GPA-djp
Gewerkschaft der Privatangestellten, Druck, Journalismus, Papier

Datenschutz-Folgenabschätzung: Risikoreiche Datenverarbeitungen benennen!

Jetzt bist du gefragt! Wir wollen typische Datenverarbeitungen mit hohem Risiko für die Persönlichkeitsrechte der Beschäftigten sammeln!

Risikoreiche Datenverarbeitungen benennen!

Die jetzt noch gültige Europäische Datenschutzrichtlinie feiert heuer ihren 21. Geburtstag. Gegründet wurde sie 1995 als das Internet noch in den Kinderschuhen steckte und Mark Zuckerberg, Gründer von Facebook, noch das College besuchte. Seit 24.05.2016 ist nun die EU- Datenschutzgrundverordnung (DSGVO) in Kraft und mit 25.05.2018 gültig.

Mit der DSGVO wird ein Rahmen für den europäischen Datenschutz vorgegeben. Die Ausgestaltung des Inhalts jedoch, obliegt nun einer starken Zivilgesellschaft und ihren Interessenvertretungen.

Datenschutz-Folgenabschätzung: Risikoreiche Datenverarbeitungen benennen!

Laut EU-Datenschutz-Grundverordnung wird es eine verpflichtende Datenschutz-Folgenabschätzung (Art 35) geben, und zwar bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Ein hohes Risiko ist laut Gesetzestext bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen gegeben, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und wenn eine umfangreiche Verarbeitung besonderer (sensibler) Datenkategorien vorgenommen wird. In diesen Fällen muss vorab eine Risikoeinschätzung durchgeführt und Abhilfemaßnahmen zum Schutz der Betroffenen festgelegt werden.

Mindestanforderung: die systematische Beschreibung der Anwendung inkl. Erforderlichkeit- und Verhältnismäßigkeitsprüfung und eine Risikobewertung und Abhilfemaßnahmen.

Jetzt bist du gefragt!
Wir wollen typische Datenverarbeitungen mit hohem Risiko für die Persönlichkeitsrechte der Beschäftigten sammeln, und in die Diskussion rund um die Umsetzung der EUDSGVO einbringen und versuchen, möglichst viel für die Arbeitnehmerrechte zu erreichen.

Welche Datenverarbeitungen im Unternehmen bergen solche Risiken, z.B. Krankenstandsauswertungen?

Wie könnte eine schwarze Liste von betrieblichen Datenverarbeitungen aussehen, die unbedingt eine Datenschutzfolgenabschätzung brauchen?

 

Privacy By Design - Best Practice wanted
Die EUDSGVO sieht weiters vor, dass Datenschutz auch durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umzusetzen ist (ART 25). Wir als GPA-DJP wollen uns daran beteiligen und suchen nach Möglichkeiten wie (vor allem im Betrieb) IT Systeme so aufgebaut werden können, so dass die Überwachungsmöglichkeiten minimiert werden. Hier zwei mögliche Beispiele:

1.) An sensiblen Stellen soll eine Videoüberwachung angebracht werden.
(Z.b. Server-Raum). Mit relativ wenig Aufwand kann kann die Software so gestaltet werden, dass alles was aufgezeichnet wird, mit Public-Key Verfahren  verschlüsselt wird, und die Aufzeichnungen damit nur noch mit gleichzeitiger Zustimmung von Betriebsrat und HR (die beide einen Teil des Schlüssels besitzen) angesehen werden kann.

2.) Privacy-Proxy und Privacy-SSO. In Firmennetzen wird sehr gerne Single-Sign-On benützt.  In vielen Systemen wird damit automatisch protokolliert wer bestimme Systeme benutzt hat, oft ist es aber gar nicht notwendig, dass alle Anwendungen über die UserInnen Bescheid wissen. Oft muss nur überprüft werden ob es sich um angemeldete BenutzerInnen handelt.  Durch die Bereitstellung einer entsprechenden Infrastruktur könnten mit wenig Aufwand bestehende Anwendungen deutlich besser anonymisiert werden.

Wenn du weitere Ideen hast wie:

Firmen-interne Anwendungen besser pseudonymisiert werden könnten,

an welchen Stellen wichtige Daten besser geschützt werden könnten oder
wo es bereits entsprechende vorbildliche Lösungen gibt,


dann würden wir uns freuen wenn du uns das mitteilen könntest!

 

Hier ist Platz für deinen Input

 

 

 

Artikel weiterempfehlen

Kommentar verfassen

Bitte loggen Sie sich ein!

Wenn Sie noch nicht registriert sind, können Sie die Erstanmeldung auf unserer Website selbst durchführen - Jetzt registrieren. 

Sollten Sie kein Mitglied einer Gewerkschaft sein, können Sie sich als InteressentIn registrieren. Diese Registrierung ist kostenlos. Sie brauchen lediglich Ihren Namen und eine E-Mail-Adresse anzugeben
Registrierung als Interessent.
 

Sollten beim Einsteigen Probleme entstehen, schreiben Sie uns bitte an i-media@gpa-djp.at. 

Bitte geben Sie Ihren Usernamen und Ihr Passwort ein.