DSG | Datenschutzgesetz
1. Aufl. 2018
Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
§ 52 Datenschutz-Folgenabschätzung
ErlAB zu § 52 idF des Datenschutz-Anpassungsgesetzes 2018 (1761 BlgNR 25. GP 25)
Mit dieser Bestimmung wird Art. 27 der Richtlinie (EU) 2016/680 umgesetzt. Die Anforderungen an die Datenschutz-Folgenabschätzung entsprechen den maßgeblichen Anforderungen gemäß Art. 35 DSGVO. Datenschutz-Folgenabschätzungen sollten auf maßgebliche Systeme und Verfahren im Rahmen von Verarbeitungsvorgängen abstellen, nicht jedoch auf Einzelfälle (vgl. EG 58 der Richtlinie (EU) 2016/680). Von einem hohen Risiko wird insbesondere in Fällen der Verwendung neuer Technologien auszugehen sein. Sonstige Betroffene können beispielsweise juristische Personen oder bloß wirtschaftlich Betroffene sein.
Art. 35 Abs. 10 DSGVO sieht unter den angeführten Voraussetzungen eine Ausnahme von der Datenschutz-Folgenabschätzung durch Verantwortliche für Verarbeitungen vor, die auf einer Rechtsgrundlage im Recht des Mitgliedstaates, dem der Verantwortliche unterliegt, beruhen und falls diese Rechtsvorschriften den konkreten Verarbeitungsvorgang oder die konkreten Verarbeitungsvorgänge regeln und bereits im Rahmen der allgemeinen Folgenabschätzung im Zusammenhang mit dem Erlass dieser Rechtsgrundlage eine Datenschutz-Folgenabschätzung erfolgte.
Es kann davon ausgegangen werden, dass im Rahmen der allgemeinen Folgenabschätzung die Datenschutz-Folgenabschätzung auch im Anwendungsbereich der Richtlinie (EU) 2016/680 bereits auf der gesetzlichen Ebene vorweggenommen werden kann, sofern mit der Datenschutz-Folgenabschätzung alle Kriterien des Art. 35 Abs. 7 DSGVO und Art. 27 der Richtlinie (EU) 2016/680 erfüllt und alle Verarbeitungsvorgänge abgedeckt sind.
Anmerkungen
1
Art 35 Abs 1, 2, 3, 7 und 11 DSGVO lauten:
Artikel 35
Datenschutz-Folgenabschätzung
(1) Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.
(2) Der Verantwortliche holt bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten, sofern ein solcher benannt wurde, ein.
(3) Eine Datenschutz-Folgenabschätzung gemäß Absatz 1 ist insbesondere in folgenden Fällen erforderlich:
a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
[...]
(7) Die Folgenabschätzung enthält zumindest Folgendes:
a) eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
b) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
c) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
d) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
[...]
(11) Erforderlichenfalls führt der Verantwortliche eine Überprüfung durch, um zu bewerten, ob die Verarbeitung gemäß der Datenschutz-Folgenabschätzung durchgeführt wird; dies gilt zumindest, wenn hinsichtlich des mit den Verarbeitungsvorgängen verbundenen Risikos Änderungen eingetreten sind.
2
Datenverarbeitungen, die auf einer Rechtsgrundlage beruhen, in der die konkreten Verarbeitungsvorgänge bereits geregelt sind und hinsichtlich derer eine Datenschutz-Folgenabschätzung bereits im Rahmen der Erlassung der Rechtsgrundlage erfolgte, bedürfen im Regelfall keiner Datenschutz-Folgenabschätzung seitens des Verantwortlichen mehr (vgl Art 35 Abs 10 DSGVO).
3
Die Datenschutz-Folgenabschätzung kann diesfalls im Zuge des parlamentarischen Begutachtungsverfahrens durchgeführt werden (vgl in diesem Zusammenhang Bundeskanzleramt - Verfassungsdienst, Rundschreiben betreffend die Überprüfung und Anpassung von Materiengesetzen aufgrund der Datenschutz-Grundverordnung [DSGVO] und des Datenschutz-Anpassungsgesetzes 2018, BKA-810.026/0035-V/3/2017, vom , http://archiv.bundeskanzleramt.at/DocView.axd?CobId=66803 [], Pkt IV). Dieses muss jedoch die Anforderungen des § 52 erfüllen.
4
Zum bestehende Datenverarbeitungen, die nach den §§ 17 ff DSG 2000 einer Vorabkontrolle unterzogen wurden, bedürfen keiner Datenschutz-Folgenabschätzung (vgl zu der DSGVO unterliegenden Datenverarbeitungen Artikel-29-Datenschutzgruppe, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is „likely to result in a high risk“ for the purposes of Regulation 2016/679, WP 248 rev..2017, 13).