Datenschutz-Folgenabschätzung (PIA)

Für Österreich ist diese Art der Abschätzung von Folgen einer Verarbeitung / Datenanwendung neu.

 

Es ist zu prüfen, ob und in welchem Ausmaß eine (beabsichtige) Verarbeitung von personenbezogenen Daten Auswirkungen und Risken für die Rechte und Freiheiten von natürlichen Personen zur Folge hat.

hohes Risiko?

Ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen ist in folgenden Fällen jedenfalls anzunehmen:

 

  1. es erfolgt eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling), welche als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlicher erheblicher Weise beeinträchtigen.
  2. umfangreiche Verarbeitung von Daten besonderer Kategorien (Art 9 Daten) oder strafrechtlich relevanten Daten (Art 10 Daten)
  3. Durchführung einer systematischen umfangreichen Überwachung öffentlicher Bereiche (z.B. große Anzahl von Videokameras)
  4. die Verarbeitung findet sich auf einer "schwarzen Liste" der Aufsichtsbehörde

Mindestinhalt

Eine PIA hat einen bestimmten Mindestinhalt, der in Art. 35 Abs 7 DSGVO definiert ist.

 

  1. eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  2. eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
  4. die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Bestimmungen der DSGVO eingehalten werden.

 

 

 

Konsultation

Stellt sich im Rahmen der PIA heraus, dass ein "hohes Risiko" besteht, so ist vor Beginn der Datenverarbeitung die Aufsichtsbehörde zu konsultieren.

 

Dabei handelt es sich ausschließlich um eine "Meldung" und keinen "Antrag auf Genehmigung". Am Ende des Konsultationsprozesses steht allenfalls eine Empfehlung der Aufsichtsbehörde, jedoch keine Genehmigung. Es ist daher nicht nötig, dass eine Reaktion der Behörde abgewartet wird, um mit der Verarbeitung zu beginnen.

 

Die Behörde spricht innerhalb von 8 Wochen eine Empfehlung aus, wenn sie der Auffassung ist, dass die geplante Verarbeitung nicht im Einklang mit der DSVGO seht, insbes. weil keine ausreichende Risikoermittlung erfolgte oder das Risiko nicht ausreichend eingedämmt hat.

 

Die (nationale) Aufsichtsbehörde kann auch tätig werden, und z.B. weitere Informationen einfordern, oder selbständig Untersuchungen anstellen, Zugang zu den personenbezogenen Daten und Informationen einfordern und sich auch Zugang zu den Geschäftsräumen, einschließlich der Datenverarbeitungsanlagen und -geräte nach nationalen Verfahrensvorschriften verschaffen.

 

Es kann jedoch durch nationales Recht ein Genehmigungsverfahren vorgesehen werden, wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit erfolgt