strings.no_script

Datenübermittlung-Folgenabschätzung - preeco

Datenübermittlung-Folgenabschätzung

In preeco | datenschutz und informationssicherheit können Sie Datenübermittlungen an externe Empfänger außerhalb der EU erfassen und eine Folgenabschätzung durchführen. Hierzu stehen Ihnen nützliche Textbausteine in einer übersichtlichen und strukturierten Oberfläche zur Verfügung. preeco | datenschutz begleitet Sie bei der Durchführung des Transfer Impact Assessments (TIA) nach Klausel 14 der SCC und steht Ihnen bei der Umsetzung der Risikobewertung zur Seite.

Voraussetzungen

Bedienoberfläche

Unter Allgemein > Bedienoberfläche erhalten Sie nützliche Hinweise zum Umgang mit der Bedienoberfläche in preeco | datenschutz und informationssicherheit.

Umgang mit Dokumenten

Unter Allgemein > Umgang mit Dokumenten erhalten Sie nützliche Hinweise zum Umgang mit den Dokumenten in preeco | datenschutz und informationssicherheit.

Übersicht über alle Datenübermittlung-Folgenabschätzungen

In der Übersicht der Datenübermittlung-Folgenabschätzungen erhalten Sie einen schnellen Überblick zu folgenden Informationen:

  • Bezeichnung
  • Organisationseinheiten
  • Sprache
  • Verarbeitungstätigkeit
  • Tags
  • Download-Button

Die Spalte Verarbeitungstätigkeit zeigt einen Punkt für jede Verarbeitungstätigkeit mit der die Datenübermittlung-Folgenabschätzung verbunden wurde. Die Farbe des Punkts zeigt Ihnen den Status der jeweiligen Verarbeitungstätigkeit.

Inhalt der Datenübermittlung-Folgenabschätzung

Öffnen Sie ein Dokument in der Lese-Ansicht und klicken Sie auf den Button Bearbeiten rechts oben, um in die Bearbeiten-Ansicht zu gelangen.

Hier sehen Sie links ein Inhaltsverzeichnis, das Ihr Dokument in prägnante Kapitel untergliedert. So sehen Sie immer, wo Sie sich befinden und können per Klick auf das gewünschte Thema gezielt zu den Inhalten springen.

Mittig in der Bearbeiten-Ansicht finden Sie das Formular, über welches Sie das Dokument inhaltlich füllen können. Das Formulare ist für die entsprechenden Zwecke vorstrukturiert. Für eine effiziente Eintragung der relevanten Informationen stehen Ihnen zahlreiche Textbausteine zur Verfügung. Textbausteine können Sie jederzeit ändern, neu anlegen oder löschen. Um einen Textbaustein aus der Bearbeiten-Ansicht heraus neu anzulegen, wählen Sie den Neu Button rechts neben dem Eingabefeld. Um einen Textbaustein zu editieren, wählen Sie diesen zunächst aus und klicken anschließend auf den Stift Button.

Bitte beachten Sie, dass je nach Ihren Rechten im System der Textbaustein ggf. nicht für Sie zur Bearbeitung freigegeben ist. In solchen Fällen können Sie den Textbaustein über das Icon Duplizieren für Ihr Unternehmen übertragen und anschließend wie gewünscht abändern.

Auf der rechten Seite finden Sie die Seitenleiste mit zahlreichen Informationen und Funktionen, die sich auf Ihr geöffnetes Dokument beziehen.

In der oberen rechten Ecke, neben dem 3-Punkte-Menü und Speichern, werden Ihnen gleichzeitige Bearbeiter des Dokuments angezeigt. Diese können Sie anhand der Initialen identifizieren. Um Datenverluste zu vermeiden, sollten Sie zu weiteren Bearbeitern Kontakt aufnehmen, da nur die letzte Speicherung im System erfasst wird.

