Kurzbeitrag : Privacy by Tools – Nicht kommerzielle Datenschutz-Tools kurz gecheckt : aus der RDV 3/2023 Seite 164 bis 169
Datenschutz-Tools sind praktisch. Dabei kann sich ihr Nutzen auf ganz verschiedene Weise entfalten: sie können zur Sensibilisierung dienen und einem eher abstrakten Ansatz folgen. Es geht dann um das Sichtbarmachen von datenschutzrechtlichen oder, thematisch noch etwas weiter, auch datenethischer Problemstellungen. Aus Praxissicht handfester und konkreter arbeiten digitale Helfer, die bei der DatenschutzCompliance assistieren, indem sie beispielsweise Checklisten oder Formularvorlagen zur Verfügung stellen oder das Dokumentenmanagement zu Auskunftsbegehren erleichtern. Der Beitrag greift einige prominente, aber auch weniger bekannte nichtkommerzielle Angebote auf und gibt einen Überblick zu ihren Funktionen.
I. Begriffliches und Systematisierung
Als „Tool” (eng. „Werkzeug”) wird ein Instrument, eine Software oder ein System bezeichnet, das von einer Person oder einem Team verwendet wird, um eine spezifische Aufgabe auszuführen oder ein bestimmtes Ergebnis zu erzielen. Ein Tool kann grundsätzlich analog (z.B. eine Checkliste auf Papier) oder digital vorliegen (z.B. als Software), im digitalen Einsatz werden Tools oft auch als “Utilities” bezeichnet. Einem sehr breiten Definitionsansatz folgend und alltäglichem Sprachgebrauch abbildend, kann man unter “DatenschutzTools” also all jene technischen Werkzeuge verstehen, die für den Anwendenden eine Verbesserung oder Vereinfachung im Umgang mit Sachverhalten bieten, die im weitesten Sinne Datenschutzrelevanz haben.
Der Kreis der Nutzenden, die Anwendungsszenarien und der Funktionsumfang dieser Werkzeuge sind indes sehr heterogen: systematisch unterschieden werden können Tools zur Verbesserung des individuellen Datenschutzes und der Datensicherheit im Kontext elektronischer Kommunikation, worunter man klassische Virenschutz- und Firewall-Systeme ebenso fassen kann wie Verschlüsselungssoftware[1] , VPNDienste[2] oder spezielle Browser-Extensions.[3] Von einem konkreten Anwendungsfall gelöst und eher auf abstrakter Ebene operieren Sensibilisierungs-, bzw. Awareness-Tools.[4]
Aus unternehmerischer Perspektive kann man unter Datenschutz-Tools firmenintern eingesetzte Software verstehen, die etwa zur datenbankgestützten Verwaltung des Verzeichnisses der Verarbeitungstätigkeiten (VVT), der Auftragsverarbeitung oder von Betroffenenanfragen dient. Erreichen angebotene Softwareprodukte einen komplexeren Umfang und adressieren darüber hinaus bspw. die Verwaltung von Schulungsmaßnahmen, das Assessment verschiedener Datenschutzrisiken und die abteilungsübergreifende Planung von Prozessen, geht es um Datenschutz-Managementsysteme.[5]
Kurz gesagt lassen sich also ganze Werkzeugkoffer von Spezialwerkzeugen[6] unterscheiden, die entweder individuell oder unternehmerisch eingesetzt und in der Regel kommerziell angeboten werden.[7] Nicht kommerzielle Angebote sind die große Ausnahme und daher einen besonderen Blick wert, um den es in diesem Beitrag gehen soll. Auch insoweit lassen sich zunächst Awareness- von Compliance-Tools unterscheiden. Gleichsam dazwischen und ebenfalls wohl noch als „Tool” begriffen werden kann eine Methodik, die, soweit sie wie beispielsweise das Standard-Datenschutzmodell sehr abstrakt ist, durch ein Werkzeug (weitere) Assistenz bei der Operationalisierung erfahren kann.
