Folgenabschätzung: Datenschutzbehörde veröffentlicht Blacklist

Die österreichische Datenschutzbehörde hat eine Liste mit Verarbeitungsvorgängen veröffentlicht, die in jedem Fall eine Datenschutz-Folgenabschätzung („DSFA“) erfordern.

Von Redaktion
18. November 2018

Nach der EU Datenschutz-Grundverordnung (DSGVO) muss der Verantwortliche eine DSFA durchführen, wenn bestimmte Voraussetzungen gemäß Art. 35 erfüllt sind. Die sogenannte „Blacklist“, die von den nationalen Datenschutzbehörden veröffentlicht wird, soll jene Szenarien näher konkretisieren, die eine Verpflichtung zur Durchführung einer DSFA auslösen, wobei die Bestimmungen der DSGVO davon unberührt bleiben.

Die österreichische Blacklist vom 9. November 2018 (vgl. Infobox) beschränkt sich vorwiegend darauf, die in Art. 35 bereits genannten Kriterien wiederzugeben, wie es in einer Aussendung der Kanzlei Wolf Theiss heißt. Dadurch werden weiterhin einige Graubereiche der Interpretation der einzelnen Verantwortlichen überlassen werden. Ein Verstoß gegen die Verpflichtung zur Durchführung einer DSFA kann mit Geldstrafen von bis zu 10 Mio. Euro oder 2% des gesamten weltweit erzielten Jahresumsatzes sanktioniert werden.

Nach der Blacklist muss eine DSFA beispielsweise für Datenverarbeitungen im Zusammenhang mit den folgenden Tätigkeiten durchgeführt werden:

Führung von Bonitäts-Datenbank, AML- oder Anti-Betrugs-Datenbank, Verhaltens- und Marketing-Profile, Profiling für vereinfachte und automatisierte Entscheidungsfindungen im Finanz-, Versicherungs-, Gesundheits- oder Marketing-Sektor;
einige spezifische Verarbeitungstätigkeiten zum Zwecke der Beobachtung, Überwachung oder Kontrolle natürlicher Personen (inklusive Body-Cams in öffentlichen und nicht-öffentlichen Bereichen);
neuartige Technologien oder organisatorische Lösungen, welche die Abschätzung der Auswirkungen auf die betroffenen Personen und die gesellschaftlichen Folgen erschweren, insbesondere durch den Einsatz von künstlicher Intelligenz und die Verarbeitung biometrischer Daten (z.B. Zugangskontrollen durch eine Kombination von Fingerabdrücken und Gesichtserkennung);
Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern durch die Anwendung von Algorithmen Entscheidungen getroffen werden können, welche die betroffene Person in erheblicher Weise beeinträchtigen (z.B. Scoring-Methoden zur Prognose des künftigen Verhaltens einer Person, Betrugsvermeidungs-Systeme in Online-Shops, die über die angebotenen Zahlungsmethoden entscheiden etc.);

oder wenn zumindest zwei der nachstehenden Kriterien erfüllt sind:

umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO;
umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
Erfassung von Standortdaten im Sinne des Telekommunikationsgesetzes 2003;
Verarbeitung von Daten schutzbedürftiger betroffener Personen (z.B. Arbeitnehmer, Patienten, unmündige Minderjährige etc.);
Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern diese für Zwecke erfolgen, für die nicht alle der zu verarbeitenden Daten direkt bei der betroffenen Person erhoben wurden.

Im Zusammenhang mit Beschäftigungsverhältnissen bestehen Ausnahmen, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt.

Als wesentliche Änderung zur ursprünglichen Entwurfsversion der österreichischen Blacklist ist hervorzuheben, dass Datenverarbeitungen im Falle von „gemeinsamen Verantwortlichen“ im Sinne des Art. 26 DSGVO nicht mehr automatisch der Verpflichtung zur Durchführung einer DSFA unterliegen.

Ausnahmen von der DSFA aufgrund der Whitelist

Anzumerken ist laut Wolf Theiss, dass die Blacklist keine Anwendung auf jene Datenverarbeitungen findet, die von der sogenannten „Whitelist“ erfasst sind. Diese Whitelist wurde von der österreichischen Datenschutzbehörde am 25. Mai 2018 veröffentlicht und bestimmt jene Verarbeitungstätigkeiten, welche unter bestimmten Voraussetzungen von der Durchführung einer DSFA ausgenommen sind. Dazu zählen beispielsweise die Personalverwaltung, Kundendienste und Marketing für eigene Zwecke, und Videoüberwachung.

Weblink

Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V)

(Quelle: Wolf Theiss)

Autoren

Redaktion

Die LexisNexis Österreich & Compliance Praxis-Redaktion versorgt Sie regelmäßig mit aktuellen News und Informationen aus der Compliance-Welt. Unser Ziel ist es, Ihre tägliche Arbeit bestmöglich zu ...

Folgenabschätzung: Datenschutzbehörde veröffentlicht Blacklist

Ausnahmen von der DSFA aufgrund der Whitelist

Weblink

Autoren

Redaktion

DSGVO: Datenschutzkonferenz veröffentlicht Bußgeldkonzept

EU erleichtert Austausch nicht personenbezogener Daten

OGH zur Löschung „sensibler Daten“ nach der DSGVO

Gilt nationales Datenschutzrecht auch für ausländische Gesellschaften?