Anhänge

In jedem Kapitel einer Datenübermittlung-Folgenabschätzung haben Sie die Möglichkeit, beliebige Dateien anzuhängen. Diese werden im erzeugten Dokument als Anhang benannt und als Teil der Revision mit in die ZIP-Datei geschrieben. Klicken Sie auf den Neu Button, um eine Datei hinzuzufügen. Wählen Sie über Durchsuchen die Datei aus, geben Sie eine Bezeichnung ein und klicken Sie anschließend auf Hochladen, um den Prozess abzuschließen.

Aktuelle Liste der akzeptierten Dateiformate für den Upload

In preeco | datenschutz besteht keine Beschränkung der Dateiformate für den Upload.

Allgemeiner Teil der Datenübermittlung-Folgenabschätzung

Die Angaben im Bereich Allgemein sind für die meisten Dokumente in preeco | datenschutz und informationssicherheit ähnlich.

Bezeichnung

Möglichst treffender Name für das Dokument Ihrer Datenübermittlung-Folgenabschätzung.

Status

Wählen Sie den gewünschten Status für das Dokument. Nicht alle Status können manuell gewählt werden, sondern werden automatisch bei Durchführung bestimmter Prozesse gesetzt.

Status vergeben

Dem Dokument wird abhängig vom Status eine Ampelfarbe zugewiesen, sodass Sie den Stand Ihrer Dokumentation auch visuell erfassen können.

  • Neu (rot)
  • In Bearbeitung (gelb)
  • Archiviert (grau)
  • Akzeptabel (grün)
  • Handeln/Prüfen (gelb)
  • Inakzeptabel (rot)

Der Status Neu gibt an, dass Sie Ihr Dokument grundsätzlich erstellt haben aber noch nicht aktiv daran arbeiten.

In Bearbeitung kennzeichnet Dokumente, an denen Sie bereits aktiv arbeiten, deren Inhalte aber noch nicht finalisiert sind.

Das Dokument ist nicht mehr für Ihre aktuelle Dokumentation relevant? Wählen Sie den Status Archiviert aus, um dies zu symbolisieren.

Eine Datenübermittlung-Folgenabschätzung hat darüber hinaus drei weitere Status, die sich auf die Beurteilung der Verarbeitungstätigkeiten beziehen. Bei der Speicherung der Datenübermittlung-Folgenabschätzung in einem dieser drei Status wird automatisch eine Revision erzeugt.

Als Akzeptabel kennzeichnen Sie eine Datenübermittlung-Folgenabschätzung sofern Sie zu dem Schluss gekommen sind, dass die Verarbeitungstätigkeit/en legitim unter den betrachteten Umständen durchführbar ist. Inakzeptabel setzt den Schluss voraus, dass dies nicht der Fall ist.

Sofern die Datenübermittlung-Folgenabschätzung die Notwendigkeit zur Umsetzung weiterer Maßnahmen ergeben hat und damit eine weitere Evaluierung der Risiken notwendig wird, wählen Sie den Status Handeln/Prüfen.

Tags

Tags können Sie hinterlegen, um die Wiederauffindbarkeit eines Dokuments zu gewährleisten. Die Tags können durch optional vergebene Stichworte über die Suche gefunden werden. Die von Ihnen gewählten Tags sind für alle Dokumente Ihres preeco Pakets wiederverwendbar.

Beobachter

Beobachter werden bei bestimmten Ereignissen, wie z.B. dem Freigeben des Dokuments, per E-Mail benachrichtigt. Die Art und Häufigkeit der Benachrichtigung hängt von den Zugriffsrechten und den Einstellungen des Benutzers unter Mein Profil > Meine Einstellungen > Benachrichtigungen ab.

Wählen Sie im Feld Beobachter die gewünschten Benutzer aus, um diese als Beobachter für das aktuelle Dokument hinzuzufügen.

