Datenschutz-Folgenabschätzung
Besteht bei einer Form der Verarbeitung personenbezogener Daten, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, voraussichtlich ein hohes Risiko für die betroffenen Personen, ist der Auftraggeber (Verantwortliche) bereits vorab verpflichtet eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durchzuführen. Dies ist vor allem beim Einsatz neuer Technologien in der Datenverarbeitung der Fall.
Für die Datenschutz-Folgenabschätzung ist der Rat eines benannten Datenschutzbeauftragter einzuholen.
Datenschutz-Folgenabschätzung unbedingt erforderlich
Eine Datenschutz-Folgenabschätzung ist in folgenden Fällen unbedingt erforderlich:
- Bei der systematischen und umfassenden Bewertung persönlicher Aspekte der Betroffenen ua durch Rating, Scoring oder Big Data-Analysen, welche rechtliche Konsequenzen gegenüber Betroffenen haben oder diese in erheblicher Weise beeinträchtigen können, zB Auswertung von Fahrverhalten in Zusammenhang mit KFZ-Versicherung.
- Bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten, zB Gesundheitsdaten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
- Bei der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche, zB Videoüberwachung.
Die Datenschutzbehörde wird in Österreich spezielle Listen der Verarbeitungen erstellen, für die eine Datenschutz-Folgenabschätzung obligatorisch bzw nicht erforderlich ist.
Inhalte der Datenschutz-Folgeabschätzung
Die Datenschutz-Folgenabschätzung enthält zumindest nachfolgende Inhalte:
- eine systematische Beschreibung der Verarbeitungsvorgänge und deren Zwecke inkl. der verfolgten berechtigten Auftraggeberinteressen
- eine zweckbezogene Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
- eine Bewertung der durch die Form der Verarbeitung anfallenden Risiken für die Rechte und Freiheiten der Betroffenen
- die zur Risikominimierung geplanten Maßnahmen, wie Garantien, Sicherheitsvorkehrungen und Verfahren, zum Schutz der personenbezogenen Daten.
Die Einhaltung der durch die Datenschutzbehörde genehmigten Verhaltensregeln ist bei der Datenschutz-Folgenabschätzung gebührend zu berücksichtigen. Für die Datenschutz-Folgenabschätzung ist gegebenenfalls der Standpunkt der Betroffenen einzuholen. Falls erforderlich, hat der Auftraggeber eine Überprüfung und bei geänderter Risikolage für die betroffenen Personen erneut eine Datenschutz-Folgenabschätzung durchzuführen.
Konsultation der Datenschutzbehörde
Ergibt die durchgeführte Datenschutz-Folgenabschätzung, dass ohne Maßnahmen des Auftraggebers zur Eindämmung des Risikos ein hohes Risiko für die Betroffenenrechte bestünde, ist der Auftraggeber verpflichtet vor der Verarbeitung, die Aufsichtsbehörde zu konsultieren. Kommt die Datenschutzbehörde bei einer Prüfung zur Auffassung, dass die geplante Verarbeitung rechtswidrig sei, unterbreitet sie dem Auftraggeber innerhalb von 8 Wochen schriftliche Empfehlungen zur Maßnahmenverbesserung. Die Datenschutzbehörde ist im Extremfall sogar befugt eine Verarbeitung vorübergehend oder endgültig zu verbieten. Den Auftraggeber trifft bei der Konsultation eine Informationspflicht gegenüber der Aufsichtsbehörden.
Bei fehlender Datenschutz-Folgenabschätzung droht hohe Strafe
Bei Verstößen gegen eine erforderliche Datenschutz-Folgenabschätzung können Geldbußen von bis zu 10 Mio EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.
Fazit
Die gesetzlich verlangte Durchführung einer Datenschutz-Folgenabschätzungen erfordert einen hohen personellen und organisatorischen Aufwand für die Verantwortlichen. Verschärft wird die Lage noch dadurch, dass im Gesetz nur sehr allgemeine Mindest-Anforderungen an eine Datenschutz-Folgenabschätzung enthalten sind. Hilfreich wäre eine baldige Veröffentlichung von Listen jener Verarbeitungsvorgänge für die eine Datenschutz-Folgenabschätzung obligatorisch bzw nicht erforderlich ist.