DSGVO: Blacklist für Folgenabschätzung definiert
Seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) müssen für bestimmte „risikoreiche“ Datenverarbeitungen so genannte Datenschutz-Folgenabschätzungen durchgeführt werden. Damit sollen die Risiken für die betroffenen Personen analysiert werden - nach Bewertungskriterien wie Eintrittswahrscheinlichkeit des Risikos, Schwere des möglichen Schadens und Abhilfe- oder Sicherheitsmaßnahmen.
Bereits vor Monaten hat die österreichische Datenschutzbehörde dazu eine „Whitelist“ mit Anwendungen erlassen, für die man keine Folgenabschätzung braucht. Darunter fallen viele der alten Standard- und Musteranwendungen.
Seit Kurzem ist nun aber auch eine „Blacklist“ in Kraft, die darüber informiert, wann eine Folgenabschätzung erforderlich ist (DSFA-V, BGBl. II Nr. 278/2018).
„Die österreichische Blacklist gibt aber – anders als etwa die deutsche – keine konkreten Beispiele“, so Rechtsanwältin Anna Mertinz von der Kanzlei KWR. Wohl davon erfasst seien aber unter anderem Bonitätsdatenbanken, automatisiert erstellte Verhaltens- oder Marketing-Profile, Profiling im Finanz-, Versicherungs-, oder Gesundheitsbereich, Body-Cams zum Zweck der Beobachtung, Überwachung oder Kontrolle von Personen, Zugangskontrollen mit Fingerabdrücken oder der Betrieb von Bewertungsportalen.
Für bestimmte Verarbeitungen im Zusammenhang mit Beschäftigungsverhältnissen enthält die Blacklist allerdings eine Ausnahme: wenn darüber eine Betriebsvereinbarung geschlossen wurde. Das könne für Arbeitgeber hilfreich sein, sei allerdings kein Allheilmittel, weil es eben nicht für alles gilt, sagt Mertinz. Unternehmen empfiehlt sie, anhand ihres Verzeichnisses von Verarbeitungstätigkeiten zu prüfen, welche Datenverarbeitungen konkret unter die Whitelist und welche unter die Blacklist fallen. „Wenn Datenverarbeitungen unter die Blacklist fallen und keine Ausnahme greift, ist eine Datenschutz-Folgenabschätzung durchzuführen.“ Das aber am besten unverzüglich: Eine offizielle Toleranzfrist gibt es nicht, und die Geldstrafen, die bei Verstößen drohen, sind horrend.
Quelle: www.diepresse.com, 21.11.2018
![]() |
DSGVO-Compliance: Wie sicher sind Ihre Daten eigentlich beim Zugriff über Smartphone & Co.? |
Tags: DSGVO, Datenschutz-Grundverordnung, DSGVO-Compliance, Datenschutz, Geldstrafe