i-doit Data Privacy Add-on

Die EU-DSGVO bringt im Vergleich zur bisherigen Rechtslage etliche neue Dokumentationserfordernisse mit sich. Etwa um der in Artikel 5 Absatz 2 geforderten Rechenschaftspflicht (Accountability) nachkommen zu können. Auch das in Artikel 30 vorgeschriebene Verzeichnis von Verarbeitungstätigkeiten ist letztlich eine Dokumentationsaufgabe.

Was liegt näher als diesen Dokumentationspflichten mit Hilfe eines Tools nachzukommen, das sich auf die IT-Dokumentation spezialisiert hat.

Mit dem i-doit Data Privacy Add-on wird i-doit um Objekttypen, Beziehungen und Rollen erweitert, um den Dokumentationspflichten, die Organisationen aus der DSGVO entstehen nachkommen zu können.

Nach der Installation des Add-ons existiert eine neue Ojekttypgruppe unterhalb der sich die Objekttypen befinden, die für die Datenschutz Dokumentation benötigt werden.

Inhalte dieser Seite:

Verarbeitungstätigkeiten

Die fertig dokumentierten Verarbeitungstätigkeiten finden sich im Objekttyp Verarbeitung. Wie unter i-doit üblich werden Objekttypen durch Kategorien ausgestaltet, die ihrerseits Attribute besitzen.

Attribute werden durch Formularfelder repräsentiert, die neben Texten, Datumsangaben und Selectionslisten auch Zuweisungen von anderen Objekten beinhalten können.

Übersichtsseite Verarbeitung

Allgemein

Die globale Kategorie Allgemein, nimmt die Bezeichnung und eine kurze Beschreibung der Verarbeitungstätigkeit auf.

Verarbeitung

In der Kategorie Verarbeitung werden die Basisinformationen dokumentiert:

  • Die Zwecke der Verarbeitung
  • Die Löschstrategie, beziehungsweise Aufbewahrungsfristen
  • Der Schutzbedarf hinsichtlich der drei Sicherheitsziele Vertraulichkeit, Integrität und Verfügbarkeit
  • Die verwendeten IT-Services als Verbindung zur restlichen IT-Dokumentation
Übersichtsseite Verarbeitung

Datenkategoriezuweisung

Wie der Name schon vermuten lässt, handelt es sich bei dieser Kategorie vorwiegend um Zuweisungen von Objekten der Typen Datenkategorie, Kontakt und Datenübermittlung. Folgende Attribute stehen zur Verfügung:

  • Bezeichnung der Datenkategorie in der konkreten Verarbeitung
  • Zuweisung der betroffenen Personen
  • Zuweisung der Datenkategorien
  • Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 oder 9 DSGVO
  • Freitext zur Dokumentation, welche Gesetze oder Interessen die Grundlage sind, wenn wenn als Rechtsgrundlage eine Rechtliche Verpflichtung oder ein überwiegendes Interesse des Verantwortlichen gewählt wurde
  • Zuweisung von Datenübermittungen, zur Dokumentation von Empfängern
  • Zuweisung von Kontakten, die Zugriff auf die Datenkategorie haben
  • Informationen darüber, ob die Daten bei den Betroffenen erhoben wurden
  • Falls die Datenkategorien nicht bei den Betroffenen erhoben wurden, die Herkunft der Daten

Kontaktzuweisung

Hier werden Kontakte wie der Verantwortliche im Sine der DSGVO, oder Auftragsverarbeitet, aber auch zuständige Personen, etwa für die Administration zugewiesen.

Datenschutzfolgenabschätzung

Die Kategorie Datenschutzfolgenabschätzung besteht nur aus einem Textfeld, in dem begründet wird, ob eine Datenschutzfolgenabschätzung gemacht werden muss und ein Zuweisungsfeld zu einer Datei die gegebenenfalls die eigentliche Datenschutzfolgenabschätzung beinhaltet.

Notfallplanzuweisung

Objekte des Typs Notfallplan werden hier zugewiesen. Zum Beispiel um das Vergehen bei der Meldung bei Verlust der Kontrolle über Daten zu regeln.

Sicherheitsmaßnahme

Mit dem Objekttyp Sicherheitsmaßnahme werden technische und organisatorische Maßnahmen dokumentiert, die einerseits die Einhaltung der Sicherheitsziele gewährleisten, aber auch sicherstellen, dass die Datenschutz Grundsätze gemäß Artikel 5 DSGVO eingehalten werden.

