Die DSB hat den Entwurf einer Verordnung der Datenschutzbehörde (DSB) über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, (DSFA-V) veröffentlicht und führt bis 10. August 2018 eine Konsultation des Entwurfes durch.
Der Verordnungsentwurf stellt eine Präzisierung von Art 35 DSGVO dar, welcher allen Verantwortlichen die Pflicht auferlegt, eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen zu rechnen ist. Die DSB hat im gegenständlichen Vorordnungsentwurf einen Kriterienkatalog erstellt, der jene Verarbeitungsvorgänge normiert, bei denen vom Vorliegen eines hohen Risikos für die Rechte und Freiheiten natürlicher Personen auszugehen ist und die folglich der Verpflichtung zur Durchführung einer DSFA unterliegen.
Der VO-Entwurf enthält folgende Eckpunkte:
§ 2 Abs. 1: DSFA ist nur bei jenen Datenverarbeitungen durchzuführen, die rechtmäßig, dh. unter den in Art. 6 DSGVO genannten Bedingungen, erfolgen und sofern nicht eine Ausnahme gemäß DSFA-Ausnahmeverordnung vorliegt. Die ISPA hat bereits über die DSFA-Ausnahmeverordnung (Whitelist) berichtet. (vgl. E-Mail AG am 26.03., 12:09)
§ 2 Abs. 2: Hinweis, dass ein Verantwortlicher die DSFA durchzuführen hat, sobald einer der folgenden Kriterien vorliegt (Z 1 bis Z 7)
- Z 1: Verarbeitungen, die eine Bewertung oder Einstufung natürlicher Personen – einschließlich des Erstellens von Profilen und Prognosen, wie beispielsweise Bonitätsdatenbanken, Website bzw. der Navigation der Website, welche Nutzerverhaltens- oder Marketingprofile (ausgenommen personalisierte Werbung) erstellt, ein „Dating-Portal“ etc.
- Z 2: Profiling und automatisierte Entscheidungsfindung, das bedeutet, die Entscheidungen werden ausschließlich auf technischem Wege, ohne menschliches Eingreifen getroffen.
- Z 3: Überwachung insbesondere mittels Bildverarbeitung z.B. an öffentliche Orte
- Z 4: Verarbeitung von Daten unter Nutzung oder Anwendung neuer bzw. neuartiger Technologien oder organisatorischer Lösungen, beispielsweise die Kombination aus Fingerabdruck- und (biometrischer) Gesichtserkennung zum Zwecke einer verbesserten Zugangskontrolle
- Z 5: Dies betrifft Datenverarbeitungen von gemeinsamen Verantwortlichen iSd Art. 26 DSGVO. Hier geht die DSB von einem hohen Risiko aus, weil zwei oder mehr Verantwortliche die Entscheidungsgewalt innehaben und große Datenmengen verarbeitet werden
- Z 6: Zusammenführung und Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen im Rahmen einer Datenverarbeitung. Dieses Kriterium umfasst beispielsweise sogenannte „Scoringmethoden“, dh eine Erhebung oder Verwendung von Wahrscheinlichkeitswerten für ein bestimmtes zukünftiges Verhalten eines Betroffenen, um über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses entscheiden zu können und bei denen in einem systematischen Verfahren zum Vergleich und zur Bewertung ein Punktesystem angewendet wird.
- Z 7: Verarbeitungsvorgänge im höchstpersönlichen Bereich von Personen, auch wenn die Verarbeitung auf einer Einwilligung beruht. Dazu zählen die Gesundheit, das Sexualleben und das Leben in und mit der Familie.
Abs. 3: Bei diese Kategorien ist eine DSFA vom Verantwortlichen durchzuführen, sofern zwei oder mehr der nachstehenden Kriterien erfüllt sind:
- Z 1: Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (z.B. die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit)
- Z 2: Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen einschließlich Verwaltungsübertretungen
- Z 3: Erfassung von Standortdaten im Sinne des § 92 Abs. 3 Z 6 TKG 2003, die in einem Kommunikationsnetz oder von einem Kommunikationsdienst verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben
- Z 4: die Verarbeitung von Daten zu schutzbedürftigen Betroffenen, wie unmündigen Minderjährigen, Arbeitnehmern, Patienten, psychisch Kranken und Asylwerbern
Die ISPA Stellungnahme enthält folgende Eckpunkte:
- Hinweis, dass eine nationale Datenschutz-Folgeabschätzungsverordnung eine die Datenschutz-Grundvorordnung (DSGVO) präzisierende und nicht überschießende Regelung darstellen soll
- Forderung der Differenzierung zwischen automatischer oder manueller Verarbeitung
- Hinweis, dass nur eine vollautomatisierte Entscheidungsfindung iSv § 2 Abs. 2 Z 2 DSFA-V als hochriskant gelten soll
- Anmerkung, dass sich diese Verordnung generell nur auf risikoreiche Verarbeitungsvorgänge beschränken soll, um eine überschießende Regulierung zu verhindern
- Ablehnung der pauschalen Einstufung des Rechtinstituts der gemeinsamen Verantwortlichen an sich als risikoreich
- Hinweis, dass das Kriterium des Abgleichens und des Zusammenführens von Datensätzen weiter präzisiert und eingeschränkt werden soll
- Betonung, dass das bloße Vorliegen von besonderen Datenkategorien als Kriterium für eine verpflichtende DSFA ausufernd ist