II. Auswahl der Tools
Eine Produktübersicht ist immer der kritischen Frage ausgesetzt, weshalb das eine wohl, das andere aber nicht dargestellt wird. Wie ist die Auswahl also zu begründen? Die Suche nach offen verfügbaren, nicht-kommerziellen Tools wurde methodisch in drei Schritten vollzogen. Um die Tools zu identifizieren, die Anwendende in ihrem Arbeitsalltag finden, wurde zunächst eine Google Trends-Analyse zu folgenden Suchbegriffen:
- Datenschutz – Tools
- Datenschutz – Hilfsmittel
- Datenschutz – Methodik
- Datenschutz – Folgenabschätzung
mit dem Ziel der Erschließung kontiguitären Begriffe, die mögliche Datenschutz-Tools bei einer Websuche zeigen, durchgeführt. Die Trends-Analyse war im deutschsprachigen Raum auf den Zeitraum beginnend am 01.01.2020 – 28.02.2023 begrenzt. Hierbei stand die Identifizierung von häufigen Suchbegriffen im Vordergrund, die im Kontext mit Datenschutz-Tools auftreten. Aufgrund der minimalen Suchanzahl konnten jedoch keine ähnlichen Begrifflichkeiten oder hervorstechende Suchergebnisse ausgemacht werden. Zudem wurden unterschiedliche Websuchen mit selbigen Suchbegriffen vorgenommen, wobei zu jedem Begriff die ersten fünf Ergebnisseiten analysiert wurden. Der Fokus der ausgegebenen Ergebnisse lag eindeutig auf kommerziell eingesetzten Tools.
Anschließend erfolgte eine manuelle Untersuchung von Tools, die entweder von (Datenschutz-)Institutionen (z.B. ICO, CNIL) oder von Bildungseinrichtungen (z.B. Institut für Digitale Ethik) herausgegeben wurden. Für die hier dargestellte Toolauswahl wurden schließlich alle Tools, die zum Erscheinungszeitpunkt noch im Entwicklungsstadium sind, nicht berücksichtigt, da eine Testung des Tools nur – wenn überhaupt – im Prototypenstatus möglich ist. Durch das beschriebene Vorgehen konnten insgesamt neun Datenschutz-Tools sowie die Angebote des ICO identifiziert werden, die anschließend getestet und einer SWOT-Analyse[8] unterzogen wurden.
III. Kurzcheck & Tool-Matrix
Die Ergebnisse der SWOT-Analysen und der praktischen Tooltests sind unten in Matrixform zusammengefasst. Nachfolgend sollen die Datenschutz-Tools aber zunächst einzeln steckbriefartig vorgestellt werden.
IV. ELSI – SAT (Institut für Digitale Ethik, HdM Stuttgart)
ELSI-SAT[9] ist ein automatisiertes Screening- und Assessment-Tool für akademisch Forschende, das bei der Formulierung von Forschungsanträgen unterstützen soll. Hierzu werden in den Themengebieten Mensch-Technik-Interaktion (insb. KI) und Datenschutz in einem individualisierten Fragenkatalog ethische, rechtliche und soziale Implikationen (ELSI) ermittelt, die anschließend in einer Auswertung über mögliche Risiken eines geplanten Forschungsprojektes informieren können. Dabei setzt ELSI-SAT auf einen Fragenkatalog, der in Abhängigkeit von gegebenen Antworten und identifizierten risikopotenzialen Weichenfragen/Nachfragen enthält und Forschende auffordert, sich mit Maßnahmen zur Risikominimierung auseinanderzusetzen.
Mithilfe einer grafischen Auswertung in einzelnen Kategorien (Allgemein, Datenschutz, Fürsorge, Autonomie, Schadensvermeidung, Gerechtigkeit, Transparenz) sowie farblichen Risiko-Heatmaps in Form eines Ampelsystems erhalten Forschende anschließend Rückmeldung zu identifizierten Risiken, die im geplanten Forschungssystem auftreten können. Durch Speicherung, Im- und Export von .json-Dateien ist eine – nicht kollaborative – Zusammenarbeit am Fragenkatalog in einem Team möglich. Zudem werden wichtige Begriffe und Gesetzestexte im Glossar integriert und in Einzelfragen verlinkt.
Die Auswertung wird in einem sog. ELSI-Score je Kategorie und insgesamt von 0 – 100 angegeben. Wie genau die Berechnung des Scores erfolgt und die Grenzen dieser Aussage, werden im Tool erklärt.
