14.10.2017
EU Datenschutz-Grundverordnung
Datenschutz-Folgenabschätzung
Privacy Impact Assessment
Dozentin:
Daniela Duda Datenschutzbeauftragte GDDcert.Zertifikatslehrgang Datenschutzrecht / Carl von Ossietzky UniversitätDatenschutzbeauftragte eDSB TÜVSystemischer Coach
Vortragsaufbau
Gesetzliche Grundlagen und Begriffe
DPIA als Werkzeug
Gängige Inhalte und Detaillierungsgrad
EU Datenschutz-Grundverordnung – Art. 35
2
Inhalte
Gesetzliche Grundlagen
und Begriffe
Datenschutz-Folgenabschätzung – „Vorgänger“
Früher: Die Vorabkontrolle
4
§ 4d Abs. 5 Bundesdatenschutzgesetz (BDSG-alt)
Soweit automatisierte Verarbeitungen besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, unterliegen sie der Prüfung vor Beginn der Verarbeitung (Vorabkontrolle).
Eine Vorabkontrolle ist insbesondere durchzuführen, wenn
• besondere Arten personenbezogener Daten (§ 3 Abs. 9) verarbeitet werden
• die Verarbeitung personenbezogener Daten dazu bestimmt ist, die Persönlichkeit des Betroffenen zu bewerten
EU Datenschutz-Grundverordnung – Art. 35
künftig: Die Datenschutz-Folgenabschätzung (DSFA)
5
Art. 35 Datenschutz-Grundverordnung (DS-GVO):
(…) so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen
Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. (…)
Die Notwendigkeit einer DSFA ist bestimmt durch
• die Verwendung neuer Technologien
• die Art der Verarbeitung
• den Umfang der Verarbeitung
• die Umstände der Verarbeitung
• die Zwecke der Verarbeitung
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung – „Zukunft“
Durchführungspflicht
6
Besondere Notwendigkeit Art. 35 Abs. 3 DS-GVO:
• Bei allen Verarbeitungen, die voraussichtlich ein hohes Risiko für Betroffene darstellenHierunter fallen insbesondere:
• systematische und umfangreiche Überwachung öffentlicher Bereiche
• systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen
• umfangreiche Verarbeitung besonderer Kategorien von Daten
Sowie nach Art. 35 Abs. 4 und 5 DS-GVO -> Blacklist bzw. Whitelist
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung – Voraussetzungen
Einschätzung der Art. 29 Gruppe (WP 248) zu „hohem Risiko“
• Bewertung (Profiling) oder Scoring
• Automatisierte Entscheidungsfindung mit rechtlichem oder ähnlichem erheblichen Effekt
• Systematische Überwachung des öffentlichen Raums
• Sensible Daten
• Datenverarbeitung in großem Umfang
• Abgleich von Datensätzen mittels Kombination („matching“)
• Daten zu eingeschränkt rechtsfähigen („vulnerable“) Personen
• Innovative Nutzung oder Anwendung technologischer oder organisatorischer Lösungen
• Grenzüberschreitender Datentransfer in Drittstaaten
• Verarbeitungen, bei denen die betroffenen Personen ein Recht nicht ausüben können oder keine Dienstleistung erbracht wird oder kein Vertrag besteht, z. B.: Zufällig vorbeilaufende Menschen im öffentlichen Raum; Screening im Bankensektor
Hohes Risiko für Betroffene, wenn 2 oder mehr der folgenden Kriterien erfüllt sind:
7
EU Datenschutz-Grundverordnung – Art. 35
Verantwortung und Konsequenzen
Verantwortung und Konsequenzen
8
• beim Verantwortlichen (Art. 35 Abs. 1 DS-GVO) (…) so führt der Verantwortliche vorab eine
Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz pb Daten durch.
• Der Verantwortliche holt (…) Rat des Datenschutzbeauftragten (…) ein.
