Skip to main content

Forum Privatheit veröffentlicht neues White Paper zur Datenschutz-Folgenabschätzung

Der Forschungsverbund „Forum Privatheit“ hat das White Paper „Datenschutz- Folgenabschätzung – Ein Werkzeug für besseren Datenschutz“ aktualisiert und konkretisiert. Die dritte, überarbeitete Auflage soll Unternehmen, Behörden und sonstigen daten- verarbeitenden Organisationen sowie den Datenschutz-Aufsichtsbehörden Hilfestellung bei der Ausgestaltung und praktischen Durchführung einer Datenschutz-Folgenabschätzung geben.

Mit Einführung der EU-Datenschutz-Grundverordnung wird die Durchführung einer Folgenabschätzung ab Mai 2018 für Datenverarbeiter verpflichtend. Ziel der Datenschutz- Folgenabschätzung ist es, die durch Datenverarbeitungen entstehenden Risiken für betroffene Personen abzuschätzen und zu minimieren.


Im vom BMBF geförderten Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Ansprechpartner/inne/n:

Sprecher „Forum Privatheit“:

Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet) Forschungszentrum für interdisziplinäre Technik-Gestaltung (ITeG) Tel: 0561/804-6544 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination „Forum Privatheit“:

Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI Competence Center Neue Technologien
Tel.: 0721 6809-146
E-Mail: Michael.Friedewald@isi.fraunhofer.de

Presse und Kommunikation „Forum Privatheit“:

Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI Tel.: 0721 6809-678
E-Mail: presse@forum-privatheit.de

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php Twitter: @ForumPrivatheit

Presseinformation: Neues Verfahren hilft Unternehmen bei Durchführung von Datenschutz-Folgenabschätzungen

Karlsruhe, Kiel 28.09.2017


Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft, die Unternehmen und Behörden in bestimmten Fällen Datenschutz-Folgenabschätzungen vorschreibt. Deren Ziel besteht in der Erfassung, Abschätzung und Eindämmung möglicher Risiken, die für Nutzerinnen und Nutzer durch Datenverarbeitung entstehen. Aktuell besteht jedoch eine große Unsicherheit, wie eine Folgenabschätzung konkret erfolgen muss – bei Unterlassung drohen empfindliche Geldstrafen. Ein neues Projekt unter Leitung des Fraunhofer ISI testet in diesem Kontext ein Verfahren, das bei der Durchführung von Folgenabschätzungen hilft und wird deren Ablauf detailliert in einem Handbuch beschreiben.


Die in bestimmten Fällen ab Mai 2018 verpflichtenden Datenschutz-Folgenabschätzungen sollen sicherstellen, dass persönliche Nutzerdaten keinem erhöhten Risiko unterliegen und auch neue Technologien und datenverarbeitende Anwendungen das Recht auf Datenschutz sowie andere Rechte und Freiheiten gewährleisten. Viele Unternehmen und Behörden haben bislang jedoch nur wenig Erfahrung bei der Durchführung einer solchen Risikoabschätzung und benötigen Unterstützung. Da Verstöße gegen die Pflicht zur Folgenabschätzung mit Geldbußen von bis zu 10 Mio. Euro beziehungsweise 2 Prozent des weltweiten Jahresumsatzes geahndet werden können, ist hier ein dringender Handlungsbedarf erforderlich.

Das im September 2017 gestartete, vom BMBF geförderten Projekt “Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz” nimmt sich diesem Bedarf an: Gemeinsam mit der Fachhochschule Kiel und dem FIZ Karlsruhe wird das Fraunhofer ISI ein bereits entwickeltes Verfahren zur Durchführung von Datenschutz-Folgenabschätzung testen, das sich sowohl in großen wie auch in kleinen Unternehmen und Behörden einsetzen lässt. Das Verfahren zielt nicht nur auf die Erfüllung der Pflicht einer Folgenabschätzung ab, sondern ermöglicht auch “Datenschutz durch Technikgestaltung”.

Die Durchführung einer Datenschutz-Folgenabschätzung ist laut Dr. Michael Friedewald, Leiter des Projekts am Fraunhofer ISI, in fünf Ablaufphasen gegliedert: “In der Vorbereitungsphase prüft ein Unternehmen oder eine Behörde, ob eine Folgenabschätzung erforderlich ist. Wenn ja, erfolgt in der Bewertungsphase zunächst eine Definition möglicher Risikoquellen und Betroffener. Die Bewertung der Risiken erfolgt dann anhand von sechs Schutzzielen (u.a. Nichtverkettbarkeit von Daten, Intervenierbarkeit, Vertraulichkeit). In einer Maßnahmenphase müssen dann aber auch Schutzmaßnahmen identifiziert, implementiert und ihre Wirksamkeit dokumentiert werden. In der Berichtsphase werden schließlich alle erfolgten Schritte schriftlich fixiert, die für eine unabhängige Überprüfung der Folgenabschätzung und die Information der Öffentlichkeit nötig sind.”