V. PIA (CNIL)
Das PIA (Privacy Impact Assessment) -Tool[10] der französischen Datenschutzbehörde CNIL hilft Anwendenden bei der Erstellung einer DS-GVO-konformen Datenschutz-Folgenabschätzung (DSFA). Es bietet die Möglichkeit, eine unterstützte Datenschutz-Folgenabschätzung auf Englisch oder Französisch[11] durchzuführen und ist in der integrierten DSFA-Vorlage dabei in vier Oberbegriffe mit weiteren Unterschritten gegliedert: Kontext, Grundlegende Prinzipien, Risiken, Bestätigung. Dabei werden offene Fragen genutzt, um den Anwendenden (Möglichkeit zur Nutzung als Bearbeiter, Prüfer und Bestätiger) qualitativ umfassende Antwortmöglichkeiten zu geben.
Eine automatisierte Wissensdatenbank in gesonderter Spalte erläutert einzelne Definitionen und Prinzipien, die sich je nach angezeigtem Unterschritt variabel an den angezeigten Inhalt anpassen. PIA gibt Anwendenden die Möglichkeit, eigene DSFA-Vorlagen zu erstellen und zu importieren. Eine kollaborative Nutzung ist nicht möglich, mithilfe von Imbzw. Export ist die Bearbeitung unterschiedlicher Personen/ Rollen allerdings integriert.
VI. DS‑GVO.clever (LfDI Baden-Württemberg)
Das Tool “DS-GVO.clever”[12] automatisiert die Datenschutzerklärung für Vereine und kleine sowie mittelständische Unternehmen (KMU) anhand der Auswertung eines Fragenkataloges. Dabei handelt es sich um einen hauptsächlich statischen Fragenkatalog zu genutzten Elementen und Verantwortlichen auf der Webseite, für die die Datenschutzerklärung erstellt werden soll. Je nach Antwortauswahl kommen Folgefragen hinzu. Mithilfe eines kleinen Info-Kastens für jede Frage können weiterführende Informationen inkl. Verlinkungen zu den zugehörigen Gesetzestexten aufgerufen werden.
Die eingegebenen Daten werden in einer zweiten Spalte in Echtzeit in den vorgefertigten Text der Datenschutzerklärung übertragen und können direkt vom Anwendenden kontrolliert und geprüft werden. Der erstellte Text kann mit Hilfe eines Buttons direkt kopiert und an entsprechender Stelle auf der Webseite eingefügt werden.
VII. Generator für Datenschutzhin‑ weise (Stiftung Datenschutz, LfDI Baden-Württemberg)
Der Generator für Datenschutzhinweise[13] der Stiftung Datenschutz ist eine abgewandelte Version des DS-GVO.clever-Tools, welches in Zusammenarbeit mit dem LfDI BadenWürttemberg aufgesetzt wurde und dieselbe Funktionalität aufweist wie DS-GVO.clever. Allerdings ist die Version auf die Nutzung für Vereine beschränkt und wurde lediglich minimal (z.B. Wording von Fragen, UX-Design) angepasst.
VIII. ICO-Toolkits
Die Behörde des UK Information Commissioner (ICO) bietet auf ihren Webseiten einen ganzen Werkzeugkoffer an, der verschiedene Themenbereiche und Adressaten anspricht und im Wesentlichen den Nutzenden über eine geführte Abfrage Empfehlungen gibt.
Recht generisch ist das „self assessment toolkit”[14], das speziell für kleine bis mittelgroße Organisationen aus dem privaten und öffentlichen Bereich entwickelt wurde und – bausteinartig – bestimmte Use Cases („direct marketing“, „use of CCTV“) über besondere Checklisten abbildet. Thematisch spitzer adressierte das „AI and data protection risk toolkit” Compliance-Fragen im Zusammenhang mit Datenverarbeitungsvorgängen und Künstlicher Intelligenz. Soweit ersichtlich, wurde es allerdings jüngst (15.03.2023) durch einen überarbeiteten Rahmen „Guidance on AI and data protection”[15] ersetzt.
