Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)
(1,20 MB)
Handlungsempfehlung für Praktiker zum technisch-organisatorischen Datenschutz
LfD stellt Prozess ZAWAS vor
Die Datenschutz-Grundverordnung (DS-GVO) hat die Anforderungen an die technisch-organisatorischen Maßnahmen (TOM) erhöht. Diese sollen sicherstellen, dass im Rahmen einer Datenverarbeitung die Rechte und Freiheiten natürlicher Personen angemessen geschützt werden. Verantwortliche Stellen fragen sich nun häufig, wie sie die geeigneten TOM ermitteln können, um die Anforderungen der DS-GVO ordnungsgemäß zu berücksichtigen. Um sie dabei zu unterstützen hat die Landesbeauftragte für den Datenschutz Niedersachsen (LfD) den Prozess zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS) entwickelt. Dieser Prozess ist geeignet, sowohl bei der Durchführung einer Datenschutz-Folgenabschätzung als auch bei einer normalen Verarbeitungstätigkeit die TOM systematisch herzuleiten.
Ohne Rechtsgrundlage keine Verarbeitung
ZAWAS beschreibt in acht Schritten eine Abfolge von Tätigkeiten, an deren Ende die Auswahl angemessener TOM steht. Zu Beginn sollen Verantwortliche als Grundlage zunächst die Verarbeitungstätigkeit beschreiben. Darauf folgt die Prüfung der rechtlichen Grundlagen. Denn nur wenn die Verarbeitung auf einer tragfähigen Rechtsgrundlage beruht, ist eine weitere Prüfung notwendig. Eine fehlende Rechtsgrundlage kann nicht durch TOM geheilt werden. Anschließend kann die eigentliche Analyse und Auswahl der Maßnahmen beginnen.
Eine zentrale Forderung der DS-GVO ist, dass Verantwortliche das zu erwartende Risiko einer Datenverarbeitung bewerten müssen. Deshalb besteht ein großer Teil von ZAWAS aus einer umfangreichen Risikoanalyse, für die der Prozess auf das niedersächsische Schutzstufenkonzept zurückgreift. Die Methode sieht außerdem vor, dass die ergriffenen Maßnahmen regelmäßig evaluiert werden.
Ergebnisse sind nachvollziehbar, belastbar und reproduzierbar
Mit der Veröffentlichung des Prozess ZAWAS schließt die LfD Niedersachsen eine Lücke in der praktischen Anwendbarkeit der DS-GVO und positioniert sich klar zu vielfältigen Fragen des technisch-organisatorischen Datenschutzes. Das methodische Vorgehen stellt sicher, dass die erforderlichen Kriterien bei der Auswahl der TOM berücksichtigt werden und die Ergebnisse nachvollziehbar, belastbar sowie reproduzierbar sind. Derzeit befindet sich ZAWAS in der Erprobungsphase. Mit den daraus gewonnenen Erkenntnissen wird die LfD den Prozess ergänzen und fortschreiben.
Der Prozess ZAWAS wird in der anliegenden Folienpräsentation dargestellt und beschrieben. Sie finden die Präsentation hier zum Download (PDF-Dokument).