Fragen zur Datenschutzfolgenabschätzung

Um eine zügige DSFA durchführen zu können und auch, um eben nicht mit tausenden Ping-Pong-Mails zu nerven („Ich hätte da für die DSFA noch eine Frage. an Dich“), bitte ich Dich, mir hier ein paar Angaben zu machen.

Das Ergebnis geht mir automatisch zu und wir können loslegen.

 

Danke!

 

Gem. Art. 35 DSGVO ist bei Verarbeitungen, für die "voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" besteht, vom Verantwortlichen eine DSFA durchzuführen.

Wer ist Verantwortlicher? Hier ist es definiert.

Los geht's:

 

 5%

Question 1 of 20

1. Überblick:Welche Verarbeitung wird in Betracht gezogen? (Geben Sie einen kurzen Überblick über die zu berücksichtigende Verarbeitung, ihre Art, ihren Umfang, ihren Kontext, ihre Zwecke und ihre Beteiligten. Identifizieren Sie den Verantwortlichen und alle Auftragsverarbeiter. Listen Sie die für die Verarbeitung geltenden Standards und Normen auf, die erforderlich sind oder eingehaltenwerden müssen, nicht zuletzt die genehmigten Verhaltensregeln (vgl. Art. 40 der [DS-GVO]) und Zertifizierungen zum Datenschutz (vgl. Art. 42 [DS-GVO])

Question 1 of 20

Question 2 of 20

2. Welche Verantwortlichen sind mit der Verarbeitung betraut?  Beschreiben Sie die Verantwortlichkeiten der Beteiligten: des Verantwortlichen, der möglichen Auftragsverarbeiter und der gemeinsam Verantwortlichen.

Question 2 of 20

Question 3 of 20

3. Gibt es Normen oder Standards für die Verarbeitung?Nennen Sie die relevanten Standards für die Verarbeitung, insbesondere die anerkannten Richtlinien und Verhaltensregeln (codes of conduct) und die Datenschutzzertifizierung.

Question 3 of 20

Question 4 of 20

4. Welche Daten werden verarbeitetet?Listen Sie die gesammelten und verarbeiteten Daten auf. Definieren Sie je Datenkategorie die Speicherdauer ,die Empfänger und die zugriffsberechtigten Personen.

Question 4 of 20

Question 5 of 20

5. Wie funktioniert der Lebenszyklus von Daten und Prozessen?Präsentieren und beschreiben Sie, wie die Verarbeitung in der Regel funktioniert (von der Datensammlung bis zur Datenlöschung, den verschiedenen Verarbeitungsstufen, Speicherung, etc.) und verwenden Sie zum Beispiel ein Diagramm der Datenflüsse (fügen Sie es als Anhang hinzu) und eine detaillierte Beschreibung des Prozesses.

Question 5 of 20

Question 6 of 20

6. Wie wird die Verarbeitung unterstützt?Listen Sie die unterstützenden Mittel auf (Betriebssysteme, Geschäftsanwendungen, Datenbankverwaltungssysteme, Office-Suites, Protokolle, Konfigurationen usw.).

Question 6 of 20

Question 7 of 20

7. Grundlegende PrinzipienIn diesem Abschnitt können Sie die grundsätzlichen Compliance-Regelungen zum Datenschutz darstellen.

VERHÄLTNISMÄSSIGKEIT UND NOTWENDIGKEIT

In diesem Teil können Sie nachweisen, dass Sie die notwendigen Mittel einsetzen, um den betroffenen Personen die Ausübung ihrer Rechte zu ermöglichen.Sind die Verarbeitungszwecke eindeutig und legitim?Erklären Sie, warum die Verarbeitungszwecke bestimmt, eindeutig und legitim sind.

Question 7 of 20

Question 8 of 20

8. Auf welcher Rechtsgrundlage erfolgt die rechtmäßige Verarbeitung?(kann vorerst noch offen bleiben)

Beschreiben Sie die Grundlage(n) Ihrer Verarbeitung (z. B. Zustimmung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen usw.).

Question 8 of 20

Question 9 of 20

9. Sind die erhobenen Daten angemessen, relevant und auf das für die Datenverarbeitung Notwendige beschränkt?Erläutern Sie, warum alle Daten für Ihre Verarbeitung benötigt werden.

