Tag: Datenschutzfolgenabschätzung

Update: Contact Tracing (Tracking Apps)

In zahlreichen Medienberichten wird weiterhin über Contact Tracing/Tracking Apps diskutiert. Dabei bestehen nicht nur datenschutzrechtliche sondern auch technische Schwierigkeiten. Um letztere zu lösen haben Google und Apple eine gemeinsame Initiative angekündigt. Daneben gibt es aber auch alternativ Vorschläge und differenzierte Sichtweisen, wie beispielsweise netzpolitik.org berichtet.

Aus datenschutzrechlticher Sicht wird auf jeden Fall auch die technische Umsetzung und deren Risiken Bestandteil einer Datenschutz-Folgennabschätzung sein müssen, auch um die Grundsätze des Privacy by Design und Default in der Umsetzung zu überprüfen. Eine gekürzte DSFA für die “Stopp Corona” App des roten Kreuzes liegt nun im Umfang von 90 Seiten vor.

Bildverarbeitung nach DSG

Wie die Datenschutzbehörde in ihrem Newsletter berichtet, wird sie die §12 und §13 DSG nicht mehr anwenden. Grund hierfür ist, dass das BvWG in zwei Erkenntnissen die Anwendbarkeit des 3 Abschnitt DSG in Zweifel gezogen hat auf denen Bescheide der DSB beruhten. Demnach kommt nun auch das BvWG zum Schluss, dass die DSGVO den Nationalstaaten keinen Spielraum zur Regelung der Bildverarbeitung gewährt.  Eine  Bildverarbeitung wird daher an den Erfordernissen der Art. 5 und 6 DSGVO zu beurteilen sein.

Damit wird in der Regel eine Datenschutzfolgenabschätzung durchzuführen sein.

Verordnung der DSB über verpflichtende Datenschutzfolgeabschätzungen

Die Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz – Folgenabschätzung durchzuführen ist (DSFA-V) (Blacklist) ist im Bundesgetzblatt veröffentlicht worden.

Dabei besteht bei bestimmten Verabreitungen die Ausnahme, dass von einer erforderlichen DSFA abgesehen werden kann, wenn eine Betriebsvereinbarung vorliegt.

Verordnungsentwurf zur verpflichtenden DSFA

Die nationalen Datenschutzbehörden haben ihre Entwürfe für die nationalen Verordnungen zur  verpflichtenden Durchführung einer Datenschutzfolgeabschätzung dem europäischen Datenschutzausschuss vorgelegt.

Die im österreichischen Entwurf enthaltene Verpflichtung bei gemeinsamer Verantwortlichkeit jedenfalls eine DSFA durchführen zu müssen, fand keine Zustimmung.

Verordnung der DSB zu Ausnahmen von der DSFA

Mit dem Tag der Wirksamkeit der DSGVO ist im Bundesgesetzblatt auch die Verordnung der Datenschutzbehörde zu den Ausnahmen von der Datenschutzfolgeabschätzung erschienen (White List).

Für die wissenschaftliche Forschung hat sich im Vergleich zum Entwurf keine Änderung ergeben. Sofern die Forschung nicht unter §7 Abs 2 Ziffer 3 fällt (Genehmigung der Datenschutzbehörde erforderlich) ist keine Datenschutzfolgeabschätzung vorzunehmen.