Schulungsmodul
Schulungsmodul
Schulungsmodul
Datenschutz-Risiko- und Folgenabschätzung (DPIA)
Verstehen Sie die Risikobewertung hinsichtlich Datenschutz, die Auswirkungen sowie die Dokumentation von Datenschutz-Folgenabschätzungen im Rahmen eines ISO/IEC 27701:2025 PIMS.
Verstehen
Umsetzen
Verwalten
Audit
Verwandeln Sie die Bewertung von Datenschutzrisiken von einem Dokument in einen wiederholbaren Entscheidungsprozess
Verwandeln Sie die Bewertung von Datenschutzrisiken von einem Dokument in einen wiederholbaren Entscheidungsprozess
Die meisten Datenschutz-Folgenabschätzungen scheitern, weil die Logik unklar ist: Was löst eine Bewertung aus, wie wird der Impact begründet und wer kann das verbleibende Datenschutzrisiko akzeptieren. Dieses Modul macht die Bewertungspraxis explizit und nachhaltig, sodass Genehmigungen, die Auswahl von Kontrollen und Änderungsentscheidungen über die Zeit hinweg konsistent sind.
Die meisten Datenschutz-Folgenabschätzungen scheitern, weil die Logik unklar ist: Was löst eine Bewertung aus, wie wird der Impact begründet und wer kann das verbleibende Datenschutzrisiko akzeptieren. Dieses Modul macht die Bewertungspraxis explizit und nachhaltig, sodass Genehmigungen, die Auswahl von Kontrollen und Änderungsentscheidungen über die Zeit hinweg konsistent sind.
Übersicht des Schulungsmoduls
ISO/IEC 27701:2025 legt explizite Anforderungen für die Bewertung und Behandlung von Datenschutzrisiken innerhalb eines PIMS fest und ist nicht mehr von der ISO/IEC 27001-Zertifizierung abhängig. In der Praxis kämpfen Organisationen weniger damit, „eine DPIA durchzuführen“, als vielmehr damit, die Bewertungslogik wiederholbar zu machen: konsistente Auslöser, nachvollziehbare Begründungen der Auswirkungen, dokumentierte Annahmen und klare Entscheidungsbefugnisse für das verbleibende Risiko.
Dieses Modul konzentriert sich auf die DPIA-Logik als Managementsystemfähigkeit in einem PIMS: Strukturierung von Bewertungen, Begründung von Auswirkungen auf Einzelpersonen, Verknüpfung von Ergebnissen mit Behandlungsentscheidungen und Aktualisierung von Bewertungen, wenn sich die Verarbeitung ändert. Es unterrichtet nicht die Grundprinzipien des Datenschutzes, die Bestimmung des Umfangs/Rollen, operative Datenschutzkontrollen oder die Ausübung von Rechten der betroffenen Personen; diese werden in benachbarten Spezialisierungsmodulen behandelt. Es lehrt auch nicht die allgemeine Risikomethodik (Skalen, Bewertungsmodelle, Gestaltung der Risikobereitschaft) neu, die von den Grundlagen des Risikomanagements abgedeckt wird.
ISO/IEC 27701:2025 legt explizite Anforderungen für die Bewertung und Behandlung von Datenschutzrisiken innerhalb eines PIMS fest und ist nicht mehr von der ISO/IEC 27001-Zertifizierung abhängig. In der Praxis kämpfen Organisationen weniger damit, „eine DPIA durchzuführen“, als vielmehr damit, die Bewertungslogik wiederholbar zu machen: konsistente Auslöser, nachvollziehbare Begründungen der Auswirkungen, dokumentierte Annahmen und klare Entscheidungsbefugnisse für das verbleibende Risiko.
Dieses Modul konzentriert sich auf die DPIA-Logik als Managementsystemfähigkeit in einem PIMS: Strukturierung von Bewertungen, Begründung von Auswirkungen auf Einzelpersonen, Verknüpfung von Ergebnissen mit Behandlungsentscheidungen und Aktualisierung von Bewertungen, wenn sich die Verarbeitung ändert. Es unterrichtet nicht die Grundprinzipien des Datenschutzes, die Bestimmung des Umfangs/Rollen, operative Datenschutzkontrollen oder die Ausübung von Rechten der betroffenen Personen; diese werden in benachbarten Spezialisierungsmodulen behandelt. Es lehrt auch nicht die allgemeine Risikomethodik (Skalen, Bewertungsmodelle, Gestaltung der Risikobereitschaft) neu, die von den Grundlagen des Risikomanagements abgedeckt wird.
