Intelligente Bewertungen in Datenschutz-Management

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 4 Minuten Lesedauer

    • Die neue und verbesserte Bewertungs-Experience in Datenschutz-Management verwendet die Anwendung Intelligente Bewertungs-Engine (SAE). Mit der Bewertungs-Engine können Sie Datenschutzprüfungen und Datenschutz-Auswirkungsbewertungen durchführen, um die erforderlichen Informationen für die Datenschutzteams zu sammeln.

    In Datenschutz-Managementspielen Bewertungen eine wichtige Rolle. Es gibt zwei Arten von Bewertungen.
    • Bewertung der Datenschutzuntersuchung: Eine Bewertung der Datenschutzuntersuchung ist eine vorläufige Bewertung, mit der bestimmt wird, ob eine Verarbeitungsaktivität personenbezogene Daten umfasst und ob sie Datenschutzrisiken bergen kann. Es handelt sich um eine allgemeine Überprüfung, die durchgeführt wird, um zu ermitteln, ob eine detailliertere Datenschutzprüfung, z. B. eine Datenschutzfolgenabschätzung (Private Impact Assessment, PIA), erforderlich ist. Wenn beispielsweise eine neue Geschäftsanwendung oder ein neuer Geschäftsprozess erstellt wird, müssen die Datenschutzteams verstehen, ob die Anwendung oder der Geschäftsprozess personenbezogene Daten verarbeitet oder nicht. Um dies festzustellen, werden die Überprüfungsbewertungen an die Geschäftsanwendungs- oder Geschäftsprozessbesitzer gesendet. Nachdem die Bewertung vom Datenschutzmanager genehmigt wurde, wird eine Verarbeitungsaktivität erstellt.
    • Datenschutz-Auswirkungsbewertung: Nachdem eine Überprüfungsbewertung durchgeführt wurde, kann basierend auf den Antworten eine Datenschutz-Auswirkungsbewertung generiert werden. Eine Datenschutz-Auswirkungsbewertung ist eine umfassende Bewertung der Auswirkungen einer Geschäftsanwendung, eines Systems oder eines Prozesses auf den Datenschutz. Es bewertet die mit der Verarbeitung von Aktivitäten verbundenen Datenschutzrisiken und identifiziert Maßnahmen zur Minderung dieser Risiken. Jedes Mal, wenn eine Datenschutz-Auswirkungsbewertung durchgeführt wird, werden die Risiken überarbeitet, um festzustellen, ob sich die Risikopunktzahl geändert hat. Dies hilft den Datenschutzteams, aufmerksam zu bleiben und die Risiken nach Bedarf anzugehen.
    Zur Durchführung dieser Bewertungen können Sie die Anwendung Intelligente Bewertungs-Engine verwenden. Diese Anwendung bietet mehrere Vorteile, z. B. die Konfiguration von Vorlagen, Workflows, Anleitungen für Fragen und Überprüfung von Bewertungsergebnissen mit umsetzbaren Einblicken. Weitere Informationen zur Anwendung Intelligente Bewertungs-Engine finden Sie unter Intelligente Bewertungs-Engine erkunden.
    Hinweis:
    Um Intelligente Bewertungs-Enginezu verwenden, müssen Sie die Eigenschaft sn_privacy.enable_smart_assessment aktivieren, die sich unter den Systemeigenschaften befindet.

    Vorteile der neuen Bewertungs-Experience

    Die neue Bewertungs-Experience bietet die folgenden Vorteile.
    • Erfassen Sie alle erforderlichen Informationen während der Bewertung, ohne dass der Verarbeitungsaktivität manuell Details hinzugefügt werden müssen.
    • Erfassen Sie die Hierarchie oder den Datenfluss, und geben Sie an, woher die Daten stammen und wohin die Daten gehen.
    • Erfassen Sie die rechtmäßige Grundlage für die Erfassung und Verarbeitung von Daten.
    • Erstellen Sie mehrere Abschnitte für die logische Gruppierung von Fragen
    • Migrieren Sie Bewertungen aus älteren Systemen.
    • Stellen Sie Inline-Anleitungen für Fragen bereit.
    • Weisen Sie die Bewertung dem richtigen Beantworter zu.
    • Erstellen Sie hochkonfigurierbare Vorlagen.

