Was passiert, wenn? Diese Frage werden sich Unternehmen in Zukunft auch im Zusammenhang mit dem Datenschutz stellen müssen. Denn ein Baustein der EU-Datenschutzgrundverordnung ist die Datenschutz-Folgenabschätzung. Das Instrument ist weitgehend neu. Dazu, wie es umgesetzt werden kann, haben Experten jetzt ein Whitepaper veröffentlicht.
Neue Pflichten aus der EU-Datenschutzgrundverordnung
Die Datenschutzgrundverordnung der Europäischen Union bringt einige Neuerungen mit sich. Zwar werden die EU-einheitlichen Vorschriften zu Datenschutz und Datensicherheit vermutlich erst im Juni dieses Jahres verabschiedet und dann ab 2018 zur Pflicht. Doch es kann nie schaden, früh genug auf veränderten Rahmenbedingungen zu reagieren. Verschläft man die Entwicklung, wird es womöglich teuer. Die EU sieht bei Verstößen gegen die Datenschutzregeln Bußgelder von bis zu vier Prozent des Jahresumsatzes vor.
Deutlich günstiger dürfte es sein, rechtzeitig die Weichen zu stellen, auch bei der Datenschutz-Folgenabschätzung. Sie dient dazu, Risiken für Kunden, Bürger oder Patienten zu erkennen und zu bewerten, wenn bei der Datenverarbeitung neue Techniken oder Systeme zum Einsatz kommen. Damit soll verhindert werden, dass die Grundrechte der Beteiligten verletzt werden, unabhängig von den unterschiedlichen Interessen.
Risiken erkennen und bewerten
Völlig neu ist dieser Gedanke nicht. In den Bereichen Umwelt und Gesundheit gibt es bereits eine Technikfolgeabschätzung. Mit der EU-Datenschutzgrundverordnung wird sie für alle Organisationen zur Pflicht, die sogenannte kritische Datenverarbeitungen durchführen. Kritisch heißt in dem Zusammenhang, dass mit der Verarbeitung der Daten mittels neuer Technologien ein hohes Risiko einhergeht. Die Aufsichtsbehörden werden entsprechende Positiv- und Negativlisten zu den technischen Verfahren veröffentlichen.
Dazu, wie die Folgen abgeschätzt werden sollen, ist die Grundverordnung allerdings eher allgemein gehalten. Diese Lücke schließt das „Forum Privatheit“ vom Bundesforschungsministerium. Die Experten vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein, des Fraunhofer-Instituts ISI und der Universität Kassel haben ihre Ergebnisse im Whitepaper „Datenschutz-Folgenabschätzung“ zusammengefasst.
Sechs Schutzziele und drei Schutzstufen
Sie nennen sechs Schutzziele. Aus der IT-Sicherheit die Verfügbarkeit, die Integrität und die Vertraulichkeit sowie aus dem Datenschutz die Nichtverkettbarkeit, die Transparenz und die Intervenierbarkeit. Empfohlen wird, die Risiken nach drei Schutzstufen zu bewerten. Diese Ziele finden sich auch im Prüfhandbuch zum Standard-Datenschutzmodell. Allerdings ändert sich der Blickwinkel. Ging es bislang um die Perspektive der Organisation, betrachtet man jetzt die Daten verarbeitende Stelle als Risiko.
Lassen Sie sich umfassend informieren
Nehmen Sie die Datenschutzgrundverordnung nicht auf die leichte Schulter. Stellen Sie sich frühzeitig darauf ein. Wir als Ihr externer Datenschutzbeauftragter helfen Ihnen gerne dabei. Nutzen Sie unser Kontaktformular oder rufen Sie uns an, damit wir einen Termin vereinbaren können.