Wissenschaftler stellen Konzept für künftige Datenschutz-Folgenabschätzung vor

Ab 2018 verpflichtet erstmals die europäische Datenschutz-Grundverordnung Organisationen dazu, bei kritischen Datenverarbeitungen Folgen abzuschätzen. Experten haben nun vorgestellt, wie das umgesetzt werden könnte.

In Pocket speichern vorlesen Druckansicht 6 Kommentare lesen
Wissenschaftler stellen Konzept für künftige Datenschutz-Folgenabschätzung vor

(Bild: dpa, Ole Spata/Archiv)

Lesezeit: 3 Min.
Von
  • Christiane Schulzki-Haddouti

Die europäische Datenschutz-Grundverordnung führt das neue Instrument der "Datenschutz-Folgenabschätzung" ein. In dem vom Bundesforschungsministerium eingerichteten "Forum Privatheit" haben dazu nun Experten des Fraunhofer-Instituts ISI, des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein und der Universität Kassel das Whitepaper "Datenschutz-Folgenabschätzung" erarbeitet, das heise online vorab vorlag. Mittlerweile ist es online erhältlich.

Mit der Folgeabschätzung sollen Risiken erkannt und bewertet werden, die für den Bürger, Kunden oder Patienten entstehen, wenn eine Organisation eine neue Technik oder ein neues System zur Datenverarbeitung einsetzt. Ziel ist es, angesichts der unterschiedlichen Interessen und Rollen der Beteiligten Grundrechtsverletzungen zu verhindern. Bislang gab es solche "Technikfolgeabschätzungen" im Bereich Gesundheit und Umwelt. Ab 2018 verpflichtet erstmals die europäische Datenschutz-Grundverordnung in Art. 33 Organisationen dazu, diese bei kritischen Datenverarbeitungen durchzuführen.

Da die Grundverordnung nur allgemeine Vorgaben macht, es aber offenlässt, wie und nach welchen Kriterien die Folgen abgeschätzt werden sollten, wollen die Autoren mit ihrem Whitepaper eine "erste grundlegende Information" bereitstellen. Sie wollen damit verhindern, dass die Folgenabschätzung als Pflichtaufgabe mit einem möglichst geringen Aufwand "entledigt" und nicht als Instrument des "Privacy by Design" verstanden wird.

Für die Bewertung schlagen die Forscher vor, sich an den sechs Schutzzielen zu orientieren, die aus den klassischen drei Zielen der IT-Sicherheit – nämlich Verfügbarkeit, Integrität und Vertraulichkeit bestehen – sowie aus den spezifischen drei Datenschutzzielen der Nichtverkettbarkeit, Transparenz und Intervenierbarkeit. Diese Schutzziele haben die deutschen Aufsichtsbehörden in ihrem Prüfhandbuch zum Standard-Datenschutzmodell im Oktober vergangenen Jahres bereits zur Prüfnorm erhoben.

Bisher werden die Schutzziele der Informationssicherheit aus der Perspektive der Organisation betrachtet, die ihre Geschäftsprozesse sichern will. Für die Datenschutz-Folgeabschätzung werden aber die Organisationen selbst, die Daten verarbeiten, als Risiko betrachtet. Entsprechend stufen die Autoren als Risiko staatliche Stellen wie Sicherheitsbehörden, Statistische Ämter und versagende Aufsichtsbehörden ein sowie Unternehmen und Akteure im Gesundheitsweisen und in der Forschung. Damit die Organisation nicht sich selbst in den blinden Fleck setzt, halten es die Autoren für ideal, wenn eine unabhängige Instanz die Folgen abschätzt. Dies wird von der Grundverordnung aber nicht gefordert.

Die Autoren empfehlen, die Risiken nach drei Schutzstufen zu bewerten, die sich nicht allein an den Schadenshöhen und Eintrittswahrscheinlichkeiten orientieren, sondern daran, wie tief die Datenverarbeitung in die Grundrechte der Betroffenen eingreift: Je schutzbedürftiger und je abhängiger die Betroffenen von der Organisation sind, desto höher gilt das Risiko. Bewertet werden soll mit Hilfe eines Katalogs von Referenzmaßnahmen, die "stets die technisch besten verfügbaren Maßnahmen aufführen" sollte. Eine Arbeitsgruppe des Arbeitskreises Technik der deutschen Datenschutz-Aufsichtsbehörden erarbeitet gegenwärtig eine erste Version dieser Liste. (anw)