Für bestimmte Datenverarbeitungen ist eine Risikoanalyse nötig. Die Behörde hat das nun näher definiert.
Wien. Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) muss man für bestimmte „risikoreiche“ Datenverarbeitungen sogenannte Datenschutz-Folgenabschätzungen durchführen. Dabei gilt es, die Risiken für die betroffenen Personen zu analysieren, und zwar nach Bewertungskriterien wie etwa Eintrittswahrscheinlichkeit des Risikos, Schwere des möglichen Schadens und Abhilfe- oder Sicherheitsmaßnahmen.
Bereits vor Monaten hat die österreichische Datenschutzbehörde dazu eine „Whitelist“ mit Anwendungen erlassen, für die man keine Folgenabschätzung braucht. Darunter fallen viele der alten Standard- und Musteranwendungen. Seit Kurzem ist nun auch eine „Blacklist“ in Kraft, die darüber Aufschluss gibt, wann eine Folgenabschätzung nötig ist (DSFA-V, BGBl. II Nr. 278/2018). „Die österreichische Blacklist gibt aber – anders als etwa die deutsche – keine konkreten Beispiele“, sagt Rechtsanwältin Anna Mertinz (Kanzlei KWR). Wohl davon erfasst seien aber unter anderem Bonitätsdatenbanken, automatisiert erstellte Verhaltens- oder Marketing-Profile, Profiling im Finanz-, Versicherungs-, oder Gesundheitsbereich, Body-Cams zum Zweck der Beobachtung, Überwachung oder Kontrolle von Personen, Zugangskontrollen mit Fingerabdrücken oder der Betrieb von Bewertungsportalen.
Für bestimmte Verarbeitungen im Zusammenhang mit Beschäftigungsverhältnissen enthält die Blacklist allerdings eine Ausnahme – nämlich dann, wenn darüber eine Betriebsvereinbarung geschlossen wurde. Das könne für Arbeitgeber hilfreich sein, sei allerdings kein Allheilmittel, weil es eben nicht für alles gilt, sagt Mertinz. Unternehmen empfiehlt sie, anhand ihres Verzeichnisses von Verarbeitungstätigkeiten zu prüfen, welche Datenverarbeitungen konkret unter die Whitelist und welche unter die Blacklist fallen. „Wenn Datenverarbeitungen unter die Blacklist fallen und keine Ausnahme greift, ist eine Datenschutz-Folgenabschätzung durchzuführen.“ Und zwar unverzüglich: Eine offizielle Toleranzfrist gibt es nicht, und die Geldstrafen, die bei Verstößen drohen, sind horrend. (cka)
("Die Presse", Print-Ausgabe, 22.11.2018)