Ratgeber
/ 06. März 2020

Tools für die Datenschutz-Folgenabschätzung

Software-Lösungen allein können die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht sicherstellen. Aber Tools können zumindest dabei helfen. In unserer Serie stellen wir verschiedene Werkzeuge vor. Den Anfang machen Tools und Verfahren, die helfen, ein Risiko zu bewerten.

Die Datenschutz-Grundverordnung sieht das Instrument der Datenschutz-Folgenabschätzung vor. Artikel 35 DSGVO sagt dazu:

„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“

Datenschutz-Folgenabschätzung: die unbekannten Risiken

Risiken für personenbezogene Daten können nicht nur dann auftreten, wenn ein IT-Sicherheitsvorfall eintritt, also Angreifer Daten stehlen und missbrauchen. Oder wenn Verantwortliche Daten zu anderen Zwecken verarbeiten, als bei der Einwilligung und Erhebung angegeben.

Selbst eine rechtmäßige Datenverarbeitung kann zum Risiko für personenbezogene Daten werden. Das ist vor allem dann der Fall, wenn neue Technologien zum Einsatz kommen. Aktuelle Beispiele sind Machine Learning(ML) und Künstliche Intelligenz (KI).

Neue Technologien fallen insbesondere unter die Datenschutz-Folgenabschätzung, wenn eine „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vorliegt, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“ (Artikel 35 DSGVO Abs. 3 Buchst. a).

Eine Datenschutz-Folgenabschätzung ist insbesondere dann vorzunehmen, wenn es sich um eine Verarbeitung personenbezogener Daten handelt, die in der sogenannten „Muss-Liste“ der Datenschutzkonferenz (DSK) zu finden ist (Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DSGVO für den nicht-öffentlichen Bereich)

Schwierigkeiten in der praktischen Umsetzung

Die DSGVO nennt zwar die wesentlichen Inhalte einer Risikobewertung:

  • systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit
  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen

Doch die praktische Umsetzung bereitet den verantwortlichen Stellen Schwierigkeiten.

Tools als Hilfe

Verschiedene Lösungsanbieter haben sich der Datenschutz-Folgenabschätzung angenommen. Sie bieten neue Tools, teilweise als Erweiterung zu ihren bestehenden Lösungen.

Eine Folgenabschätzung auf Knopfdruck bekommt man natürlich nicht. Wohl aber Statusberichte, die helfen, Risiken zu ermitteln, zu bewerten und zu minimieren. Man erkennt insbesondere, ob die Schutzziele eingehalten werden oder nicht.

Kaseya GDPR Compliance Pack

Ein Beispiel ist das sogenannte Compliance Pack als Erweiterung (Plug-in) für VSA, die Kaseya Remote-Monitoring- und Management-Lösung. Das Pack bietet folgende Funktionen:

  • IT-Systeme in der Infrastruktur entdecken
  • Zustand der Infrastruktur und der Nutzer-Accounts prüfen, um Schwachstellen zu erkennen
  • Betriebssysteme und Software-Applikationen von Drittanbietern aktualisieren und patchen, um IT-Probleme zu erkennen und zu lösen
  • Daten gegen Malware und Viren sichern
  • mit Reports Compliance mit den DSGVO-Anforderungen dokumentieren

Die Lösung bietet Berichte zum Status im Bereich Anti-Malware, Patch-Management, Benutzer und Administratoren.

Diese Berichte helfen bei der Bewertung von Risiken, sieht man sich in den Berichten speziell die Systeme an, für die eine Folgenabschätzung als notwendig ermittelt wurde.

Lesen Sie auch die anderen Teile unserer Serie zu DSGVO-Tools:

GDPR Risk Assessment von Snow Software

Die Lösung GDPR Risk Assessment von Snow Software will Unternehmen helfen, Risiken im Umgang mit personenbezogenen Daten aufzudecken.

Die Lösung erkennt laut Anbieter mehr als 23.000 Versionen von Anwendungen, die persönliche Daten speichern oder übertragen, und identifiziert Geräte, die nicht ausreichend geschützt sind, zum Beispiel aufgrund fehlender Verschlüsselung oder Antiviren-Software.

Das Ziel ist eine Übersicht über alle Geräte, Nutzer und Applikationen, auf On-Premise-Systemen, in der Cloud und auf Mobilgeräten.

Diese Übersicht kann eine Hilfe sein, um riskante Fällen von Datenverarbeitungen aufzudecken. Sie zeigt zum Beispiel, ob ein IT-System, das besonders zu schützende Daten verarbeiten soll, ausreichend abgesichert ist oder nicht.

Online-Tool der EU-Agentur für Cybersicherheit ENISA

Anlässlich des Datenschutztags 2020 hat die EU-Agentur für Cybersicherheit eine Online-Plattform veröffentlicht, um den risikobasierten Ansatz für die Sicherheit personenbezogener Daten zu stärken.

Die Plattform ist Teil der Arbeit der EU-Agentur im Bereich Datenschutz und Privatsphäre. Sie konzentriert sich auf die Analyse technischer Lösungen für die Umsetzung der DSGVO, Datenschutz durch Design und Sicherheit der Verarbeitung personenbezogener Daten.

Datenverantwortliche und Datenverarbeiter können von dieser Plattform profitieren, um Risiken der Datenverarbeitung zu bestimmen, so ENISA.

Die Plattform kann sich auch für Prüfer und Aufsichtsbehörden als nützlich erweisen, um den Grad der Vorbereitung und Analyse vor der Festlegung von Sicherheitsmaßnahmen durch einen für die Datenverarbeitung Verantwortlichen zu bestimmen, wie die EU-Agentur erklärt.

Hinweis: Wir werden weiterhin den Markt beobachten und den Beitrag erweitern, wenn wir spannende und passende Lösungen finden.

Oliver Schonschek