DGUV Icon Sign Language Gebärdensprache DGUV Icon Easy Language Leichte Sprache
DGUV_icons_ansprechperson_schwarz Login

Das Datenschutz-Management-System der SIGUV-Web-Community

Die Umsetzung und Einhaltung der EU-DSGVO (EU-Datenschutz-Grundverordnung) ist ein integraler Bestandteil einer zeitgemäßen Führung von Unternehmen und Einrichtungen in der Bundesrepublik Deutschland.

Die SIGUV-Web-Community entwickelt für die SIGUV-Anwendergemeinschaft Web-Applikationen und stellt darüber hinaus fachliche Frameworks für die Softwareentwicklung auf Basis standardisierter Methoden und Verfahren bereit.

Ein hohes Datenschutzniveau für die Web-Applikationen der SIGUV-Web-Community kann jedoch nur dann erreicht werden, wenn das Thema nicht als Belastung empfunden wird. Mit dem vorliegenden Konzept wird ein durchgängiger Prozess für das Datenschutz-Management beschrieben der den hohen Anforderungen des Sozialdatenschutz ebenso Rechnung trägt wie der Durchführbarkeit und Machbarkeit für die internen Entwickler und externen Partner der SIGUV-Web-Community.

Der hier beschriebene Prozess stellt einerseits eine lückenlose Dokumentation sicher und sorgt andererseits für die Möglichkeit der Kontrolle und Überprüfung der technischen und organisatorischen Maßnahmen.

Die methodischen Grundlagen dieses Konzeptes wurden nicht selbst erfunden oder entwickelt, sondern stammen ausschließlich aus öffentlichen Quellen des Bundesbeauftragten für den Datenschutz und die Informationssicherheit sowie aus Quellen der Datenschutzbeauftragten der Länder. Die Quellen sind im Kapitel „Voraussetzungen“ dokumentiert.

In der Vergangenheit wurde die SIGUV-Web-Community bzw. der externe Lösungspartner novareto GmbH immer wieder mit der Aufforderung konfrontiert, eine DSGVO-konforme Dokumentation vorzulegen und dabei überprüfbare technische und organisatorische Maßnahmen zu benennen. Mit der Umsetzung dieses Konzeptes wird dies ermöglicht.

Die folgenden Dokumente bilden die methodische Grundlage für dieses Konzept und bilden insofern auch die Voraussetzungen für deren Umsetzung:

Dokument „Das Standard-Datenschutzmodell“

Quelle: https://www.bfdi.bund.de/DE/Datenschutz/Themen/Technische_Anwendungen/TechnischeAnwendungenArtikel/Standard-Datenschutzmodell.html

Dokument „Referenz-Maßnahmenkatalog"

Quelle: https://www.datenschutz-mv.de/datenschutz/datenschutzmodell/

Außerdem:

Dokumente und Formulare auf der Seite des Bayerischen Landesdatenschutzbeauftragten

Quelle: https://www.datenschutz-bayern.de/dsfa/

Modul 1: Beschreibung einer Verarbeitungstätigkeit
Modul 2: DSFA-Bericht in Formularform für eine Verarbeitungstätigkeit
Modul 3: Tabellen für das Risikomanagement zu einer Verarbeitungstätigkeit
Modul 4: Tabellen für das Zielerfüllungsmanagement zu einer Verarbeitungstätigkeit

Für die Online-Dienste der SIGUV-Web-Community wird unter Berücksichtigung des Standard- Datenschutzmodells (SDM) ein Prozess für das Datenschutz-Management aufgesetzt, der folgende konkreten Zielsetzungen bzw. Anforderungen erfüllt:

