Österreichische „Whitelist“ für Datenschutz-Folgenabschätzungen
Pünktlich zum Ingeltungtreten der DSGVO am 25.05.2018 wurde auch die österreichische „Whitelist“ hinsichtlich jener Verarbeitungsprozesse, für die keine Datenschutz-Folgenabschätzung durchzuführen ist, erlassen. Die angeführten Verarbeitungsprozesse sind dabei als Beispiele anzusehen und sind nicht als abschließend zu betrachten.
Durch die „Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung“ (kurz: DSFA-AV) werden nun konkrete Datenverarbeitungen benannt, bei denen von keinem hohen Risiko für betroffene Personen ausgegangen wird.
Generell gilt, dass für Verarbeitungen, bei denen aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht, eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge vom Verantwortlichen durchgeführt werden muss.
Ganze 22 Datenverarbeitungsprozesse wurden generell von der österreichischen Datenschutzbehörde von der Durchführungspflicht ausgenommen.
Zusätzlich sind Datenverarbeitungen, die der Vorabkontrolle des Datenschutzgesetz 2000 unterlagen und vor Ablauf des 24.Mai 2018 im Datenverarbeitungsregister registriert wurden, oder nicht meldepflichtig waren von der Datenschutz-Folgenabschätzung ausgenommen, sofern diese Datenverarbeitungen mit Ablauf des 24. Mai 2018 den Vorgaben der DSGVO entsprechen und ab der Geltung der DSGVO keine wesentlichen Änderungen vorgenommen werden.
Link: https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010206
Fazit: Analysieren Sie Ihre bestehenden Datenverarbeitungen hinsichtlich der Durchführungsverpflichtung einer Datenschutz-Folgenabschätzung und adaptieren Sie Ihre Bewertungsschemata im Rahmen Ihres Konzepts der Schwellenwertanalyse.