Österreichische „Blacklist“ für Datenschutz-Folgenabschätzungen

Am 09.November war es nun soweit – es wurde die österreichische „Blacklist“ hinsichtlich jener Verarbeitungsprozesse, für die zwingend eine Datenschutz-Folgenabschätzung durchzuführen ist, erlassen. Die angeführten Verarbeitungsprozesse sind dabei als zwingende Beispiele anzusehen und sind nicht als abschließend zu betrachten.

Durch die „Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist“ (kurz: DSFA-V) wurden nun konkrete Datenverarbeitungen benannt, bei denen von einem hohen Risiko für betroffene Personen ausgegangen wird.

Generell gilt, dass für Verarbeitungen, bei denen aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vom Verantwortlichen durchgeführt werden muss.

In der Verordnung wurden des Weiteren zusätzliche Beurteilungskriterien für Risikoanalysen angeführt. Bei Vorliegen von 2 oder mehr Kriterien ist demnach ebenso zwingend eine Datenschutz-Folgenabschätzung durchzuführen. Dieser Kriterienkatalog kann daher als Ergänzung des Katalogs der Art. 29 Datenschutzgruppe angesehen werden.
Link: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_II_278/BGBLA_2018_II_278.html

Fazit: Analysieren Sie Ihre bestehenden Datenverarbeitungen hinsichtlich der Durchführungsverpflichtung einer Datenschutz-Folgenabschätzung und adaptieren Sie Ihre Bewertungsschemata im Rahmen Ihres Konzepts der Schwellenwertanalyse.