Zielpublikum
PIMS-Manager und -Implementierer, die für die Bewertung von Datenschutzrisiken und die Governance von DPIAs verantwortlich sind
Datenschutz- / Compliance-Fachleute, die die DPIAs über Funktionen und Lieferanten hinweg koordinieren
Leiter von Produkt, Technik und Betrieb, die für Änderungen mit höherem Risiko im Verarbeitungsprozess verantwortlich sind (als Mitwirkende/Genehmiger)
Interne Prüfer, die auf der Managementseite Klarheit darüber benötigen, wie gute DPIA-Governance aussieht
PIMS-Manager und -Implementierer, die für die Bewertung von Datenschutzrisiken und die Governance von DPIAs verantwortlich sind
Datenschutz- / Compliance-Fachleute, die die DPIAs über Funktionen und Lieferanten hinweg koordinieren
Leiter von Produkt, Technik und Betrieb, die für Änderungen mit höherem Risiko im Verarbeitungsprozess verantwortlich sind (als Mitwirkende/Genehmiger)
Interne Prüfer, die auf der Managementseite Klarheit darüber benötigen, wie gute DPIA-Governance aussieht
Agenda
Wo die Bewertung von Privatsphärerisiken in einem PIMS stattfindet
Zweck der Bewertung und Behandlung von Privatsphärerisiken in den Abschnitten 4–10 der ISO/IEC 27701:2025
Beziehung zur Auswahl von Kontrollen und dokumentierten Begründungen (z.B. Nutzung von Anhang A)
Bewertungsgrenzen und Eingaben
Erforderliche Eingaben: Verarbeitungszusammenhang, Rollen und Artifakte des Umfangs (als Voraussetzungen)
Was keine Eingabe für eine DPIA ist (Meinungen, generische Checklisten ohne spezifische Verarbeitungsdetails)
Auslöselogik: wann eine DPIA-ähnliche Bewertung erforderlich ist
Praktische Auslösemuster (neuer Zweck, neue Datenkategorien, neue Empfänger, neue Technologien, neue Geografien)
Triagierung und Verhältnismäßigkeit: „vollständige DPIA“ vs. leichte Bewertung, und wie die Wahl zu rechtfertigen ist
Definition der Bewertungseinheit
Aktivitätsbasierte Bewertung: Was zählt als „Verarbeitungstätigkeit“ zu Bewertungszwecken
Umgang mit gemeinsamen Plattformen, gemeinsamen Operationen und von Anbietern getriebenen Verarbeitungsänderungen
Auswirkungsbegründung mit Fokus auf Individuen
Strukturierung der Auswirkungen auf Rechte und Freiheiten (Schweregrad, Umfang, Umkehrbarkeit, Verletzlichkeit)
Voraussetzungen explizit und evidenzbasiert machen (ohne Überengineering)
Wahrscheinlichkeitsbegründung in Bezug auf Privatsphäre (ohne Scoring-Frameworks neu zu lehren)
Kausalketten: Wie Verarbeitungsentscheidungen Exposition und Schadenpfade schaffen
Verwendung glaubwürdiger Indikatoren und Unsicherheitsanmerkungen anstelle falscher Präzision
Behandlungslogik und Rest-Risikoentscheidungen (PIMS Governance-Sicht)
Verknüpfung der Bewertungsergebnisse mit Behandlungsoptionen und dokumentierter Begründung
Akzeptanz von Rest-Privatsphärerisiken: Entscheidungsrechte, Eskalation und Konsultationstrigger
DPIA-Dokumentationspaket und Nachverfolgbarkeit
Minimalsatz von DPIA-Aufzeichnungen und wie man diese pflegbar hält
Nachverfolgbarkeit von Bewertung → Entscheidung → Implementierungsnachweis (ohne Kontrolldesign zu duplizieren)
Technologie als Ermöglicher
Werkzeugmuster: Register, Arbeitsablauf, Versionierung und Änderungssignale
KI-unterstützte Zusammenfassung von Änderungsanforderungen und Nachweisen (unterstützt die Beurteilung, ersetzt sie nicht)
Workshop (fallbasiert)
Führen Sie eine DPIA-ähnliche Bewertung für ein realistisches Verarbeitungsänderungsszenario durch
Überprüfen Sie die Ergebnisse auf Klarheit der Logik, Entscheidungsrechte und Pflegbarkeit
Wo die Bewertung von Privatsphärerisiken in einem PIMS stattfindet
Zweck der Bewertung und Behandlung von Privatsphärerisiken in den Abschnitten 4–10 der ISO/IEC 27701:2025
Beziehung zur Auswahl von Kontrollen und dokumentierten Begründungen (z.B. Nutzung von Anhang A)
Bewertungsgrenzen und Eingaben
Erforderliche Eingaben: Verarbeitungszusammenhang, Rollen und Artifakte des Umfangs (als Voraussetzungen)
Was keine Eingabe für eine DPIA ist (Meinungen, generische Checklisten ohne spezifische Verarbeitungsdetails)
Auslöselogik: wann eine DPIA-ähnliche Bewertung erforderlich ist
Praktische Auslösemuster (neuer Zweck, neue Datenkategorien, neue Empfänger, neue Technologien, neue Geografien)
Triagierung und Verhältnismäßigkeit: „vollständige DPIA“ vs. leichte Bewertung, und wie die Wahl zu rechtfertigen ist
Definition der Bewertungseinheit
Aktivitätsbasierte Bewertung: Was zählt als „Verarbeitungstätigkeit“ zu Bewertungszwecken
Umgang mit gemeinsamen Plattformen, gemeinsamen Operationen und von Anbietern getriebenen Verarbeitungsänderungen
Auswirkungsbegründung mit Fokus auf Individuen
Strukturierung der Auswirkungen auf Rechte und Freiheiten (Schweregrad, Umfang, Umkehrbarkeit, Verletzlichkeit)
Voraussetzungen explizit und evidenzbasiert machen (ohne Überengineering)
Wahrscheinlichkeitsbegründung in Bezug auf Privatsphäre (ohne Scoring-Frameworks neu zu lehren)
Kausalketten: Wie Verarbeitungsentscheidungen Exposition und Schadenpfade schaffen
Verwendung glaubwürdiger Indikatoren und Unsicherheitsanmerkungen anstelle falscher Präzision
Behandlungslogik und Rest-Risikoentscheidungen (PIMS Governance-Sicht)
Verknüpfung der Bewertungsergebnisse mit Behandlungsoptionen und dokumentierter Begründung
Akzeptanz von Rest-Privatsphärerisiken: Entscheidungsrechte, Eskalation und Konsultationstrigger
DPIA-Dokumentationspaket und Nachverfolgbarkeit
Minimalsatz von DPIA-Aufzeichnungen und wie man diese pflegbar hält
Nachverfolgbarkeit von Bewertung → Entscheidung → Implementierungsnachweis (ohne Kontrolldesign zu duplizieren)
Technologie als Ermöglicher
Werkzeugmuster: Register, Arbeitsablauf, Versionierung und Änderungssignale
KI-unterstützte Zusammenfassung von Änderungsanforderungen und Nachweisen (unterstützt die Beurteilung, ersetzt sie nicht)
Workshop (fallbasiert)
Führen Sie eine DPIA-ähnliche Bewertung für ein realistisches Verarbeitungsänderungsszenario durch
Überprüfen Sie die Ergebnisse auf Klarheit der Logik, Entscheidungsrechte und Pflegbarkeit
Modul-ID
HAM-DP-S-02
Modultyp
Managementsystem
Domain:
Datenschutz
Zielgruppe:
Manager
Auditor
Verfügbar in:
Englisch
Dauer:
7 Std.
Listenpreis:
CHF 550
Exkl. MwSt. Die Mehrwertsteuer kann je nach Standort und Status des Kunden anfallen.
