Bernd Schütze

Umgang mit der Datenschutz-Folgenabschätzung: ein Blick in unsere EU Partnerländer

Die Datenschutz-Folgenabschätzung (DSFA) ist eine neue Anforderung, welche die Risikoorientiertheit der Datenschutz-Grundverordnung (DS-GVO) unterstreicht. Die mit Art. 35 DS-GVO eingeführte Pflicht, risikobehaftete Verarbeitungen vorab zu betrachten, fand sich ja schon in Art. 17 Abs. 1 S.2 RL 95/46 („ein Schutzniveau [zu] gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist“). Das Privacy Impact Assessment etablierte sich außerhalb Deutschlands zu einer seit vielen Jahren eingesetzte Form der Risikoevaluierung und Risikobegrenzung, insbesondere in den USA gehört eine PIA zum Pflichtprogramm (siehe z.B. Federal Trade Commission Privacy Impact Assessments oder die geschichtliche Darstellung von Roger Clarke). Für den Umgang mit einer DSFA lohnt sich daher ein Blick, was unsere europäischen Nachbarländer zu diesem Thema sagen,

Das Information Commissioner’s Office, UKs Datenschutz-Aufsichtsbehörde, veröffentlichte schon 2011 das „Privacy Impact Assessment Handbook“, um datenverarbeitende Stellen beim Umgang mit dieser datenschutzrechtlichen Anforderung zu unterstützen.

Gestern, am 29. Januar 2018, stellte die französische CNIL ihr überarbeitetes PIA-Tool online (https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment). Das Open Source Software-Tool kann in Französisch und Englisch bedient werden und soll datenverarbeitende Stellen dabei unterstützen, compliant zur DS-GVO zu arbeiten. Einen Kurzfilm als Einstieg stellte die Behörde bei Youtube zur Verfügung (GDPR | How to use the Privacy Impact Assessment software ?). Da die DS-GVO europäisch ausgelegt werden muss, ist es auch aus dieser Sicht hilfreich zu sehen, wie andere Aufsichtsbehörden die Themen der DS-GVO angehen und bewerten. Begleitet wird das Tool von den drei von der CNIL veröffentlichten englischsprachigen eBooks zum Thema:

Die spanische Datenschutz-Aufsichtsbehörde, die Agencia española de protección de datos (AEP), veröffentlichte ebenfalls einen Guide für ein Impact Assessment, der allerdings nur auf Spanisch verfügbar ist.

Der eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragte veröffentlichte auf seiner Homepage ein „Raster zur Datenschutz-Folgenabschätzung“. An Hand eines Online-Fragebogens werden alle relevanten Daten erfasst. Dabei werden – es handelt sich ja um eine Datenschutz-Aufsichtsbehörde – keine Daten übertragen, sondern die Daten nur auf dem Client bearbeitet.

Unsere österreichischen Kollegen sind zwar keine Aufsichtsbehörde, aber sie äußerten sich im Januar 2018 ebenfalls zur DSFA. Der Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter (Privacyofficers.at)  veröffentlichte ihre Ausarbeitung „Datenschutz-Folgenabschätzung – Durchführung einer DSFA am Beispiel Videoüberwachung“ (https://www.privacyofficers.at/privacyofficers-at-veroeffentlicht-beispiel-zur-durchfuehrung-einer-datenschutz-folgenabschaetzung/). Der Verein wollte ein praxistaugliches Beispiel für eine DSFA zur Verfügung stellen, als praxisrelevante Verarbeitung entschieden sie sich für die Videoüberwachung; sicherlich wählten sie damit ein Thema aus, welches viele von uns in der täglichen Praxis antreffen.

Bei uns in Deutschland veröffentlichte der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (bitkom) im Mai 2017 ein Stellungnahme zum Thema DSFA, welche in Deutsch und Englisch vorliegt. Das Whitepaper vom Forum Privatheit liegt seit November 2017 mittlerweile in der 3. Auflage vor. Die im Oktober 2017 veröffentlichte Arbeitshilfe X der GDDVoraussetzungen der Datenschutz-Folgenabschätzung – beschäftigt sich ja ebenfalls mit dieser Thematik.

Die DS-GVO stellt datenverarbeitende Stellen vor große Herausforderungen, aber es stehen erfreulicherweise Hilfsmittel zur Verfügung, die bei der erforderlichen europäischen Interpretation der DS-GVO helfen. Denn wie steht es in Art. 70 Abs. 1 lit. e DS-GVO: die einheitliche Anwendung der DS-GVO muss sichergestellt sein, dies ist eine der Aufgaben des zukünftigen Datenschutz-Ausschusses.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert