th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Ablaufplan Datenschutz-Folgenabschätzung

Checkliste - Prüfschritte

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

1. Prüfung, ob überhaupt die Voraussetzungen für die Durchführung einer verpflichtenden Datenschutz-Folgenabschätzung vorliegen:

Wird bei der beabsichtigten Datenverarbeitung neue Technologie verwendet oder be­steht aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen?

Wird eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) durchgeführt, die in weiterer Folge als Grundlage für Entscheidun­gen herangezogen werden soll, die für natürliche Personen Rechtswirkungen ent­falten könnte (z.B. zur Frage der Kreditvergabe)?

Werden in umfangreicher Art und Weise sensible Daten oder Daten über strafrechtliche Verurteilungen und Straftaten selbst verarbeitet?

Erfolgt bei der Datenverarbeitung eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachungen)?

Gibt es Listen der Datenschutzbehörde, die Fälle aufzählen, in denen eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist bzw nicht durchzuführen ist?

2. Erhebung der zu verarbeitenden personenbezogenen Datenarten (z.B. Namen, Adressen, Kontaktdaten, sensible Daten) und Feststellen der Rechtsgrundlage für die Datenverarbeitung:

Welche Datenarten werden verarbeitet? Besondere Datenkategorien („sensible Daten“) oder nicht-sensible Daten?

Liegt eine Einwilligungserklärung des Betroffenen vor? Bei Kindern: Ist im Falle eines direkt an Kindern gerichtetes Angebot von Diensten der Informationsgesellschaft die datenschutzrechtliche Einwilligung von einem Kind abgegeben worden, das das 14. Lebensjahr vollendet hat? Bei Kindern bis zur Vollendung des 14. Lebensjahres: Liegt die datenschutzrechtliche Einwilligung des gesetzlichen Vertreters vor (idR die Eltern)?

Ist die Datenverarbeitung für eine Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen erforderlich?

Ist die Datenverarbeitung (auch „sensibler Daten“) für die Erfüllung einer rechtlichen Verpflichtung, z.B. aus dem Arbeitsrecht, erforderlich? 

Ist die Datenverarbeitung erforderlich, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen?  

Ist die Datenverarbeitung für eine Aufgabenerfüllung erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde?

Besteht auf Seiten des Verantwortlichen oder eines Dritten ein berechtigtes Interesse an der Datenverarbeitung, und überwiegen nicht die Interessen oder Grundfreiheiten der betroffenen Person? 

In Bezug auf (gerichtlich- oder verwaltungs-)strafrechtlich relevante Daten

Besteht eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verarbeitung?

Ist die Verarbeitung der strafrechtlich relevanten Daten aus gesetzlichen Sorgfaltspflichten oder zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich und überwiegen die Interessen des Betroffenen dabei nicht? Wird die Wahrung der Interessen der betroffenen Person durch die Art und Weise der Verarbeitung gewährleistet?

Bei „sensiblen“ Daten

Liegt eine ausdrückliche Einwilligung vor?

Ist die Datenverarbeitung erforderlich, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen und ist der Betroffene aus körperlichen oder rechtlichen Gründen außerstande, die Einwilligung zu geben?

Wurden die „sensiblen Daten“ offensichtlich von der betroffenen Person öffentlich zugänglich gemacht?

Ist die Verarbeitung „sensibler Daten“ zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich?

Erfolgt die Verarbeitung der „sensiblen Daten“ auf der Grundlage geeigneter Garantien (z.B. verbindliche interne Datenschutzvorschriften, Zertifizierungen) durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemaligen Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakt mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Person nach außen offengelegt werden?

Ist die Verarbeitung „sensibler Daten“ auf Grundlage gesetzlicher Vorgaben aus Gründen eines erheblichen öffentlichen Interesses erforderlich?

Ist die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage von Gesetzen oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich?

Ist die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden, grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage von europarechtlichen oder nationalen Gesetzen erforderlich?

Ist die Verarbeitung auf gesetzlicher Grundlage für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich?

3. Werden die folgenden datenschutzrechtlichen Prinzipien eingehalten? 

  • Transparenz: Werden die Informationspflichten erfüllt?
  • Zweckbindungsgrundsatz: Erfolgt die Datenverarbeitung für festgelegte, eindeutige und legitime Zwecke?
  • Minimierungs- und Verhältnismäßigkeitsprinzip: Ist die Datenverarbeitung im Verhältnis zur Zweckerreichung angemessen? Beschränkt sich die Datenverarbeitung auf das notwendige Maß und ist sie für die Zweckerreichung erheblich (z.B. in Bezug auf die Datenarten, personellen Zugriff oder die Speicherungsdauer)?
  • Wie wird sichergestellt, dass die Daten sachlich richtig und auf dem möglichst neuesten Stand sind?
  • Integrität und Vertraulichkeitsgrundsatz: Welche Maßnahmen zur Datensicherheit wurden getroffen?  
  • Rechenschaftspflicht: Wie kann bei Anfrage der Aufsichtsbehörde die Einhaltung der datenschutzrechtlichen Prinzipien und Rechtmäßigkeitsvoraussetzungen (z.B. Vorliegen einer Einwilligungserklärung) nachgewiesen werden?

4. Darlegung der Gründe, warum eine Datenschutz-Folgenabschätzung für erforderlich betrachtet wird bzw. für nicht erforderlich betrachtet wird (z.B. Bestehen einer Ausnahme gem. der „white list“[1]).

