Data Protection Impact Assessment

Opportunities, Barriers, Implementation

Authors

DOI:

https://doi.org/10.14512/tatup.26.1-2.66

Keywords:

data protection, privacy, fundamental rights, participation

Abstract

With the European General Data Protection Regulation (GDPR) there will be a legal obligation for controllers to conduct a Data Protection Impact Assessment (DPIA) for the first time. This paper examines the new provisions in detail and examines ways for their implementation. A special focus is on elements which, according to experience, can be problematic and how they can be addressed.

References

Artikel-29-Datenschutzgruppe (2016). Guidelines on Data Protection Officers (DPOs). 16/EN, WP 243. Brüssel. Online verfügbar unter http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf, zuletzt geprüft am 13. 6. 2017.

Artikel-29-Datenschutzgruppe (2017): Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing is “Likely to Result in a High Risk„ for the Purposes of Regulation 2016/679. 17/EN, WP 248. Brüssel. Online verfügbar unter http://ec.europa.eu/newsroom/document.cfm?doc_id=44137, zuletzt geprüft am 13. 6. 2017.

Bieker, Felix; Hansen, Marit; Friedewald, Michael (2016): Die grundrechtskonforme Ausgestaltung der Datenschutz-Folgenabschätzung nach der neuen europäischen Datenschutz-Grundverordnung. In: RDV – Recht der Datenverarbeitung 32 (4), S. 188–197.

Biervert, Bernd; Monse, Kurt (1990): Technik und Alltag – Mittelbare und unmittelbare Wirkungen der neuen Informations- und Kommunikationstechniken für die privaten Haushalte. In: Kistler, Ernst; Jaufmann, Dieter (Hg.): Mensch – Gesellschaft – Technik: Orientierungspunkte in der Technikakzeptanzdebatte. Opladen: Leske + Budrich, S. 195–213. DOI: https://doi.org/10.1007/978-3-322-95524-1_13

CNIL (Commission Nationale de l’Informatique et des Libertés) (2015): Privacy Risk Assessment: Methodology (How to Carry Out a PIA). Paris. Online verfügbar unter http://www.cnil.fr/fileadmin/documents/en/CNIL-PIA-1-Methodology.pdf, zuletzt geprüft am 13. 6. 2017.

Friedewald, Michael; Obersteller, Hannah; Nebel, Maxi et al. (2016): Datenschutz-Folgenabschätzung: Ein Werkzeug für einen besseren Datenschutz. White Paper. Karlsruhe: Fraunhofer ISI. Online verfügbar unter https://datenschutzzentrum.de/artikel/1018-.html, zuletzt geprüft am 13. 6. 2017.

Grunwald, Armin (2010): Technikfolgenabschätzung – eine Einführung. 2. Aufl. Berlin: Edition Sigma. DOI: https://doi.org/10.5771/9783845271057

Kiesche, Eberhard (2017): So funktioniert die Folgenabschätzung. In: Computer und Arbeit 26 (2), S. 31–36.

Klüver, Lars; Berloznik, Robby; Peissl, Walter; Tennøe, Tore; Cope, David; Belluci, Sergio (2006): ICT and Privacy in Europe: Experiences from Technology Assessment of ICT and Privacy in Seven Different European Countries. Online verfügbar unter https://teknologiradet.no/wp-content/uploads/sites/19/2013/08/Rapport-ICT-and-Privacy-in-Europe.pdf, zuletzt geprüft am 13. 6. 2017.

Kündig, Albert; Bütschi, Danielle (Hg.) (2008): Die Verselbständigung des Computers. Zürich: vdf Hochschulverlag. DOI: https://doi.org/10.3218/3201-7

Le Grand, Gwendal; Barrau, Emilie (2012): Prior Checking, a Forerunner to Privacy Impact Assessments. In: Wright, David; De Hert, Paul (Hg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer, S. 97–116. DOI: https://doi.org/10.1007/978-94-007-2543-0_4

Leimbach, Timo; Bachlechner, Daniel (2014): Big Data in der Cloud. TA-Vorstudie. Hintergrundpapier 19. Berlin: Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag.

