Wie führe ich eine Datenschutz-Folgenabschätzung (DSFA) durch?

Die deutschen Aufsichtsbehörden konnten sich bislang nicht auf eine einheitliche Empfehlung zur Durchführung einer DSFA verständigen. Neben den Methoden der CNIL, der ICO und der spanischen AGPD führt das Working Paper 248 in der Fassung vom 4. Oktober im Anhang I auch das SDM und die ISO 29134 als mögliche Vorgehensweisen auf.

Um sich einen eigenen Eindruck von der Komplexität der jeweiligen Verfahren zu verschaffen, trafen sich daher Aufsichtsbehörden und „spielten“ anhand des Sachverhaltes eines Versicherungsangebotes „pay as you drive“ die Durchführung einer DSFA im Juli in Nürnberg durch.

Das ULD veröffentlichte Anfang November sein 63seitiges Ergebnis, das unter Heranziehung des SDM und eines DSFA-Framework, das dem „Whitepaper Datenschutz-Folgenabschätzung“ des Forums Privatheit und einem Aufsatz von Bieker et al. entstand.

Im Nachsatz zu diesem Workshop betont das ULD explizit, dass dies nur eine beispielhafte Durchführung einer DSFA gewesen sei, um Methoden zu testen, das Ergebnis könne nicht ohne Nachbearbeitung für ein reales „pay as you drive“ Verfahren übernommen werden.

Das BayLDA orientierte sich bei seiner Erarbeitung einer DSFA an den Vorgaben der ISO 29134.
Sobald das BayLDA die Dokumentation seines Ergebnisses veröffentlicht hat, reichen wir dies an dieser Stelle nach.

Autor: Rudi Kramer, BvD-Vorstand