Datenschutz-Management Lösungsübersicht

  • Freigeben Version: Australia
  • Aktualisiert 12. März 2026
  • 4 Minuten Lesedauer

    • Die Datenschutz-Management Die Lösung bietet Ihnen ein Framework zur Verwaltung Ihrer datenschutzspezifischen Bibliotheken, z. B. Zitate, Richtlinien, Kontrollziele, Risikobeschreibungen, Datenschutzauswirkungsbewertungen, und Datenschutzrisikobewertungen. Außerdem werden Verarbeitungsaktivitätsdatensätze bereitgestellt, um Datenschutzrisiken und Compliance-Situationen nachzuverfolgen.

    Bevor Sie Ihr Datenschutzprogramm planen, bestätigen Sie, dass Sie die Datenschutzbibliotheken gemäß den Datenschutzbestimmungen einrichten, die Sie implementieren möchten. Weitere Informationen zum Bibliothekssetup finden Sie unter Verwalten Sie Datenschutz-Management Bibliothek.

    Die folgende Abbildung zeigt Datenschutz-Management Lösung.
    Abbildung : 1. Übersicht über die Datenschutzverwaltungslösung
    Übersicht über die Datenschutzverwaltungslösung.

    Die Datenschutz-Management Die Lösung wird wie folgt beschrieben.

    Bibliothek erstellen

    Als Datenschutzmanager mit der Rolle sn_privacy.Manager oder Datenschutzadministrator mit der Rolle sn_privacy.admin müssen Sie Ihre Bibliotheken wie folgt einrichten.
    • Datenschutzauswirkungsbewertungen
    • Persönliche Informationsobjekte
    • Datenschutzbestimmungen, regulatorische Dokumente, Bezugsvermerke und Kontrollziele.
    • Datenschutzrichtlinien und -Verfahren
    • Datenschutzrisikoerklärungen

    Datenschutzauswirkungsbewertungen

    Im Rahmen der Einrichtung eines robusten Datenschutzprogramms müssen Datenschutzmanager zuerst den Bestand von Organisations-Assets identifizieren und dokumentieren, die personenbezogene Daten verarbeiten. Dieser grundlegende Schritt umfasst die Erkennung und Klassifizierung von Geschäftsprozessen, Anwendungen, Lieferanten und Services, die personenbezogene Daten verarbeiten. Die folgenden Ansätze beschreiben, wie diese Bestände mithilfe von Entitätstypen, Überprüfungsbewertungen und systemgesteuerten Einblicken systematisch erkannt, validiert und dokumentiert werden.

    1. Bestand erkennen: Als Datenschutzmanager mit der Rolle sn_privacy.Manager , Identifizieren oder erkennen Sie den Bestand, z. B. Geschäftsprozesse, Geschäftsanwendungen, Lieferanten und Business-Services, die personenbezogene Daten verarbeiten. Dieser gesamte Bestand wird im jeweiligen gespeichert Configuration Management Database (CMDB) Tabellen. Die jeweiligen Geschäftsinhaber verwalten den Bestand. Verwenden Sie als Datenschutzmanager die Funktion „Entitätstypen“, und erstellen Sie eine Entität für jeden Bestandsdatensatz. Weitere Informationen zu Entitätstypen finden Sie unter Erkunden Sie die Entitäten. In dieser Phase können Sie basierend auf der Discovery-Methode einen der folgenden Ansätze verwenden, um Verarbeitungsaktivitäten zu erstellen.
      1. Suchen Sie Geschäftsprozesse oder Anwendungen, die personenbezogene Daten verarbeiten: Verwenden Sie diesen Ansatz, wenn Geschäftsprozesse, Anwendungen, Services oder Lieferanten Informationsobjekten zugeordnet sind. Suchen Sie mithilfe der Entitätstypfunktionalität nach Entitäten, die [PI] Informationsobjekte verarbeiten. Erstellen Sie basierend auf den Suchergebnissen direkt die Verarbeitungsaktivitätsdatensätze. Dieser Ansatz wird nur verwendet, wenn die Geschäftsinhaber den Bestand Informationsobjekten zuordnen. Weitere Informationen finden Sie unter Entitätsbereichsdefinition zum Planen eines Datenschutzprogramms.
      2. Datenschutzüberprüfungsbewertungen senden: Verwenden Sie diesen Ansatz, wenn Informationsobjekte nicht mit dem Bestand verknüpft sind, z. B. Geschäftsanwendungen und -Prozesse. Senden Sie bei diesem Ansatz Bewertungen der Datenschutzüberprüfung an die jeweiligen Geschäftsinhaber. Diese Screening-Bewertungen enthalten grundlegende Fragen. Einige Beispiele für die Fragen:
        • Verarbeiten Sie personenbezogene Daten als Teil des Geschäftsprozesses oder der Anwendung, für die Sie verantwortlich sind?
        • Welche Art von personenbezogenen Daten verarbeiten Sie? Zum Beispiel E-Mail, Telefon und Adresse.
        Wenn die Bewertungsantworten feststellen, dass personenbezogene Daten vorhanden sind, werden automatisch Verarbeitungsaktivitäten erstellt.
    2. Geschäftsanwender können proaktiv Datenschutzauswirkungsbewertungen für neue Anwendungen und Prozesse über übermitteln Mitarbeiter-Center.