5. Konsultierung eines allenfalls bestellten betrieblichen Datenschutzbeauftragten

6. Beschreibung der geplanten Verarbeitungsvorgänge

7. Welche möglichen Risiken bei der beabsichtigten Datenverarbeitung bestehen für folgende Schutzziele? 

  • Datenverfügbarkeit: Bestehen bei der beabsichtigten Datenverarbeitung Risiken in Bezug auf die Erfüllung der Betroffenenrechte (z.B. Auskunftsrecht, Widerrufsrecht, Widerspruchsrecht, Berichtigungsrecht, Löschungsrecht, Datenübertragbarkeitsrecht, Data Breach Notification)?
  • Integrität und Vertraulichkeit: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf den Schutz der Privatsphäre des Betroffenen in Form etwa unbefugter oder unrechtmäßiger Verarbeitung, (unbeabsichtigten) Verlust, (unbeabsichtigter) Zerstörung oder (unbeabsichtigter) Schädigung?
  • Zweckbindung: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf die Einhaltung des Zweckbindungsgrundsatzes? Besteht die Gefahr, dass im Zuge der Datenverarbeitung von der Einhaltung des einmal festgelegten eindeutigen Datenverarbeitungszweckes abgegangen wird?
  • Sonstige Datenschutzprinzipien: Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den sonstigen datenschutzrechtlichen Grundsätzen (z.B. Datenminimierung, Richtigkeit, Speicherbegrenzung, Transparenz) nicht nachge­kommen werden kann? Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den vorge­schriebenen Informationspflichten nicht nachgekommen werden kann.

8. Auf Basis der Identifizierung möglicher Risiken wird sodann eine Risikoanalyse durchgeführt: Zunächst werden die möglichen Bedrohungen festgehalten (Von wem kann das Risiko ausgehen? Was könnten die Motive für die Bedrohung sein? Was könnte das mögliche Bedrohungsziel sein?). In weiterer Folge wird die Eintrittswahrscheinlichkeit des Risikos zu beurteilen sein und die daraus folgenden möglichen Folgen einer Risikoverwirklichung für die Betroffenenrechte.

Diese möglichen Risikofolgen könnten beispielsweise sein:

  • physischer, materieller und immaterieller Schaden beim Betroffenen
  • Verlust der Kontrolle über die Daten
  • Einschränkung bei der Erfüllung der Betroffenenrechte
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzielle Verluste
  • unbefugte Aufhebung der Pseudonymisierung
  • Rufschädigung
  • Verlust der Vertraulichkeit (der Privatsphäre)
  • erhebliche wirtschaftliche oder gesellschaftliche Nachteile

9. Festhalten der bisher getroffenen Abhilfemaßnahmen (status-quo-Erhebung): z.B. Anonymisierung- oder Pseudonymisierungsmaßnahmen, Einsatz von Verschlüsselungstechnologien etc.

10. Aufstellung eines Maßnahmenplanes: Auf Basis der bisherigen Prüfschritte können allfällige „Lücken“ bei der Risikominimierung oder –behebung festgestellt werden und sollte daraus ein entsprechender Maßnahmenplan abgeleitet werden. Dieser Maßnahmenplan könnte nachfolgende Bereiche umfassen:

  • personelle Maßnahmen: z.B. PC-Benutzungsregelungen, Verpflichtungserklärungen der Mitarbeiter in Bezug auf die Einhaltung des Datengeheimnisses, Verfahren bei personellen Änderungen, Regelung bei Einsatz von Fremdpersonal, Schulungen, Abwehr von „social engineering-Angriffen“
  • organisatorische Maßnahmen: z.B. Änderung des internen Prozessablaufes zur Wahrung der Betroffenenrechte
  • Computersicherheit und Virenschutz: z.B. Regelungen betreffend der Auswahl von Passwörtern, Umgang mit Wechselmedien, Einsatz von mobilen IT-Geräten
  • Netzwerksicherheit: z.B. Firewalls, Sicherheit von Web-Browsern
  • Datensicherung und Notfallvorsorge: z.B. die Erstellung eines Datensicherungskonzeptes, Regelung betreffend back-up-Datenträger
  • bauliche und infrastrukturelle Maßnahmen: z.B. Zutrittskontrollen, Zugangsbeschränkungen etc.

Bei der Entscheidung, welche konkreten Maßnahmen umgesetzt werden sollen/müssen, ist unter Berücksichtigung

  • des Standes der Technik,
  • der Implementierungskosten und
  • der Art des Umfangs, der Umstände und der Datenverarbeitungszwecke sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Betroffenenrechte

darauf zu achten, dass ein jeweils angemessenes Schutzniveau gewährleistet wird. Es empfiehlt sich daher eine entsprechende Risikoauflistung (z.B. Risikomatrix) zu erstellen und danach Prioritäten bei der Maßnahmenumsetzung zu setzen.

Bleibt in einem Bereich ein hohes Risiko für die Betroffenenrechte bestehen, für das keine Minimierungsmaßnahmen gesetzt werden (können), ist die Datenschutzbehörde zu konsultieren.


[1] Von der Datenschutzbehörde im Wege einer Verordnung im Bundesgesetzblatt kundzumachen. Eine derartige Verordnung ist derzeit noch nicht vorhanden.

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.