BUNDESGESETZBLATT
FÜR DIE REPUBLIK ÖSTERREICH

Jahrgang 2018

Ausgegeben am 25. Mai 2018

Teil II

108. Verordnung:

Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV)

108. Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV)

Auf Grund des Paragraph 21, Absatz 2, des Datenschutzgesetzes (DSG), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999,, zuletzt geändert durch das Bundesgesetz Bundesgesetzblatt Teil eins, Nr. 120 aus 2017,, wird verordnet:

Ausnahmen von der Datenschutz-Folgenabschätzung

Paragraph eins,

  1. Absatz einsDie in der Anlage angeführten Datenverarbeitungen sind von der Datenschutz-Folgenabschätzung gemäß Artikel 35, Absatz eins und 5 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) ausgenommen.
  2. Absatz 2Ebenso sind Datenanwendungen, die
    1. Ziffer eins
      gemäß Paragraph 18, Absatz 2 und Paragraph 50 c, Absatz eins, des Datenschutzgesetzes 2000 (DSG 2000), Bundesgesetzblatt Teil eins, Nr. 165 aus 1999, in der Fassung des Bundesgesetzes Bundesgesetzblatt Teil eins, Nr. 83 aus 2013,, der Vorabkontrolle unterlagen und vor Ablauf des 24. Mai 2018 im Datenverarbeitungsregister registriert wurden, oder
    2. Ziffer 2
      gemäß Paragraph 17, Absatz 2, Ziffer 6, DSG 2000 nicht meldepflichtig waren,
    von der Datenschutz-Folgenabschätzung ausgenommen, sofern diese Datenanwendungen mit Ablauf des 24. Mai 2018 den Vorgaben der DSGVO entsprechen und ab dem Inkrafttreten dieser Verordnung keine wesentlichen Änderungen vorgenommen werden.

Personenbezogene Bezeichnungen

Paragraph 2,

Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter.

Inkrafttreten

Paragraph 3,

Diese Verordnung tritt mit 25. Mai 2018 in Kraft.

Jelinek

Anlage 

Inhaltsverzeichnis

DSFA-A01

Kundenverwaltung, Rechnungswesen, Logistik, Buchführung

DSFA-A02

Personalverwaltung

DSFA-A03

Mitgliederverwaltung

DSFA-A04

Kundenbetreuung und Marketing für eigene Zwecke

DSFA-A05

Sach- und Inventarverwaltung

DSFA-A06

Register, Evidenzen, Bücher

DSFA-A07

Zugriffsverwaltung für EDV-Systeme

DSFA-A08

Zutrittskontrollsysteme

DSFA-A09

Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)

DSFA-A10

Bild- und Akustikdatenverarbeitung in Echtzeit

DSFA-A11

Bild- und Akustikverarbeitungen zu Dokumentationszwecken

DSFA-A12

Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken

DSFA-A13

Rechts- und Beratungsberufe

DSFA-A14

Archivierung, wissenschaftliche Forschung und Statistik

DSFA-A15

Unterstützungsbekundungen

DSFA-A16

Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts

DSFA-A17

Öffentliche Abgabenverwaltung

DSFA-A18

Förderverwaltung

DSFA-A19

Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate

DSFA-A20

Aktenverwaltung (Büroautomation) und Verfahrensführung

DSFA-A21

Organisation von Veranstaltungen

DSFA-A22

Preise und Ehrungen

DSFA-A01 Kundenverwaltung, Rechnungswesen, Logistik, Buchführung Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten im Rahmen jeglicher Geschäftsbeziehung mit Kunden und Lieferanten samt systematischer Aufzeichnung aller die Einnahmen und Ausgaben betreffenden Geschäftsvorgänge.

Verarbeitungstätigkeiten von Unternehmen, die Daten über Dritte verarbeiten (keine Kunden des Verantwortlichen), mit denen die Unternehmen in keiner Geschäftsbeziehung stehen (etwa Detektivbüros, Inkassobüros oder Kreditauskunfteien), sind von dieser Ausnahme nicht umfasst.

DSFA-A02 Personalverwaltung Zweck der Datenverarbeitung:

Verarbeitung und Evidenthaltung personenbezogener Daten für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist;

Verarbeitung und Evidenthaltung dienstrechtlicher, besoldungsrechtlicher, ausbildungsbezogener und sonstiger mit dem Beschäftigungsverhältnis in unmittelbarem Zusammenhang stehender personenbezogener Daten von öffentlich Bediensteten und sonstigen von Verantwortlichen des öffentlichen Bereichs besoldeten Personen (wie zB von Beamten, Vertragsbediensteten, Personen in Ausbildung, Aushilfskräften, aber auch von Abgeordneten und Funktionären) sowie von Volontären und Zivildienern (jeweils ohne Entgeltbezug) durch die Dienstbehörden und Personalstellen zum Zweck von Einzelpersonalmaßnahmen und statistischer Auswertungen;

Verarbeitung und Evidenthaltung personenbezogener Daten von Bewerbern, wenn diese Daten vom Betroffenen angegeben wurden.

Eine Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne des Artikel 9 und eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikel 10, DSGVO im Rahmen dieser Ausnahme sind ausschließlich aufgrund einer gesetzlichen Ermächtigung oder aufgrund rechtlicher Verpflichtungen zulässig.

DSFA-A03 Mitgliederverwaltung Zweck der Datenverarbeitung:

Führung von Mitgliederverzeichnissen, Evidenz der Mitglieds- und Förderungsbeiträge, Verkehr mit Mitgliedern oder Förderern von Körperschaften des öffentlichen und privaten Rechts, insbesondere Vereinen und Personengemeinschaften sowie Betreuung von Mitgliedern und Förderern.

DSFA-A04 Kundenbetreuung und Marketing für eigene Zwecke Zweck der Datenverarbeitung:

Verarbeitung von eigenen oder zugekauften Kunden- und Interessentendaten für die Geschäftsanbahnung betreffend das eigene Lieferungs- oder Leistungsangebot sowie zur Durchführung von Werbemaßnahmen und Newsletter-Versand.

DSFA-A05 Sach- und Inventarverwaltung Zweck der Datenverarbeitung:

Inventarverwaltung (Führung von Inventaraufzeichnungen), Unterstützung des Sachgüteraustausches und der Betriebsabrechnung, mit der Inventarverwaltung in Zusammenhang stehende Neben- und Hilfsaufzeichnungen über Lieferanten, Anschaffungskosten sowie Verwaltung der Zuteilung von Hard- und Software an EDV-Systembenutzer.

DSFA-A06 Register, Evidenzen, Bücher Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten im Rahmen von durch Unions-, Bundes- oder Landesrecht eingerichteten Registern, Evidenzen oder Büchern, sofern keine personenbezogenen Daten im Sinne der Artikel 9 und 10 DSGVO verarbeitet werden.

DSFA-A07 Zugriffsverwaltung für EDV-Systeme Zweck der Datenverarbeitung:

Verwaltung von Benutzernamen und Passwörtern sowie Systemzugriffsprotokollierung.

DSFA-A08 Zutrittskontrollsysteme Zweck der Datenverarbeitung:

Kontrolle der Berechtigung des Zutritts zu Gebäuden und abgegrenzten Bereichen durch den Eigentümer oder Benutzungsberechtigten mit Hilfe von Anlagen, die personenbezogene Daten automationsunterstützt verarbeiten, wobei keine biometrischen Daten von Betroffenen verarbeitet werden. Die bloße Echtzeitwiedergabe von Gesichtsbildern ist von dieser Ausnahme umfasst.

DSFA-A09 Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung) 1. Allgemeine Voraussetzungen für die nachfolgenden Ausnahmen: a) Räumlicher Erfassungsbereich

Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Videoüberwachung darf räumlich nicht über die Liegenschaft hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter gemessen von der Grundstücksgrenze des überwachten Objekts. Die Videoüberwachung darf überdies nicht an Orten betrieben werden, welche den höchstpersönlichen Lebensbereich von Personen darstellen.

b) Speicherdauer

Aufgenommene personenbezogene Daten sind vom Verantwortlichen spätestens nach 72 Stunden zu löschen, es sei denn eine längere Speicherdauer wurde in einem Gesetz, durch einen behördlichen Rechtsakt, in einer Betriebsvereinbarung oder mit Zustimmung der Personalvertretung ausdrücklich festgelegt.

c) Kennzeichnung

Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.

2. Zweck der Datenverarbeitung: A. Einfamilienhaus samt Grundstück, eigene Wohnung

Bild- und Akustikverarbeitungen, welche dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden Liegenschaften, die ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, dienen. Voraussetzung ist die Einwilligung aller Nutzungsberechtigten.

B. Allgemein zugängliche Örtlichkeiten, die dem Hausrecht des Verantwortlichen unterliegen

Bild- und Akustikverarbeitungen, welche für den vorbeugenden Schutz von Personen oder Sachen an allgemein zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich sind und kein gelinderes geeignetes Mittel zur Verfügung steht. In Fällen, in denen Arbeitnehmervertretungen zu bilden sind, ist das Vorliegen einer gültigen Betriebsvereinbarung oder einer gültigen Zustimmung der Personalvertretung, welche die Durchführung der Videoüberwachung regeln, Voraussetzung.

Keine Anwendung findet diese Ausnahme auf Örtlichkeiten, welche aufgrund eines bestehenden Kontrahierungszwanges oder aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen.

