· 

Datenschutz-Folgenabschätzung in Österreich

Datenschutz-Folgenabschätzungen (Art 35 DSGVO) und die Besonderheiten in Österreich

 

I. Datenschutz-Folgenabschätzung-Ausnahmeverordnung („weiße Liste“; „white list“; Art 35 Abs 5 DSGVO; fakultativ)

 

Seit 25.05.2018 hat die Datenschutzbehörde die Datenschutz-Folgenabschätzung-Ausnahmeverordnung (DSFA-AV) veröffentlicht, und diese ist bereits in Kraft.

 

Diese regelt, welche Verarbeitungstätigkeiten nach Ansicht der DSB keine DSFA benötigen.

 

 

 

a. die „white list“ (weiße Liste der ausgenommenen Verarbeitungsvorgänge) 

§ 1 Abs 1 DSFA-AV normiert, dass die in einer Anlage zur DSFA-AV angeführten Verarbeitungstätigkeiten (die DSFA-AV spricht von „Datenverarbeitungen“) von der Verpflichtung zur DSFA ausgenommen sind.

 

Diese sind, wobei der Anhang noch weitere Präzisierungen beinhaltet:

 

DSFA-A01

Kundenverwaltung, Rechnungswesen, Logistik, Buchführung

DSFA-A02

Personalverwaltung

DSFA-A03

Mitgliederverwaltung

DSFA-A04

Kundenbetreuung und Marketing für eigene Zwecke

DSFA-A05

Sach- und Inventarverwaltung

DSFA-A06

Register, Evidenzen, Bücher

DSFA-A07

Zugriffsverwaltung für EDV-Systeme

DSFA-A08

Zutrittskontrollsysteme

DSFA-A09

Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)

DSFA-A10

Bild- und Akustikdatenverarbeitung in Echtzeit

DSFA-A11

Bild- und Akustikverarbeitungen zu Dokumentationszwecken

DSFA-A12

Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken

DSFA-A13

Rechts- und Beratungsberufe

DSFA-A14

Archivierung, wissenschaftliche Forschung und Statistik

DSFA-A15

Unterstützungsbekundungen

DSFA-A16

Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts

DSFA-A17

Öffentliche Abgabenverwaltung

DSFA-A18

Förderverwaltung

DSFA-A19

Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate

DSFA-A20

Aktenverwaltung (Büroautomation) und Verfahrensführung

DSFA-A21

Organisation von Veranstaltungen

DSFA-A22

Preise und Ehrungen

 

 

 

b. Verweis auf bereits registrierte Verarbeitungsvorgänge, die der Vorabkontrolle gem. Art 18 Abs. 2 oder § 50c Abs 1 DSG 2000 unterlagen.

 

§ 1 Abs 2 DSFA-AV nimmt auch jene Verarbeitungsvorgänge aus, die bei der Datenschutzbehörde im Rahmen einer Vorabkontrolle zu registrieren waren, daher alle registrierten Verarbeitungen, die

 

1. sensible Daten enthalten oder

 

2. strafrechtlich relevante Daten enthalten oder

 

3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben oder

 

4. in Form eines Informationsverbundsystems durchgeführt werden sollen,

 

5. Videoüberwachungen (gem. § 50c DSG 2000).

 

 

 

Voraussetzung ist, dass diese Verarbeitungsvorgänge vom Verantwortlichen nicht wesentlich geändert wurden, und bereits vor Geltung der DSGVO den Vorgaben der DSGVO entsprochen haben.

 

 

 

c. Verweis auf Verarbeitungsvorgänge, die nicht meldepflichtig waren

 

Die Meldepflicht des DSG 2000 entfiel gem. § 17 Abs 2 Z 6 DSG bei sog. „Standardanwendungen“. Diese Standardanwendungen wurden in einer Verordnung des Bundeskanzleramtes, der sog. Standard- und Musterverordnung 2004 (StMV 2004) festgelegt, die immer wieder ergänzt wurde.

 

Die Beschreibung der einzelnen Verarbeitungsvorgänge in der StMV 2004 ist sehr detailliert, und die „Freistellung“ iSd DSFA-AV ist mE nur dann anwendbar, wenn die Verarbeitungen, die ein Verantwortlicher für die genannten Zwecke durchführt, nicht über die genannten Datenarten und/oder Empfängerkategorien sowie die festgelegten Speicherfristen hinausgeht.

