Barbara Schmitz

Reinis, Privacy Impact Assessment


Mathias Reinis, Privacy Impact Assessment. Datenschutz-Folgenabschätzung nach ISO/IEC 29134 und ihre Anwendung im Rahmen der EU-DSGVO, Bonn (Concept Factory) 2017, ISBN 978-3-7448-7207-2, € 24,99

ZD-Aktuell 2018, 04274   Dieses Buch ist der zweite Band des Autors aus der Reihe „Fit für die EU-Datenschutzgrundverordnung“. Das Privacy Impact Assessment, kurz PIA, ist nicht neu. Bereits 2009 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem PIA-Leitfaden die datenschutzrechtlichen Risiken von RFID-Anwendungen aufgezeigt und standardisierte technische Maßnahmen zur Risikominimierung empfohlen. Mit der DS-GVO wird das Privacy Impact Assessment nicht nur erstmalig im Gesetzestext erwähnt, sondern erhält auch deutlich mehr Aufmerksamkeit als in der Vergangenheit. Verwirrend ist, dass in Art. 35 DS-GVO nicht die Begrifflichkeit „Privacy Impact Assessment“ gewählt wurde, sondern der Begriff „Data Protection Impact Assessment“. Entscheidend ist jedoch, dass – wie auch schon in Art. 20 DS-RL („Vorabkontrolle“) - die spezifischen Risiken der Datenverarbeitung für den Betroffenen zu beachten sind.

Dieses Erkennen und Bearbeiten der „spezifischen Risiken“ der Datenverarbeitung versucht Mathias Reinis in seinem Werk zu erfassen und eine Hilfestellung für die Umsetzung in der Praxis zu geben. Grundlage hierfür ist das Dokument „ISO/IEC 29134:2017-06 Informationstechnik – Sicherheitsverfahren – Datenschutz-Folgenabschätzung“, das als methodisches Rahmenwerk ein Instrument für die Implementierung eines Prozesses für eine Datenschutz-Folgenabschätzung sein kann. Der Autor stellt den Regelungen aus den Art. 35 und 36 DS-GVO samt den dazugehörigen Erwägungsgründen zur Datenschutz-Folgenabschätzung die passenden ISO-Normen gegenüber. So entsteht ein praxisnaher Überblick über die wesentlichen Umsetzungsaspekte der Datenschutz-Folgenabschätzung.

Die Kombination von ISO-Norm mit den Regelungen der DS-GVO gibt einen hilfreichen Ein- und Überblick in die technischen Anforderungen einer Datenschutz-Folgenabschätzung. In den ersten drei Kapiteln stellt der Autor die Entstehungsgeschichte und den konzeptionellen Aufbau der ISO-Norm dar. In der Folge stellt er das Herzstück der Datenschutz-Folgenabschätzung, die Risikoerfassung und -bewertung, in den Fokus der Prozessgestaltung.

Im Anschluss an die ISO-Norm-Darstellung folgt die konkrete Beschreibung eines Datenschutz-Folgenabschätzungs-Prozesses. Die einzelnen Schritte werden anhand von Tabellen und Skizzen visualisiert, sodass eine Art Checkliste entsteht. So wird z.B. in Kapitel 4 der Ablauf der acht Phasen einer Datenschutz-Folgenabschätzung anschaulich durch Einteilung in Zielsetzung, Prozessschritte und Ergebnis wiedergegeben. Von praktischer Relevanz ist auch die in Kapitel 10 beschriebene Berichtslegung. Hier wird eine konkrete Hilfestellung bei der durch die DS-GVO neu eingeführten Rechenschaftspflicht (sog. Accountability) gegeben.

Es gelingt dem Autor, die wesentlichen Probleme bei der Implementierung eines Datenschutz-Folgenabschätzungs-Prozesses in ansprechender Weise darzustellen.

In der Anlage finden sich hilfreiche  Auszüge aus der ISO-Norm 29100, Auszüge aus der DS-GVO sowie aus dem BDSG 2018. Im Literaturverzeichnis gibt der Autor den Hinweis auf den Link für die ISO-Norm 29100 (2011).

Barbara Schmitz ist Chief Data Protection Officer/Syndikusanwältin bei OSRAM, München.