Bundesrecht konsolidiert: Gesamte Rechtsvorschrift für Datenschutz-Folgenabschätzung , Fassung vom 16.01.2019

§ 0

Langtitel

Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV)
StF: BGBl. II Nr. 108/2018

Präambel/Promulgationsklausel

Auf Grund des § 21 Abs. 2 des Datenschutzgesetzes (DSG), BGBl. I Nr. 165/1999, zuletzt geändert durch das Bundesgesetz BGBl. I Nr. 120/2017, wird verordnet:

§ 1

Text

Ausnahmen von der Datenschutz-Folgenabschätzung

§ 1. (1) Die in der Anlage angeführten Datenverarbeitungen sind von der Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 und 5 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) ausgenommen.

(2) Ebenso sind Datenanwendungen, die

1.

gemäß § 18 Abs. 2 und § 50c Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013, der Vorabkontrolle unterlagen und vor Ablauf des 24. Mai 2018 im Datenverarbeitungsregister registriert wurden, oder

2.

gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig waren,

von der Datenschutz-Folgenabschätzung ausgenommen, sofern diese Datenanwendungen mit Ablauf des 24. Mai 2018 den Vorgaben der DSGVO entsprechen und ab dem Inkrafttreten dieser Verordnung keine wesentlichen Änderungen vorgenommen werden.

§ 2

Text

Personenbezogene Bezeichnungen

§ 2. Bei den in dieser Verordnung verwendeten personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter.

§ 3

Text

Inkrafttreten

§ 3. Diese Verordnung tritt mit 25. Mai 2018 in Kraft.

Anl. 1

Text

Anlage 

Inhaltsverzeichnis

DSFA-A01

Kundenverwaltung, Rechnungswesen, Logistik, Buchführung

DSFA-A02

Personalverwaltung

DSFA-A03

Mitgliederverwaltung

DSFA-A04

Kundenbetreuung und Marketing für eigene Zwecke

DSFA-A05

Sach- und Inventarverwaltung

DSFA-A06

Register, Evidenzen, Bücher

DSFA-A07

Zugriffsverwaltung für EDV-Systeme

DSFA-A08

Zutrittskontrollsysteme

DSFA-A09

Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)

DSFA-A10

Bild- und Akustikdatenverarbeitung in Echtzeit

DSFA-A11

Bild- und Akustikverarbeitungen zu Dokumentationszwecken

DSFA-A12

Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken

DSFA-A13

Rechts- und Beratungsberufe

DSFA-A14

Archivierung, wissenschaftliche Forschung und Statistik

DSFA-A15

Unterstützungsbekundungen

DSFA-A16

Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts

DSFA-A17

Öffentliche Abgabenverwaltung

DSFA-A18

Förderverwaltung

DSFA-A19

Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate

DSFA-A20

Aktenverwaltung (Büroautomation) und Verfahrensführung

DSFA-A21

Organisation von Veranstaltungen

DSFA-A22

Preise und Ehrungen

 

DSFA-A01 Kundenverwaltung, Rechnungswesen, Logistik, Buchführung

Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten im Rahmen jeglicher Geschäftsbeziehung mit Kunden und Lieferanten samt systematischer Aufzeichnung aller die Einnahmen und Ausgaben betreffenden Geschäftsvorgänge.

Verarbeitungstätigkeiten von Unternehmen, die Daten über Dritte verarbeiten (keine Kunden des Verantwortlichen), mit denen die Unternehmen in keiner Geschäftsbeziehung stehen (etwa Detektivbüros, Inkassobüros oder Kreditauskunfteien), sind von dieser Ausnahme nicht umfasst.

 

DSFA-A02 Personalverwaltung

Zweck der Datenverarbeitung:

Verarbeitung und Evidenthaltung personenbezogener Daten für Lohn-, Gehalts-, Entgeltsverrechnung und Einhaltung von Aufzeichnungs-, Auskunfts- und Meldepflichten, soweit dies auf Grund von Gesetzen oder Normen kollektiver Rechtsgestaltung oder arbeitsvertraglicher Verpflichtungen jeweils erforderlich ist;

Verarbeitung und Evidenthaltung dienstrechtlicher, besoldungsrechtlicher, ausbildungsbezogener und sonstiger mit dem Beschäftigungsverhältnis in unmittelbarem Zusammenhang stehender personenbezogener Daten von öffentlich Bediensteten und sonstigen von Verantwortlichen des öffentlichen Bereichs besoldeten Personen (wie zB von Beamten, Vertragsbediensteten, Personen in Ausbildung, Aushilfskräften, aber auch von Abgeordneten und Funktionären) sowie von Volontären und Zivildienern (jeweils ohne Entgeltbezug) durch die Dienstbehörden und Personalstellen zum Zweck von Einzelpersonalmaßnahmen und statistischer Auswertungen;

Verarbeitung und Evidenthaltung personenbezogener Daten von Bewerbern, wenn diese Daten vom Betroffenen angegeben wurden.

Eine Verarbeitung von besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 und eine Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10 DSGVO im Rahmen dieser Ausnahme sind ausschließlich aufgrund einer gesetzlichen Ermächtigung oder aufgrund rechtlicher Verpflichtungen zulässig.

DSFA-A03 Mitgliederverwaltung

Zweck der Datenverarbeitung:

Führung von Mitgliederverzeichnissen, Evidenz der Mitglieds- und Förderungsbeiträge, Verkehr mit Mitgliedern oder Förderern von Körperschaften des öffentlichen und privaten Rechts, insbesondere Vereinen und Personengemeinschaften sowie Betreuung von Mitgliedern und Förderern.

DSFA-A04 Kundenbetreuung und Marketing für eigene Zwecke

Zweck der Datenverarbeitung:

Verarbeitung von eigenen oder zugekauften Kunden- und Interessentendaten für die Geschäftsanbahnung betreffend das eigene Lieferungs- oder Leistungsangebot sowie zur Durchführung von Werbemaßnahmen und Newsletter-Versand.

DSFA-A05 Sach- und Inventarverwaltung

Zweck der Datenverarbeitung:

Inventarverwaltung (Führung von Inventaraufzeichnungen), Unterstützung des Sachgüteraustausches und der Betriebsabrechnung, mit der Inventarverwaltung in Zusammenhang stehende Neben- und Hilfsaufzeichnungen über Lieferanten, Anschaffungskosten sowie Verwaltung der Zuteilung von Hard- und Software an EDV-Systembenutzer.

DSFA-A06 Register, Evidenzen, Bücher

Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten im Rahmen von durch Unions-, Bundes- oder Landesrecht eingerichteten Registern, Evidenzen oder Büchern, sofern keine personenbezogenen Daten im Sinne der Art. 9 und 10 DSGVO verarbeitet werden.

DSFA-A07 Zugriffsverwaltung für EDV-Systeme

Zweck der Datenverarbeitung:

Verwaltung von Benutzernamen und Passwörtern sowie Systemzugriffsprotokollierung.

DSFA-A08 Zutrittskontrollsysteme

Zweck der Datenverarbeitung:

Kontrolle der Berechtigung des Zutritts zu Gebäuden und abgegrenzten Bereichen durch den Eigentümer oder Benutzungsberechtigten mit Hilfe von Anlagen, die personenbezogene Daten automationsunterstützt verarbeiten, wobei keine biometrischen Daten von Betroffenen verarbeitet werden. Die bloße Echtzeitwiedergabe von Gesichtsbildern ist von dieser Ausnahme umfasst.

DSFA-A09 Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)

1. Allgemeine Voraussetzungen für die nachfolgenden Ausnahmen:

a) Räumlicher Erfassungsbereich

Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Videoüberwachung darf räumlich nicht über die Liegenschaft hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter gemessen von der Grundstücksgrenze des überwachten Objekts. Die Videoüberwachung darf überdies nicht an Orten betrieben werden, welche den höchstpersönlichen Lebensbereich von Personen darstellen.

b) Speicherdauer

Aufgenommene personenbezogene Daten sind vom Verantwortlichen spätestens nach 72 Stunden zu löschen, es sei denn eine längere Speicherdauer wurde in einem Gesetz, durch einen behördlichen Rechtsakt, in einer Betriebsvereinbarung oder mit Zustimmung der Personalvertretung ausdrücklich festgelegt.

c) Kennzeichnung

Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.

2. Zweck der Datenverarbeitung:

A. Einfamilienhaus samt Grundstück, eigene Wohnung

Bild- und Akustikverarbeitungen, welche dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden Liegenschaften, die ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, dienen. Voraussetzung ist die Einwilligung aller Nutzungsberechtigten.

B. Allgemein zugängliche Örtlichkeiten, die dem Hausrecht des Verantwortlichen unterliegen

Bild- und Akustikverarbeitungen, welche für den vorbeugenden Schutz von Personen oder Sachen an allgemein zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich sind und kein gelinderes geeignetes Mittel zur Verfügung steht. In Fällen, in denen Arbeitnehmervertretungen zu bilden sind, ist das Vorliegen einer gültigen Betriebsvereinbarung oder einer gültigen Zustimmung der Personalvertretung, welche die Durchführung der Videoüberwachung regeln, Voraussetzung.

Keine Anwendung findet diese Ausnahme auf Örtlichkeiten, welche aufgrund eines bestehenden Kontrahierungszwanges oder aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen.

DSFA-A10 Bild- und Akustikdatenverarbeitung in Echtzeit

1. Allgemeine Voraussetzungen für die nachfolgende Ausnahme:

a) Räumlicher Erfassungsbereich

Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Bilddatenverarbeitung darf räumlich nicht darüber hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter. Die Bild- und Akustikdatenverarbeitung darf überdies nicht an Orten betrieben werden, welche den höchstpersönlichen Lebensbereich von Personen darstellen.

b) Kennzeichnung

Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.

