Data Protection Impact Assessment
Opportunities, Barriers, Implementation
DOI:
https://doi.org/10.14512/tatup.26.1-2.66Keywords:
data protection, privacy, fundamental rights, participationAbstract
With the European General Data Protection Regulation (GDPR) there will be a legal obligation for controllers to conduct a Data Protection Impact Assessment (DPIA) for the first time. This paper examines the new provisions in detail and examines ways for their implementation. A special focus is on elements which, according to experience, can be problematic and how they can be addressed.
References
Artikel-29-Datenschutzgruppe (2016). Guidelines on Data Protection Officers (DPOs). 16/EN, WP 243. Brüssel. Online verfügbar unter http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf, zuletzt geprüft am 13. 6. 2017.
Artikel-29-Datenschutzgruppe (2017): Guidelines on Data Protection Impact Assessment (DPIA) and Determining Whether Processing is “Likely to Result in a High Risk„ for the Purposes of Regulation 2016/679. 17/EN, WP 248. Brüssel. Online verfügbar unter http://ec.europa.eu/newsroom/document.cfm?doc_id=44137, zuletzt geprüft am 13. 6. 2017.
Bieker, Felix; Hansen, Marit; Friedewald, Michael (2016): Die grundrechtskonforme Ausgestaltung der Datenschutz-Folgenabschätzung nach der neuen europäischen Datenschutz-Grundverordnung. In: RDV – Recht der Datenverarbeitung 32 (4), S. 188–197.
Biervert, Bernd; Monse, Kurt (1990): Technik und Alltag – Mittelbare und unmittelbare Wirkungen der neuen Informations- und Kommunikationstechniken für die privaten Haushalte. In: Kistler, Ernst; Jaufmann, Dieter (Hg.): Mensch – Gesellschaft – Technik: Orientierungspunkte in der Technikakzeptanzdebatte. Opladen: Leske + Budrich, S. 195–213. DOI: https://doi.org/10.1007/978-3-322-95524-1_13
CNIL (Commission Nationale de l’Informatique et des Libertés) (2015): Privacy Risk Assessment: Methodology (How to Carry Out a PIA). Paris. Online verfügbar unter http://www.cnil.fr/fileadmin/documents/en/CNIL-PIA-1-Methodology.pdf, zuletzt geprüft am 13. 6. 2017.
Friedewald, Michael; Obersteller, Hannah; Nebel, Maxi et al. (2016): Datenschutz-Folgenabschätzung: Ein Werkzeug für einen besseren Datenschutz. White Paper. Karlsruhe: Fraunhofer ISI. Online verfügbar unter https://datenschutzzentrum.de/artikel/1018-.html, zuletzt geprüft am 13. 6. 2017.
Grunwald, Armin (2010): Technikfolgenabschätzung – eine Einführung. 2. Aufl. Berlin: Edition Sigma. DOI: https://doi.org/10.5771/9783845271057
Kiesche, Eberhard (2017): So funktioniert die Folgenabschätzung. In: Computer und Arbeit 26 (2), S. 31–36.
Klüver, Lars; Berloznik, Robby; Peissl, Walter; Tennøe, Tore; Cope, David; Belluci, Sergio (2006): ICT and Privacy in Europe: Experiences from Technology Assessment of ICT and Privacy in Seven Different European Countries. Online verfügbar unter https://teknologiradet.no/wp-content/uploads/sites/19/2013/08/Rapport-ICT-and-Privacy-in-Europe.pdf, zuletzt geprüft am 13. 6. 2017.
Kündig, Albert; Bütschi, Danielle (Hg.) (2008): Die Verselbständigung des Computers. Zürich: vdf Hochschulverlag. DOI: https://doi.org/10.3218/3201-7
Le Grand, Gwendal; Barrau, Emilie (2012): Prior Checking, a Forerunner to Privacy Impact Assessments. In: Wright, David; De Hert, Paul (Hg.): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer, S. 97–116. DOI: https://doi.org/10.1007/978-94-007-2543-0_4
Leimbach, Timo; Bachlechner, Daniel (2014): Big Data in der Cloud. TA-Vorstudie. Hintergrundpapier 19. Berlin: Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag.
