Datenschutz für Einsteigerinnen und Einsteiger

1. 00:00Herzlich willkommen zum Teil 8 des Kurses Datenschutz für Einsteigerinnen und Einsteiger.
2. 00:06Das heutige Thema ist die Datenschutz-Folgenabschätzung.
3. 00:10Ich werde wieder zunächst die gesetzliche Grundlage darstellen, dann die Grundsätze erläutern.
4. 00:16Also, wann brauchen wir überhaupt eine Datenschutz-Folgenabschätzung?
5. 00:20Wie gehen wir dabei vor?
6. 00:22Und Ihnen anschließend auch noch den Hinweis auf ein Muster für eine Datenschutz-Folgenabschätzung geben.
7. 00:29Zum Hintergrund: Bei Erlaß der DSGVO hat sich der Gesetzgeber überlegt, dass es ja einerseits eine gute Idee ist, Bußgelder zu verhängen, wenn gegen Datenschutzgrundsätze verstoßen wird.
8. 00:43Dass es aber andererseits auch sinnvoll ist, wenn schon im Vorhinein die Unternehmen gezwungen werden, sich Gedanken darüber zu machen, ob mögliche
9. 00:50Gefahren für personenbezogene Daten entstehen durch Maßnahmen, die sie ergreifen.
10. 00:55Das heißt, der Gesetzgeber hat sich entschlossen, dass bei Maßnahmen, die potenziell ein hohes Risiko haben, das Unternehmen gezwungen ist, im Vorhinein eine entsprechende
11. 01:07Datenschutz-Folgenabschätzung zu machen, sich also im Vorhinein zu überlegen, welche Risiken bestehen und das auch zu dokumentieren.
12. 01:14Geregelt ist das Ganze in Artikel 35 der Datenschutzgrundverordnung.
13. 01:19Sie sehen in Absatz 1 heißt es, hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien aufgrund der Art des Umfangs der Umstände und der Zwecke der Verarbeitung
14. 01:33voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zufolge,
15. 01:38So führt der verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge durch.
16. 01:46Und dann werden in Absatz 3 werden Beispiele genannt, bei denen eine solche Datenschutz-Folgenabschätzung auf jeden Fall erforderlich ist.
17. 01:57Ja. Voraussetzung ist also nach dem Gesetzestext ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen.
18. 02:05Da geht's zum einen, wie in dem Beispiel auch genannt wird, um die systematische und umfassende Bewertung persönliche Aspekte natürlicher Personen.
19. 02:14Beispiel Profiling.
20. 02:16Es geht um die umfangreiche Verarbeitung sensibler Daten.
21. 02:19Das hatte ich ja schon an vorheriger Stelle dargestellt.
22. 02:22Was sind sensible Daten?
23. 02:23Das sind insbesondere Gesundheitsdaten, ethnische Zugehörigkeit, Gewerkschaftszugehörigkeit.
24. 02:29Und es geht um Fälle von systematischer, umfangreicher Überwachung öffentlich zugängliche Bereiche.
25. 02:36Um das ein bisschen anschaulicher zu machen habe ich mal hier drei Beispiele genannt.
26. 02:40Wenn eine Bank ihre Kunden mithilfe einer Datenbank für die Kreditauskunft prüft.
27. 02:45Das wäre ein Fall, wo im Vorhinein eine Datenschutz-Folgenabschätzung zu machen ist.
28. 02:50Wenn ein Krankenhaus eine neue Datenbank mit Gesundheitsdaten einführt oder beispielsweise ein Busunternehmen beabsichtigt an Bord Kameras einzurichten, um Fahrgäste und Fahrer zu überwachen.
29. 03:03So eine Datenschutz-Folgenabschätzung ist schon relativ komplizierte Geschichte.
30. 03:10Also Sie brauchen da schon 5 bis 10 Seiten, um so etwas durchzuführen.
31. 03:15Ich würde sagen, es ist doch schwierig, das ohne juristische Unterstützung zu machen.