2. Zweck der Datenverarbeitung:

Bild- und Akustikübertragungen ohne Aufzeichnung.

DSFA-A11 Bild- und Akustikverarbeitungen zu Dokumentationszwecken

Zweck der Datenverarbeitung:

Bild- und Akustikverarbeitungen, welche ausschließlich ein Dokumentationsinteresse verfolgen, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist. Strafrechtliche, verwaltungsstrafrechtliche oder zivilrechtliche Zwecke dürfen im Rahmen dieser Ausnahme nicht verfolgt werden.

DSFA-A12 Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheken

Zweck der Datenverarbeitung:

Patientenverwaltung und Honorarabrechnung von einzelnen Ärzten, Zahnärzten und Dentisten sowie Patienten-/Klientenverwaltung und Honorarabrechnung anderer freiberuflich oder gewerblich einzeln tätiger Gesundheitsdiensteanbieter und Apotheken.

DSFA-A13 Rechts- und Beratungsberufe

Zweck der Datenverarbeitung:

Datenverarbeitung von rechtsberatenden und unternehmensberatenden Berufen, wie einzelne Rechtsanwälte, Notare, Patentanwälte, Wirtschaftstreuhänder, Steuerberater und Unternehmensberater im Rahmen ihrer Berufsausübung.

DSFA-A14 Archivierung, wissenschaftliche Forschung und Statistik

Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke aufgrund besonderer gesetzlicher Vorschriften oder mit Einwilligung der betroffenen Person.

DSFA-A15 Unterstützungsbekundungen

Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten im Rahmen von Bürgerinitiativen, Petitionslisten oder Unterschriftensammlungen durch die Organisatoren.

DSFA-A16 Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts

Zweck der Datenverarbeitung:

Erstellung von Voranschlägen, Finanzbuchführung, Zahlungsverkehr, Erstellung von Berichten, Betriebsabrechnungen, Neben- und Hilfsbuchführungen und Auswertung der Daten zur Budgetkontrolle, zu strategischem Controlling und zur Liquiditätssteuerung, Abschlussrechnungen, Jahresabschlüsse sowie Abschlussprüfungen und Rechnungsprüfungen.

DSFA-A17 Öffentliche Abgabenverwaltung

Zweck der Datenverarbeitung:

Vorschreibung, Einhebung und Abrechnung von öffentlich-rechtlich geregelten Abgaben und Gebühren durch Bund, Länder, Gemeinden, Gemeindeverbände und sonstige Körperschaften des öffentlichen Rechts sowie deren Kontrolle.

DSFA-A18 Förderverwaltung

Zweck der Datenverarbeitung:

Verarbeitung personenbezogener Daten durch Fördergeber und auszahlende Stellen im Rahmen der Abwicklung öffentlicher Förderungen, sofern keine personenbezogenen Daten im Sinne der Art. 9 und 10 DSGVO verarbeitet werden.

DSFA-A19 Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate

Zweck der Datenverarbeitung:

Verarbeitung von Daten Anfragender im Rahmen des Auskunftspflichtgesetzes, der Öffentlichkeitsarbeit und Informationstätigkeit, einschließlich automationsunterstützt erstellter und aufbewahrter Textdokumente in diesen Angelegenheiten;

Verarbeitung von Daten zu informierender Personen, sofern aufgrund einer Vielzahl von Anfragen zu einem bestimmten Thema ein allgemeines Bedürfnis an Informationen besteht.

DSFA-A20 Aktenverwaltung (Büroautomation) und Verfahrensführung

Zweck der Datenverarbeitung:

Formale Behandlung der vom Verantwortlichen zu besorgenden Geschäftsfälle (einschließlich der Aufbewahrung der bei dieser Tätigkeit angefallenen Dokumente, Abrechnung von Gebühren, Organisation von Großverfahren).

DSFA-A21 Organisation von Veranstaltungen

Zweck der Datenverarbeitung:

Datenverarbeitung zur Abhaltung von Veranstaltungen im öffentlichen und privaten Bereich, wie Einladung und Registrierung der Teilnehmer, Organisation von Reisen und Aufenthalten, Versorgung der Teilnehmer und Kommunikation vor und nach der Veranstaltung, Abrechnung von Geldleistungen (Honorare, Ersatz für Reisekosten), Abwicklung von Kulturprogrammen, Übermittlung von Unterlagen sowie Anfertigung von im Zusammenhang mit der Veranstaltung stehenden Bild- und Akkustikaufnahmen.

DSFA-A22 Preise und Ehrungen

Zweck der Datenverarbeitung:

Datenverarbeitung zur Verleihung von Preisen und Ehrenzeichen oder ähnlicher Auszeichnungen, einschließlich der damit verbundenen Vorprüfungen.