Thema: DSVO - Handreichung für Datenschutzbeauftragte Stand: 22.07.07



Ähnliche Dokumente
Handreichung für Datenschutzbeauftragte

Handreichung für Datenschutzbeauftragte

Zentrales Verfahren: Dokumentationspflichten für die zentrale Stelle und für die beteiligten Stellen

Dokumentenverwaltung im Internet

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Anleitung über den Umgang mit Schildern

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

2.1 Präsentieren wozu eigentlich?

Wie halte ich Ordnung auf meiner Festplatte?

Handbuch ECDL 2003 Professional Modul 3: Kommunikation Kalender freigeben und andere Kalender aufrufen

FuxMedia Programm im Netzwerk einrichten am Beispiel von Windows 7

teamsync Kurzanleitung

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Version smarter mobile(zu finden unter Einstellungen, Siehe Bild) : Gerät/Typ(z.B. Panasonic Toughbook, Ipad Air, Handy Samsung S1):

Version White Paper ZS-TimeCalculation und die Zusammenarbeit mit dem iphone, ipad bzw. ipod Touch

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

Das Führen eines Verfahrensverzeichnisses (auch bei gemeinsamen Verfahren und bei gemeinsamen Verfahren mit zentraler Stelle)

Geld Verdienen im Internet leicht gemacht

Bürgerhilfe Florstadt

Erstellung von Prozessbeschreibungen. PB 4.2-1: Erstellung von Prozessbeschreibungen

Das digitale Klassenund Notizbuch

Projektmanagement in der Spieleentwicklung

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Lernerfolge sichern - Ein wichtiger Beitrag zu mehr Motivation

Präventionsforum+ Erfahrungsaustausch. HANDOUT GRUPPEN-ADMINISTRATOREN Anlage zum Endnutzer-Handbuch. Stand: Änderungen vorbehalten

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

Abschnitt 2 Vier Fragen, jeweils 5 Punkte pro Frage erreichbar (Maximal 20 Punkte)

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

How-To-Do. Fernwartung einer VIPA Steuerung via Ethernet

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

Sonderrundschreiben. Arbeitshilfe zu den Pflichtangaben in Immobilienanzeigen bei alten Energieausweisen

Workflows verwalten. Tipps & Tricks

Schul-IT und Datenschutz

So geht s Schritt-für-Schritt-Anleitung

1 Mathematische Grundlagen

Angaben zu einem Kontakt...1 So können Sie einen Kontakt erfassen...4 Was Sie mit einem Kontakt tun können...7

Die Entwicklung eines Glossars (oder eines kontrollierten Vokabulars) für ein Unternehmen geht üblicherweise in 3 Schritten vor sich:

Protect 7 Anti-Malware Service. Dokumentation

Installation von Druckern auf dem ZOVAS-Notebook. 1. Der Drucker ist direkt mit dem Notebook verbunden

Beschreibung der Umstellungsschritte für moneyplex (neue Benutzerkennung und Kommunikationsadresse)

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

NODELOCKED LIZENZ generieren (ab ST4)

Ihr IT-Administrator oder unser Support wird Ihnen im Zweifelsfall gerne weiterhelfen.

Welche Gedanken wir uns für die Erstellung einer Präsentation machen, sollen Ihnen die folgende Folien zeigen.

Gruppenrichtlinien und Softwareverteilung

Leitfaden zu VR-Profi cash

Massenversand Dorfstrasse 143 CH Kilchberg Telefon 01 / Telefax 01 / info@hp-engineering.com

Anleitung Selbststudium

Der Jazz Veranstaltungskalender für Deutschland, Österreich und die Schweiz

Konzentration auf das. Wesentliche.

