Die italienische Datenschutzbehörde verhängte gegen den Flughafen Bologna eine Geldstrafe in Höhe von 40 000 Euro, weil er es versäumt hatte, angemessene technische und organisatorische Maßnahmen für ein Hinweisgebersystem (Whistleblowing) bereitzustellen. Der Flughafen hatte es versäumt, sowohl gespeicherte als auch übermittelte Meldungen innerhalb dieses Systems zu verschlüsseln und eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Die Orginalmeldung ist mir nicht bekannt, aber der Vorgang zeigt dass das häufig noch gar nicht angegangene Thema Datenschutz-Folgenabschätzung ernst genommen werden solllte und kein nice-to-have ist.
Generell sollte man für seine Prozesse eine Schwellenwertanalyse machen, ob die grundsätzlichen Voraussetzungen für eine DSFA vorliegen. Sofern dies der Fall ist sollte eine genauere Risikoanalyse vorgenommen werden, die in einer Risikominimierungs-Maßnahmenbehandlung mündet. Das Ganze ist dann ausreichend zu dokumentieren. Für besteheden Prozesse, was ja der Regelfall sein wird, ist das sozusagen historisch nachzuvollziehen. Für die Durchführung und Dokumentierung der DSFA stehen Formulare und Tools zur Verfügung. Leider ist das Ganze mit einem gewissen zeitliche Aufwand verbunden.
