Zum Inhalt Zum Hauptmenü

Suchformular

AutorAutorAutorAutor

ENTWURF "WHITE LIST" - DATENSCHUTZBEHÖRDE STELLT WEITREICHENDE AUSNAHMEN VON DATENSCHUTZ-FOLGEABSCHÄTZUNGEN IN AUSSICHT

Datum: 
27. April 2018

Kürzlich hat die Datenschutzbehörde einen ersten Entwurf einer Verordnung über Ausnahmen von der Verpflichtung zur Erstellung einer Datenschutz-Folgenabschätzung ("White List") zirkuliert. Demnach sollen insbesondere die bisherigen Standardanwendungen sowie bereits registrierte vorabkontrollpflichtige Datenverarbeitungen keine Folgenabschätzung erfordern. Damit wäre zumindest für den Bereich standardisierter und vorab freigegebener Verarbeitungen Klarheit geschaffen. Allerdings muss die österreichische White Liste noch mit den anderen europäischen Datenschutzbehörden abgestimmt werden. Mit einer finalen Fassung ist erst nach dem Stichtag 25.5.2018 zu rechnen.
 
Nach Art 35 DSGVO sind alle Verantwortlichen verpflichtet, eine Datenschutz-Folgenabschätzung zu erstellen und laufend zu aktualisieren, sofern mit der konkreten Verarbeitung ein voraussichtlich hohes Risiko für die Betroffenen verbunden ist. Da das Erfordernis einer Folgenabschätzung in der Praxis häufig nur schwer zu beurteilen ist, können die Datenschutzbehörden gemäß Art 35 Abs 5 DSGVO eine Liste mit Verarbeitungsvorgängen erstellen, für die keine Datenschutz-Folgenabschätzung ("PIA") erforderlich ist ("White Lists"). Außerdem müssen die Datenschutzbehörden eine Liste der Datenanwendungen ausarbeiten, für die jedenfalls eine Folgenabschätzung durchzuführen ist ("Black Lists"). Das soll den Rechtsanwendern mehr Klarheit bei der notwendigen Auslegung geben.
 
Die österreichische Datenschutzbehörde macht nun von ihrer Verordnungsermächtigung hinsichtlich der White List in einem ersten Entwurf Gebrauch. Sie spezifiziert darin bei welchen Verarbeitungen die Behörde üblicherweise kein hohes Risiko für die Betroffenen sieht und wofür daher keine umfassende PIA erforderlich ist. Die in Aussicht gestellte – aber noch nicht finale – Liste mit Ausnahmen ist dabei aus Sicht der Rechtsanwender erfreulicher Weise recht umfassend ausgefallen und deckt vor allem standardisierte Datenverarbeitungsvorgänge ab.
 
Konkret sind nach dem Verordnungsentwurf der Datenschutzbehörde folgende Verarbeitungen von der Verpflichtung zur Erstellung einer Datenschutz-Folgenabschätzung ausgenommen:

  1. Die im Ausnahmen-Katalog der Verordnung aufgelisteten konkreten Verarbeitungen. Dabei handelt es sich im Wesentlichen um die bisherigen Standardanwendungen der Standard- und Musterverordnung. Allerdings wurde das Wording und der Zugang etwas angepasst: So findet sich in der White List nunmehr statt der bisherigen Beschränkung auf ganz bestimmte Datenarten lediglich eine allgemeine Zweckbeschreibung zum jeweiligen Verarbeitungsvorgang. Damit sind die Ausnahmen nicht so starr wie bisher, sondern können nach ihrem Telos ausgelegt werden. Unter den insgesamt 21 Datenanwendungen im Ausnahmen-Katalog sind insbesondere folgende interessant:
    • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
    • Personalverwaltung
    • Kundenbetreuung und Marketing
    • Zugriffs- und Zutrittskontrolle
    • Videoüberwachung (insbesondere beschränkt auf die eigene Liegenschaft, maximal 72 Stunden Speicherdauer und geeignete Kennzeichnung)
    • Wissenschaftliche Forschung und Statistik
    • Aktenverwaltung (einschließlich Aufbewahrung angefallener Dokumente)
  2. Weiters sind explizit auch die auf bisherigen Standardanwendungen der Standard- und Musterverordnung fußenden Verarbeitungen ausgenommen, sofern nach dem 25.5.2018 "keine wesentlichen Änderungen" vorgenommen werden. Damit wird der Status Quo in Stein gemeißelt. Kommt es zu Anpassungen der Standardanwendungen ist daher zu prüfen, ob die Verarbeitung durch den neuen Ausnahme-Katalog (siehe Pkt 1) gedeckt ist oder doch eine PIA durchzuführen ist.  
  3. Außerdem ist keine Folgenabschätzung für Datenanwendungen erforderlich, die vor dem 25.5.2018 registriert und einer Vorabkontrolle durch die Datenschutzbehörde unterzogen wurden. Das war eine der wichtigsten Forderungen der DORDA-Datenschutzexperten. Was bisher schon dem strengen Auge der Datenschutzbehörde auf Basis des österreichischen Datenschutzgesetzes genügt hat, muss auch nach der DSGVO compliant sein. Diese Entwicklung antizipierend haben die DORDA Datenschutzexperten bis zuletzt Mandanten geraten, auch noch für die kurze Restdauer des DSG 2000 vorabkontrollpflichtige Meldungen einzubringen, um eine Bestätigung der Datenschutzkonformität durch die Behörde zu erhalten. Wer dem Ansatz gefolgt ist, wird nun mit dieser Erleichterung für die Erstellung einer PIA belohnt. Die Ausnahme wird in der Praxis nun insbesondere für registrierte Videoüberwachungsanlagen relevant sein. Auch hier gilt allerdings, dass die Pflicht zur Durchführung einer Folgenabschätzung greift, sobald in der Zukunft "wesentliche Änderungen" der Datenverarbeitung erfolgen. In der Praxis stellt sich hier also eine Auslegungsfrage zur Wesentlichkeitsschwelle. Bei Änderungen bereits von der Datenschutzbehörde freigegebener Verarbeitungen ist daher im Zweifel eine Folgenabschätzung ratsam.

Mit der White List wird insbesondere für die üblichen Kern-Verarbeitungen sowie für bereits von der Datenschutzbehörde geprüfte Verarbeitungen Klarheit geschaffen. Erfreulicherweise ist nach dem Verordnungsentwurf auch für den in der Praxis sehr relevanten Bereich der Personalverwaltung keine Folgenabschätzung erforderlich. Weitere Klarheit über den Umfang der Folgenabschätzung wird die noch kommende Black List schaffen – also die Liste mit Verarbeitungen, die jedenfalls eine PIA erfordern.
 
Es bleibt zu hoffen, dass sich die geplante Ausnahme-Verordnung auch in der europäischen Abstimmung nicht mehr wesentlich ändern wird. Die DORDA Datenschutzexperten sind hier vorsichtig optimistisch, schließlich waren die bisherigen Standard-Verarbeitungen auch nach dem alten Datenschutzregime privilegiert und haben andere Jurisdiktionen bereits Signale in Richtung Anerkenntnis alter Behördenentscheidungen gesendet. Es bleibt zu hoffen, dass sich dieser Geist auch hinsichtlich der Frage der Gültigkeit von nach der alten Rechtslage gültig eingeholten Zustimmungserklärungen fortsetzt.

Disclaimer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

The material contained in this website is provided for general information purposes only and does not constitute legal or other professional advice. We accept no responsibility for loss which may arise from reliance on information contained on this site.