So funktioniert eine Folgenabschätzung nach EU-Datenschutz-Grundverordnung

Eine Datenschutz-Folgenabschätzung ist als eine Risikoanalyse im Vorfeld der Verarbeitung sensibler Kategorien personenbezogener Daten zu verstehen.

Dieser Artikel behandelt

Datenschutz

Die in der geplanten EU-Datenschutz-Grundverordnung vorgesehene Datenschutz-Folgenabschätzung (Artikel 33) hat bei verschiedenen Wirtschaftsverbänden Kritik hervorgerufen, da sie insbesondere für Unternehmen aus dem Mittelstand als zu aufwändig empfunden wird. Die Kritik verkennt allerdings zum einen die Bedeutung einer solchen Folgenabschätzung. Zum anderen wird auch übersehen, dass für bestimmte Kategorien personenbezogener Daten das geltende Bundesdatenschutzgesetz ebenfalls eine Folgenabschätzung vorsieht, dort Vorabkontrolle genannt. Es lohnt sich also, im Unternehmen einen Prozess zur Datenschutz-Folgenabschätzung zu etablieren.

Erhöhte Risiken bei besonderen Daten

Das Bundesdatenschutzgesetz (BDSG) sieht eine Vorabkontrolle dann vor, wenn die automatisierte Verarbeitung personenbezogener Daten besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist. Das gilt insbesondere zum einen für die besonderen Arten personenbezogener Daten (§ 3 Abs. 9 BDSG). Zum anderen betrifft es auch die Verarbeitung personenbezogener Daten, die dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten einschließlich seiner Fähigkeiten, seiner Leistung oder seines Verhaltens. Nicht erforderlich ist die Vorabkontrolle dann, wenn eine gesetzliche Verpflichtung oder eine Einwilligung des Betroffenen vorliegt oder die Erhebung, Verarbeitung oder Nutzung für die Begründung, Durchführung oder Beendigung eines Vertrags mit den Betroffenen erforderlich ist.

Die EU-Datenschutz-Grundverordnung nennt weitere und konkretere Beispiele, wann eine Datenschutz-Folgenabschätzung erforderlich ist, dazu gehören insbesondere Analysen der wirtschaftlichen Lage, des Aufenthaltsorts und des Gesundheitszustands der Betroffenen, die Videoüberwachung und die Verarbeitung personenbezogener Daten aus umfangreichen Dateien, die Daten über Kinder, genetische Daten oder biometrische Daten enthalten.

RFID und Big Data sind nur zwei Beispiele

Unternehmen in Deutschland sollten sich die Kategorien personenbezogener Daten genau ansehen, die verarbeitet werden sollen und bereits verarbeitet werden. Sind Datenkategorien darunter, die den Ausführungen im BDSG entsprechen, besteht Handlungsbedarf und zwar bereits im Vorfeld der geplanten Datenverarbeitung.

Konkrete Beispiele, wann eine Vorabkontrolle oder Datenschutz-Folgenabschätzung ansteht, finden Unternehmen bei Projekten, die RFID einsetzen sollen oder als Big Data eingestuft werden können. So gibt es ein eigenes Rahmenwerk zur Datenschutz-Folgenabschätzung des RFID-Einsatzes, das als Orientierung auch für andere Datenschutz-Folgenabschätzungen dienen kann.

Für die Planung von Big-Data-Projekten empfiehlt auch der Branchenverband BITKOM eine Datenschutz-Folgenabschätzung. Dazu soll bei jedem Big-Data-Projekt festgehalten werden, welche Daten verarbeitet werden sollen und auf welcher rechtlichen Grundlage die Verarbeitung erfolgen wird. Vorzusehen sind zudem Angaben zu den Verarbeitungsschritten und zur geplanten Datenverwendung. Dazu gehört eine Einschätzung möglicher Sicherheitsrisiken. Ein ähnliches Vorgehen empfiehlt sich zum generellen Aufbau eines internen Prozesses für Datenschutz-Folgenabschätzungen.

Risikoanalysen für den Datenschutz einplanen

Wie für andere geschäftskritische Bereiche auch sollte im Datenschutz die Risiko-Analyse nicht fehlen, insbesondere nicht für die Verarbeitung besonders sensibler Daten. Einer Risiko-Analyse entsprechend sollten Sie deshalb die bestehenden Risiken identifizieren und bewerten. Gegenmaßnahmen müssen gefunden, umgesetzt und hinsichtlich ihrer Wirksamkeit überprüft werden.

Die Datenschutz-Grundverordnung verlangt nichts anderes, wenn sie „eine Beschreibung der geplanten Verarbeitungsvorgänge, eine Bewertung der in Bezug auf die Rechte und Freiheiten der betroffenen Personen bestehenden Risiken sowie der geplanten Abhilfemaßnahmen, Garantien, Sicherheitsvorkehrungen und Verfahren“ fordert, „durch die der Schutz personenbezogener Daten sicher gestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen der Verordnung eingehalten werden“.

Der Prozess der Datenschutz-Folgenabschätzung sollte deshalb umfassen:

  • Erstellung und Pflege eines Verzeichnisses der geplanten und umgesetzten Verarbeitung personenbezogener Daten,
  • Bestimmung der Datenkategorien und ihrer Sensibilität (gemäß BDSG oder später EU-Datenschutz-Grundverordnung),
  • Bestimmung des Zwecks der Datenverarbeitung,
  • Prüfung, ob eine Weitergabe der Daten vorgesehen ist, und wenn ja, an wen und zu welchem Zweck,
  • Prüfung, wer auf die Daten zugreifen können soll und zu welchem Zweck,
  • Prüfung der geplanten Aufbewahrungsfrist,
  • Prüfung, ob die Daten wirklich erforderlich sind (Datensparsamkeit),
  • Bestimmung der erforderlichen Schutzmaßnahmen und
  • Dokumentation der durchgeführten Folgenabschätzung bzw. Vorabkontrolle.

Auf dieser Basis liegen dann die Grundlagen für ein Datensicherheitskonzept und wichtige Datenschutz-Nachweise vor und der Datenschutz wird in dem betrieblichen Risikomanagement entsprechend seiner Bedeutung auch berücksichtigt.

 

 

 

 

Artikel wurde zuletzt im September 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close