4435e7ea0a
Services: Admin-Compliance, Backend-Compliance, AI-Compliance-SDK, Consent-SDK, Developer-Portal, PCA-Platform, DSMS Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
322 lines
12 KiB
YAML
322 lines
12 KiB
YAML
# DSGVO (Datenschutz-Grundverordnung) Obligations
|
|
# EU Verordnung 2016/679
|
|
|
|
regulation: dsgvo
|
|
name: "DSGVO (Datenschutz-Grundverordnung)"
|
|
description: "EU-Verordnung zum Schutz personenbezogener Daten"
|
|
|
|
obligations:
|
|
- id: "DSGVO-OBL-001"
|
|
title: "Verarbeitungsverzeichnis fuehren"
|
|
description: |
|
|
Fuehrung eines Verzeichnisses aller Verarbeitungstaetigkeiten mit Angabe der
|
|
Zwecke, Kategorien betroffener Personen, Empfaenger, Uebermittlungen in
|
|
Drittlaender und Loeschfristen.
|
|
applies_when: "always"
|
|
legal_basis:
|
|
- norm: "Art. 30 DSGVO"
|
|
article: "Verzeichnis von Verarbeitungstaetigkeiten"
|
|
category: "Governance"
|
|
responsible: "Datenschutzbeauftragter"
|
|
sanctions:
|
|
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
|
|
evidence:
|
|
- "Verarbeitungsverzeichnis"
|
|
- "Regelmaessige Aktualisierung dokumentiert"
|
|
priority: "hoch"
|
|
iso27001_mapping: ["A.5.1.1"]
|
|
|
|
- id: "DSGVO-OBL-002"
|
|
title: "Technische und organisatorische Massnahmen (TOMs)"
|
|
description: |
|
|
Implementierung geeigneter technischer und organisatorischer Massnahmen zum
|
|
Schutz personenbezogener Daten unter Beruecksichtigung des Stands der Technik,
|
|
der Implementierungskosten und der Art, des Umfangs, der Umstaende und der
|
|
Zwecke der Verarbeitung.
|
|
applies_when: "always"
|
|
legal_basis:
|
|
- norm: "Art. 32 DSGVO"
|
|
article: "Sicherheit der Verarbeitung"
|
|
category: "Technisch"
|
|
responsible: "IT-Leitung"
|
|
sanctions:
|
|
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
|
|
evidence:
|
|
- "TOM-Dokumentation"
|
|
- "Risikoanalyse"
|
|
- "Verschluesselungskonzept"
|
|
- "Zugriffskontroll-Dokumentation"
|
|
priority: "hoch"
|
|
iso27001_mapping: ["A.8", "A.10", "A.12", "A.13"]
|
|
how_to_implement: |
|
|
1. Risikoanalyse fuer alle Verarbeitungen durchfuehren
|
|
2. Geeignete TOMs je nach Risikoniveau auswaehlen
|
|
3. Verschluesselung fuer Daten at rest und in transit
|
|
4. Zugriffskontrolle nach Need-to-know-Prinzip
|
|
5. Regelmaessige Ueberpruefung und Aktualisierung
|
|
|
|
- id: "DSGVO-OBL-003"
|
|
title: "Datenschutz-Folgenabschaetzung (DSFA)"
|
|
description: |
|
|
Durchfuehrung einer Datenschutz-Folgenabschaetzung bei Verarbeitungsvorgaengen,
|
|
die voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher
|
|
Personen zur Folge haben, insbesondere bei neuen Technologien.
