Wie geht Ihr aktuell mit dem Thema "Datenschutz-Folgeabschätzung" um?



  • Hallo, liebe Churchtools-Nutzerinnen und Churchtools-Nutzer,
    Hallo, liebes Churchtools-Team,

    wie geht Ihr aktuell mit dem Thema "Datenschutz-Folgeabschätzung" um? Wer hat sich schon sehr intensiv mit diesem Thema beschäftigt? Vermute mal, dass viele von Euch so wie es bei mir ist an das richtige Erstellen und Umsetzen des "Verzeichnis von Verarbeitungstätigkeiten" und die dazugehörigen "Technischen und Organisatorischen Maßnahmen" arbeiten. Und hier gehört ja leider auch das Thema "Datenschutz-Folgeabschätzung" dazu.

    Ab heute will ich nun endlich mich intensiv mit dem Thema "Datenschutz-Folgeabschätzung" beschäftigen.
    Dieser Beitrag dient erst einmal zum Startschuss gemeinsam mit Euch darüber zu reden.

    Ich würde gerne immer wieder ein Thema im Forum beginnen, um mit Euch alle darüber zu reden.
    Denn: Meine Meinung ist, dass wir gemeinsam als Team in Sachen "Datenschutz-Folgeabschätzung"
    besser und effektiver sein können, als wenn jetzt jede einzelne Gemeinde sich hier ein Kopf machen muss.



  • Auf der Seite vom Bitkom gibt es ein richtig gutes PDF dazu, welches erklärt, was zu tun ist:

    https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Risk-Assessment-online.pdf

    Das PDF bezieht sich zwar auf die DSGVO. Es ist aber leicht auf die BFP-DSO umzusetzen.

    Ich habe für unsere Gemeinden ein PDF erstellt, welches die Anforderungen als Formular zusammenstellt und es der Leitung so einfacher macht, das ganze zu erstellen, denn es ist ja eigentlich nicht Aufgabe des Datenschutzbeauftragten sondern der Leitung dieses Dokument zu erstellen.

    Die Leitung wird sich mit den fachlichen Dingen aber erfahrungsgemäß eher etwas schwerer tun. Daher habe ich als Hilfestellung ein Beiblatt dazu kreiert, welches die Beispiele aus dem Bitkom-PDF (im Text) aufgreift und der Leitung so beim Ausfüllen hilft.



  • Ich bete dafür, dass der Himmel und die Engel im Himmel diese Datenschutz-Folgeabschätzung machen. 😃
    Glaube aber, dass es an den Menschen hängen bleibt. 😃



  • @roland Wir haben ja einen Datenschutzbeauftragten seit Mitte Mai 2018. Jedoch weil ich jetzt schon sehr intensiv dabei bin, setzt die Gemeindeleitung eher auf mich und meine Umsetzung als Pastorengehilfe. 😃 Grundsätzlich muss ich immer noch dran arbeiten zu sensibilisieren. Jedoch hoffen alle darauf, dass ich es sehr gut umsetzen kann. Fakt ist: Ich bin verantwortlich für die ganze Umsetzung des BFP-DSO. So sehe ich es aktuell.



  • Ich bin für unsere Gemeinde zu dem Schluss gekommen, dass es keine DS-Folgeabschätzung braucht. Weil ich im §35 DS-GVO lese:
    Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. 2Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
    Und dann noch Profiling usw....
    Interessant dazu ist dazu der Erwägungsgrund 75

    Daraus habe ich für uns abgeleitet, dass die Daten, die wir mit CT verarbeiten, auf jeden Fall kein hohes Risiko für die Freiheit und Rechte natürlicher Personen bietet und somit keine DS-Folgenabschätzung notwendig ist.



  • @daniel_h In meinen Augen hängt es von der Größe (Mitgliederanzahl) ab und wie die jeweiligen Gemeinden Churchtools nutzt, ob eine Datenschutz-Folgeabschätzung betreffend Churchtools gemacht werden sollte. Ich persönlich rate wirklich eine intensive Datenschutz-Folgeabschätzung zu machen. Grundsätzlich müssen sowieso vor Ort "Technische und Organisatorische Maßnahmen" betreffend Büroarbeiten gemacht werden bzw. ein IT-Sicherheitskonzept erstellt werden. Und hier ist natürlich auch Churchtools zu berücksichtigen. Wenn Mitglieder und Nicht-Mitglieder sowie Besucher von unterschiedlichste Events (Anmeldung zu Events, wie z.B. Vorträge, Seminare und Kurse) über Churchtools erfasst werden, sollte man definitiv eine Datenschutz-Folgeabschätzung machen. Beispielfälle: Großangelegter Hackerangriff auf alle Datenbanken des Webspace-Anbieters von Churchtools (hier werden nicht nur die Gemeinde-Datenbänke gemeint).