PIA oder DPIA…wie soll es heißen?

von Barbara Schmitz, veröffentlicht am 16.02.2017
Rechtsgebiete: Datenschutz-Folgeabschätzung7|8057 Aufrufe

Die Datenschutz-Folgenabschätzung scheint das Thema der Umsetzung der Datenschutzgrundverordnung schlechthin zu werden. Abgesehen davon, dass noch Unsicherheit darüber besteht, welche Verarbeitungsform konkret betroffen ist, was eine „neue“ Technologie ist und wann mit einem hohen Risiko zu rechnen ist, besteht auch Irritation über die Begrifflichkeit.

Im Deutschen heißt es Datenschutz-Folgenabschätzung. Im Englischen wird dies mit Data Protection Impact Assessment vorgegeben.

In der Richtlinie 95/46 gibt es diese beiden Begriffe nicht. Die Beachtung „spezifischer Risiken“ ist jeweils in Artikel 20 der Richtlinie geregelt, die jeweils überschrieben sind mit „Vorabkontrolle“ bzw. „Prior checking“.

An der Begrifflichkeit wäre nichts bemerkenswertes, wenn wir nicht in der Vergangenheit schon eifrig mit dem Begriff Privacy Impact Assessment gearbeitet hätten. Einzug hat das PIA mit der Einführung von RFID-Systemen bereits 2009 gefunden. Ziel sollte es sein, einen sicherheits-technischen Standard zu schaffen (siehe PIA-Leitfaden des BSI).

In vielen Gesprächen und Vorträge über die Datenschutz-Folgenabschätzung wurden fast immer alle begrifflich möglichen Formen des englischen Begriffs benutzt. Einmal hieß es nur PIA, dann im gleichen Zusammenhang DPIA. Wobei das DPIA sowohl mit Data Protection Impact Assessment als auch mit Data Privacy Impact Assessment benannt wird.

Daher macht es aus meiner Sicht Sinn, die Frage nach der Begrifflichkeit zur Diskussion zu stellen, mit dem Ziel, ein einheitliches Verständnis für den Umgang mit der Datenschutz-Folgenabschätzung zu bekommen.

Erlauben Sie mir mein Verständnis von den zwei Begriffen kurz darzulegen:

Nach meinem Verständnis ist das PIA die Standard-Datenschutz-Prüfung aller geplanten Vorhaben. Anders ausgedrückt handelt es sich hierbei um die alltägliche Prüfung/Überlegung zur Datenschutzkonformität von Projekten/Vorhaben.

Das DPIA mit den Anforderungen aus Artikel 35 DSGVO kommt (erst) dann, wenn neue Technologien eingesetzt werden sollen und/oder an einem Punkt des Projekts erkennbar die Verarbeitung ein hohes Risiko birgt.

Was meinen Sie?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

7 Kommentare

Kommentare als Feed abonnieren

Liebe Frau Schmitz, dies ist in der Tat ein wichtiges Thema. Bei der Durchführung des DPIA stellen sich eine ganze Reihe von ungelösten Fragen. Zum Beispiel: das Material, das im Rahmen der DPIA gesammelt wird, und die dazu gehörden Berichte sind vermutlich in den USA im Wege der "Discovery" in Verfahren oder Zivilprozessen abgreifbar. Zwar gibt es in den USA meines Wissens keine dem DIPA nachgeformte Regel, aber die FTC hat z.B. erhebliche Prüfungsbefugnisse im Bereich "privacy by design." Die Datenschutzbehörden ind er EU dürften auch an dem Material interessiert sein, wenn es z.B. zu einem Bruch der Datensicherheit kommt. Ich bin gespannt, wie Unternehmen diese Gratwanderung hinbekommen ohne abzustürzen.

So will die Bundesregierung das Kompetenzwirrwarr diverser Institutionen auf Bundes- und Landesebene durch ein „Cyber-Abwehrzentrum plus“ bereinigen. Das kündigte Bundesinnenminister Horst Seehofer (CSU) nach Gesprächen mit den Chefs des Bundesamts für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, und des Bundeskriminalamts (BKA), Holger Münch, an. Man darf gespannt sein, was das bringt. „Die Plattformen müssen die Accounts, über die Hacks verbreitet werden, sofort sperren“, verlangte derweil Bundesjustizministerin Katarina Barley (SPD). Auch müssten die Inhaber ihre Accounts schnellstmöglich zurückerlangen können. Jetzt werde geprüft, wie die Betreiber stärker in die Pflicht genommen werden könnten.
 