Was Sie erhalten
Was Sie lernen
Erklären Sie, wie ISO/IEC 27701:2025 erwartet, dass die Bewertung und Behandlung von Datenschutzrisiken innerhalb eines PIMS funktioniert
Definieren Sie DPIA-Auslöselogik und Verhältnismäßigkeitsregeln, die konsistent über die Organisation hinweg angewendet werden können
Strukturieren Sie eine DPIA-ähnliche Bewertung um echte Verarbeitungsaktivitäten, einschließlich gemeinsamer Dienste und Lieferanten
Anwenden eines disziplinierten Ansatzes zur Wirkungsschätzung auf Einzelpersonen und transparente Dokumentation von Annahmen
Übersetzen Sie die Ergebnisse der Bewertung in klare Entscheidungsfindung und Kriterien für die Akzeptanz des Restrisikos (Governance-Sicht)
Erstellen Sie ein wartbares DPIA-Dokumentationspaket mit Rückverfolgbarkeit von Bewertung zu Entscheidungen und Nachweisen
Richten Sie Überprüfungsauslöser und Verantwortlichkeiten ein, damit DPIAs aktuell bleiben, wenn sich die Verarbeitung ändert
Erklären Sie, wie ISO/IEC 27701:2025 erwartet, dass die Bewertung und Behandlung von Datenschutzrisiken innerhalb eines PIMS funktioniert
Definieren Sie DPIA-Auslöselogik und Verhältnismäßigkeitsregeln, die konsistent über die Organisation hinweg angewendet werden können
Strukturieren Sie eine DPIA-ähnliche Bewertung um echte Verarbeitungsaktivitäten, einschließlich gemeinsamer Dienste und Lieferanten
Anwenden eines disziplinierten Ansatzes zur Wirkungsschätzung auf Einzelpersonen und transparente Dokumentation von Annahmen
Übersetzen Sie die Ergebnisse der Bewertung in klare Entscheidungsfindung und Kriterien für die Akzeptanz des Restrisikos (Governance-Sicht)
Erstellen Sie ein wartbares DPIA-Dokumentationspaket mit Rückverfolgbarkeit von Bewertung zu Entscheidungen und Nachweisen
Richten Sie Überprüfungsauslöser und Verantwortlichkeiten ein, damit DPIAs aktuell bleiben, wenn sich die Verarbeitung ändert
Lernmaterialien
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Präsentationsfolien
Teilnehmerhandbuch
Zertifikat über die Teilnahme
Vorlagen & Werkzeuge
DPIA-Auslösungs- & Triage-Entscheidungsbaum
DPIA- / Datenschutzrisikobewertungsvorlage (aktivitätsbasiert)
Auswirkungsbegründungsarbeitsblatt (Schweregrad/Skala/Verwundbarkeit/Annahmen)
Protokoll zur Akzeptanz und Eskalation von verbleibenden Datenschutzrisiken
Risikobehandlungs-Nachvollziehbarkeitsmatrix (einschließlich Verbindung zur Kontrollauswahlbegründung)
DPIA-Überprüfung & Änderungs-Auslöser-Checkliste
Optionale KI-Eingabeaufforderungsgruppe für die Zusammenfassung von Änderungsanforderungen und die Erstellung von Aktualisierungsnotizen
DPIA-Auslösungs- & Triage-Entscheidungsbaum
DPIA- / Datenschutzrisikobewertungsvorlage (aktivitätsbasiert)
Auswirkungsbegründungsarbeitsblatt (Schweregrad/Skala/Verwundbarkeit/Annahmen)
Protokoll zur Akzeptanz und Eskalation von verbleibenden Datenschutzrisiken
Risikobehandlungs-Nachvollziehbarkeitsmatrix (einschließlich Verbindung zur Kontrollauswahlbegründung)
DPIA-Überprüfung & Änderungs-Auslöser-Checkliste
Optionale KI-Eingabeaufforderungsgruppe für die Zusammenfassung von Änderungsanforderungen und die Erstellung von Aktualisierungsnotizen
Voraussetzungen
Dieses Modul geht davon aus, dass die Teilnehmenden bereits über Folgendes verfügen:
Arbeitsverständnis der grundlegenden Datenschutzkonzepte (PII, Verarbeitungszwecke, Empfänger, Aufbewahrung, rechtmäßige Verarbeitungskonzepte)
Vertrautheit damit, wie ihre Organisation Verarbeitungstätigkeiten und Änderungen dokumentiert (auch wenn dies unvollständig sein mag)