 

Die StMV 2004 umfasst folgende Verarbeitungsvorgänge:

 

SA001

Rechnungswesen und Logistik

SA002

Personalverwaltung für privatrechtliche Dienstverhältnisse

SA003

Mitgliederverwaltung

SA004

Abgabenverwaltung der Gemeinden und Gemeindeverbände

SA005

Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts

SA006

Geschworenen- und Schöffenverzeichnisse

SA007

Verwaltung von Benutzerkennzeichen

SA008

Personenstandsbücher

SA008a

Personenstandsregister

SA009

Staatsbürgerschaftsevidenz

SA009a

Staatsbürgerschaftsregister

SA010

Melderegister

SA011

Wählerevidenz, Wählerverzeichnisse und Stimmlisten

SA012

Europa-Wählerevidenz und Wählerverzeichnisse

SA013

Personalverwaltung des Bundes und der bundesnahen Rechtsträger

SA014

Inventarverwaltung der öffentlichen Auftraggeber

SA015

Personalverwaltung der Länder, Gemeinden und Gemeindeverbände

SA016

Mitglieder- und Funktionärsdatenverwaltung der Wirtschaftskammerorganisation

SA017

Verwaltung von Entsendungsdaten der Wirtschaftskammerorganisation

SA018

Wirtschaftskammerorganisation: Betreuung von Mitgliedern, künftigen Mitgliedern und Interessenten im In- und Ausland

SA019

Präsenz- und Zivildienstbefreiungen von Mitarbeitern in Mitgliedsunternehmen der Wirtschaftskammer

SA020

Lehrstellenbörse der Wirtschaftskammer

SA021

Statistik der Wirtschaftskammerorganisation

SA022

Kundenbetreuung und Marketing für eigene Zwecke

SA023

KFZ-Zulassung durch Behörden

SA024

Patienten-/Klientenverwaltung und Honorarabrechnung der Gesundheitsdiensteanbieter

SA025

Evidenzen der Schüler und Studierenden sowie Evidenz über den Aufwand für Bildungseinrichtungen

SA026

Verrechnung ärztlicher Verschreibungen für Rechnung begünstigter Bezieher durch Apotheken

SA027

Verrechnung ärztlich verordneter Heilbehelfe und Hilfsmittel durch Gewerbetreibende

SA028

Verrechnung ärztlich verordneter Behandlungen und diagnostischer Leistungen durch freiberuflich tätige Angehörige der medizinisch technischen Dienste, klinischen Psychologen und Psychotherapeuten

SA029

Aktenverwaltung (Büroautomation)

SA030

Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate

SA031

Vereinsregister

SA032

Videoüberwachung

SA033

Datenübermittlung im Konzern

SA034

Unterstützungsbekundungen einer Europäischen Bürgerinitiative

SA035

Transparenz von Medienkooperationen sowie von Werbeaufträgen und Förderungen an Medieninhaber eines periodischen Mediums

SA036

Hinweisgebersysteme gemäß § 99g BWG

SA037

Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

 

 

 

 

 

II. Datenschutz-Folgenabschätzung-Verordnung („Schwarze Liste“; „black list“; Art 35 Abs 4 DSGVO; obligatorisch)

 

Art 35 Abs 4 DSGVO legt fest, dass die Aufsichtsbehörden bestimmte Verarbeitungsvorgänge zu definieren haben, für welche eine DSFA jedenfalls erforderlich ist. Diese Listen waren im Entwurf dem Europäischen Datenschutzausschuss vorzulegen, und dieser hat nun zu den bisher 22 vorgelegten Schwarzen Listen Stellung genommen.

 

Die „Schwarze Liste“ ist u.a. von der Wirtschaftskammer Österreich (im Entwurfstadium) veröffentlicht worden, und umfasst

 

1. Verarbeitungen, die eine Bewertung oder Einstufung natürlicher Personen – einschließlich des Erstellens von Profilen und Prognosen – umfassen für Zwecke, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen und negative rechtliche, physische oder finanzielle Auswirkungen haben können. 

 

 

 

2. Verarbeitungen von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von natürlichen Personen dienen und von Dritten dazu genutzt werden können, automatisierte Entscheidungsfindungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen.

