Zum Inhalt Zum Hauptmenü

Suchformular

AutorAutorAutor

"WHITE LIST" DER DATENSCHUTZBEHÖRDE - AUSNAHMEN VON DER DATENSCHUTZ-FOLGEABSCHÄTZUNG

Datum: 
30. Mai 2018
Mag. Dominik Schelling [nid:1998]
Mag. Alexandra Ciarnau

Gleich am 25. Mai, dem DSGVO-Stichtag, hat die österreichische Datenschutzbehörde mit der White List mehr Klarheit in puncto Datenschutz-Folgenabschätzung gebracht. Wie in ihrem ersten Entwurf avisiert, bedürfen insbesondere Standardanwendungen und bereits registrierte vorabkontrollpflichtige Datenverarbeitungen keiner Folgenabschätzung.

Pünktlich am 25. Mai hat die österreichische Datenschutzbehörde eine Verordnung über Ausnahmen von der Datenschutz-Folgenabschätzung erlassen ("White List"). Sie legt Verarbeitungen fest, bei denen die Behörde üblicherweise kein hohes Risiko für die Betroffenen sieht. Daher sind für diese zwar Verarbeitungsverzeichnisse zu erstellen und die sonstigen Voraussetzungen der DSGVO und des DSG 2018 zu erfüllen, aber nicht zusätzlich eine Datenschutz-Folgeabschätzung zu erstellen. Die nun erlassene Verordnung deckt sich weitgehend mit dem von den DORDA Datenschutzexperten bereits erläuterten Entwurf zur White List.

Zusammengefasst ist die White List der österreichischen Datenschutzbehörde recht umfassend und deckt vor allem standardisierte Datenverarbeitungsvorgänge ab. Konkret wurden die Ausnahmen in drei Kategorien eingeteilt: (i) ein Katalog mit genau definierten Verarbeitungsvorgängen, (ii) Datenanwendungen, die vor dem 25.5.2018 einer Vorabkontrolle unterlagen und noch nach dem alten Regime registriert wurden sowie (iii) bisherige Standardanwendungen der Standard- und Musterverordnung.

Die österreichische White List muss nun auch dem Europäischen Datenschutzausschussvorgelegt werden. Damit soll eine europaweite Vereinheitlichung der Verpflichtung zur Erstellung einer Folgenabschätzung erzielt werden. Es ist daher nicht auszuschließen, dass sich der Ausnahmekatalog noch in die eine oder andere Richtung verändern wird. Vorab haben österreichische Unternehmen damit eine gewisse Rechtssicherheit und müssen keine Folgenabschätzungen für die, in der Ausnahmen-Verordnung genannten, Verarbeitungstätigkeiten erstellen.
.
Black List bald in Sicht?
Zusätzlich zu der White List müssen die Datenschutzbehörden auch eine Liste mit Datenanwendungen ausarbeiten, für die jedenfalls eine PIA durchzuführen ist ("Black List"). Im Hinblick auf die nun erfolgte Finalisierung der White List bleibt zu hoffen, dass auch diese bald erlassen wird.

Autoren: Axel Anderl, Felix Hörlsberger, Nino Tlapak, Dominik Schelling, Alexandra Ciarnau

 

Disclaimer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

The material contained in this website is provided for general information purposes only and does not constitute legal or other professional advice. We accept no responsibility for loss which may arise from reliance on information contained on this site.