Feedback

Public Interest Assessment (PIA)

zur Glossar-Übersicht

 

Definition des Begriffs

PIA steht für Privacy Impact Assessment, auf Deutsch Datenschutz-Folgenabschätzung. Der Begriff bezeichnet ein strukturiertes Prüfverfahren zur Bewertung, ob eine geplante Verarbeitung personenbezogener Daten hohe Risiken für Rechte und Freiheiten natürlicher Personen auslösen kann. Im europäischen Datenschutzrecht entspricht PIA inhaltlich weitgehend der Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO. Im Finanzmarktumfeld dient das Verfahren dazu, datenintensive Prozesse, digitale Anwendungen, Auslagerungen und automatisierte Entscheidungen vor ihrer Einführung risikoorientiert zu prüfen. Es verbindet Datenschutz, operative Resilienz und Compliance mit einer dokumentierten Entscheidungsvorlage.

 

Vorkommen und Verwendung

Ein PIA wird von dem verantwortlichen Unternehmen durchgeführt, häufig unter Einbindung von Datenschutzbeauftragten, Informationssicherheit, Fachbereichen, Rechtsabteilung und interner Revision. Es betrifft Banken, Versicherungen, Wertpapierinstitute, Zahlungsdienstleister, FinTechs und Dienstleister, sobald personenbezogene Daten in sensiblen oder umfangreichen Verarbeitungen genutzt werden. Anlassbezogen erfolgt es bei neuen Produkten, wesentlichen Prozessänderungen oder neuen Technologien.

Typische Prüffelder sind:

  1. Beschreibung der Verarbeitung
    a. Zweck, Datenarten, betroffene Personen und Systeme
    b. Empfänger, Speicherfristen und technische Schnittstellen
  2. Notwendigkeit und Verhältnismäßigkeit
    a. Rechtsgrundlage, Datenminimierung und Zweckbindung
    b. Transparenz, Betroffenenrechte und Löschkonzepte
  3. Risikobewertung
    a. Eintrittswahrscheinlichkeit und mögliche Schadensfolgen
    b. Risiken durch Profiling, Scoring, Betrugserkennung oder Cloud-Nutzung
  4. Schutzmaßnahmen
    a. Verschlüsselung, Zugriffskontrollen und Protokollierung
    b. organisatorische Kontrollen, Schulungen und Freigabeprozesse

 

Relevanz

PIA ist für Finanzunternehmen besonders relevant, weil deren Geschäftsmodelle regelmäßig Bonitätsdaten, Transaktionsdaten, Identitätsdaten und Verhaltensdaten verarbeiten. Das Verfahren unterstützt eine nachvollziehbare Risikoentscheidung vor Projektstart und reduziert spätere Anpassungskosten. Es kann Einfluss auf Produktfreigaben, Outsourcing-Bewertungen, Modell-Governance und IT-Sicherheitsmaßnahmen haben. Bleibt nach Schutzmaßnahmen ein hohes Risiko bestehen, ist eine vorherige Konsultation der zuständigen Datenschutzaufsicht erforderlich. Eine belastbare Dokumentation stärkt zudem die Nachweisfähigkeit gegenüber Aufsicht, Prüfern und internen Kontrollfunktionen.

 

Beispiel/Synonyme oder verwandte Begriffe

Verwandte Begriffe sind:

  • DPIA, Data Protection Impact Assessment, englische Bezeichnung der Datenschutz-Folgenabschätzung.
  • DSFA, deutsche Abkürzung für Datenschutz-Folgenabschätzung.
  • Risikoanalyse, breiterer Begriff für die systematische Bewertung von Eintrittswahrscheinlichkeit und Auswirkung.
  • Privacy by Design, Datenschutz durch technische und organisatorische Gestaltung.

 

Weitere Informationen

Rechtsgrundlagen sind insbesondere Artikel 35 und Artikel 36 DSGVO. Ergänzend relevant sind Verzeichnisse von Verarbeitungstätigkeiten, Informationspflichten, Löschkonzepte, Auftragsverarbeitungsverträge und Vorgaben zur technischen und organisatorischen Sicherheit. Die Ergebnisse werden regelmäßig aktualisiert, wenn sich Zwecke, Datenflüsse, Dienstleister oder die Risikolage wesentlich verändern.

 

 

Weiterführende Details, regulatorische Vorgaben und Methodikbeschreibungen finden Sie auf Regupedia: www.regupedia.de

Passwort zurücksetzen

Bitte geben Sie Ihre E-Mail-Adresse an. Wir senden Ihnen eine E-Mail zum Zurücksetzen Ihres Passwortes.


Abbrechen