Datenschutz-Folgenabschätzung (PIA)

Für Österreich ist diese Art der Abschätzung von Folgen einer Verarbeitung / Datenanwendung neu.

 

Es ist zu prüfen, ob und in welchem Ausmaß eine (beabsichtige) Verarbeitung von personenbezogenen Daten Auswirkungen und Risken für die Rechte und Freiheiten von natürlichen Personen zur Folge hat.

hohes Risiko?

Ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ist in folgenden Fällen jedenfalls anzunehmen:

 

  1. es erfolgt eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling), welche als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen.
  2. umfangreiche Verarbeitung von Daten besonderer Kategorien (Art 9 Daten) oder strafrechtlich relevanten Daten (Art 10 Daten)
  3. Durchführung einer systematischen umfangreichen Überwachung öffentlicher Bereiche (z.B. große Anzahl von Videokameras)
  4. die Verarbeitung findet sich auf einer "schwarzen Liste" der Aufsichtsbehörde

Mindestinhalt

Eine PIA hat einen bestimmten Mindestinhalt, der in Art. 35 Abs 7 DSGVO definiert ist.

 

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Bestimmungen der DSGVO eingehalten werden.

 

 

 

Konsultation

Stellt sich im Rahmen der PIA heraus, dass ein "hohes Risiko" besteht, so ist vor Beginn der Datenverarbeitung die Aufsichtsbehörde zu konsultieren.

 

Dabei handelt es sich ausschließlich um eine "Meldung" und keinen "Antrag auf Genehmigung". Am Ende des Konsultationsprozesses steht allenfalls eine Empfehlung der Aufsichtsbehörde, jedoch keine Genehmigung. Es ist daher nicht nötig, dass eine Reaktion der Behörde abgewartet wird, um mit der Verarbeitung zu beginnen.

 

Die Behörde spricht innerhalb von 8 Wochen eine Empfehlung aus, wenn sie der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit der DSVGO seht, insbes. weil keine ausreichende Risikoermittlung erfolgte oder das Risiko nicht ausreichend eingedämmt hat.

 

Die (nationale) Aufsichtsbehörde kann auch tätig werden, und z.B. weitere Informationen einfordern, oder selbständig Untersuchungen anstellen, Zugang zu den personenbezogenen Daten und Informationen einfordern und sich auch Zugang zu den Geschäftsräumen, einschließlich der Datenverarbeitungsanlagen und -geräte nach nationalen Verfahrensvorschriften verschaffen.

 

Es kann jedoch durch nationales Recht ein Genehmigungsverfahren vorgesehen werden, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit erfolgt


DSFA-AV - white list in Österreich

Ausnahmen von der Datenschutz-Folgenabschätzung

 

§ 1. (1) Die in der Anlage angeführten Datenverarbeitungen sind von der Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 und 5 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) ausgenommen.

 

(2) Ebenso sind Datenanwendungen, die 
1.gemäß § 18 Abs. 2 und § 50c Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013, der Vorabkontrolle unterlagen und vor Ablauf des 24. Mai 2018 im Datenverarbeitungsregister registriert wurden, oder
2.gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig waren, 

von der Datenschutz-Folgenabschätzung ausgenommen, sofern diese Datenanwendungen mit Ablauf des 24. Mai 2018 den Vorgaben der DSGVO entsprechen und ab dem Inkrafttreten dieser Verordnung keine wesentlichen Änderungen vorgenommen werden.

mehr lesen

DSFA - schwarze und weiße Listen

 

Datenschutz-Folgenabschätzung: andere Länder, andere Sitten

 

 

 

Es gibt bereits Ideen zur „schwarzen Liste“ gem Art 35 (5) DSGVO, dh Verarbeitungsvorgängen, die jedenfalls eine Datenschutz-Folgenabschätzung erforderlich machen.

 

Während die österreichische Datenschutzbehörde damit beschäftigt, welche Verarbeitungsvorgänge keine DSFA erfordern, veröffentlichen andere DSBs Informationen zur schwarzen Liste gem. Art 35 (5) DSGVO).

 

 

 

Die polnische Datenschutzbehörde hat eine Liste dazu veröffentlicht, die von Kobylańska & Lewoszewski Kancelaria Prawna Sp. j. (in einer inoffiziellen Übersetzung) auf der Website publiziert wurde.

 

Einige interessante Verarbeitungen habe ich hier herausgepickt:

 

 

Types / criteria for processing operations for which assessment is required 

 

Examples of operations / data scope / circumstances in which a high risk of a breach may occur for a given type of processing operation

 

Potential areas of occurrence / existing areas of application 

 

1. Evaluation or assessment, including profiling and prediction (behavioural analysis) for purposes that may have negative legal, physical, financial or other effects on natural persons

 

 

Creditworthiness rating, using proprietary algorithms and data disclosure requests not directly related to risk assessment.

Banks in the process of assessing creditworthiness.

2. Automated decision making that produces legal, financial or similar material results

 

Customer profiling systems to identify purchase preferences, setting promotional prices based on the profile.

 

Online stores offering promotional prices for specific groups of clients

3. Systematic largescale monitoring of publicly accessible places using elements of recognition of features or properties

Extensive public space monitoring systems to track people and obtain data that goes beyond the data necessary to provide the service.

Means of public transport, cities offering bicycle and car rental systems, and determining paid parking zones.

Systems for monitoring work time and information flow in tools used by employees (e.g. in e-mail or on the Internet).

Workplaces (IT systems monitoring). Employees’ unawareness that their use of email, applications, access cards is monitored of objects occurring in the monitored space. This group of systems does not include video monitoring in which the image is recorded and used only to analyse law infringement incidents.

Patients’/clients’ health data.

Hospitals/organizations conducting clinical trials. Fitness clubs.

 

Monitoring purchases and purchasing tendencies (e.g. alcohol, sweets).

Loyalty programs containing elements of profiling people.

4.  Processing of special categories of personal data concerning convictions and law infringements (sensitive data according to WP 29)

Processing biometric data of clients or employees in order to identify or verify an individual in access control systems, e.g. entering certain areas, rooms or gaining access to specific accounts in an IT system in order to execute a transaction order in an IT system or withdraw cash using an ATM etc.

 

Work time monitoring systems; Entrance control systems for specific rooms; Accounting and registration systems for banking, commercial and insurance operations;  Entrance control systems for fitness clubs, hotels etc

 

 

 

 

 

 

Die gesamte Liste finden Sie hier: <<< DPIA-Poland >>>

 

 

 

Auch die belgische DSB hat eine derartige Liste (Anhang; Seiten 42 ff) veröffentlicht, die definiert, dass folgende Verarbeitungsvorgänge eine DSFA erforderlich machen:

 

1.       wenn die Verarbeitung biometrische Daten zum Zweck der eindeutigen Identifizierung der betroffenen Personen an einem öffentlichen Ort oder an einem der Öffentlichkeit zugänglichen privaten Ort verwendet;

 

 

 

2.       wenn bei der Entscheidung, einen bestimmten Dienstleistungsvertrag mit einer natürlichen Person abzulehnen oder zu beenden, personenbezogene Daten von Dritten zur späteren Prüfung erhoben werden;

 

 

 

3.       wenn die Verarbeitung bestimmte Kategorien personenbezogener Daten im Sinne von Artikel 9 der DSGVO betrifft, die zu einem anderen Zweck als dem, für den diese erfasst wurden, es sei denn, die Verarbeitung basiert auf der Zustimmung der betroffenen Person oder wenn es erforderlich ist, eine rechtliche Verpflichtung zu erfüllen, der der für die Verarbeitung Verantwortliche unterliegt;

 

 

 

4.       wenn die Behandlung unter Verwendung eines Implantats durchgeführt wird und eine Verletzung personenbezogener Daten die körperliche Gesundheit der betroffenen Person beeinträchtigen könnte;

 

 

 