Spezifischer ist auch der Baustein, der Stellen betrifft, die komplexere Datenanalysen von Betroffenen erstellen und insoweit die Risiken für Einzelpersonen einschätzen können. Die Anbieter des ICO-Toolkit for organisations considering using data analytics[16] weisen explizit darauf hin, dass die Nutzung des Tools keine hundertprozentige Compliance garantiert, sondern eher als Ausgangspunkt und Orientierung für die anzustellenden Erwägungen sein soll. Dieses ICO-Toolkit wurde einem Kurzcheck unterzogen. Das Werkzeug ist für die Begleitung von Unternehmen beim Einstieg in Datenanalysen – also zu Beginn des Datenanalyse-Prozesses – gedacht. Dabei hilft es mithilfe eines Fragenkataloges bei der Sensibilisierung und Identifizierung von möglichen Risiken, die mit der Analysetätigkeit einhergehen können. Der Begriff der „Datenanalyse“ ist sehr breit definiert.[17] Der Fragenkatalog ist in vier Themengebiete aufgeteilt (lawfulness, accountability and governance, the data protection principles, data subject rights) und die enthaltenen Fragen wurden mit weiteren Erläuterungen per „More information” – Button versehen. Nach Abschluss des Fragebogens erhält der Anwendende einen kurzen Ergebnisreport mit Empfehlungen für das geplante Datenanalyse-Projekt. Zudem werden durch weitere Links Optionen zur weiteren Reflexion und Sensibilisierung angeboten.
IX. Privat-o-mat (Institut für Digitale Ethik, LfDI Baden-Württemberg)
Der Privat-o-mat[18] entstand in einem Kooperationsprojekt des Instituts für Digitale Ethik (HdM Stuttgart) und dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg. Der Privat-o-mat ist darauf ausgelegt, den individuellen Umgang mit Daten zu reflektieren und gibt Hilfestellungen zu einem sicheren Umgang mit Datenrisiken. In einem statischen Fragenkatalog wird der Anwendende mithilfe von fünfzehn Fragen zu seinem täglichen Umgang mit Daten befragt. Dabei werden unterschiedliche narrative Szenarien aufgebaut und der Nutzende soll eine von sechs Antwortmöglichkeiten auswählen, die sein Verhalten am besten beschreiben. Anschließend erhält der Anwendende eine detaillierte Auswertung zu fünf möglichen Datenschutztypen (Egalos, Digital-Enthusiastinnen und Enthusiasten, reflektierte Datenschützerinnen und Datenschützer, unbedarfte Surferinnen und Surfer, Teilzeit-Datenschützerinnen und Datenschützer) mit prozentualen Angaben der Zugehörigkeit.
X. Datenanfragen.de (Datenanfragen.de e.V.)
Der Verein Datenanfragen.de e.V. adressiert mit seinem Tool „Datenanfragen.de[19]” das Auskunftsrecht (Art. 15 DS-GVO), das Recht zur Berichtigung (Art. 16 DS-GVO), das Recht auf Löschung (Art. 17 DS-GVO) sowie das Recht auf Widerspruch der Nutzung von personenbezogenen Daten für Direktwerbung nach Art. 21 Abs. 2 DS-GVO von Bürgerinnen und Bürgern und hilft bei der Umsetzung der Betroffenenrechte mithilfe der Generierung von Textbausteinen, die per E-Mail (direkt In-Tool oder per Copy & Paste-Verfahren) an entsprechende Unternehmen versandt werden können. Dabei gibt das Tool bereits mit einer Suchmaske die Möglichkeit, gezielt das gewünschte Unternehmen auszuwählen und fügt die personenbezogenen Daten des Antragstellenden direkt an die entsprechende Stelle der vorgefertigten Textbausteine ein. Dies vereinfacht die Antragstellung insoweit, dass die Suche nach Ansprechpartnern per Mail nicht manuell vorgenommen werden muss und die Textbausteine nicht eigener Formulierung bedürfen.
XI. Datenschutz-Generator.de
Der Datenschutz-Generator.de[20] ist in zwei Versionen verfügbar und wird von einem im Social-Media- und Datenschutzrecht ausgewiesenen Rechtsanwalt angeboten. Bei der kostenfreien Nutzung lassen sich für Privatpersonen[21] einige Basisfunktionen für die Erstellung von Datenschutz-Informationen für Webseiten nutzen.[22] Das Tool gibt Nutzenden in der Schnellauswahl zunächst die Auswahl von bestimmten Modulen, dabei werden einige Module als empfehlenswert voreingestellt bereits aktiviert, können jedoch angepasst werden. In einem zweiten Schritt werden die einzelnen – bereits in Schritt 1 – gewählten Module inhaltlich in einer Feinauswahl durch die Eingaben des Nutzenden (Datenverantwortlicher, Nutzung von Cookies, Nutzung von Social Media – Profilen, Webanalysen etc.) erstellt und können anschließend als HTML-Code oder Text-Vorschau angesehen, geprüft, kopiert und in die eigene Webseite integriert werden.
