Trainingsmodul
Datenschutz-Folgenabschätzung (DSFA)
Datenschutzrisiken bewerten, Auswirkungen begründen und DSFA in einem an ISO/IEC 27701 ausgerichteten PIMS dokumentieren
Übersicht
ISO/IEC 27701 legt klare Anforderungen an die Bewertung von Datenschutzrisiken und deren Behandlung innerhalb eines PIMS fest und ist nicht länger von einer ISO/IEC 27001-Zertifizierung abhängig. In der Praxis haben Organisationen weniger Mühe damit, eine DSFA durchzuführen, als die Bewertungslogik wiederholbar zu machen: konsistente Auslöser, belastbare Begründungen für Auswirkungen, dokumentierte Annahmen und klare Entscheidungsrechte für Restrisiken.
Dieses Modul fokussiert die DSFA-Logik als Fähigkeit des Managementsystems in einem PIMS: Bewertungen strukturieren, Auswirkungen auf betroffene Personen begründen, Ergebnisse mit Behandlungsentscheidungen verknüpfen und Bewertungen aktuell halten, wenn sich die Verarbeitung ändert. Vermittelt werden weder Grundlagen des Datenschutzes, Abgrenzung und Rollenbestimmung, operative Datenschutzmassnahmen noch die Ausübung von Betroffenenrechten; diese Themen sind in angrenzenden Spezialisierungsmodulen abgedeckt. Auch die allgemeine Risikomethodik (Skalen, Bewertungsmodelle, Auslegung der Risikobereitschaft) wird nicht erneut behandelt; sie ist in den Grundlagen des Risikomanagements verankert.
Relevante Umfelder
Dieses Modul richtet sich an Organisationen, die ein Privacy Information Management System (PIMS) gemäss ISO/IEC 27701 einführen oder betreiben. Es fokussiert darauf, wie die Anforderungen des Standards in realen organisatorischen Kontexten interpretiert und praktisch angewendet werden.
Die Inhalte sind sowohl für Organisationen relevant, die eine Zertifizierung anstreben, als auch für solche, die ISO/IEC 27701 als Referenzrahmen nutzen, um Verantwortlichkeiten, Prozesse und Kontrollen im Bereich des Datenschutzes strukturiert auszugestalten.
Zielpublikum
Personen, die an der Umsetzung, dem Betrieb oder der Verbesserung eines Datenschutz-Informationsmanagementsystems (PIMS) nach ISO/IEC 27701 beteiligt sind
Geschäftsleitung und Bereichsleitende, die für die Wirksamkeit und die Leistungsfähigkeit eines Datenschutz-Informationsmanagementsystems (PIMS) verantwortlich sind
Personen, die für Prozesse, Politiken, IT-Systeme, Risiken und Steuerungsmassnahmen im Bereich Datenschutz verantwortlich sind
Auditorinnen und Auditoren von ISO/IEC 27701, die ihr Verständnis für Best Practices auf der Managementseite vertiefen wollen (nicht Audittechnik)
Entscheidungshilfe
Ist dieses Modul für Sie das richtige?
Es passt gut für Sie, wenn Sie...
eine wiederholbare DSFA-Logik statt ad hoc erstellter Bewertungen brauchen.
klare Auslöser, Rollen und Entscheidungszuständigkeiten für DSFA wünschen.
belastbare Begründungen für Auswirkungen bei Freigabe- und Akzeptanzentscheidungen brauchen.
DSFA bei Änderungen in Verarbeitung und Systemen aktuell halten wollen.
eine auditfähige, konsistente DSFA-Governance in einem PIMS unterstützen.
Wenn die meisten der oben genannten Punkte zutreffen, ist dieses Modul wahrscheinlich gut geeignet.
Es passt möglicherweise weniger gut für Sie, wenn Sie...
nach Grundlagen des Datenschutzes oder rechtlicher Theorie suchen.
eine allgemeine Risikomethodik oder ein Bewertungsmodell erwarten.
detaillierte Orientierung zu technischen Datenschutzmassnahmen erwarten.
bereits stabile, fest verankerte DSFA-Prozesse im grossen Massstab betreiben.