32. 03:21Deshalb ich habe Ihnen mal hier so ein Muster dargestellt, wie das zu machen ist, also was dort zu berücksichtigen ist.
33. 03:28Ich würde sagen im Zweifel kann Ihnen das nur eine leichte Hilfestellung sein, damit Sie eine Idee haben, welche Daten sie sammeln müssen,
34. 03:37was das an Aufgaben erfordert oder an Arbeit erfordert.
35. 03:41Lassen Sie sich aber in der Regel von einem Juristen oder einem ausgebildeten Datenschutzbeauftragten dabei helfen.
36. 03:50Die erste Phase, sind hier so drei Phasen, die aufgezeigt sind, ist die Vorbereitungsphase.
37. 03:57Ich muss erst mal überlegen, brauche ich überhaupt eine Datenschutz-Folgenabschätzung?
38. 04:01Ich gucke also, gibt es hier überhaupt ein hohes Risiko oder nicht, ist dann eine entsprechende Relevanz gegeben?
39. 04:08Wenn nicht, kann ich es gleich sein lassen.
40. 04:09Wenn doch, muss ich halt weitergehen.
41. 04:11Ich muss entsprechend mir überlegen, welche Daten betroffen sind, welche Personen betroffen sind.
42. 04:17Ich komme dann in der weiteren Phase dazu, mir zu überlegen, welche Gefahren können drohen?
43. 04:23Also wer kann möglicherweise Schindluder mit diesen Daten treiben?
44. 04:29Wo kann es Einbrüche geben, dass in diese Daten Einblick genommen werden kann?
45. 04:34Und welche entsprechenden Schutzmaßnahmen muss ich ergreifen, um das zu verhindern?
46. 04:40Und am Schluss muss ich das Ganze natürlich halt auch dokumentieren und darlegen, welche Schutzmaßnahmen ich ergreife und zu einer Bewertung kommen.
47. 04:50Gibt es denn jetzt ein hohes Risiko, mittleres oder ein kleines Risiko, dass Daten Dritten unbefugt zur Kenntnis gelangen?
48. 05:00Wenn ich zu dem Ergebnis kommen sollte, dass es ein hohes Risiko gibt, darf ich es natürlich nicht machen.
49. 05:05Deshalb sollte ich dann entsprechend bei den Maßnahmen, die ich ergreife, solche Maßnahmen aufschreiben und natürlich auch tatsächlich einführen, die verhindern, dass ich zu der Bewertung
50. 05:16hohes Risiko komme.
51. 05:18Diese Übersicht ist vom Forum Privatheit, da finden Sie die auch, dort gibt es ein sogenanntes Whitepaper.
52. 05:26Da sind dann auch noch weitere Ausführungen zum Thema Datenschutz-Folgeabschätzung zu finden.
53. 05:32Was auch sehr hilfreich ist, was ich sehr gut empfehlen kann, ist das Tool für die Datenschutz-Folgenabschätzung der französischen Datenschutzaufsichtsbehörde.
54. 05:42Die haben sich da sehr viel Mühe gemacht und ein entsprechendes Dokument, was man auch ausfüllen kann,
55. 05:49entworfen, ins Internet gestellt, und der bayrische Landesdatenschutzbeauftragte hat dankenswerterweise eine deutsche Übersetzung angefertigt.
56. 05:57Die finden Sie auf der Internetseite des bayerischen Landesdatenschutzbeauftragten.
57. 06:03Die Fundstelle habe ich angegeben.
58. 06:06Und dort gibt es auch eine Blacklist.
59. 06:07Das heißt eine Liste, wo aufgeführt ist bei welchen Verfahren ich auf jeden Fall eine Datenschutz-Folgenabschätzung machen muss.
60. 06:14Ist kostenlos, OpenSource. Sehr gut als Vorlage für eine eigene Datenschutz-Folgeabschätzung.
61. 06:23Ja, das war es zum Thema Datenschutz-Folgenabschätzung.
62. 06:29Das Thema des nächsten Teils wird das Datenschutzmanagement-System sein.
63. 06:34Vielen Dank.

To enable the transcript, please select a language in the video player settings menu.