Datenschutz-News: Österreichische Datenschutzbehörde veröffentlicht „Black List“
Co-Autor:innen: Mag. Sabine Brunner, LLB.oec.; Mag. Rafael Linus Nagel
Wann ist eine Datenschutz-Folgenabschätzung zwingend durchzuführen?
Mit Geltungsbeginn der Datenschutz-Grundverordnung (DSGVO) haben Verantwortliche eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko für Rechte und Freiheiten natürlicher Personen zur Folge hat. Die DSGVO verpflichtet hierbei nationale Aufsichtsbehörden, eine Liste der Verarbeitungsvorgänge zu erstellen, für die eine DSFA (zwingend) durchzuführen ist.
Nunmehr – fast sechs Monate nach Geltungsbeginn der DSGVO – wurde per Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V) vom 09. November 2018 dieser Pflicht entsprochen. Die DSFA-V stellt das Pendant zu der mit 25. Mai 2018 in Kraft getretenen Verordnung über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV) dar (zur DSFA-AV und zur DSFA selbst siehe Blog-Beitrag).
In § 2 Abs 1 DSFA-V wird dabei festgelegt, dass jedenfalls bei jenen Datenverarbeitungen eine DSFA durchzuführen ist, bei denen
- die Verarbeitung unter den in der DSGVO genannten Bedingungen rechtmäßig erfolgt,
- keine Datenverarbeitung gemäß der Verordnung über die Ausnahmen von der DSFA vorliegt
und
- zumindest eines der in § 2 Abs 2 Z 1 bis 6 genannten Kriterien erfüllt ist und/oder
- zwei oder mehr der in § 2 Abs 3 Z 1 bis 5 genannten Kriterien erfüllt sind.
Um an dieser Stelle Missverständnissen vorzubeugen: Selbst wenn in der DSFA-V eine Datenverarbeitung nicht angeführt wird, bedeutet dies nicht, dass keine DSFA durchzuführen ist. Vielmehr trifft Verantwortliche dennoch die Pflicht, durch eine Vorabprüfung selbst einzuschätzen, ob die Verarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände und ihrer Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen aufweist und damit die Voraussetzungen des Artikel 35 Abs 1 DSGVO erfüllt.
***
Haben Sie in Ihrem Unternehmen bereits die Notwendigkeit zur Durchführung einer Datenschutz-Folgenabschätzung geprüft? Wir unterstützen Sie gerne in allen datenschutzrechtlichen Belangen – nähere Informationen finden Sie unter https://www.pwclegal.at/.