Skip to main content

Soeben erschienen: Data Protection Impact Assessments

Abstract. This workshop introduced participants to the process of Data Protection Impact Assessment. This new tool of the GDPR is highly relevant for any processing of personal data, as it helps to structure the process, be aware of data protection issues and the relevant legislation and implement proper safe- guards to protect data subjects. For processing operations posing a high risk for data subjects, a DPIA is mandatory from May 2018. The interactive workshop provided a framework for DPIA and guidance on specific questions such as when a high risk is likely to occur or how specific risks can be evaluated, which was assessed by participants in an interactive session with two different scenarios.

Bieker, Felix, Nicholas Martin, Michael Friedewald, and Marit Hansen, „Data Protection Impact Assessment: A Hands-On Tour of the GDPR’s Most Practical Tool“, in Marit Hansen, Eleni Kosta, Igor Nai-Fovino, and Simone Fischer-Hübner (eds.), Privacy and Identity Management. The Smart Revolution. 12th IFIP WG 9.2, 9.5, 9.6/11.7, 11.6/SIG 9.2.2 International Summer School, Ispra, Italy, September 4-8, 2017, Revised Selected Papers, Springer, Cham, 2018, pp. 207-220. https://doi.org/10.1007/978-3-319-92925-5_13

 

Datenschutz-Grundverordnung: Datenschutz-Forscher des Fraunhofer ISI erklärt, was sich ändert

Ab heute gilt die neue EU-Datenschutz-Grundverordnung (DSGVO), die den Datenschutz in der EU stärken soll. Dabei stellt sich die Frage, was sich jetzt konkret ändert und was beachtet werden muss. Dr. Michael Friedewald, der am Fraunhofer ISI zum Thema Datenschutz forscht und dort unter anderem den Forschungsverbund Forum Privatheit koordiniert, beantwortet im Interview die wichtigsten Fragen.


Mit der EU-Datenschutz-Grundverordnung ist bei Datenschützern, Aufsichtsbehörden und Bürgerinnen und Bürgern gleichermaßen die Hoffnung nach einer Stärkung des Datenschutzes in der EU verbunden. Doch ist diese Hoffnung berechtigt? Was müssen Unternehmen zum Inkrafttreten der DSGVO wissen? Und wo liegen die Stärken und Schwächen der neuen Grundverordnung? Im Interview steht Datenschutz-Forscher Dr. Michael Friedewald vom Fraunhofer ISI in 10 Fragen Rede und Antwort.

Frage (1): Ab heute gilt die neue DSGVO. Was sind die wichtigsten Neuerungen?

Dr. Michael Friedewald: Die zentralen Neuerungen sind erweiterte Anweisungs- und Sanktionsbefugnisse der Datenschutz-Aufsichtsbehörden, das »Marktortprinzip« bzw. die Ausweitung des räumlichen Datenschutz-Anwendungsbereichs sowie klarer ausgestaltete Rechte für Betroffene.

Frage (2): Stichwort Sanktionen: Müssen Unternehmen, öffentliche Einrichtungen und Privatpersonen nun mit harten Strafen rechnen, wenn sie Fehler beim Datenschutz machen?

Dr. Michael Friedewald: Wenngleich die Sanktions- und Einspruchsmöglichkeiten deutlich erweitert wurden – Verstöße gegen die Datenschutzvorgaben können mit bis zu 20 Mio. Euro Strafe bzw. 4% des Vorjahresumsatzes eines Unternehmens geahndet werden – ist keine unmittelbare Sanktionswelle zu befürchten. Es geht um die Umsetzung der DSGVO. Finanzielle Strafen sind nur die letzte Sanktionsmöglichkeit, Aufsichtsbehörden geben vielmehr Hilfestellungen, wo und wie Unternehmen und andere Einrichten beim Datenschutz nachbessern können. Die aktuelle Hysterie in dieser Sache ist also völlig übertrieben.

Frage (3): Systembetreiber müssen im Zuge der DSGVO auch Datenschutz-Folgenabschätzen durchführen – was bringen diese?

Dr. Michael Friedewald: Datenschutz-Folgenabschätzungen sind ein wirklich innovatives Element der DSGVO. Sie ermöglichen einerseits eine bessere Einschätzung der Risiken durch bestehende Datenverarbeitungen. Andererseits weisen sie frühzeitig und während des Entwicklungsstadiums auf mögliche negative Konsequenzen für den Datenschutz hin. Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz kann damit im Sinne des »Datenschutz durch Technikgestaltung« – einem weiteren innovativen Element des neuen Datenschutzrechts – bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert werden.

