Wann werden Daten zum Risiko?

Wer Daten verarbeitet und dadurch die Rechte von Personen gefährden könnte, muss seit Mai 2018 eine Datenschutz-Folgenabschätzung machen. Wie Unternehmen und Behörden dabei vorgehen können, hat die interdisziplinäre Forschungsgruppe »Forum Privatheit« in einem Whitepaper zusammengestellt.

Ein neues White Paper des Forum Privatheit, das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordiniert wird, befasst sich mit der möglichen Ausgestaltung künftiger Datenschutz-Folgenabschätzungen (DSFA) und gibt Hilfestellungen zu deren praktischer Durchführung. Weil diese Instrumente mit Einführung der europäischen Datenschutz-Grundverordnung ab 2018 für Technologieanbieter und Systembetreiber verpflichtend werden, stellt das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ erste grundlegende Informationen zu dieser Neuerung bereit. Die Folgenabschätzungen sollen Technikanbietern, Datenschutz-Aufsichtsbehörden sowie der Öffentlichkeit helfen, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz abzuschätzen und diese von vornherein so gering wie möglich zu halten.

Bei der Nutzung vieler Dienste und Angebote im Internet wie etwa beim Online-Shopping, in sozialen Netzwerken oder selbst auf den Webseiten staatlicher Behörden werden häufig personenbezogene Daten gesammelt. Nutzerinnen und Nutzer können sich dieser Praxis bislang nur entziehen, wenn sie bestimmte Angebote ausdrücklich nicht nutzen – oder sich mit der Datensammlung einverstanden zeigen. Die dadurch entstehenden Risiken sind in der Öffentlichkeit bislang nur wenig bekannt, obwohl Medien immer wieder über Datenmissbrauch oder Datenpannen berichten.

Um künftig mögliche Gefahren durch Datenverarbeitungspraktiken besser beurteilen zu können, müssen viele Technikanbieter und Systembetreiber ab 2018 bei ihren Angeboten und Diensten Datenschutz-Folgenabschätzungen vornehmen. Bisher ist jedoch offen, wie und nach welchen Kriterien dies erfolgen soll. Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen besseren Datenschutz“ des Forum Privatheit setzt hier an und erarbeitet erste Grundzüge zur Ausgestaltung künftiger Datenschutz-Folgenabschätzungen und deren praktischer Durchführung. Die Auseinandersetzung hiermit ist wichtig, da die EU-Mitgliedsstaaten nach der Verabschiedung der Datenschutz-Grundverordnung im Jahr 2016 unmittelbar beginnen werden, diese bis 2018 in die Praxis umzusetzen.

Folgenabschätzungen weisen frühzeitig auf Datenschutz-Mängel hin

Dr. Michael Friedewald, der am Fraunhofer ISI zur Auswirkung von neuen Technologien auf Datenschutz und Privatheit forscht und einer der Mitautoren des White Papers ist, hebt die große Bedeutung der Folgenabschätzungen hervor: „Datenschutz-Folgenabschätzungen ermöglichen nicht nur eine bessere Einschätzung der Risiken durch bestehende datenverarbeitende Technologien, sondern sie weisen auch frühzeitig und während des Entwicklungsstadiums als eine Art ‚Frühwarnsystem‘ auf eventuelle negative Konsequenzen für den Datenschutz hin. Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz wird damit im Sinne des ‚Privacy by Design‘ bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert“.

Die künftig gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzungen bringen für ganz unterschiedliche Zielgruppen Vorteile mit sich: So können Technikanbieter und Systembetreiber die Technologieentwicklung besser steuern und sich spätere Nachbesserungen beim Datenschutzes sparen.

Durch die Vermeidung von Datenpannen erübrigen sich zudem Kosten für deren Behebung, mögliche Schadenersatzansprüche und Imageschäden in der Öffentlichkeit. Davon profitieren auch die Bürgerinnen und Bürger, die in Zukunft auf Basis der Folgenabschätzungen einfacher entscheiden können, welche Online-Angebote sie nutzen wollen oder nicht. Über Zertifikate wäre zum Beispiel schnell überprüfbar, ob Anbieter oder Betreiber Betroffenenrechte berücksichtigt haben – und Unternehmen könnten hierdurch ebenfalls ihren Willen zur Achtung dieser Rechte unterstreichen.

Datenschutz-Folgeabschätzungen helfen Aufsichtsbehörden bei Wahrnehmung ihrer Aufgaben

Neben den Technologieanbietern und Nutzern sind die Datenschutz-Folgeabschätzungen vor allem für Aufsichtsbehörden hilfreich: Die Durchführung standardisierter Folgenabschätzungen würde etwa eine bessere Wahrnehmung ihrer Aufsichtspflicht ermöglichen und Schwächen beim Datenschutz oder Rechtsverstöße schneller aufdecken helfen. Zudem wären Aufsichtsbehörden für Technologieanbieter und Systembetreiber geeignete Anlaufstellen, um Hilfestellungen zur Verbesserung von Produkten oder der gesamten Datenverarbeitungspraxis zu geben.

Damit Datenschutz-Folgenabschätzungen in Zukunft ihr Potenzial ganz entfalten können, sollten sie mehrfach – und nicht nur einmal, etwa zu Beginn eines Produktlebenszyklus – durchgeführt werden. Damit ließe sich die gängige Sammelpraxis insgesamt verändern und Unternehmen für die stärkere Achtung von Bürgerrechten sensibilisieren, die sie häufig nicht im Detail kennen . "Steuerungsdilemmata" und verspätete Nachbesserungen zur Stärkung des Datenschutzes am Ende der Entwicklungsphase würden damit obsolet, was allen betroffenen Seiten zugutekäme.

Im vom BMBF geförderten Forum Privatheit setzen sich nationale und internationale Experten interdisziplinär und über den Zeitraum von drei Jahren hinweg mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Hohenheim, die Universität Kassel, die Eberhard Karls Universität Tübingen, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sowie die Ludwig-Maximilians-Universität München. Die Forschungsergebnisse des Forums Privatheit fließen dabei nicht nur in den wissenschaftlichen Diskurs ein, sondern sollen auch Bürgerinnen und Bürger über Fragen des Privatheitsschutzes informieren.

Bild von: www.freepik.com; Designed by Freepik