Um die Praxistauglichkeit des Verfahrens sicherzustellen, werden im Projekt ab Anfang 2018 Tests in Kooperation mit Unternehmen und Behörden gestartet. Im Sinne eines maximalen gesellschaftlichen Nutzens soll die Verfahrensmethodik anhand solcher Geräte und Bereiche überprüft werden, in denen mit sensiblen Daten gearbeitet wird, die verfassungsrechtlich problematisch sind oder die im Zuge des technischen Fortschrittes Konfliktpotenzial erwarten lassen. Dazu zählen etwa Wearables, also am Körper getragene Datenendgeräte wie Schrittzähler, die sensible Körperdaten erheben und besonderen Schutz erfordern. Ebenfalls trifft dies für den Bereich Open Public Data, also der freien Verfügbarkeit und Nutzbarkeit von durch öffentliche Stellen erhobenen Daten sowie dem Gesundheitsbereich zu, in dem die Verarbeitung sensibler Patientendaten zum Arbeitsalltag gehört. Ein weiterer Fokus liegt auf der Videoüberwachung, die in den letzten Jahren durch immer intelligentere Technik eine lückenlose Überwachung von Bürgerinnen und Bürgern möglich macht.

Das im Projekt entwickelte Verfahren zur Durchführung von Datenschutz-Folgenabschätzungen baut auf Erkenntnissen aus früheren Forschungsprojekten des Fraunhofer ISI sowie des Forschungsverbunds Forum Privatheit auf, in dessen Rahmen auch das White Paper “Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz” entstanden ist. Das neue Verfahren wird ausführlich in einem Handbuch beschrieben, damit Unternehmen und Behörden die Durchführung einer Folgenabschätzung schrittweise selbst vornehmen können.

Weitere Informationen

Kontakt:

Michael Friedewald, Fraunhofer ISI, michael.friedewald@isi.fraunhofer.de, +49.721.6809-146

DSFA KickOff in Kiel

Am 14. und 15. September 2015 trafen sich Vertreter sämtlicher Projektpartner zum ersten Projekt-Statustreffen des neu gestarteten Projektes DSFA. Gastgeber war der Fachbereich Informatik und Elektrotechnik der Fachhochschule Kiel, Themenschwerpunkte waren neben dem aktuellen Stand der Projektarbeiten vor allem organisatorische Fragen rund um Webauftritt, Projektlogo, Administration und Konstitution des Beirats sein. Auch der aktuelle Status bei der Suche nach einem Unterauftragnehmer zur Vervollständigung des Projektkonsortiums wird ein wichtiger Diskussionspunkt sein.

Buchkapitel zur Datenschutz-Folgenabschätzung erschienen.

Der digitale Wandel folgt keinen linearen Mustern – er ist dynamisch, komplex und disruptiv. Sich abzeichnende und in Fahrt kommende IT-Trends zu erkennen und sie normativ zu flankieren, ist eine der spannendsten Herausforderungen für Recht und Verwaltung. Mehr denn je hängt der Erfolg innovativer Regulierungsstrategien davon ab, sie mit den technischen Grundlagen der Digitalisierung zu synchronisieren. Das „Speyerer Forum zur digitale Lebenswelt“ versteht sich in diesem Prozess als Ideenwerkstatt und Innovationslabor für den öffentlichen Sektor. Der Tagungsband fasst die Beiträge des fünften Symposiums aus dem Jahre 2016 zusammen: Er enthält Beiträge aus den Bereichen Europäisches Datenschutzrecht, Big Data, E-Government, Smart City, Blockchain und digitale Medienlandschaft. Spannende Einzelthemen zu den „Perspektiven der digitalen Lebenswelt“ bündelt das Buch zu einem farbigen Kaleidoskop der digitalen Zukunft.