Grundkenntnisse im Managementsystem (Rollen, dokumentierte Informationen, Governance-Routinen)
Dieses Modul geht davon aus, dass die Teilnehmenden bereits über Folgendes verfügen:
Arbeitsverständnis der grundlegenden Datenschutzkonzepte (PII, Verarbeitungszwecke, Empfänger, Aufbewahrung, rechtmäßige Verarbeitungskonzepte)
Vertrautheit damit, wie ihre Organisation Verarbeitungstätigkeiten und Änderungen dokumentiert (auch wenn dies unvollständig sein mag)
Grundkenntnisse im Managementsystem (Rollen, dokumentierte Informationen, Governance-Routinen)
Dringend empfohlene Vorbereitungsmodule
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Grundlagen des Risikomanagements: Konsistente Logik für Risiken und Chancen in Managementsystemen
Erlernen Sie die Grundlagen der Identifikation, Bewertung, Behandlung und Überwachung von Risiken und Chancen in Managementsystemen.
7h
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Dokumentation & Wissensgrundlagen: Dokumentierte Informationen, Aufzeichnungen und Organisationswissen
Grundlagen der Kontrolle von dokumentierten Informationen, Aufzeichnungen und Wissensspeicherung für Managementsysteme
7h
Hilfreiche Vorbereitungsmodule
Die folgenden Module bereiten auf ein optimales Lernerlebnis vor – sind jedoch nicht unbedingt erforderlich, um den Teilnehmern zu folgen.
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Systemgrundlagen: Kontext, Interessengruppen und Systemgrenzen
Verstehen Sie den organisatorischen Kontext, die Interessengruppen und die Systemgrenzen
7h
Kontinuierliches Lernen
Kontinuierliches Lernen
Kontinuierliches Lernen
Folgemodule
Nach Abschluss dieses Moduls sind die folgenden Module ideal, um Ihre Kompetenz weiter zu vertiefen.
Kontext, Rollen und Umfang der Verarbeitung personenbezogener Daten
Verstehen Sie den Kontext der Verarbeitung personenbezogener Daten (PII), die Rollen von Verantwortlichen und Auftragsverarbeitern sowie die praktischen Grenzen des Anwendungsbereichs von PIMS gemäß ISO/IEC 27701:2025.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Kontext, Rollen und Umfang der Verarbeitung personenbezogener Daten
Verstehen Sie den Kontext der Verarbeitung personenbezogener Daten (PII), die Rollen von Verantwortlichen und Auftragsverarbeitern sowie die praktischen Grenzen des Anwendungsbereichs von PIMS gemäß ISO/IEC 27701:2025.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Kontext, Rollen und Umfang der Verarbeitung personenbezogener Daten
Verstehen Sie den Kontext der Verarbeitung personenbezogener Daten (PII), die Rollen von Verantwortlichen und Auftragsverarbeitern sowie die praktischen Grenzen des Anwendungsbereichs von PIMS gemäß ISO/IEC 27701:2025.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Betriebliche Datenschutzkontrollen
Verstehen Sie rollenbasierte operative Datenschutzkontrollen und den Umgang mit Betroffenenrechten innerhalb eines ISO/IEC 27701:2025 PIMS.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Betriebliche Datenschutzkontrollen
Verstehen Sie rollenbasierte operative Datenschutzkontrollen und den Umgang mit Betroffenenrechten innerhalb eines ISO/IEC 27701:2025 PIMS.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Betriebliche Datenschutzkontrollen
Verstehen Sie rollenbasierte operative Datenschutzkontrollen und den Umgang mit Betroffenenrechten innerhalb eines ISO/IEC 27701:2025 PIMS.
Dauer
7h
Listenpreis
CHF550
Modul anzeigen
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.
Bereit, Ihre Managementsysteme zu verbessern?
Wir helfen Ihnen, ISO-Anforderungen wirksam in der täglichen Praxis umzusetzen.