th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Datenschutz-Folgenabschätzung und vorherige Konsultation

Voraussetzungen und Analyseschritte für die Risiko-Folgenabschätzung

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Die DSGVO sieht keine Meldung mehr an das Datenverarbeitungsregister (DVR) vor und auch die DVR-Nummer gehört der Vergangenheit an. Als Ersatz für den Entfall der „vorsorglichen“ Überprüfung im Rahmen der Meldeverpflichtungen bei der Datenschutzbehörde werden Verantwortliche ua (siehe dazu auch  „Verantwortlicher und Auftragsverarbeiter“) verpflichtet, in Eigenregie eine Evaluierung von Datenverarbeitungen durchzuführen. Damit sollen die Auswirkungen und Risiken der Datenverarbeitungen (nach einer allgemeinen Risikoabschätzung) für die Rechte der Betroffenen analysiert und die Folgen der vorgesehenen Datenverarbeitungen für den Datenschutz abgeschätzt werden. Diese „Selbstevaluierung“ bezeichnet die DSGVO als Datenschutz-Folgenabschätzung.

Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?

Die DSGVO bestimmt, dass eine Datenschutz-Folgenabschätzung insbesondere dann zu erfolgen hat, wenn etwa neue Technologien verwendet werden oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. 

Beispielhaft führt die DSGVO selbst folgende Fälle an:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen: Hiermit sind vor allem Profiling-Maßnahmen angesprochen, die als Grundlage für Entscheidungen dienen, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen können, z.B. bei der Frage, ob einer natürlicher Person ein Kredit gewährt wird oder nicht,
  • bei einer umfangreichen Verarbeitung  sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten,
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche: z.B. mittels Videoüberwachung.

Die Datenschutzbehörde hat Listen zu erstellen, die weitere, konkrete Verarbeitungsvorgänge aufzählen, bei denen auf jeden Fall eine Datenschutz-Folgenabschätzung durchzuführen ist bzw kann sie Listen für Fälle erstellen, in denen keine Datenschutz-Folgenabschätzung erforderlich ist. Zum gegenwärtigen Zeitpunkt liegen keine derartigen Listen vor. 

Ob die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung vorliegen, obliegt der Beurteilung des Verantwortlichen selbst. Hat der verantwortliche Datenverarbeiter einen Datenschutzbeauftragten bestellt, muss er diesen bei der Durchführung der Datenschutz-Folgenabschätzung zu Rate ziehen.

Liegt ein Ansatzpunkt für eine verpflichtende Durchführung einer Datenschutz-Folgenabschätzung vor (vgl obige Aufzählungen), hat der Verantwortliche die Datenschutz-Folgenabschätzung vor der Aufnahme der Datenverarbeitung durchzuführen. 

Was muss die Datenschutz-Folgenabschätzung umfassen? 

Die Datenschutz-Folgenabschätzung muss zumindest folgendes enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge,

  • die Beschreibung der Verarbeitungszwecke (beruft sich der Verantwortliche allenfalls auf die Rechtmäßigkeitsgrundlage des „berechtigten Interesses“, muss er auch bei der Folgenabschätzung dieses berechtigte Interesse beschreiben),

  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den verfolgten Zweck: So muss etwa bewertet werden, ob die Datenverarbeitung für die Zweckerreichung unumgänglich ist oder ob es nicht gelindere Maßnahmen zur Zweckerreichung gibt,

  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Perso­nen: Betroffenenrechte wie beispielsweise das Auskunfts-, Löschungs- oder Widerspruchsrecht; weiters die allgemeinen Grundprinzipien wie etwa der Zweckmäßigkeitsgrundsatz, die Transparenz oder die Datenminimierung,

  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Datenschutz sichergestellt wird: z.B. Pseudonymisierungs- oder Anonymisierungsmaßnahmen, organisatorische oder personelle Maßnahmen wie etwa Zutritts- oder Zugangsbeschränkungen oder Verschlüsselungen. Bestehen von Unternehmensverbänden Verhaltensregeln, die von der Datenschutzbehörde genehmigt wurden, und hält sich der Verantwortliche auch an diese, können diese bei der Risikobewertung bzw. bei der Bewertung der geplanten Abhilfemaßnahmen gebührend berücksichtigt werden,

  • die vom Datenschutzbeauftragten erteilten Empfehlungen und die dazu getroffenen Entscheidungen,

  • gegebenenfalls den Standpunkt der Betroffenen.

