DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Artikel-Serie zur Daten­schutz­grund­ver­ordnung — Teil 2

Wann ist eine Daten­schutz­fol­gen­ab­schätzung not­wendig?

In einer zunehmend digital getrie­benen Wirt­schaft kommt dem Daten­schutz eine besondere Rolle zu. Die EU-Daten­schutz­ver­ordnung sieht deshalb auch eine Pflicht zur Durch­führung von Daten­schutz­fol­gen­ab­schät­zungen (eng.: Data Pro­tection Impact Assessment, DPIA) vor. Teil 2 unserer Serie zur DPIA.

Im vor­an­ge­gan­genen Artikel haben wir anhand von einigen Bei­spielen die mit der Daten­schutz­grund­ver­ordnung ein­ge­führte Pflicht zur Durch­führung von Daten­schutz­fol­gen­ab­schät­zungen ken­nen­ge­lernt. In diesem Artikel wollen diese Betrach­tungen ver­tiefen und hierbei die Rolle des Ver­ant­wort­lichen, des Daten­schutz­be­auf­tragten und der Auf­sichts­be­hörde mit­ein­be­ziehen.

Abb.: Ent­schei­dungspfad — Wann ist eine Daten­schutz­fol­gen­ab­schätzung not­wendig?

 

Bei Planung einer neuen Form der Ver­ar­beitung von per­so­nen­be­zo­genen Daten ist zuerst zu ermitteln (siehe Schritt A im Dia­gramm), ob die geplante Ver­ar­beitung aller Vor­aus­sicht nach über­haupt ein hohes Risiko für die Rechte und Frei­heiten der betrof­fenen Per­sonen zur Folge hat. Hierbei kann das Zutreffen von min­destens zwei Kri­terien aus der fol­genden Liste ein starker Anhalts­punkt für das Vor­liegen hoher Risiken und die Not­wen­digkeit der Durch­führung einer Daten­schutz­fol­gen­ab­schätzung sein:

  1. Durch­führung von per­so­nen­be­zo­genen Aus­wer­tungen ein­schließlich Scoring und Pro­filing
  2. Auto­ma­ti­sierte Ein­zel­ent­schei­dungen mit recht­lichen oder anderen erheb­lichen Kon­se­quenzen
  3. Sys­te­ma­tische Über­wa­chung von Betrof­fenen
  4. Ver­ar­beitung von sen­si­tiven Daten
  5. Daten­ver­ar­beitung im großen Maßstab
  6. Kom­bi­nation oder Zusam­men­führung unter­schied­licher Daten­quellen
  7. Ver­ar­beitung von Daten gefähr­deter Per­sonen
  8. Inno­vative Ver­wendung von tech­ni­schen oder orga­ni­sa­to­ri­schen Lösungen
  9. Daten­transfers über die Grenzen der Euro­päi­schen Union hinweg
  10. Unmög­lichkeit der Betrof­fenen, ihre Rechte geltend zu machen

Danach ist prüfen (siehe Schritt B), ob gege­ben­falls von Seiten der Auf­sichts­be­hörden eine Aus­nah­me­re­gelung for­mu­liert wurde, die für die geplante Ver­ar­beitung trotz hoher Risiken von der Pflicht der Durch­führung einer Daten­schutz­fol­gen­ab­schätzung ent­bindet.

Ande­ren­falls muss der Ver­ant­wort­liche für die geplante Ver­ar­beitung eine Daten­schutz-fol­gen­ab­schätzung durch­führen (siehe Schritt C), die min­destens die fol­genden Punkte beinhaltet:

  1. Eine sys­te­ma­tische Beschreibung der geplanten Ver­ar­beitung sowie der Zwecke der Ver­ar­beitung bzw. der von dem Ver­ant­wort­lichen ver­folgten Inter­essen
  2. Eine Bewertung der Not­wen­digkeit und Ver­hält­nis­mä­ßigkeit der Ver­ar­bei­tungs­vor­gänge in Bezug auf die ver­folgten Zwecke bzw. Inter­essen
  3. Eine Bewertung der Risiken für die Rechte und Frei­heiten der betrof­fenen Per­sonen im Rahmen der gepanten Ver­ar­beitung
  4. Die Maß­nahmen, mit denen den bestehenden Risiken begegnet werden soll und die Ver­fahren, durch welche die Ein­haltung der gesetz­lichen Vor­gaben nach­ge­wiesen werden sollen

