Datenschutz-Folgenabschätzung

Ähnliche Dokumente
Ein neues Instrument aus der DS-GVO

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Keine Angst vor der Datenschutz- Folgenabschätzung

Anforderungen des Datenschutzes an die (Technik-)Gestaltung

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Datenschutz Folgenabschätzung (DSFA)


Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

Arbeitsblatt: Angaben zur Durchführung einer Datenschutz-Folgenabschätzung

DS-GVO: Anforderungen an Unternehmen aus Sicht der Aufsicht

DATENSCHUTZ in der Praxis

Kurzüberblick und Zeitplan

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

Kurzpapier Nr. 5 Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Datenschutz-Folgenabschätzung

EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Technischer Datenschutz

Neue Meldepflichten bei Datenschutzverstößen

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Datenschutz-Folgenabschätzung

INFORMATIONSBLATT DATENSCHUTZ. EU DATENSCHUTZ GRUNDVERORDNUNG Nr. 679/2016

Implementierung einer neuen Datenschutz Strategie robust, sicher, compliant und digital transformation-ready

EU Datenschutz-Grundverordnung. Datenschutz-Folgenabschätzung Privacy Impact Assessment

EU-Datenschutz- Grundverordnung

Amtsblatt der Europäischen Union L 234. Rechtsvorschriften. Rechtsakte ohne Gesetzescharakter. 61. Jahrgang 18. September 2018

Datenschutzreform 2018

Die Identifizierung von Risiken für die Rechte und Freiheiten natürlicher Personen

Das neue Kirchliche Datenschutzgesetz (KDG)

Datenschutz-Folgenabschätzung gem. DSGVO

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

KI Impuls Privacy und Datenschutz

Checkliste zur Datenschutzgrundverordnung

Datenschutz aktuell: EU-Datenschutz-Grundverordnung (DS-GVO) und neues Bundesdatenschutzgesetz (BDSG)

Prof. Dr. Winfried Kluth IWE GK. Universität Halle-Wittenberg

EU-Datenschutz-Grundverordnung: Start

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

- Wa s i s t j e t z t z u t u n? -

Die neue Grundverordnung des europäischen Datenschutzes

IT-Ziviltechniker Dr. Wolfgang Prentner. DI (FH) Oliver Pönisch.

Das Wichtigste zur neuen Datenschutz-Grundverordnung

Datenschutz durch Technik: Sicherheit der Verarbeitung nach der Datenschutz-Grundverordnung

Die DSGVO Was kommt auf uns zu? Notwendige Maßnahmen als Erfolgsfaktor! Jörg Schlißke, LL.B.

L 127/2 Amtsblatt der Europäischen Union

iubenda DSGVO Was Sie über die neue Datenschutzgrundverordnung wissen sollten Philip M. Weiss Carl H.

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

Privacy by design / by default Anforderungskriterien aus Kundensicht

BVD-Verbandstage 2018 Datenschutzbeauftragte unter der DS-GVO. Berlin, 26. April 2018, Katja Horlbeck (Der Hessische Datenschutzbeauftragte)

Durchführung einer Datenschutz- Folgenabschätzung nach Art. 35 DS-GVO in Anlehnung an die ISO/IEC 29134

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

DAS NEUE EUROPÄISCHE DATENSCHUTZRECHT CHANCEN, RISIKEN UND NEBENWIRKUNGEN

Datenschutz-Folgenabschätzung

Art. 1 DSGVO Gegenstand und Ziele 1. Erwägungsgründe 17. Art. 2 DSGVO Sachlicher Anwendungsbereich 6

Startschuss DSGVO: Was muss ich wissen?

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu?