Einen Mann dürfte das Thema gleichfalls umtreiben: Ulrich Kelber, den neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit. In unserem neuen Heft stellen wir den Mann im Porträt vor. Von seiner zurückhaltenden Vorgängerin Andrea Voßhoff (CDU) unterscheidet sich der ehemalige Parlamentarische Staatssekretär unter Justizminister Heiko Maas (SPD) in vielerlei Hinsicht: Auf dem linken Flügel der SPD angesiedelt, kennt er sich aus in der Abteilung Attacke. Was ihn von Voßhoff außerdem unterscheidet: Er ist kein Jurist, sondern – diplomierter Informatiker. Was nicht nur gut zu seinem neuen Amt passt, sondern auch zu seinem Hobby. Aber dazu mehr in der NJW.
 
Auch sonst hat die jüngste Ausgabe wieder einiges zu bieten. Anbei ein paar Appetithappen. Morgen erscheinen sämtliche Inhalte – einschließlich des Mantelteils „NJW-aktuell“ – in der App. Am Donnerstag steckt das Heft in den Hausbriefkästen und Postfächern. Beigelegt ist die erste Ausgabe von „NJW-Spezial“ dieses Jahres.
 
s. NJW Spezial Aufsatz

Cyber Abwehzrnetrum Plus
 
 

Nun also - als ich Kind und Jugendlicher war und noch nicht gelöscht wurde, weil in einem damals freien Land mit Meinungsfreiheit - , da gingen oft ein oder als Doppelstreife zwei Polizisten zu Fuß durch Vorort der Gemeinde oder die Stadt.  In nach heutigem Karlsruher Weistum grundrechtsbeeinträchtigender Weise  sahen sie Menschen, erkannten sie als Menschen  - damals grüßten Polizisten noch durch Handanlegen an die Dienstmütze - . Im Dorf erkannten sie auch grundrechtssbeenträchtigend manche ihnen Bekannte.  Wenn ihnen nichts Auffälliges auffiel, also etwa Schlägerei, plötzliches Wegrennen angesichts Uniformierter - , dann taten sie auch  nichts. Damit sind wir also bei vollendetem Verfassungsbruch heutiger Karlsruher Weisheit: sehen, erkennen, kurzzeitregistrieren, einschätzen - dass nichts Ordnungswidriges geschieht - und weiter gehen. Nunmehr weiß ich als Volljurist, warum es keine Streifen mehr gibt. Nach dem verfassungsbrecherischen Wahrnehmen soll ihnen nicht angesonnen werden, das verfassungsgebotene Löschen der Information zu praktizieren. Das ginge bei ihnen nur durch Komasaufen bis zum Gedächtnisverlust, die Kugel durch den Kopf einmal nicht als Alternative erwogen. Abgründe tun sich auf - sie hatten Oma Lidwina Meier mit Einkaufstüte gesehen und Paulinchen Pummelchen beim Hüpfen als Kind. Diese entsetzlichen Grundrechtseingriffe! Da freuen wir uns doch alle - ganz Deutschland als no-go-area. 

Wenn ich lese: "In vielen Gesprächen und Vorträge über die Datenschutz-Folgenabschätzung wurden fast immer alle begrifflich möglichen Formen des englischen Begriffs benutzt. Einmal hieß es nur PIA, dann im gleichen Zusammenhang DPIA. Wobei das DPIA sowohl mit Data ProtectionImpact Assessment als auch mit Data Privacy Impact Assessment benannt wird." Aaaaaaaaaaaaaah ja, eine gewisse poltisice Strömung hat ja soooooooooooooooooooooooooooooo Unrecht, wenn sie eine unziemliche Verballhornung der Deutschen Sprache in Deutschland wahrnimmt und korrigieren möchte! 

Zur Datenschutz-Folgeabschätzug empfehle ich sehr, die Überlegungen der Grüne zu einer WIRKLICH UMFASSENDEN Kostenabschätzung zu übernehmen: Beispel: "Zudem fehlen Personalaufwendungen der FMSA sowie Aufwendungen für externe Berater."  Siehe etwa  

https://www.gruene-bundestag.de/finanzkrise/kosten-der-bankenrettung-mindestens-68-milliarden-euro.html

13. Sept. 2018. Das Beste an Überlegungen, was ich seit Jahrzehnten gelesen habe. 

Kommentar hinzufügen