Datenschutzfolgenabschätzungen (Beispiele)

Ich sehe da immer eine rechte Streuung wenn ich mir öffentliche DSFAs anschaue…
(zB Covid19 App Jersey - 30 Seiten gegenüber 190 Seiten der deutschen CWA App DSFA… und ich weiss nicht ob die zweite unbedingt überall besser ist… )

Vielleicht lernen wir ja aus der gemeinsamen Diskussion.


Und mal komplett was anderes…

3 Likes

Es ist die Frage, ob die DSFA von einem Rechtsanwalt, einem Organisator oder einem Techniker geschrieben wurde. Rechtsanwälte neigen zu Wortdrechselei und extremem Detailreichtum, meistens ohne die Technik wirklich zu verstehen.
Organisatoren vernachlässigen bisweilen die rechtlichen Aspekte und Techniker, nun die verstehen von Juristerei gar nichts und sind knapp und wortsparsam.
Ich habe selbst gerade eine DSFA in Arbeit für eine FOSS Lernplattform in der beruflichen Fortbildung und schätze mal, dass für eine ordentliche und saubere DSFA mit Beschreibung, Risikoabschätzung und Bewertung gar nicht so viele Seiten notwendig sind. Was aber zwingend dazu gehört, sind dann die technischen und organisatorischen Anweisungen, die bei den Installationsparametern anfangen und bei Aufbewahrungszeiten oder dem Umgang mit dem Chat aufhören.

Was dabei auch noch ins Auge sprang, war die absolute Notwendigkeit, in die technischen Konzepte und Strukturen der Software schauen zu können, denn im Design entscheiden sich sehr wesentlich die Ausprägungen der Risiken. Z.B. sind zentrale oder dezentrale Speicherstrategien, die Aufteilung von Datenbanktabellen und die Abbildung des Datenmodells sehr entscheidend für manche praktischen Auswirkungen. Da hilft FOSS ungemein.

Der eigentlich richtige Weg aber wäre es, die DSFA wirklich zweistufig durchzuführen:
Schritt 1 vor der Beschaffung der technischen Lösung und
Schritt 2 bei der Auswahl der technischen Lösung
Mit dieser Reihenfolge wird man nicht nur dem Datenschutz optimal gerecht, sondern gewinnt auch noch viel bessere Einblicke und Entwicklungsmöglichkeiten für betriebsinterne Strukturen und Abläufe.

1 Like

Ohne jede Wertung des Inhalts und der Güte hat sich hier mal jemand Mühe gegeben, die ich mir für viele deutsche Schulen wünschen würde …

2 Likes

Ich vertrete gerne folgende Struktur, in der jeder Beteiligte sein Kapitelchen findet.

  • Eingrenzung der betrachteten Verarbeitung
    (Scope)
  • Business Sicht
    (fürs Business: Verarbeitungsschritte etc…)
  • Technische Sicht
    (für die IT’ler…)
  • Daten Sicht
    (Kategorien, Ströme etc…)
  • Organisatorische und technische Massnahmen
  • Rechtliche Betrachtung
    (für die Juristen)
  • Risikobetrachtung
    (mit ggf. zusätzlichen Massnahmen/Anforderungen… )
  • Einschätzung/Feedback durch den DSB und Stakeholder

Klappt bisher auch eigentlich immer gut. :wink:

[Wobei ständig jemand das ICO template entdeckt und meint es ginge ja noch viiiel einfacher und kürzer… :frowning: ]

3 Likes

Sehr interessant und umfassend, was die Systeme angeht. Gerade heute hat ein IT-Beratungslehrer festgestellt, dass wir so etwas in Deutschland bräuchten. Er nannte es Whitelist der schulischen Digitalsysteme, was natürlich auch eine Bewertung einschließt.

2 Likes

Die Struktur hat verblüffende Ähnlichkeit mit unserer Kapiteleinteilung. :smiley:

2 Likes

Ich finde 190 Seiten wenig zielführend. Angesichts der Schwierigkeiten, die die Leute bereits mit einem normalen Verarbeitungsverzeichnis haben, frage ich mich, wer das in welcher Zeit schreiben und lesen soll. Und warum sollte man Unmengen von Fließtext in einer DSFA unterbringen, wenn es darum geht, das Wesentliche schnell erfassen zu können? Dafür reichen doch aussagekräftige Stichpunkte.

Hier ist ein Beispiel (ca. 50 Seiten) für ein Krankenhaus-Informationssystem, inkl. nutzbarer Vorlagen unter CC BY-SA Lizenz. Gute Idee.
https://gesundheitsdatenschutz.org/html/dsfa-beispiel.php
Im Krankenhaus “Himmelstor” ist Kirk der DSB, Scotty der IT-Leiter und Chekov der IT-SiBe. :smiley:

3 Likes

Danke für den link zum Himmelstor. - Generell eine sehr interessante Webseite.
Bei den Risiken stört es mich immer ein bischen wenn die Auswirkungen (physisch/moralisch/materiell) auf die Betroffenen nicht ausgeführt werden.

Im Beispiel “Himmelstor” sind (per Versicherung) Zahlungen an die Betroffenen vorgesehen.
Nur hilft das nichts, wenn diese arm dran sind, weil der falsche Arm ab ist… (Krankenhaus-IS)
oder das ganze Dorf vom Schwangerschaftsabbruch weiss… :frowning:

190 Seiten finde ich auch grenzwertig (wie gesagt, Rechtsanwälte sind…). Diverse Informationen können tabellarisch oder im json-Format abgehandelt werden. Das macht die Sache kurz und sehr deutlich. Wir verwenden für das Verarbeitungsverzeichnis grundsätzlich json. Das Format lässt sich im Browser strukturiert und übersichtlich darstellen und man kann einfache Strukturen ebenso wie geschachtelte Strukturen sehr flexibel, aber gleich strukturiert, handhaben.
Entscheidend in der DSFA sind eine saubere und begründbare Risikoanalyse/Bewertung und die daraus folgenden Maßnahmen - entweder als Vorgabe für Softwareauswahlkriterien und/oder für die Handhabung im Betrieb.

1 Like

Habt Ihr eine eigene Lösung für JSON im Browser gebastelt oder nutzt Ihr eine fertige Software?

1 Like

Sowohl als auch. Im Browser lassen sich json-Dateien strukturiert darstellen und z.B. mit bluefish unter Linux einfach editieren. Die eigene Darstellung mit der Möglichkeit, zu einer fertigen Struktur (Vorgaben für TOM, Verarbeitungsverfahren und Organisationsstruktur/Verantwortliche des Mitglieds) eine Substruktur hinzuzufügen, wird gerade in unsere interne Anwendung eingebaut. Über den Mitgliederbereich kann sich jedes Mitglied über den aktuellen Stand seiner Dokumentation informieren. Für die DSFA fügen wir nur die Links auf die jeweilige json-Doku als Referenz ein, die dann aufgerufen oder als Anahng ausgedruckt werden kann.

1 Like

Alles klar. Danke.
(Bluefish? Vi ! ;-))

Ach ja, dieses Vorgehen bei der Dokumentation vereinfacht das Leben für unsere Mitarbeiter als aktiver Erfasser wie als prüfender DSB ungemein, weil unnötiger Individualtext wegfällt und die Strukturen gleichartig und verständlich sind.

2 Likes

https://www.datenschutz-bayern.de/dsfa/

Das hier vorgestellte pia-tool der CNIL (Frankreich) ist mein persönlicher Favorit. Die Struktur ist immer gleich und verspricht so Übersichtlichkeit und gute Handhabbarkeit. Man wird gezwungen, sich wirklich Gedanken über sinnvolle TOM zu machen.

Das macht es jetzt schwierig, technisch gesehen müsste eher Sulu in Sachen Sicherheit ran.

4 Likes