|
|
# Einführung in die Benutzung von SecDoc
|
|
|
|
|
|
## Status von Dokumentationen
|
|
|
[[_TOC_]]
|
|
|
|
|
|
### In Bearbeitung
|
|
|
Auf dieser und den folgenden Seiten finden Sie Informationen rund um die in SecDoc genutzten Begrifflichkeiten, die grundlegende Benutzung der Anwendung und Antworten auf häufige Fragen.
|
|
|
|
|
|
## Erklärungen zu den genutzten Begrifflichkeiten
|
|
|
|
|
|
### Dokumentationen
|
|
|
|
|
|
Dokumentationen stellen den Kern von SecDoc dar. Es können verschiedene Ebenen (Typen) von Dokumentationen angelegt werden, je nachdem was dokumentiert werden soll:
|
|
|
|
|
|
#### Verarbeitungstätigkeiten
|
|
|
|
|
|
Auf der obersten Ebene ist eine personenbezogene Verarbeitung im datenschutzrechtlichen Sinne angesiedelt. Diese Ebene entspricht dem, was vielfach als ein "Fachverfahren" oder "Geschäftsprozess" mit einem bestimmten funktionalen Ablauf der Verarbeitungstätigkeit verstanden wird (z.B. Immatrikulation). Auf dieser Ebene einer Verarbeitung werden die für eine Verarbeitungstätigkeit erforderlichen personenbezogenen Daten sowie die gesetzlichen Anforderungen dokumentiert. Der Verantwortliche definiert wie die personenbezogenen Daten verwaltet werden und bestimmt die zu verwendenden IT-Systeme und Prozesse. Wesentlich für die datenschutzrechtlich angemessen funktionale Gestaltung dieser Ebene ist die Bestimmung des Zwecks oder der Zwecke der Verarbeitungstätigkeit.
|
|
|
|
|
|
**Beispiele:** E-Mail Betrieb, Identitätsverwaltung, Immatrikulation, Newsletterdienst, Prüfungsverwaltung, Schulungsveranstaltung
|
|
|
|
|
|
#### Fachapplikationen
|
|
|
|
|
|
Auf der nächsten Ebene ist die praktische Umsetzung der Verarbeitung und des Zwecks angesiedelt. Diese umfasst zum einen die Rolle der Sachbearbeitung sowie die IT- Applikation(en), die sich genauer auch als "Fachapplikation eines Fachverfahrens" bezeichnen lässt (z.B. SAP HCM). Die Sachbearbeitung und die Fachapplikation müssen die funktionalen und (datenschutz-)rechtlichen Anforderungen, denen die Verarbeitung unterliegt, vollständig erfüllen. Die Fachapplikation muss die Zweckbindung sicherstellen. Die Applikation muss die Verarbeitung zusätzlicher Daten oder zusätzliche Verarbeitungsformen ausschließen, selbst wenn sie funktional besonders komfortabel sein mögen. Damit soll das Risiko minimiert werden, dass sie die Zweckbindung unterlaufen oder der Zweck überdehnt wird.
|
|
|
|
|
|
**Beispiele:** Active Directory, CMS, Exchange, SAP
|
|
|
|
|
|
#### IT-Verfahren
|
|
|
|
|
|
Auf der Ebene der IT-Verfahren ist die IT-Infrastruktur angesiedelt, die Funktionen bereitstellt, die eine Fachapplikation nutzt. Zu dieser Ebene an "technischen Services" zählen Betriebssysteme, virtuelle Systeme, Datenbanken, Authentifizierungs- und Autorisierungssysteme, Router und Firewalls, Speichersysteme wie SAN oder NAS, CPU-Cluster, sowie die Kommunikationsinfrastruktur einer Organisation wie das Telefon, das LAN oder der Internetzugang. Auch hier gilt, dass diese Systeme innerhalb einer Verarbeitungstätigkeit jeweils so zu gestalten und zu nutzen sind, dass die Zweckbindung erhalten bleibt. Damit die Zweckbindung bzw. Zwecktrennung auf dieser Ebene durchgesetzt werden kann, müssen typischerweise technische und organisatorische Maßnahmen getroffen werden.
|
|
|
|
|
|
**Beispiele:** Datenbankserver, ESX, Speichersysteme, Router
|
|
|
|
|
|
#### Übergreifende Maßnahmen
|
|
|
|
|
|
### Vorlagen
|
|
|
|
|
|
Vorlagen sind abgespeckte Dokumentationen, die primär dafür da sind, um vorausgefüllte technische und organisatorische Maßnahmen für Nutzer anzubieten, sodass bei gleichartigen Dokumentationen die Maßnahmen nur einmal dokumentiert werden müssen. Vorlagen können auf der "Maßnahmen"-Seite ausgewählt werden und ersetzen das manuelle Auswählen und Bearbeiten von Bausteinen und Maßnahmen. Wird die Vorlage aktualisiert, sind die Änderungen automatisch in allen Dokumentationen sichtbar, die diese Vorlage verwenden.
|
|
|
|
|
|
### Status einer Dokumentation
|
|
|
|
|
|
Jede Dokumentation hat einen aktuellen Status hinterlegt. Dafür gibt es die folgenden Werte:
|
|
|
|
|
|
* **In Bearbeitung:**
|
|
|
Die Dokumentation wird noch aktiv bearbeitet oder die Verarbeitungstätigkeit/die Fachapplikation/das IT-Verfahren wurde noch nicht in Betrieb genommen. In diesem Zustand können nur Entwurfs-PDFs erzeugt werden und die Dokumentation taucht unter Umständen noch nicht in der Gesamt-PDF aller Dokumentationen auf, solange noch keine abgeschlossene Version existierte.
|
|
|
|
|
|
### In Betrieb
|
|
|
Die Dokumentation wird aktuell als fertig angesehen und die Verarbeitungstätigkeit/die Fachapplikation/das IT-Verfahren ist in Betrieb. Wird eine Dokumentatione abgeschlossen, werden die eingetragenen Ansprechpartner darüber informiert. Die Dokumentation ist Teil der Gesamt-PDF aller Dokumentationen.
|
|
|
* **Abgeschlossen/In Betrieb:**
|
|
|
Die Dokumentation wird aktuell als fertig angesehen und die Verarbeitungstätigkeit/die Fachapplikation/das IT-Verfahren ist in Betrieb. Wird eine Dokumentatione abgeschlossen, werden die eingetragenen Ansprechpartner darüber informiert. Es wird eine PDF-Version der Dokumentation erstellt, die an die Ansprechpartner verschickt wird oder heruntergeladen werden kann. Darüber hinaus wird eine Datenschutzerklärung im PDF-Format und als Include-Baustein für Webseiten angelegt.
|
|
|
|
|
|
Wird die Dokumentation erneut bearbeitet, wird der Status zurück auf "In Bearbeitung" gesetzt. Die letzte abgeschlossene Version bleibt als PDF gespeichert und einsehbar, bis die Dokumentation erneut abgeschlossen wird. |
|
|
\ No newline at end of file |
|
|
Um eine Dokumentation abzuschließen, muss auf der letzten Seite der "Abschluss"-Knopf benutzt werden. Wird die Dokumentation danach erneut bearbeitet, wird der Status zurück auf "In Bearbeitung" gesetzt. Die letzte abgeschlossene Version bleibt als PDF gespeichert und einsehbar, bis die Dokumentation erneut abgeschlossen wird. |
|
|
\ No newline at end of file |