Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist
Am 9. November 2018 hat die österreichische Datenschutzbehörde eine Liste mit Verarbeitungsvorgängen veröffentlicht, welche in jedem Fall eine Datenschutz-Folgenabschätzung (“DSFA”) erfordern. Nach der EU Datenschutz-Grundverordnung (DSGVO) muss der Verantwortliche eine DSFA durchführen, wenn bestimmte Voraussetzungen gemäß Art 35 erfüllt sind. Die sogenannte “Blacklist”, die von den nationalen Datenschutzbehörden veröffentlicht wird, soll jene Szenarien näher konkretisieren, welche eine Verpflichtung zur Durchführung einer DSFA auslösen, wobei die Bestimmungen der DSGVO davon unberührt bleiben.
Die österreichische Blacklist beschränkt sich vorwiegend darauf, die in Art 35 bereits genannten Kriterien wiederzugeben, sodass weiterhin einige Graubereiche der Interpretation der einzelnen Verantwortlichen überlassen werden. Ein Verstoß gegen die Verpflichtung zur Durchführung einer DSFA kann mit Geldstrafen von bis zu EUR 10 Mio. oder 2% des gesamten weltweit erzielten Jahresumsatzes sanktioniert werden.
Im Einzelnen:
Nach der Blacklist muss eine DSFA beispielsweise für Datenverarbeitungen im Zusammenhang mit den folgenden Tätigkeiten durchgeführt werden:
- Führung von Bonitäts-Datenbank, AML- oder Anti-Betrugs-Datenbank, Verhaltens- und Marketing-Profile, Profiling für vereinfachte und automatisierte Entscheidungsfindungen im Finanz-, Versicherungs-, Gesundheits- oder Marketing-Sektor;
- einige spezifische Verarbeitungstätigkeiten zum Zwecke der Beobachtung, Überwachung oder Kontrolle natürlicher Personen (inklusive Body-Cams in öffentlichen und nicht-öffentlichen Bereichen);
- neuartige Technologien oder organisatorische Lösungen, welche die Abschätzung der Auswirkungen auf die betroffenen Personen und die gesellschaftlichen Folgen erschweren, insbesondere durch den Einsatz von künstlicher Intelligenz und die Verarbeitung biometrischer Daten (zB Zugangskontrollen durch eine Kombination von Fingerabdrücken und Gesichtserkennung);
- Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern durch die Anwendung von Algorithmen Entscheidungen getroffen werden können, welche die betroffene Person in erheblicher Weise beeinträchtigen (zB Scoring-Methoden zur Prognose des künftigen Verhaltens einer Person, Betrugsvermeidungs-Systeme in Online-Shops, welche über die angebotenen Zahlungsmethoden entscheiden etc);
oder wenn zumindest zwei der nachstehenden Kriterien erfüllt sind:
- umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art 9 DSGVO;
- umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten;
- Erfassung von Standortdaten im Sinne des Telekommunikationsgesetzes 2003;
- Verarbeitung von Daten schutzbedürftiger betroffener Personen (zB Arbeitnehmer, Patienten, unmündige Minderjährige etc);
- Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen, die zu unterschiedlichen Zwecken und/oder von verschiedenen Verantwortlichen durchgeführt wurden, im Rahmen einer Datenverarbeitung, die über die von einer betroffenen Person üblicherweise zu erwartenden Verarbeitungen hinausgeht, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt bei der betroffenen Person erhoben wurden.
Im Zusammenhang mit Beschäftigungsverhältnissen bestehen Ausnahmen, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt.
Als wesentliche Änderung zur ursprünglichen Entwurfsversion der österreichischen Blacklist ist hervorzustreichen, dass Datenverarbeitungen im Falle von “gemeinsamen Verantwortlichen” im Sinne des Art 26 DSGVO nicht mehr automatisch der Verpflichtung zur Durchführung einer DSFA unterliegen.
Ausnahmen von der DSFA aufgrund der Whitelist
Anzumerken ist, dass die Blacklist keine Anwendung auf jene Datenverarbeitungen findet, welche von der sogenannten “Whitelist” erfasst sind. Diese Whitelist wurde von der österreichischen Datenschutzbehörde am 25. Mai 2018 veröffentlicht und bestimmt jene Verarbeitungstätigkeiten, welche unter bestimmten Voraussetzungen von der Durchführung einer DSFA ausgenommen sind. Dazu zählen beispielsweise die Personalverwaltung, Kundendienste und Marketing für eigene Zwecke, und Videoüberwachung.
Read the full text
Datenschutzbehörde veröffentlicht Blacklist
Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist Am 9. November 2018 hat die österreichische Datenschutzbehörde eine Liste mit Verarbeitungsvorgängen veröffentlicht, welche in jedem Fall eine Datenschutz-Folgenabschätzung (“DSFA”) erfordern. Nach der EU Datenschutz-Grundverordnung (DSGVO) muss der Verantwortliche eine DSFA durchführen, wenn bestimmte Voraussetzungen gemäß Art 35 erfüllt sind. Die sogenannte “Blacklist”, die von den […]...
Romanian data protection authority’s decision on investigation procedure
Decision no. 161/09/10/2018 of The National Supervisory Authority for Personal Data Processing (“ANSPDCP”), on the approval of the Investigations Procedure entered into force on the 23rd of October 2018, in accordance with the powers given by the General Data Protection Regulation to the supervisory authorities. According to the new procedure, investigations can be carried out […]...
Amendment of the Austrian act against unfair competition (UWG) – The directive on the protection of know-how enters into force in early 2019
Directive (EU) 2016/943 “on the protection of undisclosed know-how and business information (trade secrets) against their unlawful acquisition, use and disclosure”, adopted on 8 June 2016, will be implemented in Austria by an amendment to the Federal Act against Unfair Competition (UWG) and is to enter into force on 1 February 2019. With the implementation […]...
UWG Novelle 2018 – Die Richtlinie zum Schutz von Know-How tritt in Kraft
Die am 8.6.2016 verabschiedete Richtlinie (EU) 2016/943 “über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnisse) vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung” wird in Österreich durch eine Novelle zum Gesetz gegen den unlauteren Wettbewerb (UWG) umgesetzt und soll mit 1.2.2019 in Kraft treten. Mit der Umsetzung der Geschäftsgeheimnis-RL der EU wird der Schutz […]...
New amendment to Polish civil code has an impact on the activity of credit institutions
The Polish Parliament recently adopted the Act of 6 December 2018 on amendment to the Civil Code (the “Act”), which may be of significance to many financial institutions and borrowers. The Act provides that long-term loans granted by financial institutions will no longer be exempt from the prohibition on charging compound interest (zakaz anatocyzmu). Polish […]...
Amendment of the Hungarian labour code
Triggering intense emotions and protestation, the bill related to the amendment of the Hungarian Labour Code has been accepted by the Parliament on the 12th of December 2018, and after signature by the President of the Republic entered into effect as of 1 January 2019. In the attached, we summarize the most furiously and frequently […]...
Trademark offensive 2.0 – Full adoption of the EU trademark directive in January 2019
Following the implementation of several new provisions of Austrian trademark law in 2017, the second amendment completely implements the EU Trademark Directive in the Austrian Trademark Act (MSchG). It modernizes the concept of trademarks in Austrian law and eases access to the legal protection system. The amendment to the Austrian Trademark Act entered into force on 14 January 2019....
Serbia: Companies to register UBOs by 31 January
On 31 December 2018, the Central Register of Ultimate Beneficial Owners (“Central Register”) has been established with the Serbian Business Register Agency (“BRA”). Serbian companies, institutions, as well as branches and representative offices established by foreign investors in Serbia, are among the entities designated by the Serbian Law on Central Register as entities whose legal […]...
AML in Bulgaria: New deadlines
On 8th of January 2019 the Rules for Implementation of the Anti-Money Laundering Act (in Bulgarian: Правилник за прилагане на Закона за мерките срещу изпирането на пари) have been published. This is the key piece of legislation that was missing from the framework introduced into the Bulgarian law with the transposition of 4th EU AML […]...
Amendments of the trade unions act
On 1 January 2019, important amendments of the Trade Unions Act came into force enabling individuals engaged under civil law contracts, in particular contractors or self-employed individuals, to set up or join trade unions, provided that such individuals do not employ other persons for the same kind of work they perform for the employer. Consequently, […]...
Upcoming changes to employment documentation
The Polish Parliament has adopted an act that became effective 1 January 2019 and shortens the retention period of human resource files and allows them to be stored in an electronic form. HOW LONG TO STORE EMPLOYMENT DOCUMENTATION? Former law required employers to store documentation related to an employee and the employment relationship (“employee documentation”) […]...
Austrian GDPR-tracker: Data protection authority on erasure by way of anonymization
Destruction or anonymization of personal data – an appropriate way to comply with the right to erasure? The Austrian Data Protection Authority (DPA) has further consolidated its case law on the right to erasure. Following decisions on the relationship between erasure obligations and legal retention periods as well as on the storage of contact data […]...