This website requires Javascript for some parts to function propertly. Your experience may vary.

Datenschutz-Folgenabschätzung effizient erstellen | DGSVO

Datenschutz-Folgenabschätzung

Erstellen Sie Datenschutz-Folgenabschätzungen (DSFA) mit Hilfe von Textbausteinen in einer übersichtlichen und strukturierten Oberfläche. Selbstverständlich begleitet preeco | datenschutz den gesamten Lebenszyklus einer Datenschutz-Folgenabschätzung von der initialen Festlegung der Rahmenbedingung über die Definition der umzusetzenden Maßnahmen bis hin zu einem abschließenden Urteil über die Zulässigkeit der geprüften Verarbeitungstätigkeit(en). Entscheiden Sie selbst, ob Ihre Datenschutz-Folgenabschätzung ausführlich oder minimalistisch ausfallen soll.

Voraussetzungen

Bedienoberfläche

Unter Allgemein > Bedienoberfläche erhalten Sie nützliche Hinweise zum Umgang mit der Bedienoberfläche in preeco | datenschutz und informationssicherheit.

Umgang mit Dokumenten

Unter Allgemein > Umgang mit Dokumenten erhalten Sie nützliche Hinweise zum Umgang mit den Dokumenten in preeco | datenschutz und informationssicherheit.

Übersicht über alle Datenschutz-Folgenabschätzungen

Klicken Sie unter der Rubrik Dokumentation auf Datenschutz-Folgenabschätzungen, gelangen Sie zunächst auf eine Übersichtsseite. Hier sehen Sie die folgenden Informationen zu den bereits existierenden Datenschutz-Folgenabschätzungen tabellarisch ein:

  • Status
  • Bezeichnung
  • Die zugeordneten Organisationseinheiten
  • Sprache
  • Verknüpfung mit einer oder mehreren Verarbeitungstätigkeiten
  • Tags
  • Download als PDF, DOCX oder XLSX

Die Spalte Verarbeitungstätigkeite/n zeigt einen Punkt für jede Verarbeitungstätigkeit, mit der die Datenschutz-Folgenabschätzung verbunden wurde. Die Farbe des Punkts zeigt Ihnen den Status der jeweiligen Verarbeitungstätigkeit.

Inhalt der Datenschutz-Folgenabschätzungen

Öffnen Sie ein Dokument in der Lese-Ansicht und klicken Sie auf den Button Bearbeiten rechts oben, um in die Bearbeiten-Ansicht zu gelangen.

Hier sehen Sie links ein Inhaltsverzeichnis, das Ihr Dokument in prägnante Kapitel untergliedert. So sehen Sie immer, wo Sie sich befinden und können per Klick auf das gewünschte Thema gezielt zu den Inhalten springen.

Mittig in der Bearbeiten-Ansicht finden Sie das Formular, über welches Sie das Dokument inhaltlich füllen können. Das Formulare ist für die entsprechenden Zwecke vorstrukturiert. Für eine effiziente Eintragung der relevanten Informationen stehen Ihnen zahlreiche Textbausteine zur Verfügung. Textbausteine können Sie jederzeit ändern, neu anlegen oder löschen. Um einen Textbaustein aus der Bearbeiten-Ansicht heraus neu anzulegen, wählen Sie den Neu Button rechts neben dem Eingabefeld. Um einen Textbaustein zu editieren, wählen Sie diesen zunächst aus und klicken anschließend auf den Stift Button.

Bitte beachten Sie, dass je nach Ihren Rechten im System der Textbaustein ggf. nicht für Sie zur Bearbeitung freigegeben ist. In solchen Fällen können Sie den Textbaustein über das Icon Duplizieren für Ihr Unternehmen übertragen und anschließend wie gewünscht abändern.

Auf der rechten Seite finden Sie die Seitenleiste mit zahlreichen Informationen und Funktionen, die sich auf Ihr geöffnetes Dokument beziehen.

In der oberen rechten Ecke, neben dem 3-Punkte-Menü und Speichern, werden Ihnen gleichzeitige Bearbeiter des Dokuments angezeigt. Diese können Sie anhand der Initialen identifizieren. Um Datenverluste zu vermeiden, sollten Sie zu weiteren Bearbeitern Kontakt aufnehmen, da nur die letzte Speicherung im System erfasst wird.

Allgemeiner Teil der Datenschutz-Folgenabschätzung

Die Angaben im Bereich Allgemein sind für die meisten Dokumente in ::pdi:: ähnlich.