XII. Arbeitshilfe SDM (Stiftung Datenschutz & iRights.Lab)
Die Arbeitshilfe zum Standard-Datenschutzmodell 2.0[23] wurde von der Stiftung Datenschutz in Zusammenarbeit mit dem Think Tank iRights.Lab entwickelt und soll die Hemmschwelle von Anwendenden bei der Nutzung des SDM senken. Hierzu wurde eine Excel-Tabelle mit Makros erstellt, anhand derer die Nutzenden unterschiedliche Verarbeitungstätigkeiten und anschließend dazugehörige Gewährleistungsziele auswählen können. Dabei werden die ausgewählten Ziele jeweils kurz definiert. Anhand einer ebenfalls vom Nutzenden zu wählende Maßnahme werden hierzu erforderliche Maßnahmen dargestellt und dem Nutzer nützliche Links, SDMReferenzen, Beispiele und Hinweise zur Umsetzung angezeigt. Zudem findet sich ein Ergebnis bzw. Kommentarfeld, welches mit Freitext gefüllt werden kann. Der Umsetzungsstatus der gewählten Verarbeitungstätigkeit kann anschließend bewertet (nicht relevant, nicht umgesetzt, teilweise umgesetzt, vollständig umgesetzt) werden. Das Vorgehen der Auswahl der Verarbeitungstätigkeit kann beliebig oft mit unterschiedlichen Tätigkeiten wiederholt werden, wobei das Tool bereits gewählte Tätigkeiten übersichtlich anzeigt.
Wie Abbildung 1 zu entnehmen ist, wurden die untersuchten Tools in vier Kategorien analysiert. Dabei wurde zunächst eine Unterteilung in den Zweck des Tools mit den Optionen „Informationsgenerierung” – also Erstellung von (kopierbaren) Textbausteinen oder sonstigen Exporten mit Informationsgehalt, “Awareness” – also Tools, die vornehmlich der Reflexionsanregung und Sensibilisierung von Nutzenden gelten sollen, sowie „Prüfung/Audit”-Tools, deren Hauptaufgabe in der Unterstützung bei der Prüfung z.B. nach Risiken oder der Einhaltung von gesetzlichen Anforderungen dienen sollen.
Zudem wurden die Tools in thematische Spezialwerkzeuge (z.B. DSFA) oder „Werkzeugkoffer” eingeteilt, um einen Überblick über die Anwendungsszenarien der einzelnen Tools geben zu können. Demselben Schema folgend, wurden anschließend vier Kernzielgruppen der unterschiedlichen Tools im praktischen Einsatz identifiziert, die hier nach dem Entwicklungsziel der Entwickelnden bewertet wurden. Gleichwohl schließt dies eine zielgruppen-erweiterte Toolnutzung im Einzelfall nicht aus. Die identifizierten Bereiche lassen sich zusammenfassen zu „Start-ups/KMU/Vereine”, sprich all jene wirtschaftliche Akteure mit stark begrenzten personellen und finanziellen Ressourcen und Know-how insb. im Bereich Datenschutz sowie ehrenamtliche Tätigkeiten umfassende Vereine, die oftmals im Privacy-Bereich einer besonderen Sensibilisierung sowie reduzierter Komplexität bedürfen. Zudem wurden Tools für die allgemeine Anwendung von privatwirtschaftlichen Unternehmen (“Wirtschaft”) identifiziert, als auch Tools, die explizit die Wissenschaft adressieren („Forschung”). Letztens konnten auch natürliche Personen als Zielgruppe von Datenschutz-Tools im privaten Umfeld identifiziert werden („Individuum/Bürger”), wobei hier explizit keine Tools dargestellt werden, die auf natürliche Personen in ihrem ehrenamtlichen Engagement und dem dadurch entstehenden Umgang mit Daten (siehe: „Startups/KMU/Vereine) abzielen sollen.
Final wurden Key-Features der einzelnen Tools reduziert in der Matrix dargestellt. Dabei werden drei vergleichbare Kategorien entworfen, die für die Nutzung der einzelnen Tools in der Zielgruppe relevant sind. Diese sind: verfügbare Sprache des Tools, UX-Optimierung und Anwendungsoberfläche. Mit Ausnahme des PIA-Tools (mit insgesamt über 20 aktuell anwendbaren Sprachen) sind alle vorgestellten Tools entweder auf Deutsch und/oder Englisch verfügbar, allerdings nicht alle auf deutscher Sprache nutzbar.
