Whitelist
Eine sog. „Whitelist“, also einen Katalog mit Anwendungen, für die keine DSFA benötigt wird, wurde seitens der Datenschutzbehörde (DSB) bereits mit Inkrafttreten der DSGVO erlassen. Diese enthält viele der alten Standard- und Musteranwendungen und umfasst Verarbeitungen, die als „weniger risikoreich“ eingestuft werden. Wird eine Verarbeitung darin genannt und hält sie die geforderten Voraussetzungen ein, ist die Durchführung einer DSFA nicht erforderlich.
Blacklist
Seit 10.11.2018 steht nun auch fest, für welche Verarbeitungsvorgänge zwingend eine DSFA durchzuführen ist. Die gegenständliche Verordnung enthält allerdings – anders als das deutsche Pendant – keine konkreten Beispiele. Jedenfalls erfasst werden unter anderem Bonitätsdatenbanken, Body-Cams zum Zweck der Beobachtung sowie Profiling im Bereich Gesundheit, Versicherung und Finanzen; ebenso zählt die Überwachung und Kontrolle von Personen dazu. Arbeitnehmer gelten – neben anderen Personengruppen – als besonders schutzwürdig. Für manche Datenverarbeitungen im Beschäftigtenkontext bestehen Ausnahmen, wenn eine Betriebsvereinbarung dazu abgeschlossen worden ist.
Keine Toleranzfrist
Aus Sicht der Datenschutz-Compliance empfiehlt es sich dringend, alle Datenverarbeitungen im Unternehmen dahingehend zu überprüfen, ob sie unter die „Blacklist“ fallen und – wenn keine Ausnahme greift – unverzüglich eine DSFA durchzuführen sowie eine entsprechende Dokumentation vorzunehmen; denn die Geldstrafen, die bei Verstößen drohen, sind immens.
Wir unterstützen Sie gerne dabei (info@artus.at)!