Datenschutz-Folgenabschätzung in Österreich

 I. Datenschutz-Folgenabschätzung-Ausnahmeverordnung („weiße Liste“; „white list“; Art 35 Abs 5 DSGVO; fakultativ)

 

Seit 25.05.2018 hat die Datenschutzbehörde die Datenschutz-Folgenabschätzung-Ausnahmeverordnung (DSFA-AV) veröffentlicht, und diese ist bereits in Kraft.

 

Diese regelt, welche Verarbeitungstätigkeiten nach Ansicht der DSB keine DSFA benötigen.

 

 

a. die „white list“ (weiße Liste der ausgenommenen Verarbeitungsvorgänge) 

§ 1 Abs 1 DSFA-AV normiert, dass die in einer Anlage zur DSFA-AV angeführten Verarbeitungstätigkeiten (die DSFA-AV spricht von „Datenverarbeitungen“) von der Verpflichtung zur DSFA ausgenommen sind.

 

Diese sind, wobei der Anhang noch weitere Präzisierungen beinhaltet:

 

DSFA-A01	Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
DSFA-A02	Personalverwaltung
DSFA-A03	Mitgliederverwaltung
DSFA-A04	Kundenbetreuung und Marketing für eigene Zwecke
DSFA-A05	Sach- und Inventarverwaltung
DSFA-A06	Register, Evidenzen, Bücher
DSFA-A07	Zugriffsverwaltung für EDV-Systeme
DSFA-A08	Zutrittskontrollsysteme
DSFA-A09	Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
DSFA-A10	Bild- und Akustikdatenverarbeitung in Echtzeit
DSFA-A11	Bild- und Akustikverarbeitungen zu Dokumentationszwecken
DSFA-A12	Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken
DSFA-A13	Rechts- und Beratungsberufe
DSFA-A14	Archivierung, wissenschaftliche Forschung und Statistik
DSFA-A15	Unterstützungsbekundungen
DSFA-A16	Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
DSFA-A17	Öffentliche Abgabenverwaltung
DSFA-A18	Förderverwaltung
DSFA-A19	Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
DSFA-A20	Aktenverwaltung (Büroautomation) und Verfahrensführung
DSFA-A21	Organisation von Veranstaltungen
DSFA-A22	Preise und Ehrungen

 

 

 

b. Verweis auf bereits registrierte Verarbeitungsvorgänge, die der Vorabkontrolle gem. Art 18 Abs. 2 oder § 50c Abs 1 DSG 2000 unterlagen.

 

§ 1 Abs 2 DSFA-AV nimmt auch jene Verarbeitungsvorgänge aus, die bei der Datenschutzbehörde im Rahmen einer Vorabkontrolle zu registrieren waren, daher alle registrierten Verarbeitungen, die

 

1. sensible Daten enthalten oder

 

2. strafrechtlich relevante Daten enthalten oder

 

3. die Auskunftserteilung über die Kreditwürdigkeit der Betroffenen zum Zweck haben oder

 

4. in Form eines Informationsverbundsystems durchgeführt werden sollen,

 

5. Videoüberwachungen (gem. § 50c DSG 2000).

 

 

 

Voraussetzung ist, dass diese Verarbeitungsvorgänge vom Verantwortlichen nicht wesentlich geändert wurden, und bereits vor Geltung der DSGVO den Vorgaben der DSGVO entsprochen haben.

 

 

 

c. Verweis auf Verarbeitungsvorgänge, die nicht meldepflichtig waren

 

Die Meldepflicht des DSG 2000 entfiel gem. § 17 Abs 2 Z 6 DSG bei sog. „Standardanwendungen“. Diese Standardanwendungen wurden in einer Verordnung des Bundeskanzleramtes, der sog. Standard- und Musterverordnung 2004 (StMV 2004) festgelegt, die immer wieder ergänzt wurde.

 

Die Beschreibung der einzelnen Verarbeitungsvorgänge in der StMV 2004 ist sehr detailliert, und die „Freistellung“ iSd DSFA-AV ist mE nur dann anwendbar, wenn die Verarbeitungen, die ein Verantwortlicher für die genannten Zwecke durchführt, nicht über die genannten Datenarten und/oder Empfängerkategorien sowie die festgelegten Speicherfristen hinausgeht.

