4. Das Verarbeitungsverzeichnis in der DSGVO
• Artikel 30 DSGVO “Verzeichnis von Verarbeitungstätigkeiten” weist
spezifische Anforderungen aus, die es künftig einzuhalten gilt
• Übliche Gefahren:
Nicht alle notwendigen Auskünfte werden aufgeführt
Verwechslungsgefahr mit bereits existierenden Verzeichnissen
• Relevante Artikel und Erwägungsgründe:
• Artikel 30
• Erwägungsgrund 13, 39, 82
5. Ausführlichkeit im Verarbeitungsvz. wird belohnt
• Neben Artikel 30 ist es sinnvoll auch weitere Elemente der DSGVO im
Verarbeitungsverzeichnis anzuführen
• Artikel 7 / Artikel 15-19 / Artikel 20 / Artikel 42-22
• Vor allem auch Artikel 32: Sicherheit der Verarbeitung (in Artikel 30 hingewiesen)
• Einbezug zusätzlicher Regulierungsbehörden und deren
Ausführungen
• Artikel 29 Datenschutzgruppe
• Deutsche Arbeitsgruppe
• Weitere Richtlinien einarbeiten wenn bekannt
6. Bei uns aus zwei Betrachtungswinkeln – Teil 1
• Data Inventory beinhaltet tabellarische Aufzeichnungen aller personenbezogenen
Daten und damit verbundenen Informationen einer Organisation
• Beispiele:
• Datenart
• Datenerhebung
• Datenverarbeitung
• Datentransfer
• Datenspeicherung
• Datensicherheit
• Datenlöschung
7. Bei uns aus zwei Betrachtungswinkeln – Teil 2
• Data Map verweist visuell auf Datenflüsse und Standorte auf Grundlage des Data
Inventory
9. Schritt 1: Was kann übernommen werden?
• Auflistung
eigener Assets
(CMDB)
• Geschäfts-
prozesse /
Verfahren
• Auflistung von
Drittparteien
10. Schritt 2: Was fehlt noch in der Betrachtung (Art. 30+)?
• Alle DSGVO
Anforderunge
n abgedeckt?
• Einbezug von
weiteren
Elementen?
11. Schritt 3: Welche Zuordnung erscheint sinnvoll?
1. Geschäftsprozesse
2. Applikationen
Oder beides (Hybrid)
• ? • ?
12. Schritt 4: Wie befüllen Sie das
Verarbeitungsverzeichnis?
Drei Möglichkeiten:
Art. 30 DSGVO
Fragebögen
1
Data Discovery
(Automatisiertes Scanning)
2
API Integrationen
(Bestehendes weiterer
Systeme)
3
13. Schritt 5: Womit starten Sie am besten?
• Leichtester Prozess
Vs.
• Schwerster Prozess
Vs.
• Höchste Risiken
14. Schritt 6: Wer macht die ganze Arbeit?
Binden Sie früh “Privacy Champions” und Fachexperten mit ins Thema
ein
Kern-Datenschutz-Team
Privacy Champions &
Fachexperten aus:
• HR
• Marketing
• Einkauf
• IT
• Compliance
• Usw.
15. Schritt 7: Wie halten Sie das Verarbeitungsvz. aktuell?
Scanning Ergebnisse weisen auf Updates hin
UND
Wiederkehrende Prüfung über Änderungen nach
Risikograd
UND
Verknüpfung von Schwellwertanalysen und DSFAs
17. Unterscheidung: Schwellwertanalyse und DSFA
• Eine Schwellwertanalyse
ist ein Fragebogen zum Identifizieren von Datenschutzrisiken
sowie eine Hilfe zur Reduzierung dieser. .
• Eine Datenschutzfolgeabschätzung
ist eine spezielle Variante davon, welche in der DSGVO mit
besonderen Verpflichtungen verbunden ist (Artikel 35
DSGVO)
Verwechslungsgefahr
PIA & DPIA (Engl.)
20. Zu beachtende Punkte bei der Erstellung einer DSFA
• Artikel 30
Elemente mit
Assessments
(DSFA)
verknüpfen
• Verzeichnis wird
somit stets
aktualisiert
• Auslegung des
Fragebogens
nach DSGVO
• Checkliste
gestalten
• Rücksprache mit
Rechtsberatung
• Fragen nach
Sektionen unter-
teilen
• Erleichtert die
Handhabung bei
Beantwortung
und Prüfung
DSGVO beachten
Art. 30 Fragen
integrieren
Klare Struktur
2 31
21. Zu beachtende Punkte bei der Erstellung einer DSFA
• Mehr
Information
führt zu
qualitativer
Antwort
• Anhänge,
Beschreibungen,
Verweise, etc.
helfen
• Befragte
kommen aus
diversen
Fachbereichen
• Fragen Sie nicht
zu direkt:
Erfassen sie
personen-
bezogene Daten?
• Wenn-Dann-
Logik einbauen
• Nur relevante
Fragen werden
gestellt
• Risiken können
vordefiniert
werden
Verständlichkeit der
Fragen
Weitere Informationen
bereitstellen
Automatisierte Prozesse
5 64
23. …dennoch sollte der Befragte alle Möglichkeiten haben
Variable und offene Antwortmöglichkeiten
7
24. Effizienter Arbeitsablauf beim Durchführen einer DSFA
• Cockpit mit
effizienten
Fragebögen
• Auswahl eines
Fragebogens
bei neuem
Projekt
• Zuordnung
des Projekts
zum
Befragten
• Qualitative
Beantwortung
der richtigen
Fragen
• Überprüfung
der
Antworten
• Risiken
manuell
setzen &
automatisiert
e Risiken
prüfen
• Minderung
der Risiken
• Projekt
abschließen
• Reportfähig
mit nur einem
Klick
25. Die große Stärke eines Tools ist das Reporting!
• Prozesse vollständig dokumentiert und
Berichte stets verfügbar
• Berichte können an den Betrachter
angepasst werden (intern vs. Extern)
• Exportfähigkeit in diversen Formaten:
CSV, Excel, PDF und weitere
• Datenschutzaufsichtsbehörde
hinzuziehen bei hohen Risiken und
sensiblen Daten
Verschiedene Berichte
IT-Teams
Intern vs. Aufsichtsbehörden
*Zeigen Sie nur, was verlangt wird.
Transparenz als Schlüssel zur
DSGVO Compliance
26. Welche Erfahrungen machen wir beim Kunden
60%
15%
25%
Was verwenden die Kunden heute?
Manuelle Lösungen
Datenschutzmanagementsoftwar
e
Gar nichts
• Unterschiedlichste
Aufstellungen im
Unternehmen
• Die meisten
Organisationen stehen
am Anfang
• Guidance ist sehr
willkommen, ob von
Beratern oder uns
• Verarbeitungsverzeichni
s bei allen ein
Hauptaugenmerk