Vorab ausgefüllte PIA-Vorlage, abgestimmt auf die TBS Directive on Privacy Impact Assessment, für kanadische Bundesbehörden, die AccessPoint bereitstellen

Last updated: July 12, 2026 by Steve

GC Datenschutz-Folgenabschätzung

Diese Seite ist eine öffentliche Zusammenfassung der Datenschutz-Folgenabschätzung (PIA), die vom Softwareherausgeber (Realizer Services Inc.) für AccessPoint erstellt wurde und auf die Directive on Privacy Impact Assessment des Treasury Board of Canada Secretariat (TBS) abgestimmt ist. Sie dokumentiert die Bestände personenbezogener Daten, die Informationsflüsse, die Datenschutzrisiken und die im Produkt integrierten Schutzmaßnahmen.

Die PIA des Herausgebers deckt die technischen und architektonischen Abschnitte ab und soll kanadische Bundesinstitutionen dabei unterstützen, ihre eigene PIA zu erstellen. Die bereitstellende Institution ergänzt die institutionellen Angaben (institutioneller Überblick, Aufbewahrungsfristen, Vereinbarungen zum Informationsaustausch und Freigabe) und reicht die vollständige PIA bei TBS und dem Office of the Privacy Commissioner (OPC) ein. Die vollständige PIA ist auf Anfrage für Kunden verfügbar – siehe den Schlusshinweis.

Die vollständige technische Architektur finden Sie auf der Seite Technische Architektur. Das ITSG-33-Sicherheitskontroll-Mapping finden Sie auf der Seite GC-Sicherheitskontrollen-Referenz.

Zweck und Geltungsbereich

AccessPoint ist eine Plattform für Informationszugang und Datenschutzmanagement, die staatliche Institutionen dabei unterstützt, Informationszugangs- und Datenschutzprogramme in Übereinstimmung mit dem Access to Information Act (ATIA), dem Privacy Act und gleichwertigen provinziellen/internationalen Regelungen zu verwalten. Ihre Hauptfunktion ist die Verwaltung von Anträgen auf Betroffenenauskunft/Informationszugang – der gesamte Lebenszyklus von der Erfassung über die Zuweisung, Dokumentensammlung, Prüfung und Schwärzung bis zur Antwortzusammenstellung.

Über die Antragsbearbeitung hinaus unterstützt AccessPoint auch das umgebende Datenschutzprogramm: Datenschutz-Folgenabschätzungen (PIA-/AIA-/Sicherheitsbewertungen), Management von Datenschutzvorfällen und -verletzungen (einschließlich Workflows zur Meldung von Datenschutzverletzungen), Beschwerden und Widersprüche, ein Datenschutz-Risikoregister und Verpflichtungsregister sowie Verzeichnisse von Verarbeitungstätigkeiten (ROPA). Diese Module verarbeiten zusätzliche Kategorien personenbezogener Daten und unterliegen denselben Schutzmaßnahmen, Rollen, dem Audit-Ledger und den Datenresidenz-Garantien wie der Kern der Antragsverwaltung.

Geschäftsprozess: Erfassung (ein SAO erstellt den Antrag) → Zuweisung (Custodians erhalten bereinigte Anweisungen ohne PII des Antragstellers) → Dokumentensammlung → Prüfung und Schwärzung → Antwortzusammenstellung → Abschluss (die Aufbewahrungsfrist beginnt).

Betroffene Personen: Antragsteller; Beschäftigte der Institution (SAOs, Administratoren), deren Aktionen im Audit-Trail erfasst werden; Custodians und Contributors (die keinen Zugriff auf PII des Antragstellers haben); Dritte, deren PI in geprüften Dokumenten erscheinen kann; betroffene Personen, die auf Kategorieebene in ROPA und Bewertungen beschrieben werden; von einem Datenschutzvorfall betroffene Personen; Beschwerdeführer und Beschwerdebeteiligte; sowie Konsultationskontakte.

Rechtsgrundlage: Erhebung und Nutzung stützen sich in erster Linie auf den ATIA (§§ 4, 6, 9, 19) und den Privacy Act (§§ 4, 5, 7, 8(2)(m) sowie das Auskunftsrecht des Einzelnen).

Inventar personenbezogener Daten

Erhobene und verarbeitete personenbezogene Daten

Datenelement Sensitivität Quelle Zweck Gespeichert in
Vollständiger Name des Antragstellers Mittel Antragsteller (über Erfassung) Antragsteller identifizieren, Korrespondenz Azure SQL
E-Mail-Adresse des Antragstellers Mittel Antragsteller E-Mail-Korrespondenz Azure SQL
Postanschrift des Antragstellers Mittel Antragsteller Postalische Zustellung der Antwort Azure SQL
Telefonnummer des Antragstellers Niedrig-Mittel Antragsteller Telefonische Korrespondenz Azure SQL
Organisation des Antragstellers Niedrig Antragsteller Statistische Berichterstattung Azure SQL
Antragsbeschreibung Mittel Antragsteller Suchumfang festlegen Azure SQL
Name der betroffenen Person Mittel-Hoch Antragsteller (über Erfassung) Die betroffene Person des Antrags identifizieren (kann vom Antragsteller abweichen) Azure SQL
Geburtsdatum der betroffenen Person Hoch Antragsteller (über Erfassung) Identitätsprüfung bei Datenschutzanträgen Azure SQL
Mitarbeiternamen, E-Mails, Entra-Objekt-IDs Niedrig Entra ID Benutzeridentifikation, Benachrichtigungen, Authentifizierung, Audit Azure SQL
Audit-Trail (Benutzeraktionen) Niedrig-Mittel Systemgeneriert Rechenschaftspflicht, Compliance Azure SQL
In Prüfung befindliche Dokumente Potenziell hoch Unterlagen der Institution Vorbereitung der ATIA-Antwort Azure Blob Storage
Geschwärzte Dokumentversionen Mittel Systemgeneriert Antwortzusammenstellung Azure Blob Storage
Attestierungsnachweise und elektronische Signaturen (eingegebener Name) Niedrig-Mittel Custodians Formale Freigabe der Vollständigkeit Azure SQL
IP-Adressen und User-Agent-Strings (Attestierung, Dokumentzugriff) Niedrig-Mittel Systemseitig erfasst Forensische Prüfung des Signatur-/Zugriffskontexts Azure SQL
Kommunikation mit dem Antragsteller Mittel SAO-Personal Korrespondenznachweise (Richtung, Methode, Datum, Notizen) Azure SQL
Delegationsnachweise Niedrig-Mittel SAO/Administrator Delegation der Verantwortung von Beauftragten Azure SQL
Konsultationsnachweise und Kontaktverzeichnis Niedrig-Mittel SAO-Personal Behördenübergreifende oder externe Konsultation Azure SQL
Kontaktverzeichnis der Antragsteller Mittel Antragsteller / Erfassungspersonal Wiederverwendbare Antragsteller-Identität; der Antrag verweist auf einen Kontakt, anstatt PII inline zu speichern Azure SQL
Details zu vom Vorfall betroffenen PI Potenziell hoch Datenschutz-/ATIP-Personal Vorfallsfakten, Kategorien betroffener PI, Schadensbewertung, Nachverfolgung der Verletzungsmeldung Azure SQL
Beschwerdebeteiligte und Korrespondenz Mittel Datenschutz-/ATIP-Personal Identität von Beschwerdeführern/Beteiligten und Bearbeitung der Beschwerde Azure SQL
Kategorien des Verzeichnisses von Verarbeitungstätigkeiten (ROPA) Niedrig-Mittel Datenschutzpersonal GDPR Article 30-Beschreibungen nach Kategorie von betroffenen Personen/Empfängern – keine Einzeldatensätze Azure SQL
Antworten auf Bewertungsfragebögen Niedrig-Mittel Datenschutzpersonal / Delegierte PIA-/AIA-/Sicherheitsinhalte; kann von einem Programm verarbeitete PI beschreiben Azure SQL
Erfasste Microsoft 365-Datensätze (Opt-in) Potenziell hoch Die eigenen M365-Daten des Custodians Vom Custodian erfasste E-Mail, Kalender, OneNote, Teams-Chats oder Copilot-Interaktionen als antwortrelevanter Datensatz Azure Blob Storage (konvertierte PDFs)
Hash-verkettetes Audit-Ledger Niedrig-Mittel Systemgeneriert Manipulationssicheres, ausschließlich anfügbares Ledger von Aktionen über alle Module hinweg Azure SQL

NICHT erhobene personenbezogene Daten

AccessPoint erhebt oder verarbeitet nicht: Sozialversicherungsnummern; Finanzinformationen (Bankkonten, Kreditkarten); Gesundheits- oder Krankenakten als strukturierte Daten (sie können in geprüften Dokumenten erscheinen); biometrische Daten; Vorstrafeninformationen; Standortdaten; oder Cookies/Tracking-Identifikatoren.

