Kommentar: 5G und DSGVO

5G ist eine neue, schnellere Technologie, hat aber nur indirekt Einfluss auf die Art der Verarbeitung der Daten. [...]

Der Artikel von Frau Barbara Zechmeister zum Thema Datenschutz-Folgenabschätzung betreffend 5G in der Wiener Zeitung veranlasst mich, die völlig falschen juristischen Schlussfolgerungen zu widerlegen.

Der Gaskommentar von Frau Zechmeister beginnt wie folgt: „Die Kernaufgabe des neuen Mobilfunknetzes 5G ist es, personenbezogene Daten zu übermitteln, also zu verarbeiten“. Eigentlich sollte man einen Artikel, der mit einer Fehleinschätzung beginnt, sofort weglegen. Trotzdem hat mich die Formulierung veranlasst, über die Behauptung nachzudenken.

Richtig ist, dass es die Kernaufgabe JEDES Mobilfunknetzes ist, Daten zu übertragen. Ob es sich dabei um personenbezogene Daten handelt, muss im Einzelfall beurteilt werden. Die Formulierung, dass die Übertragung personenbezogener Daten zu den Kernaufgaben gehört, entspricht daher einer Fehlinterpretation.

Die Autorin begründet in ihrem Kommentar weiters, dass durch Einsatz von 5G der Datenschutz-Folgenabschätzung zusätzliche Bedeutung zukäme, da es sich um eine NEUE Technologie handelt (gemäß Art 35 Abs 1 DSGVO). Dies ist zumindest aus gesamtheitlicher Sicht ein Fehleinschätzung.

Die Technologie unterscheidet sich von der Vorgänger-Version im Wesentlichen durch die Geschwindigkeit – natürlich ändert sich dadurch auch die Technologie. 5G bringt also mehr Speed, deutlich kürzere Latenz und viel höhere Dichte von Geräten (nebenher auch ultra reliable Netze und Netzslides). Die Provider bieten zwar eine neue, schnellere Technologie, diese hat jedoch nur indirekt Einfluss auf die Art der Verarbeitung der Daten.

Was heißt das nun für die Datenschutz-Folgenabschätzung (DSFA)?

• Der Einsatz der schnelleren Übertragung hat nur einen Einfluss auf die Geschwindigkeit mit der die Daten ankommen. Sie hat aber prinzipiell keinen Einfluss auf die Art der Verarbeitungstätigkeiten.
• Die Applikationen bleiben die selben, es werden daher weder mehr, noch „sensiblere“ Daten übertragen, allerdings in kürzerer Zeit. Daraus verschärfte Anforderungen an die Datenschutz-Folgenabschätzung abzuleiten, entspricht einer Fehleinschätzung.
• Allerdings sind mit der größeren Geschwindigkeit nicht nur bestehende Dienste sondern auch ganz neue Applikationen möglich. Ein großer neuer Bereich auf Grund von Speed und niedriger Latenz liegt in der online Auswertung und Verknüpfung von Daten aus Verschiedenen Prozessen die zeitgleich passieren. Das ist sowohl für Plattformen relevant, als auch für die Industrie.
• Die Voraussetzungen für die Erfordernis einer DSFA haben sich jedoch durch den Umstieg auf 5G nicht geändert. Die DSFA betrifft auch nicht die Betreiber der Mobilfunknetze, sondern jene Unternehmen, die diese Technologie einsetzen um personenbezogene Daten zu verarbeiten, übertragen etc.
• Diese muss jedenfalls bei denjenigen liegen, die Verarbeitungstätigkeiten bauen und anbieten und nicht bei denen die nur die Trägerdienste ermöglichen.

Das Risiko ist tatsächlich hoch

Die Autorin zeichnet ein Szenario, das alle Menschen betrifft, die sich im Netzbereich in ganz Österreich aufhalten. No na. Dazu werden von der Autorin folgende Schritte der DSFA skizziert:

1. Auflistung der Betroffenenkategorien mit allen denkbaren Szenarien (das wird wohl etwas schwierig werden)…
2. Erarbeitung eigener Maßnahmen für jedes denkbare Denkszenario
3. Bewertung aller Szenarien inkl. Gegenmaßnahmen
4. Umsetzung der Maßnahmen zur Erreichung des minimalsten Restrisikos.

Diese 4 Schritte mögen vielleicht in der Theorie sinnvoll erscheinen, sind jedoch keinesfalls praxistauglich. Sie zeigen, dass die Autorin vermutlich noch nie eine DSFA in der Praxis umgesetzt hat. Bewährt hat sich vielmehr folgende Vorgangsweise:

• In der Praxis beginnt jede DSFA mit der Risikoanalyse. Konkret geht es dabei um die Auflistung der wichtigsten Gefährdungs-Situationen. Das beginnt beim einfachen Verlust eines Notebooks und endet bei einem Hackerangriff mit Datenklau oder Ransomware-Attacken.
• Diese Risiken werden systematisch kategorisiert und bewertet. Bewährt hat sich in der Praxis folgende Parameter für die Bewertung heranzuziehen:
• Eintrittswahrscheinlichkeit (heißt konkret: bei wie vielen Fällen tritt dieses Risiko vermutlich 1x ein?)
• Anzahl der Betroffenen (dient als Multiplikatoreffekt)
• Gewichtung des Risikos (subjektive Gewichtung des Risikos in Abhängigkeit von der Tragweite der Auswirkungen)
• Diese 3 Parameter ergeben einen fiktiven Risiko-Wert. Dieser Wert fällt in eine bestimmte (vorher definierte) Risikoklasse: vernachlässigbar, mittel, hoch, sehr hoch.
• Erst wenn die Risikoklasse feststeht, werden entsprechend dieser die TOMs festgelegt und anschließend umgesetzt.

Diese Vorgangsweise hat sich in der Praxis bewährt. Fest steht, dass diese Vorgangsweise in der Lage ist, gegenüber der Aufsichtsbehörde nachzuweisen, dass eine DSFA gemacht wurde und dass dem Datenschutz der angemessene Respekt eingeräumt wird. Einige persönliche Praxisbeispiele von Data Breach Vorfällen, die bei der Datenschutzbehörde angezeigt wurden, beweisen, dass sich diese Vorgangsweise in der Praxis bewährt. Der Erfolg gibt uns daher recht.

*Wolfgang Fiala ist Datenschutz-Ziviltechniker.