5.       im Falle einer umfangreichen Verarbeitung personenbezogener Daten schutzbedürftiger natürlicher Personen, einschließlich Kinder, zu einem anderen als dem Zweck, für den sie erhoben wurden;

 

 

 

6.       wenn Daten in großem Umfang von Dritten erhoben werden, um die wirtschaftliche Situation, Gesundheit, persönliche Präferenzen oder Interessen, Zuverlässigkeit oder Verhalten, Standort oder Bewegung natürlicher Personen zu analysieren oder vorherzusagen;

 

 

 

7.  bei bestimmten Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO oder bei Daten sehr persönlicher Art (wie Daten über Armut, Arbeitslosigkeit, Beteiligung der Jugendhilfe oder Sozialarbeit, Daten über häusliche und private Aktivitäten, Standortdaten), wenn diese routinemäßig zwischen mehreren Verantwortlichen ausgetauscht werden;

 

8.  bei der umfangreichen Verarbeitung von Daten, die von mit Sensoren ausgestatteten Geräten erzeugt werden, die Daten über das Internet oder andere Mittel senden (z. B. Anwendungen des "Internet der Dinge" wie z. B. Fernsehen) intelligente Geräte, verbundenes Spielzeug, intelligente Städte, intelligente Energiezähler usw.), und wenn diese Verarbeitung zur Analyse oder Vorhersage der wirtschaftlichen Situation, Gesundheit, Präferenzen oder Interessen, der Zuverlässigkeit oder des Verhaltens, des Standortes oder der Bewegung von natürlichen Personen verwendet wird;
 

9.  bei der umfangreichen und / oder systematischen Verarbeitung von Telefondaten, dem Internet oder anderen Kommunikationsdaten, Metadaten oder Standortdaten von natürlichen Personen (z. B. WLAN-Ortung oder die Verarbeitung von Fahrgastdaten im öffentlichen Verkehr), wenn die Verarbeitung für eine von der betreffenden Person angeforderte Dienstleistung nicht unbedingt erforderlich ist;
 

10. bei der umfangreiche Verarbeitung personenbezogener Daten, bei denen das Verhalten natürlicher Personen systematisch erfasst, erfasst oder beeinflusst wird, auch zu Werbezwecken, durch automatisierte Verarbeitung.

 

 

 

 

Folgende Verarbeitungen bedürfen nach Ansicht der belgischen DSB keiner DSFA:

 

     1.       die Verarbeitungen von privaten Organisationenum eine rechtliche Verpflichtung zu erfüllen;


 

2.       Lohn- und Gehaltsabrechnung, sofern die Daten nur für diesen Zweck verwendet werden und nur so lange gespeichert werden, als diese für diesen Zweck notwendig sind;

 

3.       Personalverwaltung, sofern die Verarbeitung keine Daten über die Gesundheit der betroffenen Person betrifft, bestimmte Kategorien von Daten im Sinne von Artikel 9 DSGVO oder strafrechtliche Verurteilungen und Straftaten im Sinne von Artikel 10 der DSGVO oder Daten zur Bewertung des Verhaltens der betroffenen Person, im Rahmen der gesetzlichen Verpflichtungen und nur so lange gespeichert werden, als diese für diesen Zweck notwendig sind;                                             

 

4.       Buchhaltung und Rechnungswesen;

 

5.       Gesellschafterregister oder Register über Anteilseigner;
 

 

 

6.       die Verarbeitung personenbezogener Daten durch eine Stiftung, einen Verein oder eine andere gemeinnützige Einrichtung im Rahmen ihrer normalen Geschäftstätigkeit, sofern sich die Verarbeitung ausschließlich auf personenbezogene Daten ihrer Mitglieder bezieht, Personen, mit denen der für die Verarbeitung Verantwortliche in regelmäßigem Kontakt mit den Empfängern der Stiftung, des Vereins oder der Einrichtung steht und bei denen keine Person auf der Grundlage von Daten Dritter registriert ist und die verarbeiteten personenbezogenen Daten nicht erfasst sind nicht länger als die Zeit, die für die Verwaltung von Mitgliedern, Kontaktpersonen und Begünstigten erforderlich ist, und nur im Rahmen der Anwendung einer Rechts- oder Verwaltungsvorschrift an Dritte weitergegeben wird;

 

7.       die Verarbeitung personenbezogener Daten, die sich ausschließlich auf die Registrierung von Besuchern im Rahmen der Zutrittskontrolle beziehen, wenn die verarbeiteten Daten auf den Namen und die Geschäftsadresse des Besuchers beschränkt bleiben, die Identifizierung seines Arbeitgeber, die Identifizierung des Besucherfahrzeugs, den Namen, den Bereich und die Funktion der besuchten Person und zum Zeitpunkt des Besuchs, und wo die verarbeiteten personenbezogenen Daten ausschließlich für die Zugangskontrolle und nicht länger als die für diesen Zweck erforderliche Zeit gehalten werden;

 

8.       Verarbeitung personenbezogener Daten, die von Bildungseinrichtungen durchgeführt werden, um ihre Beziehungen zu ihren Schülern oder Studenten im Rahmen ihrer Lehrverpflichtungen zu verwalten, vorausgesetzt, dass diese nur die Verarbeitung betreffen personenbezogene Daten in Bezug auf potenzielle derzeitige und ehemalige Schüler oder Studenten des Lehrbetriebs betreffen

 

 

 

Die Publikation in französischer Sprache finden hier: <<< DPIA-Belgium >>>

 

 

 

Bis Ende April 2018 soll nun die Art 29 DS-Gruppe einen gemeinsamen Standpunkt dazu einnehmen und eine einheitliche Liste erstellen.

 

0 Kommentare

Bleibt der Datenschutz für juristische Personen nach dem 25.05.2018 in Österreich bestehen?

 

Datenschutz auch für juristische Personen nach dem 25.05.2018?

Dr. Riedl, der Legist im Bundeskanzleramt, der u.a. das Datenschutz-Anpassungsgesetz 2018, mit dem das Datenschutzgesetz 2000 geändert wird, maßgeblich „mitentworfen“ hat, vertritt in einem Interview in der Datenschutz-Konkret 4/2017, S. 75 die Meinung, dass der Datenschutz in Österreich für juristische Personen bestehen bleibt.

Diese Ansicht stützt er darauf, dass § 1 (1) DSG (Verfassungsbestimmung: Grundrecht auf Datenschutz) im neuen Datenschutzgesetz (es heißt ab 25.5.2018 wirklich so, und nicht mehr Datenschutzgesetz 2000) nicht geändert wurde.

 

Die ersten drei Paragraphen des DSG 2000 bleiben unverändert, und das Datenschutz-Anpassungsgesetz 2018 novelliert nur die Paragraphen des DSG 2000 ab § 4. Geändert wird auch der Titel des Gesetzes, denn es heißt in Zukunft: „Bundesgesetz zum Schutz personenbezogener Daten natürlicher Personen“.

 

Aus dem Titel wäre daher mE abzuleiten, dass das Wort „Jedermann“, das weiterhin unverändert in § 1 (1) DSG enthalten ist, daher in seiner Bedeutung, die mittels Auslegung zu ermitteln ist, eingeschränkt wird, und ab  25.5.2018 so auszulegen ist, dass es „natürliche Person“ heißt, da ja auch im Titel des Gesetzes zum Ausdruck kommt, dass der Schutz der natürlichen Personen bei der Verarbeitung personenbezogener Daten vom Datenschutzgesetz umfasst sein soll (und eben nichts anderes damit gemeint sein kann).

 

Andererseits hat auch das Argument von Dr. Riedl etwas für sich, dass man durch eine einfachgesetzliche Reglung (ein Bundesgesetz) eine verfasssungsrechtliche Regelung (das Grundrecht auf Datenschutz) nicht einfach ändern kann bzw. dessen Bedeutung reduzieren kann, sodass sich der „Träger des Grundrechts nicht ändern“ (Riedl in DaKo 4/2017, S. 75) kann. Nach dieser Schlussfolgerung wäre die juristische Person weiterhin vom Schutz des Datenschutzgesetzes umfasst.

 

Entgegenzusetzen ist dieser Auslegung jedoch, dass im DSG 2000 in § 4 Z 3 der „Betroffene“ definiert wird, und zwar als „jede vom Auftraggeber (Z 4) verschiedene juristische oder natürliche Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden“.

 

Das Grundrecht auf Datenschutz in § 1 (1) DSG, welches „jedermann“ gewährt wird, wird daher im subjektiven Anwendungsbereich der verfassungsrechtlichen Norm des § 1 (1) DSG in einer einfachgesetzlichen Norm, nämlich § 4 Z 3 DSG näher definiert. Ab 25.5.2018  ändert sih das, da § 4 DSG geändert wird und  in Art 4 Z 1 DSGVO festgelegt ist, dass personenbezogene Daten alle Informationen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.

Daher könnte man auch den Schluss ziehen, dass „jedermann“ iSd § 1 (1) DSG ab 25.05.2018 nur die in Art 4 Z 1 DSGVO definierten „betroffenen Personen“, dh identifizierte und identifizierbare natürliche Personen sind.

 

Es mag dahingestellt bleiben, ob Dr. Riedl Recht hat oder Recht behalten wird, dass die juristischen Personen (in Österreich) unter dem Schutz des Datenschutzgesetzes stehen. Vielmehr stellt sich die Frage der praktischen Auswirkungen:

 

 

 

1.       Gehört eine juristische Person in die Kategorien der Betroffenen iSd § 30 (1) lit c DSGVO und ist diese daher ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen?

 

Nein, denn „betroffene Person“ iSd DSGVO ist ausschließlich eine natürliche Person, deren personenbezogene Daten verarbeitet werden, und eben nicht die juristische Person. Diese sind daher nicht als „Betroffene“ im Rahmen der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten zu identifizieren.

 

 

 

2.       Sind gegenüber juristischen Personen die Informationspflichten gem. Art 13 oder 14 DSGVO zu erfüllen?

Art 13 und 14 DSGVO befinden sich in Kapitel III der DSGVO, welches mit „Rechte der betroffenen Personen“ betitelt ist. „Betroffene Personen“ iSd DSGVO sind natürliche Personen (siehe Art 4 Z 1 DSGVO).

 

Auch in Art 13 und Art 14 DSGVO wird explizit auf „betroffene Personen“ Bezug genommen, und die Informationspflicht wird durch die Erhebung der Daten „bei der betroffenen Person“ bzw. „nicht bei der betroffenen Person“. Von den Verpflichtungen sind daher nur natürliche Personen umfasst.

 

 

 

3.       Haben juristische Personen Betroffenenrechte iSd Art 15 ff. DSGVO, z.B. Recht auf Auskunft, Einschränkung, Löschung, Berichtigung oder Datenübertragbarkeit?

 

Auch in den Bestimmungen, die die Rechte der betroffenen Personen beschreiben, wird immer explizit auf die betroffenen Personen (iSd Art 1 Z 2 DSGVO) Bezug genommen, weil es dort immer heißt „Die betroffene Person hat das Recht …“ .

 

Daraus ist zu schließen, dass diese Rechte den juristischen Personen nicht zukommen.

 

 

 

4.       Gehört eine juristische Person in die Kategorien von Empfängern im Verzeichnis von Verarbeitungstätigkeiten?

 

Ja, aber das ist nicht davon abhängig, ob die juristische Person im Österreich in Anwendungsumfang des Grundrechtes auf Datenschutz fällt, denn jede Empfängerkategorie (unabhängig ob es sich um natürliche oder juristische Personen handelt) ist ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.

 

 

 

5.       Sind die Auswirkungen von Verarbeitungsvorgängen auf juristische Personen im Rahmen der Datenschutz-Folgenabschätzung zu bewerten und zu berücksichtigen?

 

Nein, denn in Art. 35 DSGVO ist explizit die Rede von „Risiko für Rechte und Freiheiten natürlicher Personen“; die juristischen Personen bzw. deren Daten fallen nicht in eine Kategorie, die im Rahmen einer Datenschutz-Folgenabschätzung zu berücksichtigen sind. Wenn daher Risiken auf diese (personenbezogenen) Daten wirken, dann ist dies nicht im Rahmen der DSFA gem. Art 35 DSGVO zu berücksichtigen.

 

 

 

6.       Ist von einem Unternehmen ein Datenschutzbeauftragter zu bestellen, wenn Daten von juristischen Personen verarbeitet werden?

 

Insbes. die Verarbeitung von Art. 9 Daten (besondere Datenkategorien) kann die Verpflichtung auslösen, einen Datenschutzbeauftragten zu bestellen. Die Art. 9 Daten beziehen sich jedoch ausschließlich auf die persönlichen Verhältnisse natürlicher Personen, und es mE auszuschließen, dass die (besonderen) Datenkategorien des Art. 9 DSGVO juristische Personen betreffen können.

 

Anders ist dies bei Art 10 Daten, denn in Österreich besteht die Möglichkeit, dass juristische Personen direkt als „Täter“ iSd VerbandsverantwortlichkeitsG strafrechtlich oder auch Unternehmen im Rahmen von Kartellstrafen bzw. auch bei Datenschutzverletzungen oder auch bei Verletzungen des Bankwesengesetz verfolgt werden. Dann wenn „umfangreiche Verarbeitungen“ von derartigen Daten von juristischen Personen erfolgt, dann könnte man argumentieren, dass in diesem Fall ein Datenschutzbeauftragter zu bestellen ist. Wenn jedoch derartige Daten „umfangreich“ verarbeitet werden, dann ist vermutlich auch die „umfangreiche Verarbeitung“ von derartigen Daten natürlicher Personen umfasst, sodass aus diesem Grund ein DSB zu bestellen sein wird.

 

Wenn die Kerntätigkeit i in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, dann sind damit betroffene Personen iSd Art 4 Z 1 DSGVO gemeint, nämlich natürliche Personen. Die regelmäßige und systematische Überwachung von juristischen Personen löst keine Verpflichtung zur Bestellung eines DSB aus, wenn nicht auch natürliche Personen betroffen sind.

 

 

 

7.       Was ist bei Übermittlungen von personenbezogenen Daten von juristischen Personen in Drittländer zu beachten?

 

Die Übermittlung von personenbezogenen Daten in Drittländer ist nur unter bestimmten in der DSGVO festgelegten Voraussetzungen zulässig. In diesen Bestimmungen wird nicht auf betroffene Personen explizit Bezug genommen, sondern „nur“ auf personenbezogene Daten. Die „personenbezogenen Daten“ sind jedoch (ebenfalls) in Art 1 Z 2 DSGVO definiert, und ist dort festgelegt, dass dies Daten von identifizierten bzw. identifizierbaren natürlichen Personen sind.

 

Wenn daher in den Bestimmungen zur Datenübermittlung von „personenbezogenen Daten“ dir Rede ist, dann sind das Daten von natürlichen Personen, aber nicht von juristischen Personen.

 

 

 

8.       Fazit:

 

Selbst wenn juristische Personen (in Österreich) weiter unter dem Schutz des Datenschutzgesetzes stehen sollten, dann sind die Auswirkungen auf das Datenschutz-Managementsystem, insbes. das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, Erfüllung von Informationspflichten oder auch Betroffenenrechte als äußerst gering einzuschätzen.

 

 

 

Informationen zu DSFA | DPIA | PIA (Art. 35 DSGVO)

hohes Risiko -> Datenschutz-Folgenabschätzung

mehr lesen

Was ist eine PIA? Was ist eine DSFA? - die Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO

BayLDA veröffentlicht Kurzpapier zur Datenschutz-Folgenabschätzung (DSFA)

mehr lesen