• DSB unterstützt und berät (Pflicht, Nichteinhaltung bußgeldbewährt)
• DSB ist nicht verantwortlich. Auch nicht für Abschlussbewertung
EU Datenschutz-Grundverordnung – Art. 35
• unzureichende Durchführung ist, wie die Nichthinzuziehung der DSB,
bußgeldbewährt.
Sanktionen gem. Art. 84 Abs. 4 Alt. a
• Gestärkte Eigenverantwortung des Verantwortlichen
• Konzepts d. Accountability zur Verdeutlichung der Gesamtverantwortung
• Risikominimierung
Ziele DPIA
9
EU Datenschutz-Grundverordnung – Art. 35
Dreistufiger Mechanismus zur Risikoeindämmung
RisikoeindämmungDatenschutz-
FolgenabschätzungRisikobewertung
Datenschutz-Folgenabschätzung
Risikomanagement im Unternehmen
10
• Unterscheidung zwischen Risiko für
Unternehmen
Betroffene
Unternehmensrisiken sind vielschichtiger als Betroffenenrisiken
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung
• Festlegung PIA-Schwellenwert
kommt Datenschutzrecht überhaupt zur Anwendung?
ist DPIA notwendig?
ist Standard-Set an Maßnahmen ausreichend?bspw. Zugriffsrechte, Weitergaberegeln, Löschroutinen, Benachrichtigungen
Unternehmensrisiken
11
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung
Datenschutzrisikendes Unternehmens
Rechtliche Risiken
Schadens-ersatz-
ansprüche(z.B. §7 BDSG)
BehördlicheMaß-
nahmen
Geheimnis-schutz
(u.a. § 203 StGB)
Reputations-risiken
Produkt-reputation
Brand-reputation
Finanzielle Risiken
BußgelderBerater-kosten
Prozess-kosten
Quelle: Dr. Jyn Schultze-Melling
finanzielleRisiken
rechtlicheRisiken
DPIAals Werkzeug
DPIA als Werkzeug
13
• Das Werkzeug PIA kann nur funktionieren, wenn
es die tatsächlichen Umstände beschreibt und bewertet
es laufend aktuell gehalten wird
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung
plan
docheck
act
• bzgl. Verfahrensablauf, Stand der Technik, Prozessbeteiligte,
z. B.
neue Auftragsverarbeiter
Erweiterung der gesammelten Daten
neue Zweckbestimmung
Bedeutet für die Praxis laufende Überprüfung und Anpassung
Regelmäßige DPIA-Überprüfung (1 von 2)
14
• tatsächliche Einhaltung der Kontrolle
• Geeignetheit der Kontrolle
• Effektivität der Kontrolle
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung
• Beispiele für Veränderungen bzgl.
Höhe der identifizierten Risiken
Relevanz und Angemessenheit der Risiken
plan
docheck
act
Regelmäßige DPIA-Überprüfung (2 von 2)
15
• Definition regelmäßiger Überprüfungsintervalle
angemessen und abhängig von mit dem Prozess verbundenen Risiko
bspw. Gliederung in 6 Monate für Kernprozesse, 12 / 24 Monate für Standard
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung
• Definition „Trigger“ - ereignisbasierte DPIA-Überprüfung
relevanten Gesetzesänderungen
relevanten Datenschutzvorfällen (eigene, wie auch Wettbewerb)
Veränderungen Aufsichtsbehörde (Arbeitsweise, Führungswechsel, …)
Einsatz / Verfügbarkeit neuer Technologien
Änderungen im Prozess
plan
docheck
act
Einschätzung des Risikos
Risiko = Schadenseintrittswahrscheinlichkeit x Schwere des Schadens
16
EU Datenschutz-Grundverordnung – Art. 35
Schadeneintrittswahrscheinlichkeit
Sch
wer
e d
es S
chad
ens
Quelle: Dr. Jyn Schultze-Melling
Gängige Inhalte
und Detaillierungsgrad
Diverse Leitfäden für DPIAs
18
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung
SDM „pragmatisch“
ISO/IEC 29134:2017
Die Folgenabschätzung enthält zumindest Folgendes:
19
EU Datenschutz-Grundverordnung – Art. 35
Mindestanforderung an Dokumentation einer DPIA – Art. 35 Abs. 7 DS-GVO
a) eine systematische Beschreibung der
geplanten Verarbeitungsvorgänge und
der Zwecke der Verarbeitung,
gegebenenfalls einschließlich der vom
Verantwortlichen verfolgten
berechtigten Interessen
Begründung für die Einführung des Verfahrensb) eine Bewertung der Notwendigkeit
und Verhältnismäßigkeit der
Verarbeitungsvorgänge in Bezug auf den
Zweck
systematische Dokumentation
ggf. mehrere Zwecke (Plural)
Dokumentation des Interesses
Nachweis der Berechtigung des Interesses?
20
EU Datenschutz-Grundverordnung – Art. 35
c) eine Bewertung der Risiken für die Rechte und
Freiheiten der betroffenen Personen gemäß
Absatz 1
geplante Abhilfemaßnahmen
organisatorische Regelungen
technische Sicherheitsvorrichtungen
d) die zur Bewältigung der Risiken geplanten
Abhilfe-maßnahmen, einschließlich Garantien,
Sicherheits-vorkehrungen und Verfahren, durch
die der Schutz personenbezogener Daten
sichergestellt und der Nachweis dafür erbracht
wird, dass diese Verordnung eingehalten wird,
wobei den Rechten und berechtigten Interessen
der betroffenen Personen und sonstiger
Betroffener Rechnung getragen wird.
Bewertung Motive (z.B. Organisation = Angreifer)
Verfahren / neue Technik als „Tatwaffe“
Beurteilung der Risiken des Eingriffs
Die Folgenabschätzung enthält zumindest Folgendes:
Nachweise bspw. durch Prüfsiegel hohe Anforderung an Transparenz
Wirksamkeit der Maßnahmen muss dokumentierbar sein
Mindestanforderung an Dokumentation einer DPIA – Art. 35 Abs. 7 DS-GVO
Dokumentation = Rechenschaft (1 von 2)
21
systematische Beschreibung der geplanten Verarbeitung
Zwecke der Verarbeitung
Beschreibung der berechtigten Interessen
verwendete IT-Systeme inkl. technischer und organisatorischer Maßnahmen
(TOMs)
Verzeichnis von Verarbeitungstätigkeiten
Bewertung der Notwendigkeit und der Verhältnismäßigkeit
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung
Dokumentation = Rechenschaft (2 von 2)
22
Risikobewertung
konkretes Risiko (Eintrittswahrscheinlichkeit) und Schwere der Auswirkung
Auswahl der geeigneten Abhilfemaßnahmen
EU Datenschutz-Grundverordnung – Art. 35
Datenschutz-Folgenabschätzung
Schutz personenbezogener Daten vor unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, Offenlegung oder Zugänglichmachung (Art. 4 Nr. 12 DS-GVO)
geplante Abhilfemaßnahmen
Garantien / Schutzmaßnahmen / Verfahren
Links
• https://datenschutzzentrum.de
• https://www.rehm-datenschutz.de
• https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/ITGrundschutzstandards/BSI-Standard_1002.pdf
• https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/themenpapiere-white-paper/Forum_Privatheit_White_Paper_Datenschutz-Folgenabschaetzung_2016.pdf
• http://ec.europa.eu/newsroom/document.cfm?doc_id=44137
• https://www.iso.org/standard/62289.html
Weitere Quellen
23
EU Datenschutz-Grundverordnung – Art. 35
Dank!
24
Herzlichen
rehm Datenschutz GmbHDaniela DudaGeschäftsführerinDatenschutzbeauftragte GDDcert.
089 / 6080 [email protected]
Eugen-Sänger-Ring 1385649 Brunnthal