„Datenschutz-Folgenabschätzung – ein Werkzeug für einen besseren Datenschutz“
White Paper des Forums Privatheit und selbstbestimmtes Leben in der Digitalen Welt
Aus der Einleitung des White Papers zu Datenschutz-Folgenabschätzungen (DSFA):
„Dass eine Folgenabschätzung vor dem Einsatz einer bestimmten Technologie, oder gar vor deren Entwicklung, sinnvoll ist, hat sich seit den 1960er Jahren unter dem Begriff der ‚Technikfolgenabschätzung‘ (TA) weitgehend durchgesetzt – allerdings zunächst vor allem mit Blick auf Folgen für Gesundheit und Umwelt. Die Ausweitung auf Fragen des Datenschutzes hat erst sehr viel später begonnen. Im Rahmen der Reform der Datenschutzvorschriften in der EU wurde die Idee aufgegriffen, Technikfolgen auch für das Recht auf Achtung des Privatlebens (Art. 7 Charta der Grundrechte der Europäischen Union; Charta) und den Schutz personenbezogener Daten (Art. 8 Charta) abzuschätzen. So wird es mit der Anwendbarkeit (voraussichtlich 2018) der Vorschriften der europäischen Datenschutz-Grundverordnung (DS-GVO) unter bestimmten Bedingungen verpflichtend sein, eine DSFA durchzuführen.
Der Text der DS-GVO lässt freilich weitgehend offen, wie und nach welchen Kriterien eine solche DSFA durchzuführen ist. Es ist zu erwarten, dass nach Verabschiedung der DS-GVO rasch Modelle für die Durchführung einer DSFA vorgelegt werden. Dabei wird voraussichtlich auf Vorschläge zurückgegriffen werden, die in den vergangenen Jahren in verschiedenen EU-Mitgliedstaaten, von staatlichen wie privatwirtschaftlichen Akteuren, für spezielle Datenverarbeitungen entwickelt wurden.
Mit diesem White Paper soll eine erste grundlegende Information für alle Akteure bereitgestellt werden, die sich in Kürze aus unterschiedlicher Perspektive mit dem Thema DSFA beschäftigen müssen:
- Politische Entscheider und Datenschutzbehörden sind gefordert zu definieren, welche Anforderungen an einen DSFA-Prozess gestellt werden.
- Datenschutzbehörden und Datenschutzbeauftrage müssen sich damit auseinandersetzen, wie das neue Instrument in ihre tägliche Arbeit integriert und produktiv für den Schutz der Betroffenen eingesetzt werden kann.
- Forscher, Komponentenentwickler, Systemaggregatoren sowie Datenverarbeiter müssen sich Klarheit darüber verschaffen, welche neuen Anforderungen auf sie zukommen, wie sie diesen gerecht werden können und wie sie ihre Tätigkeit ggf. ändern müssen.
Es soll dabei dafür geworben werden, die DSFA nicht nur als gesetzlich vorgeschriebene Pflichtaufgabe zu verstehen, derer man sich mit möglichst geringem Aufwand ‚entledigt‘. Sie soll vielmehr als Instrument vorgestellt werden, das hilft, ungewollte Datenschutzrisiken zu erkennen und im Sinne von ‚Privacy by Design‘ zu vermeiden. Damit können Organisationen nicht nur sicher sein, alle rechtlichen Anforderungen zu erfüllen, sondern auch damit werben, aktiv und nachvollziehbar die Interessen der Betroffenen zu schützen. Über eine Zertifizierung oder ein Datenschutzsiegel kann sich dies zu einem Wettbewerbsvorteil entwickeln.“