DSGVO
Erfuellen Sie die EU-Datenschutzanforderungen mit CyberOrigen.
Uebersicht
Die DSGVO (Datenschutz-Grundverordnung) ist das umfassende Datenschutzgesetz der EU. Es gilt fuer jede Organisation, die personenbezogene Daten von EU-Einwohnern verarbeitet.
Grundprinzipien
| Prinzip | Beschreibung |
|---|---|
| Rechtmaessigkeit | Rechtsgrundlage fuer Verarbeitung |
| Zweckbindung | Spezifische, eindeutige Zwecke |
| Datenminimierung | Nur notwendige Daten |
| Richtigkeit | Daten aktuell halten |
| Speicherbegrenzung | Nicht laenger als noetig aufbewahren |
| Integritaet & Vertraulichkeit | Sicherheit der Verarbeitung |
| Rechenschaftspflicht | Compliance nachweisen |
DSGVO-Artikel
Kapitel 2: Grundsaetze
| Artikel | Titel |
|---|---|
| 5 | Grundsaetze fuer die Verarbeitung |
| 6 | Rechtmaessigkeit der Verarbeitung |
| 7 | Bedingungen fuer die Einwilligung |
| 8 | Einwilligung eines Kindes |
| 9 | Besondere Kategorien personenbezogener Daten |
| 10 | Verarbeitung von Straftatendaten |
| 11 | Verarbeitung ohne Identifizierung |
Kapitel 3: Rechte der betroffenen Person
| Artikel | Titel |
|---|---|
| 12 | Transparente Information |
| 13 | Informationen bei Erhebung |
| 14 | Informationen bei indirekter Erhebung |
| 15 | Auskunftsrecht |
| 16 | Recht auf Berichtigung |
| 17 | Recht auf Loeschung |
| 18 | Recht auf Einschraenkung |
| 19 | Mitteilungspflicht |
| 20 | Recht auf Datenuebertragbarkeit |
| 21 | Widerspruchsrecht |
| 22 | Automatisierte Entscheidungsfindung |
Kapitel 4: Verantwortlicher & Auftragsverarbeiter
| Artikel | Titel |
|---|---|
| 24 | Verantwortung des Verantwortlichen |
| 25 | Datenschutz durch Technikgestaltung |
| 28 | Auftragsverarbeiterpflichten |
| 30 | Verzeichnis von Verarbeitungstaetigkeiten |
| 32 | Sicherheit der Verarbeitung |
| 33 | Meldung an Aufsichtsbehoerde |
| 34 | Benachrichtigung betroffener Personen |
| 35 | Datenschutz-Folgenabschaetzung |
| 37 | Datenschutzbeauftragter |
Erste Schritte
1. Framework aktivieren
- Gehen Sie zu GRC → Frameworks
- Klicken Sie auf Registrieren bei DSGVO
- Klicken Sie auf Aktivieren
2. Dateninventar
Dokumentieren Sie die Verarbeitung personenbezogener Daten:
- Identifizieren Sie Datenkategorien
- Kartieren Sie Datenfluesse
- Dokumentieren Sie Rechtsgrundlagen
- Erfassen Sie im Verarbeitungsverzeichnis
3. Sicherheitsbewertung
Bewerten Sie Artikel-32-Anforderungen:
- Verschluesselung
- Vertraulichkeit
- Integritaet
- Verfuegbarkeit
- Belastbarkeit
Schluesselkontrollen
Artikel 32 - Sicherheit
| Anforderung | CyberOrigen-Funktion |
|---|---|
| Verschluesselung | TLS/Verschluesselungs-Scanning |
| Vertraulichkeit | Zugangskontroll-Scanning |
| Integritaet | Dateiintegritaetspruefungen |
| Verfuegbarkeit | Uptime-Monitoring |
| Tests | Schwachstellen-Scanning |
Artikel 25 - Privacy by Design
| Prinzip | Implementierung |
|---|---|
| Proaktiv | Risikobewertung |
| Standardeinstellungen | Konfigurationspruefungen |
| Vollstaendiger Lebenszyklus | Nachweismanagement |
