Das Magazin für Innere und Äußere Sicherheit, Bevölkerungsschutz, Katastrophenhilfe und Kritische Infrastrukturen
Home

Karlsruhe, 28.09.2017

Neues Verfahren hilft Unternehmen bei Durchführung von Datenschutz-Folgenabschätzungen

Im Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft, die Unternehmen und Behörden in bestimmten Fällen Datenschutz-Folgenabschätzungen vorschreibt. Deren Ziel besteht in der Erfassung, Abschätzung und Eindämmung möglicher Risiken, die für Nutzerinnen und Nutzer durch Datenverarbeitung entstehen. Aktuell besteht jedoch eine große Unsicherheit, wie eine Folgenabschätzung konkret erfolgen muss – bei Unterlassung drohen empfindliche Geldstrafen. Ein neues vom BMBF gefördertes Projekt unter Leitung des Fraunhofer ISI testet in diesem Kontext ein Verfahren, das bei der Durchführung von Folgenabschätzungen hilft und wird deren Ablauf detailliert in einem Handbuch beschreiben.

Die in bestimmten Fällen ab Mai 2018 verpflichtenden Datenschutz-Folgenabschätzungen sollen sicherstellen, dass persönliche Nutzerdaten keinem erhöhten Risiko unterliegen. Zudem sollen sie dafür sorgen, dass neue Technologien und datenverarbeitende Anwendungen das Recht auf Datenschutz sowie andere Rechte und Freiheiten gewährleisten. Viele Unternehmen und Behörden haben bislang jedoch nur wenig Erfahrung bei der Durchführung einer solchen Risikoabschätzung und benötigen Unterstützung. Da Verstöße gegen die Pflicht zur Folgenabschätzung mit Geldbußen von bis zu 10 Mio. Euro beziehungsweise 2 Prozent des weltweiten Jahresumsatzes geahndet werden können, ist hier ein dringender Handlungsbedarf erforderlich.

Das im September 2017 gestartete und vom BMBF geförderte Projekt "Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz" nimmt sich diesem Bedarf an: Gemeinsam mit der Fachhochschule Kiel und dem FIZ Karlsruhe wird das Fraunhofer ISI ein bereits entwickeltes Verfahren zur Durchführung von Datenschutz-Folgenabschätzung testen, das sich sowohl in großen wie auch in kleinen Unternehmen und Behörden einsetzen lässt. Das Verfahren zielt nicht nur auf die Erfüllung der Pflicht einer Folgenabschätzung ab, sondern ermöglicht auch "Datenschutz durch Technikgestaltung".

Die Durchführung einer Datenschutz-Folgenabschätzung ist laut Dr. Michael Friedewald, Leiter des Projekts am Fraunhofer ISI, in vier Ablaufphasen gegliedert: "In der Vorbereitungsphase prüft ein Unternehmen oder eine Behörde, ob eine Folgenabschätzung erforderlich ist. Wenn ja, erfolgt in der Bewertungsphase zunächst eine Definition möglicher Risikoquellen und Betroffener. Die Bewertung der Risiken erfolgt dann anhand von sechs Schutzzielen (unter anderem Nichtverkettbarkeit von Daten, Intervenierbarkeit, Vertraulichkeit). In einer Maßnahmenphase müssen dann aber auch Schutzmaßnahmen identifiziert, implementiert und ihre Wirksamkeit dokumentiert werden. In der Berichtsphase werden schließlich alle erfolgten Schritte schriftlich fixiert, die für eine unabhängige Überprüfung der Folgenabschätzung und die Information der Öffentlichkeit nötig sind."

Um die Praxistauglichkeit des Verfahrens sicherzustellen, werden im Projekt ab Anfang 2018 Tests in Kooperation mit Unternehmen und Behörden gestartet. Im Sinne eines maximalen gesellschaftlichen Nutzens soll die Verfahrensmethodik anhand solcher Geräte und Bereiche überprüft werden, in denen mit sensiblen Daten gearbeitet wird, die verfassungsrechtlich problematisch sind oder die im Zuge des technischen Fortschrittes Konfliktpotenzial erwarten lassen. Dazu zählen etwa "Wearables", also am Körper getragene Datenendgeräte wie Schrittzähler, die sensible Körperdaten erheben und besonderen Schutz erfordern. Ebenfalls trifft dies für den Bereich Open Public Data, also der freien Verfügbarkeit und Nutzbarkeit von durch öffentliche Stellen erhobenen Daten sowie dem Gesundheitsbereich zu, in dem die Verarbeitung sensibler Patientendaten zum Arbeitsalltag gehört. Ein weiterer Fokus liegt auf der Videoüberwachung, die in den letzten Jahren durch immer intelligentere Technik eine lückenlose Überwachung von Bürgerinnen und Bürgern möglich macht.

Das im Projekt entwickelte Verfahren zur Durchführung von Datenschutz-Folgenabschätzungen baut auf Erkenntnissen aus früheren Forschungsprojekten des Fraunhofer ISI sowie des Forschungsverbunds Forum Privatheit auf, in dessen Rahmen auch das White Paper "Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz" entstanden ist. Das neue Verfahren wird ausführlich in einem Handbuch beschrieben, damit Unternehmen und Behörden die Durchführung einer Folgenabschätzung schrittweise selbst vornehmen können.

Weitere Informationen

>>> Webseite des Projekts "Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz"

>>> White Paper "Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz"

>>> Pressemeldung Folgenabschätzungen als „Frühwarnsysteme“ für einen verbesserten Datenschutz

>>> Webseite des Forschungsverbunds Forum Privatheit

Das Fraunhofer-Institut für System- und Innovationsforschung ISI analysiert Entstehung und Auswirkungen von Innovationen. Wir erforschen die kurz- und langfristigen Entwicklungen von Innovationsprozessen und die gesellschaftlichen Auswirkungen neuer Technologien und Dienstleistungen. Auf dieser Grundlage stellen wir unseren Auftraggebern aus Wirtschaft, Politik und Wissenschaft Handlungsempfehlungen und Perspektiven für wichtige Entscheidungen zur Verfügung. Unsere Expertise liegt in der fundierten wissenschaftlichen Kompetenz sowie einem interdisziplinären und systemischen Forschungsansatz.

Fraunhofer-Institut für System- und Innovationsforschung ISI
Perspektiven für Entscheidungen
Breslauer Straße 48
76139 Karlsruhe
www.isi.fraunhofer.de
Twitter: @Fraunhofer_KA
Newsroom: www.fraunhofer-ka.de