Blog

Aug 27, 2019

PIA oder DPIA: Was ist der Unterschied?

Die andauernden Veränderungen im digitalen Raum während des letzten Jahrzehnts führten schließlich dazu, dass die Bedenken hinsichtlich des Datenschutzes in neue Gesetze eingeflossen sind, die Organisationen zu Privacy Impact Assessments (PIAs) und Data Protection Impact Assessments (DPIAs), also Datenschutz-Folgenabschätzungen verpflichten.

Im Internet kursieren Petabytes an privaten Informationen. Unabhängig davon, ob sie von den Benutzern auf formelle Anfrage eines Onlinedienstanbieters hin bereitgestellt oder freiwillig in den sozialen Netzwerken veröffentlicht wurden, sind persönliche Daten immer ein attraktives Ziel für Cyberkriminelle.

Die ständigen Veränderungen im digitalen Bereich des letzten Jahrzehnts führten schließlich dazu, dass aus den Datenschutzbedenken neue Gesetze entstanden sind, die Organisationen zu Privacy Impact Assessments (PIAs) und Data Protection Impact Assessments (DPIAs), also Datenschutz-Folgenabschätzungen verpflichten.

Werfen wir einen Blick auf die vereinfachten Definitionen dieser beiden Begriffe.

  • Bei dem Privacy Impact Assessment (PIA) geht es um die Analyse der Art, wie ein Unternehmen personenbezogene Daten im Zusammenhang mit bestehenden Risiken sammelt, verwendet, weitergibt und verwaltet.
  • Bei dem Data Protection Impact Assessment (DPIA) geht es darum, die mit der Verarbeitung personenbezogener Daten verbundenen Risiken zu identifizieren und zu minimieren.

Obwohl die Abkürzungen PIA und DPIA in vielen Fällen synonym verwendet werden, haben diese Verfahren unterschiedliche Funktionen.
Bei dem Privacy Impact Assessment (PIA) handelt es sich um einen Prozess zum Schutz der Privatsphäre durch Design, wenn eine Organisation ein neues Unternehmen gründet oder erwirbt, ein neues Verfahren umsetzt oder ein neues Produkt auf den Markt bringt.

Das Data Protection Impact Assessment (DPIA) ist ein fortlaufender Prozess, der regelmäßig auf die Verarbeitung personenbezogener Daten angewendet wird, um Risiken zu identifizieren und zu vermeiden. Das DPIA ist Teil der Compliance-Aktivitäten der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU).

Bewerten oder Einstufen Das Erstellen von Profilen und Prognosen, insbesondere auf der Grundlage von Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, das Verhalten, den Aufenthaltsort einer Person usw. betreffen.

Automatisierte Entscheidungsfindung Die Verarbeitung, auf deren Grundlage für Betroffene Entscheidungen getroffen werden sollen, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen, beispielsweise zum Ausschluss oder zur Benachteiligung von Personen führen können.

Verarbeitung vertraulicher Daten Hierzu zählen z. B. Informationen über die politischen Meinungen von Einzelpersonen, medizinische Aufzeichnungen sowie personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten usw.

Daten zu schutzbedürftigen Betroffenen Als schutzbedürftige Betroffene gelten Kinder, Asylbewerber, Senioren und Patienten.

Wann ist ein DPIA im Rahmen der DSGVO erforderlich?

Alle Aktivitäten bei dem Umgang mit personenbezogenen Daten gehören zu risikoreichen Vorgängen. Dies kann im Großen und Ganzen jede automatisierte Überwachung, Erfassung und Auswertung personenbezogener Daten sowie massive Verarbeitung spezifischer Informationen wie der aus der Krankenakte oder dem Strafregister usw. betreffen.

