Handreichung für Datenschutzbeauftragte

Ähnliche Dokumente
Handreichung für Datenschutzbeauftragte

Thema: DSVO - Handreichung für Datenschutzbeauftragte Stand:

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

D i e n s t e D r i t t e r a u f We b s i t e s

GPP Projekte gemeinsam zum Erfolg führen

Datenschutzmanagementprozesse beim Erstellen und Führen von Verfahrensverzeichnissen nach 7 LDSG

Datenschutzfreundliches Projektmanagement Sven Thomsen Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

1. Einführung. 2. Weitere Konten anlegen

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Das digitale Klassenund Notizbuch

Alle alltäglichen Aufgaben können auch über das Frontend durchgeführt werden, das in den anderen Anleitungen erläutert wird.

Gründe für ein Verfahrensverzeichnis

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datensicherung. Beschreibung der Datensicherung

Berechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender FHNW, Services, ICT

Anleitung über den Umgang mit Schildern

Erstellung eines Verfahrensverzeichnisses aus QSEC

How to do? Projekte - Zeiterfassung

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

Meet the Germans. Lerntipp zur Schulung der Fertigkeit des Sprechens. Lerntipp und Redemittel zur Präsentation oder einen Vortrag halten

Arbeitshilfen zur Auftragsdatenverarbeitung

TECHNISCHE INFORMATION LESSOR LOHN/GEHALT BEITRAGSNACHWEIS-AUSGLEICH BUCH.-BLATT MICROSOFT DYNAMICS NAV

Datenschutz-Management

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Datenschutz und Schule

1. Einführung. 2. Die Mitarbeiterübersicht

Installationsanleitung CLX.PayMaker Home

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Sichern der persönlichen Daten auf einem Windows Computer

Adobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Installation des Authorware Webplayers für den Internet Explorer unter Windows Vista

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

Erstellung von Prozessbeschreibungen. PB 4.2-1: Erstellung von Prozessbeschreibungen

EasyWk DAS Schwimmwettkampfprogramm

Der Datenschutzbeauftragte

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Schul-IT und Datenschutz

geben. Die Wahrscheinlichkeit von 100% ist hier demnach nur der Gehen wir einmal davon aus, dass die von uns angenommenen

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Tag des Datenschutzes

1 Einleitung. Lernziele. Symbolleiste für den Schnellzugriff anpassen. Notizenseiten drucken. eine Präsentation abwärtskompatibel speichern

SICHERN DER FAVORITEN

Installationsanleitung CLX.PayMaker Office

StuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.

infach Geld FBV Ihr Weg zum finanzellen Erfolg Florian Mock

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Datenübernahme von HKO 5.9 zur. Advolux Kanzleisoftware

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Der Schutz von Patientendaten

SDD System Design Document

Zusatzmodul Lagerverwaltung

Installation von Druckern auf dem ZOVAS-Notebook. 1. Der Drucker ist direkt mit dem Notebook verbunden

SEPA-Anleitung zum Release 3.09

Ablaufbeschreibung für das neu Aufsetzen von Firebird und Interbase Datenbanken mit der IBOConsole

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Dokumentenverwaltung im Internet

NetStream Helpdesk-Online. Verwalten und erstellen Sie Ihre eigenen Tickets

mysql - Clients MySQL - Abfragen eine serverbasierenden Datenbank

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

.htaccess HOWTO. zum Schutz von Dateien und Verzeichnissen mittels Passwortabfrage

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Fragen und Antworten

IMAP Backup. Das Programm zum Sichern, Synchronisieren, Rücksichern und ansehen von gesicherten Mails. Hersteller: malu-soft

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Geld Verdienen im Internet leicht gemacht

Jugendschutzgesetz (JuSchG) Die Besonderheit der "erziehungsbeauftragten" Person am Beispiel Diskotheken- und Gaststättenbesuch

Konzentration auf das. Wesentliche.

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Drei Fragen zum Datenschutz im. Nico Reiners

Leitfaden zu Jameica Hibiscus

ARCHIV- & DOKUMENTEN- MANAGEMENT-SERVER PAPIER ARCHIVIEREN

Pflichtenheft. CDIX-Roles. Erweiterung des CDIX Berechtigungssystems. Autor : CD Software GmbH. Copyright CD Software GmbH Version:

2.1 Präsentieren wozu eigentlich?

Sie werden sehen, dass Sie für uns nur noch den direkten PDF-Export benötigen. Warum?