Bezeichnung

Möglichst treffender Name für den Eintrag.

Status

Wählen Sie den gewünschten Status für das Dokument. Nicht alle Status können manuell gewählt werden, sondern werden automatisch bei Durchführung bestimmter Prozesse gesetzt.

Tags

Tags können Sie hinterlegen, um die Wiederauffindbarkeit eines Dokuments zu gewährleisten. Die Tags können durch optional vergebene Stichworte über die Suche gefunden werden. Die von Ihnen gewählten Tags sind für alle Dokumente Ihres Pakets wiederverwendbar.

Beobachter

Beobachter werden bei bestimmten Ereignissen, wie z.B. dem Freigeben des Dokuments, per E-Mail benachrichtigt. Die Art und Häufigkeit der Benachrichtigung hängt von den Zugriffsrechten und den Einstellungen des Benutzers unter Mein Profil > Meine Einstellungen > Benachrichtigungen ab.

Wählen Sie im Feld Beobachter die gewünschten Benutzer aus, um diese als Beobachter für das aktuelle Dokument hinzuzufügen.

Status vergeben

Tragen Sie im allgemeinen Bereich den Status Ihres Dokuments ein. Dem Dokument wird abhängig vom Status eine Ampelfarbe zugewiesen, sodass Sie den Stand Ihrer Dokumentation auch visuell erfassen können.

  • Neu (rot)
  • In Bearbeitung (gelb)
  • Archiviert (grau)
  • Akzeptabel (grün)
  • Handeln/Prüfen (gelb)
  • Inakzeptabel (rot)

Der Status Neu gibt an, dass Sie Ihr Dokument grundsätzlich erstellt haben aber noch nicht aktiv daran arbeiten.

In Bearbeitung kennzeichnet Dokumente, an denen Sie bereits aktiv arbeiten, die Inhalte aber noch nicht finalisiert sind.

Das Dokument ist nicht mehr für Ihre aktuelle Dokumentation relevant? Wählen Sie den Status Archiviert aus, um dies zu symbolisieren.

Eine Datenschutz-Folgenabschätzung hat darüber hinaus noch drei weitere Status, die sich auf die Beurteilung der Verarbeitungstätigkeiten beziehen. Bei der Speicherung der Datenschutz-Folgenabschätzung in einem dieser drei Status wird automatisch eine Revision erzeugt.

Als Akzeptabel kennzeichnen Sie eine Datenschutz-Folgenabschätzung sofern Sie zu dem Schluss gekommen sind, dass die Verarbeitungstätigkeit/en legitim unter den betrachteten Umständen durchführbar ist. Inakzeptabel setzt den Schluss voraus, dass dies nicht der Fall ist.

Sofern die Datenschutz-Folgenabschätzung die Notwendigkeit zur Umsetzung weiterer Maßnahmen ergeben hat und damit eine weitere Evaluierung der Risiken notwendig wird, wählen Sie den Status Handeln/Prüfen.

Zugehörigkeit der Datenschutz-Folgenabschätzung

Wählen Sie, zu welchen Organisationseinheiten ein Dokument gehört. Diese Auswahl ist entscheidend für die Steuerung des Zugriffs durch Benutzer, deren Rollen und Rechte auf Organisationseinheiten beschränkt sein können.

Die Software trifft für Sie anhand des in der Navigation ausgewählten globalen Filters eine Vorauswahl für das Dokument.

Standard Rechtesystem

Im Standard Rechtesystem können Sie ein Dokument einem Unternehmen/Behörde oder einem Bereich zuordnen sowie beliebig vielen jeweils untergeordneten Abteilungen/Ämter. Bei der Zuordnung der Abteilungen/Ämter wird immer das übergeordnete Unternehmen/Behörde oder der übergeordnete Bereich automatisch mit ausgewählt. Über die Auswahl Alle Organisationseinheiten weisen Sie das Dokument entsprechend allen im Paket erfassten Organisationseinheiten zu.

Erweiteres Rechtesystem

Im Erweiterten Rechtesystem können Sie das Dokument auch feingranular den betreffenden Organisationseinheiten aus Unternehmen/Behörden, Bereichen und Abteilungen/Ämter einzeln zuordnen und eine beliebige Zuweisung vornehmen. Über den Alle-Schalter wählen Sie alle untergeordneten Organisationseinheiten der übergeordneten Organisationseinheit aus.

