Gratis
5. Oktober 2017 - DSGVO

Datenschutz-Folgen­abschätzung: neues Praxis-Verfahren

Die neue DSGVO schreibt unter bestimmten Voraussetzungen die Durchführung einer „Datenschutz-Folgenabschätzung“ vor. Naturgemäß haben nur wenige Unternehmen und Behörden überhaupt praktische Erfahrungen damit. Ein neues Verfahren will unterstützen.

Datenschutz-Folgenabschätzung: Wie in der Praxis umsetzen? Ein neues Projekt soll prüfen, welche Methoden praxistauglich sind (Bild: NicoElNino / iStock / Thinkstock)

Die mit der Europäischen Datenschutz-Grundverordnung (DSGVO / GDPR) eingeführte Datenschutz-Folgenabschätzung ist im Kern für den Datenschutzbeauftragten keine neue Sache. Bereits das Bundesdatenschutzgesetz (BDSG) hat eine sogenannte Vorabkontrolle in besonderen Fällen gefordert.

Allerdings herrscht verständlicherweise Unsicherheit, wie die Folgenabschätzung nach der neuen Vorschrift durchzuführen ist.

Wann ist eine Datenschutz-Folgenabschätzung nötig?

In Artikel 35 DSGVO heißt es in Absatz 1:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Eine solche Abschätzung ist also beispielsweise immer dann erforderlich,

  • wenn systematisch und weiträumig öffentlich zugängliche Räume überwacht werden oder
  • wenn Daten und Informationen verarbeitet werden sollen, die als Grundlage für Entscheidungen dienen, die Auswirkungen auf die Verhältnisse einer natürlichen Person haben, zum Beispiel Profiling oder Scoring.

Kurz zusammengefasst, soll eine Datenschutz-Folgenabschätzung sicherstellen, dass neue Technologien und datenverarbeitende Anwendungen das Recht auf Datenschutz und die Freiheitsrechte der Betroffenen gewährleisten.

Unsicherheit über die Durchführung

Derzeit besteht aber spürbar Unsicherheit, wie Unternehmen eine solche Folgenabschätzung konkret durchführen müssen. Dabei ist jedem Datenschutzbeauftragten bewusst, dass die Unterlassung empfindliche Strafen nach sich ziehen kann.

Deswegen hat im September 2017 das Bundesministerium für Forschung und Bildung (BMBF) ein Projekt initiiert, das sich genau dieser Thematik annimmt.

Verfahren für die Folgenabschätzung auch in kleinen Unternehmen und Behörden

Im Rahmen des Projekts „Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz“ wird das Fraunhofer-Institut für System- und Innovationsforschung (ISI) gemeinsam mit der Fachhochschule Kiel und dem FIZ Karlsruhe ein bereits entwickeltes Verfahren erproben.

Es soll sich sowohl in großen wie kleinen Unternehmen und Behörden einsetzen lassen.

Um die Praxistauglichkeit des Verfahrens sicherzustellen, werden ab Anfang 2018 Tests in Kooperation mit Unternehmen und Behörden gestartet. Dabei werden auch besonders sensible technische Einrichtungen oder Geräte im Fokus stehen, wie etwa „Wearables“.

4 Phasen einer Datenschutz-Folgenabschätzung

Die Folgenabschätzung gliedert sich in vier wesentliche Phasen:

  1. Vorbereitungsphase
  2. Bewertungsphase
  3. Maßnahmenphase
  4. Berichtsphase

In einer Vorbereitungsphase wird geprüft, ob eine Folgenabschätzung erforderlich ist. Falls ja, erfolgt in der Bewertungsphase zunächst eine Definition möglicher Risikoquellen und Betroffener. Die Risiken werden anhand von sechs Schutzzielen bewertet.

In einer Maßnahmenphase müssen dann Schutzmaßnahmen identifiziert, implementiert und ihre Wirksamkeit dokumentiert werden.

Schließlich werden in der Berichtsphase alle erfolgten Schritte schriftlich dargestellt. Anhand des Berichts kann, falls notwendig, die Öffentlichkeit informiert werden. Er dient aber auch der Überprüfung der Folgenabschätzung.

Das neue Verfahren wird ausführlich in einem Handbuch beschrieben, damit Unternehmen und Behörden die Durchführung einer Folgenabschätzung schrittweise selbst vornehmen können. Weitere Informationen sind auf der Webseite des Projekts zu bekommen.

Aber auch in der Datenschutz PRAXIS findet sich bereits ein Beitrag, der das 4-stufige Verfahren leicht verständlich vorstellt: Datenschutz-Folgenabschätzung: Ein Modell für die Praxis

Stephan Lamprecht

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln