DSGVO: Das Risiko der Risikoabschätzung
Serie, 5. und letzter Teil. Vier Folgen lang ging es um vernünftige und berechtigte Argumente der europäischen Datenschutz-Grundverordnung. Heute um das Unvernünftige: weil die DSGVO über das Ziel hinausschießt.
Wie es früher war: Daten konnten schon immer verloren gehen, in falsche Hände geraten, gehackt werden. Dagegen sicherte man sich auf typisch österreichische Art ab, sagt Lukas Feiler, Spezialist für die Datenschutz-Grundverordnung (DSGVO) bei der Kanzlei Baker McKenzie. Man meldete einfach jede Datenverarbeitung der Datenschutzbehörde. Diese nahm eine Detailprüfung vor und erteilte eine Art Genehmigung. Risikobewertung und in weiterer Folge die Rechtmäßigkeit der Anwendung waren damit an die Datenschutzbehörde ausgelagert.
Jetzt kommt die DSGVO ins Spiel. Mit ihr verschwindet eben jene Rechtssicherheit. Die Unternehmen melden gar nichts mehr, im Gegenteil, sie müssen ganz allein beurteilen, wie hoch ihr Datenrisiko ist. Aber – und jetzt wird es kritisch – für diese Beurteilung stehen ihnen nur schwammige Vorgaben zur Verfügung. Anwalt Feiler: „Die neue Rechtslage sagt etwa ,in Fällen, in denen ein hohes Risiko gegeben ist‘. Was genau ein hohes Risiko ist, sagt sie nicht.“
Die Datenschutzbehörde versuchte zu helfen und definierte neun Risikokriterien. Treffen nur zwei davon zu, gilt eine Anwendung als risikobehaftet. Allerdings: „Diese neun Kriterien sind wieder schwammig formuliert.“
Die Folge: Um den angedrohten Strafen zu entgehen (siehe Teil 1 dieser Serie), müssen Unternehmen beachtlichen Aufwand zur Risikoabschätzung treiben. Dieser geht Hand in Hand mit hoher Personalbindung. Kleinbetriebe können das nicht stemmen. Feiler: „Sich hier zu 100 Prozent an die DSGVO zu halten, ist der sichere Weg zum Konkursrichter.“
Selten werden Anwälte so explizit: „Unternehmen sollten sich nicht fragen: Was muss ich tun, um alle Vorschriften zu erfüllen? Sondern: Wo droht mir das größte unternehmerische Risiko?“
Gerade KMU sollten sich genau ansehen, wo in der realen Welt Probleme mit ihren Daten entstehen könnten. Und sich nur auf jene Bereiche konzentrieren, in denen tatsächlich Interessen von Betroffenen beeinträchtigt werden könnten. Was auch heißt: Nur wo wirklich Schadenersatzklagen drohen, lohnt sich der gewaltige Aufwand der Risikoabschätzung.
Vernünftig ist es, solche Zwischenfälle präventiv zu verhindern. Was uns zu zwei wichtigen Begriffen führt: Die „Presse“-Serie zur
beschäftigt sich mit den Rechten, die Menschen ab 25. Mai an ihren personenbezogenen Daten haben (Teil 1), mit dem verpflichtenden Verzeichnis der Verarbeitungstätigkeiten (Teil 2), mit Big Data und Profiling (Teil 3), mit dem Datentransfer ins Ausland (Teil 4) und diese Woche mit der Risikoabschätzung (Teil 5). Alle Folgen sind nachzulesen auf: www.diepresse.com/karriere
II„Privacy by Design“bedeutet Datenschutz durch technische Gestaltung. Soll heißen: Bei der Entwicklung der Geschäftsprozesse den Datenschutz mitbedenken und technisch-organisatorische Schutzmaßnahmen einbauen. „Privacy by Default“bedeutet Datenschutz durch datenschutzfreundliche Voreinstellungen. Nutzer befürworten zwar den Schutz ihrer Privatsphäre, wollen aber wenig bis gar nichts dafür tun. Das tut der Ersteller für sie, indem er schon seine Werkseinstellungen datenschutzfreundlich gestaltet.
Noch eine Milchmädchenrechnung: Je weniger Daten und je kürzer man sie speichert, desto geringer ist das Risiko, dass ihnen etwas passiert. Weil in Zukunft das Melden eines erkannten Risikos an die Datenschutzbehörde wirkungslos bleibt. Früher erteilte sie dann ihren Sanktus – heute schubladisiert sie die Meldung und straft unter Umständen zu einem beliebigen späteren Zeitpunkt wegen Rechtswidrigkeit.