Vorherige Konsultation der Datenschutzbehörde 

Sollte auf Basis der Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person festgestellt werden und kann der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos treffen, hat er vor der Verarbeitung die Datenschutzbehörde zu konsultieren. Diese kann dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraumes von bis zu 8 Wochen nach Erhalt des Konsultationsersuchens schriftliche Empfehlungen erteilen. Sollte der beabsichtigte Datenverarbeitungsvorgang eine entsprechende Komplexität aufweisen, kann diese Frist um 6 Wochen verlängert werden. Der Verantwortliche oder gegebenenfalls der Auftragsverarbeiter sind über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Konsultationsersuchens von der Datenschutzbehörde zu informieren. 

Dem Konsultationsersuchen sind nachfolgende Informationen beizulegen:

  • Angaben zu den Zuständigkeiten des Verantwortlichen (z.B. rechtliche Befugnisse aufgrund einer Berufsberechtigung wie etwa einer Gewerbeberechtigung), der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen,
  • die Zwecke und die Mittel der beabsichtigten Verarbeitung,
  • die zum Schutz der Rechte und der Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien,
  • sollte ein betrieblicher Datenschutzbeauftragter bestellt worden sein, sind dessen Kontaktdaten anzugeben,
  • die Ausführungen zur Datenschutz-Folgenabschätzung und
  • allenfalls von der Aufsichtsbehörde selbst angeforderte Informationen.

Geldstrafen  

Die Missachtung der Verpflichtung zur Datenschutz-Folgenabschätzung und zur vorherigen Konsultation ist mit bis zu EUR 10 Mio oder 2% des letztjährigen weltweiten Jahresumsatzes sanktioniert.   

Anlage

Prüfschritte bei der Datenschutz-Folgenabschätzung 

1. Prüfung, ob überhaupt die Voraussetzungen für die Durchführung einer verpflichtenden Datenschutz-Folgenabschätzung vorliegen:

Wird bei der beabsichtigten Datenverarbeitung neue Technologie verwendet oder besteht aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen? 

Wird eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) durchgeführt, die in weiterer Folge als Grundlage für Entscheidungen herangezogen werden soll, die für natürliche Personen Rechtswirkungen entfalten könnte (z.B. zur Frage der Kreditvergabe)? 

Werden in umfangreicher Art und Weise sensible Daten oder Daten über strafrechtliche Verurteilungen und Straftaten selbst verarbeitet? 

Erfolgt bei der Datenverarbeitung eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachungen)? 

Gibt es Listen der Datenschutzbehörde, die Fälle aufzählen, in denen eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist bzw nicht durchzuführen ist? 

2. Erhebung der zu verarbeitenden personenbezogenen Datenarten (z.B. Namen, Adressen, Kontaktdaten, sensible Daten) und Feststellen der Rechtsgrundlage für die Datenverarbeitung:

Welche Datenarten werden verarbeitet? Besondere Datenkategorien („sensible Daten“) oder nicht-sensible Daten?

Liegt eine Einwilligungserklärung des Betroffenen vor? Bei Kindern: Ist im Falle eines direkt an Kindern gerichtetes Angebot von Diensten der Informationsgesellschaft die datenschutzrechtliche Einwilligung von einem Kind abgegeben worden, das das 14. Lebensjahr vollendet hat? Bei Kindern bis zur Vollendung des 14. Lebensjahres: Liegt die datenschutzrechtliche Einwilligung des gesetzlichen Vertreters vor (idR die Eltern)?

Ist die Datenverarbeitung für eine Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen erforderlich? 

Ist die Datenverarbeitung (auch „sensibler Daten“) für die Erfüllung einer rechtlichen Verpflichtung, z.B. aus dem Arbeitsrecht, erforderlich?

Ist die Datenverarbeitung erforderlich, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen? 

Ist die Datenverarbeitung für eine Aufgabenerfüllung erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde? 

Besteht auf Seiten des Verantwortlichen oder eines Dritten ein berechtigtes Interesse an der Datenverarbeitung, und überwiegen nicht die Interessen oder Grundfreiheiten der betroffenen Person? 

In Bezug auf (gerichtlich- oder verwaltungs-)strafrechtlich relevante Daten

Besteht eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verarbeitung?