Frage (4): Und wie laufen Datenschutz-Folgenabschätzungen konkret ab?

Dr. Michael Friedewald: Die Durchführung einer Folgenabschätzung erfolgt in vier Phasen: Zunächst wird die Notwendigkeit einer Folgenabschätzung geprüft. Falls erforderlich, erfolgt dann die Bewertung der Risiken anhand der sechs Schutzziele Nicht-Verkettbarkeit von Daten, Transparenz, Intervenierbarkeit, Verfügbarkeit, Integrität und Vertraulichkeit. Wurden Risiken identifiziert, müssen diese durch geeignete Schutzmaßnahmen beseitigt werden. Und in einer schriftlichen Dokumentation werden alle Schritte festgehalten, damit sich die Aufsichtsbehörden oder auch die Bürgerinnen und Bürger über die Datenschutzanstrengungen eines Unternehmens oder einer Behörde informieren können.

Frage (5): Neu ist auch das »Marktortprinzip« – was hat es damit auf sich?

Dr. Michael Friedewald: Mit der DSGVO ist nicht mehr der Ort der Datenverarbeitung für die Anwendung des Datenschutzrechts entscheidend, sondern die Frage, ob Daten von sich in der EU aufhaltenden Personen verarbeitet werden. Damit gilt die EU-Verordnung für alle Datenverarbeiter – und zwar weltweit. Große Unternehmen haben bereits angekündigt, dass sie den Regeln der DSGVO auch auf anderen Märkten folgen werden.

Frage (6): Werden die Rechte von betroffenen Personen durch die DSGVO insgesamt gestärkt?

Dr. Michael Friedewald: Das kann man grundsätzlich bejahen, wenngleich Vieles beim Alten bleibt. In jedem Falle sind die Rechte klarer ausgestaltet. So kann man sich etwa direkt bei den regionalen Aufsichtsbehörden beschweren, wenn man einen Verstoß gegen das Datenschutzrecht feststellt, was vorher nicht ging.

Frage (7): Verliert Europa durch die DSGVO nicht gegenüber anderen Ländern an Wettbewerbsfähigkeit, in denen die Entwicklung der Datenökonomie nicht durch zu viel Datenschutz behindert wird?

Dr. Michael Friedewald: Natürlich steht der Schutz von Grundrechten im Vordergrund. Aber Beispiele aus anderen Bereichen wie dem Umweltschutz zeigen, dass eine ambitionierte Regulierung auch innovative Lösungen hervorbringt, die sich mittel- bis langfristig zum Wettbewerbsvorteil für Europa entwickelt haben. Daher sehe ich den Datenschutz nicht als Innovationshemmnis, im Gegenteil: Hier kann Europa Vorreiter sein.

Frage (8): Wie geht die DSGVO mit künftigen technischen Entwicklungen um, etwa im Bereich Big Data oder künstliche Intelligenz?

Dr. Michael Friedewald: Bei der Technikneutralität sehe ich ihr größtes Manko, denn sie macht keine Unterschiede beim Risiko einer Verarbeitung. So gibt es keine einzige Regelung zu den großen Herausforderungen moderner Informationstechniken wie Big Data, Internet der Dinge, Cloud Computing, Selbstlernende Systeme, Suchmaschinen und vielen anderen Grundrechtrisiken. Auch beinhaltet die Grundverordnung Transparenzpflichten, die allerdings durch Geschäftsgeheimnisse oder Urheberrechte und sogar durch deutsche Gesetze weitgehend eingeschränkt sind.

Frage (9): Wird mit der EU-weit gültigen Grundverordnung das Ziel der Harmonisierung und Vereinheitlichung des Datenschutzes erreicht?

Dr. Michael Friedewald: Diese Frage muss man leider verneinen. Es gibt insgesamt über 70 Öffnungsklauseln, die bei der Zulässigkeit der Datenverarbeitung – insbesondere im gesamten öffentlichen Bereich –, den Betroffenenrechten, Erlaubnistatbeständen, dem Beschäftigungsdatenschutz oder der Meinungs- und Informationsfreiheit Regelungen an die EU-Mitgliedsstaaten überträgt. Auch bleiben diese Regelungen abstrakt und die Mitgliedsstaaten bzw. sogar nationale Gerichtsbezirke legen sie auf Basis ihrer Rechtstradition aus. Bis die Details durch Prozesse zur Vereinheitlichung der Datenschutzaufsicht und durch Urteile des EuGH geklärt sind, dürften die abstrakten Vorschriften über Jahrzehnte für Rechtsunsicherheit sorgen.