Personalisierte versenden

Personal- und Kundendaten Datenschutz in Werbeagenturen

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Binäre Bäume. 1. Allgemeines. 2. Funktionsweise. 2.1 Eintragen

SharePoint Demonstration

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Leitfaden zur Installation von Bitbyters.WinShutdown

Wie räume ich mein Profil unter Windows 7 auf?

teischl.com Software Design & Services e.u. office@teischl.com

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Transkript:

Handreichung für Datenschutzbeauftragte Thema: Strukturierungsvorschlag für eine datenschutzkonforme Dokumentation nach LDSG und (neuer) DSVO Stand: 06.09.2011 Die überarbeitete Landesverordnung über die Sicherheit und Ordnungsmäßigkeit automatisierter Verarbeitung personenbezogener Daten (Datenschutzverordnung - DSVO) vom 9. Dezember 2008 (Geltungsbeginn: 1. Januar 2009) gibt dem Datenschutzbeauftragten bzw. dem für die Dokumentation Verantwortlichen viele Gestaltungsmöglichkeiten bei der Dokumentation der automatisierten Datenverarbeitung. Die neue DSVO beschreibt in ihrem Text, was dokumentiert werden muss, legt aber nicht fest, in welcher Form. Eine gut strukturierte, transparente und vollständige Dokumentation ist aber nicht einfach aus dem Ärmel zu schütteln. Vielmehr ist es schwierig, den Gesamtzusammenhang zwischen konzeptioneller Vorarbeit und laufender Systemdokumentation, organisatorischen und technischen Regelungen, Differenzierung einzelner automatisierter Verfahren und den Revisionsinstrumenten nicht zu verlieren und somit die Übersicht zu behalten. Dieses Dokument stellt einen Strukturierungsvorschlag vor, der als ein modulares Beispiel für eine ordnungsgemäße Dokumentation nach LDSG und DSVO angesehen werden kann. Dieser Vorschlag soll auf keinen Fall eine Vorschrift darstellen. Er soll den Verantwortlichen lediglich eine Empfehlung in Form eines Beispiels an die Hand geben, wie eine datenschutzkonforme Dokumentation sowohl strukturiert als auch übersichtlich erstellt und gepflegt werden kann. Die nächste Abbildung zeigt den Strukturierungsvorschlag im Überblick. Sie enthält alle wesentlichen Bestandteile und kann an die unterschiedlichen Anforderungen einer Organisation angepasst werden. Im Folgenden werden die einzelnen Dokumentationsbestandteile differenziert betrachtet und kurz erläutert. Seite 1 von 10

Strukturierungsvorschlag: Dokumentation nach DSVO 1 00 Übersicht 01 Dokumentations-Leitfaden 02 Dokumentation Informationstechnik 03 Dokumentation Sicherheitsmaßnahmen 04 Dokumentation Restrisiko 05 Verfahrensverzeichnis 06 Dienstanweisungen 3 Mögliche Dokumentationsmodule: 2 Mögliche Dokumentationsmodule: Stammordner: (Standort nach Verantwortlichkeit) 4 - Technische und organisatorische Maßnahmen - Dokumentation Datenschutzmanagement - Dokumentation von Verschlüsselungsmechanismen - Dokumentation von Protokollierungsmechanismen - Sicherheitsmaßnahmen bei Auftragsdatenverarbeitung 5 - Dokumentation des Verfahrenszwecks - Dokumentation IT-Geräte - Dokumentation Programme - Netzplan - Dokumentation technischer/organisatorischer Vorgaben - Dokumentation von Auftragsdatenverarbeitung Verfahren A, Hinweis auf Verfahrensakte (z. B. Aktenzeichen) Verfahren B, Hinweis auf Verfahrensakte (z. B. Aktenzeichen) Verfahren C, Hinweis auf Verfahrensakte (z. B. Aktenzeichen) Hinweis auf Systemakte (z. B. Aktenzeichen) Verfahrensakten Systemakten Verfahrensakte A Verfahrensakte B Verfahrensakte C Systemakte 1 Systemakte 2 Systemakte 3 Mögliche Inhalte: 00 Übersicht, Datenschutzmanagement 01 Verfahrensbeschreibung 02 Dokumentation der Berechtigungen (User, Administrator) 03 Test, Freigabe 04 Verträge, Auftragsdatenverarbeitung 05 Anlagen Mögliche Inhalte: 00 Übersicht, Datenschutzmanagement 01 Systembeschreibung 02 Dokumentation der Berechtigungen (User, Administrator) 03 Dokumentation der Datensicherung 04 Verträge, Auftragsdatenverarbeitung 05 Anlagen Laufende Verfahrensdokumentation: mit einem weiteren Gliederungspunkt innerhalb der Verfahrensakten oder ausgegliedert ( in einer Akte oder elektronisch - Verweis in der Dokumentation!) Laufende Verfahrensdokumentation: mit einem weiteren Gliederungspunkt innerhalb der Verfahrensakten oder ausgegliedert ( in einer Akte oder elektronisch - Verweis in der Dokumentation!) Seite 2 von 10

