Folgen Sie uns auf der Reise, wie man eine DPIA-Schwellenwertanalyse durchführen kann.
Eines der Merkmale der Privacy Suite ist es, die Automatisierung voranzutreiben, damit sich die Benutzer auf die Aspekte konzentrieren können, die wirklich menschliches Gehirn und Erfahrung erfordern. Automatisierung kann jedoch viele Gesichter haben, und wir haben im Folgenden unseren Weg skizziert, wie wir denken, dass Technologie und insbesondere künstliche Intelligenz einen menschlichen Benutzer am besten unterstützt.
Eine Datenschutz-Folgenabschätzung (DSFA) ist eine tiefgehende Überprüfung einer Verarbeitungstätigkeit. Allerdings müssen nur Prozesse, die ein besonderes Risiko für die Rechte und Freiheiten von Personen darstellen, dieser detaillierten Bewertung unterzogen werden. Die DSGVO, der Europäische Datenschutzausschuss (EDSA) und die nationalen Datenschutzbehörden (DSBs) haben Regeln und Kriterien aufgestellt, wann diese Schwelle erreicht oder eine DSFA nicht erforderlich ist. Dies kann als ein unübersichtliches Durcheinander von Quellen erscheinen, aus denen man auswählen muss.
Wie können Sie dies also mit Blick auf die Effizienz angehen?
Die erste Möglichkeit ist, die Quellen, die DSGVO und die Stellungnahmen von EDSA und DSBs zu lesen, auf den vorliegenden Fall anzuwenden und die Erkenntnisse in einem Word-Dokument zu dokumentieren.
Das ist es, was Anwälte (mich sicherlich eingeschlossen) seit Jahrzehnten getan haben. Es ist natürlich nicht so, dass es komplett ohne Effizienz wäre, immerhin kann man eine Vorlage für den zweiten Fall und darüber hinaus erstellen. Es gibt auch eine Lernkurve: Wenn man die Dokumente ein paar Mal gelesen hat, ist man viel eher in der Lage, bestimmte Aspekte sofort zu erkennen.
Das zählt aber nicht als Automatisierung. Es ist immer noch der Mensch, der sich das Wissen aneignet. Könnte ein Kunde es ohne dieses Know-how machen? Ungefähr so wenig wie vorher.
Ein sehr typischer erster Schritt ist das Erstellen eines Fragebogens. Menschen lieben Checklisten, und gesetzliche Anforderungen lassen sich oft in kleinere, leichter zu verdauende Häppchen zerlegen. Man kreuzt ein paar Kästchen an, und heraus kommt ein Ergebnis. Keine wirkliche Automatisierung, da immer noch ein gutes Maß an manueller Arbeit involviert ist, aber ein Schritt in Richtung Benutzerfreundlichkeit. Und: Geht es bei der Automatisierung nicht letztlich darum, auf einfache Weise ein zuverlässiges Ergebnis zu erhalten?
Unsere DSFA-Schwellenwertanalyse hat es auch in einen Fragebogen geschafft: Die niedersächsische Datenschutzbehörde hat einen solchen Fragebogen erstellt und wir wurden eingeladen, unsere Gedanken mit niedersachsen.digital zu teilen. Wir haben die deutsche Checkliste dann ins Englische übersetzt. 34 Seiten, also nichts, was man ausfüllt, während man darauf wartet, dass das Teewasser kocht.
Das deutsche Original des Fragebogens finden Sie hier und unsere Übersetzung hier.
Das Ausfüllen eines Fragebogens ist schön und gut, aber was wäre, wenn man die Fragen stellen und den Benutzer ein wenig führen könnte. Wenn zum Beispiel zwei der neun Kriterien des Europäischen Datenschutzausschusses (EDSA) erfüllt sind, dann gibt es bereits eine Antwort: Typischerweise müsste man dann eine DPIA durchführen. In einer reinen Text-Checkliste kann dies manchmal übersehen werden – oder die Anwender sind unsicher, ob sie wirklich schon fertig sind. Wäre es nicht besser, wenn es eine Möglichkeit der geführten Automatisierung gäbe, d.h. der Fragebogen würde die Anwender automatisch zur nächsten relevanten Frage führen?
Hier kommt unser erster Ansatz, dies mit Technologie zu realisieren. Wir haben den Fragebogen der niedersächsischen Behörde mit dem Legal Automation Bot unserer Freunde von Josef Legal umgesetzt.
Man erzeugt damit ein Dokument, als ob man die Word-Version des Fragebogens ausgefüllt hätte.
Ein wesentliches Merkmal der Automatisierung ist die Wiederverwendung bereits erfasster Informationen. Den langweiligen Teil zu automatisieren bedeutet, die gleichen Informationen nicht immer wieder eingeben zu müssen. Das ist die Vision, die die Privacy Suite als integriertes Datenschutzmanagementsystem antreibt. Warum Daten in eine Datenverarbeitungsvereinbarung eintragen, warum einen Fragebogen ausfüllen, wenn die Informationen bereits in der Privacy Suite vorhanden sind? Deshalb glauben wir, dass das oft belächelte Verarbeitungsverzeichnis nach Art. 32 GDPR die zentrale Grundlage für guten Datenschutz ist. Kurz gesagt: Wenn man nicht weiß, was man tut, wie kann man es dann besser machen?
Unsere Privacy Suite sammelt daher Informationen über eine Datenverarbeitung in einem Verzeichnis von Verarbeitungstätigkeiten (VVT). Diese Informationen werden dann automatisch daraufhin überprüft, ob eine der verschiedenen Regeln der DSGVO, des EDSA oder der DSBs zutreffen. Man kann sogar einen eigenen Satz an Kriterien erstellen, wenn man die Lust verspürt, den Mix zu ergänzen.
Wir verwenden einen regelbasierten Ansatz: Die Regeln laufen automatisch im Hintergrund, wenn sich Informationen im Datensatz ändern. Es sind keine zusätzlichen Benutzereingaben erforderlich, die Privacy Suite präsentiert ihre Ergebnisse und die Benutzer müssen sie nur noch überprüfen. Derselbe Ansatz wird für die eigentliche DSFA verwendet.
Diese regelbasierte Automatisierung benötigt keine zusätzlichen Informationen und erfasst bereits viele Fälle. Sie erkennt so ziemlich alle "harten Kriterien" wie z. B. gefährdete betroffene Personen. Allerdings wird jeder solche Ansatz mit weichen Kriterien zu kämpfen haben, insbesondere mit einem Kriterium wie „innovative Nutzung von Systemen oder Lösungen“. Solche weichen Kriterien erfordern viel mehr Urteilsvermögen (was heute neu ist, ist morgen alt). Es wäre daher gut zu wissen, was andere mit ähnlichen Verarbeitungstätigkeiten darüber denken.
Hier setzt unser Projekt AI for Privacy (KI für Datenschutz) an, für das wir einen Innovationszuschuss des Landes Hessen erhalten haben. Wir nutzen KI, um in Echtzeit in der Fallbasis aller Einträge in der Privacy Suite (natürlich nur von teilnehmenden Kunden) ähnliche Verarbeitungsaktivitäten zu finden. Auf dieser Basis macht die AI for Privacy-Engine dann Vorschläge, welche Risiken sie für den neuen Datensatz im Lichte aller anderen Datensätze für zutreffend hält.
AI for Privacy für diesen Screening-Prozess wird im Oktober 2021 eingeführt und wir werden ihn dann über die Risikoerkennung hinaus auf die Risikobewertung ausweiten.
Auch hier werden die Daten einmal eingegeben und dann automatisch auf Basis von Regeln und mit künstlicher Intelligenz bewertet.
Automatisierung kann viele Gesichter und Schritte annehmen. Wichtig ist, dass die Automatisierung kein Selbstzweck ist, sondern die Anwender im Mittelpunkt stehen: Automatisierung hinterlässt nur dann eine Wirkung, wenn das Leben der Anwender erleichtert wird, weil sie weniger Schritte unternehmen müssen oder weil das Ergebnis des Prozesses zuverlässiger ist.
Für unsere Nutzer bedeutet das, dass die Informationen, die sie in ein Verarbeitungsverzeichnis eingeben, nicht nur dazu verwendet werden, um die Anforderungen der DSGVO zu erfüllen oder um sie auf Risiken zu überprüfen und eine DSFA durchzuführen. Es bedeutet auch, dass die Anwender daraus eine Vereinbarung erstellen können – und die Anhänge bereits ausgefüllt haben.
Ist das das bereits das Ende der Automatisierung des Datenschutzes? Sicherlich nicht. Was wäre, wenn die Benutzer nicht im Browser interagieren, sondern die Software einfach um das bitten, was sie brauchen? Oder wenn die Software den nächsten Schritt vorwegnimmt - und ihn bereits abarbeitet? Es gibt noch viele Wege zu erforschen, wenn man die Benutzer zentral im Fokus behält.