Ist die Verarbeitung der strafrechtlich relevanten Daten aus gesetzlichen Sorgfaltspflichten oder zur Wahrung berechtigter Interessen des Verantwortlichen oder eines Dritten erforderlich und überwiegen die Interessen des Betroffenen dabei nicht? Wird die Wahrung der Interessen der betroffenen Person durch die Art und Weise der Verarbeitung gewährleistet?

Bei „sensiblen“ Daten:

Liegt eine ausdrückliche Einwilligung vor?

Ist die Datenverarbeitung erforderlich, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen und ist der Betroffene aus körperlichen oder rechtlichen Gründen außerstande, die Einwilligung zu geben?

Wurden die „sensiblen Daten“ offensichtlich von der betroffenen Person öffentlich zugänglich gemacht?

Ist die Verarbeitung „sensibler Daten“ zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich?

Erfolgt die Verarbeitung der „sensiblen Daten“ auf der Grundlage geeigneter Garantien (z.B. verbindliche interne Datenschutzvorschriften, Zertifizierungen) durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemaligen Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakt mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Person nach außen offengelegt werden?

Ist die Verarbeitung „sensibler Daten“ auf Grundlage gesetzlicher Vorgaben aus Gründen eines erheblichen öffentlichen Interesses erforderlich?

Ist die Verarbeitung für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage von Gesetzen oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich?

Ist die Verarbeitung aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden, grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage von europarechtlichen oder nationalen Gesetzen erforderlich?

Ist die Verarbeitung auf gesetzlicher Grundlage für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich?

3. Werden die folgenden datenschutzrechtlichen Prinzipien eingehalten? 

  • Transparenz: Werden die Informationspflichten erfüllt?
  • Zweckbindungsgrundsatz: Erfolgt die Datenverarbeitung für festgelegte, eindeutige und legitime Zwecke?
  • Minimierungs- und Verhältnismäßigkeitsprinzip: Ist die Datenverarbeitung im Verhältnis zur Zweckerreichung angemessen? Beschränkt sich die Datenverarbeitung auf das notwendige Maß und ist sie für die Zweckerreichung erheblich (z.B. in Bezug auf die Datenarten, personellen Zugriff oder die Speicherungsdauer)?
  • Wie wird sichergestellt, dass die Daten sachlich richtig und auf dem möglichst neuesten Stand sind?
  • Integrität und Vertraulichkeitsgrundsatz: Welche Maßnahmen zur Datensicherheit wurden getroffen?  
  • Rechenschaftspflicht: Wie kann bei Anfrage der Aufsichtsbehörde die Einhaltung der datenschutzrechtlichen Prinzipien und Rechtmäßigkeitsvoraussetzungen (z.B. Vorliegen einer Einwilligungserklärung) nachgewiesen werden?

4. Darlegung der Gründe, warum eine Datenschutz-Folgenabschätzung für erforderlich bzw. allenfalls für nicht erforderlich betrachtet wird (z.B. Bestehen einer Ausnahme gem. der "white list"[1].

5. Konsultierung eines allenfalls bestellten betrieblichen Datenschutzbeauftragten 

6. Beschreibung der geplanten Verarbeitungsvorgänge 

7. Welche möglichen Risiken bei der beabsichtigten Datenverarbeitung bestehen für folgende Schutzziele? 

  • Datenverfügbarkeit: Bestehen bei der beabsichtigten Datenverarbeitung Risiken in Bezug auf die Erfüllung der Betroffenenrechte (z.B. Auskunftsrecht, Widerrufsrecht, Widerspruchsrecht, Berichtigungsrecht, Löschungsrecht, Datenübertragbarkeitsrecht, Data Breach Notification)?

  • Integrität und Vertraulichkeit: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf den Schutz der Privatsphäre des Betroffenen in Form etwa unbefugter oder unrechtmäßiger Verarbeitung, (unbeabsichtigten) Verlust, (unbeabsichtigter) Zerstörung oder (unbeabsichtigter) Schädigung?

  • Zweckbindung: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf die Einhaltung des Zweckbindungsgrundsatzes?
    Besteht die Gefahr, dass im Zuge der Datenverarbeitung von der Einhaltung des einmal festgelegten eindeutigen Datenverarbeitungszweckes abgegangen wird?

