PIA „Innovation à la française“ (1)
Vorstellung einer Open Source-Software für Datenschutz-Folgenabschätzungen der französischen Aufsichtsbehörde CNIL
PIA „Innovation à la française“ (1)
Vorstellung einer Open Source-Software für Datenschutz-Folgenabschätzungen der französischen Aufsichtsbehörde CNIL
I. Einleitung
Der Datenschutz nimmt mit der Datenschutz-Grundverordnung (DSGVO) in der Praxis bei Unternehmen und Behörden, aber auch bei Verbänden und Vereinen einen immer größer werdenden Stellenwert ein.
Dem wollen die Verfasser nachgehen und dabei für Praxis und Ausbildung einen Blick nach Frankreich werfen. So soll die französische Aufsichtsbehörde CNIL, die bislang eher durch hohe Bußgeldfestsetzungen aufgefallen ist, als „Mutter“ einer Software-Innovation genannt werden.[1]
In der Datenschutzpraxis kommt den Aufsichtsbehörden, wie vor die Klammer gezogen werden kann, europaweit nicht nur das Aufsichts- und Sanktionswesen zu, sondern auch eine Informationsfunktion gegenüber Bürgern und Unterstützungsfunktion gegenüber Datenschutzanwendern. Aufsichtsbehörden tragen zum Dialog und zur besseren Informiertheit bei. Das hiesige Beispiel soll illustrieren, dass in diesem Kontext einer am Gemeinwohlinteresse ausgerichteten hoheitlichen Betätigung auch Beiträge herauskommen können, die in der Praxis echte Unterstützung bedeuten können. Inwieweit dergestalt die Erbringung praxistauglicher Leistungen, wie diese von Software-Lieferanten erwartet werden, soll nachfolgend untersucht werden.
Dass deutsche Behörden wie die des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) im Bereich der DSFA auf das Softwaretool PIA verweisen, aber sonst auf keine Alternative, rechtfertigt erst recht einen genaueren Blick.
Wir konstatieren, dass uns unsere französischen Nachbarn in so manchem einen Schritt voraus sind. Technische Erfindungen, Prozessoptimierungen und Effizienzsteigerungen mögen zwar im Land der Dichter, Tüftler und Denker beheimatet sein, doch die hohe Kunst des Savoir-vivre, die erste Menschenrechtserklärung Europas und heute eine im Datenschutzrecht europaweit zu beachtende Software-Innovation sind in Frankreich zu Hause.[2] Ob die politische und wirtschaftliche Zentralisierung von Frankreich mehr Vorteile bietet als die deutsche Dezentralisierung sei hier mal dahingestellt. In Sachen Datenschutz jedenfalls ist die in Paris ansässige französische Datenschutzaufsichtsbehörde „CNIL “[3] aktuell auf dem Vormarsch, und es ist fraglich, ob sie mit ihren hauseigenen Innovationen die deutschen Kollegen abhängen könnte.
Während deutsche Aufsichtsbehörden neben der Bußgeldverhängung auch wertvolle Fachinformationen zwecks Aufklärungs- und Sensibilisierungsarbeit liefern, beispielhaft die baden-württembergische Datenschutzaufsicht mit ihrem im vergangenen Jahr errichteten Bildungszentrum für die Öffentlichkeit[4], prescht die französische Aufsichtsbehörde CNIL mit einer eigenen Software für Datenschutz-Anwender voran.
Die „PIA-Software“ wird seit 2015 kontinuierlich entwickelt und wurde 2017 zum ersten Mal veröffentlicht. Dabei steht der Name „PIA“[5] für „Privacy Impact Assessment“, und die Software bietet auf den ersten Blick einen sehr komfortablen Weg, eine DSFA durchzuführen. In diesem Beitrag sollen die einzelnen Funktionen von PIA beleuchtet werden, um dem Anwender eine Entscheidungsgrundlage für oder gegen die Verwendung der Software zu liefern.
