Skip to main content

Soeben erschienen: Data Protection Impact Assessments

Abstract. This workshop introduced participants to the process of Data Protection Impact Assessment. This new tool of the GDPR is highly relevant for any processing of personal data, as it helps to structure the process, be aware of data protection issues and the relevant legislation and implement proper safe- guards to protect data subjects. For processing operations posing a high risk for data subjects, a DPIA is mandatory from May 2018. The interactive workshop provided a framework for DPIA and guidance on specific questions such as when a high risk is likely to occur or how specific risks can be evaluated, which was assessed by participants in an interactive session with two different scenarios.

Bieker, Felix, Nicholas Martin, Michael Friedewald, and Marit Hansen, „Data Protection Impact Assessment: A Hands-On Tour of the GDPR’s Most Practical Tool“, in Marit Hansen, Eleni Kosta, Igor Nai-Fovino, and Simone Fischer-Hübner (eds.), Privacy and Identity Management. The Smart Revolution. 12th IFIP WG 9.2, 9.5, 9.6/11.7, 11.6/SIG 9.2.2 International Summer School, Ispra, Italy, September 4-8, 2017, Revised Selected Papers, Springer, Cham, 2018, pp. 207-220. https://doi.org/10.1007/978-3-319-92925-5_13

 

Rechtsexperten des Forschungsverbunds „Forum Privatheit“ sehen Chance für mehr Datenschutz und Rechtssicherheit

Die Mitgliedstaaten der Europäischen Union haben die Möglichkeit, durch die Nutzung von Öffnungsklauseln Versäumnisse und Schwachstellen der EU-Datenschutz-Grundverordnung auszugleichen. Dadurch können sie das Datenschutzniveau sowie die Rechtssicherheit im eigenen Land erhöhen und stärken. Rechtsexperten des Forschungsverbunds „Forum Privatheit“ diskutieren auf der internationalen Datenschutzkonferenz CPDP in Brüssel, wie dies gelingen kann.

Die Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO), die ab dem 25. Mai 2018 angewendet werden muss, stellt das Datenschutzrecht innerhalb der Europäischen Union auf eine neue Grundlage. Die Reform verfolgte drei große Ziele: eine unionsweite Vereinheitlichung, eine Wettbewerbsangleichung sowie eine Modernisierung des Datenschutzrechts.

„Doch die Datenschutz-Grundverordnung erreicht ihre selbstgesteckten Ziele nicht“, konstatiert der Rechtswissenschaftler Prof. Dr. Alexander Roßnagel, Sprecher des Forschungsverbunds „Forum Privatheit“. Sie sei „abstrakt und unterkomplex“ ausgefallen, denn sie wolle in nur 51 Artikeln dieselben Probleme lösen, für die in Deutschland bislang tausende bereichsspezifische Vorschriften bestehen. Zurückführen lässt sich dies ist auf den Entstehungsprozess der Verordnung: Die Europäische Kommission wollte mittels Durchführungsakten und delegierter Rechtsakte selbst über die konkretere Ausgestaltung des europäischen Datenschutzes entscheiden. Gegen diese Vorstellung stellten sich das EU-Parlament und die EU-Mitgliedstaaten. Letztere setzten am Ende durch, dass signifikanter Regelungsspielraum auf nationaler Ebene verbleibt. Etabliert wurde damit eine Ko-Regulierung zwischen der Europäischen Union und den Mitgliedstaaten.

