Javascript is required
logo-dastralogo-dastra

AuditmodellDSFA / DPIA – Datenschutz-Folgenabschätzung (einfach)

Vorlage zur Analyse von Risiken für die Privatsphäre nach der Methode der CNIL. Es ist möglich, die mit dem CNIL-Tool erstellten PIAs in diese Vorlage zu importieren.

1. Hintergrund

1. Allgemeine Informationen

1.1. Welche Behandlung ist Gegenstand der Studie?

Präsentieren Sie zusammenfassend: Name, Zweck(e), Einsatz (erwarteter Beitrag), Verwendungskontext

1.2. Welche Verantwortlichkeiten sind mit der Behandlung verbunden?

Beschreiben Sie die Verantwortlichkeiten der Beteiligten: des für die Verarbeitung Verantwortlichen, der Auftragsverarbeiter und ggf. der gemeinsam Verantwortlichen

1.3. Welche Benchmarks sind anwendbar?

Geben Sie hier an, welche Benchmarks für die Verarbeitung gelten. Die Standards sind normative Rahmenwerke und helfen bei der Durchführung der Analyse.

2. Beschreibung

2.1. Welche Daten werden verarbeitet?

Listen Sie die erhobenen und verarbeiteten Daten auf und geben Sie die Aufbewahrungsfristen, die Empfänger und die Personen, die Zugriff auf die Daten haben, an.

2.2. Wie verläuft der Lebenszyklus der Daten (funktionale Beschreibung)?

Beschreiben Sie hier den Lebenszyklus der Daten.

Sie können Ihrer Antwort ein Flussdiagramm als Anlage beifügen.

2.3. Welche Datenträger gibt es?

Detaillieren Sie hier den Datenträger. Zum Beispiel die Anwendung oder Software, die zur Verarbeitung der Daten verwendet wird.

2. Grundlegende Prinzipien

1. Verhältnismäßigkeit und Notwendigkeit der Daten

1.1. Sind die Zwecke der Verarbeitung bestimmt, eindeutig und rechtmäßig?

Erläutern Sie, inwiefern die Zwecke der Verarbeitung bestimmt, eindeutig und rechtmäßig sind.

1.2. Welche Grundlage(n) macht (machen) Ihre Verarbeitung rechtmäßig?

Geben Sie die Rechtsgrundlage an, die mit Ihrer Verarbeitung verbunden ist. Zum Beispiel Einwilligung, rechtliche Verpflichtung oder legitime Interessen.

1.3. Sind die erhobenen Daten angemessen, relevant und auf das für die Zwecke, für die sie verarbeitet werden, erforderliche Maß beschränkt (Datenminimierung)?

Erläutern Sie, warum die einzelnen Daten für die Erfüllung des Zwecks der Verarbeitung erforderlich sind.

1.4. Sind die Daten korrekt und werden sie auf dem neuesten Stand gehalten?

Beschreiben Sie die Maßnahmen, die zur Sicherung der Datenqualität ergriffen wurden.

1.5. Wie lange werden Daten aufbewahrt?

Erläutern Sie, warum die für die einzelnen Daten vorgesehene Aufbewahrungsdauer für die Erfüllung des Zwecks der Verarbeitung erforderlich ist.

1.6. Wie bewerten Sie die umgesetzten Maßnahmen?

2. Maßnahmen zum Schutz der Rechte

2.1. Wie werden die betroffenen Personen über die Verarbeitung informiert? (Transparenz)

Geben Sie hier an, wie die Personen informiert werden (Datencharta, Formulare ...) und welchen Inhalt die Informationen haben.

2.2. Falls zutreffend, wie wird die Zustimmung der betroffenen Personen eingeholt?

Geben Sie hier an, wie die Einwilligung eingeholt wurde.

2.3. Wie können die betroffenen Personen ihr Recht auf Zugang und ihr Recht auf Übertragbarkeit ausüben?

Geben Sie hier an, wie Sie diese Rechte ausüben können.

2.4. Wie können betroffene Personen ihr Recht auf Berichtigung und ihr Recht auf Löschung (Recht auf Vergessenwerden) ausüben?

Geben Sie hier an, wie Sie diese Rechte ausüben können.

2.5. Wie können betroffene Personen ihr Recht auf Einschränkung und ihr Recht auf Widerspruch ausüben?

Geben Sie hier an, wie Sie diese Rechte ausüben können.

2.6. Sind die Pflichten der Unterauftragnehmer klar definiert und vertraglich festgelegt?

Mit jedem Subunternehmer muss ein Unterauftragnehmervertrag abgeschlossen werden, in dem alle in Art. 28 DSGVO genannten Elemente aufgeführt sind.

2.7. Werden die Daten bei einer Datenübertragung außerhalb der Europäischen Union gleichwertig geschützt?

Geben Sie das Transferland und das verwendete Werkzeug an.

2.8. Wie bewerten Sie die umgesetzten Maßnahmen?

3. Risiken im Zusammenhang mit der Datensicherheit

1. Implementierte Sicherheitsmaßnahmen

1.1. Welche Maßnahmen werden speziell auf die Behandlung angewandt?

2. Unrechtmäßiger Zugang zu Daten

2.1. Was könnten die wichtigsten Auswirkungen auf die betroffenen Personen sein, wenn das Risiko eintritt?
2.2. Welches sind die Hauptbedrohungen, die die Verwirklichung des Risikos ermöglichen könnten?
2.3. Welche Risikoquellen könnten dafür verantwortlich sein?
2.4. Welche bestehenden Maßnahmen tragen zur Behandlung des Risikos bei?
2.5. Wie schätzen Sie die Schwere des Risikos ein, insbesondere in Bezug auf die potenziellen Auswirkungen und die anfänglichen Maßnahmen?
2.6. Wie schätzen Sie die Wahrscheinlichkeit des Risikos ein, insbesondere im Hinblick auf die Bedrohungen, die Risikoquellen und die anfänglichen Maßnahmen?

3. Unerwünschte Änderung von Daten

3.1. Was könnten die wichtigsten Auswirkungen auf die betroffenen Personen sein, wenn das Risiko eintritt?
3.2. Welches sind die Hauptbedrohungen, die die Verwirklichung des Risikos ermöglichen könnten?
3.3. Welche Risikoquellen könnten dafür verantwortlich sein?
3.4. Welche bestehenden Maßnahmen tragen zur Behandlung des Risikos bei?
3.5. Wie schätzen Sie die Schwere des Risikos ein, insbesondere in Bezug auf die potenziellen Auswirkungen und die anfänglichen Maßnahmen?
3.6. Wie schätzen Sie die Wahrscheinlichkeit des Risikos ein, insbesondere im Hinblick auf die Bedrohungen, die Risikoquellen und die anfänglichen Maßnahmen?

4. Verschwinden von Daten

4.1. Was könnten die wichtigsten Auswirkungen auf die betroffenen Personen sein, wenn das Risiko eintritt?
4.2. Welches sind die Hauptbedrohungen, die die Verwirklichung des Risikos ermöglichen könnten?
4.3. Welche Risikoquellen könnten dafür verantwortlich sein?
4.4. Welche bestehenden Maßnahmen tragen zur Behandlung des Risikos bei?
4.5. Wie schätzen Sie die Schwere des Risikos ein, insbesondere in Bezug auf die potenziellen Auswirkungen und die anfänglichen Maßnahmen?
4.6. Wie schätzen Sie die Wahrscheinlichkeit des Risikos ein, insbesondere im Hinblick auf die Bedrohungen, die Risikoquellen und die anfänglichen Maßnahmen?

4. Geplante Maßnahmen zur Risikominderung

1. Maßnahmen zur Verringerung des Risikos eines unrechtmäßigen Zugriffs

1.1. Welche Maßnahmen sind geplant, um dem Risiko eines unrechtmäßigen Datenzugriffs zu begegnen?
1.2. Geben Sie Einzelheiten zu dem Aktionsplan an, den Sie umsetzen werden
1.3. Wie schätzen Sie die Schwere des Risikos ein, insbesondere in Bezug auf die potenziellen Auswirkungen und die geplanten Maßnahmen?
1.4. Wie schätzen Sie die Wahrscheinlichkeit des Risikos ein, insbesondere im Hinblick auf die Bedrohungen, die Risikoquellen und die geplanten Maßnahmen?

2. Maßnahmen zur Verringerung des Risikos unerwünschter Datenänderungen

2.1. Welche Maßnahmen sind geplant, um dem Risiko einer unerwünschten Datenänderung zu begegnen?
2.2. Geben Sie Einzelheiten zu dem Aktionsplan an, den Sie umsetzen werden
2.3. Wie schätzen Sie die Schwere des Risikos ein, insbesondere in Bezug auf die potenziellen Auswirkungen und die geplanten Maßnahmen?
2.4. Wie schätzen Sie die Wahrscheinlichkeit des Risikos ein, insbesondere im Hinblick auf die Bedrohungen, die Risikoquellen und die geplanten Maßnahmen?

3. Maßnahmen zur Verringerung des Risikos, dass Daten verschwinden

3.1. Welche Maßnahmen sind geplant, um dem Risiko des Verschwindens von Daten zu begegnen?
3.2. Geben Sie Einzelheiten zu dem Aktionsplan an, den Sie umsetzen werden
3.3. Wie schätzen Sie die Schwere des Risikos ein, insbesondere in Bezug auf die potenziellen Auswirkungen und die geplanten Maßnahmen?
3.4. Wie schätzen Sie die Wahrscheinlichkeit des Risikos ein, insbesondere im Hinblick auf die Bedrohungen, die Risikoquellen und die geplanten Maßnahmen?

5. Stellungnahme und Bestätigung

1. Stellungnahmen der betroffenen Personen

1.1. Haben Sie die Meinung der betroffenen Personen oder ihrer Vertreter erhalten?
1.2. Geben Sie hier die Meinung an

2. Stellungnahme des DPO

2.1. Haben Sie die Stellungnahme des DPO eingeholt?
2.2. Geben Sie hier Ihre Meinung an.

3. Validierung

3.1. Die Validierung durch den für die Verarbeitung Verantwortlichen ist formalisiert.
3.2. Fügen Sie die unterschriebene Analyse bei

Die Analyse muss von dem für die Verarbeitung Verantwortlichen unterzeichnet werden. In diesem Fall wird dies der gesetzliche Leiter der Organisation oder sein Vertreter sein.

Erstellt am:04/30/2022
Aktualisiert am :10/24/2025
Lizenz : © Creative commons :
Attribution / Pas d'utilisation commerciale
CC-BY-NC AttributionPas d'utilisation commerciale
Autor :
Paul-Emmanuel Bidault
Paul-Emmanuel Bidault
Anzahl der Nutzungen :6
Dieses Auditmodell verwenden

Greifen Sie auf alle unsere Prüfungsmodelle zu

Probieren Sie Dastra jetzt aus, um auf alle unsere Auditvorlagen zuzugreifen, die Sie an Ihre Organisation anpassen können. Die ersten 30 Tage sind kostenlos und unverbindlich (keine Kreditkarte erforderlich).

Dieses Auditmodell verwenden
Abonnieren Sie unseren Newsletter

Wir werden Ihnen einige E-Mails senden, um Sie über unsere Neuigkeiten und die Neuerungen unserer Lösung auf dem Laufenden zu halten.

* Sie können sich jederzeit von jedem Newsletter abmelden.