Allgemein

In der globalen Kategorie Allgemein, wird der Objekt Titel also die Bezeichnung der Maßnahme und eine allgemeine Beschreibung eingetragen.

Sicherheitsmaßnahme

Die Kategorie Sicherheitsmaßnahme nimmt die spezifischen Informationen für die einzelnen Maßnahmen auf.

Details zur Umsetzung

Dabei handelt es sich um Freitext, in dem beschrieben wird, wie die Maßnahme konkret in der Organisation umgesetzt wird.

Status der Umsetzung und Begründung

Das Attribut  Status der Umsetzung  wird durch eine Dialogfeld+ repräsentiert, das die vorausgefüllten Werte

  • In Planung
  • Nicht umgesetz
  • Teilweise umgesetz
  • Umgesetzt

zur Verfügung stellt und den aktuellen Status der Umsetzung widerspiegelt.

Im Attribut Begründung wird begründet falls eine Maßnahme nicht umgesetzt wird.

Umsetzung

In den Attributen Umsetzung von und Umsetzung bis wird ein für die Umsetzung der Maßnahme verantwortlicher Kontakt zugewiesen und eingetragen, bis wann die Maßnahme umgesetzt werden soll.

Überprüfung

Um der Verpflichtung zur regelmäßgen Kontrolle der Maßnahmen und der Rechenschaftspflicht (Accountability) nachkommen zu können, werden mit den Attributen Nächste Überprüfung am, Überprüft von und Ergebnis der letzten Überprüfung Felder für die Planung, Durchführung und Dokumentation der regelmäßigen Überprüfungen zur Verfügung gestellt.

IT-Verbund

Die DSGVO fordert dass die getroffenen Maßnahmen zum Schutz der personenbezogenen Daten, dem Risiko das mit der Verarbeitung einhergeht entsprechen. Das bedeutet, dass für die Verabeitungstätigkeiten Risikomanagement auf Basis einer Risikoanalyse durchgeführt werden muss.

Da es sich dabei um einen recht aufwändigen Prozess handelt, bietet der Objekttyp IT-Verbund die Möglichkeit gleichartigen Verarbeitungstätigkeiten, für die vergleichbare Risiken bestehen , die mit den selben Maßnahmen gemanagt werden sollen.

Die Zuweisung der Verarbeitungstätigkeiten erfolgt in der Kategorie IT-Verbund.

Risikomanagement

Die Multi-Value-Kategorie Risikomanagement bietet die Möglichkeit auf Basis essentieller Bedrohungen eine Risikoanalyse durchzuführen und Objekte des Typs Maßnahmen zuzuweisen, mit denen Risiko behandelt wird.

Risikomanagement

Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO

Wenn die Verarbeitungstätigkeiten fertig dokumentiert sind, kann über den Menüpunkt Extras > Datenschutz Dokumente ein HTML Dokument mit den entsprechenden Inhalten generiert werden. Diese Dokument ist für die Druckausgabe optimiert und und kann über die Drucken Funktion des Browsers ausgedruckt oder in ein PDF File umgewandelt werden.


Support und Dienstleistungen

Das i-doit Data Privacy Add-on wurde von uns entwickelt und wird i-doit Kunden kostenlos zur Verfügung gestellt.

Wenn Sie noch kein i-doit Kunde sind, freuen wir uns, wenn Sie die Lizenz zum unveränderten Preis über uns beziehen.

Für alle die schnell zum Ziel kommen wollen, bieten wir ein Support und Dienstleistungspaket zu 550,00 mit folgenenden Inhalten an:

  • Remote Einschulung im Umfang von ca. einer Stunde
  • Vorlagen für den Import der Verarbeitungstätigkeiten
    • Personalverwaltung
    • Rechnungswesen und Logistik
    • Kundenbetreuung und Marketing
    • Videoüberwachung von Parkanlagen
    • Videoüberwachung von Geschäftslokalen
    • IT-Anwenderverwaltung
    • Zentraler Helpdesk durch Dritte
  • Access basiertes Tool zur Erstellung von CSV Files für den Import von Verarbeitungstätigkeiten
  • Script zur Generierung eines DSGVO konformen Verzeichnis der Verarbeitungstätigkeiten als PDF
  • Support per Email