohl Grundlage für die Empfehlung bzw. die Aufforderung der Aufsichtsbehörde als auch der Anweisungen des Verantwortlichen bilden, entweder durch zusätzliche technische oder organisatorische Maßnahmen die Defizite zu beheben oder von der Verarbeitungstätigkeit Abstand zu nehmen, soweit sich die Rechtskonformität nicht herstellen oder eine ausreichende Risikominderung mit verhältnismäßigen Mitteln nicht erreichen lässt (Phase 4 des DSM- Zyklus). | + | |
- | + | ||
- | Die nachfolgende Grafik zeigt den gesamten DSM-Zyklus, in den das SDM eingebunden ist. | + | |
- | + | ||
- | {{ :intra: | + | |
- | + | ||
- | Abbildung 1: Der PDCA-Zyklus des Datenschutzmanagements (DSM-Zyklus) als Rahmen für die Anwendung des Standard- Datenschutzmodells bei Planungs-, Beratungs- und Prüfvorgänge | + | |
- | + | ||
- | Für jede Verarbeitungstätigkeit wird es in der Regel erforderlich sein, den DSM-Zyklus mehrfach zu durchlaufen. Das betrifft insbesondere den Verantwortlichen bei der Planung von Verarbeitungstätigkeiten. So könnte bei der Inbetriebnahme eines Fachverfahrens ein erster Zyklus dessen Testbetrieb betreffen, der zweite Zyklus den Pilotbetrieb und der dritte Zyklus den Wirkbetrieb. Die Häufigkeit der Durchläufe hängt davon ab, wie weit der Verarbeitungskontext an die Erfordernisse des Datenschutzes in der Planungsphase oder im Rahmen eines Prüfprozesses der Aufsichtsbehörde angepasst werden musste. | + | |
- | + | ||
- | == D4.4.1 Plan: Spezifizieren / DSFA / Dokumentieren == | + | |
- | + | ||
- | In Phase 1 zur Planung einer Verarbeitungstätigkeit mit Personenbezug werden angemessene Maßnahmen bestimmt, durch die die Risiken des Grundrechtseingriffs gemildert, der Schutz personenbezogener Daten sichergestellt und die Einhaltung der Verordnung nachgewiesen werden kann. Um den Nachweis der Wirksamkeit der Maßnahmen erbringen zu können, müssen funktionale Anforderungen (Soll-Werte) festgelegt und dokumentiert werden. Diese werden aus den gesetzlichen Anforderungen (Soll) hergeleitet (siehe Teil B Anforderungen der DS-GVO). Erst dann wird festgelegt, welche Aktivitäten der Programme und Systeme und welche Ereignisse von Prozessen zu protokollieren sind. | + | |
- | + | ||
- | Eine wesentliche Komponente der Phase 1 ist die Durchführung einer Schwellwert-Analyse und eine daraus ggfs. resultierende Datenschutz-Folgenabschätzung (DSFA). | + | |
- | + | ||
- | Eine DSFA ist durchzuführen, | + | |
- | + | ||
- | Der Verantwortliche muss während der Phase 1 über die DSFA entscheiden. Am Ende der Phase 1 entscheidet er über die geplante Implementierung der Funktionen und der technischen und organisatorischen Maßnahmen. | + | |
- | + | ||
- | Die Durchführung einer DSFA ist dabei kein einmaliger Vorgang. Sollten sich wesentliche Änderungen im Verfahren oder bei den Umständen der Verarbeitung , die die Bewertung bereits erkannter Risiken ändern, oder neue Risiken bekannt werden, so ist die DSFA zu überprüfen und anzupassen. Um dies zu garantieren, | + | |
- | + | ||
- | Die Implementierung der empfohlenen Funktionen und der technischen und organisatorischen Maßnahmen geschieht in Phase 2 des DSM. | + | |
- | + | ||
