Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO müssen Unternehmen viele ihrer bestehenden Prozesse ändern und neue Verfahren einführen, um personenbezogene Daten zu schützen. Ein neuer – künftig obligatorischer – Prozess ist die Datenschutz-Folgenabschätzung (DSFA).

In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms zur Förderung der DSGVO-Compliance vorgestellt.

Die Durchführung von Datenschutz-Folgenabschätzungen ist der achte Schritt. Wenn Sie mehr über die ersten sieben Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.

Laden Sie Durchführung von Datenschutz-Folgenabschätzungen [DSGVO-Schritt 8] jetzt herunter.
Weitere Informationen

Wann ist eine Datenschutz-Folgenabschätzung nötig?

Artikel 35 der DSGVO befasst sich mit Datenschutz-Folgenabschätzungen (DSFA).

Mit einer DSFA wird untersucht, ob eine Änderung an einem bestehenden System oder die Einführung eines neuen Systems personenbezogene Daten in irgendeiner Weise gefährden könnte. Die DSGVO sieht eine DSFA für Fälle vor, in denen eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellen könnte.

Eine DSFA ist laut DSGVO besonders in den drei folgenden Szenarien erforderlich:
  1. wenn eine Organisation eine systematische und umfassende Bewertung personenbezogener Daten mithilfe automatisierter Verarbeitungsmethoden einschließlich Profiling durchführt und die daraus resultierenden Entscheidungen eine Rechtswirkung gegenüber natürlichen Personen entfalten. Zum Beispiel könnte ein Unternehmen die Social-Media-Daten eines Kunden einem Profiling unterziehen, um die Kaufpräferenzen oder die politische Orientierung in Erfahrung zu bringen.
  2. wenn eine Organisation besondere Kategorien von Daten wie rassische oder ethnische Herkunft oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet. Möchte etwa eine Investmentbank personenbezogene Daten für Anti-Geldwäsche-Richtlinien verarbeiten oder betrügerische Transaktionen aufdecken, so könnte sie mithilfe einer DSFA das Risiko für die betroffene Person identifizieren.
  3. wenn eine Organisation eine groß angelegte, systematische Überwachung öffentlich zugänglicher Bereiche durchführt.
Hier ein Beispiel: Ein Einzelhändler möchte an Verkaufsständen in einem Einkaufszentrum Gesichtserkennungssoftware einsetzen. Mit dieser Software könnte man Werbung basierend auf dem Geschlecht und dem ungefähren Alter des Besuchers personalisieren. Durch eine DSFA könnte vom Einzelhändler verlangt werden, sämtliche Informationen innerhalb eines bestimmten Zeitraums nach Anzeige der Werbung zu löschen und davon abzulassen, diese Daten mit Social-Media-Profilen zu kombinieren.

Wann eine Datenschutz-Folgenabschätzung durchgeführt werden sollte

Das Data-Governance muss entsprechende Kontrollen einrichten, sodass eine DSFA gemäß der DSGVO durchgeführt werden kann. Gemeinsam mit der Rechts- und Compliance-Abteilung muss das Governance-Team potenzielle Verarbeitungsaktivitäten, welche den Daten gefährden könnten, identifizieren und dokumentieren.

Werden Verarbeitungsaktivitäten identifiziert, die womöglich ein Risiko für die Datensicherheit darstellen, muss eine DSFA vor der eigentlichen Verarbeitung durchgeführt werden. Die Gestaltung der Verarbeitungsstrategie und der Kontrollen zum Schutz der jeweiligen Daten würde sich nach dem Ergebnis der Abschätzung richten. Auch hier sollten mehrere Teams – etwa die IT-, Governance-, Rechts-, Compliance- und Finanzteams – gemeinsam an einer Strategie arbeiten.

Schließlich müssen Organisationen aus den Ergebnissen der DSFA entsprechende Datenschutzlösungen ableiten und in ihre Systeme und Prozesse integrieren.

Datenschutz-Folgenabschätzung mit Talend

Talend Data Quality und Talend Metadata Manager unterstützen die Erfassung, die Ermittlung und das Profiling neuer Datensätze und der dazugehörigen Semantik auf hochautomatisierte Weise. Diese Kontrollregeln lassen sich anschließend nach Bedarf anwenden. Somit können diese Tools eine aktive Rolle bei einer DSFA für beliebige Informationssysteme spielen.

Nehmen wir zum Beispiel an, dass ein Unternehmen eine DSFA für seinen Data-Lake durchführen will, der enorme Mengen an Daten aus vernetzten Geräten erhält. Talend Data Quality eignet sich ideal für eine DSFA, da personenbezogene Daten innerhalb eines Datensatzes identifiziert und dann vor einer Aufnahme im Data-Lake maskiert werden.

Die nächsten Schritte für die Folgenabschätzung

Eine Datenschutz-Folgenabschätzung klingt vielleicht sehr juristisch, aber es geht um viel mehr: Durch ein Profiling lässt sich feststellen, ob Daten gefährdet sind, sodass man entsprechende Lösungen planen kann. Wenn sich Unternehmen bei der Abschätzung nicht sicher sind, hilft ihnen ihr Datenschutzbeauftragter gewiss weiter.

Der nächste Schritt in unserem umfassenden 16-stufigen Plan für die DSGVO-Compliance ist die Durchführung einer Risikobewertung von Lieferanten.

Um mehr darüber zu erfahren und alle 16 Schritte kennenzulernen, sollten Sie sich das On-Demand-Webinar Practical Steps to GDPR Compliance anschauen. Im Video geht es u. a. um Themen wie die Entwicklung von Standards und Kontrollen, die Identifizierung von Dateninhabern und kritischen Datenelementen und die Datenherkunft – um nur einige zu nennen.