Betriebliche Organisation des Datenschutzes

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung

Wesentliche Neuerungen im EU- Datenschutzrecht

Verzeichnis der Verarbeitungstätigkeiten

Datenschutz aus Europa geänderte Spielregeln für besseren Datenschutz, Rechte der Betroffenen, Pflichten der Verarbeiter

Datenschutz und IT-Sicherheit im Krankenhaus

Datenschutz-Richtlinie der SenVital

Die Datenschutzgrundverordnung

Die neue Datenschutzgrundverordnung DSGVO. Hessischer Immobilientag IVD Mitte e.v. Referent: Eric Drissler

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Checkliste: Wie passe ich die Prozesse in meiner Arztpraxis an die Anforderungen der EU-DSGVO an?

IT-Sicherheit und die Datenschutzgrundverordnung

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Datenschutz- Folgenabschätzung

DATENSCHUTZ DIE WORKSHOP-REIHE

Datenschutzzertifizierung Datenschutzmanagementsystem

Workshop Datenschutz - ERFA-Kreis

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Neues Datenschutzrecht umsetzen Stichtag

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

EU-Datenschutz-Grundverordnung (DSGVO)

Datenschutzgrundverordnung

Die Datenschutzgrundverordnung verändert alles

Datenschutz- Grundverordnung 2016/679 DS-GVO

99 Tage bis zur DSGVO Umsetzungsprojekt oder Notversorgung

Anforderungen an die Dokumentation im Lichte der datenschutzrechtlichen Änderungen

Cyber-Sicherheitstag Niedersachsen 2018

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Liste von Verarbeitungsvorgängen nach Art. 35 Abs. 4 DS-GVO

Die Ernennung eines Datenschutzbeauftragten

6. Fachtagung der LfM für den Datenschutz: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung

Transkript:

Datenschutz-Folgenabschätzung Ein neues Instruments aus der DS-GVO Dr. Michael Friedewald, Fraunhofer ISI Trivadis Schwarzwaldgipfel 30. März 2017, Novotel, Freiburg

Überblick Folgenabschätzungen Datenschutz-Grundverordnung und Datenschutz-Folgenabschätzung Fazit 2

Ursprung und Ziel von Technikfolgenabschätzungen Bei Langzeitrisiken Über den gesamten Lebenszyklus Auch für Risiken im Katastrophenfall Ziel: Aufdeckung versteckter Risiken Aber IT ist doch nicht mit Kernkraft zu vergleichen! TA informiert Gesellschaft und Politik TA soll zu zu Maßnahmen führen 3

Eine TA für den Datenschutz? Technik als Bedrohung?! 4

Datenschutz IT-Sicherheit Datenschutz beobachtet, beurteilt und bearbeitet die organisierte Informationsverarbeitung und Kommunikation in der asymmetrischen Machtbeziehung zwischen Organisationen und Personen. IT-Sicherheit: Jede Person kann ein Angreifer (auf die Organisation) sein. Datenschutz: Jede Organisation kann ein Angreifer sein Alice & Bob 5

Überblick Folgenabschätzungen Datenschutz-Grundverordnung und Datenschutz-Folgenabschätzung Fazit 6

Ganz kurz: Datenschutz-Grundverordnung Verkündet am 04. Mai 2016 Ab Mai 2018 anwendbar, lo st die Datenschutz-Richtlinie von 1995 ab Datenschutz-Richtlinie war Grundlage fu r die meisten Vorschriften in BDSG/LDSG Datenschutz-Grundverordnung gilt direkt, wird nur vereinzelt von BDSG/LDSG erga nzt Datenschutz-Folgenabschätzung (Art 35): Pflichten des Verantwortlichen Sanktionen bei Verstößen (10 Mio. EUR, 2 % Welt-Jahresumsatz) Amtsblatt der Europäischen Union Ausgabe in deutscher Sprache Inhalt I Rechtsvorschriften Gesetzgebungsakte VERORDNUNGEN Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ( 1 ) 1 RICHTLINIEN L 119 59. Jahrgang 4. Mai 2016 Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates... 89 Richtlinie (EU) 2016/681 des Europäischen Parlaments und des Rates vom 27. April 2016 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität... 132 Eigentlich müssten zum Stichtag DSFAen vorliegen. DE ( 1 ) Text von Bedeutung für den EWR Bei Rechtsakten, deren Titel in magerer Schrift gedruckt sind, handelt es sich um Rechtsakte der laufenden Verwaltung im Bereich der Agrarpolitik, die normalerweise nur eine begrenzte Geltungsdauer haben. Rechtsakte, deren Titel in fetter Schrift gedruckt sind und denen ein Sternchen vorangestellt ist, sind sonstige Rechtsakte. 7

Begriff Datenschutz-Folgenabschätzung Datenschutz-Folgenabschätzung Nicht: Folgen durch Datenschutz Sondern: Abschätzung von Folgen für Datenschutz Eigentlich nicht nur Technikfolgen Instrument, um in Verfahren oder Systemen die Risiken für Datenschutz und Privatheit von Individuen zu erkennen und zu bewerten Basis für Gegenmaßnahmen à Art. 25 Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen 8

Art. 35 Abs. 2 Verantwortlichkeit Der Verantwortliche führt durch Der DSB berät (2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein. Art 36 Abs. 1: Der Verantwortliche konsultiert vor der Verarbeitung die Aufsichtsbehörde, wenn aus einer Datenschutz- Folgenabschätzung gemäß Artikel 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Empfehlungen Auch Verbot möglich 9

Art.35, Abs. 7 Elemente einer DSFA Beschreibung (7) Die Folgenabschaẗzung entha lt zumindest Folgendes: Bewertung a) eine systematische Beschreibung der geplanten Verarbeitungsvorga nge und der Zwecke der Verarbeitung b) eine Bewertung der Notwendigkeit und Verha ltnisma ßigkeit der Verarbeitungsvorga nge in Bezug auf den Zweck; c) eine Bewertung der Risiken fu r die Rechte und Freiheiten der betroffenen Personen gema ß Absatz 1 und d) die zur Bewa ltigung der Risiken geplanten Abhilfemaßnahmen, Maßnahmen + Dokumentation 10

Praktische Anforderungen Reproduzierbar- und Überprüfbarkeit: Für Dritte Bürger wie Aufsichtsbehörden wird es möglich, zu kontrollieren, ob rechtliche Vorgaben eingehalten werden. à Zielgruppe: Öffentlichkeit, Aufsichtsbehörden Vergleichbarkeit: Kunden und Bürger können an Hand standardisierter DSFA Lösungen untereinander vergleichen. Für Anbieter können Wettbewerbsvorteile entstehen. à Zielgruppe: Öffentlichkeit, Kunden Effizienz: Standardisiertes, technologieneutrales Verfahren verringert den Aufwand zusätzlicher DSFAen (Lerneffekte) und steigert so die Akzeptanz à Zielgruppe: Verantwortliche

1. Vorbereitungsphase Prüfung Relevanzschwelle Prüfplanung, u.a. Teambildung Beschreibung des Prüfgegenstandes Identifikation der Akteure und Betroffenen Identifikation der maßgeblichen Rechtsgrundlagen 5. Fortschreibung und Überprüfung im Rahmen des Risiko- und Datenschutz- Managements 4. Berichtsphase DSFA- Prozess 2. Bewertungsphase Konsultation von Betroffenen Identifikation von Schutzzielen Identifikation möglicher Risikoquellen Bestimmung von Eingriffsintensität und Schutzbedarf Bewertung des Risikos Erstellung des DSFA-Berichts Veröffentlichung des Berichts bzw. einer Kurzfassung (Unabhängige Überprüfung der DSFA- Ergebnisse) 3. Maßnahmenphase Identifikation und Auswahl passender Schutzmaßnahmen Implementierung von Schutzmaßnahmen Test und Dokumentation der Wirksamkeit von Schutzmaßnahmen Dokumentation der Bewertungsergebnisse inkl. Restrisiken Nachweis der Einhaltung der DS-GVO insgesamt

1. Vorbereitungsphase 13

Art. 35 Abs. 1 Relevanzschwelle (1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden. Bei voraussichtlich hohem Risiko Verfahren nicht genau vorgegeben 14

Art. 35 Abs. 3 Relevanzschwelle (3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich: a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen; b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche. Bei invasiver Datenverarbeitung 15

Art. 35 Abs. 4-5 Relevanzschwelle Bsp.: Sensorik, Scoring, Biometrie, Verarbeitung sensibler Daten (4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gemäß Absatz 1 eine Datenschutz- Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Artikel 68 genannten Ausschuss. (5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss. Ausschluss-Liste m.e. nicht sinnvoll 16

Art. 35 Abs. 7 Beschreibung des ToE (7) Die Folgenabschätzung enthält zumindest Folgendes: (a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen; Prüfgegenstand und Akteure Daten, Formate, Protokolle IT-Systeme und Schnittstellen Prozesse Funktionsrollen Schon heute (BDSG): Verpflichtung zur Führung eines Verfahrensverzeichnis 17

2. Bewertungsphase 18

Risikobewertung Art. 35 Abs. 7: Die Folgenabschätzung enthält zumindest Folgendes: a) b) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und Erwägungsgrund 76: Eintrittswahrscheinlichkeit und Schwere des Risikos fu r die Rechte und Freiheiten der betroffenen Person sollten in Bezug auf die Art, den Umfang, die Umsta nde und die Zwecke der Verarbeitung bestimmt werden. 19

Bewertung des Risikos Risiko ist ein möglicher Schaden in der Zukunft Bewertung konkreter Verarbeitungsvorgänge (z.b. Online-Shop, digitale Patientenakte, Bewerbungsverfahren,...) Risiko für die Rechte der Betroffenen Risiko für die verarbeitende Stelle Eintrittswahrscheinlichkeit und Schwere: Relation von Angriffsszenarien und Schutzbedarf DSGVO nennt Beispiele für Schäden in Erwa gungsgrund 75: Diskriminierung, Identitaẗsdiebstahl oder -betrug, finanzieller Verlust, Rufscha digung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile 20

Risikoquellen Aus Betroffenenperspektive ist rechtma ßige Datenverarbeitung bereits Eingriff Risikoquellen liegen innerhalb und außerhalb der Organisation Organisation selbst Unternehmen, z.b. Dienstleister Staatliche Stellen, z.b. Sicherheitsbeho rden, Leistungsverwaltung Gesundheitsdienstleister Forschungsstellen Risiken sind Vernichtung, Verlust, Veränderung von Daten Offenlegung von oder Zugang zu Daten unbeabsichtig unrechtmäßig unbefugt 21

Das Standard-Datenschutzmodell Datenschutzrechtliche Anforderungen Þ 6 Gewährleistungsziele (neues Schutzziel Belastbarkeit, resilience?) 3 Verfahrenskomponenten: Daten, IT-Systeme und Prozesse 3 Schutzbedarfsabstufungen der Daten aus Betroffenenperspektive Katalog mit standardisierten Referenz-Schutzmaßnahmen Work in progress (Aktuell V.1.0 Erprobungsfassung ) Datenschutz-Folgenabschätzung 22

Sechs Gewährleistungsziele Vertraulichkeit Nicht-Verkettbarkeit Klassische Schutzziele der IT-Sicherheit + Datensparsamkeit Integrität Intervenierbarkeit Transparenz Verfügbarkeit Quelle: Pfitzmann, Rost, Hansen, Bock: verschiedene DuD Artikel Datenschutz-Folgenabschätzung 23

Drei Schutzbedarfsabstufungen Normal : personenbezogene Daten Hoch : besondere personenbezogene Daten und/oder erhebliche Konsequenzen für betroffene Personen möglich und/oder keine effektiven Interventionsmöglichkeiten Sehr hoch : hoch plus existenzielle Abhängigkeit der betroffenen Personen und keine Transparenz für sie Außerdem Kumulierungseffekte 24

Bewertung von Risiken Modellierung von Bedrohungen durch die Verknüpfung von Risiko-Quelle und Schadensszenarien Möglicher Schaden Diskriminierung durch fahrlässige Offenbarung interner Daten Identitätsdiebstahl im Online-Shop Finanzieller Verlust durch Malware Risiko- Quelle Eintrittswahrscheinlichkeit (Bsp) Schadenshöhe (Bsp) Risiko Mitarbeiter Vernachlässigbar Vernachlässigbar Normal Dienstleister wesentlich vernachlässigbar hoch Hacker hoch wesentlich sehr hoch Interner Admin wesentlich wesentlich hoch Hacker wesentlich begrenzt hoch Schwierig! 25

Risikobewertung Soll-Ist-Vergleich anhand von Referenz- Maßnahmen des Standard- Datenschutzmodells 26

Auswahl geeigneter Maßnahmen Referenzmaßnahmen Katalog der Referenzmaßnahmen muss die besten verfügbaren Techniken enthalten

3. Maßnahmenphase 28

Art. 35 Abs. 7 Maßnahmenphase (7) Die Folgenabschätzung enthält zumindest Folgendes: (a) (c) (d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Maßnahmen 29

Auswahl geeigneter Maßnahmen Referenzmaßnahmen Katalog der Referenzmaßnahmen muss die besten verfügbaren Techniken enthalten

4. Berichtsphase 31

Art. 35 Abs. 7 Berichtsphase (7) Die Folgenabschätzung enthält zumindest Folgendes: (a) (c) (d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird. Verarbeitung nur mit Dokumentation...... aber keine Vorgaben zur Art der Dokumentation, Veröffentlichung oder Überprüfung 32

Veröffentlichung? Prüfung? Veröffentlichung der DSFA Ergebnisse dennoch sinnvoll! Dokumentation des Prüfprozess Darstellung der Prüfergebnisse in standardisierter Form Darstellung geplanter Maßnahmen (inkl. Zuständigkeit, Zeitplan, Ressourcen) Ggf. öffentlicher und nicht-öffentlicher Teil Veröffentlichung und/oder Hinterlegung bei einer Aufsichtsbehörde DSFA sollten i.d.r. durch unabhängige Dritte geprüft werden Angemessener Umgang mit Interessenkonflikten Umfassende Berücksichtigung der Interessen der Betroffenen Wahrheitsgemäße und ausreichende Information der Öffentlichkeit Implementierung der Schutzmaßnahmen è Grundlage für Zertifizierung/Datenschutzgütesiegel nach Art. 42 33

5. Fortschreibung/Überprüfung 34

Art. 35 Abs. 11 Berichtsphase = immer? (11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind. Erneuter Durchlauf des DSFA-Zyklus 35

Überblick Folgenabschätzungen Datenschutz-Grundverordnung und Datenschutz-Folgenabschätzung Fazit 36

Fazit Chancen Risikobewusstsein schärfen Informierte Debatten und Frühwarnsystem (für Unternehmen, Öffentlichkeit, Politik) Hilft Entscheider ungewollte Datenschutzrisiken zu erkennen àumfassende Datenschutzvorsorge Offen DSFA als Standard oder Ausnahme? Welche Verfahren nach DS-GVO anerkannt? Vergleichbarkeit? Gelebte Praxis (Kostenfaktor vs. Wettbewerbsvorteil? DSFA light?)

Empfehlungen Datenschutz-Folgenabschätzungen weiterentwickeln nicht nur Technik Auch Business-Modell- und Normen-Check Als Chance begreifen Grundlage für Data Protection by Design Kombination mit Datenschutz-Gütesiegel Standardisierung

Lesetipp Online unter: https://www.forum-privatheit.de Rückfragen an: michael.friedewald@isi.fraunhofer.de Twitter: @mfriedewald / @ForumPrivatheit 39

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback