Datenschutz-Folgenabschätzung (DSFA)

Für Österreich ist diese Art der Abschätzung von Folgen einer Verarbeitung / Datenanwendung neu.

 

Es ist zu prüfen, ob und in welchem Ausmaß eine (beabsichtige) Verarbeitung von personenbezogenen Daten Auswirkungen und Risken für die Rechte und Freiheiten von natürlichen Personen zur Folge hat.

hohes Risiko?

Ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ist in folgenden Fällen jedenfalls anzunehmen:

 

  1. es erfolgt eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling), welche als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen.
  2. umfangreiche Verarbeitung von Daten besonderer Kategorien (Art 9 Daten) oder strafrechtlich relevanten Daten (Art 10 Daten)
  3. Durchführung einer systematischen umfangreichen Überwachung öffentlicher Bereiche (z.B. große Anzahl von Videokameras)
  4. die Verarbeitung findet sich auf einer "schwarzen Liste" der Aufsichtsbehörde

Mindestinhalt

Eine PIA hat einen bestimmten Mindestinhalt, der in Art. 35 Abs 7 DSGVO definiert ist.

 

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Bestimmungen der DSGVO eingehalten werden.

 

 

 

Konsultation

Stellt sich im Rahmen der PIA heraus, dass ein "hohes Risiko" besteht, so ist vor Beginn der Datenverarbeitung die Aufsichtsbehörde zu konsultieren.

 

Dabei handelt es sich ausschließlich um eine "Meldung" und keinen "Antrag auf Genehmigung". Am Ende des Konsultationsprozesses steht allenfalls eine Empfehlung der Aufsichtsbehörde, jedoch keine Genehmigung. Es ist daher nicht nötig, dass eine Reaktion der Behörde abgewartet wird, um mit der Verarbeitung zu beginnen.

 

Die Behörde spricht innerhalb von 8 Wochen eine Empfehlung aus, wenn sie der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit der DSVGO seht, insbes. weil keine ausreichende Risikoermittlung erfolgte oder das Risiko nicht ausreichend eingedämmt hat.

 

Die (nationale) Aufsichtsbehörde kann auch tätig werden, und z.B. weitere Informationen einfordern, oder selbständig Untersuchungen anstellen, Zugang zu den personenbezogenen Daten und Informationen einfordern und sich auch Zugang zu den Geschäftsräumen, einschließlich der Datenverarbeitungsanlagen und -geräte nach nationalen Verfahrensvorschriften verschaffen.

 

Es kann jedoch durch nationales Recht ein Genehmigungsverfahren vorgesehen werden, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit erfolgt


Datenschutz-Folgenabschätzung & Verordnungen der Datenschutzbehörde

Die DSB hat bereits zum 25.05.2018 eine Datenschutz-Folgenabschätzung Ausnahme Verordnung (DSFA-AV; BGBl II Nr. 108/2018) erlassen und im November 2018 auch die Datenschutz-Folgenabschätzung Verordnung (DSFA-V, BGBl II Nr. 278/2018) veröffentlicht.

 

Hier erfahren Sie mehr darüber ... 

 

Was ist als Datenschutz-Verletzung zu melden?

 

Die DSGVO sieht bei Datenschutz-Vorfällen (Data Breach) eine verpflichtende Meldung an die Behörde (Art 33) und auch an die betroffenen Personen (Art 34) vor. Die Frage, die sich viele Verantwortliche stellen:

 

Gibt es auch Datenschutz-Verletzungen, die nicht zu melden sind?

mehr lesen 0 Kommentare

Personaldatenverarbeitung und Datenschutz-Folgenabschätzung

 

Die Datenschutz-Folgenabschätzung Ausnahmeverordnung (DSFA-V) wurde am 9.11.2018 im BGBl Nr. 278/2018 veröffentlicht.

Diese betrifft u.a. Verarbeitungsvorgänge, die sich mit der „umfangreichen regelmäßigen und systematischen Überwachung“ von Personen beschäftigen.

 

mehr lesen 0 Kommentare

Datenschutz-Folgenabschätzung

0 Kommentare

Datenschutz-Folgenabschätzung: Gibt es schon eine Endversion der „Black-List“ in Österreich?

 

Die Datenschutzbehörde hat vor einiger Zeit, den Entwurf zur Datenschutz-Folgenabschätzung Verordnung („DSFA-V“) an die Amtsparteien versendet. Der Europäische Datenschutz-Ausschuss hat dazu Stellung genommen. Eine Veröffentlichung der DSFA-V im Bundesgesetzblatt ist noch nicht erfolgt. Was ist zu erwarten?

 

mehr lesen 0 Kommentare

Datenschutz-Folgenabschätzung in Österreich

mehr lesen 0 Kommentare