Insbesondere folgende Ressourcen stehen zur Frage, ob eine Datenschutz-Folgenabschätzung ("DPIA") durchzuführen ist:

Liste des Europäischen Datenschutzbeauftragen zur Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV)

Erläuterungen zum Entwurf der DSFA-AV vom 21. März 2018 (PDF, 255 KB)

 Jedenfalls ist ein Einschätzung zu erstellen, ob eine Datenschutz-Folgenabschätzung nötig ist.

Kritische Datenanwendungen sind u.a. jedenfalls zusammengefasst:

  • Profiling
  • Automatische Entscheidungen mit rechtlichen Auswirkungen
  • Systematische Überwachung: hierzu führt der Europäische Datenschutzbeauftragter als Beispiel das Brechen von SSL Verschlüsselung zum Zweck der Vermeidung von Datenverlust an. Weiters wird verborgene Videoüberwachung als Beispiel angeführt.
  • Verarbeitung sensibler Daten
  • Big-Data Verarbeitungen
  • Abgleich von Daten mehrerer unterschiedlicher Datenanwendungen, wenn dies außerhalb der Erwartungen der Betroffenen liegt
  • Ungleichgewicht der Positionen des Verantwortlichen zum Betroffenen
  • Neuartige Datenanwendungen
  • Negativeinträge im Sinn von Sperrungen etc.

 

Anmerkund: Der Europäische Datenschutzbeauftragt bezeichnet im obigen Entwurf Fotos als nicht per se sensible personenbezogene Daten, lediglich wenn sie mit Gesichtserkennung / Biometrie verbunden werden oder um weitere sensible Daten abzuleiten (Anm: "used to infer other seinsitive data").

 

Kontakt

Sämtliche Informationen dieser Seite stellen eine Einführung dar und können eine weitergehende Beratung nicht ersetzen.