 

 

 

3. Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von Betroffenen – insbesondere mittels Bild- und damit verbundenen Akustikdatenverarbeitungen – zum Ziel haben und 

 

a)  über Netzwerke erfasste Daten betreffen oder auf eine systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche abzielen, 

 

b) öffentliche Orte, die gemäß § 27 Abs. 2 Sicherheitspolizeigesetz – SPG, BGBl. Nr. 566/1991, von einem nicht von vornherein bestimmten Personenkreis betreten werden können, erfassen, 

 

c) Straßen mit öffentlichem Verkehr, die gemäß § 1 Straßenverkehrsordnung 1960 (StVO 1960), BGBl. Nr. 159/1960, von jedermann unter den gleichen Bedingungen benützt werden können, erfassen, 

 

d) Örtlichkeiten, welche aufgrund eines Kontrahierungszwanges von jedermann betreten werden dürfen, erfassen,  e) Örtlichkeiten, welche aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen, erfassen,

 

f) unter Einsatz von mobilen Kameras zum Zweck der Vorbeugung oder Abwehr gefährlicher Angriffe im öffentlichen und nichtöffentlichen Raum erfolgen, 

 

g) Bild- und Akustikverarbeitungen umfassen, die dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden Liegenschaften dienen, die nicht ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, oder 

 

h) Kirchen, Gebetshäuser und andere Einrichtungen, die für die Religionsausübung genutzt werden, erfassen. 

 

 

 

4. Verarbeitung von Daten unter Nutzung oder Anwendung neuer bzw. neuartiger Technologien oder organisatorischer Lösungen, welche die Abschätzung der Auswirkungen auf die Betroffenen und die gesellschaftlichen Folgen erschweren, insbesondere durch den Einsatz von künstlicher Intelligenz und die Verarbeitung biometrischer Daten, sofern die Verarbeitung nicht die bloße Echtzeitwiedergabe von Gesichtsbildern betrifft. 

 

 

 

5. Verarbeitungsvorgänge von gemäß Art. 26 DSGVO gemeinsam für die Verarbeitung Verantwortlichen. 

 

 

 

6. Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen im Rahmen einer Datenverarbeitung, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, die über die von einem Betroffenen üblicherweise zu erwartenden Verarbeitungen hinausgehen, sofern 

 

a) diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt beim Betroffenen erhoben wurden, oder 

 

b) durch die Anwendung von Algorithmen Entscheidungen getroffen werden können, welche die betroffenen Personen in erheblicher Weise beeinträchtigen. 

 

 

 

7. Verarbeitungsvorgänge im höchstpersönlichen Bereich von Personen, auch wenn die Verarbeitung auf einer Einwilligung beruht

 

 

 

Werden Daten in einem Beschäftigungsverhältnis verarbeitet, ist eine DSFA auch bei Verarbeitungen, die eines dieser Kriterien erfüllen, nicht verpflichtend, wenn es eine Betriebsvereinbarung gibt oder eine Zustimmung der Personalvertretung vorliegt.

 

 

 

Die DSFA-V sieht auch vor, dass eine DSFA durchzuführen ist, wenn ein Verarbeitungsvorgang zwei oder mehrere der folgenden Voraussetzungen erfüllt:

 

1. Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, 

 

2. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO, 

 

3. Erfassung von Standortdaten im Sinne des § 92 Abs. 3 Z 6 Telekommunikationsgesetz 2003 – TKG 2003, BGBl. I. Nr. 70/2003, die in einem Kommunikationsnetz oder von einem Kommunikationsdienst verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben, oder 

 

4. die Verarbeitung von Daten zu schutzbedürftigen Betroffenen, wie unmündigen Minderjährigen, Arbeitnehmern, Patienten, psychisch Kranken und Asylwerbern. 

 

 

 

III. Stellungnahme des Europäischen Datenschutz Ausschusses

 

Der EDSA hat zum Entwurf der DSFA-V eine Stellungnahme abgegeben und einige Punkte angemerkt, die die DSB binnen 14 Tagen (ab 25.09.2018) ändern sollte, nämlich:

 

Einfügung eines Hinweises, dass die Schwarze Liste nicht abschließend ist.

 

Einfügung eines Hinweises auf die Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“. (Art 29 DS-Gruppe, WP 248 rev 01 4.10.2017)

 

Die Verarbeitung von Daten, die durch andere erhoben werden, allein ist nicht ausreichend, um ein hohes Risiko gem. Art 35 darzustellen, sodass zumindest ein weiteres Kriterium hinzukommen muss.

 

Der EDSA fordert die DSB auf, die Verarbeitung durch gemeinsame Verantwortliche iSd Art 26 DSGVO von der Schwarzen Liste zu streichen.

 

 

 

Es bleibt daher abzuwarten, wie die DSB nun reagiert, und die Schwarze Liste anpasst.