Home / Insight / DSGVO / Privacy Impact Assessment (PIA) / Privacy by Default/ Privacy by Design

Privacy Impact Assessment (PIA)

Privacy Impact Assessment – Ja oder Nein? 

Die DSGVO bestimmt die Vornahme eines Privacy Impact Assessments („Datenschutz-Folgenabschätzung“) vor der Aufnahme bestimmter (für den Betroffenen riskanter) Datenanwendungen. Unternehmen müssen zunächst einschätzen, ob ihre Datenverarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten von Personen darstellt. Wenn ein hohes Risiko besteht, ist in einem weiteren Schritt eine detaillierte Folgenabschätzung notwendig. Die Schwierigkeit wird sich in der Praxis darin stellen, selbst beurteilen zu müssen, ob in Ihrem Unternehmen ein hohes Risiko besteht. Die DSGVO stellt dabei auf die Sicht des Betroffenen ab, also ob die Rechte und Freiheiten des Einzelnen betroffen sein könnten (in der Praxis werden solche Einschnitte der Persönlichkeitsrechte des Betroffenen als „Privacy Impact“ bezeichnet). 

Zuerst sollen daher alle Abteilungen Ihres Unternehmens im Rahmen des Datamappings angehalten sein, eine Einschätzung über den „Impact“ vorzunehmen und sohin das Risiko für die Betroffenen zu bewerten. In einem zweiten Schritt müssen die Verarbeitung und die vorzunehmenden Maßnahmen beschrieben werden („Was mache ich genau und was kann ich tun, um das Risiko zu verringern?“). Wie Sie diese Methodik angehen, ist Ihnen von der DSGVO freigestellt.

In der Praxis werden vor allem solche Unternehmen mit der Vornahme eines Privacy Impact Assessments konfrontiert sein, die neue Technologien (wie zum Beispiel Tracking Tools) verwenden oder mit “besonderen Datenkategorien“ (zB Gesundheit, strafrechtlich relevante Daten etc.) arbeiten oder die Daten entsprechend der „schwarzen Liste“ verarbeiten (dabei handelt es sich um eine schwarze Liste von „besonders risikobehafteten“ Datenverarbeitungen, die von der Datenschutzbehörde in Zukunft zu veröffentlichen ist).

Privacy by Default/ Privacy by Design

Privacy by Default und Privacy by Design

Mit diesen zwei Trendbegriffen schreibt die DSGVO zwei technische Konzepte vor, welche von Ihrem Unternehmen jedenfalls zu beachten und zu implementieren sind: Datenschutz durch Voreinstellungen („Privacy by Default“) und Datenschutz durch Technik („Privacy by Design“). Das bedeutet, dass die IT-Systeme so eingestellt sein müssen, dass Datenschutzverstöße weitgehend schon durch die Programmierung vermieden werden. So dürfen beispielsweise „Checkboxes“ nicht automatisch so ausgefüllt sein, dass eine Zustimmung fingiert wird. Auch muss dafür Sorge getragen werden, dass beim Erfordernis der Zustimmung ein „Opt-In“ und kein „Opt-Out“ vorgesehen ist.

Um die angemessenen technischen und organisatorischen Maßnahmen durch Privacy by Default und Privacy by Design zu treffen, bildet das Erstellen des Verarbeitungsverzeichnisses eine wesentliche Voraussetzung. Hat man nämlich einmal die Voraussetzungen für die zulässige Verarbeitung von personenbezogenen Daten verinnerlicht, gestaltet sich die Abwägung leichter, welche Privacy by-Default und Privacy by Design-Maßnahmen zu ergreifen sind.

  • Dem Privacy by Default-Prinzip entsprechend sollte Ihr Unternehmen über eine Website verfügen, die geeignete Privatsphäre-Einstellungen für Ihre Nutzer bereitstellt. Dies kann sich dadurch äußern, dass im Onlinemarketing-Bereich und einer damit zusammenhängenden Onlinekontoregistrierung dem Nutzer die Möglichkeit gegeben wird, seine erteilte Einwilligung einzusehen und jederzeit zu entziehen. Letztlich ist ein System zu implementieren, das die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerruf, Einschränkung der Verarbeitung) sicherstellt. Das könnte beispielsweise durch die Bereitstellung eines Online-Formulars/E-Mail Adresse zur Kontaktaufnahme geschehen.
  • Schließlich ist dem Grundsatz des Privacy by Design-Prinzips insbesondere dann Genüge getan, wenn bei einer auf Einwilligung beruhender Datenverarbeitung die Einwilligung vor Aufnahme der Datenverarbeitung erfolgt.