2018/07/31 Datenschutz-Folgenabschätzung - Verordnungsentwurf stiftet Verwirrung
Verpflichtende Risikobewertung von Datenverarbeitungen - Bonitätsdatenbanken, biometrische Verfahren, Profiling, Mitarbeiterbewertung und Videoüberwachung sind als riskante Verarbeitungen einzustufen - vorliegender Verordnungsentwurf bringt keine Rechtssicherheit
Verpflichtende Risikobewertung von Datenverarbeitungen
Seit 25. Mai 2018 müssen Datenverarbeiter bei riskanten Verarbeitungen verpflichtend eine "Datenschutz-Folgenabschätzung" machen. Hinter diesem bürokratischen Wortungetüm versteckt sich der Auftrag an Behörden, Unternehmen und Vereine, bei Verarbeitungen zu analysieren welche nachteiligen Folgen bei Fehlern ihre Verarbeitung bei Betroffenen haben kann.
Derartige Nachteile können Vermögensschäden, Identitätsdiebstahl, Kreditschädigung, Behandlungsfehler oder schlicht Kontrollverlust über die eigenen Daten sein.
In diesen Folgenabschätzungen sind Maßnahmen anzugeben, wie die Risken für die Betroffenen minimiert werden können.
Die ARGE DATEN hatte im Zuge der Einführung der Datenschutzgrundverordnung (DSGVO) bei zahlreichen Verarbeitungen derartige Folgenabschätzungen gemacht und damit den Verantwortlichen geholfen die Datenschutzrisken zu minimieren. Eine seriöse Folgenabschätzung ist relativ aufwändig und ist mit 5 bis 20 Personentagen je Verarbeitung zu kalkulieren.
Was sind kritische Verarbeitungen?
In der DSGVO werden einige Bereiche beispielhaft aufgezählt. So fallen jedenfalls Gesundheitsdaten wie in Spitälern und Labors üblich, darunter. Aber auch biometrische Verarbeitungen, wie Gesichtserkennung, Fingerabdruckwsysteme oder Irisscan.
Eine weitere große Gruppe bilden Bonitätsdatenbanken oder Profiling, wie es bei Dating-Apps oder Bewertungsplattformen üblich ist.
Strittig ist, ob auch andere algorithmische Verfahren darunter fallen, etwa die Methoden, die Google und Facebook anwenden, um Postings, Nachrichten und Bilder zu reihen.
Datenschutzbehörde ist verpflichtet Rechtssicherheit zu schaffen
Die DSGVO verpflichtet alle nationalen Datenschutzbehörden in einer Verordnung detailliert zu regeln, wann eine Folgenabschätzung auf jeden Fall zu machen ist.
Hans G. Zeger: "Die ARGE DATEN hat den Verordnungsentwurf der Datenschutzbehörde gründlich analysiert und ist zu einem ernüchternden Ergebnis gekommen. Der Entwurf schafft keine Rechtssicherheit, sondern stiftet zusätzliche Verwirrung und ist in sich widersprüchlich."
Der Entwurf nimmt beispielsweise alle betrieblichen Verarbeitungen, zu denen eine Betriebsvereinbarung existiert von einer Risikobewertung aus. Zum anderen sollen unterschiedslos Verarbeitungen von Forschungsarbeitsgemeinschaften mit wenigen hundert Testpersonen denselben Risikobewertungen unterworfen werden, wie Verarbeitungen von Internet-Konzernen, die mehrere hundert Millionen Userdaten abgleichen.
Auch die Bestimmungen zu Profiling und automatisierte Entscheidungsfindung ("Algorithmenverarbeitung") lassen verantwortliche Datenverarbeiter ratlos zurück. Entweder sind sie nie anwendbar, weil zu allgemein oder - bei strenger Auslegung - sind sie für alle Datenverarbeitungen zutreffend.
Hans G. Zeger: "Der Entwurf offenbart tiefgehende Ahnungslosigkeit, wie heute Informationstechnik verwendet wird. Offenbar glauben einzelne Referenten der Datenschutzbehörde noch immer, dass Computer zur Verwaltungsvereinfachung eingesetzt werden. Tatsache ist jedoch, dass Informationstechnik mehr und mehr zur Steuerung von Prozessen und Menschen eingesetzt wird ("Internet-of-Things"). Dabei gibt es bewährte und riskante, weil unausgereifte Prozesse. Nur diese riskanten Prozesse sollten einer Risikobewertung unterzogen werden. Dann jedoch gründlich und mit strenger Aufsicht. Dieser Verpflichtung kommt der Entwurf nicht nach."
Die ARGE DATEN rät daher dringend diesen Entwurf zurückzuziehen und so zu konkretisieren, dass Verantwortliche auch damit arbeiten können.
mehr --> Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Crashkurs: Datenschutz gemäß DSGVO und DSG
mehr --> Schadenersatz und Strafen für Datenschutzverletzungen
mehr --> Verordnung Datenschutz-Folgenabschätzung (DSFA-V)
mehr --> Stellungnahme der ARGE DATEN zur Datenschutz-Folgenabschätzung
Archiv --> Entwurf Datenschutzbehörde zur Datenschutz-Folgenabschätzung
|