    Arten von Bewertungsvorlagen

    Zur Durchführung der Untersuchung und der Auswirkungsbewertungen benötigen Sie Bewertungsvorlagen. Die Bewertungsvorlagen basieren zwar auf Intelligente Bewertungs-Engine, für Benutzer von Datenschutz-Managementwerden jedoch einige zusätzliche Konfigurationen bereitgestellt. Standardmäßig werden zwei Bewertungsvorlagen bereitgestellt, Bewertung der Datenschutzuntersuchung [V3] und Bewertung der Datenschutzauswirkung [V3], um intelligente Bewertungen durchzuführen. Einige wichtige Unterschiede zwischen diesen Vorlagen und den zusätzlichen Konfigurationen werden im Folgenden erläutert.
    Bewertung der Datenschutzuntersuchung
    Eine Untersuchungsbewertungsvorlage hat drei Abschnitte:
    • Allgemein: In diesem Abschnitt geben Sie die Bewertungsvorlagenkategorie als Datenschutzkategorie und die Bewertungsziele an. Bei einer Überprüfungsbewertung sind die Bewertungsziele Entitäten und Datenschutzaufgaben.
    • Fragen: Dieser Abschnitt enthält Fragen für die Beantworter der Bewertung. Dieser Abschnitt enthält auch Datenelemente, bei denen es sich um einzelne Informationseinheiten handelt, die ein bestimmtes Attribut oder Merkmal einer betroffenen Person oder Entität darstellen. Beispiele für Datenelemente sind Name, E-Mail-Adresse, Geburtsdatum usw. In diesem Abschnitt finden Sie auch einen Abschnitt mit der Überschrift „Kritikalitätsfaktoren“, und diese Fragen werden zur Berechnung der Kritikalitätspunktzahl verwendet.
    • Automatisierungen: In diesem Abschnitt können Sie die Regeln definieren, die die automatische Erstellung von Verarbeitungsaktivitäten basierend auf den Antworten auf Fragen ermöglichen. In diesem Abschnitt wird Workflow-Studioverwendet. Diese Automatisierungen werden ihren relevanten Fragen zugeordnet. Automatisierung rationalisiert verschiedene Prozesse, einschließlich der Anwendung von Risikobeschreibungen und Kontrollzielen basierend auf Benutzerantworten. Wenn Benutzer während einer Bewertung bestimmte Antworten auswählen, wendet das System automatisch die entsprechenden Risiken und Steuerungen auf die relevanten Datensätze an. Betrachten Sie beispielsweise eine Organisationsrichtlinie, die besagt, dass personenbezogene Daten nur mit ausdrücklicher Zustimmung außerhalb der EU übertragen werden dürfen. Wenn ein Anwender während einer Bewertung angibt, dass Daten außerhalb der EU übertragen werden, wendet das System das Datenübertragungsrisiko automatisch auf die folgende Verarbeitungsaktivität an: Weisen Sie die explizite Einwilligung als Steuerungselement zu, um das identifizierte Risiko zu minimieren. Diese Automatisierung stellt Konsistenz sicher, spart Zeit und reduziert die Wahrscheinlichkeit menschlicher Fehler bei der Verwaltung von Risiken und Steuerungen.
    Ausführliche Informationen zum Konfigurieren einer Untersuchungsbewertungsvorlage finden Sie unter Konfigurieren Sie intelligente Bewertungsvorlagen für die Überprüfung von Bewertungen.
    Abbildung : 1. Bewertung der Datenschutzuntersuchung
    Bewertungsseite für die Datenschutzuntersuchung.
    Datenschutz-Auswirkungsbewertung
    Für eine Vorlage für die Datenschutz-Auswirkungsbewertung wie die Bewertungsvorlage für die Überprüfung gibt es die Abschnitte Allgemein und Fragen. Standardmäßig ist der Abschnitt Automatisierungen vorhanden, enthält jedoch keine vordefinierten Automatisierungen. Sie können Automatisierungen hinzufügen, wenn Sie sie benötigen. Für eine Auswirkungsbewertungsvorlage können Sie neben dem Fragebogen auch die personenbezogenen Datenelemente hinzufügen. Ausführliche Informationen zum Konfigurieren einer Auswirkungsbewertungsvorlage finden Sie unter Konfigurieren Sie intelligente Bewertungsvorlagen für Auswirkungsbewertungen.
    Abbildung : 2. Bildschirm „Bewertung der Datenschutzauswirkung“.
    Zielseite der Datenschutz-Auswirkungsbewertung.
    Hinweis:
    Für Bewertungen sind nur veröffentlichte Vorlagen verfügbar.

    Überprüfung einer Bewertung

    Wenn Datenschutzanalysten eine Bewertung erhalten, überprüfen sie die Bewertung. Während der Überprüfung können sie entweder eine Überarbeitung der Bewertung anfordern oder sie direkt genehmigen. Im Status Überprüfen können Datenschutzmanager die folgenden Elemente anzeigen:
    • Informationsobjekte: Auf der Registerkarte Informationsobjekte werden die Informationsobjekte angezeigt, die im Rahmen der Untersuchungsbewertung identifiziert wurden.
    • Hierarchie: Die Hierarchie, in der angegeben wird, woher Daten stammen und wohin sie gehen.
    • Ergebnisse: Auf der Registerkarte „Ergebnisse“ werden die Risikobeschreibung und die Kontrollziele angezeigt, die der Bewertung zugeordnet sind.
    Die folgende Abbildung zeigt die Bewertungsdetails.Bewertungsseite für Datenschutzanalysten