Frage (10): Muss man sich als Privatperson jetzt Sorgen machen, wenn man bei der Nutzung von sozialen Medien oder Blogs unwissentlich gegen die DSGVO verstößt?

Dr. Michael Friedewald: Die DSGVO gibt keinen Anlass zu Bedenken, dass wir als Privatpersonen etwa in Zukunft beim Fotografieren, beim Betrieb eines Blogs oder der Nutzung von sozialen Medien und Messengern wie Whatsapp wegen Datenschutzverstößen belangt werden können. Bei Fotos greift nach Aussage des BMI weiterhin das Kunsturhebergesetz, das als Spezialregelung stets Vorrang vor der DSGVO hat. Der private Blog ist durch die »Haushaltsausnahme« ohnehin von den Regelungen der DSGVO ausgenommen. Und bei den sozialen Medien und Messengern sind gerade die Betreiber in der Pflicht, die Verarbeitungen datenschutzkonform zu gestalten. So ist eine Übermittlung des gesamten Adressbuchs – wie bei der Anmeldung bei WhatsApp bislang üblich – künftig nicht mehr zulässig.


Im Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär, kritisch und unabhängig mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Das BMBF fördert das Forum Privatheit, um den öffentlichen Diskurs zu den Themen Privatheit und Datenschutz anzuregen.

Datenschutz-Folgenabschätzungen für die betriebliche und behördliche Praxis

Im Projekt  „Datenschutz-Folgenabschätzungen für die betriebliche und behördliche Praxis“ (DSFA) wird ein Konzept zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) validiert. Die neue europäische Datenschutz-Grundverordnung (DS-GVO), die ab Mai 2018 angewendet wird, sieht für bestimmte Anwendungen die Durchführung einer DSFA obligatorisch vor. Aufgabe einer DSFA muss es sein, Kriterien des Grundrechtsschutzes zu definieren, die Folgen von Datenverarbeitungspraktiken möglichst umfassend zu erfassen sowie objektiv und nachvollziehbar mit Blick auf die verschiedenen Rollen und damit verbundenen Interessen so zu bewerten, dass typischen Angriffen durch Organisationen und durch Externe mit adäquaten Gegenmaßnahmen begegnet werden kann.  Eine DSFA darf nicht nur eine „lästige Pflicht“ für eine Organisationen darstellen, die sie durchführt, sondern ist ein wichtiges Element für einen innovativen Ansatz der Systementwicklung, das so genannte „Privacy by Design“ (PbD). Institutionen, die zuverlässig, rechtzeitig und umfassend mögliche Datenschutzrisiken erkennen, sind in der Lage, solche nicht-funktionalen Anforderungen frühzeitig in den Systementwurf zu berücksichtigen.

Die hierbei angestrebte Innovation betrifft die Entwicklung eines Rahmens für Datenschutzfolgen-Abschätzungen: Dies umfasst einen Prozess zu deren Durchführung, eine Methodik zum Einbezug aller relevanten Akteure, Kriterien zur zuverlässigen Messung und Bewertung von Datenschutzfolgen sowie Möglichkeiten, diese Elemente in einem Softwaretool zu integrieren.

Wie eine DSFA durchzuführen ist, ist in der DS-GVO nur rudimentär beschrieben. Ziel des Vorhabens ist es, das von den Antragstellern entwickelte Verfahren für eine DSFA zu validieren und praxistauglich zu machen. Es soll für unterschiedliche Anwendungen geeignet sein, von Akteuren aus der Wirtschaft wie der öffentlichen Verwaltung genutzt werden können, von Institutionen unterschiedlicher Größe gleichermaßen praktikabel sein und die Anforderungen des PbD erfüllen. Gegenstand des Projektes soll es sein, die verschiedenen Elemente des DSFA-Konzepts mit realen Anwendungen und in Kooperation mit Akteuren aus Wirtschaft und öffentlicher Verwaltung zu testen und auf Basis der Ergebnisse ggf. Modifikationen vorzunehmen.

Validierungsziele sind der Nachweis, dass mit das validierte DSFA-Konzept die Anforderungen sowohl des Gesetzgebers als auch der Aufsichtsbehörden erfüllt (Effektivität) und von den nutzenden  Unternehmen und Behörden als nützlich und praktikabel bewertet wird (Effizienz).

Für ein innovatives und zuverlässiges DSFA-Konzept existieren unterschiedliche Verwertungs- und Anwendungswege:  Da künftig jedes Unternehmen und jede öffentliche Einrichtung, die personenbezogene Daten verarbeiten, ggf. eine DSFA durchführen muss, gibt es eine hohe potenzielle Nachfrage nach Dienstleistung (vor allem Durchführung von DSFAen und Schulungen zum Einsatz der DSFA-Methodik) und nach unterstützenden Software-Werkzeugen.

Status

Laufendes Projekt (09/2017-08/2019)

Partner:

  • Fraunhofer ISI (Verbundkoordinator);
  • Fachhochschule Kiel
  • FIZ Karlsruhe – Leibniz-Institut für Informationsinfrastruktur
  • ULD (Unterauftragnehmer)
  • Datenschutz Nord (Unterauftragnehmer)
  • Ostfalia Fachhochschule

Forum Privatheit veröffentlicht neues White Paper zur Datenschutz-Folgenabschätzung

Der Forschungsverbund „Forum Privatheit“ hat das White Paper „Datenschutz- Folgenabschätzung – Ein Werkzeug für besseren Datenschutz“ aktualisiert und konkretisiert. Die dritte, überarbeitete Auflage soll Unternehmen, Behörden und sonstigen daten- verarbeitenden Organisationen sowie den Datenschutz-Aufsichtsbehörden Hilfestellung bei der Ausgestaltung und praktischen Durchführung einer Datenschutz-Folgenabschätzung geben.

Mit Einführung der EU-Datenschutz-Grundverordnung wird die Durchführung einer Folgenabschätzung ab Mai 2018 für Datenverarbeiter verpflichtend. Ziel der Datenschutz- Folgenabschätzung ist es, die durch Datenverarbeitungen entstehenden Risiken für betroffene Personen abzuschätzen und zu minimieren.


Im vom BMBF geförderten Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

Ansprechpartner/inne/n:

Sprecher „Forum Privatheit“:

Prof. Dr. Alexander Roßnagel
Universität Kassel
Projektgruppe verfassungsverträgliche Technikgestaltung (provet) Forschungszentrum für interdisziplinäre Technik-Gestaltung (ITeG) Tel: 0561/804-6544 oder 2874
E-Mail: a.rossnagel@uni-kassel.de

Projektkoordination „Forum Privatheit“:

Dr. Michael Friedewald
Fraunhofer-Institut für System- und Innovationsforschung ISI Competence Center Neue Technologien
Tel.: 0721 6809-146
E-Mail: Michael.Friedewald@isi.fraunhofer.de

Presse und Kommunikation „Forum Privatheit“:

Barbara Ferrarese, M.A.
Fraunhofer-Institut für System- und Innovationsforschung ISI Tel.: 0721 6809-678
E-Mail: presse@forum-privatheit.de

Forum „Privatheit und selbstbestimmtes Leben in der digitalen Welt“
https://www.forum-privatheit.de/forum-privatheit-de/index.php Twitter: @ForumPrivatheit

Presseinformation: Neues Verfahren hilft Unternehmen bei Durchführung von Datenschutz-Folgenabschätzungen

Karlsruhe, Kiel 28.09.2017


Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft, die Unternehmen und Behörden in bestimmten Fällen Datenschutz-Folgenabschätzungen vorschreibt. Deren Ziel besteht in der Erfassung, Abschätzung und Eindämmung möglicher Risiken, die für Nutzerinnen und Nutzer durch Datenverarbeitung entstehen. Aktuell besteht jedoch eine große Unsicherheit, wie eine Folgenabschätzung konkret erfolgen muss – bei Unterlassung drohen empfindliche Geldstrafen. Ein neues Projekt unter Leitung des Fraunhofer ISI testet in diesem Kontext ein Verfahren, das bei der Durchführung von Folgenabschätzungen hilft und wird deren Ablauf detailliert in einem Handbuch beschreiben.


