Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist

Am 9. November 2018 hat die österreichische Datenschutzbehörde eine Liste mit Verarbeitungsvorgängen veröffentlicht, welche in jedem Fall eine Datenschutz-Folgenabschätzung ("DSFA") erfordern. Nach der EU Datenschutz-Grundverordnung (DSGVO) muss der Verantwortliche eine DSFA durchführen, wenn bestimmte Voraussetzungen gemäß Art 35 erfüllt sind. Die sogenannte "Blacklist", die von den nationalen Datenschutzbehörden veröffentlicht wird, soll jene Szenarien näher konkretisieren, welche eine Verpflichtung zur Durchführung einer DSFA auslösen, wobei die Bestimmungen der DSGVO davon unberührt bleiben.

Die österreichische Blacklist beschränkt sich vorwiegend darauf, die in Art 35 bereits genannten Kriterien wiederzugeben, sodass weiterhin einige Graubereiche der Interpretation der einzelnen Verantwortlichen überlassen werden. Ein Verstoß gegen die Verpflichtung zur Durchführung einer DSFA kann mit Geldstrafen von bis zu EUR 10 Mio. oder 2% des gesamten weltweit erzielten Jahresumsatzes sanktioniert werden.

Im Einzelnen:

Nach der Blacklist muss eine DSFA beispielsweise für Datenverarbeitungen im Zusammenhang mit den folgenden Tätigkeiten durchgeführt werden:

  1. Führung von Bonitäts-Datenbank, AML- oder Anti-Betrugs-Datenbank, Verhaltens- und Marketing-Profile, Profiling für vereinfachte und automatisierte Entscheidungsfindungen im Finanz-, Versicherungs-, Gesundheits- oder Marketing-Sektor;
  2. einige spezifische Verarbeitungstätigkeiten zum Zwecke der Beobachtung, Überwachung oder Kontrolle natürlicher Personen (inklusive Body-Cams in öffentlichen und nicht-öffentlichen Bereichen);
  3. neuartige Technologien oder organisatorische Lösungen, welche die Abschätzung der Auswirkungen auf die betroffenen Personen und die gesellschaftlichen Folgen erschweren, insbesondere durch den Einsatz von künstlicher Intelligenz und die Verarbeitung biometrischer Daten (zB Zugangskontrollen durch eine Kombination von Fingerabdrücken und Gesichtserkennung);
  4. Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern durch die Anwendung von Algorithmen Entscheidungen getroffen werden können, welche die betroffene Person in erheblicher Weise beeinträchtigen (zB Scoring-Methoden zur Prognose des künftigen Verhaltens einer Person, Betrugsvermeidungs-Systeme in Online-Shops, welche über die angebotenen Zahlungsmethoden entscheiden etc);

oder wenn zumindest zwei der nachstehenden Kriterien erfüllt sind:

  1. umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art 9 DSGVO;
  2. umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
  3. Erfassung von Standortdaten im Sinne des Telekommunikationsgesetzes 2003;
  4. Verarbeitung von Daten schutzbedürftiger betroffener Personen (zB Arbeitnehmer, Patienten, unmündige Minderjährige etc);
  5. Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei der betroffenen Person erhoben wurden.

Im Zusammenhang mit Beschäftigungsverhältnissen bestehen Ausnahmen, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt.

Als wesentliche Änderung zur ursprünglichen Entwurfsversion der österreichischen Blacklist ist hervorzustreichen, dass Datenverarbeitungen im Falle von "gemeinsamen Verantwortlichen" im Sinne des Art 26 DSGVO nicht mehr automatisch der Verpflichtung zur Durchführung einer DSFA unterliegen.

Ausnahmen von der DSFA aufgrund der Whitelist

Anzumerken ist, dass die Blacklist keine Anwendung auf jene Datenverarbeitungen findet, welche von der sogenannten "Whitelist" erfasst sind. Diese Whitelist wurde von der österreichischen Datenschutzbehörde am 25. Mai 2018 veröffentlicht und bestimmt jene Verarbeitungstätigkeiten, welche unter bestimmten Voraussetzungen von der Durchführung einer DSFA ausgenommen sind. Dazu zählen beispielsweise die Personalverwaltung, Kundendienste und Marketing für eigene Zwecke, und Videoüberwachung.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.