- | Weitere Details zur systematischen Durchführung einer Datenschutz-Folgenabschätzung können dem Kurzpapier Nr. 5 der Datenschutzkonferenz entnommen werden. ((https:// | + | |
- | + | ||
- | == D4.4.2 Do: Implementieren / Protokollieren == | + | |
- | + | ||
- | In Phase 2 werden die aus den Ergebnissen der Phase 1 empfohlenen Maßnahmen entsprechend den Anweisungen des Verantwortlichen umgesetzt. Auf der Basis der Dokumentation der funktionalen Soll-Werte werden Aktivitäten von IT-Systemen und Administratoren und welche Ereignisse prüffähig dokumentiert und protokolliert. Beim Vorliegen eines DSFA-Berichts muss der Verantwortliche dessen Ergebnisse bei der Implementierung von Verarbeitungstätigkeiten berücksichtigen. | + | |
- | + | ||
- | Bei der Implementierung von Systemen und Programmen ist darauf zu achten, dass anhand von System-Dokumenten und Protokollen die Funktionen der Fachapplikationen und der Schutzvorkehrungen von IT-Systemen und Diensten auf den verschiedenen Ebenen (Client, Server) überprüft werden können. Das Vorliegen dieser Dokumente und Protokolle (Ist- Werte) ist die Voraussetzung zur Durchführung der Phase 3 des DSM. | + | |
- | + | ||
- | == D4.4.3 Check: Kontrollieren, | + | |
- | + | ||
- | Der Kern der Anwendung des SDM im DSM-Zyklus besteht darin, die in der Planungsphase bestimmten funktionalen Soll-Werte mit den festgestellten Ist-Werten in Beziehung zu setzen (Phase 3a). Zudem werden die relevanten Referenzmaßnahmen mit den tatsächlich umgesetzten technischen und organisatorischen Maßnahmen verglichen. Abweichungen vom Soll sind danach zu beurteilen, inwieweit sie die Umsetzung der Grundsätze aus [[wiki: | + | |
- | + | ||
- | In der Prüf- und Beurteilungspraxis lässt sich häufig mit nur geringem Aufwand feststellen, | + | |
- | + | ||
- | Ausgangspunkt für die datenschutzrechtliche Beurteilung einer Verarbeitungstätigkeit ist die Feststellung der funktionalen Soll-Ist-Differenzen. Diese Differenzen werden in der Beurteilungsphase (Phase 3b) wieder ins Rechtliche übersetzt und mit den datenschutzrechtlichen Anforderungen (Soll) verglichen. Im Rahmen einer datenschutzrechtlichen Beurteilung werden aus den festgestellten Abweichungen ggfs. „normative Mängel“. Je gravierender ein Mangel ist, umso wirksamer muss er durch entsprechende Änderungsanweisungen in Phase 4 des DSM-Prozesses für ein erneutes Durchlaufen aller Phasen des DSM-Zyklus abgestellt werden. Das Ergebnis der Phase 3b besteht in Beurteilungen, | + | |
- | + | ||
- | == D4.4.4 Act: Verbessern und Entscheiden == | + | |
- | + | ||
- | Die in Phase 3b festgestellten Mängel müssen so formuliert sein, dass anschließend konkrete funktionale Maßnahmen getroffen werden können. Diese Beurteilungen als Ergebnisse aus Phase 3 sind vom Verantwortlichen in Phase 4 zu sichten, zu beraten und zu priorisieren. In dieser Phase 4 müssen festgestellte Mängel zu Entscheidungen des Verantwortlichen und daraus resultierenden Anweisungen zu Änderungen von Maßnahmen oder zu neuen Maßnahmen führen, die dann im einen neuen Zyklus zu planen, zu implementieren und zu prüfen sind. Wurden Maßnahmen getroffen, die alle Mängel beseitigen, kann davon ausgegangen werden, dass alle Defizite beseitigt wurden und die Verarbeitungstätigkeit rechtskonform ist. | + |