Hinweis zu den Benutzerrechten

Im Standard Rechtesystem muss der Benutzer in seiner Zugehörigkeit dem zugewiesenen Unternehmen/Behörde bzw. dem zugewiesenen Bereich des Dokuments gehören, um entsprechend seine Benutzerrechte der Funktion anwenden zu können. Die Abteilungen/Ämter werden bei der Rechteprüfung im Standard Rechtesystem nicht beachtet und dienen Ihrer internen Zuordnung.

Im Erweiterten Rechtesystem muss der Benutzer in seiner Zugehörigkeit für die in den Benutzerrechten erteilte Bearbeitung mindestens allen dem Dokument zugewiesenen Organisationseinheiten angehören. Falls er dies nicht erfüllt und nicht allen zugewiesenen Organisationseinheiten des Dokuments angehört, aber mindestens einer, kann er das Dokument zumindest lesen.

Kontext der Datenschutz-Folgenabschätzung

Im Bereich Kontext geben Sie die Rahmenbedingungen der durchgeführten Datenschutz-Folgenabschätzung an. Sie können mit Hilfe von Textbausteinen angeben, warum die Datenschutz-Folgenabschätzung durchgeführt wird. Geben Sie zudem an, auf welche Verarbeitungstätigkeit/en sich die Datenschutz-Folgenabschätzung bezieht.

Nicht unwesentlich ist es zudem, zu dokumentieren, wer an der Erstellung der Datenschutz-Folgenabschätzung teilnimmt. Durch Klicken auf das Neu Icon können Sie Akteure hinzufügen. Geben Sie für jeden Akteur an, welcher Typ des Akteurs zutreffend ist. Klicken Sie auf das Kontakte Icon (links neben dem Wort Kontaktdaten), um die Kontaktdaten nicht manuell einzugeben, sondern aus dem preeco Adressbuch zu laden. Darüber hinaus können Sie für jeden Akteur eine Beschreibung der Rolle und einen Standpunkt des Akteurs angeben.

Schwellwert-Analyse in der Datenschutz-Folgenabschätzung

Im Rahmen der Verarbeitungstätigkeiten haben Sie idealerweise bereits für jede einzelne Verarbeitungstätigkeit eine Schwellwert-Analyse durchgeführt. Diese Daten können Sie nun automatisch in die Felder für Risikoerhöhende Aspekte und Risikoreduzierende Aspekte übernehmen oder die gewünschten Merkmale in die entsprechenden Felder manuell eintragen.

Die Beurteilung aufgrund der Aspekte können Sie nicht automatisch übernehmen, da diese bei den betrachteten Verarbeitungstätigkeiten unterschiedlich ausfallen kann. Geben Sie deshalb bitte hier nun eine Begründung an und machen Sie Angaben zur Notwendigkeit der Erstellung einer Datenschutz-Folgenabschätzung.

Anhänge

In jedem Kapitel einer Datenschutz-Folgenabschätzung haben Sie die Möglichkeit, beliebige Dateien anzuhängen. Diese werden im erzeugten Dokument als Anhang benannt und als Teil der Revision mit in die ZIP-Datei geschrieben. Klicken Sie auf das Neu Icon, um eine Datei hinzuzufügen. Wählen Sie über Durchsuchen die Datei aus, geben Sie eine Bezeichnung ein und klicken Sie anschließend auf Hochladen, um den Prozess abzuschließen.

Beschreibung der Datenschutz-Folgenabschätzung

Fahren Sie nun damit fort, die entsprechenden Verarbeitungstätigkeiten detailliert zu beschreiben. Dank der Verknüpfung zur Verarbeitungstätigkeit/en können Sie die Informationen zu Zwecke der Datenverarbeitung, Datenkategorien, Rechtsgrundlage und Regelfristen für die Löschung automatisch in Ihre Datenschutz-Folgenabschätzung übernehmen. Alternativ können Sie die Informationen auch manuell eintragen, indem Sie das Textfeld Suche nach Textbausteinen über die Checkbox aktivieren.

Systematische Beschreibung

Um die Verarbeitungstätigkeiten besser beurteilen zu können, beschreiben Sie im Rahmen der Datenschutz-Folgenabschätzung die einzelnen Geschäftsprozesse detailliert. Um einen neuen Prozessschritt hinzuzufügen, klicken Sie auf das Neu Icon. Tragen Sie den Namen der Prozessphase ein und geben Sie eine detaillierte Beschreibung der Phase ein. Machen Sie zudem Angaben dazu, welche Informationssysteme, für die Prozessphase relevant sind.

