Privacy Impact Assessment (PIA)

Im Bereich der Datenschutzaufsicht insbesondere über den privaten Sektor werden zunehmend Dokumente eingereicht, in denen die Durchführung eines "Privacy Impact Assessments" (PIA) zu einem in der Regel neu entwickelten Produkt dokumentiert wird. Diese PIA-Berichte sind erfahrungsgemäß so angelegt, dass sie den möglichen oder den geplanten oder den faktisch getroffenen Zuschnitt eines Produkts sowie Schutzmaßnahmen gegenüber Aufsichtsbehörden rechtfertigen. Häufig entsteht dabei für eine Aufsichtsbehörde das Problem, dass im PIA-Bericht viele funktionale und sicherheitstechnische Details zutreffend beschrieben sind, aber wesentliche Fragen bzgl. des Erfüllens datenschutzrechtlicher Anforderungen nicht beantwortet werden.

Diese Handreichung legt dar, welche Erwartungen eine Datenschutzaufsichtsbehörde an ein PIA und einen PIA-Bericht stellen muss, so dass der Bericht in einem datenschutzrechtlichen Prüfprozess als relevante Vorarbeit, im Sinne einer Vorabkontrolle, einfließen kann.

[Download des Artikels (externer Link)]