DSGVO - Dein Input ist gefragt!

Art.35 Datenschutz-Folgenabschätzung und Art.25 Privacy by Design
Die jetzt noch gültige Europäische Datenschutzrichtlinie feiert heuer ihren 21. Geburtstag. Gegründet wurde sie 1995 als das Internet noch in den Kinderschuhen steckte und Mark Zuckerberg, Gründer von Facebook, noch das College besuchte. Seit 24.05.2016 ist nun die EU- Datenschutzgrundverordnung in Kraft und mit 25.05.2018 gültig.
Mit der DSGVO wird nun somit ein Rahmen für den europäischen Datenschutz vorgegeben, die Ausgestaltung des Inhalts obliegt aber einer starken Zivilgesellschaft und ihren Interessenvertretungen.
www.gpa-djp.at/IT
Weiterführende Infos

* 1. Art.35 DSGVO: Datenschutz-Folgenabschätzung risikoreiche Datenverarbeitungen benennen!
Laut EU-Datenschutz-Grundverordnung wird es eine verpflichtende Datenschutz-Folgenabschätzung (Art 35) geben, und zwar bei Verarbeitungsvorgängen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. 

Ein hohes Risiko ist laut Gesetzestext bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen gegeben, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und wenn eine umfangreiche Verarbeitung besonderer (sensibler) Datenkategorien vorgenommen wird. In diesen Fällen muss vorab eine Risikoeinschätzung durchgeführt und Abhilfemaßnahmen zum Schutz der Betroffenen festgelegt werden.
Mindestanforderung: die systematische Beschreibung der Anwendung inkl. Erforderlichkeit- und Verhältnismäßigkeitsprüfung und eine Risikobewertung und Abhilfemaßnahmen.

Wir wollen typische Datenverarbeitungen mit hohem Risiko für die Persönlichkeitsrechte der Beschäftigten sammeln, und in die Diskussion rund um die Umsetzung der EUDSGVO einbringen und versuchen, möglichst viel für die Arbeitnehmerrechte zu erreichen. 

Zum Beispiel:
Welche Datenverarbeitungen im Unternehmen bergen solche Risiken, z.B. Krankenstandsauswertungen?
Wie könnte eine schwarze Liste von betrieblichen Datenverarbeitungen aussehen, die unbedingt eine Datenschutzfolgenabschätzung brauchen?

* 2. Art. 25 DSGVO:Privacy By Design - Best Practice wanted

Die EUDSGVO sieht weiters vor, dass Datenschutz auch durch Technikgestaltung und datenschutzfreundliche Voreinstellungen umzusetzen ist (ART 25). Wir als GPA-DJP wollen uns daran beteiligen und suchen nach Möglichkeiten wie (vor allem im Betrieb) IT Systeme so aufgebaut werden können, so dass die Überwachungsmöglichkeiten minimiert werden.

Zum Beispiel:
Privacy-Proxy und Privacy-SSO. In Firmennetzen wird sehr gerne Single-Sign-On benützt.  In vielen Systemen wird damit automatisch protokolliert wer bestimme Systeme benutzt hat, oft ist es aber gar nicht notwendig, dass alle Anwendungen über die UserInnen Bescheid wissen. Oft muss nur überprüft werden ob es sich um angemeldete BenutzerInnen handelt.  Durch die Bereitstellung einer entsprechenden Infrastruktur könnten mit wenig Aufwand bestehende Anwendungen deutlich besser anonymisiert werden.

Weitere Ideen wie Firmen-interne Anwendungen besser pseudonymisiert werden könnten? Gibt es bereits vorbildliche Lösungen bei dir im Betrieb?

T