Schutzmaßnahmen

Die Beschreibung der betrachteten Verarbeitungstätigkeiten schließt mit der Angabe der bereits umgesetzten Schutzmaßnahmen ab. Auch die hier verknüpften Dokumente der technischen und organisatorischen Maßnahmen und die weiteren speziellen Maßnahmen können Sie automatisch übernehmen oder an dieser Stelle manuell pflegen.

Anhänge

In jedem Kapitel einer Datenschutz-Folgenabschätzung haben Sie die Möglichkeit, beliebige Dateien anzuhängen. Diese werden im erzeugten Dokument als Anhang benannt und als Teil der Revision mit in die ZIP-Datei geschrieben. Klicken Sie auf das Neu Icon, um eine Datei hinzuzufügen. Wählen Sie über Durchsuchen die Datei aus, geben Sie einen Bezeichnung ein und klicken Sie anschließend auf Hochladen, um den Prozess abzuschließen.

Beurteilung der Datenschutz-Folgenabschätzung

Das Kapitel Beurteilung widmet sich der Eruierung und Einschätzung der vorhanden Risiken. Klicken Sie auf das Neu Icon um ein Risiko hinzuzufügen.

Zu jedem Risiko können Sie die folgenden Angaben hinterlegen:

  • Bezeichnung ist eine frei wählbarer Benennung für das Risiko.
  • Art der Bedrohung dient der Kategorisierungen von Risiken nach Auswirkung auf die verarbeiteten Daten.
  • Beschreibung des Risikos sollte eine möglichst aussagekräftige Beschreibung der Umstände des Bedrohungsszenarios liefern.
  • Im Feld Angreifer bzw. relevante Risikoquellen können Sie mit Hilfe von Textbausteinen festlegen, von welcher Quelle das Risiko ausgeht.
  • Mögliche Schäden (Physisch, materiell, immateriell) geben an, welche Schäden die betroffenen Personen durch einen Eintritt des Risikos erleiden könnten.
  • Die Bewertung des Risikos für die Risikomatrix mit Eintrittswahrscheinlichkeit und Schwere der Auswirkung nehmen Sie in der Regel unter Einbeziehung der Akteure und unter Beachtung der aktuell bestehenden Schutzmaßnahmen vor.

Sollten Sie Maßnahmen zur Bewältigung vorgenommen haben, welche Ihre Beurteilung ändern, dann ändern Sie diese Beurteilung, geben im Abschnitt Bericht eine Bemerkung ein und erzeugen von der Datenschutz-Folgenabschätzung durch Speichern im Status Akzeptabel, Inakzeptabel oder Prüfen / Handeln eine neue Revision der Datenschutz-Folgenabschätzung.

Anhänge

In jedem Kapitel einer Datenschutz-Folgenabschätzung haben Sie die Möglichkeit, beliebige Dateien anzuhängen. Diese werden im erzeugten Dokument als Anhang benannt und als Teil der Revision mit in die ZIP-Datei geschrieben. Klicken Sie auf das Neu Icon, um eine Datei hinzuzufügen. Wählen Sie über Durchsuchen die Datei aus, geben Sie einen Bezeichnung ein und klicken Sie anschließend auf Hochladen, um den Prozess abzuschließen.

Bewältigung der Risiken der Datenschutz-Folgenabschätzung

Sollten Sie festgestellt haben, welche Risiken in Bezug auf Eintrittswahrscheinlichkeit oder Schwere der Auswirkung ein (mindestens) wesentliches Risiko für die betroffenen Personen darstellen, werden Sie in aller Regel Maßnahmen ergreifen müssen. Diese Maßnahmen sollten geeignet sein, um die Risiken entsprechend zu mildern, sodass die Verarbeitungstätigkeiten rechtskonform durchgeführt werden können.