Bevor die Frage geklärt wird, ob die auf den Namen „PIA“ lautende Open-Source-Software für DSFA der französischen Aufsichtsbehörde CNIL nur optisch ansprechend oder auch praxistauglich ist, sei kurz umrissen, wer der Anbieter dieser Software und wo diese verfügbar ist. Es handelt sich um ein „Tool“, welches ursprünglich von der französischen Datenschutzbehörde CNIL entwickelt wurde.[6] Ziel ist es, dem datenschutzrechtlich Verantwortlichen (Art. 4 Nr. 7 DSGVO) zu helfen, DSGVO-konform zu agieren. Diese Software ist kostenlos und offen.[7] Das Tool ist derzeit in achtzehn Sprachen verfügbar, darunter auch auf Deutsch. Die französische und die englische Version werden von der CNIL bereitgestellt.
Der kostenlose Download der Setup-Datei des PIA-Tools (EXE-Datei) kann z. B. erfolgen über die Website des Bayerischen Landesbeauftragten für den Datenschutz unter https://www.datenschutz-bayern.de/dsfa.
II. Wann kommt eine Datenschutz-Folgenabschätzung infrage?
Die DSGVO fordert nach Art. 35 von dem Verantwortlichen, bei risikobehafteten Arten der Verarbeitung personenbezogener Daten eine DSFA (engl.: „Data Protection Impact Assessment“) vorzunehmen: Verarbeitungsvorgänge, die voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten Betroffener mit sich bringen, sind vorab auf ihre Folgewirkungen für den Privatsphärenschutz zu prüfen.[8]
Art. 35 DSGVO (Datenschutz-Folgenabschätzung) lautet:
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
(3) Eine Datenschutz-Folgenabschätzung gem. Abs. 1 ist insbesondere in folgenden Fällen erforderlich:
- systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
- umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
(4) Die Aufsichtsbehörde erstellt eine Liste der Verarbeitungsvorgänge, für die gem. Abs. 1 eine Datenschutz-Folgenabschätzung durchzuführen ist, und veröffentlicht diese. Die Aufsichtsbehörde übermittelt diese Listen dem in Art. 68 genannten Ausschuss.
(5) Die Aufsichtsbehörde kann des Weiteren eine Liste der Arten von Verarbeitungsvorgängen erstellen und veröffentlichen, für die keine Datenschutz-Folgenabschätzung erforderlich ist. Die Aufsichtsbehörde übermittelt diese Listen dem Ausschuss.
(6) Vor Festlegung der in den Abs. 4 und 5 genannten Listen wendet die zuständige Aufsichtsbehörde das Kohärenzverfahren gem. Art. 63 an, wenn solche Listen Verarbeitungstätigkeiten umfassen, die mit dem Angebot von Waren oder Dienstleistungen für betroffene Personen oder der Beobachtung des Verhaltens dieser Personen in mehreren Mitgliedstaaten im Zusammenhang stehen oder die den freien Verkehr personenbezogener Daten innerhalb der Union erheblich beeinträchtigen könnten.
(7) Die Folgenabschätzung enthält zumindest Folgendes:
- eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, ggf. einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
- eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
- eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gem. Abs. 1 und
- die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschl. Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
(8) Die Einhaltung genehmigter Verhaltensregeln gem. Art. 40 durch die zuständigen Verantwortlichen oder die zuständigen Auftragsverarbeiter ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.
(9) Der Verantwortliche holt ggf. den Standpunkt der betroffenen Personen oder ihrer Vertreter zu der beabsichtigten Verarbeitung unbeschadet des Schutzes gewerblicher oder öffentlicher Interessen oder der Sicherheit der Verarbeitungsvorgänge ein.
(10) Falls die Verarbeitung gem. Art. 6 Abs. 1 Buchst. c oder e auf einer Rechtsgrundlage im Unionsrecht oder im Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, beruht und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte, gelten die Abs. 1 bis 7 nur, wenn es nach dem Ermessen der Mitgliedstaaten erforderlich ist, vor den betreffenden Verarbeitungstätigkeiten eine solche Folgenabschätzung durchzuführen.
(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
Die DSFA ist mit dem Marktortprinzip (i. S. d. Art. 3 Abs. 2 DSGVO), den schärferen Anforderungen an die Einwilligung (Art. 7 DSGVO), den Privacy-Prinzipien gem. Art. 25 DSGVO und dem hohen, kartellrechtartigen Bußgeldrahmen (Art. 83 ff. DSGVO) eine der wenigen echten regulatorischen Innovationen des neuen Europa-Gesetzes.[9]
Der tatsächliche, rechtsdogmatische und im Rahmen einer „Risikomatrix“ im Koordinatensystem eines Lebenssachverhalts relevante Bedarf eines entsprechenden Regulierungsinstruments ist aus anderen Fachbereichen bekannt:
Exemplarisch zu nennen sind die Umweltverträglichkeitsprüfung und die Gesetzesfolgenabschätzung.
