| Beide Seiten der vorigen RevisionVorhergehende Überarbeitung | Nächste ÜberarbeitungBeide Seiten der Revision |
| vvt-beispiel [2019/05/17 13:48] – Admin | vvt-beispiel [2019/05/17 15:38] – Admin |
|---|
| |3.2 Bezeichnung/Beschreibung der personenbezogenen Daten nach Kategorien|<fs x-small>Gem. Art. 30 Abs. 1 Satz 2 lit. c DSGVO; besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO bitte als solche kennzeichnen</fs>|Zumindest soweit besondere Kategorien personenbezogener Daten vorhanden sind, muss die Rechtsgrundlage (2.3) in besonderem Maße auf ihre Tauglichkeit geprüft werden.|Email, Name, ggf. Grund der Aufnahme in den Newsletter| | |3.2 Bezeichnung/Beschreibung der personenbezogenen Daten nach Kategorien|<fs x-small>Gem. Art. 30 Abs. 1 Satz 2 lit. c DSGVO; besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO bitte als solche kennzeichnen</fs>|Zumindest soweit besondere Kategorien personenbezogener Daten vorhanden sind, muss die Rechtsgrundlage (2.3) in besonderem Maße auf ihre Tauglichkeit geprüft werden.|Email, Name, ggf. Grund der Aufnahme in den Newsletter| |
| |**4 Bezeichnung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch werden gem. Art. 30 Abs. 1 Satz 2 lit. d) EU-DSGVO** | | | | | |**4 Bezeichnung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch werden gem. Art. 30 Abs. 1 Satz 2 lit. d) EU-DSGVO** | | | | |
| |4.1 Empfänger im Anwendungsbereich der DSGVO (schließt auch Auftragsverarbeiter ein)|<del><fs x-small>Art 18 DSGVO</fs></del> |[[Empfänger]] (näheres siehe Artikel) ist ein in [[https://dejure.org/gesetze/DSGVO/4.html|Art. 4]] Nr. 9 [[DSGVO]] [[Legaldefinition|legal definiert]]. \\ Der Hinweis in der Fußnote ist falsch: Gemeint ist Art. 28 DSGVO.|Eine Weiterleitung personenbezogener Informationen findet nicht statt.| | |4.1 Empfänger im Anwendungsbereich der DSGVO (schließt auch Auftragsverarbeiter ein)|<del><fs x-small>Art 18 DSGVO</fs></del> |[[Empfänger]] (näheres siehe Artikel) ist in [[https://dejure.org/gesetze/DSGVO/4.html|Art. 4]] Nr. 9 [[DSGVO]] [[Legaldefinition|legal definiert]]. \\ \\ Der Hinweis in der Fußnote ist falsch: Gemeint ist Art. 28 DSGVO, der die Auftragsverarbeitung regelt.|Eine Weiterleitung personenbezogener Informationen findet nicht statt.| |
| |4.1.1 Empfänger innerhalb des Bereichs des Verantwortlichen (der Organisation/Behörde)| |Eine Angabe, die in der DSGVO nicht vorgesehen ist. |(-)| | |4.1.1 Empfänger innerhalb des Bereichs des Verantwortlichen (der Organisation/Behörde)| |Eine Angabe, die in der DSGVO nicht vorgesehen ist. [[Empfänger]] meint eigentlich Stellen außerhalb des [[Verantwortlicher|Verantwortlichen]]. Dennoch kann eine Angabe zweckmäßig sein: \\ - Verfahren lassen sich verknüpfen, indem hier angegeben wird, an welches (andere) Verfahren personenbezogene Daten "übermittelt" werden. Dazu sollten mindestens die Bezeichnung des anderen Verfahrens (Feld 2.1) und der innerorganisatorisch Verantwortliche (Feld 1.2) angegeben werden. \\ - Wenn unsicher ist, ob eine Übermittlung tatsächlich innerhalb desselben Verantwortlichen erfolgt, sollte diese Übermittlung dokumentiert werden - Hier wenn es wahrscheinlich ein Verantwortlicher ist, ansonsten im folgenden Feld.|(-)| |
| |4.1.2 Empfänger außerhalb des Bereichs des Verantwortlichen (der Organisation/Behörde)| | |(-)| | |4.1.2 Empfänger außerhalb des Bereichs des Verantwortlichen (der Organisation/Behörde)| | |(-)| |
| |4.2 Empfänger im Drittland nach Kapitel V DSGVO| |Übermittlung personenbezogener Daten in Drittländer ist an außerordentlich hohe Voraussetzungen geknüpft. Eine solche Übermittlung sollte nur nach Rücksprache mit dem Datenschutzbeauftragten erfolgen. Im Regelfall bleibt das Formularfeld frei.|(-)| | |4.2 Empfänger im Drittland nach Kapitel V DSGVO| |Übermittlung personenbezogener Daten in Drittländer ist an außerordentlich hohe Voraussetzungen geknüpft. Eine solche Übermittlung sollte nur nach Rücksprache mit dem Datenschutzbeauftragten erfolgen. Im Regelfall bleibt das Formularfeld frei.|(-)| |
| |7.2 Ergebnis mit kurzer Begründung (Ausrichtung und zugrunde gelegte Beurteilungstechnik der Risikobewertung)| |Idealerweise sollte ein standardisiertes Verfahren, z.B. [[:Schutzbedarfsfeststellung|]] nach [[BSI|]]|normaler Schutzbedarf| | |7.2 Ergebnis mit kurzer Begründung (Ausrichtung und zugrunde gelegte Beurteilungstechnik der Risikobewertung)| |Idealerweise sollte ein standardisiertes Verfahren, z.B. [[:Schutzbedarfsfeststellung|]] nach [[BSI|]]|normaler Schutzbedarf| |
| |7.3 Beschreibung allgemeiner technischer und organisatorischer Maßnahmen wie Pseudonymisierung und Verschlüsselung|<fs x-small>Hier ist nicht hauptsächlich auf das IT-Sicherheitskonzept abzustellen, sondern vor allem die datenbezogenen Maßnahmen sind zu beschreiben, unter Berücksichtigung des Art. 32 DSGVO.</fs>|In einfachen Fällen sollte wenn möglich auf das "Infrastruktur-VVT" verwiesen werden.|Siehe VVT "GNU Mailman"| | |7.3 Beschreibung allgemeiner technischer und organisatorischer Maßnahmen wie Pseudonymisierung und Verschlüsselung|<fs x-small>Hier ist nicht hauptsächlich auf das IT-Sicherheitskonzept abzustellen, sondern vor allem die datenbezogenen Maßnahmen sind zu beschreiben, unter Berücksichtigung des Art. 32 DSGVO.</fs>|In einfachen Fällen sollte wenn möglich auf das "Infrastruktur-VVT" verwiesen werden.|Siehe VVT "GNU Mailman"| |
| |7.4 Beschreibung der eingesetzten Hard- und Software|<fs x-small>Hier ist auch Verweis möglich, z.B. auf vorhandenes Inventarverzeichnis.</fs>| |Übliche Client-PC, [[:tu:gnu_mailman|GNU_Mailman]]| | |7.4 Beschreibung der eingesetzten Hard- und Software|<fs x-small>Hier ist auch Verweis möglich, z.B. auf vorhandenes Inventarverzeichnis.</fs>| |Übliche Client-PC, [[:tu:gnu_mailman|GNU_Mailman]] auf virtualisiertem Server des UniRZ| |
| |7.5 Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherstellung insbesondere von Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste|<fs x-small>Die Sicherstellung bezieht sich auf Systeme und Dienste und nicht auf die Verarbeitung oder die personenbezogenen Daten selbst. Sicherzustellen ist die Fähigkeit von Systemen und Diensten (so Piltz in: Gola, DSGVO Kommentar, Art. 32. Rz. 30).</fs>| |Siehe VVT "GNU Mailman"| | |7.5 Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherstellung insbesondere von Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste|<fs x-small>Die Sicherstellung bezieht sich auf Systeme und Dienste und nicht auf die Verarbeitung oder die personenbezogenen Daten selbst. Sicherzustellen ist die Fähigkeit von Systemen und Diensten (so Piltz in: Gola, DSGVO Kommentar, Art. 32. Rz. 30).</fs>| |Siehe VVT "GNU Mailman"| |
| |7.5.1 Maßnahmen zur Zutrittskontrolle| | |(-)| | |7.5.1 Maßnahmen zur Zutrittskontrolle| | |(-)| |
