Verpflichtung zur Datenschutz-Folgenabschätzung

Die DSGVO sieht bei Verarbeitungen von personenbezogenen Daten mit einem hohen Risiko für die Rechte und Freiheiten des Betroffenen eine verpflichtende, vorab durchzuführende, Datenschutz-Folgenabschätzung durch den Verantwortlichen vor.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Art 35 DSGVO

Im Kern geht es also darum, für bestimmte (hoch riskante) Formen von Verarbeitungen vorab einzuschätzen, welche möglichen Folgen für Betroffene entstehen können.

Verordnungen zur Datenschutz-Folgenabschätzung

Laut DSGVO hat die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge zu erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, und diese zu veröffentlichen und mit anderen Aufsichtsbehörden abzustimmen.

Die österreichische Datenschutzbehörde hat bereits im Mai 2018 eine Verordnung für Ausnahmen der Datenschutzfolgenabschätzung (DSFA-AV), eine sogen White-List, verlautbart. Und hat nun in den Sommermonaten, einen Entwurf für eine Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V), die sogen Black-List, zur Begutachtung nachgereicht. Seit der Aussendung ist nicht viel passiert, dennoch lohnt sich ein Blick auf die in der Blacklist aufgezählten Verarbeitungen, bei denen die Datenschutzbehörde von einem hohen Risiko für Betroffene ausgeht.

Verpflichtende Datenschutz-Folgenabschätzung

Grundsätzlich unterscheidet die Verordnung zwischen Verarbeitungsvorgängen bei denen schon beim Vorliegen eines Kriteriums eine Datenschutz-Folgenabschätzung durchzuführen ist und Verarbeitungen bei denen mindestens zwei Kriterien erfüllt sein müssen. Eine weiterführende, detaillierte Auseinandersetzung mit den einzelnen Kriterien würde den Rahmen des Newsletters sprengen. Ich habe aber nachfolgend, drei für die betriebliche Praxis relevante Verarbeitungen ausgewählt und in Stichworten kurz zusammengefasst:

  • Verarbeitungen, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der betroffenen Person bewerten und negative rechtliche, physische oder finanzielle Auswirkungen haben können.
  • Netzwerk-basierte Bild-/Tonverarbeitung, welche die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel oder auf eine systematische, umfangreiche
    Überwachung öffentlich zugänglicher Bereiche abzielen bzw öffentliche Örtlichkeiten oder Straßen erfassen.
  • Verarbeitungen, bei denen Daten aus mehreren, von verschiedenen Verantwortlichen durchgeführten Verarbeitungszwecken zusammengeführt oder abgeglichen werden und die über die von einem Betroffenen üblicherweise zu erwartenden Verarbeitungen hinausgehen, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt beim
    Betroffenen erhoben wurden, oder automatisierte Entscheidungen getroffen werden können, welche die betroffenen Personen in erheblicher Weise beeinträchtigen.
  • Verarbeitung von besonderen Kategorien personenbezogener Daten bei schutzbedürftigen Betroffenen, wie unmündigen Minderjährigen, Arbeitnehmern, Patienten, psychisch Kranken und Asylwerbern.

Ausnahmen bestehen hier allenfalls, im Zusammenhang mit Beschäftigungsverhältnissen, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt.

Die oa Ausführungen geben die Verordnung in Kurzfassung wieder. Zu beachten ist ferner, dass nach den mir vorliegenden Informationen die Verordnung noch nicht in Kraft getreten ist, dh. der endgültige Regelungsgehalt der Verordnung ist noch offen. In Hinblick auf die Notwendigkeit und Vorbereitung eigener, erforderlicher Datenschutz-Folgenabschätzungen liefert der Entwurf aber eine wertvolle Orientierung für Verantwortliche.

Links

Save the Date: 3. OÖ-Datenschutztag, 23.10.2018.

Am Dienstag, den 23. Oktober 2018, 13 – 17 Uhr, findet der OÖ-Datenschutztag bereits zu dritten Mal in der Welser Villa Muthesius statt. 4 Expertinnen und Experten von der Datenschutzbehörde, Datenschutzkanzleien und der Wirtschaft sprechen über erste Erfahrungen, Herausforderungen und Best-Practice-Beispiele bei der Umsetzung der DSGVO in die betriebliche Praxis.

Für Schnellentschlossene gibt es einen Frühbucher-Bonus bis zum 18. September 2018.

Programm und Anmeldung unter www.datenschutzbeauftragter.co.at.