[DSGVO-Schritt 8] Durchführung von Datenschutz-Folgenabschätzungen
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union trat am 25. Mai 2018 in Kraft. Mit der Einführung der DSGVO müssen Unternehmen viele ihrer bestehenden Prozesse ändern und neue Verfahren einführen, um personenbezogene Daten zu schützen. Ein neuer – künftig obligatorischer – Prozess ist die Datenschutz-Folgenabschätzung (DSFA).
In unserem kürzlich veranstalteten On-Demand-Webinar Practical Steps to GDPR Compliance haben wir einen umfassenden 16-stufigen Plan für die Umsetzung eines Data-Governance-Programms zur Förderung der DSGVO-Compliance vorgestellt.
Die Durchführung von Datenschutz-Folgenabschätzungen ist der achte Schritt. Wenn Sie mehr über die ersten sieben Schritte erfahren möchten, werfen Sie einen Blick auf die Links in der Sidebar.
Wann ist eine Datenschutz-Folgenabschätzung nötig?
Artikel 35 der DSGVO befasst sich mit Datenschutz-Folgenabschätzungen (DSFA).
Mit einer DSFA wird untersucht, ob eine Änderung an einem bestehenden System oder die Einführung eines neuen Systems personenbezogene Daten in irgendeiner Weise gefährden könnte. Die DSGVO sieht eine DSFA für Fälle vor, in denen eine Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person darstellen könnte.
Eine DSFA ist laut DSGVO besonders in den drei folgenden Szenarien erforderlich:
- wenn eine Organisation eine systematische und umfassende Bewertung personenbezogener Daten mithilfe automatisierter Verarbeitungsmethoden einschließlich Profiling durchführt und die daraus resultierenden Entscheidungen eine Rechtswirkung gegenüber natürlichen Personen entfalten. Zum Beispiel könnte ein Unternehmen die Social-Media-Daten eines Kunden einem Profiling unterziehen, um die Kaufpräferenzen oder die politische Orientierung in Erfahrung zu bringen.
- wenn eine Organisation besondere Kategorien von Daten wie rassische oder ethnische Herkunft oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet. Möchte etwa eine Investmentbank personenbezogene Daten für Anti-Geldwäsche-Richtlinien verarbeiten oder betrügerische Transaktionen aufdecken, so könnte sie mithilfe einer DSFA das Risiko für die betroffene Person identifizieren.
- wenn eine Organisation eine groß angelegte, systematische Überwachung öffentlich zugänglicher Bereiche durchführt.
Hier ein Beispiel: Ein Einzelhändler möchte an Verkaufsständen in einem Einkaufszentrum Gesichtserkennungssoftware einsetzen. Mit dieser Software könnte man Werbung basierend auf dem Geschlecht und dem ungefähren Alter des Besuchers personalisieren. Durch eine DSFA könnte vom Einzelhändler verlangt werden, sämtliche Informationen innerhalb eines bestimmten Zeitraums nach Anzeige der Werbung zu löschen und davon abzulassen, diese Daten mit Social-Media-Profilen zu kombinieren.
Wann eine Datenschutz-Folgenabschätzung durchgeführt werden sollte
Das Data-Governance muss entsprechende Kontrollen einrichten, sodass eine DSFA gemäß der DSGVO durchgeführt werden kann. Gemeinsam mit der Rechts- und Compliance-Abteilung muss das Governance-Team potenzielle Verarbeitungsaktivitäten, welche den Daten gefährden könnten, identifizieren und dokumentieren.
Werden Verarbeitungsaktivitäten identifiziert, die womöglich ein Risiko für die Datensicherheit darstellen, muss eine DSFA vor der eigentlichen Verarbeitung durchgeführt werden. Die Gestaltung der Verarbeitungsstrategie und der Kontrollen zum Schutz der jeweiligen Daten würde sich nach dem Ergebnis der Abschätzung richten. Auch hier sollten mehrere Teams – etwa die IT-, Governance-, Rechts-, Compliance- und Finanzteams – gemeinsam an einer Strategie arbeiten.
Schließlich müssen Organisationen aus den Ergebnissen der DSFA entsprechende Datenschutzlösungen ableiten und in ihre Systeme und Prozesse integrieren.
Datenschutz-Folgenabschätzung mit Talend
Talend Data Quality und Talend Metadata Manager unterstützen die Erfassung, die Ermittlung und das Profiling neuer Datensätze und der dazugehörigen Semantik auf hochautomatisierte Weise. Diese Kontrollregeln lassen sich anschließend nach Bedarf anwenden. Somit können diese Tools eine aktive Rolle bei einer DSFA für beliebige Informationssysteme spielen.
Nehmen wir zum Beispiel an, dass ein Unternehmen eine DSFA für seinen Data-Lake durchführen will, der enorme Mengen an Daten aus vernetzten Geräten erhält. Talend Data Quality eignet sich ideal für eine DSFA, da personenbezogene Daten innerhalb eines Datensatzes identifiziert und dann vor einer Aufnahme im Data-Lake maskiert werden.
Die nächsten Schritte für die Folgenabschätzung
Eine Datenschutz-Folgenabschätzung klingt vielleicht sehr juristisch, aber es geht um viel mehr: Durch ein Profiling lässt sich feststellen, ob Daten gefährdet sind, sodass man entsprechende Lösungen planen kann. Wenn sich Unternehmen bei der Abschätzung nicht sicher sind, hilft ihnen ihr Datenschutzbeauftragter gewiss weiter.
Der nächste Schritt in unserem umfassenden 16-stufigen Plan für die DSGVO-Compliance ist die Durchführung einer Risikobewertung von Lieferanten.
← Schritt 7 | Schritt 9 →
Weitere Artikel zu diesem Thema
- Vorbereitung auf die DSGVO
- [DSGVO-Schritt 14] Verwaltung des Informationslebenszyklus
- [DSGVO-Schritt 15] Abschluss von Verträgen zur Weitergabe von Daten
- [DSGVO-Schritt 16] Einrichtung von Kontrollen zur Einhaltung der Vorgaben
- [DSGVO-Schritt 13] Verwaltung des End-User-Computings
- [DSGVO-Schritt 11] Konsolidierung der Datenherkunft
- [DSGVO-Schritt 9] Durchführung einer Risikobewertung von Lieferanten
- [DSGVO-Schritt 12] Verwaltung von Analysemodellen
- [DSGVO-Schritt 10] Verbesserung der Datenqualität
- [DSGVO-Schritt 7] Einführung von Datenmaskierungsstandards für die DSGVO
- [DSGVO-Schritt 3] Bestimmung von Dateninhabern
- [DSGVO-Schritt 6] Definition von Standards für die zulässige Nutzung für die DSGVO
- [DSGVO-Schritt 2] Die Bedeutung einer Datentaxonomie
- [DSGVO-Schritt 4] Identifizierung kritischer Datensätze und kritischer Datenelemente
- [DSGVO-Schritt 1] Entwicklung von Richtlinien, Standards und Kontrollen
- Datenschutz
- [DSGVO-Schritt 5] Festlegung von Standards für die Datenerfassung