Eine DSFA kommt nach dem Wortlaut und Sinn und Zweck des Normgefüges dann infrage, wenn der Verarbeiter gesetzlich dazu verpflichtet ist, und zum anderen kann der Verarbeiter sie nutzen, um seinen Dokumentations- und Rechenschaftspflichten (wie Art. 5 Abs. 2 DSGVO) nachzukommen, auch wenn er nicht von der Durchführungspflicht erfasst ist. Ersterer Fall orientiert sich vorwiegend an Art. 32 DSGVO, der ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen, die von der Datenverarbeitung betroffen sind („Betroffene“), fordert. In einem weiteren engen Zusammenhang steht insbesondere Art. 25 DSGVO, bei dem es um Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen („data protection by design & by default)“ geht. So können die Zielsetzungen des Art. 25 z. B. durch eine freiwillige DSFA nach Art. 35 DSGVO erfüllt werden. Der Normzusammenhang repräsentiert den risikobasierten Ansatz der DSGVO („risk-based approach“).
III. Wer kann PIA nutzen?
Laut französischer Aufsichtsbehörde richtet sich die Plattform zum Erstellen und Verwalten von DSFA in erster Linie an Datenverarbeiter. Vertraut sein müssen diese mit dem Prozess der DSFA kaum. Ebenso kann die Software innerhalb großer Organisationen genutzt werden, wo sie in andere Anwendungen und Systeme integriert werden kann.
Anmerkung der Redaktion: Der Beitrag wird fortgesetzt.
Dieser Beitrag stammt aus der Zeitschrift APF – Ausbildung/Prüfung/Fachpraxis –
[1] Die Aufsichtsbehörde hat z. B. gegenüber Amazon ein Bußgeld verhängt von 35 Mio. € (vgl. https://www.cnil.fr/en/cookies-financial-penalty-35-million-euros-imposed-company-amazon-europe-core) und über 100 Mio. € gegen Google (vgl. https://www.cnil.fr/en/cookies-financial-penalties-60-million-euros-against-company-google-llc-and-40-million-euros-google-ireland).
[2] Zu Beispielen für IT-Projekte der öffentlichen Hand und Wirtschaft, die als gescheitert gelten, vgl. z. B. Degen/Emmert, Elektronischer Rechtsverkehr, beA, IT-Sicherheit & Co., 2. Aufl. 2021, C.H.Beck, § 1, Rn. 11.
[3] Commission Nationale de l’Informatique et des Libertés.
[4] https://www.baden-wuerttemberg.datenschutz.de/bildungszentrum.
[5] Privacy Impact Assessment (zugleich Name der Software zur Durchführung von Datenschutz-Folgenabschätzungen der französischen Aufsichtsbehörde CNIL; wird in diesem Beitrag synonym für die Software verwendet).
[6] Die Fortentwicklung nimmt ATNOS vor.
[7] Aktuell ist die Version 2.0.0.5. Verwiesen wird auf die Licence GPLv3: https://www.gnu.org/licenses/gpl.html und auf folgende Bibliothekslizenzen: Angular-cli (GNU GPL Licence Version 3.0), FontAwesome (SIL OFL Licence Version 1.1 et MIT Licence Version 4.0), Foundation-Sites (MIT Licence Version 6.0), Normalize (MIT Licence Version 7.0), Ngx Chips (MIT Licence Version 1.2.9), Rxjs (Apache Licence Version 2.0), Tinymce (GNU GPL Licence Version 2.1), D3 (BSD Licence Version 4.0), ng2-pdf-viewer (MIT Licence Version 4.1.2).
[8] Martini in: Paal/Pauly, DSGVO, BDSG, 3. Aufl. 2021, Art. 35, Rn. 1.
[9] Vgl. Degen, EU-Datenschutz-Grundverordnung (DSGVO) bringt kartellrechtartige Verschärfungen (Teil 1), a p f 6/2018, S. 186 ff.
