Willkommen beim Datenschutz-Wiki der TU Ilmenau
Hinweise Impressum Datenschutzerklärung


Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
wiki:user:spielwiese [2018/11/16 13:34] Adminwiki:user:spielwiese [2022/02/25 09:01] (aktuell) Admin
Zeile 1: Zeile 1:
-Das **VVT-Beispiel** ist ein Muster zur Umsetzung eines [[:vvt|VVT]] mit Erläuterungen.+====== Handeln bei IT-Sicherheitsvorfällen ======
  
-Das Muster basiert auf dem Formular für die Thüringer Hochschulen und kann {{:formular_vvt_thuerhs_v0.7.docx|hier als Word-Datei}}  heruntergeladen werden. +  heruntergefahrene Systeme nicht hochfahren aber noch laufende Systeme nicht herunterfahren sondern nur vom (Daten-)Netz trennen (NICHTStromnetz). [[https://www.datenschutzbeauftragter-info.de/spurensicherung-im-arbeitsspeicher-stop-pulling-the-plug/]]
- +
-Im Beispiel wird von folgendem Sachverhalt ausgegangen: +
- +
-Ein Fachgebiet an der TU Ilmenau betreibt mittels des Dienstes "mailman" einen Newsletter, um ehemalige MitarbeiterInnen und Studierende über aktuelle Entwicklungen auf dem Laufenden zu halten. Die Mehrzahl der Emails geht an externe Emailadressen. +
- +
-^Formularfeld^Erläuterung^Beispiel| | +
-|**1 Verantwortlicher und Datenschutzbeauftragter gem Art. 30 Abs. 1 Satz 2, lit. a) EU-DSGVO** | | | | +
-|1.1 Name und Kontaktdaten des Verantwortlichen|Als Verantwortlicher wird immer im öffentlichen Bereich immer der Rechtsträger, also in aller Regel die Körperschaft öffentlichen Rechts benannt. Als deren Vertreter wird der gesetzliche Vertreter gem. [[:wiki:user:thuerhg|ThuerHG]]|Technische Universität Ilmenau \\ Der Rektor \\ Ehrenbergstraße 29 \\ 98693 Ilmenau| | +
-|1.2 Innerorganisatorisch für das Verfahren Verantwortlicher (optional)|An etwas größeren Institutionen sollte immer ein organisatorisch Verantwortlicher benannt werden. Es kann auch zweckmäßig sein, mehrere Ansprechpartner zu benennen.| | | +
-|1.3 Name und Kontaktdaten eines oder mehrerer gemeinsam Verantwortlicher| | | | +
-|1.4 Name und Kontaktdaten des Datenschutzbeauftragten (und ggf. seines Stellvertreters)| | | | +
-|1.5 Bei Auftragsverarbeitung Name und Kontaktdaten des Auftragsverarbeiters| | | | +
-|**2 Zwecke und Grundlagen der Verarbeitung sowie Löschfristen gem. Art. 30 Abs. 1 Satz 2, lit. bund litf) EU-DSGVO** | | | | +
-|2.1 Bezeichnung der Verarbeitungstätigkeit und Kurzbezeichnung (8 Zeichen)| | | | +
-|2.2 Zwecke, zu deren Erfüllung die Daten verarbeitet werden| | | | +
-|2.3 Rechtsgrundlagen der Datenverarbeitung|**Zentraler Punkt** eines jeden VVT. Hier ist -ggf. gemeinsam mit dem Datenschutzbeauftragten- zu prüfen, auf welche Rechtsgrundlage die Verarbeitung gestützt wird und damit die[[:rechtmaessigkeit_der_verarbeitung|Rechtmäßigkeit der Verarbeitung]] sichergestellt wird.| | | +
-|2.4 Darlegung berechtigter Interessen nach Art. 6 Abs. 1 DSGVO: \\ a) Einwilligung (Hinweis auf jederzeitiges Widerrufsrecht) \\ b) vertragliches oder vorvertragliches Erfordernis \\ c) Erfüllung rechtlicher Verpflichtung \\ e) Erfordernis Aufgabenwahrnehmung (öffentliches Interesse öffentliche Gewalt)|Ein missverständliches Feld, dass vorläufig nicht belegt wird: Eine [[:verarbeitung_zur_wahrung_berechtigter_interessen|Verarbeitung zur Wahrung berechtigter Interessen]] ist öffentlichen Stellen nicht gestattet. Zudem **muss** unter 1.3 die Rechtsgrundlage einschließlich der passenden Regelung in der DSGVO angegeben werden.| | | +
-|2.5 Beginn der Verarbeitungstätigkeit Verfahren eingesetzt ab/seit:| | | | +
-|**3 Kategorien betroffener Personen und personenbezogener Daten gemArt. 30 Abs. 1 Satz 2 lit. c) EU-DSGVO** | | | | +
