Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Erstellung eines Verfahrensverzeichnisses aus QSEC Im QSEC-Reporting-Modul steht ab der Version 4.2 ein neuer Bericht zur Verfügung. Es besteht nun die Möglichkeit, einen BDSG-konformen Datenschutzbericht zu erstellen und auszuleiten. Hierzu werden die in QSEC hinterlegten Daten, welche über die erweiterten Attribute zu Geschäftsprozessen, Informationen, Maßnahmen und Security-Incidents hinterlegt werden, herangezogen. Diese Anleitung erläutert die dafür notwendigen Voraussetzungen und die Vorgehensweise. Pflege der Stammdaten Darstellung der zu pflegenden Daten, die für die Erstellung eines Verfahrensverzeichnisses notwendig sind: Ein Verfahren für die Verarbeitung personenbezogener Daten entspricht einem Geschäftsprozess in QSEC. Idealerweise können die vom Business definierten Prozesse durch die Kennzeichnung als datenschutzrelevanter Prozess (Datenschutzrelevanz >0) als Verfahren im Sinne des BDSG behandelt werden. Sind die Voraussetzungen nicht gegeben, müssen eigene Verfahren durch den Datenschutzbeauftragten angelegt werden. Die personenbezogenen Daten werden als Informationsobjekte angelegt und mit dem bzw. den Geschäftsprozess(en) (Verfahren) verknüpft. Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 1 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Die für das jeweilige Verfahren verwendeten Ressourcen werden als Assetgruppen erfasst und ebenfalls mit dem Verfahren verknüpft. Diesen Assetgruppen werden die Maßnahmen zum Schutz der Daten zugeordnet. Zur automatisierten Erstellung eines Verfahrensverzeichnisses müssen die erforderlichen Daten in den folgenden Stammdaten hinterlegt werden: Pflege der Geschäftseinheiten a) Pflege des Standortes in der Geschäftseinheit, die die verantwortliche Stelle darstellt (Pflichtfeld bei der Anlage einer Geschäftseinheit). b) Pflege und namentliche Nennung der Geschäftsführungsmitarbeiter in der entsprechenden Mitarbeiterrolle zu der Geschäftseinheit. Die Mitarbeiterrolle muss vorher angelegt werden. Geschäftsführer Pflege der Geschäftsprozesse a) Verantwortliche Stelle Zuordnung einer verantwortlichen Stelle zu dem Geschäftsprozess bzw. dem Verfahren. Diese wird aus einer Liste der möglichen Geschäftseinheiten ausgewählt. Die Geschäftseinheiten müssen angelegt worden sein. Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 2 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz b) Zweckbestimmung und Empfänger Die Beschreibung der Zweckbestimmung der Verarbeitung personenbezogener Daten wird als Freitext in einem dafür vorgesehenen Feld eingetragen. Die möglichen Empfänger der Daten werden ebenfalls als Freitext in einem entsprechenden Feld dokumentiert. Alle Attribute können mit zusätzlichen Kommentaren versehen werden. Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 3 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Pflege der Informationen a) Betroffene Personengruppen Die Auswahl der betroffenen Personengruppen erfolgt anhand einer vordefinierten Auswahlliste. Es können mehrere Personengruppen ausgewählt werden. b) Datenkategorien Die Auswahl der Datenkategorien erfolgt anhand einer vordefinierten Auswahlliste. Es können mehrere Datenkategorien ausgewählt werden. Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 4 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz c) Übermittlung der Daten an Drittländer Werden die Daten an Drittländer übermittelt, so können diese aus einer Auswahlliste selektiert werden. Es können ein oder mehrerer Länder für die Übermittlung der Daten an Drittländer ausgewählt werden. Wird kein Land ausgewählt bedeutet dies automatisch, dass keine Übermittlung der Daten an Drittländererfolgt. d) Regelfristen für die Löschung Die Auswahl der Regelfristen für die Löschung der personenbezogenen Daten erfolgt anhand einer Auswahlliste. Für die Eintragung, z.B. der jeweiligen Rechtsgrundlagen, steht ein Kommentarfeld zur Verfügung. e) Zugriffsberechtigungen je Personengruppe Die Dokumentation, welche Personengruppen Zugriff auf die betreffenden Daten haben, erfolgt anhand einer vordefinierten Auswahlliste. Es können ein oder mehrere Personengruppen ausgewählt werden. Entsprechende Rollen sind vorab zu definieren. Alle Attribute können mit zusätzlichen Kommentaren versehen werden. Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 5 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Pflege der Maßnahmen Auch bei den Maßnahmen wurde bei den weiteren Attributen das zusätzliche Feld „Relevant für Datenschutz“ (Checkbox) eingeführt: Mit der Angabe, dass die Maßnahme eine Datenschutzrelevanz hat, wird im Verfahrensbericht eine Auflistung entweder aller Maßnahmen oder nur der für den Datenschutz relevanten Maßnahmen angezeigt. Die Maßnahmen werden bei den Assetgruppen aufgelistet. Dazu muss die Maßnahme auch mit einer Assetgruppe verbunden sein. Pflege der Secutity Incidents Die in QSEC erfassten Securty Incidents können auch nach Ihren Datenschutzrelevanz beurteilt werden. In dem Bereich der weiteren Attribute wurde dafür auch das Feld „Relevant für Datenschutz“ eingefügt: Damit können alle datenschutzrelevanten Vorfälle (Security Incidents) herausgefiltert werden und im Bericht Datenschutzvorfälle intern und extern berichtet werden. Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 6 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Bericht: Verfahrensverzeichnis Angabe aller gemäß Bundesdatenschutzgesetz geforderten Informationen zu einem Verfahren der Verarbeitung personenbezogener Daten. Der Bericht kann sowohl für die unternehmensinterne Darstellung des Verfahrens, als auch für die Bereitstellung der Informationen an externe genutzt werden. Der Bericht wird im Reportingmodul ausgewählt. Der Bericht hat die laufende Nummer: qsr0041de. Im Berichtskopf werden folgende Daten erfasst (Beispiel aus dem QSEC-Demosystem: Bei der Erstellung des Verfahrensverzeichnisses kommen die oben dargestellten Filter zur Anwendung. Festlegung und Kommentierung der Vertraulichkeitsstufe des Verfahrensverzeichnisses Auswahl ob der Bericht intern oder extern verwendet wird (bei externer Verwendung entfallen die Punkte 9 und 10 des Verfahrensverzeichnisses) Auswahl des Verfahrens (Geschäftsprozesses) für den der Bericht erstellt werden soll. Zur Auswahl wird eine Liste (dropdown-Liste) aller Geschäftsprozesse angezeigt. Es können mehrere Verfahren ausgewählt werden. Auswahl des Inhabers, Vorstandes oder Geschäftsführers aus der Namensliste Auswahl des Datenschutzbeauftragten für diese Geschäftseinheit aus der Namensliste Es können je Assetgruppe alle Maßnahmen angezeigt (nein) werden oder nur die zugehörigen Datenschutzmaßnahmen (ja) Mit dem Maßnahmenstatus kann der Filter für die Maßnahmenauflistung gesetzt werden (siehe dazu auch Punkte 1.4) Es kann ausgewählt werden dass alle untergeordneten Geschäftsprozesse angezeigt werden sollen, hierdurch wird ausgelöst, dass die Gesamtansicht für wird die Darstellung angezeigt wird. Wird die Auswahl „ja“ gewählt, wird im Bericht ein Deckblatt mit allen Geschäftsprozessen und der Angabe der personenbezogenen Datenverarbeitung dargestellt. Das Deckblatt ist das Gesamtverfahrensverzeichnis der Geschäftsprozesse mit personenbezogener Datenverarbeitung. Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 7 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Beispielbericht (Beispiel aus dem QSEC-Demosystem): Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 8 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 9 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 10 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 11 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 12 Arbeiten mit QSEC Praxistipp Nr. 1 / Datenschutz Weitere Berichte zum Datenschutz (in Erstellung) Übersicht über alle Assetgruppen, die datenschutzrelevant sind (Datenschutzrelevanz >0) Datenschutzvorfälle Best in Class ist nie ein Zufall! © 2014 WMC GmbH Zimmerstraße 1 ∙ DE-22085 Hamburg Telefon: +49 40 650 33 6 -0 ∙ Fax: +49 40 650 33 6 -29 E-Mail: [email protected] ∙ Internet: www.wmc-direkt.de 13
© Copyright 2024 ExpyDoc