Erfahrungen mit Hartz IV- Empfängern

Wie Sie mit Mastern arbeiten

CodeSaver. Vorwort. Seite 1 von 6

NOXON Connect Bedienungsanleitung Manual

1. Einführung. 2. Die Mitarbeiterübersicht

Meldung der Waffennummern (Waffenkennzeichen) nach der Feuerwaffenverordnung der EU

Adobe Photoshop. Lightroom 5 für Einsteiger Bilder verwalten und entwickeln. Sam Jost

Datenschutz und Schule

Praktischer Datenschutz

Lehrer: Einschreibemethoden

Webalizer HOWTO. Stand:

A. Ersetzung einer veralteten Govello-ID ( Absenderadresse )

GPP Projekte gemeinsam zum Erfolg führen

Blog Camp Onlinekurs

Daten-Synchronisation zwischen dem ZDV-Webmailer und Outlook ( ) Zentrum für Datenverarbeitung der Universität Tübingen

Internet online Update (Mozilla Firefox)

AutoCAD Dienstprogramm zur Lizenzübertragung

Beschreibung der Umstellungsschritte Hibiscus (Umstellung Sicherungsmedium auf smstan)

Installationsanleitung für Update SC-Line

Installation OMNIKEY 3121 USB

Bedienungsanleitung: Onlineverifizierung von qualifiziert signierten PDF-Dateien

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

Patch Management mit

1. Adressen für den Serienversand (Briefe Katalogdruck Werbung/Anfrage ) auswählen. Die Auswahl kann gespeichert werden.

Zusammenführen mehrerer Dokumente zu einem PDF In drei Abschnitten erstellen Sie ein Dokument aus mehreren Einzeldokumenten:

Berechtigungen im Kalender Anleitung für die Rechtevergabe im Outlook Kalender FHNW, Services, ICT

Installation von PhoneSuite (TAPI)

Aktions-Tool. Online-Verwaltung für Einrichtungen & Unternehmen. Online-Verwaltung für Einrichtungen & Unternehmen

Eingangsseite Umwelt-online

1.1 Download von FVA-Programmen

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Universal Gleismauer Set von SB4 mit Tauschtextur u. integrierten Gleismauerabschlüssen!

Wenn wir also versuchen auf einen anderen PC zuzugreifen, dann können wir sowohl per Name als auch mit der Adresse suchen.

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

sidoku sidoku EXPRESS Release Stand: erstellt von: EXEC Software Team GmbH Südstraße Ransbach-Baumbach

Kirchlicher Datenschutz

Software- und Druckerzuweisung Selbstlernmaterialien

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Kurzanleitung RACE APP

Erweiterung AE WWS Lite Win: AES Security Verschlüsselung

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

von: Oktay Arslan Kathrin Steiner Tamara Hänggi Marco Schweizer GIB-Liestal Mühlemattstrasse Liestal ATG

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

2) Geben Sie in der Anmeldemaske Ihren Zugangsnamen und Ihr Passwort ein

Auktionen erstellen und verwalten mit dem GV Büro System und der Justiz Auktion

Nach der Installation des FolderShare-Satellits wird Ihr persönliches FolderShare -Konto erstellt.

Transkript:

Thema: DSVO - Handreichung für Datenschutzbeauftragte Stand: 22.07.07 Dieses Dokument beschäftigt sich mit der praktischen Umsetzung der Anforderungen an eine datenschutzrechtlich konforme Dokumentation entsprechend dem LDSG und der DSVO. Im Rahmen von Prüfungen, Beratungen und Audits konnten wir feststellen, dass vielen Verantwortlichen und Datenschutzbeauftragten gerade dieser Themenbereich Schwierigkeiten bereitet. Der Grund dafür liegt nicht an der fehlenden Sensibilisierung oder der Unkenntnis gesetzlicher Vorschriften. Vielmehr ist es schwierig, den Gesamtzusammenhang zwischen konzeptioneller Vorarbeit und laufender Systemdokumentation, organisatorischen und technischen Regelungen, Differenzierung einzelner automatisierter Verfahren und den Revisionsinstrumenten nicht zu verlieren und trotzdem die Übersicht zu behalten. Aus diesem Grund haben wir dieses Thema aufgegriffen und einen Strukturierungsvorschlag erarbeitet, der als exemplarisches Beispiel für eine ordnungsgemäße Dokumentation angesehen werden kann. Dieser Vorschlag soll auf keinen Fall als eine Vorschrift angesehen werden. Er soll den Verantwortlichen lediglich eine Empfehlung in Form eines exemplarischen Beispiels an die Hand geben, wie eine datenschutzrechtlich konforme Dokumentation sowohl strukturiert als auch übersichtlich erstellt und gepflegt werden kann. Die nächste Abbildung zeigt einen Strukturierungsvorschlag aller notwendigen Dokumentationsbestandteile im Überblick. Diese exemplarische Übersicht erhebt keinen Anspruch auf Vollständigkeit. Sie enthält aber die wesentlichen Bestandteile und kann an die unterschiedlichen Anforderungen einer Organisation angepasst werden. Im Folgenden werden die einzelnen Dokumentationsbestandteile differenziert betrachtet und kurz erläutert.

01 Allgemeines IT-Konzept Strukturierungsvorschlag 1 Register 02 Allgemeines Sicherheitskonzept 03 Risikoanalyse 04 Verfahrensverzeichnis (Übersicht) 2 Verfahren A, Zusammenfassung mit Hinweis auf Aktenzeichen 05 Inventarverzeichnis Verfahren B, Zusammenfassung mit Hinweis auf Aktenzeichen Programmverzeichnis Geräteverzeichnis 06 Netzwerkpläne 5 Deckblätter Verfahren C, Zusammenfassung mit Hinweis auf Aktenzeichen Stammordner: (Standort nach Verantwortlichkeit) 7 07 Allgemeines Berechtigungskonzept 08 Allgemeines Administrationskonzept 09 Datenschutzmanagement 10 Dienstanweisungen 3 6 4 09 Datenschutzmanagement 09.1 Aufbauorganisation - Revisionsinstrumente 09.2 Ablauforganisation - Verantwortlichkeiten (Konzepte, Dokumentation, Testverfahren) - Zeitmanagement (Konzepte. Revision, Fortschreibung) - regelmäßige Revision - anlassbezogene Revision - Vorfallmanagement Systemakte yy1 Systemakte yy2 Systemakte yy3 01 Systembeschreibung 02 Benutzer- bzw. Administrationshandbücher 03 Berechtigungskonzept 04 Administrationskonzept 05 Datensicherungskonzept (bei Servern/dedizierten Rechnern) 06 Verträge 07 Laufende Systemdokumentation (z. B. Patches, Programme usw.) 08 Protokolle/Kontrollen Verfahrensakte xx1 Verfahrensakte xx2 Verfahrensakte xx3 01 IT-Konzept (auf Verfahren bezogen) 02 Verfahrensbeschreibung 03 Sicherheitskonzept (auf Verfahren bezogen) 04 Risikoanalyse (auf Verfahren bezogen) 05 Test und Freigabe 06 Berechtigungskonzept 07 Administrationskonzept (auf Verfahren bezogen) 08 Verträge 09 Benutzer- und Administrationshandbücher/Herstellerdaten 10 Protokolle/Kontrollen

Allgemeine Konzepte, Dokumentationen und Anweisungen Die Grundlage für eine modulare, übersichtliche und leicht zu erweiternde Dokumentationsstruktur bildet ein übergeordneter Ordner, der die allgemeinen Konzepte, Verzeichnisse und Anweisungen enthält. Dieser Stammordner verweist in seinen einzelnen spunkten auf eventuelle speziellere Dokumentationen. Das IT-Konzept beschreibt die organisatorischen und technischen Voraussetzungen für die konventionelle und automatisierte Verarbeitung personenbezogener Daten (die Ist- Situation) einer Organisation und legt dar, welche Ziele mit der Verarbeitung erreicht werden sollen. Es weist die Zweckbestimmung und Rechtsgrundlage der automatisierten Verfahren entsprechend 7 LDSG nach. Das Sicherheitskonzept greift die im IT-Konzept beschriebene konventionelle und automatisierte Datenverarbeitung auf und beschreibt die allgemeinen und besonderen (technischen und organisatorischen) Maßnahmen, die in dieser speziellen Organisation getroffen wurden, um die Datensicherheit nach 5 und 6 LDSG zu gewährleisten. Eine Risikoanalyse beschreibt, welche Sicherheitsrisiken nicht oder nur unzureichend durch die getroffenen Maßnahmen abgedeckt werden. Das Verfahrensverzeichnis nach 7 LDSG listet alle automatisierten Verfahren einer Organisation auf und soll die Transparenz und Öffentlichkeit dieser Verfahren sicherstellen. Weitere Hinweise zum Verfahrensverzeichnis folgen im nächsten Abschnitt. Das Inventarverzeichnis (Geräte- und Programmverzeichnis) dokumentiert, welche IT- Geräte eingesetzt werden, in welchen Räumlichkeiten sie stehen und welche Programme auf ihnen installiert sind. Ein Netzwerkplan stellt die Vernetzung der IT-Geräte untereinander grafisch dar. Das Berechtigungs- bzw. Administrationskonzept beschreibt, welche Personen welche IT- Geräte, Programme und automatisierte Dateien nutzen dürfen bzw. welche Personen be-

rechtigt sind, Änderungen an IT-Geräten, Programmen oder automatisierten Dateien vorzunehmen. Auch hier gilt, dass an dieser Stelle die Berechtigungen aufgeführt werden, die allgemein gelten. Müssen spezielle Berechtigungen vergeben werden, z. B. für ein spezielles Fachverfahren oder für ein bestimmtes IT-Gerät, sollte auf die Dokumentation der entsprechenden Verfahrensakte oder Systemakte verwiesen werden. Die Unterpunkte Datenschutzmanagement und Dienstanweisungen werden nicht explizit im Gesetz erwähnt, runden aber den konzeptionellen Bereich in Verbindung mit der praktischen Umsetzung ab. Das Datenschutzmanagement beschreibt u. a. die Verantwortlichkeiten (z. B. welche Personen sind für welche Konzepte oder welche Dokumentationen innerhalb welchen Zeitraums zuständig), die Revisionsinstrumente (wer kontrolliert wie: regelmäßige und/oder anlassbezogene Revision) oder das Vorfallsmanagement (Reaktion auf definierte Vorfälle: Ansprechpartner, Verantwortlichkeiten, Vorgehensweise). In den Dienstanweisungen werden die Sicherheitsmaßnahmen, die im Sicherheitskonzept festgelegt sind, für die Mitarbeiter formuliert. Die Dienstanweisungen sollen die Mitarbeiter über alle für sie wichtigen Sicherheitsmaßnahmen am Arbeitsplatz (konventionell und automatisiert) informieren. Erstellung eines Verfahrensverzeichnisses Das Verfahrensverzeichnis soll die Transparenz und Öffentlichkeit aller automatisierten Verfahren einer Organisation sicherstellen. Häufig beginnen die Schwierigkeiten aber schon bei der Abgrenzung der automatisierten Verfahren untereinander. Deshalb soll an dieser Stelle zunächst eine Möglichkeit zur Verfahrensabgrenzung vorgestellt werden, bevor auf die Strukturierung eingegangen wird. Ein automatisiertes Verfahren ist eine Verwendung von Daten zu einem bestimmten Zweck mit Unterstützung von informationstechnischen Geräten (Hardware) und Computerprogrammen (Software), eingebunden in einem organisatorischen Regelwerk. In dieser Definition finden sich prinzipiell schon alle Komponenten wieder, die im Stammordner (s.o.) doku-

mentiert wurden. Nun müssen diese Komponenten nur noch untereinander abgegrenzt werden, die folgende Arbeitsanweisung unten stellt eine mögliche Vorgehensweise vor: Arbeitsanweisung: Wenn Sie die automatisierten Verfahren ermitteln möchten, überlegen Sie im ersten Schritt zunächst, für welche Zwecke Ihre Organisation Daten verarbeitet. Die Benennung des Datenverarbeitungszwecks ist die Grundlage zur Identifizierung eines automatisierten Verfahrens. Legen Sie weiterhin eine Liste aller Fachverfahren und Softwareprodukte an. Weisen Sie nun den entsprechenden Fachverfahren bzw. Softwareprodukten die definierten Datenverarbeitungszwecke zu. Betrachten Sie dabei zunächst die großen Fachverfahren, wie z. B. die Fachverfahren Verwaltung von Einwohnermeldedaten oder Kommunale Finanzverwaltung, die zu einem ganz speziellen Zweck eingesetzt werden und sich deshalb gut von den anderen Verfahren abgrenzen lassen. Danach bleiben auf der Liste in der Regel nur noch die allgemeinen Textverarbeitungsprogramme oder die administrativen Tools stehen. Überlegen Sie, zu welchem definierten Verarbeitungszweck die Programme eingesetzt werden. Vielleicht lassen sich die Programme auch zusammenfassen und einem Verarbeitungszweck zuweisen, z. B. die Standardsoftwareprodukte Word und Excel zu einem Verarbeitungszweck Bürokommunikation. Dokumentation der automatisierten Verfahren in Verfahrensakten 01 IT-Konzept (auf Verfahren bezogen) 02 Verfahrensbeschreibung 03 Sicherheitskonzept (auf Verfahren bezogen) 04 Risikoanalyse (auf Verfahren bezogen) 05 Test und Freigabe 06 Berechtigungskonzept 07 Administrationskonzept (auf Verfahren bezogen) 08 Verträge 09 Benutzer- und Administrationshandbücher/Herstellerdaten 10 Protokolle/Kontrollen

Die Abgrenzung der automatisierten Verfahren untereinander ist der aufwändigste Anteil zur Erstellung eines Verfahrensverzeichnisses. Nun bleibt noch die Aufgabe, die automatisierten Verfahren in einer übersichtlichen Struktur zu dokumentieren. Wie oben schon erwähnt, kann im Stammordner ein Verfahrensverzeichnis in Form einer Auflistung der gesetzlich vorgeschriebenen Angaben ( 7 LDSG) erstellt werden. Diese Auflistung schafft aufgrund ihrer Kürze einen hohen Grad an Übersichtlichkeit und dient als eine Art Deckblatt, das den Verweis (Aktenzeichen) auf die ausführliche Dokumentation liefert. Denn: das Verfahrensverzeichnis ersetzt nicht die Verfahrensdokumentation. Betrachtet man insbesondere die großen automatisierten Verfahren, z. B. Verarbeitung von Einwohnermeldedaten, dann fallen für die entsprechenden Fachverfahren viele Dokumentationsunterlagen z. B. Administrationshandbücher, Dokumentationen zu Sicherheitspatches und Softwareupdates, Konzepte für die Rechtevergabe usw. an. Damit diese Dokumentationsunterlagen den entsprechenden Verfahren zugeordnet werden können, ist es empfehlenswert, für die einzelnen automatisierten Verfahren Verfahrensakten anzulegen und mit Aktenzeichen zu kennzeichnen. Diese Aktenzeichen werden im Verfahrensverzeichnis, evtl. auch mit einem Hinweis auf den Standort der Verfahrensakten, vermerkt. So lässt sich im Verfahrensverzeichnis mit einem Blick nachvollziehen, wo die entsprechende Verfahrensdokumentation zu finden ist. In die Verfahrensakte werden nun systematisch alle notwendigen Konzepte und Dokumentationen aufgenommen, dabei kann die oben dargestellte bei jedem Verfahren unterschiedlich umfangreich ausfallen. Grundsätzlich werden in den Verfahrensakten immer dann Konzepte, Verträge o. ä. aufgenommen, wenn sie sich speziell auf das Verfahren beziehen und nicht durch die allgemeine Dokumentation im Stammordner abgedeckt werden. So gehören z. B. Test und Freigabe, die verfahrensspezifisch für jedes automatisierte Verfahren durchgeführt bzw. erteilt werden, in die Verfahrensakte. Dokumentation der IT-Systeme in Systemakten 01 Systembeschreibung 02 Benutzer- bzw. Administrationshandbücher 03 Berechtigungskonzept 04 Administrationskonzept 05 Datensicherungskonzept (bei Servern/dedizierten Rechnern) 06 Verträge 07 Laufende Systemdokumentation (z. B. Patches, Programme usw.) 08 Protokolle/Kontrollen

Die Dokumentation der eingesetzten Hardwareausstattung und Basissoftware (Betriebssysteme, Datenbanksysteme, Datensicherungssysteme usw.) wurde bei der Beschreibung der Verfahrensakten bewusst noch nicht angesprochen. Es ist auch nicht sinnvoll, diese Dokumentation in die Verfahrensakten aufzunehmen, da vielfach ein System an mehreren Verfahren beteiligt ist. Das würde zur Unübersichtlichkeit und zu Redundanzen führen. Daher ist es sinnvoll, die eingesetzten Systeme in Systemakten zu dokumentieren. Auch diese Systemakten werden so unterschiedlich sein, wie die Systeme, die dokumentiert werden. Eine Systemakte für einen Domänencontroller oder Datenbankserver wird anders aussehen als eine Systemakte für einen PC-Arbeitsplatz, daher soll der oben beschriebene svorschlag eher eine Leitlinie darstellen. In eine Systemakte gehören alle die Konzepte, Verträge o. ä., die sich speziell auf das System beziehen und nicht durch die allgemeine Dokumentation im Stammordner abgedeckt werden. So können z. B. die speziellen Berechtigungen, die ein Systemadministrator an einem Datenbankserver besitzt, in der Systemakte des Datenbankservers dokumentiert werden. Doch auch die laufende Dokumentation nimmt einen hohen Stellenwert beim Führen der Systemakte ein, z. B. das regelmäßige Protokoll zur Durchführung der Datensicherung. Was wird mit der vorgestellten Struktur erreicht? Der vorgestellte svorschlag orientiert sich an einem hierarchischen modularen System, dass sowohl für einen Prüfer oder Auditor als auch für den Systemverantwortlichen und alle an der Dokumentation beteiligten Personen ein hohes Grad an Übersichtlichkeit, Strukturierung und Flexibilität liefert. So ist im Stammordner auf einem Blick sowohl der organisatorische und technisch-organisatorische Aufbau einer Organisation ersichtlich als auch ein Überblick über die datenschutzkonforme Dokumentation entsprechend LDSG und DSVO gegeben. Für nähere Informationen zu einem bestimmten Verfahren oder System kann dann entsprechend der vermerkten Verweise (Aktenzeichen), auf die spezielleren Dokumentationen in den Verfahrens- bzw. Systemakten zurückgegriffen werden. Die Struktur der Dokumentation kann natürlich abgeändert bzw. erweitert werden, um sie an die unterschiedlichen Organisationen anzupassen. Es sollte jedoch darauf geachtet werden, dass die Dokumentation nicht zu stark in Module aufgeteilt wird, da ansonsten die Übersichtlichkeit, die eigentlich erreicht werden soll, verloren geht. Der vorgestellte Strukturierungsvorschlag wird in Form einer Musterdokumentation während der Infobörse vorgestellt. Für weitere Fragen stehe ich gerne zur Verfügung: Angelika Martin ld34@datenschutzzentrum.de Tel.: 0431/988-1280

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback