Mythos 5: Datenschutz-Folgenabschätzung (PIA)

Der Begriff PIA ist mittlerweile nicht mehr aus dem Datenschutzvokabular wegzudenken. Es ist ein neuer Begriff, der von der DSGVO eingeführt wurde. PIA steht für Privacy Impact Assessment. Offiziell spricht die DSGVO von einem Data Protection Impact Assessment (DPIA), das im Deutschen als “Datenschutz-Folgenabschätzung” übersetzt wird. Alle diese Begriffe sind jedoch miteinander austauschbar, obwohl PIA die bekannteste Abkürzung ist.

Eine gute Möglichkeit, um festzustellen, ob dein Unternehmen bereits die Anforderungen der DSGVO erfüllt, ist die Durchführung eines Audits oder eines Schnellscans. Das ist noch kein PIA. Es ist ein weit verbreiteter Irrtum, dass ein PIA in einem Unternehmen oder einer Organisation als eine Art Audit oder Quick Scan durchgeführt wird. Dies ist nicht der Fall – denn ein PIA ist eine Bewertung eines bestimmten Verarbeitungsvorgangs.

Die DSGVO schreibt vor, dass ein für die Verarbeitung Verantwortlicher die Auswirkungen eines vorgeschlagenen Verarbeitungsvorgangs beurteilen muss, wenn dieser ein erhöhtes Risiko für die betroffene Person darstellt.

Was ist ein erhöhtes Risiko?

Der Begriff des "erhöhten Risikos" ist ein offener Standard. Dies bedeutet, dass die DSGVO keine genaue Beschreibung der Fälle enthält, in denen ein erhöhtes Risiko besteht oder nicht. Dabei solltest du die folgenden Punkte beachten:

  • Werden neue Technologien in der Verarbeitung eingesetzt?
  • Die Art der Verarbeitung
  • Umfang der Verarbeitung (Dauer, Anzahl der verschiedenen Daten, Anzahl der betroffenen Personen)
  • Der Kontext der Verarbeitung
  • Der Zweck der Verarbeitung

Auf der Grundlage dieser Faktoren musst du daher im Voraus prüfen, ob die beabsichtigte Verarbeitung ein erhöhtes Risiko für die Rechte der Betroffenen mit sich bringt. Ist dies der Fall, muss ein PIA durchgeführt werden.

Die DSGVO erwähnt auch eine Reihe von Fällen, in denen ein PIA immer obligatorisch ist. Dies ist bei den folgenden Verarbeitungsvorgängen der Fall:

  1. Im Falle einer Verarbeitung auf der Grundlage einer automatisierten Verarbeitung, einschließlich der Erstellung von Profilen, auf deren Grundlage Entscheidungen getroffen werden, die für die betroffene Person rechtliche Auswirkungen haben oder die für die betroffene Person vergleichbare Auswirkungen haben können.

    Ein Beispiel ist die Gemeinde, die automatisch anhand einer Reihe von Faktoren, die aus der Software bezogen werden, entscheidet, ob ein Einwohner für einen Mietzuschuss in Frage kommt. Die Gemeinde verarbeitet dann die persönlichen Daten des Einwohners, die Verarbeitung erfolgt automatisch mit Hilfe der Software. Die Software zieht dann eine Schlussfolgerung: ob ein Mietzuschuss gewährt werden soll oder nicht. Dies ist eine Entscheidung mit rechtlicher Wirkung.

  2. Bei umfangreicher Verarbeitung besonderer personenbezogener oder strafrechtlich relevanter Daten

  3. Bei der systematischen und großflächigen Überwachung von öffentlich zugänglichen Räumen.

Impact Assessment

Nun kommen wir zum IA-Teil der PIA. Was ist die Folgenabschätzung?
Die DSGVO schreibt vier Komponenten vor, die mindestens in die Bewertung der Auswirkungen der beabsichtigten Verarbeitung einbezogen werden müssen:

  1. Eine systematische Beschreibung der beabsichtigten Verarbeitung, des Zwecks und der berechtigten Interessen des für die Verarbeitung Verantwortlichen;
  2. Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck;
  3. Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen;
  4. Die geplanten Maßnahmen zur Bewältigung der Risiken, einschließlich Schutzvorkehrungen, Sicherheitsmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Einhaltung des GSC unter Wahrung der Rechte und berechtigten Interessen der betroffenen Personen.

Du erarbeitest diese Punkte und wägst sie gegeneinander ab. Weist das PIA darauf hin, dass die Verarbeitung ein hohes Risiko darstellt, ohne dass es ausreichende Maßnahmen zum Schutz der betroffenen Person gibt, sollte der für die Verarbeitung Verantwortliche die Datenschutzbehörde über die beabsichtigte Verarbeitung informieren. Die Behörde wird dann die vorgeschlagene Verarbeitung überprüfen. Die Behörde prüft, ob die Verarbeitung gegen die Grundsätze des Datenschutzes verstoßen würde, und gibt dem für die Verarbeitung Verantwortlichen diesbezüglich eine schriftliche Empfehlung.

Privacy Company kann dir mit einem PIA helfen. Lese mehr über unsere [Dienstleistungen] (https://www.privacycompany.de/datenschutzdienstleistungen/), oder kontaktiere uns.

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company