1. Einleitung Eine Dokumentation von automatisierten Verfahren umfasst die folgenden drei Säulen: 1. Dokumentation der IT-Technik 2. Dokumentation der Sicherheitsmaßnahmen 3. Dokumentation der Test- und Freigabeverfahren Als Erinnerung: Ein automatisiertes Verfahren ist ein Arbeitsablauf mit Hilfe von informationstechnischen Geräten, Programmen und automatisierten Dateien. Demnach berücksichtigt die Dokumentation von automatisierten Verfahren gemäß LDSG und DSVO nicht nur die Dokumentation der einzelnen Verfahren an sich, sondern auch die der allgemeinen Informationstechnik (IT), die den entsprechenden Verfahren zu Grunde liegt. Mit der Dokumentation wird ein System zur Gewährleistung der Transparenz eingeführt. Sie beschreibt, wie die Organisation arbeitet, wenn das System implementiert ist, und wie es Datenschutz und Datensicherheit gewährleistet. Um sicherzugehen, dass die Informationstechnik, die Programme und organisatorischen Regelungen die notwendigen Voraussetzungen erfüllen, werden Prozesse, Zeitpläne, Kontrollen usw. definiert. Der Anspruch auf Transparenz bedingt weiterhin, dass die Dokumentation als Ganzes übersichtlich und strukturiert aufgebaut und nach definierten Grundsätzen gepflegt wird. 2. Stammordner Die Grundlage für eine modulare, übersichtliche und leicht zu erweiternde Dokumentationsstruktur bildet ein übergeordneter Ordner, der die allgemeinen Konzepte, Verzeichnisse und Anweisungen enthält. Dieser Stammordner verweist in seinen einzelnen Gliederungspunkten auf eventuell vorhandene speziellere Dokumentationen. Der Dokumentations-Leitfaden ist ein Dokument, das beschreibt, wie die Dokumentation strukturiert ist, aus welchen Bestandteilen eine Dokumentation besteht, wer für was verantwortlich (Datenschutzmanagement) ist usw. Seite 3 von 10

Die Dokumentation des Einsatzes der Informationstechnik stellt die erste der drei Säulen der Verfahrensdokumentation dar. 3 Absatz 2 DSVO gibt genaue Hinweise darauf, was dokumentiert werden muss, ohne eine bestimmte Form vorzuschreiben. Bei einem stark modularen Aufbau kann sich folgendes Vorgehen anbieten: In einem beschreibenden Dokument wird die Daten verarbeitende Stelle mit ihren Aufgabenbereichen und den zur Aufgabenerfüllung benötigten automatisierten Verfahren und der benötigten IT-Technik darstellt. Dieses Dokument soll einen Überblick über den Aufgabenbereich der Daten verarbeitenden Stelle geben, ohne gleich alle Dokumentations- Bestandteile des 3 Absatz 2 DSVO zu enthalten. Es stellt das zentrale Dokument dar, das im Stammordner vorgehalten wird und das auf weitere Dokumentations-Module verweist (die dann die geforderten Bestandteile des 3 Absatz 2 DSVO vervollständigen). Diese Dokumentations-Module (einige mögliche Module sind auf der Abbildung benannt siehe auch Abbildung unten) können je nach Dokumentationsstruktur bzw. Verantwortlichkeit, im Stammordner oder in anderen Dokumentationsakten (z. B. in den nachfolgend beschriebenen Verfahrens- und Systemakten) geführt werden. Die Dokumentation der Sicherheitsmaßnahmen stellt die zweite der drei Säulen der Verfahrensdokumentation dar. In ihr werden die technischen und organisatorischen Maßnahmen beschrieben, die gemäß der 5, 6 und 8 LDSG getroffen werden. Da in der Dokumentation des Einsatzes der Informationstechnik alle relevanten informationstechnischen Geräte und Programme zur Verarbeitung personenbezogener Daten beschrieben sind, ist es sinnvoll, bei der Beschreibung der Sicherheitsmaßnahmen auf diese Dokumentation Bezug zu nehmen. Die Grundlage der Dokumentation der Sicherheitsmaßnahmen bildet eine Risikoanalyse, die die Erforderlichkeit und Angemessenheit der Maßnahmen unter Berücksichtigung der tatsächlichen örtlichen und personellen Gegebenheiten dokumentiert. Welche Gefährdungen und welche weiteren Maßnahmen berücksichtigt werden müssen, beschreibt 4 DSVO. Auch bei der Dokumentation der Sicherheitsmaßnahmen kann auf zusätzliche Dokumentations-Module verwiesen werden (einige mögliche Dokumentationsmodule sind in der Abbildung und unterhalb dieses Aufzählungspunktes abgebildet), die je nach Dokumentations-Struktur entweder im Stammordner oder Seite 4 von 10

