Wussten Sie: Eine #Datenschutz.folgenabschätzung kann auch von vielen Verantwortlichen gemeinsam durchgeführt werden betont S. Nass. Es wäre gut, wenn bei der nächsten Evaluation der #DSGVO eine #DSFA Veröffentlichungspflicht festgeschrieben würde

#ki #datenschutz #dsfa
Datenschutzfolgenabschätzung für Künstliche Intelligenz und andere digitale Dienste
Die Datenschutzfolgeabschätzung (DSFA) ist in der DS-GVO für bestimmte Arten der Datenverarbeitung vorgeschrieben und soll helfen, Risiken zu erkennen und zu minimieren.

Gilt sie auch für Systeme, die Künstliche Intelligenz nutzen? Immerhin handelt es sich um neuartige Technologien, die im Verordnungstext explizit erwähnt werden.

https://dr-dsgvo.de/datenschutzfolgenabschaetzung-fuer-kuenstliche-intelligenz-und-andere-digitale-dienste/

@koehntopp @domasla
Darum haben wir ja die #Schutzziele und das #SDM entwickelt. Einmal verstanden, lässt sich damit die Komplexität insbesondere auch solcher Mega-Verfahren erheblich reduzieren. Spätesten angewendet in einer #DSFA können damit auch belastbare Entscheidungen getroffen werden. Aber im Grunde reicht das durchdeklinieren der Schutzziele im Lichte von Art. 5 #DSGVO. Funktioniert auch für die Auswahl eines Kindergartens ;)

@domasla @koehntopp
Eine #DSFA hätte so od so vorgelegt werden müssen. Jetzt holen alle Seiten dVersäumnisse ein. Katastrophal wird es, wenn die Erkenntnis nicht zu Folgen führt.
Anfang der 2000er war MS eigentlich ganz gut davor. Die schwache Rechtsdurchsetzung ggü der Konkurrenz mag einer dGründe für die Entwicklung bei MS gewesen sein. Aber es hilft nichts, rechtswidrig ist rechtswidrig bleibt rechtswidrig. Ein bisschen rechtswidrig sieht das Recht nicht vor

#DSFA zur staatlichen Nutzung von #Facebook Pages durch @privacy_company@twitter.com : Sieben hohe Risiken für den Schutz personenbezogener Daten

https://www.privacycompany.de/blogpost-de/dsfa-facebook-pages

#TeamDatenschutz

@tom @bfdi @thomashaeberlen Bundesbehörden sollten doch generell keine Facebook-Seiten mehr anbieten. Da fängt es doch schon an. Aber die #DSFA ist wirklich überschaubar. 🤣

Klasse zweiter Tag bei der #Bakoev mit dem @bfdi , gerade gehts um die #DSFA mit @thomashaeberlen Top Veranstaltung mal wieder. #TeamDatenschutz #AusDemDSBLeben

20/20
BayLfD Thomas Petri: „Bayerische öffentliche Stellen, die meinen Werkzeugkasten zu Risikoanalyse und #DSFA nutzen, haben mir positives Feedback gegeben. Ich würde es begrüßen, wenn Arbeitsergebnisse zu konkreten Verarbeitungstätigkeiten mit anderen geteilt würden. Hier können etwa die Staatsministerien als gesamtverantwortliche Stellen, aber auch die kommunalen Spitzenverbände oder Anbieter von IT-Dienstleistungen koordinierend wichtige Beiträge leisten.“

19/20
Wer diese Woche bis Freitag mitgelesen hat, weiß nun, was das BayLfD-Informationspaket zu Risikoanalyse und #DSFA enthält, dass beides zwar mit Arbeit verbunden, aber durchaus machbar ist. Jeder Verantwortliche, der sich an das Thema „herantraut“, gelangt zu einem ganz konkreten Nutzen: mehr Sicherheit für sich selbst und für die Personen, deren Daten ihm anvertraut sind.
Hier ist noch einmal der Wegweiser für alle, die kein Mastodon nutzen oder es gediegener mögen: https://www.datenschutz-bayern.de/dsfa/DSFA-Modulhinweise.pdf

13/20
Tipp von den Verfassern der neuen Orientierungshilfe: „Der Werkzeugkasten zu Risikoanalyse und #DSFA enthält keine Risiko- oder TOM-Datenbank. Die Ausfüllbeispiele sind aber so angelegt, dass häufige Risiken und typische TOMs abgebildet sind. Diese Bausteine können in vielen Anwendungsfällen zumindest erste Formulierungshilfen geben.“
Morgen folgen Module zu allgemeinen Risikoanalysen bei Betriebsmitteln.

10/20
Modul 3 bringt mit dem DSFA-Bericht und der Anlage Risikoanalyse die Multitools im Werkzeugkasten. Mit diesen beiden Formularen kann eine vollständige #DSFA dokumentiert werden.