UX-Optimierung meint im Allgemeinen sämtliche Eindrücke eines Nutzenden von einer Anwendung sowie die Analyse und Verbesserung des Erlebnisses. Im konkreten Fall der untersuchten Privacy Tools wird dabei insbesondere die Komplexitätsreduktion und Verständlichkeit der Tools sowie die Einfachheit der Darstellung und Verständlichkeit betrachtet. Dies bedeutet, dass insbesondere analysiert wurde, inwieweit Anwendende die Software bei der ersten Nutzung verstehen und inwieweit eine intensive Einarbeitung oder Schulung erforderlich wäre. Zudem wird die Einfachheit der Darstellung (strukturierte Benutzeroberfläche oder verschachteltes Excel-Dokument mit notwendigen Makro-Aktivierungen) in der Bewertung berücksichtigt.
Drittens wird die Anwendungsoberfläche der Tools in der Kategorie „Key-Features” aufgeführt. Hierbei ergibt sich insbesondere die Unterscheidung, ob Tools einen vorherigen Download erfordern oder direkt im Browser nutzbar sind.
XIII. Fazit
Obwohl der Bedarf an niederschwellig nutzbaren digitalen Werkzeugen für die tägliche Datenschutzpraxis nicht nur für kleine und mittelständische Unternehmen ohne Frage hoch ist, ist das Angebot nicht kommerzieller Tools zur Sensibilisierung und Hilfestellung aus verlässlicher Hand bis dato übersichtlich. CNIL, ICO und der LfDI BaWü gehen hier mit gutem Beispiel voran, aber auch Akteure außerhalb der Aufsichtsbehörden leisten wichtige Impulse, von denen man sich noch mehr wünschen würde.
FAQ-Papiere und „Checkliste.pdf“, wie sie seitens der Aufsichtsbehörden in ganz beachtlichem Umfang vorliegen, sind gut, dürften dem Wunsch der Adressaten nach zeitgemäßer digitaler Assistenz aber nur sehr bedingt Rechnung tragen.[24] Die Formate gehen an einer nutzerorientierten Gestaltung vielfach vorbei. Macht man den Rechtsgedanken des Art. 25 DS-GVO, Datenschutz durch Technikgestaltung, auch für die Art und Weise der Seitens der Aufsichtsbehörden geschuldeten und spezifisch auszurichtenden Öffentlichkeitsarbeit[25] fruchtbar, wäre das Angebot von (weiteren) Datenschutz-Tools, also Privacy by Tools – von ihrem Aufgabenfeld gedeckt und würde sicher dankend angenommen.
Interessenserklärung: Beide Autoren waren an der Entwicklung des vorgestellten Tools “ELSI-SAT” im BMBF – Forschungsprojekt „ELSI-SAT” von Oktober 2019 – März 2020 beteiligt und entwickeln gegenwärtig eine Software, die rechtliche, ethische und soziale Aspekte der Forschung zu interaktiven Technologien im Bereich Gesundheit und Pflege zu ermitteln hilft.[26] Prof. Dr. Tobias O. Keber war daneben im Projekt „Privat-o-mat“ beteiligt.
Prof. Dr. Keber ist Professor für Medienrecht und Medienpolitik an der Hochschule der Medien Stuttgart sowie Gründer und Mitglied des Leitungsgremiums des Instituts für Digitale Ethik (IDE).
Tobias List, M.A. hat Medienmanagement studiert und ist seit 2019 wissenschaftlicher Mitarbeiter am Institut für Digitale Ethik in den BMBF-Forschungsprojekten ELSI-SAT & ELSI-SAT Health & Care.
[1] 1 Informationen und ein Überblick zur Software sind beim Bundesamt für Sicherheit in der Informationstechnik (BSI) verfügbar unter: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationenund-Empfehlungen/Onlinekommunikation/Verschluesselt-kommunizieren/verschluesselt-kommunizieren_node.html.
[2] Einen Überblick gibt das BSI unter: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Router-WLAN-VPN/Virtual-Private-Networks-VPN/virtual-private-networks-vpn_node.html.
[3] Privacy Badger, Ghostery, uBlock Origin etc.
