Neues zum Datenschutz – Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Erstellt von Mag Peter MARTIN |
Business Law , Wirtschaftsrecht

Nach der Datenschutz-Grundverordnung (DS-GVO) muss für die Verarbeitung von Daten, die voraussichtlich ein hohes Risiko für die Betroffenen darstellen (zB die Verarbeitung von Gesundheitsdaten) eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden, so nicht eine Ausnahme vorliegt.

Art 35 DS-GVO regelt, wann eine Datenschutz-Folgenabschätzung (DS-FA) durchzuführen ist, dies insbesondere

  • wenn systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen,
  • bei umfangreicher Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder
  • bei systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Gemäß Art 35 Abs 4 und Abs 5 DSGVO kann die Datenschutzbehörde (DSB) jeweils eine Liste der Verarbeitungsvorgänge erstellen,

  • für die jedenfalls eine DS-FA durchzuführen ist (Black-List)
  • für die keine DS-FA durchzuführen ist (White-List).

Die DSB hat inzwischen zwei Verordnungen erlassen:

  • Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine DS-FA durchzuführen ist (DSFA-V) = Black-List
  • Verordnung der Datenschutzbehörde über die Ausnahmen von der DS-FA (DSFA-AV) = White-List

 

Zur Black-List (DSFA-V):
Eine DSFA ist durchzuführen bei

  • Führung von Bonitäts- und Anti-Betrugs-Datenbanken; Erstellen von Verhaltens- und Marketing-Profilen; Profiling für automatisierte Entscheidungsfindungen im Versicherungs-, Gesundheits-, Finanz- und Marketing-Sektor. 
  • ausdrücklich genannten Verarbeitungstätigkeiten zur Beobachtung, Überwachung oder Kontrolle von betroffenen Personen (zB Videoüberwachung öffentlicher Orte oder von Örtlichkeiten, die aufgrund des Kontrahierungszwanges oder des öffentlichen Interesses von jedermann betreten werden dürfen; Einsatz von Body Cams; etc)
  • Verarbeitungen von Daten mittels neuer Technologien oder organisatorischer Lösungen, insbesondere durch den Einsatz von künstlicher Intelligenz und die Verarbeitung biometrischer Daten.
  • Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern durch die Anwendung von Algorithmen Entscheidungen getroffen werden können, welche die betroffene Person in erheblicher Weise beeinträchtigen (zB Nutzwertanalysen zur Prognose des künftigen Verhaltens der Betroffenen).
  • Verarbeitungsvorgänge im höchstpersönlichen Bereich von Personen, auch wenn die Verarbeitung auf einer Einwilligung beruht.

Weiters ist eine DSFA durchzuführen, wenn zumindest zwei der nachfolgenden Kriterien erfüllt sind:

  • Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (sensible Daten),
  • Umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten,
  • Erfassung von Standortdaten im Sinne des Telekommunikationsgesetzes,
  • Verarbeitung von Daten schutzbedürftiger betroffener Personen (zB unmündige Minderjährige, Arbeitnehmer, psychisch Kranker, Asylwerber)
  • Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei der betroffenen Person erhoben wurden.

Beispiel:

Ein Großunternehmen, dass die Glaubensbekenntnisse der Angestellten speichert, wird eine DSFA durchzuführen haben, da die Kriterien

  • der umfangreichen Verarbeitung besonderer Datenkategorien und
  • die Verarbeitung von Daten schutzbedürftiger Personen

erfüllt sind.

 

Achtung: Die Black-List ist nicht anzuwenden auf Datenverarbeitungen, die von der DSFA-AV (White-List) erfasst sind und in Zusammenhang mit Beschäftigungsverhältnissen, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt. 

 

Zur White-List (DSFA-AV):
Die White-List ist angelehnt an die (vor der Datenschutzreform geltende) Standard- und Musterverordnung und enthält eine Aufzählung von Datenverarbeitungen, für die keine DSFA durchzuführen ist. Darunter sind Verarbeitungstätigkeiten im Bereich

  • Kundenverwaltung, Rechungswesen, Logistik und Buchführung
  • Personalverwaltung
  • Mitgliederverwaltung
  • Kundenbetreuung und Marketing für eigene Zwecke
  • Videoüberwachung privater Räumlichkeiten
  • Patienten- Klienten- Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken
  • Rechts- und Beratungsberufe