Tools für die Datenschutz-Folgenabschätzung
Software-Lösungen allein können die Umsetzung der Datenschutz-Grundverordnung (DSGVO / GDPR) nicht sicherstellen. Aber Tools können zumindest dabei helfen. In unserer neuen Serie stellen wir verschiedene Werkzeuge vor. Den Anfang machen Tools und Verfahren, die bei der Risikobewertung helfen.
Die Datenschutz-Grundverordnung sieht das Instrument der Datenschutz-Folgenabschätzung vor. Artikel 35 DSGVO sagt dazu:
„Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.“
Datenschutz-Folgenabschätzung: die unbekannten Risiken
Risiken für personenbezogene Daten können nicht nur dann auftreten, wenn ein IT-Sicherheitsvorfall eintritt, also Angreifer Daten stehlen und missbrauchen. Oder wenn Verantwortliche Daten zu anderen Zwecken verarbeiten, als bei der Einwilligung und Erhebung angegeben.
Selbst eine rechtmäßige Datenverarbeitung kann zum Risiko für personenbezogene Daten werden. Das ist vor allem dann der Fall, wenn neue Technologien zum Einsatz kommen. Aktuelle Beispiele sind Machine Learning (ML) und Künstliche Intelligenz (KI).
Neue Technologien fallen insbesondere unter die Datenschutz-Folgenabschätzung, wenn eine „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vorliegt, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen“ (Artikel 35 DSGVO Abs. 3 Buchst. a).
Schwierigkeiten in der praktischen Umsetzung
Die DSGVO nennt zwar die wesentlichen Inhalte einer Risikobewertung:
- systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
- Bewertung der Notwendigkeit und Verhältnismäßigkeit
- Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen
Doch die praktische Umsetzung bereitet den verantwortlichen Stellen Schwierigkeiten, wie verschiedene Umfragen zeigen.
Neues offizielles Projekt
Deshalb ist es zu begrüßen, dass es ein neues vom Bundesforschungsministerium (BMBF) gefördertes Projekt unter Leitung des Fraunhofer ISI gibt, das bei Folgenabschätzungen helfen soll.
Das Projekt trägt den Namen „Datenschutz-Folgenabschätzung für den betrieblichen und behördlichen Einsatz“ und wurde im September 2017 gestartet. Fraunhofer ISI beschreibt das Verfahren so:
„In der Vorbereitungsphase prüft ein Unternehmen oder eine Behörde, ob eine Folgenabschätzung erforderlich ist. Wenn ja, erfolgt in der Bewertungsphase zunächst eine Definition möglicher Risikoquellen und Betroffener. Die Bewertung der Risiken erfolgt dann anhand von sechs Schutzzielen (unter anderem Nichtverkettbarkeit von Daten, Intervenierbarkeit, Vertraulichkeit).
In einer Maßnahmenphase müssen Schutzmaßnahmen identifiziert, implementiert und ihre Wirksamkeit dokumentiert werden. In der Berichtsphase werden schließlich alle erfolgten Schritte schriftlich fixiert, die für eine unabhängige Überprüfung der Folgenabschätzung und die Information der Öffentlichkeit nötig sind.“
|
Um die Praxistauglichkeit des Verfahrens sicherzustellen, starten ab Anfang 2018 Tests in Zusammenarbeit mit Unternehmen und Behörden.
Doch es gibt bereits jetzt Tools auf dem Markt, die Unterstützung anbieten.
Tools als Hilfe
Verschiedene Lösungsanbieter haben sich der Datenschutzfolgeabschätzung angenommen. Sie bieten neue Tools, teilweise als Erweiterung zu ihren bestehenden Lösungen.
Eine Folgenabschätzung auf Knopfdruck bekommt man natürlich nicht. Wohl aber Statusberichte, die helfen, Risiken zu ermitteln, zu bewerten und zu minimieren. Man erkennt insbesondere, ob die Schutzziele eingehalten werden oder nicht.
Kaseya GDPR Compliance Pack
Ein Beispiel ist das sogenannte Compliance Pack als Erweiterung (Plug-in) für VSA, die Kaseya Remote-Monitoring- und Management-Lösung. Das Pack bietet folgende Funktionen:
- IT-Systeme in der Infrastruktur entdecken
- Zustand der Infrastruktur und der Nutzer-Accounts prüfen, um Schwachstellen zu erkennen
- Betriebssysteme und Software-Applikationen von Drittanbietern aktualisieren und patchen, um IT-Probleme zu erkennen und zu lösen
- Daten gegen Malware und Viren sichern
- mit Reports Compliance mit den DSGVO-Anforderungen dokumentieren
Die Lösung bietet Berichte zum Status im Bereich Anti-Malware, Patch-Management, Benutzer und Administratoren.
Diese Berichte helfen bei der Bewertung von Risiken, sieht man sich in den Berichten speziell die Systeme an, für die eine Folgenabschätzung als notwendig ermittelt wurde.
GDPR Risk Assessment von Snow Software
Die Lösung GDPR Risk Assessment von Snow Software will Unternehmen helfen, Risiken im Umgang mit personenbezogenen Daten aufzudecken.
Die Lösung erkennt laut Anbieter mehr als 23.000 Versionen von Anwendungen, die persönliche Daten speichern oder übertragen, und identifiziert Geräte, die nicht ausreichend geschützt sind, zum Beispiel aufgrund fehlender Verschlüsselung oder Antiviren-Software.
Das Ziel ist eine Übersicht über alle Geräte, Nutzer und Applikationen, auf On-Premise-Systemen, in der Cloud und auf Mobilgeräten.
Diese Übersicht kann eine Hilfe sein, um riskante Fällen von Datenverarbeitungen aufzudecken. Sie zeigt zum Beispiel, ob ein IT-System, das besonders zu schützende Daten verarbeiten soll, ausreichend abgesichert ist oder nicht.
|