i-doit Data Privacy Add-on

Datenkategoriezuweisung

Wie der Name schon vermuten lässt, handelt es sich bei dieser Kategorie vorwiegend um Zuweisungen von Objekten der Typen Datenkategorie, Kontakt und Datenübermittlung. Folgende Attribute stehen zur Verfügung:

• Bezeichnung der Datenkategorie in der konkreten Verarbeitung
• Zuweisung der betroffenen Personen
• Zuweisung der Datenkategorien
• Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 oder 9 DSGVO
• Freitext zur Dokumentation, welche Gesetze oder Interessen die Grundlage sind, wenn wenn als Rechtsgrundlage eine Rechtliche Verpflichtung oder ein überwiegendes Interesse des Verantwortlichen gewählt wurde
• Zuweisung von Datenübermittungen, zur Dokumentation von Empfängern
• Zuweisung von Kontakten, die Zugriff auf die Datenkategorie haben
• Informationen darüber, ob die Daten bei den Betroffenen erhoben wurden
• Falls die Datenkategorien nicht bei den Betroffenen erhoben wurden, die Herkunft der Daten

Kontaktzuweisung

Hier werden Kontakte wie der Verantwortliche im Sine der DSGVO, oder Auftragsverarbeitet, aber auch zuständige Personen, etwa für die Administration zugewiesen.

Datenschutzfolgenabschätzung

Die Kategorie Datenschutzfolgenabschätzung besteht nur aus einem Textfeld, in dem begründet wird, ob eine Datenschutzfolgenabschätzung gemacht werden muss und ein Zuweisungsfeld zu einer Datei die gegebenenfalls die eigentliche Datenschutzfolgenabschätzung beinhaltet.

Notfallplanzuweisung

Objekte des Typs Notfallplan werden hier zugewiesen. Zum Beispiel um das Vergehen bei der Meldung bei Verlust der Kontrolle über Daten zu regeln.

Sicherheitsmaßnahme

Mit dem Objekttyp Sicherheitsmaßnahme werden technische und organisatorische Maßnahmen dokumentiert, die einerseits die Einhaltung der Sicherheitsziele gewährleisten, aber auch sicherstellen, dass die Datenschutz Grundsätze gemäß Artikel 5 DSGVO eingehalten werden.

Allgemein

In der globalen Kategorie Allgemein, wird der Objekt Titel also die Bezeichnung der Maßnahme und eine allgemeine Beschreibung eingetragen.

Sicherheitsmaßnahme

Die Kategorie Sicherheitsmaßnahme nimmt die spezifischen Informationen für die einzelnen Maßnahmen auf.

Details zur Umsetzung

Dabei handelt es sich um Freitext, in dem beschrieben wird, wie die Maßnahme konkret in der Organisation umgesetzt wird.

Status der Umsetzung und Begründung

Das Attribut  Status der Umsetzung  wird durch eine Dialogfeld+ repräsentiert, das die vorausgefüllten Werte

• In Planung
• Nicht umgesetz
• Teilweise umgesetz
• Umgesetzt

zur Verfügung stellt und den aktuellen Status der Umsetzung widerspiegelt.

Im Attribut Begründung wird begründet falls eine Maßnahme nicht umgesetzt wird.

Umsetzung

In den Attributen Umsetzung von und Umsetzung bis wird ein für die Umsetzung der Maßnahme verantwortlicher Kontakt zugewiesen und eingetragen, bis wann die Maßnahme umgesetzt werden soll.

Überprüfung

Um der Verpflichtung zur regelmäßgen Kontrolle der Maßnahmen und der Rechenschaftspflicht (Accountability) nachkommen zu können, werden mit den Attributen Nächste Überprüfung am, Überprüft von und Ergebnis der letzten Überprüfung Felder für die Planung, Durchführung und Dokumentation der regelmäßigen Überprüfungen zur Verfügung gestellt.

IT-Verbund

Die DSGVO fordert dass die getroffenen Maßnahmen zum Schutz der personenbezogenen Daten, dem Risiko das mit der Verarbeitung einhergeht entsprechen. Das bedeutet, dass für die Verabeitungstätigkeiten Risikomanagement auf Basis einer Risikoanalyse durchgeführt werden muss.

Da es sich dabei um einen recht aufwändigen Prozess handelt, bietet der Objekttyp IT-Verbund die Möglichkeit gleichartigen Verarbeitungstätigkeiten, für die vergleichbare Risiken bestehen , die mit den selben Maßnahmen gemanagt werden sollen.

Die Zuweisung der Verarbeitungstätigkeiten erfolgt in der Kategorie IT-Verbund.

Risikomanagement

Die Multi-Value-Kategorie Risikomanagement bietet die Möglichkeit auf Basis essentieller Bedrohungen eine Risikoanalyse durchzuführen und Objekte des Typs Maßnahmen zuzuweisen, mit denen Risiko behandelt wird.