| Sicherheit | Kontinuierliches Scanning |
| Transparenz | Audit-Protokollierung |
| Benutzerorientiert | Zugangskontrollen |
Betroffenenrechte
Rechteerfuellung
Verfolgen und beantworten Sie Betroffenenanfragen:
| Recht | Frist | Dokumentation |
|---|---|---|
| Auskunft (Art. 15) | 30 Tage | Anfrageprotokoll |
| Berichtigung (Art. 16) | 30 Tage | Aenderungsnachweis |
| Loeschung (Art. 17) | 30 Tage | Loeschungsnachweis |
| Uebertragbarkeit (Art. 20) | 30 Tage | Exportformat |
| Widerspruch (Art. 21) | 30 Tage | Antwortnachweis |
CyberOrigen-Verfolgung
- Gehen Sie zu GRC → Kontrollbibliothek
- Verfolgen Sie DSR-Kontrollen
- Dokumentieren Sie Verfahren
- Verknuepfen Sie Nachweise
Breach-Benachrichtigung
Zeitplan
| Aktion | Frist |
|---|---|
| Verletzung erkennen | Schnellstmoeglich |
| Aufsichtsbehoerde benachrichtigen | 72 Stunden ab Kenntnis |
| Betroffene benachrichtigen | Ohne unangemessene Verzoegerung |
Was zu melden ist
- Art der Verletzung
- Betroffene Datenkategorien
- Ungefaehre Anzahl betroffener Personen
- Kontakt des DSB
- Wahrscheinliche Folgen
- Ergriffene Massnahmen
CyberOrigen-Unterstuetzung
- Schwachstellenerkennung
- Threat Intelligence
- Vorfalldokumentation
- Behebungsverfolgung
DSFA-Anforderungen
Wann erforderlich
Datenschutz-Folgenabschaetzung erforderlich fuer:
- Systematische Profilerstellung
- Umfangreiche besondere Kategorien
- Systematische oeffentliche Ueberwachung
- Neue Technologien
DSFA-Prozess
- Verarbeitung beschreiben
- Notwendigkeit bewerten
- Risiken identifizieren
- Risiken mindern
- Ergebnis dokumentieren
Lieferantenmanagement
Auftragsverarbeitervertraege
Verfolgen Sie Artikel-28-Anforderungen:
- Gehen Sie zu GRC → Lieferanten
- Fuegen Sie Auftragsverarbeiter hinzu
- Laden Sie AVVs hoch
- Verfolgen Sie Compliance
Unterauftragsverarbeiter-Management
- Unterauftragsverarbeiter dokumentieren
- AVV-Abdeckung sicherstellen
- Aenderungen ueberwachen
Kontrollzuordnung
DSGVO ordnet sich anderen Frameworks zu:
| DSGVO-Artikel | SOC 2 | ISO 27001 |
|---|---|---|
| Art. 32 Sicherheit | CC6.1, CC6.7 | A.8.24 |
| Art. 30 Verzeichnis | CC2.2 | A.5.9 |
| Art. 33 Verletzung | CC7.3 | A.5.24 |
| Art. 35 DSFA | CC3.1 | 6.1.2 |
Nachweissammlung
Automatisierte Nachweise
- Sicherheits-Scan-Berichte
- Zugriffsueberpruefungen
- Verschluesselungsverifizierung
- Konfigurationsbewertungen
Manuelle Nachweise
- Datenschutzerklaerungen
- Verarbeitungsverzeichnisse
- Einwilligungsaufzeichnungen
- DSFAs
- AVVs mit Auftragsverarbeitern
Haeufige Luecken
| Anforderung | Problem | Loesung |
|---|---|---|
| Art. 30 | Keine Verarbeitungsverzeichnisse | Dokumentation |
| Art. 32 | Schwache Verschluesselung | Verschluesselungs-Upgrade |
| Art. 33 | Kein Breach-Prozess | Incident-Response-Plan |
| Art. 37 | Kein DSB bestellt | DSB-Bestellung |
Sanktionen
| Verstoss | Maximale Geldbusse |
|---|---|
| Niedrigere Stufe | 10 Mio. EUR oder 2% Umsatz |
| Hoehere Stufe | 20 Mio. EUR oder 4% Umsatz |