Arbeitspakete

Phase 1: Vorbereitungs- und Konzeptphase

Arbeitspaket 1: Update Status von DSFA/DPIA in Europa

Gegenstand dieses ersten Arbeitspaketes ist es, sich einen Überblick über die aktuellen Entwicklungen rund um die Definition von DSFAen seit Verabschiedung der Datenschutz-Grundverordnung zu verschaffen. Dazu werden systematisch die Arbeiten der nationalen Datenschutzaufsichtsbehörden, Industrieverbänden und anderen Akteuren erfasst und in Hinblick darauf bewertet, wo es ggf. Entwicklungen gibt, die im Rahmen des beantragten Vorhabens berücksichtigt werden sollten. Dies betrifft erstens die Interpretation der rechtlichen Vorgaben der DS-GVO, zweitens die Vorgehensweisen bei der Durchführung einer DSFA und drittens die Ansätze zu einer technischen Unterstützung von DSFAen.

Arbeitspaket 2: Konkretisierung von Methodik und Bewertungskriterien

Im Rahmen des zweiten Arbeitspakets wird das DSFA-Konzept weiter konkretisiert und die Durchführung der praktischen Tests vorbereitet.

  1. Ausführliche Definition der zu betrachtenden Anwendungsfälle: Dies erlaubt bereits eine bessere Fokussierung der weiteren Schritte in Hinblick auf die Validierungstests. Darüber kann auf dieser Basis eine gezielte Auswahl von Institutionen (Unternehmen und Behörden) für die Tests erfolgen.
  2. Operationalisierung des Bewertungsschritts: Entwicklung von detaillierten Kriterien für die Beurteilung der Risiken für sechs zentrale Schutzziele. Dabei soll zum einen das von der Datenschutzkonferenz im Herbst 2015 in einer Entwurfsversion empfohlene Standard-Datenschutz-Modell so weit als möglich integriert werden, um hier von den langjährigen Vorarbeiten profitieren zu können. Darüber hinaus sollen die Anforderungen der Datenschutzaufsichtsbehörden an das Instrument erfasst und ebenfalls berücksichtigt werden.
  3. Konkretisierung der zu wählenden Methodik: Auswahl einer kleinen Zahl von geeigneten Verfahren aus dem Bereich der Bürgerpartizipation und partizipativen Technikfolgenabschätzung (z.B. Bürgerkonferenzen, Fokusgruppen, CIVISTI Methode), die im Rahmen der praktischen Tests zum Einsatz kommen und auf ihre Eignung getestet werden sollen.
  4. Rechtliche Prüfung, ob die Vorgaben der DS-GVO umfassend erfüllt werden.

Phase 2: Validierung

Arbeitspaket 3: Durchführung von Tests mit Unternehmen und Behörden

Das dritte Arbeitspaket umfasst die zentralen empirischen Validierungsarbeiten des Projekts, die in zwei iterativen Wellen durchgeführt werden:

  1. Auswahl und Ansprache der Testkandidaten: Aufbauend auf den Arbeiten in AP 2 wird eine Liste mit Institutionen zusammengestellt, die für die gemeinsame Durchführung der Tests in Frage kommen. Diese sollen aus den ausgewählten Anwendungsbereichen kommen und in ausreichendem Maße zentrale demografische Größen repräsentieren (insbesondere kleine/große Institutionen, sowie Institutionen aus dem privatwirtschaftlichen und öffentlichen Bereich).
  2. Erste Testwelle: Im Rahmen der ersten Testwelle wird die Methodik, die im Entwurf des DSFA-Handbuches dokumentiert ist, zunächst mit 8 Institutionen validiert. Die Tests sollen unter realistischen Bedingungen vor Ort bei der Institution durchgeführt werden. In dieser ersten Welle steht vor allem die Frage im Vordergrund, welche Elemente in der Praxis „funktionieren“ und welche verbessert werden müssen.
  3. Analyse der Ergebnisse und Überarbeitung der Methodik: Die Testergebnisse werden im dritten Schritt qualitativ analysiert. Dabei steht eine Analyse im Vordergrund, inwieweit die in AP 2 vorgenommene Operationalisierung eine aussagekräftige Bewertung der Datenschutzrisiken erlaubt hat.
  4. Zweite Testwelle: Im Rahmen der zweiten Testwelle wird die überarbeitete Methodik mit 4 Institutionen weiter validiert. Dabei steht diesmal die Effizienz der Methodik im Vordergrund des Interesses. Es wird also überprüft, welche der prinzipiell funktionierenden Verfahren sich am einfachsten umsetzen lassen. Dabei soll eine Balance gefunden werden zwischen einer ausreichenden Bewertungsqualität auf der einen und der ökonomischen Belastbarkeit der Institution auf der anderen Seite.
  5. Finalisierung der Methodik: Wie schon bei der ersten Welle werden auch die Ergebnisse der zweiten Testwelle ausgewertet, sie werden in der finalen Fassung des DSFA-Handbuches berücksichtigt.

Phase 3: Verbreitung und Unterstützung

Arbeitspaket 4: Austausch mit Verbänden und Gremien

 Parallel zu den praktischen Tests wird bereits der Austausch mit Experten aus Datenschutzbehörden und Verbänden gesucht. Dabei steht zunächst noch das inhaltliche Feedback zu dem zu validierenden Verfahren im Vordergrund. Spätestens wenn die empirische Validierung abgeschlossen ist und die Regelungen der DS-GVO wirksam sind, wird ein erheblicher Bedarf nach Orientierungswissen bestehen: „Wie kann ein Unternehmen eine DSFA durchführen, die den gesetzlichen Vorgaben entspricht?“, „Welche Methodik wird von den zuständigen Datenschutzbehörden akzeptiert?“, „Gibt es Dienstleister oder Werkzeuge, die eine Durchführung einer DSFA ermöglichen?“ und ähnliche Fragestellungen sind zu erwarten. Die Projektpartner wollen diese Situation dazu nutzen, die von ihnen entwickelte und validierte Methode so weit als möglich zu propagieren

Arbeitspaket 5: Konzept für eine technische Unterstützung von Datenschutz-Folgenabschätzungen

Eine zuverlässige und standardisierte Vorgehensweise ist im ersten Schritt ausreichend, um die Vorgaben der DSGVO erfüllen zu können. Um das Verfahren weiter zu vereinfachen und in den betrieblichen Alltag integrieren zu können, bietet sich die Unterstützung durch entsprechende technische Werkzeuge an. Hier sollen insbesondere die notwendigen Konzepte und Prozesse zur Integration in existierende Risiko-Management-Infrastrukturen analysiert und im Rahmen eines Demonstrators teilweise technisch umgesetzt werden.

Konkret gliedern sich die Aufgaben in diesem Arbeitspaket in drei Schritte:

  1. Analyse und Konzeption der technischen Umsetzung des Standard-Datenschutzmodells (SDM) im Rahmen einer DSFA. Hier ist geplant, die im SDM definierten Konzepte und Methoden daraufhin zu überprüfen, inwieweit ein technisches Werkzeug den Prozess der SDM-basierten DSFA unterstützen bzw. für den Nutzer erleichtern kann. Ziel ist die Umsetzung eines Demonstrators für die geeignete, prozessgetriebene Durchführung einer Risikoanalyse basierend auf den Dimensionen der Datenschutz-Schutzziele im SDM.
  2. Analyse der Integrationsmöglichkeiten in marktgängige Werkzeuge. Übliche Tools zur Risikoanalyse bzw. Folgenabschätzung finden sich beispielsweise im Bereich der IT-Sicherheit in Gestalt der Information Security Management Systems (ISMS), die von Werkzeugen wie „verinice“ oder „R2C-ISMS“ realisiert werden. Hier werden die existierenden Werkzeuge dahingehend überprüft, ob eine Integration der entwickelten DSFA-Methodik in solche Werkzeuge abbildbar ist, um den Einarbeitungsaufwand für die Nutzer nach Möglichkeit zu minimieren.
  3. Untersuchung der Integration in Softwareentwicklungswerkzeuge. Neben der aktiven Durchführung einer DSFA als Teil eines Unternehmensprozesses bedarf es unter Umständen ebenfalls einer Anpassung des Softwareentwicklungsprozesses für neuartige Applikationen selbst. So lassen sich bestimmte technische Risikominimierungs- und Schutzmaßnahmen nur auf dieser Ebene der Implementierung effektiv einsetzen. Dementsprechend wird hier analysiert, ob und inwieweit sich die DSFA-Methodik auf den Softwareentwicklungsprozess selbst auswirkt, und inwieweit hier eine technische Unterstützung realisierbar wäre. Eine prototypische Umsetzung ist zunächst aber nicht geplant, da hierfür zuerst die Machbarkeit zu überprüfen ist.