Question 9 of 20

Question 10 of 20

10. Sind die Daten korrekt und auf dem neuesten Stand?Beschreiben Sie, welche Schritte unternommen wurden, um die Qualität der Daten sicherzustellen.

Question 10 of 20

Question 11 of 20

11. Welche Speicherdauer haben die Daten?Für jede Art von Daten muss eine Speicherdauer definiert und durch die gesetzlichen Anforderungen und / oder Verarbeitungsanforderungen gerechtfertigt sein. Dabei wird zwischen aktuellen Daten und archivierten Daten unterschieden, auf die sich der Zugang nur auf die betroffenen Akteure beschränkt. Ein Löschmechanismus muss implementiert werden, um aktuelle Daten zu archivieren oder archivierte Daten am Ende der Speicherdauer zu löschen. Funktionelle Spuren müssen ebenso bereinigt werden wie technische Protokolle, die nicht unbegrenzt gespeichert werden können.

Question 11 of 20

Question 12 of 20

12. REGELUNGEN ZUM SCHUTZ DER PERSÖNLICHKEITSRECHTE DER BETROFFENEN PERSONENIn diesem Teil können Sie nachweisen, dass Sie die notwendigen Mittel einsetzen, um den betroffenen Personen die Ausübung ihrer Rechte zu ermöglichen. 

Wie werden die betroffenen Personen über die Verarbeitung informiert?Beschreiben Sie, welche Informationen den betroffenen Personen zur Verfügung gestellt werden und welche Mittel dafür zur Verfügung stehen.

Question 12 of 20

Question 13 of 20

13. Wie erfolgt die Zustimmung der betroffenen Personen?Beschreiben Sie die Regelungen, die sicherstellen sollen, dass die Zustimmung der Betroffenen eingeholt wurde.

Question 13 of 20

Question 14 of 20

14. Wie können Betroffene ihre Recht auf Auskunft und Datenübertragbarkeit ausüben?Beschreiben Sie die Regelungen, mit denen betroffene Personen ihre Daten abrufen, erhalten und übertragen können.

Question 14 of 20

Question 15 of 20

15. Wie können betroffene Personen ihr Recht auf Berichtigung und Löschung ausüben?Beschreiben Sie die Regelungen, mit denen betroffene Personen ihre Daten abrufen, erhalten und übertragen können.

Question 15 of 20

Question 16 of 20

16. Wie können betroffene Personen ihre Rechte auf Einschränkung oder Widerspruch der Verarbeitung ausüben?Beschreiben Sie die Regelungen, mit denen betroffene Personen die Verarbeitung ihrer Daten einschränken und ablehnen können.

Question 16 of 20

Question 17 of 20

17. Sind die Verpflichtungen der Auftragsverarbeiter klar definiert und vertraglich geregelt?Beschreiben Sie für jeden Auftragsverarbeiter seine Verantwortlichkeiten (Dauer, Umfang, Zweck, dokumentierte Verarbeitungsanweisungen, vorherige Genehmigung) und stellen Sie die Verträge, Verhaltensregeln (codes of conduct) und Zertifizierungen bereit, die seine Aufgaben und Verpflichtungen bestimmen.

Question 17 of 20

Question 18 of 20

18. Werden die Daten bei Datenübermittlungen in Länder außerhalb der Europäischen Union angemessen geschützt?Identifizieren sie jedes Land außerhalb der Europäischen Union, in dem Daten gespeichert oder verarbeitet werden, und geben Sie an, ob es anerkanntermaßen ein angemessenes Datenschutzniveau bietet oder beschreiben Sie die Vertragsbedingungen, die den Transfer regeln.

Question 18 of 20

Question 19 of 20

19. RisikenIn diesem Abschnitt können Sie die Datenschutzrisiken unter Berücksichtigung bestehender oder geplanter Regelungen bewerten.

Beschreiben Sie mögliche Risiken in Bezug auf die geplante Datenverarbeitung.Orientieren Sie sich an den verschiedenen geplanten Phasen der Datenverarbeitung

Question 19 of 20

Question 20 of 20

20. Ordnen Sie den Risiken konkrete Maßnahmen zu

Question 20 of 20


 

.