PIA oder DPIA…wie soll es heißen?
Gespeichert von Barbara Schmitz am
Die Datenschutz-Folgenabschätzung scheint das Thema der Umsetzung der Datenschutzgrundverordnung schlechthin zu werden. Abgesehen davon, dass noch Unsicherheit darüber besteht, welche Verarbeitungsform konkret betroffen ist, was eine „neue“ Technologie ist und wann mit einem hohen Risiko zu rechnen ist, besteht auch Irritation über die Begrifflichkeit.
Im Deutschen heißt es Datenschutz-Folgenabschätzung. Im Englischen wird dies mit Data Protection Impact Assessment vorgegeben.
In der Richtlinie 95/46 gibt es diese beiden Begriffe nicht. Die Beachtung „spezifischer Risiken“ ist jeweils in Artikel 20 der Richtlinie geregelt, die jeweils überschrieben sind mit „Vorabkontrolle“ bzw. „Prior checking“.
An der Begrifflichkeit wäre nichts bemerkenswertes, wenn wir nicht in der Vergangenheit schon eifrig mit dem Begriff Privacy Impact Assessment gearbeitet hätten. Einzug hat das PIA mit der Einführung von RFID-Systemen bereits 2009 gefunden. Ziel sollte es sein, einen sicherheits-technischen Standard zu schaffen (siehe PIA-Leitfaden des BSI).
In vielen Gesprächen und Vorträge über die Datenschutz-Folgenabschätzung wurden fast immer alle begrifflich möglichen Formen des englischen Begriffs benutzt. Einmal hieß es nur PIA, dann im gleichen Zusammenhang DPIA. Wobei das DPIA sowohl mit Data Protection Impact Assessment als auch mit Data Privacy Impact Assessment benannt wird.
Daher macht es aus meiner Sicht Sinn, die Frage nach der Begrifflichkeit zur Diskussion zu stellen, mit dem Ziel, ein einheitliches Verständnis für den Umgang mit der Datenschutz-Folgenabschätzung zu bekommen.
Erlauben Sie mir mein Verständnis von den zwei Begriffen kurz darzulegen:
Nach meinem Verständnis ist das PIA die Standard-Datenschutz-Prüfung aller geplanten Vorhaben. Anders ausgedrückt handelt es sich hierbei um die alltägliche Prüfung/Überlegung zur Datenschutzkonformität von Projekten/Vorhaben.
Das DPIA mit den Anforderungen aus Artikel 35 DSGVO kommt (erst) dann, wenn neue Technologien eingesetzt werden sollen und/oder an einem Punkt des Projekts erkennbar die Verarbeitung ein hohes Risiko birgt.
Was meinen Sie?