Zugehörigkeit der Datenübermittlung-Folgenabschätzung

Wählen Sie, zu welchen Organisationseinheiten ein Dokument gehört. Diese Auswahl ist entscheidend für die Steuerung des Zugriffs durch Benutzer, deren Rollen und Rechte auf Organisationseinheiten beschränkt sein können.

Die Software trifft für Sie anhand des in der Navigation ausgewählten globalen Filters eine Vorauswahl für das Dokument.

Standard Rechtesystem

Im Standard Rechtesystem können Sie ein Dokument einem Unternehmen/Behörde oder einem Bereich zuordnen sowie beliebig vielen jeweils untergeordneten Abteilungen/Ämter. Bei der Zuordnung der Abteilungen/Ämter wird immer das übergeordnete Unternehmen/Behörde oder der übergeordnete Bereich automatisch mit ausgewählt. Über die Auswahl Alle Organisationseinheiten weisen Sie das Dokument entsprechend allen im Paket erfassten Organisationseinheiten zu.

Erweiteres Rechtesystem

Im Erweiterten Rechtesystem können Sie das Dokument auch feingranular den betreffenden Organisationseinheiten aus Unternehmen/Behörden, Bereichen und Abteilungen/Ämter einzeln zuordnen und eine beliebige Zuweisung vornehmen. Über den Alle-Schalter wählen Sie alle untergeordneten Organisationseinheiten der übergeordneten Organisationseinheit aus.

Hinweis zu den Benutzerrechten

Im Standard Rechtesystem muss der Benutzer in seiner Zugehörigkeit dem zugewiesenen Unternehmen/Behörde bzw. dem zugewiesenen Bereich des Dokuments gehören, um entsprechend seine Benutzerrechte der Funktion anwenden zu können. Die Abteilungen/Ämter werden bei der Rechteprüfung im Standard Rechtesystem nicht beachtet und dienen Ihrer internen Zuordnung.

Im Erweiterten Rechtesystem muss der Benutzer in seiner Zugehörigkeit für die in den Benutzerrechten erteilte Bearbeitung mindestens allen dem Dokument zugewiesenen Organisationseinheiten angehören. Falls er dies nicht erfüllt und nicht allen zugewiesenen Organisationseinheiten des Dokuments angehört, aber mindestens einer, kann er das Dokument zumindest lesen.

Bezug auf Verarbeitungstätigkeit der Datenübermittlung-Folgenabschätzung

In preeco | datenschutz können Sie eine Datenübermittlung-Folgenabschätzung optional auf eine Verarbeitungstätigkeit beziehen und durch diesen Bezug automatisch Daten aus der Verarbeitungstätigkeit übernehmen. Übertragbare Felder werden nicht automatisch ausgefüllt.
Tragen Sie hier nun eine Verarbeitungstätigkeit ein, erhalten Sie bei bestimmten Rubriken per Checkbox die Option, die Felder anhand dieser Verarbeitungstätigkeit zu befüllen.

Sofern Sie eine generische Datenübermittlung-Folgenabschätzung erzeugen möchten, lassen Sie diese Auswahl frei und tragen Sie die gewünschten Informationen manuell in das Formular ein.

Akteure der Datenübermittlung-Folgenabschätzung

In diesem Abschnitt werden Angaben zu den Datenexporteuren und Datenimporteuren gemacht. Darüber hinaus können zusätzliche Datenempfänger hinterlegt werden.

Datenexporteur

Der Datenexporteur ist das Unternehmen / Behörde, welche die Daten an den externen Empfänger außerhalb der EU übermittelt.
Über das 3-Punkte-Menü können Sie einen bereits erfassten Kontakt laden oder aus dem Allgemeinen Teil das angegebene Unternehmen / Behörde übernehmen.
Möchten Sie den Datenexporteur manuell erfassen, machen Sie in den dafür vorgesehenen Feldern entsprechende Angaben.

Datenimporteur

Der Datenimporteur ist das Unternehmen / Behörde, welches die Daten als externe Empfänger außerhalb der EU übermittelt bekommt.
Über das 3-Punkte-Menü können Sie einen bereits erfassten Kontakt laden oder den externen Datenempfänger aus der zuvor angegebenen Verarbeitungstätigkeit übernehmen. Wählen Sie nach Klick auf Aus Verarbeitungstätigkeit laden den Datenimporteur aus dem Drop-Down-Menü.
Möchten Sie den Datenimporteur manuell erfassen, machen Sie in den dafür vorgesehenen Feldern entsprechende Angaben. Zudem können Datenimporteure auch aus einer der verknüpften Verarbeitungstätigkeit zugewiesenen anderen Datenübermittlung-Folgenabschätzungen stammen und ausgewählt werden.

Zusätzliche Datenempfänger

Zusätzliche Datenempfänger können sein:

  • Subunternehmen des Datenimporteurs
  • Institutuion die eine Weitergabe der Daten im Verarbeitungsverlauf erhalten
  • Staatliche Stellen
  • Sonstige

Über den Button Neu steigen Sie in die Erfassung ein.
Mit Klick auf das 3-Punkte-Menü können Sie nun bestehende Kontakte laden oder weitere zusätzliche Datenempfänger hinzufügen.
Möchten Sie einen zusätzlichen Datenempfänger manuell erfassen, machen Sie in den dafür vorgesehenen Feldern entsprechende Angaben.
Darüber hinaus haben Sie im Feld Beschreibung der Datenweitergabe die Möglichkeit, Stellung zur Weitergabe der Daten durch den Datenimporteur zu nehmen.

Beschreibung der Übertragung einer Datenübermittlung-Folgenabschätzung

In diesem Abschnitt beschreiben Sie die Übertragung der Daten an externe Empfänger außerhalb der EU.

Startdatum

Geben Sie den Zeitpunkt an, ab wann die Datenübermittlung durchgeführt wird.

Umstände der Übermittlung

Geben Sie an, unter welchen Umständen die Datenübermittlung durchgeführt wird.

Übertragungskanäle

Welche Übertragungskanäle für die Datenübermittlung genutzt werden, beschreiben Sie mithilfe nützlicher Textbausteine. Durch Klick auf den Button Neu können Sie im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Externe Empfängerkategorien außerhalb der EU

Welche externen Empfänger außerhalb der EU von der Datenübermittlung betroffen sind, beschreiben Sie mithilfe nützlicher Textbausteine.
Sollte die Auswahl der Externen Empfänger außerhalb der EU nicht ausreichen, können Sie durch Klick auf den Button Neu im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Wirtschaftszweig

Welche Wirtschaftszweige bei der Datenübermittlung betroffen sind, beschreiben Sie mithilfe nützlicher Textbausteine.
Sollte die Auswahl der Wirtschaftszweige nicht ausreichen, können Sie durch Klick auf den Button Neu im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Zweck der Datenverarbeitung

Welchen Zweck die Datenübermittlung hat, können Sie entweder durch die von preeco | datenschutz und informationssicherheit zur Verfügung gestellten Textbausteine angeben oder durch aktivieren der Checkbox Datenübernahme aus Verarbeitungstätigkeit aus der zuvor angegebenen Verarbeitungstätigkeit übernehmen.
Sollte die Auswahl der Textbausteine für die Zwecke der Datenverarbeitung nicht ausreichen, können Sie durch Klick auf den Button Neu im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Datenkategorie

Welche Datenkategorien die Daten der Datenübermittlung beinhalten, können Sie entweder durch die von preeco | datenschutz zur Verfügung gestellten Textbausteine angeben oder durch aktivieren der Checkbox Datenübernahme aus Verarbeitungstätigkeit aus der zuvor angegebenen Verarbeitungstätigkeit übernehmen.
Sollte die Auswahl der Datenkategorien nicht ausreichen, können Sie durch Klick auf den Button Neu im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Format der Daten

Welche Formate die übermittelten Daten haben, beschreiben Sie mithilfe nützlicher Textbausteine.
Sollte die Auswahl der Formate der Daten nicht ausreichen, können Sie durch Klick auf den Button Neu im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Speicherort der übermittelten Daten

Angaben zum Speicherort der übermittelten Daten machen Sie im dafür vorgesehenen Feld.