Lewinski, Kai von (2012): Zur Geschichte von Privatsphäre und Datenschutz – eine rechtshistorische Perspektive. In: Schmidt, Jan-Hinrik; Weichert, Thilo (Hg.): Datenschutz: Grundlagen, Entwicklungen und Kontroversen. Bonn: Bundeszentrale für politische Bildung, S. 23–33.

Peissl, Walter (2007): Die Bedrohung von Privacy: Ein grenzüberschreitendes Phänomen und seine Behandlung im Kontext internationaler Technikfolgenabschätzung. In: Bora, Alfons; Bröchler, Stephan; Decker, Michael (Hg.): Technology Assessment in der Weltgesellschaft. Berlin: Edition Sigma, S. 277–288. DOI: https://doi.org/10.5771/9783845271101-277

Roßnagel, Alexander (1993): Rechtswissenschaftliche Technikfolgenforschung: Umrisse einer Forschungsdisziplin. Baden-Baden: Nomos.

Rost, Martin (2013): Datenschutzmanagementsystem. In: DuD – Datenschutz und Datensicherheit 37 (5), S. 295–300. DOI: https://doi.org/10.1007/s11623-013-0111-4

Rost, Martin; Bock, Kirsten (2011): Privacy by Design und die Neuen Schutzziele: Grundsätze, Ziele und Anforderungen. In: DuD – Datenschutz und Datensicherheit 35 (1), S. 30–35. DOI: https://doi.org/10.1007/s11623-011-0009-y

Rost, Martin; Pfitzmann, Andreas (2009): Datenschutz-Schutzziele – revisited. In: DuD – Datenschutz und Datensicherheit 33 (6), S. 353–358. DOI: https://doi.org/10.1007/s11623-009-0072-9

Schomberg, René von (2011): Towards Responsible Research and Innovation in the Information and Communication Technologies and Security Technologies Fields. In: René von Schomberg (Hg.): Towards Responsible Research and Innovation in the Information and Communication Technologies and Security Technologies Fields. Luxembourg: Publications Office of the European Union, S. 7–15. DOI: https://doi.org/10.2139/ssrn.2436399

Taylor, Linnet; Floridi, Luciano; van der Sloot, Bart (Hg.) (2017): Group Privacy: New Challenges of Data Technologies. Cham: Springer. DOI: https://doi.org/10.1007/978-3-319-46608-8

U. S. Congress, Office of Technology Assessment (1984). Computerized Manufacturing Automation: Employment, Education, and the Workplace. OTA- CIT-235. Washington, D. C.: U. S. Government Printing Office.

U. S. Congress, Office of Technology Assessment (1985). Electronic Surveillance and Civil Liberties. OTA-CIT-293. Washington, D. C.: U. S. Government Printing Office.

Wanzeck, Markus (2008): Datenverarbeitung ist Risikotechnologie (Interview mit Ralf Bendrath). In: Stern vom 24. August 2008. Online verfügbar unter http://www.stern.de/digital/computer/interview-ralf-bendrath--datenverarbeitung-ist-risikotechnologie--3753036.html, zuletzt geprüft am 26. 4. 2017.

Wright, David; De Hert, Paul (Hg.) (2012): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer. DOI: https://doi.org/10.1007/978-94-007-2543-0

Wright, David; Friedewald, Michael (2013): Integrating Privacy and Ethical Impact Assessment. In: Science and public policy 40 (6), S. 755–766. DOI: https://doi.org/10.1093/scipol/sct083

Wright, David; Friedewald, Michael; Gellert, Raphaël (2015): Developing and Testing a Surveillance Impact Assessment Methodology. In: International Data Privacy Law 5 (1), S. 40–53. DOI: https://doi.org/10.1093/idpl/ipu027

Wright, David; Wadhwa, Kush; Lagazio, Monica; Raab Charles; Charikane, Eric (2014): Integrating Privacy Impact Assessment in Risk Management. In: International Data Privacy Law 4 (2), S. 155–170. DOI: https://doi.org/10.1093/idpl/ipu001

Published

15.08.2017

How to Cite

1.
Friedewald M. Data Protection Impact Assessment: Opportunities, Barriers, Implementation. TATuP [Internet]. 2017 Aug. 15 [cited 2023 Jan. 26];26(1-2):66-71. Available from: https://www.tatup.de/index.php/tatup/article/view/35