[IITR – 10.7.17] Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat eine Projektgruppe in der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) intiiert, die sich mit dem Thema Datenschutz-Folgenabschätzung befasst.
Die Datenschutz-Folgenabschätzung ist ein neues Instrument der Europäischen Datenschutz-Grundverordnung (DSGVO), das ab Mai 2018 von den Datenschutzaufsichtsbehörden angewandt werden muss. Artikel 35 der DSGVO verlangt bei vermutlich hohen Risiken von Organisationen eine Abschätzung der Datenschutzfolgen. Dabei müssen mögliche physische, materielle und immaterielle Schäden berücksichtigt werden. Die Folgenabschätzung ersetzt das Instrument der Vorabkontrolle. Zum Einsatz wird sie unter anderem bei neuen Technologien, Profiling und Big-Data-Anwendungen kommen.
„Die Aufsichtsbehörden werden ab Mai 2018 Blacklists für bestimmte Datenverarbeitungsvorgänge erstellen müssen,“ erklärt BayLDA-Präsident Thomas Kranig im Gespräch. Für diese dort aufgeführten Verarbeitungsvorgänge müssen die Verantwortlichen die Folgenabschätzung vornehmen. Artikel 35 verlangt eine Beschreibung des Verfahrens, seiner Zwecke, der berechtigten Interessen. Außerdem müssen die Verantwortlichen bewerten, inwiefern die Datenverarbeitung notwendig und verhältnismäßig sind und welche Risiken für Betroffene mit ihr einhergehen. Sie müssen geplante Schutzmaßnahmen beschreiben und ihre Wirksamkeit nachweisen. Die Datenschutzaufsichtsbehörden sind hierbei beratend tätig.
Sieben Mitarbeiter des BayLDA arbeiten derzeit für die DSK-Projektgruppe. Auch sind alle Aufsichtsbehörden eingeladen, an der Gruppe mitzuwirken und sich zu den Ergebnissen zu äußern. Im Ergebnis soll anhand eines virtuellen Falls beschrieben werden, wie Organisationen und Unternehmen einen Datenschutz-Folgenabschätzungs-Bericht verfassen sollen. „Wir wollen damit eine Orientierung geben“, erklärt Kranig. Hinsichtlich der Methode, die die Gruppe anwendet sagt er nur, dass diese praxisnah sein werde.
Zum Vorgehen der Projektgruppe sagt Kranig: „Wir schauen uns alles an, was dazu bisher erarbeitet wurde“. Dazu gehört auch ein im Rahmen des „Forum Privatheit“, einem Projekt des Bundesforschungsministeriums“, erarbeitetes Whitepaper. Es entwickelte bereits einen Ablaufprozess für eine Datenschutz-Folgenabschätzung, die auf die Methodik und die Maßnahmen nach dem Standard-Datenschutz-Modell (SDM) abstellt. Dem SDM und insbesondere seinem sich in Entwicklung befindenden Maßnahmenkatalog steht das BayLDA allerdings bekanntermaßen skeptisch gegenüber.
Autorin:
Christiane Schulzki-Haddouti
Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter
Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.