Eine wichtige Neuerung, die Organisationen im Rahmen der EU-Datenschutzgrundverordnung ab 2018 blüht, ist die Verpflichtung, die Folgen von kritischer Datenverarbeitung abzuschätzen. Jetzt haben Experten des Fraunhofer-Instituts ISI, der Universität Kassel und des ULD dazu ein Whitepaper veröffentlicht.

FOLGEN ABSCHÄTZEN – ABER WIE?

Die 2018 in Kraft tretende Datenschutzgrundverordnung schreibt in Art. 33 vor dass die Folgen kritischer Datenverarbeitung abgeschätzt werden sollen:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge, so führt der für die Verarbeitung Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.“
Nach welchen Kriterien und wie genau diese Abschätzung durchgeführt werden soll, ist der Verordnung allerdings nicht zu entnehmen. Stattdessen heißt es unter Punkt 3:

Die Folgenabschätzung enthält zumindest Folgendes:
3a. Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 38 durch die zuständigen für die Verarbeitung Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
(a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem für die Verarbeitung Verantwortlichen verfolgten berechtigten Interessen;
(b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
(c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1;
(d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht werden soll, dass die Bestimmungen dieser Verordnung eingehalten werden, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Hier soll nun das Whitepaper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ Abhilfe schaffen.

BEWERTUNG NACH 6 SCHUTZZIELEN

Das Whitepaper schlägt nun vor, sich an sechs Schutzzielen zu orientieren, die auch die deutschen Aufsichtsbehörden in Ihrem Prüfhandbuch zum Standard-Datenschutzmodell festgelegt haben. Diese sind Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit. Die Risiken sollen dann nach drei Schutzstufen bewertet werden: normal hoch und sehr hoch. Je abhängiger und somit schutzbedürftiger ein Betroffener ist, um so höher das Risiko und somit die Schutzstufe.
„Der Kern des Bewertungsvorgangs besteht im Vergleich der, von den für die Verarbeitung Verantwortlichen, geplanten bzw. in der Prüfung festgestellten Maßnahmen mit einem Katalog von Referenzmaßnahmen.“

SCHUTZMASSNAHMEN

Zu guter Letzt soll dann auf Grundlage der Bewertungsergebnisse ein Risikobehandlungsplan erstellt werden. Wichtig ist es hier, die Maßnahmen auch explizit zu benennen, die Ergebnisse zu dokumentieren und möglichst auch durch eine unabhängige dritte Stelle prüfen zu lassen.
Das vollständige Whitepaper steht auf den Seiten von forum-privatheit.de als pdf zum download bereit.