Berufsgruppe IT-Dienstleistung

Verordnung bringt Ausnahmen von der Datenschutz-Folgenabschätzung

Liste von Verarbeitungstätigkeiten, die von der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung befreit sind

Lesedauer: 1 Minute

Wir möchten Ihnen folgende Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA) zur Kenntnis bringen, welche am 25.5.2018 im BGBl II Nr. 108/2018 kundgemacht wurde.

Grundsätzlich verlangt die Datenschutz-Grundverordnung (DSGVO), dass Verantwortliche eine DSFA gem. Art 35 DSGVO durchführen müssen, sofern vorgenommene Datenverarbeitungen aufgrund ihrer Art, ihres Umfangs oder ihrer Umstände mit einem hohen Risiko“ für die betroffenen Personen verbunden sind. Ein hohes Risiko besteht etwa dann, wenn große Mengen an Daten auf regionaler oder internationaler Ebene verarbeitet werden, wenn eine große Anzahl von Personen betroffen sind oder der Inhalt der Daten besonders sensibel ist. Im Rahmen der DSFA sollen Besonderheit und Schwere des Risikos sowie geeignete Sicherheitsmaßnahmen evaluiert werden.

Die Datenschutzbehörde hat mit dieser Verordnung nun von der Möglichkeit Gebrauch gemacht, eine Liste von Verarbeitungstätigkeiten zu veröffentlichen, die von der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung befreit sind (sogenannte „White list“). Betroffen sind beispielsweise folgende Verarbeitungstätigkeiten:

  • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
  • Personalverwaltung
  • Kundenbetreuung und Marketing für eigene Zwecke
  • Zugriffsverwaltung für EDV-Systeme
  • Videoüberwachung
  • Organisation für Veranstaltungen

Die vollständige Liste und weiterführende Informationen können Sie der Anlage des Verordnungsentwurfs entnehmen.


Hinweis: Die gegenständliche Verordnung betrifft ausschließlich Datenschutz-Folgeabschätzungen. Alle sonstigen Pflichten, die sich aus der DSGVO ergeben, bleiben von dieser White List unberührt (z.B. die Pflicht zur Erfassung in einem Verfahrensverzeichnis nach Art 30 DSGVO, der Abschluss von Auftragsverarbeitungsverträgen gem. Art 28 DSGVO und die Erfüllung von Informationspflichten gem. Art 13 oder Art 14 DSGVO).
» Weiterführende Informationen der WKO zur DSGVO


Stand: 22.06.2018