Haben Sie sich schon mit der Frage beschäftigt, ob Verarbeitungsvorgänge, die in Ihrer Organisation durchgeführt werden, ein "hohes Risiko" für die Rechte und Freiheiten der natürlichen Personen bewirken können?
Sie müssen sich das wie einen "Domino-Effekt" vorstellen! Die Verarbeitung der personenbezogenen Daten verursacht bei den betroffenen Personen grundsätzlich ein Risiko. Doch was geschieht konkret, wenn es zu einem Datenschutzvorfall komm? Haben Sie sich das schon überlegt?
Haben Sie schon "Datenschutz-Folgenabschätzungen" für risikoreiche Verarbeitungsvorgänge durchgeführt? Wissen Sie überhaupt, welche Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung erfordern?
Die Datenschutzbehörde hilft Ihnen dabei, Verarbeitungsvorgänge, die keine DSFA erforderlich machen, herauszufinden. Dies mit einem Entwurf einer Verordnung, in der derartige Verarbeitungsvorgänge definiert werden.
Nach Art 35 Abs 1 DSGVO erfordern unterschiedliche Szenarien eine sog. Datenschutz-Folgenabschätzung (DSFA), und zwar dann, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
Eine Datenschutz-Folgenabschätzung gemäß Art 35 Abs 1 DSGVO ist insbesondere in folgenden Fällen erforderlich:
-
systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung
einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise
beeinträchtigen;
-
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
- systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;
Die Datenschutzbehörde wird von der Öffnungsklausel des Art 35 Abs 5 DSGVO Gebrauch machen, und mittels einer Verordnung eine Liste von Verarbeitungsvorgängen festlegen, die keine DSFA erforderlich machen.
Der Entwurf der
Verordnung der Datenschutzbehörde über die Ausnahmen
von der Datenschutz-Folgenabschätzung (DSFA-AV)
ist von der Datenschutzbehörde versandt worden und liegt nun vor.
Folgende Verarbeitungsvorgänge sind derzeit im Entwurf enthalten:
|
DSFA-A01 |
Kundenverwaltung, Rechnungswesen, Logistik, Buchführung |
|
DSFA-A02 |
Personalverwaltung für privatrechtliche und öffentlich-rechtliche Dienstverhältnisse |
|
DSFA-A03 |
Mitgliederverwaltung |
|
DSFA-A04 |
Kundenbetreuung und Marketing für eigene Zwecke |
|
DSFA-A05 |
Sach- und Inventarverwaltung |
|
DSFA-A06 |
Register, Evidenzen, Bücher |
|
DSFA-A07 |
Zugriffsverwaltung für EDV-Systeme |
|
DSFA-A08 |
Zutrittskontrollsysteme |
|
DSFA-A09 |
Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
a) Räumlicher Erfassungsbereich
Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Videoüberwachung darf räumlich nicht über die Liegenschaft
hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter gemessen
von der Grundstücksgrenze des überwachten Objekts.
b) Speicherdauer
Aufgenommene personenbezogene Daten sind vom Verantwortlichen spätestens nach 72 Stunden zu löschen, es sei denn eine längere Speicherdauer wurde in einem Gesetz, durch einen behördlichen Rechtsakt, in einer Betriebsvereinbarung oder mit Zustimmung der Personalvertretung ausdrücklich festgelegt.
c) Kennzeichnung
Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.
2. Zweck der Datenverarbeitung:
A. Einfamilienhaus samt Grundstück, eigene Wohnung
Bild- und Akustikverarbeitungen, welche dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden
Liegenschaften, die ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, dienen. Voraussetzung ist die
Einwilligung aller Nutzungsberechtigten.
B. Allgemein zugängliche Örtlichkeiten, die dem Hausrecht des Verantwortlichen unterliegen
Bild- und Akustikverarbeitungen, welche für den vorbeugenden Schutz von Personen oder Sachen an allgemein zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich sind und kein gelinderes geeignetes Mittel zur Verfügung steht. In Fällen, in denen Arbeitnehmervertretungen gesetzlich verpflichtend einzurichten sind, ist das Vorliegen einer gültigen Betriebsvereinbarung oder einer gültigen Zustimmung der Personalvertretung, welche die Durchführung der Videoüberwachung regeln, Voraussetzung.
Keine Anwendung findet diese Ausnahme auf Örtlichkeiten, welche aufgrund eines bestehenden Kontrahierungszwanges oder aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen. |
|
DSFA-A10 |
Bild- und Akustikdatenverarbeitung in Echtzeit |
|
DSFA-A11 |
Bild- und Akustikverarbeitungen zu Dokumentationszwecken |
|
DSFA-A12 |
Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheker
Patientenverwaltung und Honorarabrechnung von einzelnen Ärzten, Zahnärzten und Dentisten sowie Patienten-/Klientenverwaltung und Honorarabrechnung anderer freiberuflich einzeln tätiger Gesundheitsdiensteanbieter und Apotheker. |
|
DSFA-A13 |
Rechts- und Beratungsberufe
Datenverarbeitung von rechtsberatenden und unternehmensberatenden Berufen, wie einzelne Rechtsanwälte, Notare, Wirtschaftstreuhänder, Steuerberater und Unternehmensberater im Rahmen ihrer Berufsausübung. |
|
DSFA-A14 |
Wissenschaftliche Forschung und Statistik |
|
DSFA-A15 |
Unterstützungsbekundungen im Rahmen von Bürgerinitiativen |
|
DSFA-A16 |
Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts |
|
DSFA-A17 |
Öffentliche Abgabenverwaltung |
|
DSFA-A18 |
Förderverwaltung |
|
DSFA-A19 |
Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate |
|
DSFA-A20 |
Aktenverwaltung (Büroautomation) und Verfahrensführung |
|
DSFA-A21 |
Organisation von Veranstaltungen |
Kommentar schreiben
GG (Donnerstag, 30 Juni 2022 08:57)
XX