Mit ihrer schwarzen Liste definiert die Datenschutzbehörde, für welche Verarbeitungen eine Risikoanalyse nötig ist. Konkrete Beispiele vermisst man jedoch.
Dos and Dont´s im Datenschutz: Vor einem halben Jahr ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Noch immer herrscht große Unsicherheit bei Unternehmern. Und die Datenschutzbehörde wird von Beschwerden regelrecht überflutet, wie die SN unlängst berichtet haben.
Eine „Blacklist“, also eine schwarze Liste für riskante Bereiche, soll die Umsetzung erleichtern und Prozesse verständlicher machen. Hintergrund: Nach den Bestimmungen der DSGVO müssen Unternehmer für bestimmte, besonders risikoreiche Verarbeitungsvorgänge sogenannte Datenschutz-Folgenabschätzungen (DSFA) durchführen. Es handelt sich dabei um interne Risikoanalysen, bei denen die Gefahren für die betroffenen Personen dem Nutzen der Datenanwendung in Form einer Abwägung gegenübergestellt werden müssen. Konkret geschieht dies durch Bewertungskriterien wie etwa Eintrittswahrscheinlichkeit und Schwere der Risiken.
Die „Whitelist“, also das Gegenstück zur schwarzen Liste, hat die österreichische Datenschutzbehörde bereits erlassen. Sie definiert, für welche Anwendungen keine Folgenabschätzung benötigt wird. In dieser Ausnahme-Verordnung (DSFA-AV) sind viele der alten Standard- und Musteranwendungen erwähnt, darunter: Kundenverwaltung, Rechnungswesen, Logistik, Buchführung, Personalverwaltung, Kundenbetreuung und Marketing für eigene Zwecke. Im operativen Geschäft wäre es schlichtweg undenkbar, dass Betriebsinhaber für all diese standardisierten Vorgänge umfassende Risikoanalysen durchführen müssen. Deshalb die Ausnahmen.
Ergänzend dazu ist jetzt auch eine „Blacklist“ (DSFA-V) in Kraft getreten, die darüber Aufschluss geben soll, wann eine Folgenabschätzung jedenfalls nötig ist. Konkrete Beispiele, wie sie in der weißen Liste angeführt sind, gibt es leider nicht. Stattdessen liefert die „Blacklist“ lediglich sechs, recht allgemein formulierte Kriterien, die als Orientierungshilfe bei der Durchführung von Datenschutz-Folgeabschätzungen herangezogen werden können. Für Laien dürften die Texte nur schwer nachvollziehbar sein, für Juristen bietet sich dagegen ein weiter Interpretationsspielraum – es besteht daher weiterhin ein nicht zu unterschätzender Grad an Rechtsunsicherheit.
Wann also müssen Unternehmer nach dem Wortlaut der Verordnung unbedingt eine Folgeabschätzung vornehmen? Nötig ist die DSFA bei Verarbeitungen, die eine Bewertung oder Einstufung von Personen hinsichtlich der Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, Zuverlässigkeit oder ihrer persönlichen Vorlieben und Interessen betreffen, sofern die Verarbeitung automatisiert erfolgt und nachteilige Auswirkungen für den Betroffenen nicht auszuschließen sind. Dazu zählen wohl Bewertungsplattformen, Bonitätsauskünfte, automatisiert generierte Verhaltens- oder Marketing-Profile sowie das Profiling im Finanz- und Versicherungssektor. Daneben wird auch die Beobachtung, Überwachung oder Kontrolle mittels Bild- und Akustikdatenverarbeitung als besonders riskant gewertet.
Werden Daten unter Anwendung neuer Technologien verarbeitet, insbesondere durch den Einsatz von künstlicher Intelligenz oder biometrischer Daten, so ist – wenige Fälle ausgenommen – ebenfalls eine Folgeabschätzung vorzunehmen. Selbiges gilt für die Zusammenführung und den Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken oder von verschiedenen Verantwortlichen durchgeführt werden. Eine Risikoanalyse hat schließlich auch immer dann zu erfolgen, wenn der höchstpersönliche Bereich einer Person berührt wird, selbst wenn zuvor eine Einwilligung eingeholt wurde. Oder wenn sensible Daten oder Daten von Unmündigen, Arbeitnehmern, Patienten oder anderen schutzwürdigen Personengruppen umfangreich verarbeitet werden. Für bestimmte Verarbeitungen im Zusammenhang mit Beschäftigungsverhältnissen sieht die „Blacklist“ aber auch Ausnahmen vor: Wurde eine Betriebsvereinbarung geschlossen oder liegt die Zustimmung der Personalvertretung vor, kann eine Datenschutz-Folgeabschätzung bei Dienstnehmerdaten unterbleiben.
Was ist jetzt zu tun? Unternehmen sollten anhand der nunmehr vorliegenden Listen prüfen, ob für ihre Datenverarbeitungen eine Ausnahme in der „Whitelist“ vorgesehen ist. Ist dies nicht der Fall, so empfiehlt sich ein Blick in die „Blacklist“. Sofern die Verarbeitung dort angeführt ist, muss eine Datenschutz-Folgenabschätzung durchgeführt werden, ansonsten drohen saftige Geldbußen.
Auch wenn die Kriterien der schwarzen Liste als Anhaltspunkte hilfreich sein können, ist es doch schade, dass sich die Behörde nicht zu einer konkreten Aufzählung von Verarbeitungsvorgängen durchringen konnte. So bleiben viele Fragen offen, was wohl kaum zu einem Rückgang der Beschwerden und folglich auch nicht zu einer Arbeitserleichterung führen dürfte.
STEPHAN KLIEMSTEIN