Datenschutz-Folgenabschätzung
§ 14. (1) Wenn bei einer Datenverarbeitung die Voraussetzungen des Art. 35 Abs. 1 DSGVO gegeben sind, so ist vom Verantwortlichen vorab eine Datenschutz-Folgenabschätzung durchzuführen. Wenn mehrere Verantwortliche gemeinsam mehrere ähnliche Verarbeitungsvorgänge betreiben, so kann dafür eine einzige Abschätzung vorgenommen werden. Die Mindestangaben nach Art. 35 Abs. 7 DSGVO und die Verhaltensregeln dieser Verordnung sind dabei einzuhalten. Der Hauptverband hat für die Datenschutz-Folgenabschätzung im Rahmen seiner Zuständigkeit zur Schaffung einheitlicher Formulare (§ 31 Abs. 4 Z 6 ASVG) Muster aufzulegen.
(2) Wenn bei einer Datenverarbeitung, welche im Rahmen eines Standardproduktes (§ 2 Z 6 REDV 2006) durchgeführt wird, die Voraussetzungen des Art. 35 Abs. 1 DSGVO vorliegen, ist die Folgenabschätzung durch den Standardprodukt-Dienstleister (§ 5 Abs. 2 Z 1 und 5 REDV 2006) bzw. bei gemeinsamen Verarbeitungstätigkeiten vom jeweiligen Zuständigen (§ 5 Abs. 1 lit. c) durchzuführen. Das Ergebnis ist allen betroffenen Verantwortlichen zu übermitteln.
(3) Keine Datenschutz-Folgenabschätzung ist nötig, wenn
| | | | | | | | | | |
1. | für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. |
2. | die Aufsichtsbehörde (Datenschutzbehörde) eine Liste von Datenverarbeitungen veröffentlicht hat (Art. 35 Abs. 5 DSGVO), wonach dies für bestimmte Verarbeitungen nicht erforderlich ist; |
3. | ein Ausnahmetatbestand des Art. 35 Abs. 10 DSGVO vorliegt (insbesondere bereits im Rahmen eines Gesetzgebungsverfahrens eine allgemeine Datenschutz-Folgenabschätzung durchgeführt worden ist). |
(4) Bei der Entscheidung, ob eine Datenschutz-Folgenabschätzung nötig ist oder nicht, hat der Verantwortliche den Rat des Datenschutzbeauftragten einzuholen.