|
|
applies_when: "high_risk"
|
|
legal_basis:
|
|
- norm: "Art. 35 DSGVO"
|
|
article: "Datenschutz-Folgenabschaetzung"
|
|
category: "Governance"
|
|
responsible: "Datenschutzbeauftragter"
|
|
sanctions:
|
|
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
|
|
evidence:
|
|
- "DSFA-Dokumentation"
|
|
- "Risikobewertung"
|
|
- "Abhilfemassnahmen"
|
|
- "Stellungnahme DSB"
|
|
priority: "kritisch"
|
|
iso27001_mapping: ["A.5.1.1", "A.18.1"]
|
|
how_to_implement: |
|
|
1. Pruefen ob DSFA erforderlich (Blacklist der Aufsichtsbehoerde)
|
|
2. Systematische Beschreibung der Verarbeitung
|
|
3. Bewertung der Notwendigkeit und Verhaeltnismaessigkeit
|
|
4. Risiken fuer Rechte und Freiheiten bewerten
|
|
5. Abhilfemassnahmen festlegen
|
|
6. Bei hohem Restrisiko: Konsultation der Aufsichtsbehoerde
|
|
|
|
- id: "DSGVO-OBL-004"
|
|
title: "Datenschutzbeauftragten benennen"
|
|
description: |
|
|
Benennung eines Datenschutzbeauftragten bei oeffentlichen Stellen,
|
|
systematischer Ueberwachung im grossen Umfang oder Verarbeitung
|
|
besonderer Kategorien im grossen Umfang. In Deutschland: ab 20 MA.
|
|
applies_when: "needs_dpo"
|
|
legal_basis:
|
|
- norm: "Art. 37 DSGVO"
|
|
article: "Benennung eines Datenschutzbeauftragten"
|
|
- norm: "§ 38 BDSG"
|
|
article: "Datenschutzbeauftragte nichtoeffentlicher Stellen"
|
|
category: "Governance"
|
|
responsible: "Geschaeftsfuehrung"
|
|
sanctions:
|
|
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
|
|
evidence:
|
|
- "DSB-Bestellung"
|
|
- "Meldung an Aufsichtsbehoerde"
|
|
- "Veroeffentlichung Kontaktdaten"
|
|
priority: "hoch"
|
|
|
|
- id: "DSGVO-OBL-005"
|
|
title: "Auftragsverarbeitungsvertrag (AVV)"
|
|
description: |
|
|
Abschluss eines Auftragsverarbeitungsvertrags mit allen Auftragsverarbeitern,
|
|
der die Pflichten gemaess Art. 28 Abs. 3 DSGVO enthaelt.
|
|
applies_when: "uses_processors"
|
|
legal_basis:
|
|
- norm: "Art. 28 DSGVO"
|
|
article: "Auftragsverarbeiter"
|
|
category: "Organisatorisch"
|
|
responsible: "Datenschutzbeauftragter"
|
|
sanctions:
|
|
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
|
|
evidence:
|
|
- "AVV-Vertrag"
|
|
- "TOM-Nachweis des Auftragsverarbeiters"
|
|
- "Verzeichnis der Auftragsverarbeiter"
|
|
priority: "hoch"
|
|
|
|
- id: "DSGVO-OBL-006"
|
|
title: "Informationspflichten erfuellen"
|
|
description: |
|
|
Information der betroffenen Personen ueber die Verarbeitung ihrer Daten
|
|
bei Erhebung (Art. 13) oder nachtraeglich (Art. 14). Mindestinhalt:
|
|
Identitaet Verantwortlicher, Zwecke, Rechtsgrundlage, Empfaenger,
|
|
Uebermittlung Drittland, Speicherdauer, Betroffenenrechte.
|
|
applies_when: "controller"
|
|
legal_basis:
|
|
- norm: "Art. 13 DSGVO"
|
|
article: "Informationspflicht bei Erhebung"
|
|
- norm: "Art. 14 DSGVO"
|
|
article: "Informationspflicht bei Dritterhebung"
|
|
category: "Organisatorisch"
|
|
responsible: "Datenschutzbeauftragter"
|
|
sanctions:
|
|
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
|
|
evidence:
|
|
- "Datenschutzerklaerung Website"
|
|
- "Cookie-Banner"
|
|
- "Informationsblaetter Mitarbeiter"
|
|
- "Kundeninformationen"
|
|
priority: "hoch"
|
|
|
|
- id: "DSGVO-OBL-007"
|
|
title: "Betroffenenrechte umsetzen"
|
|
description: |
|
|
Einrichtung von Prozessen zur Bearbeitung von Betroffenenanfragen innerhalb
|
|
von 1 Monat: Auskunft (Art. 15), Berichtigung (Art. 16), Loeschung (Art. 17),
|
|
Einschraenkung (Art. 18), Datenuebertragbarkeit (Art. 20), Widerspruch (Art. 21).
|
|
applies_when: "controller"
|
|
legal_basis:
|
|
- norm: "Art. 15-21 DSGVO"
|
|
article: "Betroffenenrechte"
|
|
category: "Organisatorisch"
|
|
responsible: "Datenschutzbeauftragter"
|
|
deadline:
|
|
type: "relative"
|
|
duration: "1 Monat nach Anfrage"
|
|
sanctions:
|
|
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
|
|
evidence:
|
|
- "DSR-Prozess dokumentiert"
|
|
- "Anfrageformulare"
|
|
- "Bearbeitungsprotokolle"
|
|
priority: "kritisch"
|
|
|
|
- id: "DSGVO-OBL-008"
|
|
title: "Einwilligungen dokumentieren"
|
|
description: |
|
|
Nachweis gueltiger Einwilligungen: freiwillig, informiert, spezifisch,
|
|
unmissverstaendlich, widerrufbar. Bei besonderen Kategorien: ausdruecklich.
|
|
applies_when: "controller"
|
|
legal_basis:
|
|
- norm: "Art. 7 DSGVO"
|
|
article: "Bedingungen fuer die Einwilligung"
|
|
- norm: "Art. 9 Abs. 2 lit. a DSGVO"
|
|
category: "Governance"
|
|
responsible: "Datenschutzbeauftragter"
|
|
sanctions:
|
|
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
|
|
evidence:
|
|
- "Consent-Management-System"
|
|
- "Einwilligungsprotokolle"
|
|
- "Widerrufsprozess dokumentiert"
|
|
priority: "hoch"
|
|
|
|
- id: "DSGVO-OBL-009"
|
|
title: "Loeschkonzept umsetzen"
|
|
description: |
|
|
Implementierung eines Loeschkonzepts mit definierten Aufbewahrungsfristen
|
|
und automatisierten Loeschroutinen (Speicherbegrenzung).
|
|
applies_when: "always"
|
|
legal_basis:
|
|
- norm: "Art. 17 DSGVO"
|
|
article: "Recht auf Loeschung"
|
|
- norm: "Art. 5 Abs. 1 lit. e DSGVO"
|
|
article: "Speicherbegrenzung"
|
|
category: "Technisch"
|
|
responsible: "IT-Leitung"
|
|
sanctions:
|
|
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
|
|
evidence:
|
|
- "Loeschkonzept"
|
|
- "Aufbewahrungsfristen je Kategorie"
|
|
- "Loeschprotokolle"
|
|
priority: "hoch"
|
|
|
|
- id: "DSGVO-OBL-010"
|
|
title: "Drittlandtransfer absichern"
|
|
description: |
|
|
Bei Uebermittlung in Drittlaender ohne Angemessenheitsbeschluss:
|
|
Standardvertragsklauseln (SCCs), BCRs oder andere Garantien.
|
|
Transfer Impact Assessment durchfuehren.
|
|
applies_when: "cross_border"
|
|
legal_basis:
|
|
- norm: "Art. 44-49 DSGVO"
|
|
article: "Uebermittlung in Drittlaender"
|
|
category: "Organisatorisch"
|
|
responsible: "Datenschutzbeauftragter"
|
|
sanctions:
|
|
max_fine: "20 Mio. EUR oder 4% Jahresumsatz"
|
|
evidence:
|
|
- "SCCs abgeschlossen"
|
|
- "Transfer Impact Assessment"
|
|
- "Dokumentation der Garantien"
|
|
priority: "kritisch"
|
|
|
|
- id: "DSGVO-OBL-011"
|
|
title: "Meldeprozess Datenschutzverletzungen"
|
|
description: |
|
|
Etablierung eines Prozesses zur Erkennung, Bewertung und Meldung von
|
|
Datenschutzverletzungen innerhalb von 72 Stunden an die Aufsichtsbehoerde
|
|
und ggf. unverzueglich an betroffene Personen.