Mit Beiträgen von
Philipp Otto, Michael Friedewald, Matthias Bäcker, Stefan Brink, Jörn von Lucke, Peter Jakubowski, Michael Kolain, Robert Piehler, Detlev Rust, Mario Martini


Friedewald, M.; Bieker, F.; Hansen, M. (2017): Datenschutz-Folgenabschätzung: Ein neues Instrument in der Datenschutz-Grundverordnung. In: Hill, H.; Martini, M. et al. (Hrsg.): Perspektiven der digitalen Lebenswelt. Baden-Baden: Nomos (Verwaltungsressourcen und Verwaltungsstrukturen, 32).

Policy Paper zur EU-Datenschutz-Grundverordnung: Datenschutz bleibt weitgehend Aufgabe der Mitgliedsstaaten

Am 4. Mai 2016 wurde die neue Europäische Datenschutz-Grundverordnung verkündet, die den Datenschutz in der EU stärken soll. Das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordinierte Forum Privatheit veröffentlicht zu diesem Anlass ein neues Policy Paper, das sich mit der Ausgestaltung der Grundverordnung befasst. Darin geben die Autoren eine Einschätzung ab, ob die zentralen Ziele einer Harmonisierung und Modernisierung des europäischen Datenschutzrechts sowie eine Wettbewerbsangleichung erreicht werden.

Mit der Europäischen Datenschutz-Grundverordnung ist bei Datenschützern, Aufsichtsbehörden und Bürgerinnen und Bürgern gleichermaßen die Hoffnung nach einer Stärkung des Datenschutzes in der EU verbunden. Insbesondere drei große Ziele sind an die Grundverordnung geknüpft: Diese soll zum einen zu einer Harmonisierung bzw. zu einheitlich geltenden Datenschutzregeln in Europa führen. Darüber hinaus soll mit ihr das Datenschutzrecht modernisiert und an neue technologische Entwicklungen angepasst werden. Ein drittes Ziel besteht in einer Wettbewerbsangleichung, also einer Stärkung des EU-Binnenmarkts durch vereinheitliche Datenschutz-Regelungen.

Im neuen Policy Paper “Die neue Datenschutz-Grundverordnung – Ist das Datenschutzrecht nun für heutige Herausforderungen gerüstet?” nehmen die Wissenschaftlerinnen und Wissenschaftler des Forum Privatheit zur Grundverordnung Stellung. In Bezug auf eine Vereinheitlichung der Datenschutz-Regelungen in Europa benennt Prof. Dr. Alexander Roßnagel, Mitautor des Policy Papers und Leiter des Fachgebiets Öffentliches Recht an der Universität Kassel, zwei hierfür hinderliche Aspekte: “Die Datenschutz-Grundverordnung beinhaltet 70 Öffnungsklauseln, die bei der Zulässigkeit der Datenverarbeitung – insbesondere im gesamten öffentlichen Bereich –, den Betroffenenrechten, Erlaubnistatbeständen, dem Beschäftigungsdatenschutz oder der Meinungs- und Informationsfreiheit Regelungen an die EU-Mitgliedsstaaten überträgt. Hinzu kommt, dass diese Regelungen sehr abstrakt bleiben und von den Mitgliedsstaaten auf Basis ihrer eigenen Rechtstradition ausgelegt werden.” Eine Harmonisierung des Datenschutzrechts wird so laut Roßnagel verhindert und stattdessen Rechtsunsicherheit geschaffen.

Ziel einer Wettbewerbsangleichung in Europa wird verfehlt

Ein zweites zentrales Ziel der Verordnung besteht in einer Stärkung des europäischen Binnenmarktes durch vereinheitliche Datenschutz-Regelungen. Das Policy Paper gelangt zu dem Schluss, dass auch dieses Vorhaben nicht erfüllt wird. Der Grund dafür liegt ebenfalls an möglichen unterschiedlichen Interpretationen der abstrakten Datenschutz-Regelungen durch die Mitgliedsstaaten. Allerdings kann ein Datenschutz-Ausschuss auf europäischer Ebene hier künftig eine bestimmte Auslegung der Grundverordnung festlegen – für Gerichte sind diese Beschlüsse aber nicht verbindlich, sondern sie stellen lediglich Empfehlungen dar.

Das dritte Ziel einer Modernisierung des Datenschutzrechts wird von der Grundverordnung teilweise erreicht. Einen zentralen Fortschritt sehen die Autoren des Policy Papers im “Marktortprinzip”: Demnach soll nicht mehr der Ort der Datenverarbeitung für die Anwendung des Datenschutzrechts entscheidend sein, sondern die Frage, ob Daten von sich in der EU aufhaltenden Personen verarbeitet werden. Außerdem sieht die Verordnung empfindliche Sanktionen bei Nichtbeachtung des Datenschutzes vor, die bis zu vier Prozent des globalen Jahresumsatzes von Unternehmen ausmachen können. Dr. Michael Friedewald, der das Forum Privatheit am Fraunhofer ISI koordiniert und ebenfalls am Policy Paper mitgewirkt hat, weist auf weitere Verbesserungen hin: “Zum Beispiel bieten Datenschutz-Folgenabschätzungen künftig die Möglichkeit, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz abzuschätzen und diese gering zu halten.”

Risikoneutralität ist ein Defizit der neuen Grundverordnung

Neben diesen positiven Aspekten weist das Policy Paper auch auf Schwachstellen hin, die einer Modernisierung des Datenschutzrechts im Wege stehen. So dürfen personenbezogene Daten weiterhin über Umwege erhoben werden. Zudem reicht in Zukunft ein berechtigtes Interesse eines Dritten – etwa eines Unternehmens – aus, um persönliche Daten zu verarbeiten. Das größte Manko der Verordnung ist aber ihre Risikoneutralität: Sie enthält keine einzige spezifische Regelung zu den großen Herausforderungen moderner Informationstechniken wie Big Data, Ubiquitous Computing, Cloud Computing oder vielen anderen Grundrechtrisiken. Auch beinhaltet die Grundverordnung Transparenzpflichten, diese sind jedoch durch Grundrechte, Geschäftsgeheimnisse oder Urheberrechte weitgehend eingeschränkt.

Angesichts der vielen Schwachstellen der Datenschutz-Grundverordnung fällt das Fazit im Policy Paper eindeutig aus: Eine Harmonisierung und Wettbewerbsangleichung des EU-Datenschutzrechts wird gar nicht, eine Modernisierung nur teilweise erreicht. Die Datenschutz-Regelungen der Mitgliedsstaaten haben zudem weiter Bestand. Insgesamt wurden damit viele Chancen zur Stärkung des Datenschutzes in der EU verpasst. Dennoch gibt es wie im Falle des “Marktortprinzips” auch Fortschritte. Bevor die Grundverordnung in den kommenden zwei Jahren allerdings in Kraft treten kann, sind die Mitgliedstaaten, Aufsichtsbehörden, Verbände, der Europäische Datenschutz-Ausschuss sowie der europäische Gesetzgeber gefragt, so schnell wie möglich ergänzende rechtssichere und risikoadäquate Regelungen zu treffen.


Im vom BMBF geförderten Forum Privatheit setzen sich nationale und internationale Experten interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Hohenheim, die Universität Kassel, die Eberhard Karls Universität Tübingen, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sowie die Ludwig-Maximilians-Universität München. Die Forschungsergebnisse des Forums Privatheit fließen dabei nicht nur in den wissenschaftlichen Diskurs ein, sondern sollen auch Bürgerinnen und Bürger über Fragen des Privatheitsschutzes informieren.

White Paper “Datenschutz-Folgenabschätzung”

Folgenabschätzungen als „Frühwarnsysteme“ für einen verbesserten Datenschutz

Ein neues White Paper des Forum Privatheit, das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordiniert wird, befasst sich mit der möglichen Ausgestaltung künftiger Datenschutz-Folgenabschätzungen (DSFA) und gibt Hilfestellungen zu deren praktischer Durchführung. Weil diese Instrumente mit Einführung der europäischen Datenschutz-Grundverordnung ab 2018 für Technologieanbieter und Systembetreiber verpflichtend werden, stellt das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen verbesserten Datenschutz“ bereits jetzt erste grundlegende Informationen zu dieser Neuerung bereit. Die Folgenabschätzungen sollen Technikanbietern, Datenschutz-Aufsichtsbehörden sowie der Öffentlichkeit helfen, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz wirksam abzuschätzen und diese von vornherein so gering wie möglich zu halten.

Bei der Nutzung vieler Dienste und Angebote im Internet wie etwa beim Online-Shopping, in sozialen Netzwerken oder selbst auf den Webseiten staatlicher Behörden werden häufig personenbezogene Daten gesammelt. Nutzerinnen und Nutzer können sich dieser Praxis bislang nur entziehen, wenn sie bestimmte Angebote ausdrücklich nicht nutzen – oder sich mit der Datensammlung einverstanden zeigen. Die dadurch entstehenden Risiken sind in der Öffentlichkeit bislang nur wenig bekannt, obwohl Medien immer wieder über Datenmissbrauch oder Datenpannen berichten.

