278. Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V)
Auf Grund des § 21 Abs. 2 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 24/2018, wird verordnet:
Geltungsbereich
§ 1. Die Bestimmungen dieser Verordnung gelten für die Datenschutz-Folgenabschätzung, die gemäß Art. 35 Abs. 1 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, im Folgenden: DSGVO), ABl. Nr. L 119 vom 4.5.2016 S. 1, vom Verantwortlichen durchzuführen ist.
Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist
§ 2. (1) Sofern die Verarbeitung rechtmäßig im Sinne der Art. 6, Art. 9 und 10 DSGVO erfolgt und keine Datenverarbeitung gemäß der Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV), BGBl. II Nr. 108/2018, vorliegt, ist nach Maßgabe der folgenden Bestimmungen jedenfalls eine Datenschutz-Folgenabschätzung durchzuführen.
(2) Eine Datenschutz-Folgenabschätzung ist durch den Verantwortlichen durchzuführen, wenn zumindest ein in Z 1 bis Z 6 genanntes Kriterium erfüllt ist:
- 1. Verarbeitungen, die eine Bewertung oder Einstufung natürlicher Personen - einschließlich des Erstellens von Profilen und Prognosen - umfasst für Zwecke, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen und ausschließlich auf einer automatisierten Verarbeitung beruhen und negative rechtliche, physische oder finanzielle Auswirkungen haben können.
- 2. Verarbeitungen von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von natürlichen Personen dienen und von Dritten dazu genutzt werden können, automatisierte Entscheidungsfindungen zu treffen, die Rechtswirkung gegenüber den bewerteten Personen entfalten, oder diese in ähnlich erheblicher Weise beeinträchtigen.
- 3. Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von betroffenen Personen insbesondere mittels Bild- und damit verbundenen Akustikdatenverarbeitungen zum Ziel haben und
a) über Netzwerke erfasste Daten betreffen oder auf eine systematische, umfangreiche Überwachung öffentlich zugänglicher Bereiche abzielen,
b) öffentliche Orte, die gemäß § 27 Abs. 2 Sicherheitspolizeigesetz (SPG), BGBl. Nr. 566/1991, von einem nicht von vornherein bestimmten Personenkreis betreten werden können, erfassen,
c) Straßen mit öffentlichem Verkehr, die gemäß § 1 Straßenverkehrsordnung 1960 (StVO 1960), BGBl. Nr. 159/1960, von jedermann unter den gleichen Bedingungen benützt werden können, erfassen,
d) Örtlichkeiten, welche aufgrund eines Kontrahierungszwanges von jedermann betreten werden dürfen, erfassen,
e) Örtlichkeiten, welche aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen, erfassen,
f) Bildverarbeitungen unter Einsatz von mobilen Kameras zum Zweck der Vorbeugung oder Abwehr gefährlicher Angriffe oder krimineller Verbindungen im öffentlichen und nichtöffentlichen Raum umfassen,
g) Bild- und Akustikverarbeitungen umfassen, die dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden Liegenschaften dienen, die nicht ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, oder
h) Kirchen, Gebetshäuser, soweit sie nicht bereits von lit. b und lit. e erfasst sind, und andere Einrichtungen, die der Religionsausübung in der Gemeinschaft dienen, erfassen.
- 4. Verarbeitungen von Daten unter Nutzung oder Anwendung neuer bzw. neuartiger Technologien oder organisatorischer Lösungen, welche die Abschätzung der Auswirkungen auf die betroffenen Personen und die gesellschaftlichen Folgen erschweren, insbesondere durch den Einsatz von künstlicher Intelligenz und die Verarbeitung biometrischer Daten, sofern die Verarbeitung nicht die bloße Echtzeitwiedergabe von Gesichtsbildern betrifft.
- 5. Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern durch die Anwendung von Algorithmen Entscheidungen getroffen werden können, welche die betroffene Person in erheblicher Weise beeinträchtigen.
- 6. Verarbeitungsvorgänge im höchstpersönlichen Bereich von Personen, auch wenn die Verarbeitung auf einer Einwilligung beruht.
Im Zusammenhang mit Beschäftigungsverhältnissen gilt dies nicht, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt. Als systematische Überwachung sind jene Vorgänge zu verstehen, die im Rahmen eines Systems oder vorab festgelegt, organisiert und methodisch erfolgen.
(3) Eine Datenschutz-Folgenabschätzung ist durch den Verantwortlichen durchzuführen, wenn ein Verarbeitungsvorgang zwei oder mehr der nachstehenden Kriterien erfüllt:
- 1. Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO,
- 2. umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO,
- 3. Erfassung von Standortdaten im Sinne des § 92 Abs. 3 Z 6 Telekommunikationsgesetz 2003 (TKG 2003), BGBl. I. Nr. 70/2003, die in einem Kommunikationsnetz oder von einem Kommunikationsdienst verarbeitet werden und die den geografischen Standort der Telekommunikationsendeinrichtung eines Nutzers eines öffentlichen Kommunikationsdienstes angeben,
- 4. Verarbeitung von Daten schutzbedürftiger betroffener Personen, wie unmündige Minderjährige, Arbeitnehmer, Patienten, psychisch Kranker und Asylwerber, wobei Abs. 2 letzter Satz sinngemäß anzuwenden ist, oder
- 5. Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei der betroffenen Person erhoben wurden.
Personenbezogene Bezeichnungen
§ 3. Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für alle Geschlechter.
Verweisungen
§ 4. Verweisungen in dieser Verordnung auf andere Bundesgesetze oder auf Verordnungen sind als Verweisungen auf die jeweils geltende Fassung zu verstehen.
Inkrafttreten
§ 5. Diese Verordnung tritt mit Ablauf des Tages der Kundmachung im Bundesgesetzblatt in Kraft.
Jelinek
Lizenziert vom RIS (ris.bka.gv.at - CC BY 4.0 DEED)