Gleich am 25. Mai, dem DSGVO-Stichtag, hat die österreichische Datenschutzbehörde mit der White List mehr Klarheit in puncto Datenschutz-Folgenabschätzung gebracht. Wie in ihrem ersten Entwurf avisiert, bedürfen insbesondere Standardanwendungen und bereits registrierte vorabkontrollpflichtige Datenverarbeitungen keiner Folgenabschätzung.
Pünktlich am 25. Mai hat die österreichische Datenschutzbehörde eine Verordnung über Ausnahmen von der Datenschutz-Folgenabschätzung erlassen ("White List"). Sie legt Verarbeitungen fest, bei denen die Behörde üblicherweise kein hohes Risiko für die Betroffenen sieht. Daher sind für diese zwar Verarbeitungsverzeichnisse zu erstellen und die sonstigen Voraussetzungen der DSGVO und des DSG 2018 zu erfüllen, aber nicht zusätzlich eine Datenschutz-Folgeabschätzung zu erstellen. Die nun erlassene Verordnung deckt sich weitgehend mit dem von den DORDA Datenschutzexperten bereits erläuterten Entwurf zur White List.
Zusammengefasst ist die White List der österreichischen Datenschutzbehörde recht umfassend und deckt vor allem standardisierte Datenverarbeitungsvorgänge ab. Konkret wurden die Ausnahmen in drei Kategorien eingeteilt: (i) ein Katalog mit genau definierten Verarbeitungsvorgängen, (ii) Datenanwendungen, die vor dem 25.5.2018 einer Vorabkontrolle unterlagen und noch nach dem alten Regime registriert wurden sowie (iii) bisherige Standardanwendungen der Standard- und Musterverordnung.
Die österreichische White List muss nun auch dem Europäischen Datenschutzausschussvorgelegt werden. Damit soll eine europaweite Vereinheitlichung der Verpflichtung zur Erstellung einer Folgenabschätzung erzielt werden. Es ist daher nicht auszuschließen, dass sich der Ausnahmekatalog noch in die eine oder andere Richtung verändern wird. Vorab haben österreichische Unternehmen damit eine gewisse Rechtssicherheit und müssen keine Folgenabschätzungen für die, in der Ausnahmen-Verordnung genannten, Verarbeitungstätigkeiten erstellen.
Black List bald in Sicht?
Zusätzlich zu der White List müssen die Datenschutzbehörden auch eine Liste mit Datenanwendungen ausarbeiten, für die jedenfalls eine PIA durchzuführen ist ("Black List"). Im Hinblick auf die nun erfolgte Finalisierung der White List bleibt zu hoffen, dass auch diese bald erlassen wird.