Um künftig die Gefahren durch Datenverarbeitungspraktiken besser beurteilen zu können, müssen viele Technikanbieter und Systembetreiber ab 2018 bei ihren Angeboten und Diensten Datenschutz-Folgenabschätzungen vornehmen. Bisher ist jedoch offen, wie und nach welchen Kriterien dies genau erfolgen soll. Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen verbesserten Datenschutz“ des Forum Privatheit setzt hier an und erarbeitet erste Grundzüge zur Ausgestaltung künftiger Datenschutz-Folgenabschätzungen und deren praktischer Durchführung. Die Auseinandersetzung hiermit ist auch deshalb wichtig, da die EU-Mitgliedsstaaten nach der Verabschiedung der Datenschutz-Grundverordnung im Jahr 2016  unmittelbar damit beginnen werden, diese bis 2018 in die Praxis umzusetzen.

Dr. Michael Friedewald, der am Fraunhofer ISI zur Auswirkung von neuen Technologien auf Datenschutz und Privatheit forscht und einer der Mitautoren des White Papers ist, hebt die große Bedeutung der Folgeabschätzungen hervor: “Datenschutz-Folgenabschätzungen ermöglichen nicht nur eine bessere Einschätzung der Risiken durch bestehende datenverarbeitende Technologien, sondern sie weisen auch frühzeitig und während des Entwicklungsstadiums als eine Art ‘Frühwarnsystem’ auf eventuelle negative Konsequenzen für den Datenschutz hin. Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz wird damit im Sinne des ‘Privacy by Design’ bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert”.

Die künftig gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzungen bringen für ganz unterschiedliche Zielgruppen Vorteile mit sich: So könnten Technikanbieter und Systembetreiber die Technologieentwicklung besser steuern und sich spätere Nachbesserungen beim Datenschutzes sparen. Durch die Vermeidung von Datenpannen erübrigen sich zudem Kosten für deren Behebung, mögliche Schadenersatzansprüche und Imageschäden in der Öffentlichkeit. Davon profitieren auch die Bürgerinnen und Bürger, die in Zukunft auf Basis der Folgenabschätzungen einfacher entscheiden können, welche Online-Angebote sie nutzen wollen oder nicht. Über Zertifikate wäre es zum Beispiel schnell überprüfbar, ob Anbieter oder Betreiber Betroffenenrechte berücksichtigt haben – und die Unternehmen könnten hierdurch ihren Willen zur Achtung dieser Rechte zum Ausdruck bringen.

Neben den Technologieanbietern und Nutzern wären die Datenschutz-Folgeabschätzungen vor allem für Aufsichtsbehörden hilfreich. Die Durchführung standardisierter Folgenabschätzungen hat für Aufsichtsbehörden etwa den Vorteil, dass sie ihre Aufsichtspflicht in Zukunft besser wahrnehmen und mögliche Schwächen beim Datenschutz oder Rechtsverstöße schneller erkennen können. Zudem wären sie für Technologieanbieter und Systembetreiber eine geeignete Anlaufstelle, um Hilfestellungen zur Verbesserung von Produkten oder ihrer gesamten Datenverarbeitungspraxis zu bekommen.

Damit Datenschutz-Folgenabschätzungen in Zukunft ihr Potenzial gänzlich entfalten können, sollten sie mehrfach – und nicht nur einmal, etwa zu Beginn eines Produktlebenszyklus – durchgeführt werden. Damit ließe sich die gängige Sammelpraxis insgesamt verändern und Unternehmen für die stärkere Achtung von Bürgerrechten sensibilisieren, die sie häufig nicht im Detail kennen. “Steuerungsdilemmata” und verspätete Nachbesserungen zur Stärkung des Datenschutzes am Ende der Entwicklungsphase würden damit obsolet, was allen betroffenen Seiten zugutekäme.

Vortrag “Datenschutz-Folgenabschätzung” (7/4/2016)

Beim 5. Speyerer Forum zur digitalen Lebenswelt am  7/8. April 2016 in Speyer referiere ich zum Thema Datenschutzfolgenabschätzung (DSFA):

  • Datenschutzfolgenabschätzung und Risikoansatz in der EU-DS-GVO
  • Elemente eines Prozesses für die Datenschutzfolgenabschätzung
  • Datenschutzfolgenabschätzung und Standard-Datenschutzmodell

Zum Thema DSFA wird das Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt in Kürze auch ein White Paper veröffentlichen.