Methodik für Datenschutz-Folgenabschätzung gesucht
Autor: Christiane Schulzki-Haddouti Erstellt am: 10. November 2017 Rubrik: Datenschutz-FolgenabschätzungDatenverarbeitende Stellen müssen nach Artikel 35 der europäischen Datenschutz-Grundverordnung vorab eine Datenschutz-Folgenabschätzung durchführen, wenn die Verarbeitung personenbezogener Daten voraussichtlich ein hohes Grundrechtsrisiko mit sich bringt.
Die Grundverordnung nennt bereits einige Fallgruppen, in denen eine Folgenabschätzung notwendig ist. Dazu zählen das Profiling, die Verarbeitung besonders sensibler Daten sowie eine „systematische umfangreiche Videoüberwachung“. Für welche weiteren Datenverarbeitungen das der Fall sein soll, können die Datenschutzaufsichtsbehörden festlegen. Sie können auch Negativlisten erstellen für Datenverarbeitungen, für die sie keine Datenschutz-Folgenabschätzung notwendig finden.
Die baden-württembergische Aufsichtsbehörde fordert diese seit kurzem beispielsweise von öffentlichen Stellen, wenn sie Social-Media-Tools verwenden wollen. Damit ist ein Auftakt gemacht. Erwartet wird allerdings seitens Behörden und Unternehmen, dass sich die europäischen Aufsichtsbehörden im künftigen Datenschutzausschuss über gemeinsamen Positiv- und Negativlisten verständigen.
Die Artikel-29-Gruppe hat im Oktober einen ersten Aufschlag gemacht und ein Papier zur Datenschutzfolgenabschätzung verabschiedet.
Über die Methode, nach der eine Folgenabschätzung vorgenommen werden soll, sagt dieses Papier der Artikel-29-Gruppe noch nichts aus. Im Anhang erwähnt sie lediglich eine Reihe von möglichen Ansätzen, die von verschiedenen Aufsichtsbehörden bisher erarbeitet wurden – darunter auch das Standard-Datenschutzmodell (SDM).
Methodenvergleich
Die deutschen Aufsichtsbehörden haben im Juli auf einem Workshop in Nürnberg bislang zwei Methoden an einem fiktiven „pay-as-you-drive-Verfahren“ getestet. Dieses Verfahren wurde für das Planspiel mit einigen datenschutzrechtlich kritischen Eigenschaften versehen.
Mitarbeiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) und der Datenschutzaufsicht Mecklenburg-Vorpommern führten auf Grundlage des Standard-Datenschutzmodells nach einem Ablaufmodell, das im Rahmen des Forum Privatheit entwickelt wurde, eine Datenschutz-Folgenabschätzung durch. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) testet die Datenschutz-Folgenabschätzung mit einer an ISO angelehnten Methodik.
Folgenabschätzung nach ISO
BayLDA-Präsident Thomas Kranig kann sich eine Durchführung einer DSFA nach ISO 29134 durchaus vorstellen – wenn „der richtige Blickwinkel auf die Risiken für die Rechte und Freiheiten der Betroffenen eingenommen“ werde. Es geht ihm darum, einen „praktikablen Ansatz“ zu finden, mit dem Unternehmen arbeiten können, der aber auch die datenschutzrechtlichen Kriterien erfülle. In dem im Juli vom BayLDA veröffentlichten Kurzpapier zur Datenschutzfolgenabschätzung, das von der Datenschutzkonferenz von Bund und Ländern angenommen wurde, heißt es denn auch: „Werden bestehende Methoden oder Standards eingesetzt, ist zu beachten, dass die Anforderungen der DS-GVO immer vorrangig zu behandeln sind.
In dem getesteten Fallbeispiel ist es laut Kranig „in weiten Teilen“ gelungen, die datenschutzrechtlichen Kriterien abzudecken. Offen ist primär noch der Detaillierungsgrad der Risikoquellen, das heißt der Akteure, deren Handeln zu einem Datenschutzrisiko führen kann. Die vom BayLDA durchgeführte Test-Datenschutz-Folgenabschätzung soll in den nächsten Tagen auf der Website des BayLDA veröffentlicht werden und lag der Autorin zum Zeitpunkt des Berichts nicht vor.
Folgenabschätzung nach SDM
Die Tester aus Schleswig-Holstein und Mecklenburg-Vorpommern zeigten sich nach Vorlage ihrer 60-seitigen Test-Folgenabschätzung zufrieden, da sie alle wesentlichen Kriterien ansprechen konnten.
Für den DSFA-Bericht wurden nach dem SDM systematisch Datenschutzrisiken und Gegenmaßnahmen zusammengestellt: So wurden in einer 1-seitigen Tabelle für alle sieben Gewährleistungsziele die von bestimmten Organisationen oder Personen wie Versicherung, Hersteller, Werkstätten, Cloudbetreiber, Sicherheitsbehörde, Mitfahrer sowie Hackern ausgehenden Risiken benannt – samt den dazugehörenden Schutzmaßnahmen.
Die Wirksamkeit der Schutzmaßnahmen für den konkreten Anwendungsfall wurde nicht bewertet. Erst nach vollständiger Umsetzung der Maßnahmen kann aber der Einsatz des Verfahrens datenschutzrechtlich zulässig sein. Die Tester weisen darauf hin, dass die Maßnahmen in einem Sicherheitskonzept dokumentiert und ihre Tauglichkeit im Rahmend eines Datenschutz- und IT-Sicherheits-Managements nachgewiesen werden muss. Auch müssen sie einer weiteren Restrisikoanalyse unterzogen werden, in deren Folge die Maßnahmen weiter angepasst werden müssen, um die Eingriffsintensität zu minimieren.
Dank des Testverfahrens konnte das DSFA-Rahmenwerk des „Forums Privatheit“ weiterentwickelt werden. Ab Mitte November soll daher eine neue Version des Rahmenwerks veröffentlicht werden, die weiterhin in ihrem Kernbereich auf die SDM-Methodik zurückgreifen wird. Auch wurden einige Prüfschritte neu aufeinander abgestimmt.
Schrittweise Fortentwicklung
Ein systematischer Vergleich und eine abschließende Beurteilung der Leistungsfähigkeit beider Methoden wurde bisher nicht durchgeführt, da zwischen den teilnehmenden Aufsichtsbehörden keine Vergleichskriterien abgestimmt waren. Dem ULD-Bericht nach konnte man sich nicht darauf einigen, wie das Risiko zu bestimmen ist. Nach Auffassung der ULD-Tester lässt sich das Hauptrisiko „weitaus weniger mit dem Blick auf unmittelbar ereignisbasierte mögliche Schäden bei den betroffenen Personen als vielmehr an den Aktivitäten der Organisation erkennen“, welche die Datenschutzgrundsätze umsetzen müsse.
Auf dem Workshop wurde angesichts der offenen Fragen eine Unterarbeitsgruppe „Datenschutz-Folgenabschätzung“ gegründet, die für die Datenschutzkonferenz von Bund und Ländern ein Rahmenwerk für die Datenschutz-Folgenabschätzung erarbeiten soll. Danach könnte die vorgenommene Datenschutzfolgenabschätzung an dem fiktiven Beispiel erneut überarbeitet werden, um schließlich als Muster-Datenschutzfolgenabschätzung von der Datenschutzkonferenz veröffentlicht zu werden.
Die Zeit drängt, denn Behörden und Unternehmen müssen sich ansonsten über die Methodik eigene Gedanken machen. Der baden-württembergische Datenschutzbeauftragte Stefan Brink, der in Sachen Social Media nun von öffentlichen Stellen verlangt, eine Datenschutz-Folgenabschätzung durchzuführen, etwa teilt mit, dass er das SDM für die Folgenabschätzung nicht heranziehen werde. Er will als Handreichung lediglich auf das Kurzpapier der Datenschutzkonferenz verweisen – und „im Einzelfall konkretisierende Hinweise“ geben.
ULD-Leiterin Marit Hansen sagt dazu salomonisch: „Es muss nicht unbedingt eine einheitliche Methode sein, sondern mehrere Wege können zum Ziel führen. Zurzeit existieren wenige Testverfahren existieren, die nicht detailliert genug spezifiziert sind, als dass man vollständige und vergleichbare Ergebnisse erreichen könnte.“ Das ULD habe gute Erfahrungen mit dem Standard-Datenschutzmodell gemacht, aber andere Methoden können ebenfalls passable Ergebnisse liefern. Das müsse man mit mehreren Beispielen möglichst aus der Praxis validieren. Wichtig sei, „dass keine Risiken übersehen werden und dass aufbauend auf der Datenschutz-Folgenabschätzung die passenden, ausreichenden Abhilfemaßnahmen für die Risiken getroffen werden.“
Hansen glaubt, dass Software-Tools oder Guidance-Dokumente die Verantwortlichen bei der Durchführung einer Folgenabschätzung unterstützen können. Sie erwartet überdies, „dass es üblich wird, dass Auftragsverarbeiter und demnächst auch Hersteller mit ihren Angeboten die nötigen Informationen für eine konkrete Datenschutz-Folgenabschätzung der Anwender bereitstellen.“ Ohne Kenntnis der konkreten Datenverarbeitung und der Risiken habe der Verantwortliche keine Chance, dies bei sich zu dokumentieren und nachzuvollziehen. Hansen: „Dann wäre die Datenschutz-Folgenabschätzung zwangsläufig unvollständig und oberflächlich.“
Rubrik: Datenschutz-Folgenabschätzung Stichwörter: Fallgruppen, Folgenabschätzung, Methoden