108. Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV)
Auf Grund des § 21 Abs. 2 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2017, wird verordnet:
Ausnahmen von der Datenschutz-Folgenabschätzung
§ 1. (1) Die in der Anlage angeführten Datenverarbeitungen sind von der Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 und 5 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) ausgenommen.
(2) Ebenso sind Datenanwendungen, die
- 1. gemäß § 18 Abs. 2 und § 50c Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013, der Vorabkontrolle unterlagen und vor Ablauf des 24. Mai 2018 im Datenverarbeitungsregister registriert wurden, oder
- 2. gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig waren,
von der Datenschutz-Folgenabschätzung ausgenommen, sofern diese Datenanwendungen mit Ablauf des 24. Mai 2018 den Vorgaben der DSGVO entsprechen und ab dem Inkrafttreten dieser Verordnung keine wesentlichen Änderungen vorgenommen werden.
Personenbezogene Bezeichnungen
§ 2. Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter.
Inkrafttreten
§ 3. Diese Verordnung tritt mit 25. Mai 2018 in Kraft.
Anlage
Inhaltsverzeichnis
DSFA-A01 | Kundenverwaltung, Rechnungswesen, Logistik, Buchführung |
DSFA-A02 | Personalverwaltung |
DSFA-A03 | Mitgliederverwaltung |
DSFA-A04 | Kundenbetreuung und Marketing für eigene Zwecke |
DSFA-A05 | Sach- und Inventarverwaltung |
DSFA-A06 | Register, Evidenzen, Bücher |
DSFA-A07 | Zugriffsverwaltung für EDV-Systeme |
DSFA-A08 | Zutrittskontrollsysteme |
DSFA-A09 | Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung) |
DSFA-A10 | Bild- und Akustikdatenverarbeitung in Echtzeit |
DSFA-A11 | Bild- und Akustikverarbeitungen zu Dokumentationszwecken |
DSFA-A12 | Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken |
DSFA-A13 | Rechts- und Beratungsberufe |
DSFA-A14 | Archivierung, wissenschaftliche Forschung und Statistik |
DSFA-A15 | Unterstützungsbekundungen |
DSFA-A16 | Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts |
DSFA-A17 | Öffentliche Abgabenverwaltung |
DSFA-A18 | Förderverwaltung |
DSFA-A19 | Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate |
DSFA-A20 | Aktenverwaltung (Büroautomation) und Verfahrensführung |
DSFA-A21 | Organisation von Veranstaltungen |
DSFA-A22 | Preise und Ehrungen |
DSFA-A01 Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
Zweck der Datenverarbeitung:
Verarbeitung personenbezogener Daten im Rahmen jeglicher Geschäftsbeziehung mit Kunden und Lieferanten samt systematischer Aufzeichnung aller die Einnahmen und Ausgaben betreffenden Geschäftsvorgänge.
Verarbeitungstätigkeiten von Unternehmen, die Daten über Dritte verarbeiten (keine Kunden des Verantwortlichen), mit denen die Unternehmen in keiner Geschäftsbeziehung stehen (etwa Detektivbüros, Inkassobüros oder Kreditauskunfteien), sind von dieser Ausnahme nicht umfasst.
DSFA-A02 Personalverwaltung
Zweck der Datenverarbeitung:
Verarbeitung und Evidenthaltung personenbezogener Daten für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist;
Verarbeitung und Evidenthaltung dienstrechtlicher, besoldungsrechtlicher, ausbildungsbezogener und sonstiger mit dem Beschäftigungsverhältnis in unmittelbarem Zusammenhang stehender personenbezogener Daten von öffentlich Bediensteten und sonstigen von Verantwortlichen des öffentlichen Bereichs besoldeten Personen (wie zB von Beamten, Vertragsbediensteten, Personen in Ausbildung, Aushilfskräften, aber auch von Abgeordneten und Funktionären) sowie von Volontären und Zivildienern (jeweils ohne Entgeltbezug) durch die Dienstbehörden und Personalstellen zum Zweck von Einzelpersonalmaßnahmen und statistischer Auswertungen;
Verarbeitung und Evidenthaltung personenbezogener Daten von Bewerbern, wenn diese Daten vom Betroffenen angegeben wurden.
Eine Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 und eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO im Rahmen dieser Ausnahme sind ausschließlich aufgrund einer gesetzlichen Ermächtigung oder aufgrund rechtlicher Verpflichtungen zulässig.
DSFA-A03 Mitgliederverwaltung
Zweck der Datenverarbeitung:
Führung von Mitgliederverzeichnissen, Evidenz der Mitglieds- und Förderungsbeiträge, Verkehr mit Mitgliedern oder Förderern von Körperschaften des öffentlichen und privaten Rechts, insbesondere Vereinen und Personengemeinschaften sowie Betreuung von Mitgliedern und Förderern.
