linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING

Konzept für Datenschutz- Folgenabschätzung vorgestellt

Eine der Neuheiten, die die Datenschutz-Grundverordnung (EU-DSGVO) ab 2018 mit sich bringen wird, ist die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung vor Einführung einer kritischen Datenverarbeitung. In welcher Form und anhand welcher Kriterien dies stattfinden soll, ist in der Grundverordnung, Art. 33, selbst nicht genauer ausgeführt. Nun haben Datenschutz-Experten im „Forum Privatheit“, welches vom Bundesforschungsministerium eingerichtet wurde, ein Whitepaper erarbeitet und genauere Informationen zur „Datenschutz-Folgenabschätzung“ veröffentlicht. Beteiligt an der Erstellung des Whitepapers waren Experten des Fraunhofer-Instituts ISI, des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein sowie der Universität Kassel.

Erklärtes Ziel der Folgenabschätzung ist es, implizite Risiken einer neuen Technik der Datenverarbeitung vorab zu erkennen und zu bewerten, um sicherzustellen, dass die Grundrechte des Betroffenen respektiert werden.

Als Maßstab für diese Bewertung schlagen die Experten sechs Schutzziele vor. Diese setzen sich zusammen aus den bekannten drei Zielen der IT-Sicherheit: der Verfügbarkeit, der Integrität und der Vertraulichkeit. Ergänzt werden diese durch drei spezifische Ziele des Datenschutzes, die die deutschen Datenschutzbehörden in dem im Oktober 2015 veröffentlichten Standard-Datenschutzmodell zur Prüfnorm erhoben haben: Nichtverkettbarkeit, Transparenz und  Intervenierbarkeit.

Ein weiteres Novum an dieser Folgenabschätzung soll sein, dass die Schutzziele nicht wie bisher hauptsächlich aus der Sicht der datenverarbeitenden Organisation bewertet werden. Stattdessen wird diese selbst als Risikofaktor für die Rechte des Betroffenen gesehen. Dies erscheint sinnvoll, hat die Organisation mit den Daten auch die Macht, darüber zu verfügen, was möglicherweise eine Beeinträchtigung der Betroffenen-Rechte bedeuten kann. Obwohl nicht von der Grundverordnung vorgeschrieben, empfehlen die Verfasser des Whitepapers zur effektiven Umsetzung dessen, die Abschätzung von einer unabhängigen Instanz vornehmen zu lassen.

Die Risiken sollen schließlich in drei Schutzstufen eingeordnet werden. Hierbei steht im Vordergrund, wie tief der Eingriff in die Grundrechte des Individuums im Zuge der Datenverarbeitung ist und in welchem Maße der Betroffene dabei von der verarbeitenden Organisation abhängig  ist. Momentan erarbeitet der Arbeitskreis Technik eine Liste mit den ‚technisch besten verfügbaren Maßnahmen‘, die bei der Risikobewertung behilflich sein sollen.

Quellen:

Heise: Wissenschaftler stellen Konzept für künftige Datenschutz-Folgenabschätzung vor

Datenschutz-Rahmenabkommen zwischen EU und USA ist einem Gutachten des EU-Parlaments...Nicht-datenschutzkonformer Einsatz von Google Analytics ist abmahnbar