Datenschutz-Folgenabschätzung: Die PIA-Software der CNIL
Anfang Dezember erschien im Netz die Meldung, dass die französische Aufsichtsbehörde CNIL eine Open-Source-Software zur Datenschutz-Folgenabschätzung (DSFA bzw. PIA = Privacy Impact Assesment) erstellt und online bereitgestellt hat.
Im Weihnachtsurlaub führte mich dann die Seite der CNIL direkt zu GitHub, dem führenden Software-Verzeichnis für Open-Source-Projekte, auf dem ich selbst schon aktiv war und dank des LINC (Laboratoire d‘innovation numérique de la CNIL) wieder bin.
Vom Beobachter zum Mitspieler
Das LINC sucht Menschen, die sich an der Weiterentwicklung des Tools beteiligen. So gibt es neben der offiziellen französischen und englischen Sprachvariante des LINC bereits von Anderen erstellte inoffizielle Übersetzungen.
In knapp einer Woche brachte ich die PIA-Software auf dem heimischen PC unter Docker komplett zum Laufen. Mittlerweile habe ich den Application Stack (Windows-Client, Web-Frontend, Web-Backend und Datenbank) im Griff und kann die Anwendung inklusive der Windows-Installationsdatei automatisiert generieren.
Ich habe die deutsche Sprachvariante erstellt und bin jetzt offiziell Contributor des LINC auf GitHub. Mittlerweile besitzt das Tool auch eine ins Deutsche übersetzte Online-Hilfe.
Die Software hat derzeit Beta-Status und befindet sich noch in der Entwicklung.
Datenschutz-Folgenabschätzung mit der PIA-Software
Der ursprüngliche Grund, mich mit der Software zu beschäftigten, war der, dass es mir bisher an Darstellungen mangelt, wie mit dem Thema Datenschutz-Folgenabschätzung (DSFA) praktisch umzugehen ist.
Ich will neben dem „Warum“ auch das „Wie“ kennen. Diesen Zweck erfüllt für mich das Werkzeug der CNIL sowohl bezüglich der DSFA als auch zur Bewertung von Datenschutzrisiken.
Letztendlich ist die PIA-Software ein spezialisiertes Tool, mit dem Sie eine valide DSFA bzw. Datenschutz-Risikoabschätzung als Dokument erstellen können. Das Ergebnis lässt sich dann in ein Datenschutz-Management-System einbinden.
Der Entwurf der PIA-Software bietet drei Grundelemente:
- eine didaktische Schnittstelle, um DSFAs durchzuführen: Das Tool basiert auf einer benutzerfreundlichen Oberfläche, die eine einfache Verwaltung Ihrer DSFAs ermöglicht. Es zeigt Schritt für Schritt die Methode, wie sich die Auswirkungen auf die Privatsphäre der Betroffenen abschätzen lassen. Mehrere Visualisierungstools bieten die Möglichkeit, die dabei auftretenden Risiken schnell zu verstehen.
- eine rechtliche und technische Wissensbasis: Das Tool enthält die rechtlichen Aspekte, die die Rechtmäßigkeit der Verarbeitung und die Rechte der betroffenen Personen gewährleisten. Es verfügt auch über eine kontextbezogene Wissensbasis, die in allen Schritten der DSFA verfügbar ist. Sie liefert zum jeweils angezeigten Aspekt der untersuchten Verarbeitung passende Informationen. Diese Informationen entstammen der Datenschutz-Grundverordnung (DSGVO) selbst, den PIA-Leitfäden und dem Sicherheitsleitfaden der CNIL.
- ein modulares Werkzeug: Entwickelt, um Ihre Compliance-Anforderungen zu erfüllen, können Sie die Tool-Inhalte an Ihre spezifischen Anforderungen oder Geschäftsbereiche anpassen. Beispielsweise können Sie ein DSFA-Modell erstellen, anschließend duplizieren und für eine Reihe ähnlicher Verarbeitungsvorgänge verwenden. Unter einer freien Lizenz veröffentlicht, ist es möglich, den Quellcode des Tools zu ändern, um Features hinzuzufügen oder sie in Tools zu integrieren, die in Ihrer Organisation verwendet werden. Das Backend stellt hierzu ein Rest-Interface bereit.
ONLINE-TIPP: Die Software der CNIL setzt die Vorgehensweise, die die Aufsichtsbehörde in ihrer PIA-Methode beschreibt, und deren Prozessmodell um. Einen grafischen Überblick dazu finden Sie hier: http://ogy.de/pia-methode-cnil.
Das Tool selbst finden Sie unter http://ogy.de/pia-tool-cnil. Zur Benutzung der Anwendung hat die CNIL auf YouTube ein Video in englischer Sprache veröffentlicht: http://ogy.de/pia-cnil-youtube.
Kleine Reise durch die Software
Rufen Sie die Anwendung im Browser auf oder starten Sie den Client. Bestätigen Sie die Schaltfläche „Starten“.
Auf der nächsten Seite erreichen Sie über Tools ➔ Hilfe die Online-Hilfe, die Ihnen die Benutzung des Werkzeugs und die weiteren Schritte nahebringt.