DSFA-A04 Kundenbetreuung und Marketing für eigene Zwecke
Zweck der Datenverarbeitung:
Verarbeitung von eigenen oder zugekauften Kunden- und Interessentendaten für die Geschäftsanbahnung betreffend das eigene Lieferungs- oder Leistungsangebot sowie zur Durchführung von Werbemaßnahmen und Newsletter-Versand.
DSFA-A05 Sach- und Inventarverwaltung
Zweck der Datenverarbeitung:
Inventarverwaltung (Führung von Inventaraufzeichnungen), Unterstützung des Sachgüteraustausches und der Betriebsabrechnung, mit der Inventarverwaltung in Zusammenhang stehende Neben- und Hilfsaufzeichnungen über Lieferanten, Anschaffungskosten sowie Verwaltung der Zuteilung von Hard- und Software an EDV-Systembenutzer.
DSFA-A06 Register, Evidenzen, Bücher
Zweck der Datenverarbeitung:
Verarbeitung personenbezogener Daten im Rahmen von durch Unions-, Bundes- oder Landesrecht eingerichteten Registern, Evidenzen oder Büchern, sofern keine personenbezogenen Daten im Sinne der Art. 9 und 10 DSGVO verarbeitet werden.
DSFA-A07 Zugriffsverwaltung für EDV-Systeme
Zweck der Datenverarbeitung:
Verwaltung von Benutzernamen und Passwörtern sowie Systemzugriffsprotokollierung.
DSFA-A08 Zutrittskontrollsysteme
Zweck der Datenverarbeitung:
Kontrolle der Berechtigung des Zutritts zu Gebäuden und abgegrenzten Bereichen durch den Eigentümer oder Benutzungsberechtigten mit Hilfe von Anlagen, die personenbezogene Daten automationsunterstützt verarbeiten, wobei keine biometrischen Daten von Betroffenen verarbeitet werden. Die bloße Echtzeitwiedergabe von Gesichtsbildern ist von dieser Ausnahme umfasst.
DSFA-A09 Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)
1. Allgemeine Voraussetzungen für die nachfolgenden Ausnahmen:
a) Räumlicher Erfassungsbereich
Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Videoüberwachung darf räumlich nicht über die Liegenschaft hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter gemessen von der Grundstücksgrenze des überwachten Objekts. Die Videoüberwachung darf überdies nicht an Orten betrieben werden, welche den höchstpersönlichen Lebensbereich von Personen darstellen.
b) Speicherdauer
Aufgenommene personenbezogene Daten sind vom Verantwortlichen spätestens nach 72 Stunden zu löschen, es sei denn eine längere Speicherdauer wurde in einem Gesetz, durch einen behördlichen Rechtsakt, in einer Betriebsvereinbarung oder mit Zustimmung der Personalvertretung ausdrücklich festgelegt.
c) Kennzeichnung
Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.
2. Zweck der Datenverarbeitung:
A. Einfamilienhaus samt Grundstück, eigene Wohnung
Bild- und Akustikverarbeitungen, welche dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden Liegenschaften, die ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, dienen. Voraussetzung ist die Einwilligung aller Nutzungsberechtigten.
B. Allgemein zugängliche Örtlichkeiten, die dem Hausrecht des Verantwortlichen unterliegen
Bild- und Akustikverarbeitungen, welche für den vorbeugenden Schutz von Personen oder Sachen an allgemein zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich sind und kein gelinderes geeignetes Mittel zur Verfügung steht. In Fällen, in denen Arbeitnehmervertretungen zu bilden sind, ist das Vorliegen einer gültigen Betriebsvereinbarung oder einer gültigen Zustimmung der Personalvertretung, welche die Durchführung der Videoüberwachung regeln, Voraussetzung.
Keine Anwendung findet diese Ausnahme auf Örtlichkeiten, welche aufgrund eines bestehenden Kontrahierungszwanges oder aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen.
DSFA-A10 Bild- und Akustikdatenverarbeitung in Echtzeit
1. Allgemeine Voraussetzungen für die nachfolgende Ausnahme:
a) Räumlicher Erfassungsbereich
Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Bilddatenverarbeitung darf räumlich nicht darüber hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter. Die Bild- und Akustikdatenverarbeitung darf überdies nicht an Orten betrieben werden, welche den höchstpersönlichen Lebensbereich von Personen darstellen.
b) Kennzeichnung
Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.
2. Zweck der Datenverarbeitung:
Bild- und Akustikübertragungen ohne Aufzeichnung.
DSFA-A11 Bild- und Akustikverarbeitungen zu Dokumentationszwecken
Zweck der Datenverarbeitung:
Bild- und Akustikverarbeitungen, welche ausschließlich ein Dokumentationsinteresse verfolgen, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist. Strafrechtliche, verwaltungsstrafrechtliche oder zivilrechtliche Zwecke dürfen im Rahmen dieser Ausnahme nicht verfolgt werden.
DSFA-A12 Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken
Zweck der Datenverarbeitung:
Patientenverwaltung und Honorarabrechnung von einzelnen Ärzten, Zahnärzten und Dentisten sowie Patienten-/Klientenverwaltung und Honorarabrechnung anderer freiberuflich oder gewerblich einzeln tätiger Gesundheitsdiensteanbieter und Apotheken.
DSFA-A13 Rechts- und Beratungsberufe
Zweck der Datenverarbeitung:
Datenverarbeitung von rechtsberatenden und unternehmensberatenden Berufen, wie einzelne Rechtsanwälte, Notare, Patentanwälte, Wirtschaftstreuhänder, Steuerberater und Unternehmensberater im Rahmen ihrer Berufsausübung.
DSFA-A14 Archivierung, wissenschaftliche Forschung und Statistik
Zweck der Datenverarbeitung:
Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke aufgrund besonderer gesetzlicher Vorschriften oder mit Einwilligung der betroffenen Person.
DSFA-A15 Unterstützungsbekundungen
Zweck der Datenverarbeitung:
Verarbeitung personenbezogener Daten im Rahmen von Bürgerinitiativen, Petitionslisten oder Unterschriftensammlungen durch die Organisatoren.
DSFA-A16 Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts
Zweck der Datenverarbeitung:
Erstellung von Voranschlägen, Finanzbuchführung, Zahlungsverkehr, Erstellung von Berichten, Betriebsabrechnungen, Neben- und Hilfsbuchführungen und Auswertung der Daten zur Budgetkontrolle, zu strategischem Controlling und zur Liquiditätssteuerung, Abschlussrechnungen, Jahresabschlüsse sowie Abschlussprüfungen und Rechnungsprüfungen.
DSFA-A17 Öffentliche Abgabenverwaltung
Zweck der Datenverarbeitung:
Vorschreibung, Einhebung und Abrechnung von öffentlich-rechtlich geregelten Abgaben und Gebühren durch Bund, Länder, Gemeinden, Gemeindeverbände und sonstige Körperschaften des öffentlichen Rechts sowie deren Kontrolle.
DSFA-A18 Förderverwaltung
Zweck der Datenverarbeitung:
Verarbeitung personenbezogener Daten durch Fördergeber und auszahlende Stellen im Rahmen der Abwicklung öffentlicher Förderungen, sofern keine personenbezogenen Daten im Sinne der Art. 9 und 10 DSGVO verarbeitet werden.
DSFA-A19 Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate
Zweck der Datenverarbeitung:
Verarbeitung von Daten Anfragender im Rahmen des Auskunftspflichtgesetzes, der Öffentlichkeitsarbeit und Informationstätigkeit, einschließlich automationsunterstützt erstellter und aufbewahrter Textdokumente in diesen Angelegenheiten;
Verarbeitung von Daten zu informierender Personen, sofern aufgrund einer Vielzahl von Anfragen zu einem bestimmten Thema ein allgemeines Bedürfnis an Informationen besteht.
DSFA-A20 Aktenverwaltung (Büroautomation) und Verfahrensführung
Zweck der Datenverarbeitung:
Formale Behandlung der vom Verantwortlichen zu besorgenden Geschäftsfälle (einschließlich der Aufbewahrung der bei dieser Tätigkeit angefallenen Dokumente, Abrechnung von Gebühren, Organisation von Großverfahren).
DSFA-A21 Organisation von Veranstaltungen
Zweck der Datenverarbeitung:
Datenverarbeitung zur Abhaltung von Veranstaltungen im öffentlichen und privaten Bereich, wie Einladung und Registrierung der Teilnehmer, Organisation von Reisen und Aufenthalten, Versorgung der Teilnehmer und Kommunikation vor und nach der Veranstaltung, Abrechnung von Geldleistungen (Honorare, Ersatz für Reisekosten), Abwicklung von Kulturprogrammen, Übermittlung von Unterlagen sowie Anfertigung von im Zusammenhang mit der Veranstaltung stehenden Bild- und Akkustikaufnahmen.
DSFA-A22 Preise und Ehrungen
Zweck der Datenverarbeitung:
Datenverarbeitung zur Verleihung von Preisen und Ehrenzeichen oder ähnlicher Auszeichnungen, einschließlich der damit verbundenen Vorprüfungen.
Jelinek
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)