Lewinski, Kai von (2012): Zur Geschichte von Privatsphäre und Datenschutz – eine rechtshistorische Perspektive. In: Schmidt, Jan-Hinrik; Weichert, Thilo (Hg.): Datenschutz: Grundlagen, Entwicklungen und Kontroversen. Bonn: Bundeszentrale für politische Bildung, S. 23–33.
Peissl, Walter (2007): Die Bedrohung von Privacy: Ein grenzüberschreitendes Phänomen und seine Behandlung im Kontext internationaler Technikfolgenabschätzung. In: Bora, Alfons; Bröchler, Stephan; Decker, Michael (Hg.): Technology Assessment in der Weltgesellschaft. Berlin: Edition Sigma, S. 277–288. DOI: https://doi.org/10.5771/9783845271101-277
Roßnagel, Alexander (1993): Rechtswissenschaftliche Technikfolgenforschung: Umrisse einer Forschungsdisziplin. Baden-Baden: Nomos.
Rost, Martin (2013): Datenschutzmanagementsystem. In: DuD – Datenschutz und Datensicherheit 37 (5), S. 295–300. DOI: https://doi.org/10.1007/s11623-013-0111-4
Rost, Martin; Bock, Kirsten (2011): Privacy by Design und die Neuen Schutzziele: Grundsätze, Ziele und Anforderungen. In: DuD – Datenschutz und Datensicherheit 35 (1), S. 30–35. DOI: https://doi.org/10.1007/s11623-011-0009-y
Rost, Martin; Pfitzmann, Andreas (2009): Datenschutz-Schutzziele – revisited. In: DuD – Datenschutz und Datensicherheit 33 (6), S. 353–358. DOI: https://doi.org/10.1007/s11623-009-0072-9
Schomberg, René von (2011): Towards Responsible Research and Innovation in the Information and Communication Technologies and Security Technologies Fields. In: René von Schomberg (Hg.): Towards Responsible Research and Innovation in the Information and Communication Technologies and Security Technologies Fields. Luxembourg: Publications Office of the European Union, S. 7–15. DOI: https://doi.org/10.2139/ssrn.2436399
Taylor, Linnet; Floridi, Luciano; van der Sloot, Bart (Hg.) (2017): Group Privacy: New Challenges of Data Technologies. Cham: Springer. DOI: https://doi.org/10.1007/978-3-319-46608-8
U. S. Congress, Office of Technology Assessment (1984). Computerized Manufacturing Automation: Employment, Education, and the Workplace. OTA- CIT-235. Washington, D. C.: U. S. Government Printing Office.
U. S. Congress, Office of Technology Assessment (1985). Electronic Surveillance and Civil Liberties. OTA-CIT-293. Washington, D. C.: U. S. Government Printing Office.
Wanzeck, Markus (2008): Datenverarbeitung ist Risikotechnologie (Interview mit Ralf Bendrath). In: Stern vom 24. August 2008. Online verfügbar unter http://www.stern.de/digital/computer/interview-ralf-bendrath--datenverarbeitung-ist-risikotechnologie--3753036.html, zuletzt geprüft am 26. 4. 2017.
Wright, David; De Hert, Paul (Hg.) (2012): Privacy Impact Assessment. Dordrecht, Heidelberg, London, New York: Springer. DOI: https://doi.org/10.1007/978-94-007-2543-0
Wright, David; Friedewald, Michael (2013): Integrating Privacy and Ethical Impact Assessment. In: Science and public policy 40 (6), S. 755–766. DOI: https://doi.org/10.1093/scipol/sct083
Wright, David; Friedewald, Michael; Gellert, Raphaël (2015): Developing and Testing a Surveillance Impact Assessment Methodology. In: International Data Privacy Law 5 (1), S. 40–53. DOI: https://doi.org/10.1093/idpl/ipu027
Wright, David; Wadhwa, Kush; Lagazio, Monica; Raab Charles; Charikane, Eric (2014): Integrating Privacy Impact Assessment in Risk Management. In: International Data Privacy Law 4 (2), S. 155–170. DOI: https://doi.org/10.1093/idpl/ipu001
Downloads
Published
How to Cite
Issue
Section
License
Copyright (c) 2017 Michael Friedewald
This work is licensed under a Creative Commons Attribution 4.0 International License.