in anderen Dokumentations-Akten (z. B. in den nachfolgend beschriebenen Verfahrens- und Systemakten) geführt werden können. Die Restrisiko-Dokumentation ist Bestandteil der Dokumentation der Sicherheitsmaßnahmen. In der oben beschriebenen Risikoanalyse werden alle Sicherheitsrisiken basierend auf der Verfahrensdokumentation beschrieben und bewertet. Kann den Risiken mit entsprechenden technischen und organisatorischen Maßnahmen entgegengewirkt werden, dann werden sie in der Risikoanalyse dokumentiert. Gibt es für Risiken keine geeigneten Maßnahmen, so müssen diese in der Restrisiko-Dokumentation erläutert werden. Die Restrisiko-Dokumentation kann als Verschlusssache VS - Nur für den Dienstgebrauch eingestuft werden. Das Verfahrensverzeichnis nach 7 LDSG listet alle automatisierten Verfahren einer Organisation auf und soll die Transparenz und Öffentlichkeit dieser Verfahren sicherstellen. Weitere Hinweise zum Verfahrensverzeichnis folgen im nächsten Abschnitt. Dienstanweisungen werden nicht explizit im Gesetz erwähnt, runden aber den konzeptionellen Bereich in Verbindung mit der praktischen Umsetzung ab. In den Dienstanweisungen werden die Sicherheitsmaßnahmen, die im Sicherheitskonzept festgelegt sind, für die Mitarbeiter formuliert. Die Dienstanweisungen sollen die Mitarbeiter über alle für sie wichtigen Sicherheitsmaßnahmen am Arbeitsplatz (konventionell und automatisiert) informieren. Seite 5 von 10

3. Erstellung eines Verfahrensverzeichnisses Das Verfahrensverzeichnis soll die Transparenz und Öffentlichkeit aller automatisierten Verfahren einer Organisation sicherstellen. Häufig beginnen die Schwierigkeiten aber schon bei der Abgrenzung der automatisierten Verfahren untereinander. Deshalb soll an dieser Stelle zunächst eine Möglichkeit zur Verfahrensabgrenzung vorgestellt werden, bevor auf die Strukturierung eingegangen wird. Ein automatisiertes Verfahren ist eine Verwendung von Daten zu einem bestimmten Zweck mit Unterstützung von informationstechnischen Geräten (Hardware) und Computerprogrammen (Software), eingebunden in einem organisatorischen Regelwerk. In dieser Definition finden sich prinzipiell schon alle Komponenten wieder, die im Stammordner (s.o.) dokumentiert wurden. Nun müssen diese Komponenten nur noch untereinander abgegrenzt werden. Die folgende Arbeitsanweisung unten stellt eine mögliche Vorgehensweise vor: Arbeitsanweisung: Wenn Sie die automatisierten Verfahren ermitteln möchten, überlegen Sie im ersten Schritt zunächst, für welche Zwecke Ihre Organisation Daten verarbeitet. Die Benennung des Datenverarbeitungszwecks ist die Grundlage zur Identifizierung eines automatisierten Verfahrens. Legen Sie weiterhin eine Liste aller Fachverfahren und Softwareprodukte an. Weisen Sie nun den entsprechenden Fachverfahren bzw. Softwareprodukten die definierten Datenverarbeitungszwecke zu. Betrachten Sie dabei zunächst die großen Fachverfahren, wie z. B. die Fachverfahren Verwaltung von Einwohnermeldedaten oder Kommunale Finanzverwaltung, die zu einem ganz speziellen Zweck eingesetzt werden und sich deshalb gut von den anderen Verfahren abgrenzen lassen. Seite 6 von 10

Danach bleiben auf der Liste in der Regel nur noch die allgemeinen Textverarbeitungsprogramme oder die administrativen Tools stehen. Überlegen Sie, zu welchem definierten Verarbeitungszweck die Programme eingesetzt werden. Vielleicht lassen sich die Programme auch zusammenfassen und einem Verarbeitungszweck zuweisen, z. B. die Standardsoftwareprodukte Word und Excel zu einem Verarbeitungszweck Bürokommunikation. 4. Verfahrensakten 05 Verfahrensverzeichnis 4 Verfahren A, Hinweis auf Verfahrensakte (z. B. Aktenzeichen) Verfahren B, Hinweis auf Verfahrensakte (z. B. Aktenzeichen) Verfahren C, Hinweis auf Verfahrensakte (z. B. Aktenzeichen) Verfahrensakten Verfahrensakte A Verfahrensakte B Verfahrensakte C Mögliche Inhalte: 00 Übersicht, Datenschutzmanagement 01 Verfahrensbeschreibung 02 Dokumentation der Berechtigungen (User, Administrator) 03 Test, Freigabe 04 Verträge, Auftragsdatenverarbeitung 05 Anlagen Laufende Verfahrensdokumentation: mit einem weiteren Gliederungspunkt innerhalb der Verfahrensakten oder ausgegliedert ( in einer Akte oder elektronisch - Verweis in der Dokumentation!) Die Abgrenzung der automatisierten Verfahren untereinander ist der aufwändigste Anteil zur Erstellung eines Verfahrensverzeichnisses. Nun bleibt noch die Aufgabe, die automatisierten Verfahren in einer übersichtlichen Struktur zu dokumentieren. Wie oben schon erwähnt, wird in diesem Strukturierungsvorschlag im Stammordner ein Verfahrensverzeichnis in Form einer Auflistung der gesetzlich vorgeschriebenen Angaben ( 7 LDSG) geführt. Diese Auflistung schafft aufgrund ihrer Kürze einen hohen Grad an Übersichtlichkeit und dient als eine Art Zusammenfassung, das den Verweis (Aktenzeichen) auf die ausführliche Dokumentation liefert. Denn: das Verfahrensverzeichnis ersetzt nicht die Verfahrensdokumentation. Seite 7 von 10

Betrachtet man insbesondere die großen automatisierten Verfahren, z. B. Verarbeitung von Einwohnermeldedaten, dann fallen für die entsprechenden Fachverfahren viele Dokumentationsunterlagen z. B. Administrationshandbücher, Dokumentationen zu Sicherheitspatches und Softwareupdates, Konzepte für die Rechtevergabe usw. an. Damit diese Dokumentationsunterlagen den entsprechenden Verfahren zugeordnet werden können, ist es empfehlenswert, für die einzelnen automatisierten Verfahren Verfahrensakten anzulegen und mit Aktenzeichen zu kennzeichnen. Diese Aktenzeichen werden im Verfahrensverzeichnis, evtl. auch mit einem Hinweis auf den Standort der Verfahrensakten, vermerkt. So lässt sich im Verfahrensverzeichnis mit einem Blick nachvollziehen, wo die entsprechende Verfahrensdokumentation zu finden ist. In die Verfahrensakte werden nun systematisch alle notwendigen Konzepte und Dokumentationen aufgenommen, dabei kann die oben dargestellte Gliederung bei jedem Verfahren unterschiedlich umfangreich ausfallen. Grundsätzlich werden in den Verfahrensakten immer dann Konzepte, Verträge o. ä. aufgenommen, wenn sie sich speziell auf das Verfahren beziehen und nicht durch die allgemeine Dokumentation im Stammordner abgedeckt werden. So gehören in diesem Strukturierungsvorschlag u. a. Test und Freigabe (als dritte Säule der Verfahrensdokumentation), die verfahrensspezifisch für jedes automatisierte Verfahren durchgeführt bzw. erteilt werden, in die Verfahrensakte. 5. Systemakten Die Dokumentation der eingesetzten Hardwareausstattung und Basissoftware (Betriebssysteme, Datenbanksysteme, Datensicherungssysteme usw.) wurde bei der Beschreibung der Verfahrensakten bewusst noch nicht angesprochen. Es ist auch nicht sinnvoll, diese Dokumentation in die Verfahrensakten aufzunehmen, da vielfach ein System an mehreren Verfahren beteiligt ist. Das würde zur Unübersichtlichkeit und zu Redundanzen führen. Daher wer- Seite 8 von 10

den in diesem Strukturierungsvorschlag die eingesetzten Systeme in Systemakten dokumentiert. Diese Systemakten werden so unterschiedlich sein, wie die Systeme, die dokumentiert werden. Eine Systemakte für einen Domänencontroller oder Datenbankserver wird anders aussehen als eine Systemakte für einen PC-Arbeitsplatz, daher kann der oben beschriebene Gliederungsvorschlag nur eine Leitlinie darstellen. In eine Systemakte gehören alle die Konzepte, Verträge o. ä., die sich speziell auf das System beziehen und nicht durch die allgemeine Dokumentation im Stammordner abgedeckt werden. So können z. B. die speziellen Berechtigungen, die ein Systemadministrator an einem Datenbankserver besitzt, in der Systemakte des Datenbankservers dokumentiert werden. Doch auch die laufende Dokumentation nimmt einen hohen Stellenwert beim Führen der Systemakte ein, z. B. das regelmäßige Protokoll zur Durchführung einer Datensicherung. Wie werden die Systemakten jetzt in die bestehende Dokumentations-Struktur integriert? 02 Dokumentation Informationstechnik 2 5 Mögliche Dokumentationsmodule: - Dokumentation des Verfahrenszwecks - Dokumentation IT-Geräte - Dokumentation Programme - Netzplan - Dokumentation technischer/organisatorischer Vorgaben - Dokumentation von Auftragsdatenverarbeitung Hinweis auf Systemakte (z. B. Aktenzeichen) Systemakten Systemakte 1 Systemakte 2 Systemakte 3 Im 3 Abs. 2 Nr. 2 DSVO wird im Zusammenhang mit der Dokumentation des Einsatzes der Informationstechnik die Dokumentation der für die Verfahren verwendeten informationstechnischen Geräte verlangt. Das kann im einfachsten Fall ein eigenes Verzeichnis in Form einer Tabelle sein oder die Geräte werden im Inventarverzeichnis mit aufgenommen. In Seite 9 von 10

diesem Strukturierungsvorschlag wird die Dokumentation der informationstechnischen Geräte um einen Verweis (z. B. das Aktenzeichen der jeweiligen Systemakte) ergänzt. Somit wird das Verzeichnis der informationstechnischen Geräte im Stammordner geführt (bzw. auf ein Inventarverzeichnis, z. B. auch in elektronischer Form verwiesen) und die detaillierte Systemdokumentation befindet sich in den jeweiligen Systemakten. 6. Was wird mit der vorgestellten Struktur erreicht? Der vorgestellte Gliederungsvorschlag orientiert sich an einem hierarchischen modularen System, dass sowohl für einen Prüfer oder Auditor als auch für den Systemverantwortlichen und alle an der Dokumentation beteiligten Personen ein hohes Maß an Übersichtlichkeit, Strukturierung und Flexibilität liefert. So ist im Stammordner auf einem Blick sowohl der organisatorische und technisch-organisatorische Aufbau einer Organisation ersichtlich als auch ein Überblick über die datenschutzkonforme Dokumentation entsprechend LDSG und DSVO gegeben. Für nähere Informationen zu einem bestimmten Verfahren oder System kann dann entsprechend der vermerkten Verweise (Aktenzeichen), auf die spezielleren Dokumentationen in den Verfahrens- bzw. Systemakten zurückgegriffen werden. Die Struktur der Dokumentation kann abgeändert bzw. erweitert werden, um sie an die unterschiedlichen Organisationen anzupassen. Es sollte jedoch darauf geachtet werden, dass die Dokumentation nicht zu stark in Module aufgeteilt wird, da ansonsten die Übersichtlichkeit, die eigentlich erreicht werden soll, verloren gehen kann. Für weitere Fragen stehe ich gerne zur Verfügung: Angelika Martin uld34@datenschutzzentrum.de Tel.: 0431/988-1280 Seite 10 von 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback