Eregbnisse des Planspiels DSFA veröffentlicht

Deutsche Aufsichtsbehörden haben im Juli auf einem Workshop in Nürnberg zwei Methoden an einem fiktiven „pay-as-you-drive-Verfahren“ getestet. Dieses Verfahren wurde für das Planspiel mit einigen datenschutzrechtlich kritischen Eigenschaften versehen.

Mitarbeiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) und der Datenschutzaufsicht Mecklenburg-Vorpommern führten auf Grundlage des Standard-Datenschutzmodells nach einem Ablaufmodell, das im Rahmen des Forum Privatheit entwickelt wurde, eine Datenschutz-Folgenabschätzung durch. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) testet die Datenschutz-Folgenabschätzung mit einer an ISO angelehnten Methodik.

Anfang November wurde nun die 60-seitigen Test-Folgenabschätzung nach dem Verfahren des ForumPrivatheit/SDM veröffentlicht.

Erste Sitzung des Projektbeirats

Am 15.11.2017 findet die erste Sitzung des Projektbeirats in Frankfurt statt. Mitglieder des Beirats sind zwei so genannte „Innovations-Mentorinnen“, die das Fachgebiet gut kennen und über eigene Erfahrungen aus Innovationsprozessen in diesem Bereich verfügen. Darüber hinaus sind weitere Akteure aus Industrie, NGOs und staatlichen Institutionen eingebunden. Der Projektbeirat des DSFA-Projekts besteht aus

  • Dr. Astrid Breinlinger (Rechtsanwältin für Datenschutz- und Wettbewerbsrecht; Mitglied der Fachgruppe: Externe Datenschutzbeauftragte und Datenschutzberater  in der Gesellschaft für Datenschutz und Datensicherheit e.V.)
  • Isabel Münch (Referatsleiterin Grundlagen der Informationssicherheit und IT-Grundschutz im Bundesamt für Sicherheit in der Informationstechnik (BSI))
sowie
  • Wolf-Rüdiger Hansen (Consultant bei Business Innovation Lab, 2011 Mitverfasser des europäischen Rahmens für Datenschutzfolgeabschätzungen für RFID-Anwendungen)
  • Andreas Krisch (Präsident, European Digital Rights – EDRi)
  • Dr. Demosthenes Ikonomou (Head of Operational Security Unit, European Union Agency for Network and Information Security (ENISA))

Überarbeitete Fassung der Guidelines zur DSFA von der Art-29-Gruppe veröffentlicht

Anfang Oktober 2018 hat die Artikel-29-Arbeitsgruppe eine Überarbeitung ihres WP 248 veröffentlicht. Gegenüber der Fassung aus dem April wurden einige Änderungen vorgenommen. So sind jetzt neben den Frameworks aus Deutschland, Frankreich und Großbritannien auch noch der neue  ISO-Standard und ein Vorschlag der spanischen Aufsichtsbehörde aufgeführt.Die größten Änderungen gab es wohl beim Kriterienkatalog zur Erkennung eines „Voraussichtlich hohen Risikos“, die die Pflicht zur Durchführung einer DSFA nach sich zieht. Diese Liste wurde von 10 auf 9 verkürzt (Datentransfer in nicht-EU Länder oder zu Internat. Org. fällt weg). Auch die viel kritisierte Schwelle zwei erfüllte Kriterien würden für ein hohes Risiko sprechen wurde geändert.  Mit konkreten Beispielen, wann eine Datenschutz-Folgenabschätzung durchzuführen sein soll und wann nicht, bietet das WP zwar konkrete Vorgaben, insgesamt wird die Rechtsunsicherheit dadurch aber nicht wesentlich beseitigt werden.

Es finden sich nun auch wesentlich klarere Angaben zum Umgang mit bereits vor dem 25. Mai. 2018 bestehenden Datenverarbeitungen. Bei diesen (sofern ein voraussichtlich hohes Risiko vorliegt) muss eine DSFA nur dann nicht erfolgen, wenn die Verarbeitung bereits im Rahmen der Vorabkontrolle durch Aufsichtsbehörde geprüft worden ist und wenn seit dieser Prüfung keine Veränderung in der Verarbeitung und ihrem Kontext stattgefunden hat.

Link zur Seite mit allen Guidelines: http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083

DSFA KickOff in Kiel

Am 14. September treffen sich Vertreter sämtlicher Projektpartner zum ersten Projekt-Statustreffen des neu gestarteten Projektes DSFA. Gastgeber ist der Fachbereich Informatik und Elektrotechnik der Fachhochschule Kiel, Themenschwerpunkte werden neben dem aktuellen Stand der Projektarbeiten vor allem organisatorische Fragen rund um Webauftritt, Projektlogo, Administration und nächste Arbeitstreffen sein. Auch der aktuelle Status bei der Suche nach einem Unterauftragnehmer zur Vervollständigung des Projektkonsortiums wird ein wichtiger Diskussionspunkt sein.