Methoden und ggf. Standards (z.B. DIN, ISO) der Risiko-Assessments nach Art. 35 Abs. 7 DSGVO

Eine Auskunft dahingehend, nach welchen Methoden und ggf. nach welchen Standards (z.B. DIN, ISO) die Risiko-Assessments nach Art. 35 Abs. 7 DSGVO von durch die Aufsichtsbehörde geprüften Datenschutz-Folgenabschätzungen von Verantwortlichen durchgeführt wurden.

Anfrage erfolgreich

  • Datum
    13. Juni 2020
  • Frist
    17. Juli 2020
  • 0 Follower:innen
<< Anfragesteller:in >>
Antrag nach dem SächsUIG/VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu: Eine Auskunft dahi…
An Sächsische Datenschutz- und Transparenzbeauftragte Details
Von
<< Anfragesteller:in >>
Betreff
Methoden und ggf. Standards (z.B. DIN, ISO) der Risiko-Assessments nach Art. 35 Abs. 7 DSGVO [#188834]
Datum
13. Juni 2020 07:50
An
Sächsische Datenschutz- und Transparenzbeauftragte
Status
Warte auf Antwort — E-Mail wurde erfolgreich versendet.
Antrag nach dem SächsUIG/VIG Sehr geehrteAntragsteller/in bitte senden Sie mir Folgendes zu:
Eine Auskunft dahingehend, nach welchen Methoden und ggf. nach welchen Standards (z.B. DIN, ISO) die Risiko-Assessments nach Art. 35 Abs. 7 DSGVO von durch die Aufsichtsbehörde geprüften Datenschutz-Folgenabschätzungen von Verantwortlichen durchgeführt wurden.
Dies ist ein Antrag auf Aktenauskunft nach § 4 Abs. 1 des Sächsischen Umweltinformationsgesetz (SächsUIG), soweit Umweltinformationen im Sinne des § 2 Abs. 3 Umweltinformationsgesetzes des Bundes (UIG) betroffen sind, sowie nach § 2 Abs. 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation (VIG), soweit Verbraucherinformationen betroffen sind. Sollten diese Gesetze nicht einschlägig sein, bitte ich Sie, die Anfrage als Bürgeranfrage zu behandeln. Sollte die Aktenauskunft Ihres Erachtens gebührenpflichtig sein, bitte ich, mir dies vorab mitzuteilen und dabei die Höhe der Kosten anzugeben. Es handelt sich meines Erachtens um eine einfache Auskunft bei geringfügigem Aufwand. Gebühren fallen somit nicht an. Ich verweise auf § 7 Abs. 1 SächsUIG/ § 5 Abs. 2 VIG und bitte, mir die erbetenen Informationen unverzüglich, spätestens nach Ablauf eines Monats zugänglich zu machen. Sollten Sie für diesen Antrag nicht zuständig sein, bitte ich, ihn an die zuständige Behörde weiterzuleiten und mich darüber zu unterrichten. Ich widerspreche ausdrücklich der Weitergabe meiner Daten an Dritte. Ich bitte um eine Antwort in elektronischer Form (E-Mail) und möchte Sie um eine Empfangsbestätigung bitten. Vielen Dank für Ihre Mühe! Mit freundlichen Grüßen Antragsteller/in Antragsteller/in Anfragenr: 188834 Antwort an: <<E-Mail-Adresse>> Laden Sie große Dateien zu dieser Anfrage hier hoch: https://fragdenstaat.de/a/188834 Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >>
Mit freundlichen Grüßen << Anfragesteller:in >>

Ein Zeichen für Informationsfreiheit setzen

FragDenStaat ist ein gemeinnütziges Projekt und durch Spenden finanziert. Nur mit Ihrer Unterstützung können wir die Plattform zur Verfügung stellen und für unsere Nutzer:innen weiterentwickeln. Setzen Sie sich mit uns für Informationsfreiheit ein!

Jetzt spenden!