|
|
applies_when: "always"
|
|
legal_basis:
|
|
- norm: "Art. 33 DSGVO"
|
|
article: "Meldung an Aufsichtsbehoerde"
|
|
- norm: "Art. 34 DSGVO"
|
|
article: "Benachrichtigung Betroffener"
|
|
category: "Meldepflicht"
|
|
responsible: "Datenschutzbeauftragter"
|
|
sanctions:
|
|
max_fine: "10 Mio. EUR oder 2% Jahresumsatz"
|
|
evidence:
|
|
- "Breach-Notification-Prozess"
|
|
- "Meldevorlage"
|
|
- "Vorfallprotokoll"
|
|
priority: "kritisch"
|
|
|
|
controls:
|
|
- id: "DSGVO-CTRL-001"
|
|
name: "Consent-Management-System"
|
|
description: "Implementierung eines Systems zur Verwaltung von Einwilligungen"
|
|
category: "Technisch"
|
|
what_to_do: "Implementierung einer Consent-Management-Plattform mit Protokollierung, Widerrufsmoeglichkeit und Nachweis"
|
|
iso27001_mapping: ["A.18.1"]
|
|
priority: "hoch"
|
|
|
|
- id: "DSGVO-CTRL-002"
|
|
name: "Verschluesselung personenbezogener Daten"
|
|
description: "Verschluesselung ruhender und uebertragener Daten"
|
|
category: "Technisch"
|
|
what_to_do: "TLS 1.3 fuer Uebertragung, AES-256 fuer Speicherung, Key-Management implementieren"
|
|
iso27001_mapping: ["A.10.1"]
|
|
priority: "hoch"
|
|
|
|
- id: "DSGVO-CTRL-003"
|
|
name: "Zugriffskontrolle"
|
|
description: "Need-to-know-Prinzip fuer Zugriff auf personenbezogene Daten"
|
|
category: "Organisatorisch"
|
|
what_to_do: "RBAC implementieren, regelmaessige Berechtigungspruefung, Protokollierung aller Zugriffe"
|
|
iso27001_mapping: ["A.9.1", "A.9.2", "A.9.4"]
|
|
priority: "hoch"
|
|
|
|
- id: "DSGVO-CTRL-004"
|
|
name: "Pseudonymisierung/Anonymisierung"
|
|
description: "Anwendung von Pseudonymisierung wo moeglich, Anonymisierung fuer Analysen"
|
|
category: "Technisch"
|
|
what_to_do: "Pseudonymisierungsverfahren implementieren, Zuordnungstabellen getrennt speichern"
|
|
iso27001_mapping: ["A.8.2"]
|
|
priority: "mittel"
|
|
|
|
- id: "DSGVO-CTRL-005"
|
|
name: "Datenschutz-Schulungen"
|
|
description: "Regelmaessige Schulung aller Mitarbeiter zu Datenschutzthemen"
|
|
category: "Organisatorisch"
|
|
what_to_do: "Jaehrliche Pflichtschulungen, Awareness-Kampagnen, dokumentierte Nachweise"
|
|
iso27001_mapping: ["A.7.2.2"]
|
|
priority: "mittel"
|
|
|
|
incident_deadlines:
|
|
- phase: "Meldung an Aufsichtsbehoerde"
|
|
deadline: "72 Stunden"
|
|
content: |
|
|
Meldung bei Verletzung des Schutzes personenbezogener Daten,
|
|
es sei denn, die Verletzung fuehrt voraussichtlich nicht zu einem
|
|
Risiko fuer die Rechte und Freiheiten natuerlicher Personen.
|
|
Inhalt: Art der Verletzung, Kategorien/Anzahl Betroffener,
|
|
Kontakt DSB, Folgen, ergriffene Massnahmen.
|
|
recipient: "Zustaendige Datenschutz-Aufsichtsbehoerde"
|
|
legal_basis:
|
|
- norm: "Art. 33 DSGVO"
|
|
|
|
- phase: "Benachrichtigung Betroffener"
|
|
deadline: "unverzueglich"
|
|
content: |
|
|
Wenn die Verletzung voraussichtlich ein hohes Risiko fuer die
|
|
Rechte und Freiheiten natuerlicher Personen zur Folge hat.
|
|
In klarer und einfacher Sprache: Art der Verletzung, Kontakt DSB,
|
|
wahrscheinliche Folgen, ergriffene Abhilfemassnahmen.
|
|
recipient: "Betroffene Personen"
|
|
legal_basis:
|
|
- norm: "Art. 34 DSGVO"
|