Hinweis: IP-Adressen und User-Agent-Strings werden nur in begrenzten Kontexten (Attestierungssignatur und Protokollierung von Dokumentzugriffen) zu forensischen Prüfungszwecken erfasst, wie oben aufgeführt. Allgemeines Surfverhalten und Geräte-Fingerprinting werden nicht erfasst.

Sensible personenbezogene Daten in Dokumenten

Während des ATIA-Prozesses gesammelte Dokumente können jede Kategorie personenbezogener Daten enthalten, einschließlich sensibler PI über Dritte. AccessPoint analysiert oder indexiert den Dokumentinhalt nicht – es speichert und zeigt Vorschauen an und erleichtert die Schwärzung. Die Klassifizierung und Ausnahmebehandlung von PI innerhalb von Dokumenten erfolgt durch geschulte SAOs mithilfe der integrierten Prüfwerkzeuge.

Microsoft 365-Datensatzerfassung (Opt-in, durch Feature-Toggle gesteuert): Ein Custodian kann seine eigenen Microsoft 365-Datensätze – Outlook-E-Mail, Outlook-Kalender, OneNote, Teams-Chats, Microsoft Lists oder Copilot-Interaktionsverlauf – als antwortrelevanten Datensatz erfassen. Die Erfassung verwendet stets die eigene delegierte Identität des angemeldeten Benutzers und ist auf die eigenen Daten dieses Benutzers beschränkt (der Copilot-Abruf erfolgt nur anwendungsbasiert (app-only), da keine delegierte Graph-Berechtigung existiert, ist aber serverseitig stets auf die eigene Entra-Objekt-ID des angemeldeten Benutzers beschränkt – niemals mandantenweit). Erfasste Inhalte werden in ein PDF gerendert und durchlaufen den normalen Prüf-/Schwärzungs-Workflow. Die Kalendererfassung schließt standardmäßig als Privat/Persönlich/Vertraulich markierte Elemente aus.

Analyse des Flusses personenbezogener Daten

Phase Zusammenfassung
Erhebung PI werden gemäß ATIA § 6 (die Antragstellung erfordert Namen und Adresse) und Privacy Act § 4 (Erhebung im Zusammenhang mit einem laufenden Programm) erhoben. Es werden nur die zur Bearbeitung des Antrags erforderlichen PI erhoben, direkt vom Antragsteller und durch SAO-Personal eingegeben. Die Felder sind durch die Institution konfigurierbar.
Nutzung PI des Antragstellers werden ausschließlich zur Bearbeitung des ATIA-/Privacy Act-Antrags verwendet. Nur die Rollen Administrator, SAO und Reviewer können PII des Antragstellers einsehen – Custodians und Contributors sehen sie niemals (serverseitig durch die PII-Filter-Middleware durchgesetzt). Es findet keine automatisierte Entscheidungsfindung, kein Profiling und keine algorithmische Verarbeitung statt; alle Entscheidungen werden von geschultem Personal getroffen. Statistische Berichte sind ausschließlich aggregiert.
Offenlegung Das Antwortpaket wird dem Antragsteller bereitgestellt (ATIA § 7). Die interne Offenlegung gegenüber SAO-/Reviewer-Personal ist rollengesteuert; Custodians/Contributors erhalten ausschließlich bereinigte Anweisungen. E-Mail- und Teams-Benachrichtigungen an Custodians/Contributors enthalten keine PI des Antragstellers. Der Herausgeber erhält nur die Mandanten-ID (Lizenzvalidierung), Benachrichtigungsmetadaten (Empfänger-Benutzer-ID, Aktivitätstyp, Anzeigename des Akteurs, Antragsnummer, Vorschau-/Thementext, Verweis auf zugehörigen Datensatz) und Installationsberichte von Konfigurationspaketen – keine PI des Antragstellers. Microsoft verarbeitet Daten als Unterauftragsverarbeiter innerhalb des institutionseigenen Mandanten.
Aufbewahrung und Entsorgung Eine integrierte Funktion zur Aufbewahrungsprüfung wendet konfigurierbare Aufbewahrungsfristen je Antragstyp an. Die Löschung entfernt Antragsdatensätze, Dokumente, Zuweisungen, Aufgaben, Attestierungen und den Audit-Verlauf dauerhaft und wird in der Tabelle RetentionPurgeLog protokolliert. Automatisierte Backups von Azure SQL bewahren Daten je nach Dienstebene 7–35 Tage auf (konfigurierbare Langzeitaufbewahrung).
Richtigkeit PI des Antragstellers werden aus dem ursprünglichen Antragsformular eingegeben; PI von Beschäftigten stammen aus Entra ID und werden bei jeder Anmeldung aktualisiert. PI werden so gespeichert, wie sie eingegeben wurden – das System transformiert, folgert oder leitet keine zusätzlichen PI ab.

Der Benachrichtigungspfad veranschaulicht die Kontrolle „keine PI des Antragstellers an den Herausgeber":

Event (e.g., assignment created)
        │
        ▼
  API Notification Dispatch Service
        │
        ├── PII Filter: strips requestor PI for Custodian/Contributor templates
        │
        ├──► Email: Graph Mail.Send → Institution's shared mailbox → Recipient
        │    (via managed identity or institution's app registration)
        │
        └──► Teams: API → Realizer Platform API → Graph TeamsActivity.Send → Recipient
             (sends: user ID, activity type, actor name, request number, preview text — NO requestor PI)

Datenschutz-Risikobewertung

Risiko Wahrscheinlichkeit Auswirkung Minderung Restrisiko
Unbefugter Zugriff auf PII des Antragstellers Gering Mittel Sechsstufiges RBAC mit serverseitiger Durchsetzung; Custodians/Contributors architektonisch von PII ausgeschlossen; Entra ID MFA; Rollenprüfungen bei jeder Anfrage. Gering
PI-Verletzung durch Dokumentexposition Gering-Mittel Mittel-Hoch Verschlüsselung im Ruhezustand (TDE, AES-256); rollenbasierte Autorisierung; kein öffentlicher Dokumentzugriff; Schwärzungswerkzeuge entfernen PI vor der Antwortzusammenstellung. Gering-Mittel
PI in Benachrichtigungen Sehr gering Gering Custodian-/Contributor-Vorlagen entfernen PII automatisch; SAO-Benachrichtigungen enthalten die Antragsnummer, aber nicht die Identität des Antragstellers; Teams-Benachrichtigungen enthalten nur den Benachrichtigungstyp, die Antragsnummer und den Aufgaben-/Zuweisungsnamen. Sehr gering
PI-Übertragung an den Herausgeber Sehr gering Gering Der Herausgeber erhält nur die Mandanten-ID (Lizenz) und Benachrichtigungsmetadaten – keine PI, Dokumente oder Antragsdetails – und hat keinen dauerhaften Zugriff auf die Azure-Ressourcen der Institution. Sehr gering
PI außerhalb der kanadischen Jurisdiktion Konfigurationsabhängig Mittel Die Daten werden im Azure-Abonnement der Institution in der von ihr gewählten Region gespeichert (Canada Central/East empfohlen); der Microsoft Cloud Agreement regelt die Datenresidenz. Von der Institution zu bewerten
Unzureichende Aufbewahrung/Entsorgung Gering-Mittel Mittel Integrierte Aufbewahrungsprüfung mit konfigurierbaren Fristen und Löschprotokollierung; die Institution stimmt die Fristenpläne mit den Aufbewahrungs- und Kassationsvorgaben (disposition authorities) von Library and Archives Canada ab. Gering (bei ordnungsgemäßer Konfiguration)
Insider-Bedrohung (Missbrauch durch autorisierte Benutzer) Gering Mittel Umfassender Audit-Trail mit Benutzerzuordnung und Zeitstempeln; rollenbasierter Zugriff begrenzt die Exposition; Administratoren steuern die Rollenzuweisungen. Gering

