Datenschutz-Folgenabschätzung

Erste Konkretisierungen zur DSGVO im Juni

| Autor / Redakteur: Oliver Schonschek / Peter Schmitz

Die Aufsichtsbehörden in Deutschland haben eine Liste der Verarbeitungsvorgänge veröffentlicht, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.
Die Aufsichtsbehörden in Deutschland haben eine Liste der Verarbeitungsvorgänge veröffentlicht, für die eine Datenschutz-Folgenabschätzung durchzuführen ist. (© Artenauta - stock.adobe.com)

Von den deutschen Aufsichtsbehörden für den Datenschutz und von dem Europäischen Datenschutzausschuss (EDPB) kommen erste Konkretisierungen für Vorgaben der Daten­schutz-Grundverordnung (DSGVO / GDPR). Dazu gehört eine Liste von Verfahren, bei denen eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden muss. Es gibt also Handlungsbedarf für Unternehmen.

Nach ungezählten E-Mails, die den Empfänger um eine (in aller Regel) unnötige erneute Einwilligung ersuchten, nach den großen Sorgen vor hohen Bußgeldern und ersten, wenigen Fällen von Datenschutzbeschwerden scheint etwas Ruhe bei dem Thema DSGVO einzutreten. Ist dies die sprichwörtliche Ruhe vor dem Sturm? Oder ist es vielmehr so, wie zum Beispiel Thorsten Henning, Senior Systems Engineering Manager bei Palo Alto Networks, erklärt: „Während es Druck geben wird, zu zeigen, dass die DSGVO-Gesetze Zähne haben, ist nicht zu erwarten, dass gegen Unternehmen sofort Geldstrafen verhängt werden. Die Auswirkungen der Durchsetzung der DSGVO sind wahrscheinlich noch viele Monate entfernt.“

Ganz gleich, ob nun ein DSGVO-Sturm kommt oder nicht: „Die DSGVO ist da. Sie ist eine Revolution in der Art und Weise, wie Unternehmen und andere Organisationen mit persönlichen Daten in ihrer täglichen Arbeit umgehen. Um die Risiken und Herausforderungen der DSGVO anzugehen, müssen wir alle in intelligenter Art und Weise mit dem Schutz von Daten verfahren“, so Trevor Hughes, Präsident und CEO der International Association of Privacy Professionals. „Wir müssen sicherstellen, dass unsere Mitarbeiter gezielt geschult werden, um die Folgen dieser neuen Verordnung zu verstehen. Das wird ein fortlaufender Prozess sein.“

„Die neuen Regeln werden uns noch lange über den 25. Mai hinaus beschäftigen“, meint auch Thomas Spaeing, Vorstand des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD).

Der BvD hofft, dass die Aufsichtsbehörden mit dem Start der DSGVO zunächst „mit Augenmaß“ Unternehmen bei der Umsetzung der Richtlinien begleiten werden. Wichtig sei allerdings, dass die Unternehmen auch die Bereitschaft zeigten, das neue Regelwerk umzusetzen.

Offene Punkte zur DSGVO werden schrittweise geklärt

Für die konkrete Umsetzung der DSGVO erhoffen sich viele Unternehmen zu Recht Unterstützung durch weitere Empfehlungen und Vorgaben, denn die DSGVO nennt selbst zahlreiche Themenbereiche, die der Europäische Datenschutzausschuss (European Data Protection Board, EDPB) nun näher klären soll.

Für erste, bisher offene Punkte gibt es bereits Empfehlungen oder Vorgaben, teils von dem EDPB, teils von den Datenschutzaufsichtsbehörden in Deutschland, die ebenfalls verschiedene Themenbereiche haben, die sie laut DSGVO näher spezifizieren sollen. Ein besonders wichtiges Beispiel sind die Datenschutz-Folgenabschätzungen (Artikel 35 DSGVO).

Aufsichtsbehörden veröffentlichen Positivliste

Die Aufsichtsbehörden in Deutschland haben eine Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, erstellt und veröffentlicht. Die Aufsichtsbehörden können später noch eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung (DSFA) nötig ist.

Zuerst ist wichtig zu verstehen, dass die Liste keinen Anspruch auf Vollständigkeit haben will, so die Aufsichtsbehörden. Zudem können Unternehmen daraus, dass eine bestimmte Verarbeitungstätigkeit in der Liste nicht aufgeführt wird, nicht den Schluss ziehen, dass keine DSFA durchzuführen wäre. Stattdessen ist es Aufgabe des Verantwortlichen, im Wege einer Vorabprüfung einzuschätzen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist und damit die Voraussetzungen des Art. 35 DSGVO erfüllt, so die Aufsichtsbehörden, sprich: Jeder Verantwortliche muss grundsätzlich selbst prüfen, ob eine DSFA notwendig ist oder nicht.

Trotzdem ist die Liste der Aufsichtsbehörden (pdf) sehr wertvoll und wichtig, zeigt sie doch auf, wann eine DSFA erfolgen soll und zwar an konkreten Beispielen, die viele Unternehmen bei sich selbst vorfinden werden. An dieser Stelle seien einige dieser Beispiele genannt, um zu zeigen, dass eine DSFA eher kein seltener Fall in nur wenigen Unternehmen ist, sondern dass es erforderlich ist, im Unternehmen einen eigenen Prozess für DSFA zu etablieren.

Beispiele für den Bedarf einer DSFA

Anwendungsfälle gibt es genug, wie diese Beispiele zeigen, darunter auch Bereiche, die die IT-Sicherheit betreffen:

  • Fraud-Prevention-Systeme
  • Einsatz von Data-Loss-Prevention Systemen, die systematische Profile der Mitarbeiter erzeugen
  • Geolokalisierung von Beschäftigten
  • Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
  • Telefongespräch-Auswertung mittels Algorithmen
  • Einsatz von RFID/NFC durch Apps oder Karten
  • Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatte
  • Fahrzeugdatenverarbeitung - Umgebungssensoren
  • Fahrzeugdatenverarbeitung - Car Sharing / Mobilitätsdienste
  • Offline-Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren o. ä.
  • Scoring durch Auskunfteien, Banken oder Versicherungen
  • Betrieb von Bewertungsportalen
  • Inkassodienstleistungen - Forderungsmanagement
  • Zentrale Speicherung der Messdaten von Sensoren, die in Fitnessarmbändern oder Smartphones verbaut sind

Auch wenn man immer mit einem Anwendungsfall anfangen muss, sollte die Liste der Aufsichtsbehörden nicht so verstanden werden, dass man sich davon etwas „aussuchen“ kann, sondern die Liste der Aufsichtsbehörden muss intern geprüft und im positiven Fall mittels DSFA bearbeitet werden. Die Umsetzung der DSGVO geht also weiter.

* Diesen Beitrag haben wir von unserem Schwesterportal Security-Insider übernommen.

Kommentare werden geladen....

Was meinen Sie zu diesem Thema?

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45380838 / Compliance)