Agenda
Wo die Bewertung von Datenschutzrisiken im PIMS verankert ist
Bewertungsgrenzen und Eingangsgrössen
Auslöselogik: wann eine DSFA-ähnliche Bewertung nötig ist
Den Bewertungsgegenstand definieren
Auswirkungen auf betroffene Personen begründen
Wahrscheinlichkeit in Datenschutzbegriffen beurteilen
Behandlungslogik und Restrisikofreigaben
DSFA-Aktenset und Nachvollziehbarkeit
Technologie als Unterstützung
Praxisworkshop
Details...
Was Sie lernen
Zentrale Lernergebnisse
Verständnis der Erwartungen aus ISO/IEC 27701 an Bewertung von Datenschutzrisiken und Behandlung innerhalb eines PIMS
DSFA-Auslöselogik und Verhältnismässigkeitsregeln organisationsweit konsistent definieren
DSFA-ähnliche Bewertungen um reale Verarbeitungstätigkeiten mit gemeinsamen Diensten und Lieferanten strukturieren
Zusätzliche Fähigkeiten
Disziplinierter Umgang mit Begründungen zu Auswirkungen auf betroffene Personen und transparenten dokumentierten Annahmen
Übersetzung von Bewertungsergebnissen in klare Behandlungsentscheidungen und Kriterien zur Akzeptanz von Restrisiken
Ein wartbares DSFA-Aktenset mit Nachvollziehbarkeit und Überprüfungsanlässen erstellen, damit DSFA aktuell bleiben
Enthaltene Unterlagen
Lernmaterialien
Slide deck
Participant workbook
Vorlagen & Tools
Praxisnahe, wiederverwendbare Artefakte, mit denen sich die Inhalte des Moduls direkt auf die eigene Organisation anwenden lassen.
Entscheidungsbaum für DSFA-Auslösung und Triage
Vorlage für DSFA und Bewertung von Datenschutzrisiken
Arbeitsblatt für die Begründung von Auswirkungen
Matrix zur Nachvollziehbarkeit von Risiken zu Behandlungen
Checkliste für DSFA-Überprüfung und Änderungsanlässe
KI-Prompt-Sammlung
Bestätigung
Certificate of completion
Modul-ID
HAM-DP-S-02
Fachbereich
Normkapitel
6: Planung
Zielgruppen
Manager
Sprachen
Englisch
Durchführung
Live-virtuell
Dauer
7 Std.
Listenpreis
CHF 550
Exkl. MwSt. Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Durchführung & Lernformat
Virtuelle Live-Lektionen
Dieses Modul wird live durchgeführt, wobei der Schwerpunkt auf Diskussionen, praktischen Anwendungen und der direkten Interaktion mit dem Dozenten liegt.
Die Sitzungen basieren auf realistischen Beispielen, verdeutlichen Konzepte im Kontext und wenden Methoden direkt auf die organisatorischen Gegebenheiten der Teilnehmer an.
Massgeschneiderte Formate
Für Organisationen mit spezifischen Einschränkungen oder Lernzielen kann das Modul in Format und Umfang angepasst werden, einschliesslich interner Durchführung und kontextbezogenem Case-Material.
Für ein optimales Lernerlebnis
Empfehlungen zur Vorbereitung
Dieses Modul ist Teil eines modularen Trainingsansatzes. Inhalte werden bewusst auf einzelne Module verteilt und nicht vollständig wiederholt, um unnötige Redundanzen zu vermeiden. Jedes Modul ist in sich abgeschlossen und kann unabhängig besucht werden. Falls bestimmte Vorkenntnisse oder Erfahrungen hilfreich sind, ist dies unten vermerkt, damit Sie selbst entscheiden können, ob eine Vorbereitung für Sie sinnvoll ist.
Vorausgesetzte Kenntnisse
Dieses Modul setzt bereits Folgendes voraus:
Arbeitswissen zu den grundlegenden Datenschutzkonzepten (personenbezogene Daten, Verarbeitungszwecke, Empfänger, Aufbewahrung, rechtmässige Bearbeitung)
Vertrautheit damit, wie die eigene Organisation Verarbeitungstätigkeiten und Änderungen dokumentiert (auch wenn noch nicht perfekt)
Grundlegendes Verständnis von Managementsystemen (Rollen, dokumentierte Information, Steuerungsroutinen)
Vorbereitungsmodule
Foundational modules (depending on background)
Useful if you are new to the underlying concepts or want a shared baseline before attending this module.
