Folgende Ressourcen geben einen Überblick zur Frage, ob eine Datenschutz-Folgenabschätzung ("DPIA") durchzuführen ist:
Liste des Europäischen Datenschutzbeauftragen zur Datenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV)
Erläuterungen zum Entwurf der DSFA-AV vom 21. März 2018 (PDF, 255 KB)
Sollte keine DSFA erstellt werden, ist eine Einschätzung zu erstellen, warum keine Datenschutz-Folgenabschätzung notwendig ist.
Kritische Datenanwendungen sind u.a. jedenfalls zusammengefasst:
- Profiling
- Automatische Entscheidungen mit rechtlichen Auswirkungen
- Systematische Überwachung: hierzu führt der Europäische Datenschutzbeauftragter als Beispiel das Brechen von SSL Verschlüsselung zum Zweck der Vermeidung von Datenverlust an. Weiters wird verborgene Videoüberwachung als Beispiel angeführt.
- Verarbeitung sensibler Daten
- Big-Data Verarbeitungen
- Abgleich von Daten mehrerer unterschiedlicher Datenanwendungen, wenn dies außerhalb der Erwartungen der Betroffenen liegt
- Ungleichgewicht der Positionen des Verantwortlichen zum Betroffenen
- Neuartige Datenanwendungen
- Negativeinträge im Sinn von Sperrungen etc.
Anmerkung: Der Europäische Datenschutzbeauftragt bezeichnet im obigen Entwurf Fotos als nicht per se sensible personenbezogene Daten, lediglich wenn sie mit Gesichtserkennung / Biometrie verbunden werden oder um weitere sensible Daten abzuleiten (Anm: "used to infer other seinsitive data").
Sämtliche Informationen dieser Seite stellen eine Einführung dar und können eine weitergehende Beratung nicht ersetzen.