[4] Ein Beispiel für ein Awareness-Tool ist der gleich noch darzustellende „Privat-o-mat“, der unter https://www.privat-o-mat.de/ kostenlos verfügbar ist. Werkzeuge für die Mitarbeitersensibilisierung stellt das UK Information Commissioner´s Office zur Verfügung unter: https://ico.org.uk/for-organisations/posters-stickers-and-e-learning/.
[5] Vgl. dazu ISO/IEC 27701.
[6] Eine Untersuchung solcher Spezialwerkzeuge im Themenbereich Datenschutzfolgenabschätzung haben z.B. Nägele et al. 2020 vorgenommen
[7] Der YouTube-Kanal „mth-training“ hat in der Reihe „Datenschutzanwendungen im Test“ weit über 20 kommerzielle Tools in jeweils ca. 30-minütigen Beiträgen vorgestellt und getestet. Die Kriterien werden in einem weiteren Beitrag offengelegt. Der Kanal ist über https://www.youtube.com/mthtraining verfügbar. Eine Software-Marktübersicht und einzelne Praxistest-Videos zu kommerziellen Angeboten findet sich auch beim BvD e.V. unter https://www.bvdnet.de/datenschutz-softwareuebersicht/.
[8] SWOT steht für Strengths (Stärken), Weakness (Schwächen), Opportunities (Chancen), Threats (Risiken)-Analyse
[9] ELSI-SAT ist kostenlos verfügbar unter: www.elsi-sat.de.
[10] Das PIA-Tool ist verfügbar via: https://www.cnil.fr/en/privacy-impact-assessment-pia.
[11] Hierbei handelt es sich um die offiziell von der CNIL bereitgestellten Übersetzungen. Die europäischen Aufsichtsbehörden haben zudem Übersetzungen in Deutsch, Italienisch, Ungarisch, Norwegisch, Polnisch und Finnisch integriert. Zudem gibt es aktuell (Version 3.03) 14 weitere von der Community geschriebene Übersetzungen von PIA.
[12] DS-GVO.clever ist verfügbar via: https://www.baden-wuerttemberg.datenschutz.de/DS-GVO.clever/.
[13] Das Angebot ist abrufbar unter: https://stiftungdatenschutz.org/ehrenamt/generator-datenschutzhinweise.
[14] Das self assessment toolkit ist verfügbar unter: https://ico.org.uk/for-organisations/sme-web-hub/checklists/data-protection-self-assessment/.
[15] Informationen abrufbar unter: https://ico.org.uk/for-organisations/guide-todata-protection/key-dp-themes/guidance-on-ai-and-data-protection/.
[16] Das Toolkit ist erreichbar über: https://ico.org.uk/for-organisations/toolkitfor-organisations-considering-using-data-analytics/.
[17] Dazu heißt es auf der Webseite: “the use of software to automatically discover patterns in data sets (where those data sets contain personal data) and use them to make predictions, classifications, or risk scores.” (vgl. ICO-Toolkit, 2023).
[18] Zum Privat-o-mat gelangt man über: https://www.privat-o-mat.de/.
[19] Das Tool ist verfügbar via: https://www.datenanfragen.de
[20] Der Datenschutz-Generator ist abrufbar unter: https://datenschutz-generator.de.
[21] Die kostenlose Version ist ebenfalls für Unternehmen mit einem Jahresumsatz-Brutto von < 5.000 € nutzbar
[22] Die kostenpflichtige Version des Datenschutz-Generators wurde von den Autoren nicht getestet und analysiert. Zudem konnten aufgrund des Modulumfangs nicht alle verfügbaren Module einzeln getestet werden
[23] Die Arbeitshilfe ist abrufbar unter: https://stiftungdatenschutz.org/praxisthemen/standard-datenschutzmodell.
[24] Übergreifend inventarisiert ist das seitens der Datenschutzkonferenz (DSK) in einer Weise, die 2023 wohl kaum als zeitgemäß betrachtet werden kann. Auf der Webseite der DSK findet sich unter „Infothek” Unterkategorie “Publikationen” ein PDF Stand 2021 mit einer „Übersicht der Informationsmaterialien der deutschen Datenschutzaufsichtsbehörden”. Online unter: https://www. datenschutzkonferenz-online.de/publikationen.html.
[25] Art. 57 Abs. 1 lit. b), d); ErwG 132 DS-GVO.
[26] Informationen zum BMBF-Forschungsprojekt „ELSI-SAT Health & Care“ verfügbar unter: https://interaktive-technologien.de/projekte/elsi-sat-health-care.