{"id":10249,"date":"2018-01-09T16:35:33","date_gmt":"2018-01-09T16:35:33","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/eugdpracademy\/?post_type=knowledgebase&#038;p=10249"},"modified":"2023-11-27T23:20:25","modified_gmt":"2023-11-27T23:20:25","slug":"5-phasen-der-eu-dsgvo-datenschutz-folgenabschatzung","status":"publish","type":"adv_resources","link":"https:\/\/advisera.com\/de\/artikel\/5-phasen-der-eu-dsgvo-datenschutz-folgenabschatzung\/","title":{"rendered":"5 Phasen der EU DSGVO Datenschutz-Folgenabsch\u00e4tzung"},"content":{"rendered":"<h2>Ein kurzer \u00dcberblick \u00fcber die DPIA-Methodik<\/h2>\n<p>Dieser Artikel legt den Schwerpunkt auf ein neues Instrument, das zur H\u00e4lfte als Audit und zur anderen H\u00e4lfte als Projektmanagement definiert werden k\u00f6nnte. In <a href=\"https:\/\/advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">Artikel 35<\/a> gibt die <a href=\"https:\/\/advisera.com\/de\/artikel\/was-ist-die-eu-dsgvo\/\" target=\"_blank\" rel=\"noopener noreferrer\">Datenschutz-Grundverordnung<\/a> ein spezifisches analytisches Tool, das einem bereits etablierten Tool \u00e4hnelt. Bewerter kennen es als Informations- und Sicherheitsrisikomanagement. Bitte beachten Sie, dass in diesem Artikel die DSGVO Folgenabsch\u00e4tzungsmethodik nicht eingehend, Phase f\u00fcr Phase, gepr\u00fcft wird. Vielmehr erhalten Sie einen \u00dcberblick \u00fcber alle Phasen einer solchen Bewertung. Andere Artikel dieser Serie erkl\u00e4ren die Einzelheiten jeder Phase.<\/p>\n<h2>Natur der DSFA<\/h2>\n<p>Falls Sie den Artikel \u201c<a href=\"https:\/\/advisera.com\/de\/artikel\/die-rolle-des-datenschutzbeauftragten-dsb-im-hinblick-auf-die-datenschutz-grundverordnung\/\" target=\"_blank\" rel=\"noopener noreferrer\">Die Rolle des DSB<\/a>\u201d gelesen haben, haben Sie vielleicht bemerkt, dass die Rolle des DSB recht horizontal ausgelegt ist, vermischt mit rechtlichen, bewertenden, technischen und kommunikativen F\u00e4higkeiten. Die DSFA ist an f\u00fcr sich eine Verk\u00f6rperung einer solchen Mischung. Da die DSFA Datenverantwortliche als auch -auftragsverarbeiter in ihrem Verfahren umfasst, k\u00f6nnten wir des Weiteren auch davon ausgehen, dass die DSFA ein perfektes Tool f\u00fcr die Sicherstellung der Verantwortlichkeit und der Rechenschaftspflicht in einem Unternehmen darstellt.<\/p>\n<p>Es besteht die rechtliche Verpflichtung, eine Bewertung durchzuf\u00fchren, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko f\u00fcr die betroffene Person f\u00fchrt (<a href=\"https:\/\/advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">Artikel 35 DSGVO<\/a>). Angesichts der Gesch\u00e4ftsbeteiligung und der Entwicklung von IT-Systemen erm\u00f6glicht ein Risikomanagementansatz den Organisationen die erforderlichen Kontrollen zu ermittelt. Dieses wird erm\u00f6glicht durch die Analyse der Verarbeitung, der Priorisierung der Risiken und durch deren angemessenen Umgang, um Kosten zu optimieren und Entscheidungen treffen zu k\u00f6nnen. Schlie\u00dflich hilft die DSFA einem Unternehmen, die Umsetzung von Datenschutzprinzipien darzustellen. Folglich k\u00f6nnen wir fairerweise zugeben, dass eine DSFA ein Compliance-Tool ist, das vor der Durchf\u00fchrung der Verarbeitung zu verwenden ist (Ex-ante-Analyse).<br \/>\n<div id=\"middle-banner\" class=\"banner-shortcode\"><\/div><script>loadMiddleBanner();<\/script><div id=\"sidebar-banner-trigger\" class=\"banner-shortcode\"><\/div><\/p>\n<h2>Ein kurzer \u00dcberblick \u00fcber die Methodik<\/h2>\n<p>Eine DSFA besteht normalerweise aus mehreren Phasen. Jede dieser Phasen analysiert ein spezifisches Merkmal Ihrer Datenverarbeitung anhand einer Reihe von Kontrollen und \u00dcberpr\u00fcfungen. Wenn Sie sich jemals gefragt haben, was ein Pilot und Co-Pilot tun, bevor sie abheben: sie \u00fcberpr\u00fcfen die Instrumente anhand einer Checkliste, die eine Reihe von geregelten und \u00fcberpr\u00fcften Kontrollen enth\u00e4lt. \u00a0Eine DSFA ist dem \u00e4hnlich, hat aber im Gegensatz zu einer Checkliste f\u00fcr Flugzeuge eine gewisse Flexibilit\u00e4t.<\/p>\n<p>Eine DSFA ist anpassungsf\u00e4hig an die Tiefe der Bewertung, die Sie durchf\u00fchren m\u00f6chten, dies bedeutet, dass f\u00fcr die einzelnen Bewertungselemente kein Zeitrahmen angegeben ist. Mit anderen Worten, wenn Ihr Bewertungsteam Zeit darauf verwenden m\u00f6chte, Kontrollen auszuarbeiten oder nach Bedrohungen f\u00fcr die Verarbeitung zu suchen und diese zu untersuchen, sollten Sie sie dies tun lassen, da zu erwarten ist, dass das Ergebnis dieser Analyse Abhilfe schaffen wird. In Bezug auf die Methodik enth\u00e4lt <a href=\"https:\/\/advisera.com\/gdpr\/data-protection-impact-assessment\/\" target=\"_blank\" rel=\"noopener noreferrer\">Artikel 35 Absatz 7<\/a> der Verordnung die zu pr\u00fcfenden Mindestelemente, die nachstehend in f\u00fcnf Phasen beschrieben werden:<\/p>\n<ul>\n<li><strong>Phase 1<\/strong> ist im Grunde eine detaillierte Auflistung der Datenverarbeitung, die die verwendeten Daten, die Einzelheiten derer Verantwortlichen und Auftragsverarbeiter, deren rechtliche Grundlage oder die auf die Daten angewendete Speicherungsdauer umfasst. Sie weist \u00c4hnlichkeiten mit dem alten Meldungsformat auf, das eine Anforderung der Richtlinie 95\/46 EG darstellt, welche nach dem 25.Mai 2018 wegfallen wird.<\/li>\n<li><strong>Phase 2<\/strong> identifiziert die Rechts- und Risikobehandlungskontrollen, die derzeit durchgef\u00fchrt werden. Diese Phase umfasst das derzeit bestehende Ma\u00dfnahmenpaket aus rechtlicher, technischer, physikalischer und organisatorischer Sicht. Ziel ist es m\u00f6gliche Risiken, die vor der Durchf\u00fchrung der Datenverarbeitung identifiziert werden k\u00f6nnen, zu kontrollieren. Wenn Ihr Unternehmen, zum Beispiel die Richtlinie f\u00fcr den Zugriff auf Gesch\u00e4ftsr\u00e4ume nicht \u00fcberpr\u00fcft hat (z. B. Ausweisausstellung, Zugriffsprotokolle usw.), m\u00fcssen Sie dies wahrscheinlich zuerst durchf\u00fchren, bevor Sie die G\u00fcltigkeit einer solchen Richtlinie auf einen neu erbauten\/erstellten Bereich der Gesch\u00e4ftsr\u00e4ume oder ein neues System erweitern.<\/li>\n<li><strong>Phase 3<\/strong> f\u00fchrt die Risikoquellen f\u00fcr die Datenverarbeitung an. Sie wirft folgende Frage auf: \u201cWird mein Gesch\u00e4ft durch diese neue Datenverarbeitung einen Schaden erleiden und wenn dem so ist, wie und wann wird ihm dieser Schaden zugef\u00fchrt?\u201d Diese Phase legt ihren Schwerpunkt auf m\u00f6gliche Verletzungen der Privatsph\u00e4re (z. B. Erleiden eines Schadens durch falsche Daten oder eine Datenschutzverletzung) und die Einsch\u00e4tzung von Unternehmensrisiken, Rufsch\u00e4digung oder finanzielle Kosten. Es verlangt nach Vorstellungskraft, vor allem wenn es darum geht, nach Risikoquellen Ihres Unternehmens zu suchen. Fall Sie eine Bank f\u00fchren, liegt eine Ihrer Risikoquellen darin, dass Ihre Datenbank gehackt und in betr\u00fcgerischer Weise auf sie zugegriffen werden k\u00f6nnte. Es ist ein Sicherheitsrisiko an sich, birgt aber auch ein finanzielles Risiko f\u00fcr Ihre Aktien, denn aus der Sicht Ihrer Kunden stellt dies ein Risiko f\u00fcr Ihren Ruf dar.<\/li>\n<li>In <strong>Phase 4<\/strong> geht es um die Analyse und Auflistung m\u00f6glicher negativer Vorkommnisse und Bedrohungen f\u00fcr die Datenverarbeitung. Diese Phase unterscheidet sich von Phase 3 dadurch, dass sie sich auf personenbezogene Daten betroffener Personen und auf m\u00f6gliche Auswirkungen der neuen Verarbeitung dieser Daten konzentriert. Wenn die Ereignisse intern oder extern, menschlich oder nichtmenschlich (technisch) sind, ist diese Phase in Bezug auf technologische Entwicklung relevant. Bei neuen Technologien fehlt es m\u00f6glicherweise an einer klaren Einf\u00fchrung von datenschutzfreundlichen Sicherheitsvorkehrungen, so dass betroffene Personen in dem Falle Bedrohungen wie Hacking, Phishing und Spamming ausgesetzt sind. Ihr Zweck ist die Festlegung, welcher Art von Bedrohung Ihre Verarbeitung ausgesetzt sein k\u00f6nnte. Lassen Sie uns annehmen, dass Sie der Direktor eines gro\u00dfen Krankenhauses sind. Die Gesundheitsakten Ihrer Patienten enthalten sensible Daten. Eine menschliche Bedrohung w\u00e4re in diesem Falle der Zugriff auf diese Akten durch falsches Personal aus den falschen Gr\u00fcnden und eine nichtmenschliche Bedrohung w\u00e4re, dass das vom Krankenhaus verwendete Betriebssystem 10 Jahre ohne Updates betrieben wird. Im ersten Fall k\u00f6nnten Sie einen unbefugten und betr\u00fcgerischen Zugriff bef\u00fcrchten, w\u00e4hrend Sie im zweiten Falle eine Cyber-Attacke auf Ihr Betriebssystem bef\u00fcrchten k\u00f6nnen. Letztendlich w\u00e4re die \u00e4rztliche Schweigepflicht gegen\u00fcber Ihren Patienten gef\u00e4hrdet, w\u00fcrden Sie diese Bedrohung nicht beheben.<\/li>\n<li>Abschlie\u00dfend ist <strong>Phase 5<\/strong> im Format eines Berichtes und fasst die Analysen, die bestehenden Kontrollen, Risiken, denen Ihr Unternehmen ausgesetzt sein k\u00f6nnte und die Bedrohungen f\u00fcr personenbezogene Daten zusammen. Der Bericht beschreibt die M\u00f6glichkeiten der Organisation, wie mit jedem identifizierten Risiko, jeder Bedrohung und jeder Schwachstelle umzugehen ist. Sie gibt an, ob die einzelne Option dazu f\u00fchrt, dass das Risiko eliminiert, reduziert oder als solches akzeptiert wird. Der Bericht wird aufgezeichnet, aufbewahrt und den obersten Managern Ihrer Organisation dargelegt. Diese Manager entscheiden dann, ob Ma\u00dfnahmen unternommen wurden oder unternommen werden m\u00fcssen und verfolgen deren Durchf\u00fchrung. Wir m\u00f6chten an dieser Stelle anmerken, dass solche Berichte dazu beitragen, dass Sie dem Grundsatz der DSGVO nach Rechenschaftspflicht nachkommen.<\/li>\n<\/ul>\n<h2>Mehrwert einer DSFA<\/h2>\n<p>Eine DSFA stellt einen Mehrwert f\u00fcr Ihr Unternehmen dar. Es mag erscheinen, dass sie eine langwierige und zeitraubende \u00dcbung sei. W\u00e4hrend jedoch eine DSFA \u201cgr\u00fcnes Licht\u201d bez\u00fcglich der Einhaltung bestimmter Datenverarbeitungen gibt, verschafft sie aber auch eine Voranalyse Ihrer Verarbeitung durch internes Personal, das an der DSFA beteiligt ist, gleichzeitig zeigt sie gegen\u00fcber den nationalen Beh\u00f6rden und Kunden guten Glauben.<\/p>\n<p>Solch eine Bewertung bietet eine wirksame Gelegenheit, Dokumente zu \u00fcberpr\u00fcfen, die Umsetzung Ihres Projektes vorzubereiten, Ihre Richtlinien zu erstellen oder anzupassen, technische Aspekte zu verbessern und Ihre Kontrollen zu verst\u00e4rken. Kurz gesagt, ermutigt die DSFA Ihre Mitarbeiter, sich \u00fcber den Schutz personenbezogener Daten in Ihrem Unternehmen auszutauschen und ihr Bewusstsein dar\u00fcber zu st\u00e4rken.<\/p>\n<p>Beachten Sie, dass Sie Ihren Datenschutzbeh\u00f6rden die Einhaltung der Bestimmungen nachweisen m\u00fcssen. Diese Beh\u00f6rde wird \u00fcber Ihre Bewertungen Bescheid wissen, da Sie diese aufzeichnen m\u00fcssen. Im Falle eines Audits in Ihren R\u00e4umlichkeiten k\u00f6nnen Sie guten Glauben zeigen, indem Sie diese Aufzeichnungen erstellen. Des Weiteren versichern Sie Ihren Kunden, dass Sie die Daten der betroffenen Personen und Ihren guten Ruf sch\u00fctzen.<\/p>\n<p><em>Klicken Sie hier, um Ihr kostenloses<\/em> <a href=\"https:\/\/info.advisera.com\/eugdpracademy\/de\/kostenloser-download\/diagramm-des-eu-dsgvo-implementierungsprozesses\" target=\"_blank\" rel=\"noopener noreferrer\">EU DSGVO Implementierungs-Diagramm<\/a> <em>herunterzuladen um zu erfahren, wo sich die DSFA in den gesamten Prozess einf\u00fcgt.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ein kurzer \u00dcberblick \u00fcber die DPIA-Methodik Dieser Artikel legt den Schwerpunkt auf ein neues Instrument, das zur H\u00e4lfte als Audit und zur anderen H\u00e4lfte als Projektmanagement definiert werden k\u00f6nnte. In Artikel 35 gibt die Datenschutz-Grundverordnung ein spezifisches analytisches Tool, das einem bereits etablierten Tool \u00e4hnelt. Bewerter kennen es als Informations- und Sicherheitsrisikomanagement. Bitte beachten Sie, [&hellip;]<\/p>\n","protected":false},"author":63,"featured_media":0,"comment_status":"open","ping_status":"closed","template":"","tags":[],"class_list":["post-10249","adv_resources","type-adv_resources","status-publish","hentry","adv_resource_type-articles-de","adv_standard-eu-gdpr-de","adv_topic-implementation","adv_level-beginner"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/adv_resources\/10249","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/adv_resources"}],"about":[{"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/types\/adv_resources"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/users\/63"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/comments?post=10249"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/adv_resources\/10249\/revisions"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/media?parent=10249"}],"wp:term":[{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/de\/wp-json\/wp\/v2\/tags?post=10249"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}