Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:user:spielwiese [2018/11/16 13:34] – Admin | wiki:user:spielwiese [2022/02/25 09:01] (aktuell) – Admin | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | Das **VVT-Beispiel** ist ein Muster zur Umsetzung eines [[: | + | ====== Handeln bei IT-Sicherheitsvorfällen ====== |
- | Das Muster basiert auf dem Formular für die Thüringer Hochschulen und kann {{: | + | |
- | + | ||
- | Im Beispiel wird von folgendem Sachverhalt ausgegangen: | + | |
- | + | ||
- | Ein Fachgebiet an der TU Ilmenau betreibt mittels des Dienstes " | + | |
- | + | ||
- | ^Formularfeld^Erläuterung^Beispiel| | | + | |
- | |**1 Verantwortlicher und Datenschutzbeauftragter gem Art. 30 Abs. 1 Satz 2, lit. a) EU-DSGVO** | | | | | + | |
- | |1.1 Name und Kontaktdaten des Verantwortlichen|Als Verantwortlicher wird immer im öffentlichen Bereich immer der Rechtsträger, | + | |
- | |1.2 Innerorganisatorisch für das Verfahren Verantwortlicher (optional)|An etwas größeren Institutionen sollte immer ein organisatorisch Verantwortlicher benannt werden. Es kann auch zweckmäßig sein, mehrere Ansprechpartner zu benennen.| | | | + | |
- | |1.3 Name und Kontaktdaten eines oder mehrerer gemeinsam Verantwortlicher| | | | | + | |
- | |1.4 Name und Kontaktdaten des Datenschutzbeauftragten | + | |
- | |1.5 Bei Auftragsverarbeitung | + | |
- | |**2 Zwecke und Grundlagen der Verarbeitung sowie Löschfristen gem. Art. 30 Abs. 1 Satz 2, lit. b) und lit. f) EU-DSGVO** | | | | | + | |
- | |2.1 Bezeichnung der Verarbeitungstätigkeit und Kurzbezeichnung (8 Zeichen)| | | | | + | |
- | |2.2 Zwecke, zu deren Erfüllung die Daten verarbeitet werden| | | | | + | |
- | |2.3 Rechtsgrundlagen der Datenverarbeitung|**Zentraler Punkt** eines jeden VVT. Hier ist -ggf. gemeinsam mit dem Datenschutzbeauftragten- zu prüfen, auf welche Rechtsgrundlage die Verarbeitung gestützt wird und damit die[[:rechtmaessigkeit_der_verarbeitung|Rechtmäßigkeit der Verarbeitung]] sichergestellt wird.| | | | + | |
- | |2.4 Darlegung berechtigter Interessen nach Art. 6 Abs. 1 DSGVO: \\ a) Einwilligung (Hinweis auf jederzeitiges Widerrufsrecht) \\ b) vertragliches oder vorvertragliches Erfordernis \\ c) Erfüllung rechtlicher Verpflichtung \\ e) Erfordernis Aufgabenwahrnehmung (öffentliches Interesse | + | |
- | |2.5 Beginn der Verarbeitungstätigkeit | + | |
- | |**3 Kategorien betroffener Personen und personenbezogener Daten gem. Art. 30 Abs. 1 Satz 2 lit. c) EU-DSGVO** | | | | | + | |
- | |3.1 Bezeichnung der Kategorien betroffener Personen| | | | | + | |
- | |3.2 Bezeichnung/Beschreibung der personenbezogenen Daten nach Kategorien| | | | | + | |
- | |**4 Bezeichnung der Kategorien von Empfängern, | + | |
- | |4.1 Empfänger | + | |
- | |4.1.1 Empfänger innerhalb des Bereichs des Verantwortlichen (der Organisation/ | + | |
- | |4.1.2 Empfänger außerhalb des Bereichs des Verantwortlichen (der Organisation/ | + | |
- | |4.2 Empfänger im Drittland nach Kapitel V DSGVO|Übermittlung personenbezogener Daten in Drittländer ist an außerordentlich hohe Voraussetzungen geknüpft. Eine solche Übermittlung sollte nur nach Rücksprache mit dem Datenschutzbeauftragten erfolgen. Im Regelfall bleibt das Formularfeld frei.| | | | + | |
- | |4.3 Empfänger in internationaler Organisation|Siehe 4.2| | | | + | |
- | |**5 Angaben zur Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation gem. Art. 30 Abs. 1 Satz 2 lit. e) EU-DSGVO** |Siehe 4.2. Eine solche Übermittlung findet regelmäßig nicht statt. Daher bleiben die Felder im Abschnitt 5 regelmäßig frei. Sie werden daher in diesem Muster auch nicht abgedruckt.| | | | + | |
- | |**6 Löschfristen der verschiedenen Datenkategorien gem. Art. 30 Abs. 1 Satz 2 lit. f) EU-DSGVO** |Auch das ist eine zentraler Punkt. In den meisten Fällen muss sichergestellt werden, dass die personenbezogenen Daten zu einem bestimmten oder bestimmbaren Zeitpunkt [[: | + | |
- | |6.1 Vorgesehene Fristen für die Löschung, bezogen auf die Datenkategorie | | | | + | |
- | |6.2 Rechtsgrundlage der Löschfrist | | | | + | |
- | |**7 Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 30 Abs. 1 Satz 2 lit. g) in Verbindung mit Art. 32 Abs. 1 EU-DSGVO**| | | | + | |
- | |7.1 Datum der letzten Risikobewertung | | | | + | |
- | |7.2 Ergebnis mit kurzer Begründung (Ausrichtung und zugrunde gelegte Beurteilungstechnik der Risikobewertung)| | | | + | |
- | |7.3 Beschreibung allgemeiner technischer und organisatorischer Maßnahmen wie Pseudonymisierung und Verschlüsselung | | | | + | |
- | |7.4 Beschreibung der eingesetzten Hard- und Software | | | | + | |
- | |7.5 Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherstellung insbesondere von Vertraulichkeit, | + | |
- | |7.5.1 Maßnahmen zur Zutrittskontrolle | | | | + | |
- | |7.5.2 Maßnahmen zur Zugangskontrolle | | | | + | |
- | |7.5.3 Maßnahmen zur Zugriffskontrolle | | | | + | |
- | |7.5.4 Maßnahmen zur Weitergabekontrolle | | | | + | |
- | |7.5.5 Maßnahmen zur Eingabekontrolle | | | | + | |
- | |7.5.6 Maßnahmen zur Auftragskontrolle (nur im Falle von Auftragsverarbeitung) | | | | + | |
- | |7.5.7 Maßnahmen zur Verfügbarkeitskontrolle | | | | + | |
- | |7.5.8 Maßnahmen zur Gewährleistung des Trennungsgebots | | | | + | |
- | |7.6 Fähigkeit zur Wiederherstellung der personenbezogenen Daten nach physischem oder technischem Zwischenfall insbesondere im Hinblick auf Verfügbarkeit, | + | |
- | |7.7 Verfahren zur regelmäßigen Überprüfung der technischen und organisatorischen Maßnahmen (Evaluation) | | | | + | |
- | |**8 Angaben zur Datenschutz-Folgenabschätzung – nur, wenn bei Nr. 7.1 / 7.2 ein hohes Risiko festgestellt wurde oder die Voraussetzungen des Art. 35 Abs. 3 EU-DSGVO vorliegen** | | | | + | |
- | | | + | |
- | + | ||
- | + | ||
- | + | ||
- | + | ||
- | + | ||
+ | [[: | ||
+ | [[: | ||
+ | {{tag> |