Datenschutzbehörde veröffentlicht „Black List“ für Zwecke der Datenschutz-Folgenabschätzung (Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist – DSFA-V)

Mit der Datenschutz-Grundverordnung (DSGVO) wird in Artikel 35 das neue Instrument der Datenschutz-Folgenabschätzung (DSFA) eingeführt. Sie verpflichtet Verantwortliche bei Vorliegen bestimmter Voraussetzungen zur Durchführung einer DSFA. Bei einem Verstoß gegen die Verpflichtung drohen Geldbußen von bis zu EUR 10 Mio. oder – im Fall eines Unternehmens – von bis zu 2% des gesamten weltweit erzielten Jahresumsatzes (siehe auch Art. 83 Abs. 4 lit. a DSGVO).

Nach Artikel 35 Absatz 4 DSGVO haben die nationalen Datenschutzbehörden eine Liste zu veröffentlichen, die diese Voraussetzungen und insbesondere jene Verarbeitungsvorgänge konkretisiert, für die jedenfalls eine DSFA durchzuführen ist (sogenannte „Black List“). Übereinstimmend mit dem österreichischen Datenschutzgesetz (DSG) hat die Datenschutzbehörde von ihrer Kompetenz Gebrauch gemacht und die entsprechende „Black List“ am 9.11.2018 im Wege einer Verordnung (DSFA-V; BGBl. II Nr. 278/2018) im Bundesgesetzblatt kundgemacht.

Die DSFA-V bildet das Pendant zur bereits am 25.5.2018 kundgemachten Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV; BGBl. II Nr. 108/2018, sogenannte „White List“). Die Bestimmun...