  • Sonstige Datenschutzprinzipien: Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den sonstigen datenschutzrechtlichen Grundsätzen (z.B. Datenminimierung, Richtigkeit, Speicherbegrenzung, Rechtmäßigkeit, Transparenz) nicht nachgekommen werden kann? Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den vorgeschriebenen Informationspflichten nicht nachgekommen werden kann? 

8. Auf Basis der Identifizierung möglicher Risiken wird sodann eine Risikoanalyse durchgeführt: Zunächst werden die möglichen Bedrohungen festgehalten (Von wem kann das Risiko ausgehen? Was könnten die Motive für die Bedrohung sein? Was könnte das mögliche Bedrohungsziel sein?). In weiterer Folge wird die Eintrittswahrscheinlichkeit des Risikos zu beurteilen sein und die daraus folgenden möglichen Folgen einer Risikoverwirklichung für die Betroffenenrechte. 

Diese möglichen Risikofolgen könnten beispielsweise sein:  

  • physischer, materieller und immaterieller Schaden beim Betroffenen
  • Verlust der Kontrolle über die Daten
  • Einschränkung bei der Erfüllung der Betroffenenrechte und allgemeine Grundsätze
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzielle Verluste
  • unbefugte Aufhebung der Pseudonymisierung
  • Rufschädigung
  • Verlust der Vertraulichkeit (der Privatsphäre)
  • erhebliche wirtschaftliche oder gesellschaftliche Nachteile

9. Festhalten der bisher getroffenen Abhilfemaßnahmen (status-quo-Erhebung): z.B. Anonymisierung- oder Pseudonymisierungsmaßnahmen, Einsatz von Verschlüsselungstechnologien etc. 

10. Aufstellung eines Maßnahmenplanes: Auf Basis der bisherigen Prüfschritte können allfällige „Lücken“ bei der Risikominimierung oder –behebung festgestellt werden und sollte daraus ein entsprechender Maßnahmenplan abgeleitet werden. Dieser Maßnahmenplan könnte nachfolgende Bereiche umfassen: 

  • personelle Maßnahmen: z.B. PC-Benutzungsregelungen, Verpflichtungserklärungen der Mitarbeiter in Bezug auf die Einhaltung des Datengeheimnisses, Verfahren bei personellen Änderungen, Regelung bei Einsatz von Fremdpersonal, Schulungen, Abwehr von „social engineering-Angriffen“
  • organisatorische Maßnahmen: z.B. Änderung des internen Prozessablaufes zur Wahrung der Betroffenenrechte und datenschutzrechtlichen Grundsätze, etwa durch betriebsinterne Richtlinien
  • Computersicherheit und Virenschutz: z.B. Regelungen betreffend der Auswahl von Passwörtern, Umgang mit Wechselmedien, Einsatz von mobilen IT-Geräten
  • Netzwerksicherheit: z.B. Firewalls, Sicherheit von Web-Browsern
  • Datensicherung und Notfallvorsorge: z.B. die Erstellung eines Datensicherungskonzeptes, Regelung betreffend back-up-Datenträger
  • bauliche und infrastrukturelle Maßnahmen: z.B. Zutrittskontrollen, Zugangsbeschränkungen, etc.

Bei der Entscheidung, welche konkreten Maßnahmen umgesetzt werden sollen/müssen, ist unter Berücksichtigung

  • des Standes der Technik,
  • der Implementierungskosten und
  • der Art des Umfangs, der Umstände und der Datenverarbeitungszwecke sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Betroffenenrechte

darauf zu achten, dass ein jeweils angemessenes Schutzniveau gewährleistet wird. Es empfiehlt sich daher eine entsprechende Risikoauflistung (z.B. Risikomatrix) zu erstellen und danach Prioritäten bei der Maßnahmenumsetzung zu setzen. 

Bleibt in einem Bereich ein hohes Risiko für die Betroffenenrechte bestehen, für das keine Minimierungsmaßnahmen gesetzt werden (können), ist die Datenschutzbehörde zu konsultieren.  

Relevante Artikel der DSGVO: Art 5, 35, 36
Relevante Erwägungsgründe: 84, 89-96
Relevante Bestimmungen des DSG (i.d.F. des Datenschutz-Anpassungsgesetzes 2018): § 4


[1] Von der Datenschutzbehörde im Wege einer Verordnung im Bundesgesetzblatt kundzumachen. Eine derartige Verordnung ist derzeit noch nicht vorhanden.


Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.