Zielsetzungen bzw. Anforderungen

  • Der gesamte Online-Servicekatalog, der heute als Excel-Tabelle vorliegt, wird via Web über das CMS Plone gepflegt und aktualisiert und steht den SIGUV-Gremien somit zu jeder Zeit in aktueller Fassung zur Verfügung.
  • Für jeden Online-Service wird eine Beschreibung der Verarbeitungstätigkeit erstellt. Darin werden die identifizierten Risiken und die dafür ergriffenen technischen und organisatorischen Maßnahmen dokumentiert. Bei der Maßnahmendokumentation wird auf die einheitlichen Gewährleistungsziele gemäß SDM referenziert.
  • Die Online-Services der SIGUV-Web-Community dienen der Publikation von Sozialdaten oder bieten Möglichkeiten zu deren Erfassung, Übermittlung und Verarbeitung. Für alle Online-Services wird daher eine Datenschutz-Folgenabschätzung erstellt, weil davon auszugehen ist, dass die Publikation oder Verarbeitung mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen verbunden sind.
  • Alle technischen und organisatorischen Maßnahmen werden in einem Online-Maßnahmenkatalog dokumentiert. Darin wird auch vermerkt, welche(s) einheitliche(n) Gewährleistungsziel(e) mit der(n) betreffende(n) Maßnahme(n) erreicht werden bzw. erreicht werden sollen.
  • Technische Maßnahmen können folgende Tätigkeiten der Überprüfung und Kontrolle zugeordnet werden:
    • Review (z.B. Code-Review)
    • Audit
    • Penetration-Test
  • Organisatorischen Maßnahmen können folgende Tätigkeiten der Überprüfung und Kontrolle zugeordnet werden:
    • Review
    • Audit
  • Für alle neu zu entwickelnden Online-Dienste wird die Berücksichtigung und Erfüllung der Gewährleistungsziele, die sich aus der Beschreibung der Verarbeitungstätigkeit ergeben, von vornherein als Design-Strategie verabredet. Die Modellierung und Beschreibung der Verarbeitungstätigkeit ist somit integraler Bestandteil der Feinkonzeptionsphase.
  • Die Abnahme der Datenschutz-Dokumentation sowie die Überprüfung der Umsetzung der technischen und organisatorischen Maßnahmen wird zum Bestandteil der Abnahme vor Produktivsetzung neuer Online-Dienste.
  • Für alle bereits vorhandenen Online-Dienste wird die regelmäßige Kontrolle und Überprüfung der Datenschutz-Dokumentation (inkl. der technischen und organisatorischen Maßnahmen) zum Bestandteil des Veröffentlichungsprozesses neuer Releases/Versionen. Es wird außerdem vereinbart, dass die Wiedervorlage bzw. Überprüfung der Dokumentationen und der technischen und organisatorischen Maßnahmen nach spätestens 24 Monaten durchzuführen ist, wenn bis dahin keine neuen Releases oder Versionen veröffentlicht werden.

Zusammenfassung

Der neu zu entwickelnde SIGUV Online-Servicekatalog umfasst eine komplette Beschreibung der SIGUV- Online-Services mit folgenden Bestandteilen:

  • Prozessbeschreibung nach dem Vorbild der OZG-Services (LEIKA)
  • Standardisierte Darstellung des Datenmodells (json.schema)
  • Dokumentation der Schnittstellen zur Integration in Drittsysteme (OPEN-API)
  • Beschreibung der Verarbeitungstätigkeit
  • Datenschutz-Folgenabschätzung
  • Risikoanalyse und Gefährdungsanalyse
  • Technische und organisatorische Maßnahmen zur Erfüllung der einheitlichen Gewährleistungsziele
  • Konformitätserklärung zur der Barrierefreiheit

Über geeignete technische Schittstellen wird sichergestellt, dass die Gremien der UV-Träger der SIGUV- Kooperation jederzeit Online via Web auf diese Dokumente zugreifen können.