Hierbei hat der Ver­ant­wort­liche den Rat des Daten­schutz­be­auf­tragten (siehe Aspekt C1 im Dia­gramm) und den Stand­punkt der betrof­fenen Per­sonen oder ihrer Ver­treter (siehe Aspekt C4) ein­zu­holen. Der Daten­schutz­be­auf­tragte hat die Durch­führung der Daten­schutz­fol­gen­ab­schätzung zu über­wachen (siehe Aspekt C2), wobei auch die Ein­haltung geneh­migter Ver­hal­tens­regeln für rele­vante Bereiche der geplanten Ver­ar­beitung zu berück­sich­tigen ist (siehe Aspekt C3). Der Ver­ant­wort­liche führt erfor­der­li­chen­falls eine Über­prüfung durch, um zu bewerten, ob die Ver­ar­beitung gemäß der Daten­schutz­fol­gen­ab­schätzung durch­ge­führt wird (siehe Aspekt C5). Falls jedoch aus der Daten­schutz­fol­gen­ab­schätzung her­vorgeht, dass hohe Rest­ri­siken ver­bleiben, so steht der Ver­ant­wort­liche in der Pflicht die Auf­sichts­be­hörde noch vor der Beginn der Ver­ar­beitung zu kon­sul­tieren.

Im dritten Teil der Artikel-Serie wollen wir uns mit ver­schie­denen Ver­fahren zur Durch­führung von Daten­schutz­fol­gen­ab­schät­zungen beschäf­tigen.

+++++++++

Bisher in dieser Serien erschienen: Ver­trau­ens­si­chernde Maß­nahmen (Teil 1)

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ernst O. Wilhelm, GFT Tech­no­logies SE

Seit mehr als 29 Jahren beschäftigt sich Dipl.-Inf. Ernst O. Wilhelm mit Software-Ent­wicklung und IT-Management und seit mehr als 14 Jahren spe­ziell mit dem Thema Daten­schutz und Daten­si­cherheit. Heute arbeitet er als Chief Privacy Officer der GFT Tech­no­logies SE und ist hier ver­ant­wortlich für das welt­weite Daten­schutz­pro­gramm des Unter­nehmens. Ein Her­zens­an­liegen von Herrn Wilhelm ist die stärkere Beachtung von Daten­schutz und Daten­schutz als not­wendige Vor­aus­setzung für die Digi­ta­li­sierung auf natio­naler wie auch inter­na­tio­naler Ebene sowie eine stärkere Ver­zahnung von recht­lichen und infor­ma­ti­ons­tech­ni­schen Aspekten bei der prak­ti­schen Umsetzung. Herr Wilhelm ist Mit­glied im German Chapter of the Asso­ciation of Com­puting Machinery (GChACM) als auch in der Gesell­schaft für Infor­matik (GI) und hier ins­be­sondere Prä­si­di­ums­ar­beits­kreis „Daten­schutz und IT-Sicherheit“ und im Lei­tungs­gremium der Regio­nal­gruppe Stuttart/Böblingen aktiv. Außerdem ist er Mit­glied in der Deut­schen Gesell­schaft für Recht und Infor­matik (DGRI) sowie der Gesell­schaft für Daten­schutz und Daten­si­cherheit (GDD) und von der GDD zer­ti­fi­zierter Daten­schutz­be­auf­tragter (GDDcert). Ferner ist Herr Wilhelm Ehren­mit­glied in der Ver­ei­nigung der ita­lie­ni­schen Daten­schutz­be­auf­tragten (ASSO DPO) und hier unter anderem im wis­sen­schaft­lichen Beirat tätig. Schließlich ist er Mit­glied und Fellow of Infor­mation Privacy (FIP) bei der Inter­na­tional Asso­ciation of Privacy Pro­fes­sionals (IAPP) und hier unter anderem aktiv als Trainer in der Inter­na­tional Training Faculty, als Leiter des tech­ni­schen Komitees im Training Advisory Board sowie als Chairman des Know­led­geNet Chapter Stuttgart sowie Inhaber der Zer­ti­fikate des CIPM, CIPP/E, CIPT Pro­gramms der IAPP

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.

Neueste Kom­mentare