    Verwalten und aktualisieren Sie die Verarbeitungsaktivitäten

    1. Verarbeitungsaktivität erstellen oder aktualisieren: Senden Sie als Datenschutzanalyst mit der Rolle „sn_privacy.Analyst“ eine Datenschutzauswirkungsbewertung (Privacy Impact Assessment, PIA) an die Verarbeitungsaktivität oder Geschäftsinhaber, nachdem eine Verarbeitungsaktivität erstellt wurde. Die Datenschutzauswirkungsbewertung hilft zu verstehen, warum und wie die Verarbeitungsaktivität personenbezogene Daten verarbeitet. Die Bewertung erfasst Informationen wie die Begründung für die Speicherung von PI-Daten, den Austausch von PI-Daten mit anderen Systemen und die Sicherheit von PI-Daten.
    2. PIA senden oder automatisch initiieren: Senden Sie als Datenschutzanalyst eine Datenschutzauswirkungsbewertung (PIA) von einer Verarbeitungsaktivität, wenn Sie weitere Informationen erfassen müssen. Alternativ können Sie die Bewertungen auch automatisch basierend auf der vom Datenschutzmanager und dem Datenschutzadministrator definierten Häufigkeit des Datenschutzprogramms initiieren. Ein Zeitplan für die automatische Initiierung kann mit erstellt werden ServiceNow AI Platform Fähigkeiten.
    3. Wenden Sie Risiken und Steuerungen im Zusammenhang mit der Verarbeitungsaktivität an: Nachdem Sie als Datenschutzanalyst verstanden haben, wie personenbezogene Daten in der Verarbeitungsaktivität verwendet werden, werden die erforderlichen Risikobeschreibungen, Steuerungen, Richtlinien und regulatorischen Dokumente basierend auf den Bewertungsantworten automatisch auf die Verarbeitungsaktivitäten angewendet. Weitere Informationen zum Konfigurieren von Bewertungen finden Sie unter Erstellen Sie eine Bewertungsvorlage . Nachdem die Steuerungen hinzugefügt wurden, kann der Datenschutzanalyst die Steuerungen überprüfen und die Steuerungen nach Bedarf hinzufügen oder entfernen.
    4. Kontrollnachweise senden: Nachdem der endgültige Satz von Steuerungen der Verarbeitungsaktivität zugeordnet wurde, werden die Kontrollnachweise an die Besitzer des Geschäftsprozesses oder die Anwendungsbesitzer gesendet, um die Nachweise für jede angewendete Kontrolle zu sammeln. Wenn die Geschäftsinhaber auf Kontrollnachweise mit Nachweisen für jede Kontrolle reagieren, werden konforme und nicht konforme Kontrollen identifiziert. Diese Identifizierung bestimmt die Compliance-Situation der Verarbeitungsaktivität.
    5. Probleme melden und überwachen: Probleme werden automatisch für nicht konforme Steuerungen erstellt und ihren jeweiligen Geschäftsinhabern zugewiesen. Der Datenschutzanalyst überwacht die Probleme.
    6. Probleme verwalten: Um Probleme zu verwalten, können Geschäftsinhaber eine der folgenden Aktionen ausführen:
      • Problem lösen: Durch die Lösung des Problems wird die Steuerung konform.
      • Richtlinienausnahme auslösen: Für ein Problem, das nicht sofort gelöst werden kann, wird eine Ausnahme ausgelöst. Datenschutzanalysten können die Richtlinienausnahmen überprüfen und die Ausnahmen basierend auf der Relevanz des Problems entweder akzeptieren oder ablehnen.
    7. Kontinuierliche Steuerungsüberwachung: Datenschutzanalysten überwachen kontinuierlich die Kontrollen einer Verarbeitungsaktivität mithilfe der Indikatorfunktion. Weitere Informationen zu Indikatoren finden Sie unter Risikoindikatoren, Kontrollindikatoren und Indikatorvorlagen .

    Bewerten Sie die Relevanz von Verarbeitungsaktivitäten

    Die Relevanzpunktzahl gibt die Risikolage auf Ebene der Verarbeitungsaktivität an, indem die Faktoren auf Ebene der Verarbeitungsaktivität bewertet werden. Wenn eine Verarbeitungsaktivität erstellt oder aktualisiert wird, wird eine Relevanzbewertung für die Verarbeitungsaktivität durchgeführt, um die allgemeine Risikopunktzahl oder die Relevanzpunktzahl zu verstehen.

    Führen Sie Datenschutzrisikobewertungen durch

    Datenschutzrisikobewertungen sind detaillierte Bewertungen, die durchgeführt werden, wenn die Kritikalitätspunktzahl hoch ist. Bewerten Sie jedes Risiko, das der Verarbeitungsaktivität zugeordnet ist, und kennen Sie die aggregierte Risikopunktzahl für die Verarbeitungsaktivität. Nachdem Sie die Datenschutzrisiken bewertet haben, können Sie die Datenschutzrisikosituation auf der Risiko-Heatmap im Abschnitt „Übersicht“ anzeigen. Die Heatmaps bieten detaillierte Informationen zu Ihren inhärenten und Restrisiken.