· 

DSFA white list - Verordnungsentwurf

Haben Sie sich schon mit der Frage beschäftigt, ob Verarbeitungsvorgänge, die in Ihrer Organisation durchgeführt werden, ein "hohes Risiko" für die Rechte und Freiheiten der natürlichen Personen bewirken können?

 

Sie müssen sich das wie einen "Domino-Effekt" vorstellen! Die Verarbeitung der personenbezogenen Daten verursacht bei den betroffenen Personen grundsätzlich ein Risiko. Doch was geschieht konkret, wenn es zu einem Datenschutzvorfall komm? Haben Sie sich das schon überlegt?

 

Haben Sie schon "Datenschutz-Folgenabschätzungen" für risikoreiche Verarbeitungsvorgänge durchgeführt? Wissen Sie überhaupt, welche Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung erfordern?

 

Die Datenschutzbehörde hilft Ihnen dabei, Verarbeitungsvorgänge, die keine DSFA erforderlich machen, herauszufinden. Dies mit einem Entwurf einer Verordnung, in der derartige Verarbeitungsvorgänge definiert werden.

 

 

Nach Art 35 Abs 1 DSGVO erfordern unterschiedliche Szenarien eine sog. Datenschutz-Folgenabschätzung (DSFA), und zwar dann, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

 

 

Eine Datenschutz-Folgenabschätzung gemäß Art 35 Abs 1 DSGVO ist insbesondere in folgenden Fällen erforderlich:

  1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Die Datenschutzbehörde wird von der Öffnungsklausel des Art 35 Abs 5 DSGVO Gebrauch machen, und mittels einer Verordnung eine Liste von Verarbeitungsvorgängen festlegen, die keine DSFA erforderlich machen.

 

Der Entwurf der

 

 

Verordnung der Datenschutzbehörde über die Ausnahmen

von der Datenschutz-Folgenabschätzung (DSFA-AV)

 

ist von der Datenschutzbehörde versandt worden und liegt nun vor.

 

Folgende Verarbeitungsvorgänge sind derzeit im Entwurf enthalten:

 

 

 

DSFA-A01

Kundenverwaltung, Rechnungswesen, Logistik, Buchführung

DSFA-A02

Personalverwaltung für privatrechtliche und öffentlich-rechtliche Dienstverhältnisse

DSFA-A03

Mitgliederverwaltung

DSFA-A04

Kundenbetreuung und Marketing für eigene Zwecke

DSFA-A05

Sach- und Inventarverwaltung

DSFA-A06

Register, Evidenzen, Bücher

DSFA-A07

Zugriffsverwaltung für EDV-Systeme

DSFA-A08

Zutrittskontrollsysteme

DSFA-A09

 

Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)


 

a) Räumlicher Erfassungsbereich

 

 

Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Videoüberwachung darf räumlich nicht über die Liegenschaft hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter gemessen von der Grundstücksgrenze des überwachten Objekts.

Die Videoüberwachung darf überdies nicht an Orten betrieben werden, welche den höchstpersönlichen Lebensbereich von Personen darstellen.

 

 

b) Speicherdauer

 

 

Aufgenommene personenbezogene Daten sind vom Verantwortlichen spätestens nach 72 Stunden zu löschen, es sei denn eine längere Speicherdauer wurde in einem Gesetz, durch einen behördlichen Rechtsakt, in einer Betriebsvereinbarung oder mit Zustimmung der Personalvertretung ausdrücklich festgelegt.

 

 

c) Kennzeichnung

 

 

Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.

 

2. Zweck der Datenverarbeitung:

 

A. Einfamilienhaus samt Grundstück, eigene Wohnung

 

 

Bild- und Akustikverarbeitungen, welche dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden Liegenschaften, die ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, dienen. Voraussetzung ist die Einwilligung aller Nutzungsberechtigten.

 

 

B. Allgemein zugängliche Örtlichkeiten, die dem Hausrecht des Verantwortlichen unterliegen

 

 

Bild- und Akustikverarbeitungen, welche für den vorbeugenden Schutz von Personen oder Sachen an allgemein zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich sind und kein gelinderes geeignetes Mittel zur Verfügung steht. In Fällen, in denen Arbeitnehmervertretungen gesetzlich verpflichtend einzurichten sind, ist das Vorliegen einer gültigen Betriebsvereinbarung oder einer gültigen Zustimmung der Personalvertretung, welche die Durchführung der Videoüberwachung regeln, Voraussetzung.

 

Keine Anwendung findet diese Ausnahme auf Örtlichkeiten, welche aufgrund eines bestehenden Kontrahierungszwanges oder aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

DSFA-A10

Bild- und Akustikdatenverarbeitung in Echtzeit

 

DSFA-A11

Bild- und Akustikverarbeitungen zu Dokumentationszwecken

DSFA-A12

Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheker

 

Patientenverwaltung und Honorarabrechnung von einzelnen Ärzten, Zahnärzten und Dentisten sowie Patienten-/Klientenverwaltung und Honorarabrechnung anderer freiberuflich einzeln tätiger Gesundheitsdiensteanbieter und Apotheker.

DSFA-A13

Rechts- und Beratungsberufe

 

Datenverarbeitung von rechtsberatenden und unternehmensberatenden Berufen, wie einzelne Rechtsanwälte, Notare, Wirtschaftstreuhänder, Steuerberater und Unternehmensberater im Rahmen ihrer Berufsausübung.

DSFA-A14

Wissenschaftliche Forschung und Statistik

DSFA-A15

Unterstützungsbekundungen im Rahmen von Bürgerinitiativen

DSFA-A16

Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts

DSFA-A17

Öffentliche Abgabenverwaltung

DSFA-A18

Förderverwaltung

DSFA-A19

Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate

DSFA-A20

Aktenverwaltung (Büroautomation) und Verfahrensführung

DSFA-A21

Organisation von Veranstaltungen

 

 

.

Kommentar schreiben

Kommentare: 0