DSFA-A10 Bild- und Akustikdatenverarbeitung in Echtzeit 1. Allgemeine Voraussetzungen für die nachfolgende Ausnahme: a) Räumlicher Erfassungsbereich

Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Bilddatenverarbeitung darf räumlich nicht darüber hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter. Die Bild- und Akustikdatenverarbeitung darf überdies nicht an Orten betrieben werden, welche den höchstpersönlichen Lebensbereich von Personen darstellen.

b) Kennzeichnung

Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.

2. Zweck der Datenverarbeitung:

Bild- und Akustikübertragungen ohne Aufzeichnung.

DSFA-A11 Bild- und Akustikverarbeitungen zu Dokumentationszwecken Zweck der Datenverarbeitung:

Bild- und Akustikverarbeitungen, welche ausschließlich ein Dokumentationsinteresse verfolgen, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist. Strafrechtliche, verwaltungsstrafrechtliche oder zivilrechtliche Zwecke dürfen im Rahmen dieser Ausnahme nicht verfolgt werden.

DSFA-A12 Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken Zweck der Datenverarbeitung:

Patientenverwaltung und Honorarabrechnung von einzelnen Ärzten, Zahnärzten und Dentisten sowie Patienten-/Klientenverwaltung und Honorarabrechnung anderer freiberuflich oder gewerblich einzeln tätiger Gesundheitsdiensteanbieter und Apotheken.

DSFA-A13 Rechts- und Beratungsberufe Zweck der Datenverarbeitung:

Datenverarbeitung von rechtsberatenden und unternehmensberatenden Berufen, wie einzelne Rechtsanwälte, Notare, Patentanwälte, Wirtschaftstreuhänder, Steuerberater und Unternehmensberater im Rahmen ihrer Berufsausübung.

DSFA-A14 Archivierung, wissenschaftliche Forschung und Statistik Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke aufgrund besonderer gesetzlicher Vorschriften oder mit Einwilligung der betroffenen Person.

DSFA-A15 Unterstützungsbekundungen Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten im Rahmen von Bürgerinitiativen, Petitionslisten oder Unterschriftensammlungen durch die Organisatoren.

DSFA-A16 Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts Zweck der Datenverarbeitung:

Erstellung von Voranschlägen, Finanzbuchführung, Zahlungsverkehr, Erstellung von Berichten, Betriebsabrechnungen, Neben- und Hilfsbuchführungen und Auswertung der Daten zur Budgetkontrolle, zu strategischem Controlling und zur Liquiditätssteuerung, Abschlussrechnungen, Jahresabschlüsse sowie Abschlussprüfungen und Rechnungsprüfungen.

DSFA-A17 Öffentliche Abgabenverwaltung Zweck der Datenverarbeitung:

Vorschreibung, Einhebung und Abrechnung von öffentlich-rechtlich geregelten Abgaben und Gebühren durch Bund, Länder, Gemeinden, Gemeindeverbände und sonstige Körperschaften des öffentlichen Rechts sowie deren Kontrolle.

DSFA-A18 Förderverwaltung Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten durch Fördergeber und auszahlende Stellen im Rahmen der Abwicklung öffentlicher Förderungen, sofern keine personenbezogenen Daten im Sinne der Artikel 9 und 10 DSGVO verarbeitet werden.

DSFA-A19 Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate Zweck der Datenverarbeitung:

Verarbeitung von Daten Anfragender im Rahmen des Auskunftspflichtgesetzes, der Öffentlichkeitsarbeit und Informationstätigkeit, einschließlich automationsunterstützt erstellter und aufbewahrter Textdokumente in diesen Angelegenheiten;

Verarbeitung von Daten zu informierender Personen, sofern aufgrund einer Vielzahl von Anfragen zu einem bestimmten Thema ein allgemeines Bedürfnis an Informationen besteht.

DSFA-A20 Aktenverwaltung (Büroautomation) und Verfahrensführung Zweck der Datenverarbeitung:

Formale Behandlung der vom Verantwortlichen zu besorgenden Geschäftsfälle (einschließlich der Aufbewahrung der bei dieser Tätigkeit angefallenen Dokumente, Abrechnung von Gebühren, Organisation von Großverfahren).

DSFA-A21 Organisation von Veranstaltungen Zweck der Datenverarbeitung:

Datenverarbeitung zur Abhaltung von Veranstaltungen im öffentlichen und privaten Bereich, wie Einladung und Registrierung der Teilnehmer, Organisation von Reisen und Aufenthalten, Versorgung der Teilnehmer und Kommunikation vor und nach der Veranstaltung, Abrechnung von Geldleistungen (Honorare, Ersatz für Reisekosten), Abwicklung von Kulturprogrammen, Übermittlung von Unterlagen sowie Anfertigung von im Zusammenhang mit der Veranstaltung stehenden Bild- und Akkustikaufnahmen.

DSFA-A22 Preise und Ehrungen Zweck der Datenverarbeitung:

Datenverarbeitung zur Verleihung von Preisen und Ehrenzeichen oder ähnlicher Auszeichnungen, einschließlich der damit verbundenen Vorprüfungen.