Leitlinien der Artikel-29-Datenschutzgruppe zur DSGVO enthalten eine Liste der Aktivitäten, die bei Missbrauch oder Kompromittierung negative Auswirkungen haben können. Nachfolgend befinden sich einige Beispiele für relevante, geschäftskritische Bereiche:

Einige EU-Mitgliedstaaten (u.a. das Vereinigte Königreich) erstellen nationale „Blacklists“ und „Whitelists“ mit Hinweisen dazu, welche Prozesse DPIAs erfordern und welche nicht. Infopulse wird Sie dabei unterstützen, relevante Anforderungen in den Ländern zu identifizieren, in denen Sie tätig sind.

PIA und DPIA: Grundlagen

Die Grundprinzipien von PIA und DPIA ähneln sich. Es ist ein iterativer Zyklus von vier aufeinander folgenden Phasen:

  • Festlegung des Kontexts für die Verarbeitung personenbezogener Daten;
  • Einführung von Maßnahmen zur Gewährleistung der Compliance gemäß den Grundprinzipien;
  • Bewertung der damit verbundenen Datenschutzrisiken;
  • Überprüfung des erreichten Datenschutzniveaus.

In jeder PIA- oder DPIA-Phase müssen Sie Folgendes definieren:

  • Parteien (Datenschutzbeauftragte, Verantwortliche für die Verarbeitung und deren Subjekte);
  • Art und Umfang der Daten;
  • Zwecke der Datenverarbeitung;
  • Compliance-Anforderungen gemäß der DSGVO bzw. laut anderen Gesetzen.

Zu den von der DSGVO bestimmten Grundprinzipien des Datenschutzes gehören die Minimierung der Daten, die Qualität, die Speicherdauer, die Weitergabe an Dritte, der Schutz der Rechte der betroffenen Person usw.
Bei einer Bewertung werden die Quellen, Schwachstellen, Bedrohungen, Szenarien und die wahrscheinlichen Auswirkungen, einschließlich ihres Schweregrads und ihrer Wahrscheinlichkeit, beschrieben.

Die Validierungsphase umfasst die Analyse der in den vorherigen Phasen eingegangenen Informationen, die Überprüfung der Datensicherheitsmaßnahmen, die Zuordnung von Risiken und die Ausarbeitung eines Aktionsplans mit zugewiesenen Verantwortlichen.

So können wir helfen

Wir bei Infopulse wissen, wie entmutigend die Datenschutz-Folgenabschätzungen sein können. Bei der Bereitstellung von Lösungen für globale Organisationen verstehen wir die Herausforderungen im Compliance-Management bei vielen Branchen, Regionen und Gerichtsbarkeiten.
Wir haben den Standards Compliance Manager als ein cloudbasiertes Feature-Set entwickelt, um die Verwaltung von PIA, DPIA und anderen Standards zu vereinfachen, indem man sie mit verschiedenen Services kombiniert, die auf Ihre Bedürfnisse zugeschnitten sind.
Außerdem bieten wir eine Erstberatung an, um feststellen zu können, wie Privacy und Data Protection Impact Assessments in Ihrem Unternehmen am besten durchgeführt werden können. Danach werden Sie das Thema Compliance im Hinblick auf die PIA- oder DPIA-Überlegungen mit anderen Augen betrachten und vor allem die Schwachstellen schnell identifizieren können und umgehend nach Lösungen suchen.

Lassen Sie uns einen 30-minütigen Telefontermin vereinbaren, um dies eingehend zu besprechen.

Demo anfordern

Sprich mit einem SCM Experten

Fordern Sie eine individuelle Live-Demo an, um herauszufinden, wie Infopulse Standards Compliance Manager – ein integriertes Tool für das Informationssicherheitsmanagement – Ihre geschäftskritischen Betriebsprozesse in puncto Sicherheitsgovernance, Compliance und Risikomanagement speziell in Ihrer Branche optimieren und rationalisieren kann.

Planen Sie Ihre persönliche Demo mit unserem Experten für das Datum und die Uhrzeit ein, die Ihnen am besten passen.

Kontaktformular