9/20
Modul 2 leitet die DSFA-Erforderlichkeitsprüfung an (https://www.datenschutz-bayern.de/dsfa/2-1-1_DSFA-Erforderlichkeit.docx, Ausfüllbeispiel: https://www.datenschutz-bayern.de/dsfa/2-2-1_DSFA-Erforderlichkeit-Bsp.docx). Das bewährte Formular hilft bayerischen öffentlichen Stellen, wenn ein Verarbeitungsvorgang nicht in der Bayerischen Blacklist aufgeführt ist, gleichwohl aber Zweifel bestehen, ob dennoch eine #DSFA gemacht werden muss.
Morgen geht es mit den Modulen zur DSFA weiter.

8/20
Modul 1 ist – wenig überraschend – die „Beschreibung einer Verarbeitungstätigkeit“ (https://www.datenschutz-bayern.de/dsfa/1-1-1_VVT-Personalverwaltung-Beschreibung.docx, Ausfüllbeispiel: https://www.datenschutz-bayern.de/dsfa/1-2-1_VVT-Personalverwaltung-Beschreibung-Bsp.docx). Wer diese Aufgabe ernst nimmt, hat bekanntlich nicht nur für die #DSFA, sondern auch für die Erfüllung der Informationspflichten nach Art. 13 f. #DSGVO (siehe https://www.datenschutz-bayern.de/datenschutzreform2018/OH_Informationspflichten.pdf, Rn. 4, 59) und der Auskunftspflicht nach Art. 15 #DSGVO (siehe https://www.datenschutz-bayern.de/verwaltung/OH_Recht_auf_Auskunft.pdf, Rn. 97) vorgearbeitet.

7/20
Auch eine sorgfältige Lektüre von Orientierungshilfen zu Risikoanalyse und #DSFA befähigt nicht immer sofort zur Lösung aller Praxisprobleme. Das kann auch einfach am Abstraktionslevel solcher Papiere liegen.
Hier setzt der von BayLfD entwickelte Werkzeugkasten an. Alle sechs Module enthalten Word- oder Excel-Formulare mit Ausfüllhinweisen und Mustern. Überblick für Ungeduldige: https://www.datenschutz-bayern.de/dsfa/DSFA-Modulhinweise.pdf.

6/20
Wann eine #DSFA erforderlich ist, ergibt sich im bayerischen öffentlichen Sektor übrigens weiterhin aus der Bayerischen Blacklist (https://www.datenschutz-bayern.de/datenschutzreform2018/DSFA_Blacklist.pdf) oder einer DSFA-Erforderlichkeitsprüfung, wie sie in der fortgeführten Orientierungshilfe „Datenschutz-Folgenabschätzung“ (https://www.datenschutz-bayern.de/technik/orient/oh_dsfa.pdf) beschrieben ist. Dieses Papier erläutert zudem wichtige allgemeine Aspekte, die bei einer DSFA zu beachten sind.

Kernstück des BayLfD-Informationspakets ist die neu konzipierte Orientierungshilfe „Risikoanalyse und Datenschutz-Folgenabschätzung – Systematik, Anforderungen – Beispiele“ (https://www.datenschutz-bayern.de/dsfa/OH_Risiko.pdf).
Eine einheitliche, mit dem Standard-Datenschutzmodell (#SDM) kompatible Methodik leitet die #Risikoanalyse an – gleich ob es um eine „kleine“ Verarbeitungstätigkeit oder eine vollständige Datenschutz-Folgenabschätzung (#DSFA) geht.

Liebe Bundesregierung @spdde @Die_Gruenen,
keine #DSFA für den #Zensus2022, das #eRezept und die #eArbeitsunfähigkeitsbescheinigung? Das sind Altlasten der Vorgänger, räumt da bitte mal auf und erledigt das.
Der @FIfF_de hat gezeigt, wie das geht
👇

https://www.fiff.de/dsfa-corona

Mich würde interessieren, ob der @UlrichKelber und sein #Datenschutz Team die #DSFA des @destatis für den #Zensus2022 kennen und warum es keine öffentliche (Version) dazu gibt.
Angekündigt wurde sie

https://www.zensus2022.de/DE/Veranstaltungen/Fachgespraech_Landingpage/praesentationen/datenschutz_balzer_kaufhold.pdf?__blob=publicationFile&v=2

RT @n_maekeler
Die von pwc durchgeführte Datenschutzfolgenabschätzung des Kultusministeriums Baden-Württemberg zu M365 ist jetzt bei @fragdenstaat verfügbar! #DSFA #Microsoft365 #TeamDatenschutz https://fragdenstaat.de/anfrage/datenschutzfolgeabschatzungen/644906/anhang/DSFA_und_Anlagen.zip

Hinweisgebersystem ohne #Dattenschutz.folgenabschätzung #DSFA kann teuer werden.
https://www.piltz.legal/news/bussgeld-der-italienischen-datenschutzbehoerde-im-zusammenhang-mit-einem-hinweisgebersystem