Gemäß der DSGVO müssen Verantwortliche von Daten geeignete Maßnahmen ergreifen, um sicherzustellen und nachzuweisen, dass die Datenverarbeitung nach den Bestimmungen der DSGVO erfolgt. Eine dieser Maßnahmen stellt die Datenschutz-Folgenabschätzung dar (§ 35 DSGVO), bei welcher der Verantwortliche der Daten die Risiken seiner Verarbeitungsvorgänge für die Rechte und Freiheiten natürlicher Personen einzuschätzen hat. Bei der Einschätzung sind u.a. die unterschiedliche Eintrittswahrscheinlichkeit und Schwere der Risiken zu berücksichtigen.

Die Datenschutzbehörde hat kürzlich eine Verordnung erlassen, mit welcher diejenigen Verarbeitungsvorgänge definiert werden, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (BGBl. II Nr. 278/2018). Es handelt sich hierbei um die sogenannte „Blacklist“, welche das Pendant zur Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung, der sogenannten „Whitelist“ (BGBl. II Nr. 108/2018) darstellt. Wesentlich ist, dass die österreichische Blacklist – im Gegensatz zur Regelung in Deutschland – keine konkreten Beispiele dafür anführt, in welchen Fällen eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen ist.

Die österreichische Blacklist gibt lediglich bestimmte Kriterien vor und überlässt es der Einschätzung des Verantwortlichen der Daten, ob eine Datenschutz-Folgenabschätzung für Verarbeitungsvorgänge in seinem Unternehmen notwendig ist. Eindeutig umfasst von der Blacklist sind bspw. die nachstehenden Datenverarbeitungsvorgänge: Body-Cams zum Zweck der Beobachtung; Bonitätsdatenbanken; Kreditinstitute, wenn sie über eine von Kreditauskunfteien betriebene Datenbank verfügen; Dating-Portal, wenn es Profile der Nutzer erstellt. Auch unter die Verordnung (§ 2 Abs. 2 Zif. 4 DSFA-V) fallen herkömmliche Zugangskontrollsysteme von bspw. Betriebsgebäuden von Unternehmen, soweit diese über eine Kombination aus Fingerabdruck- und (biometrischer) Gesichtserkennung verfügen (vgl. Erläuterungen zur DSFA-V abrufbar unter www.dsb.gv.at).

Für bestimmte Verarbeitungsvorgänge im Zusammenhang mit Beschäftigungsverhältnissen enthält die Blacklist allerdings Ausnahmen von der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung. Diese Ausnahmen treffen jedoch nur dann zu, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung zu den Verarbeitungsvorgängen vorliegt.

Unternehmen bzw. die entsprechenden Verantwortlichen der Daten sollten jedenfalls unverzüglich anhand ihrer Verarbeitungsverzeichnisse prüfen, ob darin enthaltene Verarbeitungsvorgänge unter die Blacklist fallen. Für das ungerechtfertigte Unterlassen der Durchführung einer Datenschutz-Folgenabschätzung sieht die DSGVO hohe Strafen vor.