Die in bestimmten Fällen ab Mai 2018 verpflichtenden Datenschutz-Folgenabschätzungen sollen sicherstellen, dass persönliche Nutzerdaten keinem erhöhten Risiko unterliegen und auch neue Technologien und datenverarbeitende Anwendungen das Recht auf Datenschutz sowie andere Rechte und Freiheiten gewährleisten. Viele Unternehmen und Behörden haben bislang jedoch nur wenig Erfahrung bei der Durchführung einer solchen Risikoabschätzung und benötigen Unterstützung. Da Verstöße gegen die Pflicht zur Folgenabschätzung mit Geldbußen von bis zu 10 Mio. Euro beziehungsweise 2 Prozent des weltweiten Jahresumsatzes geahndet werden können, ist hier ein dringender Handlungsbedarf erforderlich.

Das im September 2017 gestartete, vom BMBF geförderten Projekt „Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz“ nimmt sich diesem Bedarf an: Gemeinsam mit der Fachhochschule Kiel und dem FIZ Karlsruhe wird das Fraunhofer ISI ein bereits entwickeltes Verfahren zur Durchführung von Datenschutz-Folgenabschätzung testen, das sich sowohl in großen wie auch in kleinen Unternehmen und Behörden einsetzen lässt. Das Verfahren zielt nicht nur auf die Erfüllung der Pflicht einer Folgenabschätzung ab, sondern ermöglicht auch „Datenschutz durch Technikgestaltung“.

Die Durchführung einer Datenschutz-Folgenabschätzung ist laut Dr. Michael Friedewald, Leiter des Projekts am Fraunhofer ISI, in fünf Ablaufphasen gegliedert: „In der Vorbereitungsphase prüft ein Unternehmen oder eine Behörde, ob eine Folgenabschätzung erforderlich ist. Wenn ja, erfolgt in der Bewertungsphase zunächst eine Definition möglicher Risikoquellen und Betroffener. Die Bewertung der Risiken erfolgt dann anhand von sechs Schutzzielen (u.a. Nichtverkettbarkeit von Daten, Intervenierbarkeit, Vertraulichkeit). In einer Maßnahmenphase müssen dann aber auch Schutzmaßnahmen identifiziert, implementiert und ihre Wirksamkeit dokumentiert werden. In der Berichtsphase werden schließlich alle erfolgten Schritte schriftlich fixiert, die für eine unabhängige Überprüfung der Folgenabschätzung und die Information der Öffentlichkeit nötig sind.“

Um die Praxistauglichkeit des Verfahrens sicherzustellen, werden im Projekt ab Anfang 2018 Tests in Kooperation mit Unternehmen und Behörden gestartet. Im Sinne eines maximalen gesellschaftlichen Nutzens soll die Verfahrensmethodik anhand solcher Geräte und Bereiche überprüft werden, in denen mit sensiblen Daten gearbeitet wird, die verfassungsrechtlich problematisch sind oder die im Zuge des technischen Fortschrittes Konfliktpotenzial erwarten lassen. Dazu zählen etwa Wearables, also am Körper getragene Datenendgeräte wie Schrittzähler, die sensible Körperdaten erheben und besonderen Schutz erfordern. Ebenfalls trifft dies für den Bereich Open Public Data, also der freien Verfügbarkeit und Nutzbarkeit von durch öffentliche Stellen erhobenen Daten sowie dem Gesundheitsbereich zu, in dem die Verarbeitung sensibler Patientendaten zum Arbeitsalltag gehört. Ein weiterer Fokus liegt auf der Videoüberwachung, die in den letzten Jahren durch immer intelligentere Technik eine lückenlose Überwachung von Bürgerinnen und Bürgern möglich macht.

Das im Projekt entwickelte Verfahren zur Durchführung von Datenschutz-Folgenabschätzungen baut auf Erkenntnissen aus früheren Forschungsprojekten des Fraunhofer ISI sowie des Forschungsverbunds Forum Privatheit auf, in dessen Rahmen auch das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ entstanden ist. Das neue Verfahren wird ausführlich in einem Handbuch beschrieben, damit Unternehmen und Behörden die Durchführung einer Folgenabschätzung schrittweise selbst vornehmen können.

Weitere Informationen

Kontakt:

Michael Friedewald, Fraunhofer ISI, michael.friedewald@isi.fraunhofer.de, +49.721.6809-146