Sächsische Datenschutz- und Transparenzbeauftragte
Sächsischer Datenschutzbeauftragter Gz.: J-0127/10/70 Guten Tag, Sie wandten Sich mit Ihrem vorbezeichneten Ant…
Von
Sächsische Datenschutz- und Transparenzbeauftragte
Betreff
AW: Methoden und ggf. Standards (z.B. DIN, ISO) der Risiko-Assessments nach Art. 35 Abs. 7 DSGVO [#188834]
Datum
19. Juni 2020 11:16
Status
Anfrage abgeschlossen
Sächsischer Datenschutzbeauftragter Gz.: J-0127/10/70 Guten Tag, Sie wandten Sich mit Ihrem vorbezeichneten Antrag per E-Mail an den Sächsischen Datenschutzbeauftragten. Bei den von Ihnen nachgefragten Informationen handelt es sich nicht um Umweltinformationen nach § 3 Absatz 2 Sächsisches Umweltinformationsgesetz bzw. um Informationen nach § 1 des Gesetzes zur Verbesserung der gesundheitsbezogenen Verbraucherinformation. Darüber hinaus möchte ich Sie darauf hinweisen, dass im Freistaat Sachsen bisher kein allgemeines Informationsfreiheitsgesetz erlassen wurde. Der Sächsische Datenschutzbeauftragte ist Aufsichtsbehörde im Sinne des Artikels 51 Abs.1 DS-GVO. Er überwacht bei den öffentlichen Stellen (z. B. Behörden) des Freistaates Sachsen gemäß § 14 SächsDSDG und bei den nicht-öffentlichen Stellen gemäß § 40 BDSG die Anwendung der Vorschriften über den Datenschutz. Mit der Datenschutz-Folgenabschätzung (DSFA) verpflichtet die DS-GVO die Verantwortlichen in Art. 35, für besonders risikobehaftete Verarbeitungen die Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge einzuschätzen und eine sorgfältige Analyse, Bewertung und Planung der Behandlung der Risiken vorzunehmen (Art. 35 Abs. 7 DS-GVO). Hierzu empfehlen die Datenschutzaufsichtsbehörden des Bundes und der Länder die Verwendung/Nutzung des Standard-Datenschutzmodell (SDM). Das SDM bietet eine Systematik, um eine DSFA in strukturierter Form zu erarbeiten. Das SDM bietet geeignete Mechanismen, um diese rechtlichen Anforderungen der DS-GVO in technische und organisatorische Maßnahmen zu überführen. Zu diesem Zweck erfasst das SDM zunächst die rechtlichen Anforderungen der DS-GVO und ordnet sie anschließend den Gewährleistungszielen Datenminimierung, Verfügbarkeit, Integrität, Vertraulichkeit, Transparenz, Nichtverkettung und Intervenierbarkeit zu. Das SDM überführt damit die rechtlichen Anforderungen der DS-GVO über die Gewährleistungsziele in von der Verordnung geforderten technischen und organisatorischen Maßnahmen, die im Referenzmaßnahmen-Katalog des SDM detailliert beschrieben werden. Es unterstützt somit die Transformation abstrakter rechtlicher Anforderungen in konkrete technische und organisatorische Maßnahmen. Der zum SDM gehörende Referenzmaßnahmen-Katalog kann herangezogen werden, um bei jeder einzelnen Verarbeitung zu prüfen, ob das rechtlich geforderte „Soll“ von Maßnahmen mit dem vor Ort vorhandenen „Ist“ von Maßnahmen übereinstimmt. Das SDM und der Referenzmaßnahmen-Katalog bieten zudem eine Grundlage für die Planung und Durchführung der von der DS-GVO geförderten datenschutzspezifischen Zertifizierungen (Art. 42 DS-GVO) und der in bestimmten Fällen erforderlichen Datenschutz-Folgenabschätzung (Art. 35 DS-GVO). Eine derartige Standardisierung unterstützt auch die in der Verordnung normierte Zusammenarbeit der Aufsichtsbehörden. Denn diese bedingt, dass auf nationaler Ebene die deutschen Datenschutzaufsichtsbehörden in zunehmendem Maße zusammenarbeiten und mit ihren Beratungs- und Prüfmethoden zu gleichen datenschutzrechtlichen Beurteilungen gelangen müssen. Das SDM wird mit dem Ziel erstellt, ein abgestimmtes, transparentes und nachvollziehbares System der datenschutzrechtlichen Beurteilung zu bieten. Das SDM finden Sie in der jeweils aktuellen Fassung auf der Homepage der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder unter https://www.datenschutzkonferenz-online.de/anwendungshinweise.html. Mit freundlichen Grüßen