In der Übersicht können Sie nun eine neue DSFA anlegen.
Kontext und Prinzipien der Verarbeitung dokumentieren
- Zunächst dokumentieren Sie die Verarbeitung, die dafür Verantwortlichen und die Normen oder Standards, die für diese Verarbeitung gelten.
- Als Nächstes dokumentieren Sie die zu verarbeitenden Daten, ihren Lebenszyklus und die für die Verarbeitung eingesetzten Mittel.
- Nun dokumentieren Sie die Verhältnismäßigkeit und Notwendigkeit der Verarbeitung sowie deren Rechtsgrundlagen.
- Zum Ende des Abschnitts dokumentieren Sie die Regelungen, die zum Schutz der Persönlichkeitsrechte der betroffenen Personen festgelegt werden.
Risiken und Maßnahmen dokumentieren
- Als ersten Teil der Risikobewertung benennen Sie geplante und bestehende Regelungen, die zur Sicherheit der zu verarbeitenden Daten ergriffen werden. Die Wissensbasis stellt Ihnen hierfür zahlreiche Muster bereit.
- Danach bewerten Sie das Risiko „Unrechtmäßiger Zugang zu Daten“ bzgl. Auswirkungen, Bedrohungen, Risikoquellen und Regelungen zur Bewältigung des Risikos. Zum Abschluss müssen Sie Schweregrad und Eintrittswahrscheinlichkeit des Risikos einschätzen.
- Analog gehen Sie bei „Unerwünschte Änderung von Daten“ vor.
- Ebenfalls analog gehen Sie beim Risiko „Datenverlust“ vor.
- In der Risikoübersicht sehen Sie dann den Zusammenhang zwischen Auswirkungen, Maßnahmen, Risikoquellen und den jeweiligen Risiken.
Datenschutz-Folgenabschätzung überprüfen
- Nachdem die DSFA steht, bewerten Datenschutzbeauftragter und der Verantwortliche für Informationssicherheit gemeinsam als Prüfer das Ergebnis. Die Überprüfung lässt sich an einem der vorgenannten Abschnitte oder an jeder Frage eines Abschnitts vornehmen. Dabei sind die Bewertungen „Zu berichtigen“, „Verbesserungsfähig“ und „Akzeptabel“ möglich. Je nach Überprüfungsergebnis steht eine Nachbearbeitung der beanstandeten Punkte an.
Datenschutz-Folgenabschätzung bestätigen
- Die Risikokartierung visualisiert die Risikoentwicklung gemäß den von den Prüfern vorgeschlagenen Korrekturmaßnahmen im Vergleich zur bestehenden Situation.
- Der Aktionsplan fasst alle Korrekturmaßnahmen, die der Prüfer während der Bewertungsphase angegeben hat, zusammen. Die Visualisierung oben auf der Seite hilft, schnell zu verstehen, welche Punkte in der Verarbeitung zu verbessern sind. Für jede Korrekturmaßnahme im Aktionsplan können Sie ein Fälligkeitsdatum und eine verantwortliche Person für die Implementierung festlegen.
- Als vorletzten Schritt dokumentiert der Verantwortliche die Stellungnahme des Datenschutzbeauftragten und der betroffenen Personen zur geplanten Verarbeitung.
- Zum Abschluss müssen Sie entscheiden, ob die Datenschutz-Folgenabschätzung per Unterschrift oder einfach bestätigt wird, weil es schon eine unterschriebene DSFA zu einer gleichartigen Verarbeitung gibt, oder ob sie verworfen wird, weil die Risiken der Verarbeitung zu groß sind.
So installieren Sie die Software
Die Beschreibung des LINC zu ihrer Backend-Software richtet sich an Personen, die sich mit DevOps auskennen, also wissen, wie Software entwickelt (Development) und mit welcher Infrastruktur sie betrieben und zum Laufen gebracht wird (Operations).
Für einen Datenschutzbeauftragten oder Berater ohne dieses Hintergrundwissen ist es am einfachsten, die portable Anwendung herunterzuladen, zu installieren und loszulegen. Dann können Sie selbst beurteilen, ob Ihnen dieses Werkzeug hilft.
Meine deutsche Version des Windows-Clients finden Sie auf GitHub unter https://github.com/kosmas58/pia-app/releases.
Für Ambitioniertere unter Ihnen habe ich dort auch eine Docker-Konfiguration bereitgestellt (https://github.com/kosmas58/pia-docker). Damit können Sie den kompletten ApplicationStack in sieben Schritten auf Ihrem Rechner installieren.
Weitere Informationen zur Installation des Backends und zur Software finden Sie beim LINC auf GitHub: http://ogy.de/github-LINCnil.
Tiefer greifende technische Informationen würden den Rahmen des Artikels sprengen und sich v.a. an Systemadministratoren wenden.
Fazit: Sehr nützliches, frei verfügbares Tool
In jedem Fall ist die PIA-Software einen Blick wert.
Sie ist frei verfügbar, von einer führenden Datenschutzbehörde in Europa entwickelt, im WP 248 EU-weit autorisiert und benutzerfreundlich.