Rechtsvorschriften und Gepflogenheiten der Datenübermittlung-Folgenabschätzung

Welche Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland gelten und in welchem Zeitraum die Beurteilung der Datenübermittlung stattfindet oder stattgefunden hat, geben Sie in diesem Abschnitt an.

Beurteilungszeitraum

Geben Sie nun den Beurteilungszeitraum der Datenübermittlung an. Ihnen steht ein Feld für den Beginn und ein Feld für das Ende der Beurteilung zur Verfügung.

Rechtsvorschriften

Welche Rechtsvorschriften im Bestimmungsland der Datenübermittlung gelten, beschreiben Sie mithilfe nützlicher Textbausteine.
Sollte die Auswahl der Rechtsvorschriften nicht ausreichen, können Sie durch Klick auf den Button Neu im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Geltende Beschränkungen und Garantien

Welche Beschränkungen und Garantiern bei der Datenübermittlung gelten, beschreiben Sie mithilfe nützlicher Textbausteine.
Sollte die Auswahl der Geltenden Beschränkungen und Garantien nicht ausreichen, können Sie durch Klick auf den Button Neu im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Frühere Ersuchen um Offenlegung seitens Behörden

Sofern hinsichtlich der Datenübermittlung an externe Empfänger außerhalb der EU bereits eine Offenlegung gegenüber Behörden erfolgt ist, können Sie diesbezüglich Angaben im dafür vorgesehenen Feld hinterlegen.

Garantien der Datenübermittlung-Folgenabschätzung

Das Kapitel Garantien ermöglicht es, Technische und organisatorische Maßnahmen, Rechtsgrundlagen und Weitere Maßnahmen der Datenübermittlung anzugeben.

Technische und organisatorische Maßnahmen die bereits in preeco | datenschutz angelegt wurden, können Sie über die Suche der Datenübermittlung-Folgenabschätzung anhängen.

Auf welchen Rechtsgrundlagen die Datenübermittlung erfolgt, beschreiben Sie mithilfe nützlicher Textbausteine. Sollte die Auswahl der Rechtsgrundlagen nicht ausreichen, können Sie durch Klick auf den Button Neu im sich nun öffnenden Fenster weitere Textbausteine anlegen oder über den Stift Button vorhandene Textbausteine bearbeiten.

Weitere Maßnahmen geben Sie im dafür vorgesehenen Feld an.

Bewertung der Datenübermittlung-Folgenabschätzung

Legen Sie die Risiken der Datenübermittlung fest und beurteilen Sie diese nach Eintrittswahrscheinlichkeit und Schadenpotenzial. Anschließend erhalten Sie alle Risiken visuell in einer Matrix der Risikokartierung.

Risiken

Hinterlegen Sie über den Button Neu die Risiken der Datenübermittlung an externe Empfänger außerhalb der EU.

Kennzeichnen Sie diese mit einer Bezeichnung und Beschreibung.

Welche Risikokategorie einem Risiko zugerechnet werden kann, wählen Sie über das Drop-Down-Menü aus.
Ihnen steht hierbei die Auswahl zwischen Verbotener rechtmäßiger Zugriff im Zielland, Offenlegung der übertragenen Daten, Erfahrungswerte sowie Sonstige zur Verfügung.
Welche Eintrittswahrscheinlichkeit ein Risiko besitzt, bewerten Sie ebenfalls über ein Drop-Down-Menü. Hierbei haben Sie die Auswahl zwischen Vernachlässigbar, Begrenzt, Wesentlich und Maximal.

Letztlich bewerten Sie das Schadenpotenzial hinsichtlich der Schwere der Auswirkung. Es stehen Ihnen dieselben Kriterien wie bei der Eintrittswahrscheinlichkeit zur Verfügung.

Risikokartierung

Die Risikokartierung gibt Ihnen die zuvor erfassten Risiken in Form einer Risiko-Matrix aus.

Die horizintale und vertikale Achse geben die Eintrittswahrscheinlichkeit sowie das Schadenpotenzial der Risiken an. Die Beurteilung der zuvor bewerteten Risiken erfolgt aufsteigend von Vernachlässigbar, Begrenzt, Wesentlich bis Maximal.

Maßnahmen der Datenübermittlung-Folgenabschätzung

Steigen Sie über den Button Neu in die Erfassung der Maßnahmen der Datenübermittlung ein.

Vergeben Sie eine treffende Bezeichnung und beschreiben Sie im dafür vorgesehenen Feld die Umsetzung der Maßnahme.
Bis wann eine Maßnahme umgesetzt werden soll, können Sie unter Planung der Umsetzung bis hinterlegen.
Über das Drop-Down Menü zum Status der Umsetzung können die Status Neu, In Bearbeitung sowie Erledigt angegeben werden.

  • Der Status Neu gibt an, dass Sie mit der Planung der Maßnahme begonnen haben.
  • In Bearbeitung kennzeichnet Maßnahmen, an denen Sie bereits aktiv arbeiten, welche aber noch nicht im Einsatz sind.
  • Erledigt bedeutet, dass Sie die Maßnahme erfolgreich iniziiert haben und für die Datenübermittlung einsetzen.

Sollten Sie weitere Maßnahmen zum Schutz der Datenübermittlung getroffen haben, können Sie diese über das 3-Punkte-Menü hinzufügen.

Bericht der Datenübermittlung-Folgenabschätzung

Bei der Durchführung wichtiger Schritte im Lebenszyklus einer Datenübermittlung-Folgenabschätzung empfiehlt es sich einen Bericht einzutragen.
Dieser Bericht kann dabei helfen, die gemachten Schritte zu verdeutlichen und Einschätzungen und Änderungen nachvollziehbar aufzuschlüsseln. Die Beschreibungen werden immer zusammen mit dem aktuellen Datum und dem aktuell angemeldeten Benutzer gespeichert.
preeco | datenschutz stellt Ihnen zur Erstellung nützliche Textbausteine zur Verfügung.

Erzeugen einer Revision für die Datenübermittlung-Folgenabschätzung

Eine Revision wird immer dann erstellt, wenn die Datenübermittlung-Folgenabschätzung in einem der Status Akzeptabel, Inakzeptabel oder Prüfen/Handeln abgespeichert wird. Die Revision einer Datenübermittlung-Folgenabschätzung wird als ZIP-Datei generiert und beinhaltet neben dem PDF-Dokument auch die Anhänge, welche bei den einzelnen Kapiteln angefügt wurden.

Die Revisionen dienen der besseren Nachvollziehbarkeit Ihres Datenschutzmanagements. Die Revision ist kein Dokument im Abrechnungssinn und kann beliebig oft erzeugt werden. So können Sie chronologisch Änderungen an Ihrem Dokument nachvollziehen.

Verknüpfen der Datenübermittlung-Folgenabschätzung mit anderen Dokumenten

Eine Datenübermittlung-Folgenabschätzung bezieht sich in der Regel auf eine Verarbeitungstätigkeit. Darüber hinaus können Sie in der Datenübermittlung-Folgenabschätzung Bezug auf Dokumente der technischen und organisatorischen Maßnahmen nehmen, die den Stand der derzeitigen Schutzmaßnahmen widerspiegeln.

Die Inhalte dieser Seite und der beschriebenen Software unterliegen stetiger Weiterentwicklung. Für die Richtigkeit wird keine Gewähr übernommen.