Forum Privatheit veröffentlicht neue Fassung des White Papers zur Datenschutz-Folgenabschätzung

Der Forschungsverbund „Forum Privatheit“ hat das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für besseren Datenschutz“ aktualisiert und konkretisiert. Die dritte, überarbeitete Auflage soll Unternehmen, Behörden und sonstigen daten-verarbeitenden Organisationen sowie den Datenschutz-Aufsichtsbehörden Hilfestellung bei der Ausgestaltung und praktischen Durchführung einer Datenschutz-Folgenabschätzung geben.

Mit Einführung der EU-Datenschutz-Grundverordnung wird die Durchführung einer Folgenabschätzung ab Mai 2018 für Datenverarbeiter verpflichtend. Ziel der Datenschutz-Folgenabschätzung ist es, die durch Datenverarbeitungen entstehenden Risiken für betroffene Personen abzuschätzen und zu minimieren.

Eregbnisse des Planspiels DSFA veröffentlicht

Deutsche Aufsichtsbehörden haben im Juli auf einem Workshop in Nürnberg zwei Methoden an einem fiktiven „pay-as-you-drive-Verfahren“ getestet. Dieses Verfahren wurde für das Planspiel mit einigen datenschutzrechtlich kritischen Eigenschaften versehen.

Mitarbeiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) und der Datenschutzaufsicht Mecklenburg-Vorpommern führten auf Grundlage des Standard-Datenschutzmodells nach einem Ablaufmodell, das im Rahmen des Forum Privatheit entwickelt wurde, eine Datenschutz-Folgenabschätzung durch. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) testet die Datenschutz-Folgenabschätzung mit einer an ISO angelehnten Methodik.

Anfang November wurde nun die 60-seitigen Test-Folgenabschätzung nach dem Verfahren des ForumPrivatheit/SDM veröffentlicht.

Erste Sitzung des Projektbeirats

Am 15.11.2017 findet die erste Sitzung des Projektbeirats in Frankfurt statt. Mitglieder des Beirats sind zwei so genannte „Innovations-Mentorinnen“, die das Fachgebiet gut kennen und über eigene Erfahrungen aus Innovationsprozessen in diesem Bereich verfügen. Darüber hinaus sind weitere Akteure aus Industrie, NGOs und staatlichen Institutionen eingebunden. Der Projektbeirat des DSFA-Projekts besteht aus

  • Dr. Astrid Breinlinger (Rechtsanwältin für Datenschutz- und Wettbewerbsrecht; Mitglied der Fachgruppe: Externe Datenschutzbeauftragte und Datenschutzberater  in der Gesellschaft für Datenschutz und Datensicherheit e.V.)
  • Isabel Münch (Referatsleiterin Grundlagen der Informationssicherheit und IT-Grundschutz im Bundesamt für Sicherheit in der Informationstechnik (BSI))
sowie
  • Wolf-Rüdiger Hansen (Consultant bei Business Innovation Lab, 2011 Mitverfasser des europäischen Rahmens für Datenschutzfolgeabschätzungen für RFID-Anwendungen)
  • Andreas Krisch (Präsident, European Digital Rights – EDRi)
  • Dr. Demosthenes Ikonomou (Head of Operational Security Unit, European Union Agency for Network and Information Security (ENISA))

Überarbeitete Fassung der Guidelines zur DSFA von der Art-29-Gruppe veröffentlicht

Anfang Oktober 2018 hat die Artikel-29-Arbeitsgruppe eine Überarbeitung ihres WP 248 veröffentlicht. Gegenüber der Fassung aus dem April wurden einige Änderungen vorgenommen. So sind jetzt neben den Frameworks aus Deutschland, Frankreich und Großbritannien auch noch der neue  ISO-Standard und ein Vorschlag der spanischen Aufsichtsbehörde aufgeführt.Die größten Änderungen gab es wohl beim Kriterienkatalog zur Erkennung eines „Voraussichtlich hohen Risikos“, die die Pflicht zur Durchführung einer DSFA nach sich zieht. Diese Liste wurde von 10 auf 9 verkürzt (Datentransfer in nicht-EU Länder oder zu Internat. Org. fällt weg). Auch die viel kritisierte Schwelle zwei erfüllte Kriterien würden für ein hohes Risiko sprechen wurde geändert.  Mit konkreten Beispielen, wann eine Datenschutz-Folgenabschätzung durchzuführen sein soll und wann nicht, bietet das WP zwar konkrete Vorgaben, insgesamt wird die Rechtsunsicherheit dadurch aber nicht wesentlich beseitigt werden.

Es finden sich nun auch wesentlich klarere Angaben zum Umgang mit bereits vor dem 25. Mai. 2018 bestehenden Datenverarbeitungen. Bei diesen (sofern ein voraussichtlich hohes Risiko vorliegt) muss eine DSFA nur dann nicht erfolgen, wenn die Verarbeitung bereits im Rahmen der Vorabkontrolle durch Aufsichtsbehörde geprüft worden ist und wenn seit dieser Prüfung keine Veränderung in der Verarbeitung und ihrem Kontext stattgefunden hat.

Link zur Seite mit allen Guidelines: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

Presseinformation: Neues Verfahren hilft Unternehmen bei Durchführung von Datenschutz-Folgenabschätzungen

Karlsruhe, Kiel 28.09.2017


Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft, die Unternehmen und Behörden in bestimmten Fällen Datenschutz-Folgenabschätzungen vorschreibt. Deren Ziel besteht in der Erfassung, Abschätzung und Eindämmung möglicher Risiken, die für Nutzerinnen und Nutzer durch Datenverarbeitung entstehen. Aktuell besteht jedoch eine große Unsicherheit, wie eine Folgenabschätzung konkret erfolgen muss – bei Unterlassung drohen empfindliche Geldstrafen. Ein neues Projekt unter Leitung des Fraunhofer ISI testet in diesem Kontext ein Verfahren, das bei der Durchführung von Folgenabschätzungen hilft und wird deren Ablauf detailliert in einem Handbuch beschreiben.


Die in bestimmten Fällen ab Mai 2018 verpflichtenden Datenschutz-Folgenabschätzungen sollen sicherstellen, dass persönliche Nutzerdaten keinem erhöhten Risiko unterliegen und auch neue Technologien und datenverarbeitende Anwendungen das Recht auf Datenschutz sowie andere Rechte und Freiheiten gewährleisten. Viele Unternehmen und Behörden haben bislang jedoch nur wenig Erfahrung bei der Durchführung einer solchen Risikoabschätzung und benötigen Unterstützung. Da Verstöße gegen die Pflicht zur Folgenabschätzung mit Geldbußen von bis zu 10 Mio. Euro beziehungsweise 2 Prozent des weltweiten Jahresumsatzes geahndet werden können, ist hier ein dringender Handlungsbedarf erforderlich.

Das im September 2017 gestartete, vom BMBF geförderten Projekt „Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz“ nimmt sich diesem Bedarf an: Gemeinsam mit der Fachhochschule Kiel und dem FIZ Karlsruhe wird das Fraunhofer ISI ein bereits entwickeltes Verfahren zur Durchführung von Datenschutz-Folgenabschätzung testen, das sich sowohl in großen wie auch in kleinen Unternehmen und Behörden einsetzen lässt. Das Verfahren zielt nicht nur auf die Erfüllung der Pflicht einer Folgenabschätzung ab, sondern ermöglicht auch „Datenschutz durch Technikgestaltung“.

Die Durchführung einer Datenschutz-Folgenabschätzung ist laut Dr. Michael Friedewald, Leiter des Projekts am Fraunhofer ISI, in fünf Ablaufphasen gegliedert: „In der Vorbereitungsphase prüft ein Unternehmen oder eine Behörde, ob eine Folgenabschätzung erforderlich ist. Wenn ja, erfolgt in der Bewertungsphase zunächst eine Definition möglicher Risikoquellen und Betroffener. Die Bewertung der Risiken erfolgt dann anhand von sechs Schutzzielen (u.a. Nichtverkettbarkeit von Daten, Intervenierbarkeit, Vertraulichkeit). In einer Maßnahmenphase müssen dann aber auch Schutzmaßnahmen identifiziert, implementiert und ihre Wirksamkeit dokumentiert werden. In der Berichtsphase werden schließlich alle erfolgten Schritte schriftlich fixiert, die für eine unabhängige Überprüfung der Folgenabschätzung und die Information der Öffentlichkeit nötig sind.“

Um die Praxistauglichkeit des Verfahrens sicherzustellen, werden im Projekt ab Anfang 2018 Tests in Kooperation mit Unternehmen und Behörden gestartet. Im Sinne eines maximalen gesellschaftlichen Nutzens soll die Verfahrensmethodik anhand solcher Geräte und Bereiche überprüft werden, in denen mit sensiblen Daten gearbeitet wird, die verfassungsrechtlich problematisch sind oder die im Zuge des technischen Fortschrittes Konfliktpotenzial erwarten lassen. Dazu zählen etwa Wearables, also am Körper getragene Datenendgeräte wie Schrittzähler, die sensible Körperdaten erheben und besonderen Schutz erfordern. Ebenfalls trifft dies für den Bereich Open Public Data, also der freien Verfügbarkeit und Nutzbarkeit von durch öffentliche Stellen erhobenen Daten sowie dem Gesundheitsbereich zu, in dem die Verarbeitung sensibler Patientendaten zum Arbeitsalltag gehört. Ein weiterer Fokus liegt auf der Videoüberwachung, die in den letzten Jahren durch immer intelligentere Technik eine lückenlose Überwachung von Bürgerinnen und Bürgern möglich macht.

Das im Projekt entwickelte Verfahren zur Durchführung von Datenschutz-Folgenabschätzungen baut auf Erkenntnissen aus früheren Forschungsprojekten des Fraunhofer ISI sowie des Forschungsverbunds Forum Privatheit auf, in dessen Rahmen auch das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ entstanden ist. Das neue Verfahren wird ausführlich in einem Handbuch beschrieben, damit Unternehmen und Behörden die Durchführung einer Folgenabschätzung schrittweise selbst vornehmen können.

Weitere Informationen

Kontakt:

Michael Friedewald, Fraunhofer ISI, michael.friedewald@isi.fraunhofer.de, +49.721.6809-146