Datenschutz-Folgenabschätzung in Österreich und in der EU
Österreich
Datenschutz-Folgenabschätzung Ausnahme Verordnung (BGBl II Nr. 108/2018; Weiße Liste; White list)
Datenschutz-Folgenabschätzung Verordnung (BGBl II Nr. 278/2018; Schwarze Liste; black list; 9.11.2018)
Bitte beachten Sie, dass auch in Sondergesetzen eine DSFA für Verarbeitungen vorgesehen sein kann.
Der Europäische Datenschutzausschuss hat am 5.10.2018 seine Stellungnahmen zu den eingereichten Entwürfen für die Black lists in den Mitgliedsstaaten veröffentlicht. Sofern auf Entwürfe Bezug genommen wird, ist daher davon auszugehen, dass noch Änderungen erfolgt sind oder erfolgen werden. Wir bemühen uns, Sie auf dem Laufenden zu halten, und die Website immer zu aktualisieren.
Frankreich
Im Privacy Blog der RA-Kanzlei "Hunton" findet sich ein englischsprachiger Beitrag zur Schwarzen Liste in Frankreich.
In Frankreich wird bei der Verarbeitung von Arbeitnehmerdaten mittels Videoüberwachung zu prüfen sein, ob eine DSFA nötig ist.
Auch eine Whisteblowing-Hotline bedarf einer DSFA.
Die CNIL (französische Datenschutzbehörde) hat Richtlinien sowie eine Liste der Verarbeitungstätigkeiten veröffentlicht.
(11.11.2018; TS)
Italien
Thank´s to Nadia Arnaboldi.
Italiens Aufsichtsbehörde (Garanta per la Protezioni Dati Personali) hat die Black List (Elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi dell’art. 35, comma 4, del Regolamento (UE) n. 2016/679) veröffentlicht.
Diese ist eine Anlage zur "Liste" und umfasst zB
- Umfangreiche Evaluierungs- oder Bewertungsprozesse sowie Verarbeitungen, die ein Profiling der betroffenen Personen sowie die Durchführung von Online- oder App-Vorhersagen beinhalten, die sich auf "Aspekte der beruflichen Leistungsfähigkeit, der wirtschaftlichen Situation, der Gesundheit und der Präferenzen oder persönliche Interessen, Zuverlässigkeit oder Verhalten, Ort oder Bewegung der betroffenen Person" beziehen.
Belgien - Entwurf
Auf der Website von Sidley Austin LLP wurde bereits im Februar 2018 darauf verwiesen, dass in Belgien ein Entwurf einer Black list und einer White list veröffentlicht wurde.
Bitte beachten Sie jedoch, dass am 22. September die Stellungnahmen des Europäischen Datenschutzausschusses veröffentlicht wurden, und eine Änderung erfolgt sein könnte.
(18.11.2018, TS)
Portugal
In Portugal wurde das "Regulatmento No 1/2018" veröffentlicht, das die Liste der Verarbeitungstätigkeiten enthält, die eine DSFA erforderlich machen.
In Portugal erfordert zB eine Verarbeitung, die Gesundheitsdaten über Telekommunikationnetze übermittelt eine DSFA.
(11.11.2018; TS)
Deutschland
Im Juli 2018 hat die DSK in Deutschland einen Entwurf einer MUSS-Liste für den nicht-öffentlichen Bereich veröffentlicht.
Diese umfasst 16 Verarbeitungsformen von bestimmten Datenkategorien oder Verarbeitungstätigkeiten.
Mitumfasst sind zB umfangreiche Verarbeitung von Daten, die dem Sozial-, einem Berufs- oder besonderen Amtsgeheimnis unterliegen, auch wenn es sich nicht um Daten gemäß Art. 9 Abs. 1 und 10 DS-GVO handelt, so nämlich als Beispiel
- wenn ein Unternehmen ein umfassendes Verzeichnis über Privatinsolvenzen anbietet oder
- die Mandantenverwaltung einer großen Rechtsanwaltskanzlei, die im Schwerpunkt familienrechtliche Mandate betreut.
(15.11.2018, TS)
Irland
In Irland wurde von der Data Protection Commission / Coimisiun Consanta Sonrai am 15.11.2018 die "Schwarze Liste" gem. Art 35 Abs 4 DSGVO veröffentlicht.
(15.11.2018; TS)
Polen - Entwurf
Auf der Website der IAAP (International Association of Privacy Professionals) ist ein Artikel über den Entwurf einer Black list für Polen verfügbar.
Bitte beachten Sie jedoch, dass am 22. September die Stellungnahmen des Europäischen Datenschutzausschusses veröffentlicht wurden, und eine Änderung erfolgt sein könnte.
(18.11.2018, TS)
United Kingdom
Auf der Website des Information Commissioner´s Office ist eine veröffentlichte Black list zu finden, wobei diese als "Beispiele für Verarbeitungstätigkeiten, die voraussichtlich ein hohes Risiko verursachen" bezeichnet ist.
mE ist davon auszugehen, dass dies nicht die "offizielle" Black list ist.
(18.11.2018, TS)