Datenschutz: „Blacklist“ für Folgenabschätzung ist da

Für bestimmte Datenverarbeitungen ist eine Risikoanalyse nötig. Die Behörde hat das nun näher definiert.

Für bestimmte Datenverarbeitungen ist eine Risikoanalyse nötig.
Für bestimmte Datenverarbeitungen ist eine Risikoanalyse nötig.
Für bestimmte Datenverarbeitungen ist eine Risikoanalyse nötig. – (c) Bilderbox

Wien. Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) muss man für bestimmte „risikoreiche“ Datenverarbeitungen sogenannte Datenschutz-Folgenabschätzungen durchführen. Dabei gilt es, die Risiken für die betroffenen Personen zu analysieren, und zwar nach Bewertungskriterien wie etwa Eintrittswahrscheinlichkeit des Risikos, Schwere des möglichen Schadens und Abhilfe- oder Sicherheitsmaßnahmen.

Bereits vor Monaten hat die österreichische Datenschutzbehörde dazu eine „Whitelist“ mit Anwendungen erlassen, für die man keine Folgenabschätzung braucht. Darunter fallen viele der alten Standard- und Musteranwendungen. Seit Kurzem ist nun auch eine „Blacklist“ in Kraft, die darüber Aufschluss gibt, wann eine Folgenabschätzung nötig ist (DSFA-V, BGBl. II Nr. 278/2018). „Die österreichische Blacklist gibt aber – anders als etwa die deutsche – keine konkreten Beispiele“, sagt Rechtsanwältin Anna Mertinz (Kanzlei KWR). Wohl davon erfasst seien aber unter anderem Bonitätsdatenbanken, automatisiert erstellte Verhaltens- oder Marketing-Profile, Profiling im Finanz-, Versicherungs-, oder Gesundheitsbereich, Body-Cams zum Zweck der Beobachtung, Überwachung oder Kontrolle von Personen, Zugangskontrollen mit Fingerabdrücken oder der Betrieb von Bewertungsportalen.

Für bestimmte Verarbeitungen im Zusammenhang mit Beschäftigungsverhältnissen enthält die Blacklist allerdings eine Ausnahme – nämlich dann, wenn darüber eine Betriebsvereinbarung geschlossen wurde. Das könne für Arbeitgeber hilfreich sein, sei allerdings kein Allheilmittel, weil es eben nicht für alles gilt, sagt Mertinz. Unternehmen empfiehlt sie, anhand ihres Verzeichnisses von Verarbeitungstätigkeiten zu prüfen, welche Datenverarbeitungen konkret unter die Whitelist und welche unter die Blacklist fallen. „Wenn Datenverarbeitungen unter die Blacklist fallen und keine Ausnahme greift, ist eine Datenschutz-Folgenabschätzung durchzuführen.“ Und zwar unverzüglich: Eine offizielle Toleranzfrist gibt es nicht, und die Geldstrafen, die bei Verstößen drohen, sind horrend. (cka)

("Die Presse", Print-Ausgabe, 22.11.2018)

Die Presse - Testabo

Testen Sie jetzt „Die Presse“ und „Die Presse am Sonntag“ sowie das „Presse“-ePaper und sämtliche digitale premium‑Inhalte 3 Wochen kostenlos und unverbindlich.

Jetzt 3 Wochen testen
Meistgekauft
    Meistgelesen
      Kommentar zu Artikel:

      Datenschutz: „Blacklist“ für Folgenabschätzung ist da

      Sie sind zur Zeit nicht angemeldet.
      Um auf DiePresse.com kommentieren zu können, müssen Sie sich anmelden ›.