Die Anforderung zur Anbieterbewertung von DPIAs
Die GDPR Artikel 35 erfordert Datenschutz-Folgenabschätzungen für die Verarbeitung, die wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten von Personen führt. Die Verarbeitung personenbezogener Daten in großem Umfang (Artikel 35(3)(b)) fällt unter diese Anforderung. Wenn eine Organisation ein Anonymisierungstool für die Verarbeitung von PII in großem Umfang einsetzt, muss die DPIA das Tool als Datenverarbeiter gemäß GDPR Artikel 28 bewerten.
Artikel 28 verlangt, dass Datenverarbeiter "ausreichende Garantien zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen" bereitstellen und dass die Verarbeitung "durch einen Vertrag oder eine andere rechtliche Handlung nach Unions- oder Mitgliedstaatrecht geregelt ist." Ein DPO, der eine DPIA für ein Anonymisierungstool durchführt, muss dokumentieren: die Sicherheitsmaßnahmen des Tools, seine Subverarbeiterbeziehungen, seine Datenresidenz, seine Verfahren zur Benachrichtigung über Datenpannen und die Datenverarbeitungsvereinbarung, die die Beziehung regelt.
Die ISO 27001-Zertifizierung reduziert die Dokumentationslast der DPIA erheblich: Eine BSI-Studie (2024) ergab, dass ISO 27001-zertifizierte Organisationen die Zeit für Sicherheitsfragen um 73 % reduzieren. Gartner stellte fest, dass die Sicherheitsbeschaffung von Fortune 500 in 78 % der RFPs ISO 27001 erfordert. Wenn das Anonymisierungstool ISO 27001-zertifiziert ist, kann die DPIA auf die Zertifizierung verweisen, anstatt zu versuchen, die Sicherheitskontrollen des Tools unabhängig zu überprüfen.
Die Anbieterbewertung Checkliste für Artikel 28
DPOs, die ein Anonymisierungstool hinsichtlich der Anforderungen von GDPR Artikel 28 bewerten, sollten überprüfen:
1. Datenverarbeitungsvereinbarung: Ist eine GDPR-konforme DPA verfügbar? Deckt sie alle erforderlichen Bestimmungen des Artikels 28 ab: Verarbeitung nur auf dokumentierte Anweisungen, Vertraulichkeitsverpflichtungen, Sicherheitsmaßnahmen, Subverarbeiterkontrollen, Unterstützung der Rechte der betroffenen Personen, Löschung oder Rückgabe nach Vertragsende und Prüfungskooperation?
2. Dokumentation der Sicherheitsmaßnahmen: Sind die technischen und organisatorischen Sicherheitsmaßnahmen in einer Weise dokumentiert, die Artikel 32 entspricht? Für ISO 27001-zertifizierte Tools bieten die Zertifizierung und die Erklärung zur Anwendbarkeit diese Dokumentation.
3. Transparenz der Subverarbeiter: Verwendet das Tool Subverarbeiter? Sind sie aufgeführt und zugänglich? Änderungen der Subverarbeiter erfordern eine vorherige Benachrichtigung des Verantwortlichen. Tools, die mehrere Cloud-Infrastruktur-Anbieter (zur Redundanz, CDN usw.) verwenden, müssen jeden Subverarbeiter dokumentieren.
4. Datenresidenz: Wo werden personenbezogene Daten verarbeitet und gespeichert? Für in der EU ansässige DPOs ist eine EU-Datenresidenz oder eine Zero-Knowledge-Architektur (keine personenbezogenen Daten werden an Server übertragen) erforderlich. In den USA ansässige Tools erfordern dokumentierte SCCs oder BCRs.
5. Benachrichtigung über Datenpannen: Was sind die Benachrichtigungsverfahren des Tools bei Datenpannen? GDPR Artikel 33 verlangt eine Benachrichtigung der Aufsichtsbehörde innerhalb von 72 Stunden. Artikel 28 verlangt von den Verarbeitern, die Verantwortlichen "ohne unangemessene Verzögerung" zu benachrichtigen, nachdem sie von einer Panne Kenntnis erlangt haben — was vor Ablauf der 72 Stunden geschehen muss.
6. Verfügbarkeit der DPIA: Hat der Tool-Anbieter seine eigene DPIA abgeschlossen? Ist sie für Unternehmenskunden verfügbar, um in die DPIA des Verantwortlichen aufgenommen zu werden? Ein Tool-Anbieter, der keine DPIA für seine eigene Verarbeitung abgeschlossen hat, schafft eine Dokumentationslücke in der DPIA des Verantwortlichen.
7. Unterstützung von Löschung und Datenübertragbarkeit: Kann das Tool die Verpflichtungen aus Artikel 17 (Löschung) und Artikel 20 (Datenübertragbarkeit) erfüllen? Für Zero-Knowledge-Tools, bei denen keine personenbezogenen Daten gespeichert werden, könnte die Löschfrage nicht aufkommen — aber die DPIA muss dies dokumentieren.
Die österreichische Versicherungsgesellschaft DPO, die eine DPIA für ihren Beschwerde-Anonymisierungsprozess durchführt, kann anfordern und erhalten: ISO 27001-Zertifikat, EU-Hosting-Dokumentation, DPIA und DPA von einem konformen Tool-Anbieter. Diese vier Dokumente bieten eine vollständige Abdeckung der Artikel 28 DPIA. Die Prüfung durch die Aufsichtsbehörde stellt fest, dass die DPIA vollständig ist.
Quellen: