Datenschutz-Folgenabschätzung mit dem kostenlosen Werkzeug PIA - privacy impact assessment von CNIL (Teil 1)

Mit dem kostenlosen Werkzeug PIA (privacy impact assessment) der französischen Datenschutz-Aufsichtsbehörde können Sie eine eine strukturierte und nachvollziehbar dokumentierte Datenschutz-Folgenabschätzung erstellen. In diesem Tutorial erläutere ich Ihnen Schritt-für-Schritt, wie Sie die Software bedienen und welche Inhalte Sie befüllen müssen.

Zuerst laden Sie die Software runter und starten Sie das Programm. Ich empfehlen Ihnen zum Ausprobieren erstmal die Desktop-Version. Falls Sie einen unternehmensweiten Einsatz der Software planen, können Sie später immer noch eine Server-Version installieren. Die erstellten DSFA sind nachträglich in andere Installationen einfach importierbar.

Nachdem Sie die Software gestartet haben, drücken Sie "Neue DSFA" und legen Ihre erste Datenschutz-Folgenabschätzung (Abb. 1) an.

Anlegen einer Datenschutz-Folgenabschätzung

Abb. 1.: Anlegen der DSFA

 

Nachdem Sie die Eckdaten der DSFA eingegeben haben, landen Sie auf der Übersichtsseite, dem eigentlichen Kern des Programms (Abb. 2).

Übersichtsseite zur Datenschutz-Folgenabschätzung PIA CNIL

Abb. 2: Übersichtsseite

Die Übersichtsseite ist dreigeteilt: Links steht die Kategorien Kontext, Grundlegende Prinzipien, Risiken und Bestätigung mit den jeweiligen Unterseiten. In der Mitte erscheinen die entsprechenden Eingabefelder, hier also der "Überblick" aus der Kategorie "Kontext". Rechts werden immer Hilfen angeboten, in der Regel Begriffserläuterungen und kurze Beispiele.

Auf der Überblicksseite beginnen Sie damit, die drei Felder

  • Welche Verarbeitung ist geplant
  • Welche Zuständigkeiten bestehen für die Verarbeitung und
  • Gibt es Normen oder Standards für die Verarbeitung

auszufüllen. Im Idealfall dokumentieren Sie hier alle Informationen, die notwendig sind, um das Vorhaben/die Verarbeitung übersichtlich zu beschreiben. Auf der folgenden Seite "Daten, Prozesse und Unterstützung" (Abb. 3) müssen Sie das Vorhaben detaillierter beschreiben, indem Sie Details zu den verwendeten Daten, dem Datenfluss und den eingesetzten Systemen erläutern.

Abb. 3: Daten, Prozesse und Unterstützung

 Auf der folgenden Seite "Grundlegende Prinzipien" müssen Sie Aussagen treffen zu:

  • Sind die Verarbeitungszwecke eindeutig definiert und rechtmäßig?
  • Aufgrund welcher Rechtsgrundlage erfolgt die Verarbeitung?
  • Sind die erhobenen Daten erforderlich, relevant und auf das für die Datenverarbeitung Notwendige beschränkt?
  • Sind die Daten korrekt und auf dem neuesten Stand?
  • Welche Speicherdauer haben die Daten?

Diese Fragen zielen auf die datenschutzrechtlich konforme Verarbeitung der personenbezogenen Daten. Insbesondere die Rechtsgrundlage ist das absolute KO-Kriterium für die Machbarkeit der geplanten Verarbeitung. Ohne Rechtsgrundlage keine Verarbeitung personenbezogener Daten (Verbot mit Erlaubnisvorbehalt). In Frage kommen die Rechtsgrundlagen nach Art. 6 DSGVO Vertrag, Gesetz, Einwilligung, berechtigtes Interesse, öffentliches Interesse etc. Falls Sie die Rechtsgrundlage "berechtigtes Interesse" aufführen, verweisen Sie bitte gleichzeitig auf die dazu verpflichtende Dokumentation der Interessenabwägung.

Auf der folgenden Seite "Maßnahmen zum Schutz der Persönlichkeitsrecht der betroffenen Personen" müssen Sie konkretisieren wie Sie die Umsetzung der in Art. 12 ff EU-Datenschutz-Grundverordnung genannten Rechte der betroffenen Personen umsetzen bzw. sicherstellen. Dazu werden Sie antworten müssen auf die Fragen:

Wie werden die betroffenen Personen über die Verarbeitung informiert?

Beschreiben Sie, welche Informationen den betroffenen Personen auf welche Art und Weise zur Verfügung gestellt werden.

Wenn anwendbar, wie wird die Einwilligung der betroffenen Personen eingeholt?

Beschreiben Sie die Maßnahmen, die sicherstellen sollen, dass die Einwilligung der Betroffenen eingeholt wurde.

Wie können Betroffene ihre Recht auf Auskunft und Datenübertragbarkeit ausüben?

Beschreiben Sie die Maßnahmen, mit denen betroffene Personen Einsicht in ihre Daten nehmen sowie diese erhalten und übermitteln können.

Wie können betroffene Personen ihr Recht auf Berichtigung und Löschung (Recht auf Vergessenwerden) ausüben?

Beschreiben Sie die Regelungen, mit denen betroffene Personen ihre Daten berichtigen und löschen können.

Wie können betroffene Personen ihre Rechte auf Einschränkung oder Widerspruch der Verarbeitung ausüben?

Beschreiben Sie die Regelungen, mit denen betroffene Personen die Verarbeitung ihrer Daten einschränken und ihr widersprechen können.

Sind die Verpflichtungen der Auftragsverarbeiter klar definiert und vertraglich geregelt?

Beschreiben Sie für jeden Auftragsverarbeiter seine Zuständigkeiten und Aufgaben (Dauer, Umfang, Zweck, dokumentierte Verarbeitungsanweisungen, vorherige Genehmigung) und stellen Sie die Verträge, Verhaltensregeln (codes of conduct) und Zertifizierungen bereit, die seine Aufgaben und Verpflichtungen bestimmen.

Soweit Datenübermittlungen in Länder außerhalb der Europäischen Union stattfinden, werden die Daten angemessen geschützt?

Listen Sie jedes Land außerhalb der Europäischen Union, in dem Daten gespeichert oder verarbeitet werden und geben Sie an, ob dieses anerkanntermaßen ein angemessenes Datenschutzniveau bietet oder beschreiben Sie die (Vertrags-)Bedingungen, die den Transfer regeln.

Im nächsten Teil meiner Blogreihe zur DSFA mit dem Werkzeug PIA von CNIL beschreibe ich den Umgang mit den Risiken für die Rechte und Freiheiten der Betroffenen und die Festlegung von kompensierenden (risikomitgierenden) Maßnahmen. Coming soon!

Sie haben Fragen? Wenden Sie sich gerne an mich.

Ingo Goblirsch LL.M.
Externer Datenschutzbeauftragter
Datenschutz und Informationssicherheit
Aachen