Risikobereichs-Scores

Gemäß dem standardisierten TBS-Rahmenwerk:

Risikobereich Score Begründung
Art des Programms oder der Aktivität 2 Verwaltung von Programm/Aktivität (ATIA-Verwaltung)
Art der personenbezogenen Daten 3 Kontaktinformationen und potenziell sensible Unterlagen in Dokumenten
Programmpartner 2 Microsoft (Unterauftragsverarbeiter); Realizer (kein PI-Zugriff)
Dauer des Programms 4 Langfristige/fortlaufende gesetzliche Verpflichtung
Betroffenenkreis des Programms 3 Externe Personen, die gesetzliche Rechte ausüben
Übertragung personenbezogener Daten 2 Verschlüsselte Cloud-Infrastruktur innerhalb der kanadischen Jurisdiktion
Technologie und Datenschutz 2 Standard-Webanwendung – keine KI, Überwachung oder Biometrie
Potenzielle Auswirkung auf die Person 2-3 Mögliche Peinlichkeit oder Reputationsschaden bei Offenlegung der Identität des Antragstellers

Gesamtrisikoniveau: Moderat – üblich für ein Verwaltungsprogramm, das PI externer Personen verarbeitet, gemindert durch starke technische Kontrollen (Verschlüsselung, RBAC, PII-Filterung, Datensouveränität).

Technische und administrative Schutzmaßnahmen

Authentifizierung und Zugriffssteuerung

Schutzmaßnahme Umsetzung
Authentifizierung Microsoft Entra ID mit JWT-Bearer-Token. Keine lokalen Benutzerkonten oder Passwörter.
Multi-Faktor-Authentifizierung Durch die Conditional Access-Richtlinien der Institution in Entra ID erzwungen.
Continuous Access Evaluation Unterstützt – die Token-Validierung erfolgt bei jeder API-Anfrage.
Rollenbasierte Zugriffssteuerung Sechs Rollen, serverseitig an allen API-Endpunkten durchgesetzt.
PII-Filterung Serverseitige Middleware entfernt PI des Antragstellers aus Antworten für die Rollen Custodian, Contributor und Reader; sie kann vom Client nicht umgangen werden.
Sitzungsverwaltung Token-basiert; Lebensdauer durch Entra ID-Richtlinien geregelt.
Bootstrap des ersten Benutzers Dem ersten Benutzer werden die Rollen Administrator und SAO zugewiesen. Es existieren keine Standard- oder gemeinsam genutzten Anmeldeinformationen.

Verschlüsselung

Ebene Umsetzung
Bei der Übertragung TLS 1.3 als Minimum am Eingangspunkt des App Service; TLS 1.2+ bei Azure SQL und Blob Storage; FTPS deaktiviert.
Im Ruhezustand – Datenbank Azure SQL Transparent Data Encryption (TDE) mit von Microsoft verwalteten Schlüsseln.
Im Ruhezustand – Dokumente Azure Blob Storage-Verschlüsselung mit AES-256; kundenverwaltete Schlüssel (CMK) verfügbar.
Im Ruhezustand – Geheimnisse Azure Key Vault, Zugriff über verwaltete Identität.

Netzwerksicherheit

Schutzmaßnahme Umsetzung
Nur HTTPS Sämtlicher HTTP-Verkehr wird abgelehnt; HTTP/2 aktiviert.
CORS Auf die SharePoint-Domäne der Institution beschränkt.
Ratenbegrenzung 600 Anfragen/Minute pro authentifiziertem Benutzer.
Sicherheitsheader X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy.
Verwaltungsebene SCM/FTP-Basisauthentifizierung deaktiviert; Verwaltung ausschließlich über das Azure-Portal mit Entra ID + MFA.

Überwachung und Audit

Schutzmaßnahme Umsetzung
Anwendungs-Audit-Trail Alle Erstellungs-/Aktualisierungs-/Löschaktionen werden mit Benutzer-ID, Zeitstempel, geändertem Feld und alten/neuen Werten erfasst.
Manipulationssicheres Audit-Ledger Ein hash-verkettetes (SHA-256), ausschließlich anfügbares Ledger erfasst Aktionen über alle Module hinweg; die Integrität ist serverseitig überprüfbar, und für einen Antrag kann ein gerichtsverwertbares Beweispaket exportiert werden.
Dokumentzugriffsprotokoll Vorschau- und Download-Ereignisse werden mit Benutzer-ID, Zeitstempel, IP-Adresse und User-Agent erfasst. Nur Einfügen (insert-only).
Aufbewahrungs-Löschprotokoll Alle Löschvorgänge werden mit Benutzerzuordnung erfasst.
Anwendungsüberwachung Azure Application Insights erfasst HTTP-Anfragen, Ausnahmen und Abhängigkeitsaufrufe (90 Tage Aufbewahrung).
Warnungsregeln Konfigurierbare Metrikwarnungen für HTTP-5xx-Fehler und hohe Latenz.
Log Analytics Zentralisierte Protokollspeicherung mit KQL-Abfragefunktion für Sicherheitsuntersuchungen.

Administrative Schutzmaßnahmen

Administratoren weisen Rollen über die Einstellungen zu; Rollenänderungen werden sofort wirksam. Eine Application Access Policy beschränkt Mail.Send ausschließlich auf das dafür vorgesehene freigegebene Postfach. Konfigurationsänderungen werden über versionierte Konfigurationspakete mit Installations-Audit-Protokollierung angewendet. Mitarbeiterschulungen, die Richtlinie zur akzeptablen Nutzung und Verfahren zur Reaktion auf Datenschutzverletzungen werden von der Institution festgelegt.

Drittanbieterdienste und Datenweitergabe

Dienst Rolle Erhaltene PI Datenstandort
Microsoft Azure Unterauftragsverarbeiter (IaaS: App Service, SQL, Blob, Key Vault, Application Insights) Alle Anwendungsdaten Azure-Region der Institution
Microsoft 365 Auftragsverarbeiter (Graph Mail.Send, Teams-Aktivitätsfeed) und optional eine Quelle für vom Custodian erfasste Datensätze Inhalte von E-Mail-/Teams-Benachrichtigungen; bei Opt-in-Erfassung die eigenen M365-Inhalte dieses Custodians M365-Mandant der Institution
Realizer Services (Herausgeber) Softwareherausgeber – keine Auftragsverarbeiterrolle für Kunden-PI Keine – nur Mandanten-ID + Benachrichtigungsmetadaten + Installationsberichte von Konfigurationspaketen Azure des Herausgebers (Kanada)
Syncfusion Eingebettete Bibliothek (kein Dienst) Keine – die Konvertierung erfolgt innerhalb des App Service der Institution App Service der Institution

Kernaussage: Es werden keine PI des Antragstellers, keine Dokumentinhalte und keine Antragsdetails an Realizer Services oder eine externe Partei übertragen. Die gesamte Dokumentverarbeitung (Konvertierung, Schwärzung) erfolgt innerhalb des institutionseigenen App Service.

Anwendbare Personal Information Banks

PIB Registrierungsnummer Beschreibung
Access to Information Act and Privacy Act Requests PSU 901 Unterlagen zu ATIP-Anträgen
Employee Personnel Records PSE 901 Mitarbeiternamen und -rollen im Audit-Trail

Institutionen sollten die anwendbaren PIBs bestätigen und prüfen, ob für ihre spezifische Bereitstellung neue PIBs erforderlich sind.

Verfügbarkeit der vollständigen PIA

Die vollständige Datenschutz-Folgenabschätzung – einschließlich des vollständigen Inventars personenbezogener Daten, der detaillierten Analyse von Erhebung/Nutzung/Offenlegung/Aufbewahrung/Richtigkeit, der Rechtsgrundlagen und der Datenflussdiagramme – ist auf Anfrage für Kunden und Interessenten verfügbar. Bereitstellende Institutionen nutzen sie als technische und architektonische Grundlage für ihre eigene PIA und ergänzen den institutionellen Überblick, die Aufbewahrungsfristen, die Vereinbarungen zum Informationsaustausch und die Freigabe, bevor sie diese bei TBS und dem Office of the Privacy Commissioner einreichen.