Die Kernaufgabe des neuen Mobilfunknetzes 5G ist es, personenbezogene Daten zu übermitteln, also zu verarbeiten. Deshalb ist in diesem Zusammenhang Artikel 35 der Datenschutz-Grundverordnung (DSGVO) relevant, der sich mit der Datenschutz-Folgenabschätzung befasst: Hat eine Form der Verarbeitung, insbesondere bei der Verwendung neuer Technologien, aufgrund der Art, des Umfanges, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.
Das Risiko isttatsächlich hoch
Auf 5G treffen all diese Punkte zu: Der neue Mobilfunkstandard soll im Endausbau möglicherweise in ganz Österreich flächendeckend betrieben werden und wird alle Menschen betreffen, die sich im Netzbereich aufhalten. Das Risiko ist tatsächlich hoch, da es um ganz außergewöhnliche - weil neue und noch nie in dieser Form da gewesene und in ihren Langzeitauswirkungen unbekannte - Datenanwendungen geht. Die Folgenabschätzung sollte bei 5G bereits im Planungsstadium des Vorhabens, also bevor man überhaupt mit der Umsetzung beginnt, durchgeführt werden, was ja auch aus unternehmerischer und wirtschaftlicher Sicht sinnvoll und notwendig erscheint, und zwar in vier Schritten:
Schritt 1: Auflistung aus der Perspektive betroffener Personen mit sämtlichen denkbaren Szenarien in alle Richtungen, was schlimmstenfalls passieren kann.
Schritt 2: Erarbeitung eigener Maßnahmen für jedes konkrete Denkszenario, wie Risiken eingedämmt werden können, sprich: an welchen Schrauben zu drehen ist.
Schritt 3: Übereinanderlegen und Bewertung aller Szenarien samt entsprechender Gegenmaßnahmen: Wie hoch beziehungsweise gefährlich sind die verbleibenden Restrisiken?
Schritt 4: Umsetzung der Maßnahmen zur Erreichung des minimalsten vertretbaren Restrisikos.
Empfindliche Strafen bei Verstößen gegen die DSGVO
Zwingender Bestandteil einer jeden Datenschutz-Folgenabschätzung ist daher auch eine systematische Beschreibung der geplanten Verarbeitungsvorgänge (für den Laien verständlich ausgedrückt: worum konkret es sich handelt und wie es genau funktioniert) sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird (höchstwahrscheinlich in schriftlicher Form), dass die DSGVO eingehalten wird. Den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener muss dabei Rechnung getragen werden, und zwar indem man sich ernsthaft mit erhobenen Bedenken befasst.
Das heißt: Jeder Verantwortliche, der ein 5G-Netz betreiben möchte, sollte eine Datenschutz-Folgenabschätzung durchlaufen, abgeschlossen und griffbereit zur Verfügung haben. Artikel 83 DSGVO legt nämlich außerdem fest, dass bei Verstößen gegen Artikel 35 dem Verantwortlichen Strafen von bis zu 10 Millionen Euro oder bis zu 2 Prozent des gesamten weltweit erzielten Jahresumsatzes drohen.
Die Offenlegung einer Datenschutz-Folgenabschätzung steht jedem Verantwortlichen frei. Im Idealfall würde eine solche Veröffentlichung auf der einen Seite Verständnis und Akzeptanz für 5G-Netzanwender bringen und auf der anderen Seite für Personen, die sich im Wirkungsbereich des 5G-Netzes aufhalten, Aufklärung und Information zu Skepsis und eventuellen Ängsten. Da die Ergebnisse einer Datenschutz-Folgenabschätzung regelmäßig zu evaluieren sind, besteht auch immer die Möglichkeit, sprichwörtlich manche Schrauben nachzujustieren, um den Eingriff in die Rechte und Freiheiten so gering als möglich zu halten - dies im Interesse aller.
Dieselben Überlegungen könnten übrigens auch zu den Smart-Metern der Stromanbieter angestellt werden.
Warum Artikel 35 der Datenschutz-Grundverordnung
der EU beim neuen Standard 5G eine wichtige Rolle spielt.
Zur Autorin~ Barbara Zechmeister
ist Juristin mit Spezialisierung auf Datenschutzrecht und unterstützt Kunden im öffentlichen und privaten Sektor bei der Implementierung und Umsetzung der Datenschutz-Grundverordnung. Sie war auch im Arbeitsrecht tätig.