 

Die StMV 2004 umfasst folgende Verarbeitungsvorgänge:

 

SA001	Rechnungswesen und Logistik
SA002	Personalverwaltung für privatrechtliche Dienstverhältnisse
SA003	Mitgliederverwaltung
SA004	Abgabenverwaltung der Gemeinden und Gemeindeverbände
SA005	Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
SA006	Geschworenen- und Schöffenverzeichnisse
SA007	Verwaltung von Benutzerkennzeichen
SA008	Personenstandsbücher
SA008a	Personenstandsregister
SA009	Staatsbürgerschaftsevidenz
SA009a	Staatsbürgerschaftsregister
SA010	Melderegister
SA011	Wählerevidenz, Wählerverzeichnisse und Stimmlisten
SA012	Europa-Wählerevidenz und Wählerverzeichnisse
SA013	Personalverwaltung des Bundes und der bundesnahen Rechtsträger
SA014	Inventarverwaltung der öffentlichen Auftraggeber
SA015	Personalverwaltung der Länder, Gemeinden und Gemeindeverbände
SA016	Mitglieder- und Funktionärsdatenverwaltung der Wirtschaftskammerorganisation
SA017	Verwaltung von Entsendungsdaten der Wirtschaftskammerorganisation
SA018	Wirtschaftskammerorganisation: Betreuung von Mitgliedern, künftigen Mitgliedern und Interessenten im In- und Ausland
SA019	Präsenz- und Zivildienstbefreiungen von Mitarbeitern in Mitgliedsunternehmen der Wirtschaftskammer
SA020	Lehrstellenbörse der Wirtschaftskammer
SA021	Statistik der Wirtschaftskammerorganisation
SA022	Kundenbetreuung und Marketing für eigene Zwecke
SA023	KFZ-Zulassung durch Behörden
SA024	Patienten-/Klientenverwaltung und Honorarabrechnung der Gesundheitsdiensteanbieter
SA025	Evidenzen der Schüler und Studierenden sowie Evidenz über den Aufwand für Bildungseinrichtungen
SA026	Verrechnung ärztlicher Verschreibungen für Rechnung begünstigter Bezieher durch Apotheken
SA027	Verrechnung ärztlich verordneter Heilbehelfe und Hilfsmittel durch Gewerbetreibende
SA028	Verrechnung ärztlich verordneter Behandlungen und diagnostischer Leistungen durch freiberuflich tätige Angehörige der medizinisch technischen Dienste, klinischen Psychologen und Psychotherapeuten
SA029	Aktenverwaltung (Büroautomation)
SA030	Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
SA031	Vereinsregister
SA032	Videoüberwachung
SA033	Datenübermittlung im Konzern
SA034	Unterstützungsbekundungen einer Europäischen Bürgerinitiative
SA035	Transparenz von Medienkooperationen sowie von Werbeaufträgen und Förderungen an Medieninhaber eines periodischen Mediums
SA036	Hinweisgebersysteme gemäß § 99g BWG
SA037	Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung

 

 

 

 

 

II. Datenschutz-Folgenabschätzung-Verordnung („Schwarze Liste“; „black list“; Art 35 Abs 4 DSGVO; obligatorisch)

 

Art 35 Abs 4 DSGVO legt fest, dass die Aufsichtsbehörden bestimmte Verarbeitungsvorgänge zu definieren haben, für welche eine DSFA jedenfalls erforderlich ist. Diese Listen waren im Entwurf dem Europäischen Datenschutzausschuss vorzulegen, und dieser hat nun zu den bisher 22 vorgelegten Schwarzen Listen Stellung genommen.

 

Die „Schwarze Liste“ ist u.a. von der Wirtschaftskammer Österreich (im Entwurfstadium) veröffentlicht worden, und umfasst

 

1. Verarbeitungen, die eine Bewertung oder Einstufung natürlicher Personen – einschließlich des Erstellens von Profilen und Prognosen – umfassen für Zwecke, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen und negative rechtliche, physische oder finanzielle Auswirkungen haben können. 

 

 

 

2. Verarbeitungen von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von natürlichen Personen dienen und von Dritten dazu genutzt werden können, automatisierte Entscheidungsfindungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen.

 

 

 

3. Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von Betroffenen – insbesondere mittels Bild- und damit verbundenen Akustikdatenverarbeitungen – zum Ziel haben und 

 

a)  über Netzwerke erfasste Daten betreffen oder auf eine systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche abzielen, 

 

b) öffentliche Orte, die gemäß § 27 Abs. 2 Sicherheitspolizeigesetz – SPG, BGBl. Nr. 566/1991, von einem nicht von vornherein bestimmten Personenkreis betreten werden können, erfassen, 

 

c) Straßen mit öffentlichem Verkehr, die gemäß § 1 Straßenverkehrsordnung 1960 (StVO 1960), BGBl. Nr. 159/1960, von jedermann unter den gleichen Bedingungen benützt werden können, erfassen, 

 

d) Örtlichkeiten, welche aufgrund eines Kontrahierungszwanges von jedermann betreten werden dürfen, erfassen,  e) Örtlichkeiten, welche aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen, erfassen,

 

f) unter Einsatz von mobilen Kameras zum Zweck der Vorbeugung oder Abwehr gefährlicher Angriffe im öffentlichen und nichtöffentlichen Raum erfolgen, 

 

g) Bild- und Akustikverarbeitungen umfassen, die dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden Liegenschaften dienen, die nicht ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, oder 

 

h) Kirchen, Gebetshäuser und andere Einrichtungen, die für die Religionsausübung genutzt werden, erfassen. 

 

 

 

4. Verarbeitung von Daten unter Nutzung oder Anwendung neuer bzw. neuartiger Technologien oder organisatorischer Lösungen, welche die Abschätzung der Auswirkungen auf die Betroffenen und die gesellschaftlichen Folgen erschweren, insbesondere durch den Einsatz von künstlicher Intelligenz und die Verarbeitung biometrischer Daten, sofern die Verarbeitung nicht die bloße Echtzeitwiedergabe von Gesichtsbildern betrifft. 

 

 

 

5. Verarbeitungsvorgänge von gemäß Art. 26 DSGVO gemeinsam für die Verarbeitung Verantwortlichen. 

 

 

 

6. Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen im Rahmen einer Datenverarbeitung, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, die über die von einem Betroffenen üblicherweise zu erwartenden Verarbeitungen hinausgehen, sofern 

 

a) diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt beim Betroffenen erhoben wurden, oder 

 

b) durch die Anwendung von Algorithmen Entscheidungen getroffen werden können, welche die betroffenen Personen in erheblicher Weise beeinträchtigen. 

 

 

 

7. Verarbeitungsvorgänge im höchstpersönlichen Bereich von Personen, auch wenn die Verarbeitung auf einer Einwilligung beruht

 

 

 

Werden Daten in einem Beschäftigungsverhältnis verarbeitet, ist eine DSFA auch bei Verarbeitungen, die eines dieser Kriterien erfüllen, nicht verpflichtend, wenn es eine Betriebsvereinbarung gibt oder eine Zustimmung der Personalvertretung vorliegt.

 

 

 

Die DSFA-V sieht auch vor, dass eine DSFA durchzuführen ist, wenn ein Verarbeitungsvorgang zwei oder mehrere der folgenden Voraussetzungen erfüllt:

 

1. Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO, 

 

2. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO, 

 

3. Erfassung von Standortdaten im Sinne des § 92 Abs. 3 Z 6 Telekommunikationsgesetz 2003 – TKG 2003, BGBl. I. Nr. 70/2003, die in einem Kommunikationsnetz oder von einem Kommunikationsdienst verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben, oder 

 

4. die Verarbeitung von Daten zu schutzbedürftigen Betroffenen, wie unmündigen Minderjährigen, Arbeitnehmern, Patienten, psychisch Kranken und Asylwerbern. 

 

 

 

III. Stellungnahme des Europäischen Datenschutz Ausschusses

 

Der EDSA hat zum Entwurf der DSFA-V eine Stellungnahme abgegeben und einige Punkte angemerkt, die die DSB binnen 14 Tagen (ab 25.09.2018) ändern sollte, nämlich:

 

Einfügung eines Hinweises, dass die Schwarze Liste nicht abschließend ist.

 

Einfügung eines Hinweises auf die Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“. (Art 29 DS-Gruppe, WP 248 rev 01 4.10.2017)

 

Die Verarbeitung von Daten, die durch andere erhoben werden, allein ist nicht ausreichend, um ein hohes Risiko gem. Art 35 darzustellen, sodass zumindest ein weiteres Kriterium hinzukommen muss.

 

Der EDSA fordert die DSB auf, die Verarbeitung durch gemeinsame Verantwortliche iSd Art 26 DSGVO von der Schwarzen Liste zu streichen.

 

 

 

Es bleibt daher abzuwarten, wie die DSB nun reagiert, und die Schwarze Liste anpasst.