Mit der EU-Datenschutzgrundverordnung wird 2018 das neue Instrument der Datenschutz-Folgenabschätzung eingeführt (Art. 35 DSGVO). Die Datenschutz-Folgenabschätzung (DSFA) soll gem. Art. 35 DS-GVO eine umfassende Risikobewertung von Datenverarbeitungsvorgängen ermöglichen. Sie ersetzt die bisherige Vorabkontrolle nach § 4d Abs. 5 BDSG a.F., wobei beide Instrumente nicht in allen Teilen vollständig deckungsgleich sind.
Hinsichtlich der Durchführung gibt es keine verbindlichen und abgestimmten Vorgaben seitens der Aufsichtsbehörden. Die DSFA besteht zumindest aus den in Art. 35 Abs. 7 litt a bis d DS-GVO niedergelegten Punkten. Derzeit sind mehrere Modelle in der Diskussion, wie bei einer DSFA am besten vorzugehen ist. Im Rahmen eines Planspiels haben das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern für einen hypothetischen Beispielsfall eine Datenschutz-Folgenabschätzung durchgeführt. Die Autoren haben sich dabei an einem DSFA-Framework orientiert, das dem „Whitepaper Datenschutz-Folgenabschätzung“ und einem Aufsatz von Bieker et al. entnommen wurde. Für die Risikoabschätzung und die Bestimmung der Maßnahmen wurde das Standard-Datenschutzmodell verwendet.
Entlang eines mit knapp zwei Seiten Text umrissenen Fall-Beispiels soll eine Datenschutzfolgeabschätzung durchgeführt werden. Im Rollenverständnis der Autoren der vorliegenden DSFA wird das Agieren einer Projektgruppe des Verantwortlichen simuliert, die eine DSFA nach Art. 35 Abs. 1 DSGVO, unter Rückgriff auf die Methodik des SDM, im Auftrag des Verantwortlichen durchführt. Kommentare methodischer oder rechtlicher Art, die im Text eingestreut sind, sowie das Kapitel der rechtliche Beurteilung stammen vom Datenschutzbeauftragten der Insight AG, der der Projektgruppe beratend zur Seite steht.
Anhand der Erarbeitungen zweier Datenschutzfolgenabschätzungen soll ein Vergleich zwischen der Methode nach dem Standard-Datenschutzmodell2 (SDM), die für diesen Text verwendet wurde, und nach ISO 29134, unter Rückgriff auf den Maßnahmenkatalog der französischen Datenschutzaufsichtsbehörde CNIL durchgeführt werden, die das LDA Bayern vorstellt. Die Nutzung des SDM zur Bestimmung des Zuschnitts von Funktionen und Schutzmaßnahmen des operativen Datenschutzes eines Verfahrens setzt die Klärung der Rechtsgrundlage und der rechtlichen Anforderungen voraus, die im Modellfall nicht angesprochen wurden.
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern