Skip to main content

Datenschutz-Folgenabschätzungen für die betriebliche und behördliche Praxis

Im Projekt  “Datenschutz-Folgenabschätzungen für die betriebliche und behördliche Praxis” (DSFA) wird ein Konzept zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) validiert. Die neue europäische Datenschutz-Grundverordnung (DS-GVO), die ab Mai 2018 angewendet wird, sieht für bestimmte Anwendungen die Durchführung einer DSFA obligatorisch vor. Aufgabe einer DSFA muss es sein, Kriterien des Grundrechtsschutzes zu definieren, die Folgen von Datenverarbeitungspraktiken möglichst umfassend zu erfassen sowie objektiv und nachvollziehbar mit Blick auf die verschiedenen Rollen und damit verbundenen Interessen so zu bewerten, dass typischen Angriffen durch Organisationen und durch Externe mit adäquaten Gegenmaßnahmen begegnet werden kann.  Eine DSFA darf nicht nur eine „lästige Pflicht“ für eine Organisationen darstellen, die sie durchführt, sondern ist ein wichtiges Element für einen innovativen Ansatz der Systementwicklung, das so genannte „Privacy by Design“ (PbD). Institutionen, die zuverlässig, rechtzeitig und umfassend mögliche Datenschutzrisiken erkennen, sind in der Lage, solche nicht-funktionalen Anforderungen frühzeitig in den Systementwurf zu berücksichtigen.

Die hierbei angestrebte Innovation betrifft die Entwicklung eines Rahmens für Datenschutzfolgen-Abschätzungen: Dies umfasst einen Prozess zu deren Durchführung, eine Methodik zum Einbezug aller relevanten Akteure, Kriterien zur zuverlässigen Messung und Bewertung von Datenschutzfolgen sowie Möglichkeiten, diese Elemente in einem Softwaretool zu integrieren.

Wie eine DSFA durchzuführen ist, ist in der DS-GVO nur rudimentär beschrieben. Ziel des Vorhabens ist es, das von den Antragstellern entwickelte Verfahren für eine DSFA zu validieren und praxistauglich zu machen. Es soll für unterschiedliche Anwendungen geeignet sein, von Akteuren aus der Wirtschaft wie der öffentlichen Verwaltung genutzt werden können, von Institutionen unterschiedlicher Größe gleichermaßen praktikabel sein und die Anforderungen des PbD erfüllen. Gegenstand des Projektes soll es sein, die verschiedenen Elemente des DSFA-Konzepts mit realen Anwendungen und in Kooperation mit Akteuren aus Wirtschaft und öffentlicher Verwaltung zu testen und auf Basis der Ergebnisse ggf. Modifikationen vorzunehmen.

Validierungsziele sind der Nachweis, dass mit das validierte DSFA-Konzept die Anforderungen sowohl des Gesetzgebers als auch der Aufsichtsbehörden erfüllt (Effektivität) und von den nutzenden  Unternehmen und Behörden als nützlich und praktikabel bewertet wird (Effizienz).

Für ein innovatives und zuverlässiges DSFA-Konzept existieren unterschiedliche Verwertungs- und Anwendungswege:  Da künftig jedes Unternehmen und jede öffentliche Einrichtung, die personenbezogene Daten verarbeiten, ggf. eine DSFA durchführen muss, gibt es eine hohe potenzielle Nachfrage nach Dienstleistung (vor allem Durchführung von DSFAen und Schulungen zum Einsatz der DSFA-Methodik) und nach unterstützenden Software-Werkzeugen.

Status

Laufendes Projekt (09/2017-08/2019)

Partner:

  • Fraunhofer ISI (Verbundkoordinator);
  • Fachhochschule Kiel
  • FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur
  • ULD (Unterauftragnehmer)
  • Datenschutz Nord (Unterauftragnehmer)
  • Ostfalia Fachhochschule

Forum Privatheit veröffentlicht neues White Paper zur Datenschutz-Folgenabschätzung

Der Forschungsverbund „Forum Privatheit“ hat das White Paper „Datenschutz- Folgenabschätzung – Ein Werkzeug für besseren Datenschutz“ aktualisiert und konkretisiert. Die dritte, überarbeitete Auflage soll Unternehmen, Behörden und sonstigen daten- verarbeitenden Organisationen sowie den Datenschutz-Aufsichtsbehörden Hilfestellung bei der Ausgestaltung und praktischen Durchführung einer Datenschutz-Folgenabschätzung geben.

Mit Einführung der EU-Datenschutz-Grundverordnung wird die Durchführung einer Folgenabschätzung ab Mai 2018 für Datenverarbeiter verpflichtend. Ziel der Datenschutz- Folgenabschätzung ist es, die durch Datenverarbeitungen entstehenden Risiken für betroffene Personen abzuschätzen und zu minimieren.


Im vom BMBF geförderten Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Ansprechpartner/inne/n:

Sprecher „Forum Privatheit“:

Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet) Forschungszentrum für interdisziplinäre Technik-Gestaltung (ITeG) Tel: 0561/804-6544 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination „Forum Privatheit“:

Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI Competence Center Neue Technologien
Tel.: 0721 6809-146
E-Mail: Michael.Friedewald@isi.fraunhofer.de

Presse und Kommunikation „Forum Privatheit“:

Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI Tel.: 0721 6809-678
E-Mail: presse@forum-privatheit.de

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php Twitter: @ForumPrivatheit

Presseinformation: Neues Verfahren hilft Unternehmen bei Durchführung von Datenschutz-Folgenabschätzungen

Karlsruhe, Kiel 28.09.2017


Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft, die Unternehmen und Behörden in bestimmten Fällen Datenschutz-Folgenabschätzungen vorschreibt. Deren Ziel besteht in der Erfassung, Abschätzung und Eindämmung möglicher Risiken, die für Nutzerinnen und Nutzer durch Datenverarbeitung entstehen. Aktuell besteht jedoch eine große Unsicherheit, wie eine Folgenabschätzung konkret erfolgen muss – bei Unterlassung drohen empfindliche Geldstrafen. Ein neues Projekt unter Leitung des Fraunhofer ISI testet in diesem Kontext ein Verfahren, das bei der Durchführung von Folgenabschätzungen hilft und wird deren Ablauf detailliert in einem Handbuch beschreiben.