Außerdem können daraus öffentlich freigegebene Bestandteile der Dokumentation in die eigenen Extranets oder die Webseiten der UV-Träger eingebunden werden eingebunden werden. Die Dokumente können ausserdem jederzeit als PDF-Dokument exportiert werden.

edi.datenschutz - eine Tool-Unterstützung für das CMS Plone

Das auf der Seite des Bayerischen Landesdatenschutzbeauftragten angebotene PIA-Tool ist nur sehr bedingt geeignet den hier beschriebenen Prozess zu unterstützen. Es handelt sich um eine Einzelplatz- Arbeitsplatzsoftware, die nur für Windows-Systeme zur Verfügung steht. Eine zentrale Dokumentation, vor allem jedoch die kollaborative Bearbeitung der Daten und Dokumente sind nicht möglich. Hilfreich dagegen sind die ebenfalls angebotenen Formulare, Ausfüllbeispiele und Arbeitshilfen. Auf dieser Basis haben wir damit begonnen, für das CMS Plone eine Tool-Unterstützung (edi.datenschutz) zu implementieren.

Quellcode: https://github.com/educorvi/edi.datenschutz

Artikeltypen für die Online-Dokumentation

Artikeltyp „Beschreibung der Verarbeitungstätigkeit“

Eingabe und Beschreibung einer Verarbeitungstätigkeit. Es werden die Formulardaten des Moduls 1: Beschreibung einer Verarbeitungstätigkeit des Bayerischen Landesdatenschutzbeauftragten umgesetzt. Zusätzlich dazu erfolgt in diesem Rahmen die Erklärung zur Einhaltung der Barrierefreiheit (Level AA). Der Artikeltyp Verarbeitungstätigkeit hat Referenzen in den Python-Package-Index der SIGUV-Web- Community (Speicherort für alle Software-Versionen, die sich bereits im Produktionsbetrieb befinden) und in das Entwicklungssystem gitlab.bg-kooperation.de während der Design- und Entwicklungsphase.

Artikeltyp „Datenschutz-Folgenabschätzung“

Wenn erforderlich: Durchführung einer Datenschutz-Folgenabschätzung. Es werden die Formulardaten des Moduls 2: DSFA-Bericht des Bayerischen Landesdatenschutzbeauftragten umgesetzt. Die Datenschutz-Folgenabschätzung hat eine Referenz zur Beschreibung der Verarbeitungstätigkeit.

Artikeltyp „Risikomanagement“

Für die SDM-Gewährleistungsziele der klassischen Informationssicherheit „Verfügbarkeit“, „Vertraulichkeit“ und den Teilaspekt „Datenintegrität“ des SDM-Gewährleistungsziels „Integrität“ kann die Risikoanalyse mit diesem Artikeltyp als in Form einer klassischen Risikomanagementmethode ermittelt werden.

Artikeltyp „Zielerfüllungsmanagement“

Für die SDM-Gewährleistungsziele „Datenminimierung“, „Intervenierbarkeit“, „Transparenz“ und „Nichtverkettung“ sowie der Teilaspekte „Konzepteinhaltung“ und „Richtigkeit“ des SDM- Gewährleistungsziels „Integrität“ kann die Risikoanalyse mit diesem Artikeltyp anhand eines Zielerfüllungsmanagements durchgeführt werden.

Artikeltyp: „Maßnahme“

Mit diesem Artikeltyp wird eine organisatorische oder technische Maßnahme beschrieben. Die Maßnahme hat eine Referenz zur Beschreibung der Verarbeitungstätigkeit, zur DSFA und zur Risikoanalyse.

Artikeltypen: „Kontrolle“

Der Artikeltyp wird zur Kontrolle oder Überprüfung von Maßnahmen verwendet. Die Ausprägungen sind:

  • Review
  • Audit
  • Penetration-Test

Mit diesem Artikeltyp wird dokumentiert, wer, wann, in welcher Form und mit welchem Ergebnis eine Tätigkeit zur Überprüfung und Kontrolle einer technischen oder organisatorischen Maßnahme durchgeführt hat.

Struktur der Artikeltypen

Verarbeitungstätigkeit (Container)

  • Datenschutzfolgenabschätzung (Item)
  • Risikomanagement (Item)
  • Zielerfüllungsmanagement (Item)
  • Maßnahmenkatalog (Container)
    • Maßnahme (Container)
      • Kontrolle oder Überprüfung (Item)

Maßnahme (Container)

  • Kontrolle oder Überprüfung (Item)
  • Webcode: 21236708
Diesen Beitrag teilen