Datenschutz-Folgenabschätzung / 4 DSFA in der Praxis

Experten des interdisziplinären "Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt" haben ein Konzept zur Umsetzung der DSFA vorgelegt, das in einem so genannten White Paper (Weißbuch) präsentiert wird. Daran haben sich auch Mitarbeitende des Fraunhofer-Instituts für System- und Innovationsforschung (ISI), der Universität Kassel sowie des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) beteiligt.

Im White Paper unterscheidet man zwischen folgenden Typen der DSFA, was später auch bei der Veröffentlichung der Ergebnisse zu kommunizieren ist.

• Standard-Datenschutz-Folgenabschätzungen: Dies ist eine DSFA im engeren Sinne, mit der man den Nachweis liefert, dass ein konkretes Datenverarbeitungssystem konform mit den datenschutzrechtlichen Anforderungen ist.
• Wissenschaftliche Datenschutz-Folgenabschätzungen: Das sind DSFA im weiteren Sinne, mit denen man unbekannte Eigenschaften und Risiken einer Technologie oder eines Systems aufdeckt und zusätzlich beispielsweise ethische, ökonomische Aspekte untersucht.
• Marketing-DSFA haben das Ziel, mit geringem Aufwand Kunden einen Nachweis über die Erfüllung datenschutzrechtlicher Anforderungen zu erbringen. Zu diesem Zweck wird häufig ein formal korrektes Verfahren durchgeführt, aber mit intransparenten Kriterien.
• Konkrete DSFA: Diese wird einer Datenschutzaufsichtsbehörde vorgelegt und muss den vorab definierten Prüfungsgegenstand in seiner Gesamtheit beschreiben. Es wird untersucht, ob die Datensammlung der Zweckbindung und der Datensparsamkeit, bzw. "Datenminimierung", (Art. 5 Abs. 1 DSGVO) entspricht.
• Generische DSFA: Mit diesen werden Technologie, Verfahren oder Komponenten ohne Berücksichtigung eines konkreten Einsatzkontexts untersucht. Meist handelt es sich hierbei um prognostische wissenschaftliche Analysen.

In der Praxis lassen sich konkrete und generische DSFA kombinieren. Im Kommentar zur DSGVO heißt es, dass es vernünftig und unter ökonomischen Gesichtspunkten zweckmäßig sein kann, eine Datenschutz-Folgenabschätzung nicht lediglich auf ein bestimmtes Projekt zu beziehen. Das kann beispielsweise der Fall sein, wenn mehrere Verantwortliche eine gemeinsame Anwendung oder Verarbeitungsumgebung für einen gesamten Wirtschaftssektor, für ein bestimmtes Marktsegment oder für eine weit verbreitete horizontale Tätigkeit einführen möchten.

Zu überprüfen ist, welche Risiken (Schadensereignisse) zu vermeiden sind, um die Schutzziele zu erreichen und welche Ursachen die Risiken haben können. Dazu sind auch die möglichen Angreifer sowie ihre Motive und Fähigkeiten ausfindig zu machen. Weiter ist zu eruieren, welche Folgen ein Risiko haben kann.

Die Identifikation von Schutzzielen gehört laut White Paper zur Bewertungsphase. Es hat sich im Bereich der IT-Sicherheit bzw. Informationssicherheit bewährt, gesetzliche Anforderungen als Schutzziele zu formulieren. Sechs Schutzziele gelten derzeit im Bereich des Datenschutzes als etabliert: Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettbarkeit, Transparenz und Intervenierbarkeit.

Auf Grundlage der Bewertungsergebnisse ist ein Plan zur Risikobehandlung zu erstellen. In vielen Fällen, besonders bei Auswirkungen auf verfassungsmäßig geschützte Individualrechte, kann man ein Risiko nicht mit Hinweis geringe Zahl der möglichen Geschädigten als akzeptabel einstufen und nur Maßnahmen zur Verminderung der Schäden zu ergreifen. Der Maßnahmenplan sollte benennen, welche Schutzmaßnahmen zu ergreifen sind, wer für die Umsetzung der Schutzmaßnahmen verantwortlich und wer daran zu beteiligen ist und bis wann sie umzusetzen sind. Wichtig ist auch, nach welchen Kriterien der Erfolg einer Schutzmaßnahme zu beurteilen ist und wer das erledigt.

Später muss man kontinuierlich überprüfen, ob sich die Datenschutzmaßnahmen bewähren und ob wegen Änderungen der Voraussetzungen Anpassungen notwendig sind.

Wichtig

Überprüfung durch unabhängige Instanz

Von Fachleuten wird empfohlen, die DSFA umfassend zu dokumentieren und in Form eines Berichts öffentlich zugänglich zu machen.