INFORMATIONEN

Wie man Datenschutz-Folgenabschätzungen durchführt

Die von der Europäischen Union verabschiedete Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Mit dem Inkrafttreten der DSGVO müssen Unternehmen alle ihre aktuellen Systeme ändern und neue Systeme einführen, um sensible Daten zu schützen. Die Überprüfung der Auswirkungen auf die Datensicherheit ist ein neuer Mechanismus, der obligatorisch wird (DFA).

Wann ist eine Datenschutz-Folgenabschätzung erforderlich?

Artikel 35 der Datenschutz-Grundverordnung betrifft die Folgenabschätzung der Datensicherheit (DFA).

Bei der Datenschutz-Folgenabschätzung wird untersucht, ob die Umstellung auf ein bestehendes System oder die Einführung eines neuen Systems in irgendeiner Weise die Privatsphäre einer Person verletzen könnte. DFA ist nach der DSGVO erforderlich, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen könnte.

In den folgenden drei Fällen ist dies in der Datenschutz-Grundverordnung ausdrücklich vorgeschrieben:

  • Wenn eine Agentur eine umfassende und gründliche Überprüfung personenbezogener Daten durch automatisierte Analysen, wie z. B. Profiling, durchführt und die daraus resultierenden Entscheidungen rechtliche Konsequenzen für die betroffenen Personen nach sich ziehen. So kann ein Unternehmen beispielsweise ein Profil der Social-Media-Daten seiner Kunden erstellen, um deren Kaufgewohnheiten oder politische Einstellung zu verstehen.
  • Angenommen, eine Behörde verarbeitet bestimmte Datenarten wie ethnische Zugehörigkeit oder Rasse oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten. Nehmen wir zum Beispiel an, eine Investmentbank beschließt, personenbezogene Daten zur Bekämpfung der Geldwäsche (AML) zu verarbeiten oder verdächtige Transaktionen zu verfolgen. In diesem Fall hilft die Datenschutzfolgenabschätzung dabei, die Gefahr für das Thema Daten zu erkennen.
  • Wenn eine Behörde eine groß angelegte, systematische Überwachung des öffentlichen Raums durchführt.

    • Ein Einzelhändler könnte sich zum Beispiel für den Einsatz von Gesichtserkennungssoftware in den Verkaufsständen eines Einkaufszentrums entscheiden. Diese Software kann dazu verwendet werden, Anzeigen auf der Grundlage des Geschlechts und des Durchschnittsalters des Besuchers zu ändern. Eine DFA kann den Händler auffordern, alle Informationen innerhalb einer bestimmten Zeitspanne nach Veröffentlichung der Anzeige zu entfernen und diese Informationen nicht mit Konten in sozialen Medien zu vermischen.

    Wann sollte eine Datenschutz-Folgenabschätzung durchgeführt werden?

    Die Data Governance muss Sicherheitsvorkehrungen treffen, um sicherzustellen, dass die Datenschutzfolgenabschätzungen gemäß der Datenschutz-Grundverordnung durchgeführt werden. In Zusammenarbeit mit der Rechtsabteilung und der Strafverfolgungsbehörde muss die Governance-Stelle mögliche Abrufaktivitäten definieren und verfolgen, die ein Risiko für die Daten darstellen könnten.

    Nach der Festlegung von Verarbeitungstätigkeiten, die eine Gefahr für den Datenschutz darstellen können, muss die Datenschutzfolgenabschätzung vor der eigentlichen Verarbeitung durchgeführt werden. Die Ergebnisse der Bewertung entscheiden über den Abrufansatz und die Kontrollen, die zum Schutz der Privatsphäre der betroffenen Personen durchgeführt werden müssen. Auch hier muss der Plan von mehreren Teams erstellt werden, z. B. IT, Verwaltung, Recht, Compliance, Finanzen usw.

    Schließlich müssen die Organisationen sicherstellen, dass die Ergebnisse der Datenschutzfolgenabschätzung als Datensicherheitslösungen in die Strukturen und Verfahren integriert werden.

    Protokolldaten und Datenschutz

    03/04/2022 Keine Kommentare

    Protokolldaten sind ein wichtiger Bestandteil technischer und organisatorischer Maßnahmen, enthalten aber auch personenbezogene Informationen. Dies muss bei der Datenerfassung und -verarbeitung berücksichtigt werden. Die Datenschutz-Grundverordnung

    mehr »