Die durchzuführenden Maßnahmen erfassen Sie in diesem Kapitel. Klicken Sie auf das Neu Icon, um eine weitere Maßnahme hinzuzufügen. Bei jeder Maßnahme können Sie die folgenden Attribute hinterlegen:

  • Die Bezeichnung der Maßnahme sollte eine treffende Benennung habe.
  • Wählen Sie das betreffende Schutzziel der Maßnahme aus.
  • Sie können die Maßnahme direkt auf eines der im Schritt zuvor festgestellten Risiken beziehen. Wählen Sie dieses Risiko im Auswahlfeld aus. Bitte beachten Sie, dass Risiken dort erst erscheinen können, nachdem Sie das Risiko unter Beurteilung eingetragen und auch gespeichert haben.
  • Bei der Dokumentation der Maßnahme unterstützt preeco | datenschutz und informationssicherheit Sie mit vorgefertigten, praxisbewährten Textbausteinen.
  • Die Beschreibung dient der Erläuterung der umzusetzenden Maßnahme.
  • Sie können ebenfalls angeben, wer für die Umsetzung zuständig ist.
  • Im Feld Planung der Umsetzung bis können Sie ein Datum zur Zieldefinition eingeben.
  • Der Status der Umsetzung gibt an, ob sich die geplante Maßnahme noch in der Umsetzung befindet oder ggf. bereits umgesetzt ist. Im Anschluss an eine Umsetung sollten Sie das entsprechende Risiko neu einschätzen und eine neue Revision der Datenschutz-Folgenabschätzung erzeugen.

Wiedervorlage zum entsprechenden Planungs-Datum

Definieren Sie eine Wiedervorlage zum gleichen Datum, welches Sie unter dem Punkt Planung der Umsetzung bis eingetragen haben. So werden Sie terminiert an das Dokument erinnert.

Anhänge

In jedem Kapitel einer Datenschutz-Folgenabschätzung haben Sie die Möglichkeit, beliebige Dateien anzuhängen. Diese werden im erzeugten Dokument als Anhang benannt und als Teil der Revision mit in die ZIP-Datei geschrieben. Klicken Sie auf das Neu Icon, um eine Datei hinzuzufügen. Wählen Sie über Durchsuchen die Datei aus, geben Sie einen Bezeichnung ein und klicken Sie anschließend auf Hochladen, um den Prozess abzuschließen.

Bericht der Datenschutz-Folgenabschätzung

Bei der Durchführung wichtiger Schritte im Lebenszyklus einer Datenschutz-Folgenabschätzung empiehlt es einen Bericht einzutragen. Dieser Bericht kann dabei helfen, die gemachten Schritte zu verdeutlichen und Einschätzungen und Änderungen nachvollziehbar aufzuschlüsseln. Die Beschreibungen werden immer zusammen mit dem aktuellen Datum und dem aktuell angemeldeten Benutzer gespeichert.

Anhänge

In jedem Kapitel einer Datenschutz-Folgenabschätzung haben Sie die Möglichkeit, beliebige Dateien anzuhängen. Diese werden im erzeugten Dokument als Anhang benannt und als Teil der Revision mit in die ZIP-Datei geschrieben. Klicken Sie auf das Neu Icon, um eine Datei hinzuzufügen. Wählen Sie über Durchsuchen die Datei aus, geben Sie einen Bezeichnung ein und klicken Sie anschließend auf Hochladen, um den Prozess abzuschließen.

Erzeugen einer Revision für die Datenschutz-Folgenabschätzung

Eine Revision wird immer dann erstellt, wenn die Datenschutz-Folgenabschätzung in einem der Status Akzeptabel, Inakzeptabel oder Prüfen/Handeln abgespeichert wird. Die Revision einer Datenschutz-Folgenabschätzung wird als ZIP-Datei generiert und beinhaltet neben dem PDF-Dokument auch die Anhänge, welche bei den einzelnen Kapiteln angefügt wurden.

Die Revisionen dienen der besseren Nachvollziehbarkeit Ihres Datenschutzmanagements. Die Revision ist kein Dokument im Abrechnungssinn und kann beliebig oft erzeugt werden. So können Sie chronologisch Änderungen an Ihrem Dokument nachvollziehen.

Verknüpfungen der Datenschutz-Folgenabschätzung mit anderen Dokumenten

Datenschutz-Folgenabschätzungen beziehen sich in der Regel auf eine oder mehrere Verarbeitungstätigkeiten. Darüber hinaus können Sie in der Datenschutz-Folgenabschätzung Bezug auf Dokumente der technischen und organisatorischen Maßnahmen nehmen, die den Stand der derzeitigen Schutzmaßnahmen widerspiegeln.

Die Inhalte dieser Seite und der beschriebenen Software unterliegen stetiger Weiterentwicklung. Für die Richtigkeit wird keine Gewähr übernommen.