rating service  security service privacy service
 
2018/07/31 Datenschutz-Folgenabschätzung - neue Verordnung stiftet Verwirrung
Verpflichtende Risikobewertung von Datenverarbeitungen - Bonitätsdatenbanken, biometrische Verfahren, Profiling, Mitarbeiterbewertung und Videoüberwachung sind als riskante Verarbeitungen einzustufen - vorliegender Verordnungsentwurf bringt keine Rechtssicherheit

Verpflichtende Risikobewertung von Datenverarbeitungen

Seit 25. Mai 2018 müssen Datenverarbeiter bei riskanten Verarbeitungen verpflichtend eine "Datenschutz-Folgenabschätzung" machen. Hinter diesem bürokratischen Wortungetüm versteckt sich der Auftrag an Behörden, Unternehmen und Vereine, bei Verarbeitungen zu analysieren welche nachteiligen Folgen bei Fehlern ihre Verarbeitung bei Betroffenen haben kann.

Derartige Nachteile können Vermögensschäden, Identitätsdiebstahl, Kreditschädigung, Behandlungsfehler oder schlicht Kontrollverlust über die eigenen Daten sein.

In diesen Folgenabschätzungen sind Maßnahmen anzugeben, wie die Risken für die Betroffenen minimiert werden können.

Die ARGE DATEN hatte im Zuge der Einführung der Datenschutzgrundverordnung (DSGVO) bei zahlreichen Verarbeitungen derartige Folgenabschätzungen gemacht und damit den Verantwortlichen geholfen die Datenschutzrisken zu minimieren. Eine seriöse Folgenabschätzung ist relativ aufwändig und ist mit 5 bis 20 Personentagen je Verarbeitung zu kalkulieren.


Was sind kritische Verarbeitungen?

In der DSGVO werden einige Bereiche beispielhaft aufgezählt. So fallen jedenfalls Gesundheitsdaten wie in Spitälern und Labors üblich, darunter. Aber auch biometrische Verarbeitungen, wie Gesichtserkennung, Fingerabdruckwsysteme oder Irisscan.

Eine weitere große Gruppe bilden Bonitätsdatenbanken oder Profiling, wie es bei Dating-Apps oder Bewertungsplattformen üblich ist.

Strittig ist, ob auch andere algorithmische Verfahren darunter fallen, etwa die Methoden, die Google und Facebook anwenden, um Postings, Nachrichten und Bilder zu reihen.


Datenschutzbehörde ist verpflichtet Rechtssicherheit zu schaffen

Die DSGVO verpflichtet alle nationalen Datenschutzbehörden in einer Verordnung detailliert zu regeln, wann eine Folgenabschätzung auf jeden Fall zu machen ist.

Hans G. Zeger: "Die ARGE DATEN hat den Verordnungsentwurf der Datenschutzbehörde gründlich analysiert und ist zu einem ernüchternden Ergebnis gekommen. Der Entwurf schafft keine Rechtssicherheit, sondern stiftet zusätzliche Verwirrung und ist in sich widersprüchlich."

Der Entwurf nimmt beispielsweise alle betrieblichen Verarbeitungen, zu denen eine Betriebsvereinbarung existiert von einer Risikobewertung aus. Zum anderen sollen unterschiedslos Verarbeitungen von Forschungsarbeitsgemeinschaften mit wenigen hundert Testpersonen denselben Risikobewertungen unterworfen werden, wie Verarbeitungen von Internet-Konzernen, die mehrere hundert Millionen Userdaten abgleichen.

Auch die Bestimmungen zu Profiling und automatisierte Entscheidungsfindung ("Algorithmenverarbeitung") lassen verantwortliche Datenverarbeiter ratlos zurück. Entweder sind sie nie anwendbar, weil zu allgemein oder - bei strenger Auslegung - sind sie für alle Datenverarbeitungen zutreffend.

Hans G. Zeger: "Der Entwurf offenbart tiefgehende Ahnungslosigkeit, wie heute Informationstechnik verwendet wird. Offenbar glauben einzelne Referenten der Datenschutzbehörde noch immer, dass Computer zur Verwaltungsvereinfachung eingesetzt werden. Tatsache ist jedoch, dass Informationstechnik mehr und mehr zur Steuerung von Prozessen und Menschen eingesetzt wird ("Internet-of-Things"). Dabei gibt es bewährte und riskante, weil unausgereifte Prozesse. Nur diese riskanten Prozesse sollten einer Risikobewertung unterzogen werden. Dann jedoch gründlich und mit strenger Aufsicht. Dieser Verpflichtung kommt der Entwurf nicht nach."

Die ARGE DATEN rät daher dringend diesen Entwurf zurückzuziehen und so zu konkretisieren, dass Verantwortliche auch damit arbeiten können.

mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Intensivseminar: DSGVO und DSG neu - 4. September 2018
mehr --> Schadenersatz und Strafen für Datenschutzverletzungen
mehr --> Jahrestagung betrieblicher Datenschutz 2018 - 2. Oktober 2018
mehr --> Stellungnahme der ARGE DATEN zur Datenschutz-Folgenabschätzung
Archiv --> Entwurf Datenschutzbehörde zur Datenschutz-Folgenabschätzung

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2018 Information gemäß DSGVOwebmaster