-|3.1 Bezeichnung der Kategorien betroffener Personen| | | | +
-|3.2 Bezeichnung/Beschreibung der personenbezogenen Daten nach Kategorien| | | | +
-|**4 Bezeichnung der Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch werden gem. Art. 30 Abs. 1 Satz 2 lit. d) EU-DSGVO** | | | | +
-|4.1 Empfänger im Anwendungsbereich der DSGVO (schließt auch Auftragsverarbeiter ein)| | | | +
-|4.1.1 Empfänger innerhalb des Bereichs des Verantwortlichen (der Organisation/Behörde)| | | | +
-|4.1.2 Empfänger außerhalb des Bereichs des Verantwortlichen (der Organisation/Behörde)| | | | +
-|4.2 Empfänger im Drittland nach Kapitel V DSGVO|Übermittlung personenbezogener Daten in Drittländer ist an außerordentlich hohe Voraussetzungen geknüpft. Eine solche Übermittlung sollte nur nach Rücksprache mit dem Datenschutzbeauftragten erfolgen. Im Regelfall bleibt das Formularfeld frei.| | | +
-|4.3 Empfänger in internationaler Organisation|Siehe 4.2| | | +
-|**5 Angaben zur Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation gem. Art. 30 Abs. 1 Satz 2 lit. e) EU-DSGVO** |Siehe 4.2. Eine solche Übermittlung findet regelmäßig nicht statt. Daher bleiben die Felder im Abschnitt 5 regelmäßig frei. Sie werden daher in diesem Muster auch nicht abgedruckt.| | | +
-|**6 Löschfristen der verschiedenen Datenkategorien gem. Art. 30 Abs. 1 Satz 2 lit. f) EU-DSGVO** |Auch das ist eine zentraler Punkt. In den meisten Fällen muss sichergestellt werden, dass die personenbezogenen Daten zu einem bestimmten oder bestimmbaren Zeitpunkt [[:wiki:user:loeschen|gelöscht]] werden.(Bloßes [[:wiki:user:sperren|Sperren]] wird idR nicht genügen.)| | | +
-|6.1 Vorgesehene Fristen für die Löschung, bezogen auf die Datenkategorie | | | +
-|6.2 Rechtsgrundlage der Löschfrist | | | +
-|**7 Beschreibung der technischen und organisatorischen Maßnahmen gem. Art. 30 Abs. 1 Satz 2 lit. g) in Verbindung mit Art. 32 Abs. 1 EU-DSGVO**| | | +
-|7.1 Datum der letzten Risikobewertung | | | +
-|7.2 Ergebnis mit kurzer Begründung (Ausrichtung und zugrunde gelegte Beurteilungstechnik der Risikobewertung)| | | +
-|7.3 Beschreibung allgemeiner technischer und organisatorischer Maßnahmen wie Pseudonymisierung und Verschlüsselung | | | +
-|7.4 Beschreibung der eingesetzten Hardund Software | | | +
-|7.5 Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherstellung insbesondere von Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit der Systeme und Dienste| | | +
-|7.5.1 Maßnahmen zur Zutrittskontrolle | | | +
-|7.5.2 Maßnahmen zur Zugangskontrolle | | | +
-|7.5.3 Maßnahmen zur Zugriffskontrolle | | | +
-|7.5.4 Maßnahmen zur Weitergabekontrolle | | | +
-|7.5.5 Maßnahmen zur Eingabekontrolle | | | +
-|7.5.6 Maßnahmen zur Auftragskontrolle (nur im Falle von Auftragsverarbeitung) | | | +
-|7.5.7 Maßnahmen zur Verfügbarkeitskontrolle | | | +
-|7.5.8 Maßnahmen zur Gewährleistung des Trennungsgebots | | | +
-|7.6 Fähigkeit zur Wiederherstellung der personenbezogenen Daten nach physischem oder technischem Zwischenfall insbesondere im Hinblick auf Verfügbarkeit, Zugang | | | +
-|7.7 Verfahren zur regelmäßigen Überprüfung der technischen und organisatorischen Maßnahmen (Evaluation) | | | +
-|**8 Angaben zur Datenschutz-Folgenabschätzung – nur, wenn bei Nr. 7.1 7.2 ein hohes Risiko festgestellt wurde oder die Voraussetzungen des Art. 35 Abs. 3 EU-DSGVO vorliegen** | | | +
-+
-      +
- +
- +
- +
-     +
  
 +[[:Schadenersatz]]
  
  
 +[[:tu:Prüfung in elektronischer Form]]
  
  
 +{{tag>Entwurf}}
Drucken/exportieren
QR-Code
QR-Code Handeln bei IT-Sicherheitsvorfällen (erstellt für aktuelle Seite)