Die in bestimmten Fällen ab Mai 2018 verpflichtenden Datenschutz-Folgenabschätzungen sollen sicherstellen, dass persönliche Nutzerdaten keinem erhöhten Risiko unterliegen und auch neue Technologien und datenverarbeitende Anwendungen das Recht auf Datenschutz sowie andere Rechte und Freiheiten gewährleisten. Viele Unternehmen und Behörden haben bislang jedoch nur wenig Erfahrung bei der Durchführung einer solchen Risikoabschätzung und benötigen Unterstützung. Da Verstöße gegen die Pflicht zur Folgenabschätzung mit Geldbußen von bis zu 10 Mio. Euro beziehungsweise 2 Prozent des weltweiten Jahresumsatzes geahndet werden können, ist hier ein dringender Handlungsbedarf erforderlich.

Das im September 2017 gestartete, vom BMBF geförderten Projekt “Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz” nimmt sich diesem Bedarf an: Gemeinsam mit der Fachhochschule Kiel und dem FIZ Karlsruhe wird das Fraunhofer ISI ein bereits entwickeltes Verfahren zur Durchführung von Datenschutz-Folgenabschätzung testen, das sich sowohl in großen wie auch in kleinen Unternehmen und Behörden einsetzen lässt. Das Verfahren zielt nicht nur auf die Erfüllung der Pflicht einer Folgenabschätzung ab, sondern ermöglicht auch “Datenschutz durch Technikgestaltung”.

Die Durchführung einer Datenschutz-Folgenabschätzung ist laut Dr. Michael Friedewald, Leiter des Projekts am Fraunhofer ISI, in fünf Ablaufphasen gegliedert: “In der Vorbereitungsphase prüft ein Unternehmen oder eine Behörde, ob eine Folgenabschätzung erforderlich ist. Wenn ja, erfolgt in der Bewertungsphase zunächst eine Definition möglicher Risikoquellen und Betroffener. Die Bewertung der Risiken erfolgt dann anhand von sechs Schutzzielen (u.a. Nichtverkettbarkeit von Daten, Intervenierbarkeit, Vertraulichkeit). In einer Maßnahmenphase müssen dann aber auch Schutzmaßnahmen identifiziert, implementiert und ihre Wirksamkeit dokumentiert werden. In der Berichtsphase werden schließlich alle erfolgten Schritte schriftlich fixiert, die für eine unabhängige Überprüfung der Folgenabschätzung und die Information der Öffentlichkeit nötig sind.”

Um die Praxistauglichkeit des Verfahrens sicherzustellen, werden im Projekt ab Anfang 2018 Tests in Kooperation mit Unternehmen und Behörden gestartet. Im Sinne eines maximalen gesellschaftlichen Nutzens soll die Verfahrensmethodik anhand solcher Geräte und Bereiche überprüft werden, in denen mit sensiblen Daten gearbeitet wird, die verfassungsrechtlich problematisch sind oder die im Zuge des technischen Fortschrittes Konfliktpotenzial erwarten lassen. Dazu zählen etwa Wearables, also am Körper getragene Datenendgeräte wie Schrittzähler, die sensible Körperdaten erheben und besonderen Schutz erfordern. Ebenfalls trifft dies für den Bereich Open Public Data, also der freien Verfügbarkeit und Nutzbarkeit von durch öffentliche Stellen erhobenen Daten sowie dem Gesundheitsbereich zu, in dem die Verarbeitung sensibler Patientendaten zum Arbeitsalltag gehört. Ein weiterer Fokus liegt auf der Videoüberwachung, die in den letzten Jahren durch immer intelligentere Technik eine lückenlose Überwachung von Bürgerinnen und Bürgern möglich macht.

Das im Projekt entwickelte Verfahren zur Durchführung von Datenschutz-Folgenabschätzungen baut auf Erkenntnissen aus früheren Forschungsprojekten des Fraunhofer ISI sowie des Forschungsverbunds Forum Privatheit auf, in dessen Rahmen auch das White Paper “Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz” entstanden ist. Das neue Verfahren wird ausführlich in einem Handbuch beschrieben, damit Unternehmen und Behörden die Durchführung einer Folgenabschätzung schrittweise selbst vornehmen können.

Weitere Informationen

Kontakt:

Michael Friedewald, Fraunhofer ISI, michael.friedewald@isi.fraunhofer.de, +49.721.6809-146

DSFA KickOff in Kiel

Am 14. und 15. September 2015 trafen sich Vertreter sämtlicher Projektpartner zum ersten Projekt-Statustreffen des neu gestarteten Projektes DSFA. Gastgeber war der Fachbereich Informatik und Elektrotechnik der Fachhochschule Kiel, Themenschwerpunkte waren neben dem aktuellen Stand der Projektarbeiten vor allem organisatorische Fragen rund um Webauftritt, Projektlogo, Administration und Konstitution des Beirats sein. Auch der aktuelle Status bei der Suche nach einem Unterauftragnehmer zur Vervollständigung des Projektkonsortiums wird ein wichtiger Diskussionspunkt sein.