Die von der Europäischen Union verabschiedete Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten. Mit dem Inkrafttreten der DSGVO müssen Unternehmen alle ihre aktuellen Systeme ändern und neue Systeme einführen, um sensible Daten zu schützen. Die Überprüfung der Auswirkungen auf die Datensicherheit ist ein neuer Mechanismus, der obligatorisch wird (DFA).
Wann ist eine Datenschutz-Folgenabschätzung erforderlich?
Artikel 35 der Datenschutz-Grundverordnung betrifft die Folgenabschätzung der Datensicherheit (DFA).
Bei der Datenschutz-Folgenabschätzung wird untersucht, ob die Umstellung auf ein bestehendes System oder die Einführung eines neuen Systems in irgendeiner Weise die Privatsphäre einer Person verletzen könnte. DFA ist nach der DSGVO erforderlich, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen mit sich bringen könnte.
In den folgenden drei Fällen ist dies in der Datenschutz-Grundverordnung ausdrücklich vorgeschrieben:
Ein Einzelhändler könnte sich zum Beispiel für den Einsatz von Gesichtserkennungssoftware in den Verkaufsständen eines Einkaufszentrums entscheiden. Diese Software kann dazu verwendet werden, Anzeigen auf der Grundlage des Geschlechts und des Durchschnittsalters des Besuchers zu ändern. Eine DFA kann den Händler auffordern, alle Informationen innerhalb einer bestimmten Zeitspanne nach Veröffentlichung der Anzeige zu entfernen und diese Informationen nicht mit Konten in sozialen Medien zu vermischen.
Wann sollte eine Datenschutz-Folgenabschätzung durchgeführt werden?
Die Data Governance muss Sicherheitsvorkehrungen treffen, um sicherzustellen, dass die Datenschutzfolgenabschätzungen gemäß der Datenschutz-Grundverordnung durchgeführt werden. In Zusammenarbeit mit der Rechtsabteilung und der Strafverfolgungsbehörde muss die Governance-Stelle mögliche Abrufaktivitäten definieren und verfolgen, die ein Risiko für die Daten darstellen könnten.
Nach der Festlegung von Verarbeitungstätigkeiten, die eine Gefahr für den Datenschutz darstellen können, muss die Datenschutzfolgenabschätzung vor der eigentlichen Verarbeitung durchgeführt werden. Die Ergebnisse der Bewertung entscheiden über den Abrufansatz und die Kontrollen, die zum Schutz der Privatsphäre der betroffenen Personen durchgeführt werden müssen. Auch hier muss der Plan von mehreren Teams erstellt werden, z. B. IT, Verwaltung, Recht, Compliance, Finanzen usw.
Schließlich müssen die Organisationen sicherstellen, dass die Ergebnisse der Datenschutzfolgenabschätzung als Datensicherheitslösungen in die Strukturen und Verfahren integriert werden.