Mitgliedstaaten sollten die Risiken moderner Datenverarbeitung konkret regeln

Mit Spannung wird nun erwartet, ob und wie die Mitgliedstaaten die ihnen zur Verfügung stehenden Regelungsspielräume nutzen werden. Deutschland und Österreich haben als erste Staaten bereits Gesetze zur Umsetzung der Verordnung verabschiedet. Die restlichen Mitgliedstaaten müssen bis zum Geltungsbeginn der Datenschutz-Grundverordnung nachziehen. „Wichtig ist dabei, dass die Mitgliedstaaten ihre Spielräume zu einer Erhöhung des Datenschutzniveaus auch nutzen“, empfiehlt der Jurist und „Forum Privatheit“-Mitglied Dr. Christian Geminn. „Hier hat sich Deutschland mit seinem neuen Bundesdatenschutzgesetz nicht gerade vorbildhaft verhalten.“ Zudem sollten Mitgliedstaaten durch klare und konkrete Vorgaben die Rechtssicherheit erhöhen und durch spezifische Regelungen der Abstraktheit der Verordnung entgegenwirken. Diese Regelungen sollten direkt und konkret die Risiken moderner Datenverarbeitung adressieren. „Das ist ganz zentral, um das Datenschutzrecht tatsächlich zukunftsfähig zu machen“, ergänzt Roßnagel. Aber auch die Europäische Kommission solle sich an der Weiterentwicklung des Datenschutzrechts beteiligen, in dem sie bereichs- und technikspezifischen Datenschutz regele, wie etwa in der eCall-Verordnung geschehen und im Entwurf der ePrivacy-Verordnung vorgesehen.

Veranstaltungshinweis: Am Mittwoch, den 24. Januar 2018, 14:15 Uhr, wird die nationale Implementierung der EU-Datenschutz-Grundverordnung Thema eines vom Forschungsverbund „Forum Privatheit“ organisierten Panels im Rahmen der Konferenz Computers, Privacy and Data Protection (CPDP): The Internet of Bodies sein: http://www.cpdpconferences.org

Downloads:

Ansprechpartner/innen:

Prof. Dr. Alexander Roßnagel
Sprecher „Forum Privatheit“
Universität Kassel
Leiter des Fachgebiets Öffentliches Recht mit Schwerpunkt Recht der Technik und des Umweltschutzes
Leiter der Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Wissenschaftliches Zentrum für Informationstechnik-Gestaltung (ITeG)
E-Mail: a.rossnagel@uni-kassel.de

Dr. Christian L. Geminn, Mag. iur.
Mitglied „Forum Privatheit“
Universität Kassel
Geschäftsführer der Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Wissenschaftliches Zentrum für Informationstechnik-Gestaltung (ITeG)
E-Mail: c.geminn@uni-kassel.de

Dr. Michael Friedewald
Projektkoordinator „Forum Privatheit“
Geschäftsfeldleiter Informations- und Kommunikationstechniken am Fraunhofer-Institut für System- und Innovationsforschung, Karlsruhe
E-Mail: michael.friedewald@isi.fraunhofer.de

Barbara Ferrarese, M.A.
Mitglied „Forum Privatheit“
Presse und Kommunikation „Forum Privatheit“
E-Mail: presse@forum-privatheit.de
Tel. +49 721 6809 – 678
https://www.forum-privatheit.de/forum-privatheit-de/index.php
Twitter: @ForumPrivatheit

 

Im vom BMBF geförderten Forum Privatheit setzen sich Expertinnen und Experten aus sieben wissenschaftlichen Institutionen interdisziplinär mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert. Weitere Partner sind das Fraunhofer SIT, die Universität Duisburg-Essen, das Wissenschaftliche Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel, die Eberhard Karls Universität Tübingen, die Ludwig-Maximilians-Universität München sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein.

 

Presseinformation: Neues Verfahren hilft Unternehmen bei Durchführung von Datenschutz-Folgenabschätzungen

Karlsruhe, Kiel 28.09.2017


Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft, die Unternehmen und Behörden in bestimmten Fällen Datenschutz-Folgenabschätzungen vorschreibt. Deren Ziel besteht in der Erfassung, Abschätzung und Eindämmung möglicher Risiken, die für Nutzerinnen und Nutzer durch Datenverarbeitung entstehen. Aktuell besteht jedoch eine große Unsicherheit, wie eine Folgenabschätzung konkret erfolgen muss – bei Unterlassung drohen empfindliche Geldstrafen. Ein neues Projekt unter Leitung des Fraunhofer ISI testet in diesem Kontext ein Verfahren, das bei der Durchführung von Folgenabschätzungen hilft und wird deren Ablauf detailliert in einem Handbuch beschreiben.


Die in bestimmten Fällen ab Mai 2018 verpflichtenden Datenschutz-Folgenabschätzungen sollen sicherstellen, dass persönliche Nutzerdaten keinem erhöhten Risiko unterliegen und auch neue Technologien und datenverarbeitende Anwendungen das Recht auf Datenschutz sowie andere Rechte und Freiheiten gewährleisten. Viele Unternehmen und Behörden haben bislang jedoch nur wenig Erfahrung bei der Durchführung einer solchen Risikoabschätzung und benötigen Unterstützung. Da Verstöße gegen die Pflicht zur Folgenabschätzung mit Geldbußen von bis zu 10 Mio. Euro beziehungsweise 2 Prozent des weltweiten Jahresumsatzes geahndet werden können, ist hier ein dringender Handlungsbedarf erforderlich.

Das im September 2017 gestartete, vom BMBF geförderten Projekt „Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz“ nimmt sich diesem Bedarf an: Gemeinsam mit der Fachhochschule Kiel und dem FIZ Karlsruhe wird das Fraunhofer ISI ein bereits entwickeltes Verfahren zur Durchführung von Datenschutz-Folgenabschätzung testen, das sich sowohl in großen wie auch in kleinen Unternehmen und Behörden einsetzen lässt. Das Verfahren zielt nicht nur auf die Erfüllung der Pflicht einer Folgenabschätzung ab, sondern ermöglicht auch „Datenschutz durch Technikgestaltung“.

Die Durchführung einer Datenschutz-Folgenabschätzung ist laut Dr. Michael Friedewald, Leiter des Projekts am Fraunhofer ISI, in fünf Ablaufphasen gegliedert: „In der Vorbereitungsphase prüft ein Unternehmen oder eine Behörde, ob eine Folgenabschätzung erforderlich ist. Wenn ja, erfolgt in der Bewertungsphase zunächst eine Definition möglicher Risikoquellen und Betroffener. Die Bewertung der Risiken erfolgt dann anhand von sechs Schutzzielen (u.a. Nichtverkettbarkeit von Daten, Intervenierbarkeit, Vertraulichkeit). In einer Maßnahmenphase müssen dann aber auch Schutzmaßnahmen identifiziert, implementiert und ihre Wirksamkeit dokumentiert werden. In der Berichtsphase werden schließlich alle erfolgten Schritte schriftlich fixiert, die für eine unabhängige Überprüfung der Folgenabschätzung und die Information der Öffentlichkeit nötig sind.“

Um die Praxistauglichkeit des Verfahrens sicherzustellen, werden im Projekt ab Anfang 2018 Tests in Kooperation mit Unternehmen und Behörden gestartet. Im Sinne eines maximalen gesellschaftlichen Nutzens soll die Verfahrensmethodik anhand solcher Geräte und Bereiche überprüft werden, in denen mit sensiblen Daten gearbeitet wird, die verfassungsrechtlich problematisch sind oder die im Zuge des technischen Fortschrittes Konfliktpotenzial erwarten lassen. Dazu zählen etwa Wearables, also am Körper getragene Datenendgeräte wie Schrittzähler, die sensible Körperdaten erheben und besonderen Schutz erfordern. Ebenfalls trifft dies für den Bereich Open Public Data, also der freien Verfügbarkeit und Nutzbarkeit von durch öffentliche Stellen erhobenen Daten sowie dem Gesundheitsbereich zu, in dem die Verarbeitung sensibler Patientendaten zum Arbeitsalltag gehört. Ein weiterer Fokus liegt auf der Videoüberwachung, die in den letzten Jahren durch immer intelligentere Technik eine lückenlose Überwachung von Bürgerinnen und Bürgern möglich macht.

Das im Projekt entwickelte Verfahren zur Durchführung von Datenschutz-Folgenabschätzungen baut auf Erkenntnissen aus früheren Forschungsprojekten des Fraunhofer ISI sowie des Forschungsverbunds Forum Privatheit auf, in dessen Rahmen auch das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ entstanden ist. Das neue Verfahren wird ausführlich in einem Handbuch beschrieben, damit Unternehmen und Behörden die Durchführung einer Folgenabschätzung schrittweise selbst vornehmen können.

Weitere Informationen

Kontakt:

Michael Friedewald, Fraunhofer ISI, michael.friedewald@isi.fraunhofer.de, +49.721.6809-146