Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung 09 - DSGVO - DSFA trifft Verarbeitungsverzeichnis

1. DSFA trifft
Verarbeitungsverzeichnis
Umsetzung der Datenschutz-Grundverordnung

2. Agenda
1 | Verarbeitungsverzeichnis nach Artikel 30 DSGVO
2 | Praxistipps: Verarbeitungsverzeichnis
3 | Abgrenzung der Datenschutzfolgeabschätzung
| Zusammenfassung & Q&A
4 | Praxistipps: Datenschutzfolgeabschätzung
5

3. Verarbeitungsverzeichnis
nach Artikel 30 DSGVO

4. Das Verarbeitungsverzeichnis in der DSGVO
• Artikel 30 DSGVO “Verzeichnis von Verarbeitungstätigkeiten” weist
spezifische Anforderungen aus, die es künftig einzuhalten gilt
• Übliche Gefahren:
 Nicht alle notwendigen Auskünfte werden aufgeführt
 Verwechslungsgefahr mit bereits existierenden Verzeichnissen
• Relevante Artikel und Erwägungsgründe:
• Artikel 30
• Erwägungsgrund 13, 39, 82

5. Ausführlichkeit im Verarbeitungsvz. wird belohnt
• Neben Artikel 30 ist es sinnvoll auch weitere Elemente der DSGVO im
Verarbeitungsverzeichnis anzuführen
• Artikel 7 / Artikel 15-19 / Artikel 20 / Artikel 42-22
• Vor allem auch Artikel 32: Sicherheit der Verarbeitung (in Artikel 30 hingewiesen)
• Einbezug zusätzlicher Regulierungsbehörden und deren
Ausführungen
• Artikel 29 Datenschutzgruppe
• Deutsche Arbeitsgruppe
• Weitere Richtlinien einarbeiten wenn bekannt

6. Bei uns aus zwei Betrachtungswinkeln – Teil 1
• Data Inventory beinhaltet tabellarische Aufzeichnungen aller personenbezogenen
Daten und damit verbundenen Informationen einer Organisation
• Beispiele:
• Datenart
• Datenerhebung
• Datenverarbeitung
• Datentransfer
• Datenspeicherung
• Datensicherheit
• Datenlöschung

7. Bei uns aus zwei Betrachtungswinkeln – Teil 2
• Data Map verweist visuell auf Datenflüsse und Standorte auf Grundlage des Data
Inventory

8. Praxistipps:
Verarbeitungsverzeichnis

9. Schritt 1: Was kann übernommen werden?
• Auflistung
eigener Assets
(CMDB)
• Geschäfts-
prozesse /
Verfahren
• Auflistung von
Drittparteien

10. Schritt 2: Was fehlt noch in der Betrachtung (Art. 30+)?
• Alle DSGVO
Anforderunge
n abgedeckt?
• Einbezug von
weiteren
Elementen?

11. Schritt 3: Welche Zuordnung erscheint sinnvoll?
1. Geschäftsprozesse
2. Applikationen
 Oder beides (Hybrid)
• ? • ?

12. Schritt 4: Wie befüllen Sie das
Verarbeitungsverzeichnis?
Drei Möglichkeiten:
Art. 30 DSGVO
Fragebögen
1
Data Discovery
(Automatisiertes Scanning)
2
API Integrationen
(Bestehendes weiterer
Systeme)
3

13. Schritt 5: Womit starten Sie am besten?
• Leichtester Prozess
Vs.
• Schwerster Prozess
Vs.
• Höchste Risiken

14. Schritt 6: Wer macht die ganze Arbeit?
Binden Sie früh “Privacy Champions” und Fachexperten mit ins Thema
ein
Kern-Datenschutz-Team
Privacy Champions &
Fachexperten aus:
• HR
• Marketing
• Einkauf
• IT
• Compliance
• Usw.

15. Schritt 7: Wie halten Sie das Verarbeitungsvz. aktuell?
Scanning Ergebnisse weisen auf Updates hin
UND
Wiederkehrende Prüfung über Änderungen nach
Risikograd
UND
Verknüpfung von Schwellwertanalysen und DSFAs

16. Abgrenzung der
Datenschutzfolgeabschätzung (DSFA)

17. Unterscheidung: Schwellwertanalyse und DSFA
• Eine Schwellwertanalyse
ist ein Fragebogen zum Identifizieren von Datenschutzrisiken
sowie eine Hilfe zur Reduzierung dieser. .
• Eine Datenschutzfolgeabschätzung
ist eine spezielle Variante davon, welche in der DSGVO mit
besonderen Verpflichtungen verbunden ist (Artikel 35
DSGVO)
Verwechslungsgefahr
PIA & DPIA (Engl.)

18. Verknüpfung von Schwellwertanalyse und DSFA

19. Praxistipps:
Datenschutzfolgeabschätzung

20. Zu beachtende Punkte bei der Erstellung einer DSFA
• Artikel 30
Elemente mit
Assessments
(DSFA)
verknüpfen
• Verzeichnis wird
somit stets
aktualisiert
• Auslegung des
Fragebogens
nach DSGVO
• Checkliste
gestalten
• Rücksprache mit
Rechtsberatung
• Fragen nach
Sektionen unter-
teilen
• Erleichtert die
Handhabung bei
Beantwortung
und Prüfung
DSGVO beachten
Art. 30 Fragen
integrieren
Klare Struktur
2 31

21. Zu beachtende Punkte bei der Erstellung einer DSFA
• Mehr
Information
führt zu
qualitativer
Antwort
• Anhänge,
Beschreibungen,
Verweise, etc.
helfen
• Befragte
kommen aus
diversen
Fachbereichen
• Fragen Sie nicht
zu direkt:
Erfassen sie
personen-
bezogene Daten?
• Wenn-Dann-
Logik einbauen
• Nur relevante
Fragen werden
gestellt
• Risiken können
vordefiniert
werden
Verständlichkeit der
Fragen
Weitere Informationen
bereitstellen
Automatisierte Prozesse
5 64

22. So könnten Automatisierungsprozesse aussehen…

23. …dennoch sollte der Befragte alle Möglichkeiten haben
Variable und offene Antwortmöglichkeiten
7

24. Effizienter Arbeitsablauf beim Durchführen einer DSFA
• Cockpit mit
effizienten
Fragebögen
• Auswahl eines
Fragebogens
bei neuem
Projekt
• Zuordnung
des Projekts
zum
Befragten
• Qualitative
Beantwortung
der richtigen
Fragen
• Überprüfung
der
Antworten
• Risiken
manuell
setzen &
automatisiert
e Risiken
prüfen
• Minderung
der Risiken
• Projekt
abschließen
• Reportfähig
mit nur einem
Klick

25. Die große Stärke eines Tools ist das Reporting!
• Prozesse vollständig dokumentiert und
Berichte stets verfügbar
• Berichte können an den Betrachter
angepasst werden (intern vs. Extern)
• Exportfähigkeit in diversen Formaten:
CSV, Excel, PDF und weitere
• Datenschutzaufsichtsbehörde
hinzuziehen bei hohen Risiken und
sensiblen Daten
Verschiedene Berichte
IT-Teams
Intern vs. Aufsichtsbehörden
*Zeigen Sie nur, was verlangt wird.
Transparenz als Schlüssel zur
DSGVO Compliance

26. Welche Erfahrungen machen wir beim Kunden
60%
15%
25%
Was verwenden die Kunden heute?
Manuelle Lösungen
Datenschutzmanagementsoftwar
e
Gar nichts
• Unterschiedlichste
Aufstellungen im
Unternehmen
• Die meisten
Organisationen stehen
am Anfang
• Guidance ist sehr
willkommen, ob von
Beratern oder uns
• Verarbeitungsverzeichni
s bei allen ein
Hauptaugenmerk

27. Q & A

28. Bei weiteren Fragen jederzeit gerne!
Robert Sindlinger
Master of Science BWL (LMU); CIPP/E
rsindlinger@onetrust.com
+49 175 371 29 83
www.onetrust.com