Zum Inhalt
Suche

Präventionsstelle: Datenschutz-Folgenabschätzung

Stand: Dezember 2025

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch. Neben Art. 35 Abs. 3 DSGVO ist eine Datenschutz-Folgenabschätzung (DSFA) auch immer dann durchzuführen, wenn die Datenverarbeitung auf der veröffentlichten Liste (Positiv-Liste) der zuständigen Aufsichtsbehörde aufgelistet ist.

Gegenstand der Analyse ist die Verarbeitung personenbezogener Daten im Rahmen einer Präventionsstelle, welche dem Konvent zuzuordnen ist. Diese Stelle nimmt Hinweise und Meldungen insbesondere zu Fehlverhalten, einschließlich sexueller Belästigung, entgegen. Die Verarbeitung erfolgt zum Zweck der Prüfung und etwaigen weiteren Bearbeitung dieser Meldungen. Weitere Informationen sind auch unter https://www.stift-klosterneuburg.at/praevention/ zu finden.

SCHWELLWERTANALYSE GEMÄSS § 2 DER VERORDNUNG DER DATENSCHUTZBEHÖRDE ÜBER VERARBEITUNGSVORGÄNGE, FÜR DIE EINE DATENSCHUTZ-FOLGENABSCHÄTZUNG DURCHZUFÜHREN IST (DSFA-V), BGBL. II NR. 521/201

Gemäß § 2 Abs. 1 DSFA-V hat eine Schwellwertanalyse zu prüfen, ob eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO erforderlich ist. Eine solche Verpflichtung besteht insbesondere, wenn einer der in § 2 Abs. 2 genannten Tatbestände oder zwei oder mehr der in Abs. 3 genannten Kriterien erfüllt sind

Prüfung der Tatbestände gemäß § 2 Abs. 2 DSFA-V (Einzelfallprüfung – eine Voraussetzung genügt)

Z 6 – Verarbeitung von personenbezogenen Daten, die dem höchstpersönlichen Lebensbereich zuzurechnen sind:
Die über die Präventionsstelle erfassten Meldungen können sensible Informationen enthalten, insbesondere solche über sexuelle Belästigung, psychische Belastungen. Diese Daten fallen in den Schutzbereich des Art. 9 Abs. 1 DSGVO und sind als dem höchstpersönlichen Bereich zuzurechnen.
Kriterium erfüllt.

Prüfung der Kriterien gemäß § 2 Abs. 3 DSFA-V (zwei oder mehr Voraussetzungen erforderlich)

Z 1 – Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten iSd Art. 9 DSGVO:
Sofern im Rahmen der Meldestelle regelmäßig Hinweise auf sexuelle Belästigung, psychische Belastungen oder ähnliche Sachverhalte erfasst werden, ist davon auszugehen, dass besondere Kategorien personenbezogener Daten iSd Art. 9 DSGVO verarbeitet werden. Die „Umfangreichheit“ ergibt sich aus dem systematischen Charakter der Meldestelle sowie der potentiell hohen Eingriffsintensität.
Kriterium erfüllt.

Z 4 – Verarbeitung von Daten von besonders schutzbedürftigen Personen:
Bei den betroffenen Personen handelt es sich unter anderem um Mitglieder eines Ordens sowie gegebenenfalls um Mitarbeitende. Letztere sind – insbesondere als Arbeitnehmer – explizit als besonders schutzbedürftig iSd Verordnung anzusehen.
Kriterium erfüllt.

Ergebnis der Schwellwertanalyse

Da bereits ein Kriterium gemäß § 2 Abs. 2 Z 6 DSFA-V erfüllt ist, ist nach dem eindeutigen Wortlaut der Verordnung eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen. Unabhängig davon wären auch mindestens zwei Kriterien aus § 2 Abs. 3 erfüllt, sodass auch auf diesem Wege eine Verpflichtung zur Durchführung der DSFA zu bejahen ist.
Die Verarbeitung personenbezogener Daten im Rahmen der beschriebenen Tätigkeit der Präventionsstelle unterliegt der Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO iVm § 2 DSFA-V.

Aus diesem Grund ist es auch notwendig, dass eine DSFA durchgeführt wird.

Datenschutz-Folgenabschätzung (DSFA)

Gegenstand der Verarbeitung 

Verarbeitungsvorgang:
Bearbeitung von Meldungen über grenzüberschreitendes Verhalten (insbesondere auch im Kontext sexueller Belästigung). Die Verarbeitung dient der dokumentierten Entgegennahme, Koordination, Moderation und begleitenden Aufarbeitung solcher Sachverhalte mit dem Ziel, innerorganisatorische Schutz-, Interventions- und Aufklärungspflichten zu erfüllen.

Beschreibung der Verarbeitung (Art. 35 Abs. 7 lit. a) DSGVO)

• Zuständige Bearbeitung erfolgt durch eine Mitarbeiterin des Wirtschaftsbetriebs, die dem Konvent organisatorisch zugeordnet ist.
• Das Verfahren wird ausschließlich im Vier-Augen-Prinzip durchgeführt.
Elektronische Datenverarbeitung erfolgt aktuell On-Premises auf Servern im direkten Kontrollbereich der Wirtschaftsbetriebe des Stift Klosterneuburg. Die Auslagerung auf Cloudsysteme, insbesondere Microsoft 365, ist nicht geplant.
• Zusätzlich werden analoge Unterlagen in einem abschließbaren Kasten aufbewahrt, dessen Schlüssel in einem Safe verwahrt wird.
• Die Erfüllung der Informationspflichten nach Art. 13 f DSGVO erfolgt durch Verlinkung in der Signatur von Dienst-E-Mails; die Kommunikation mit Betroffenen erfolgt ausschließlich über eine zentrale Stift-Adresse.
• Eine Speicherbegrenzung mit dokumentierten Fristen ist implementiert.

Notwendigkeit und Verhältnismäßigkeit (Art. 35 Abs. 7 lit. b) DSGVO)

Die Verarbeitung ist notwendig, um:

• dokumentationspflichtige Hinweise sachgerecht zu erfassen,
• innerorganisatorische Aufklärungspflichten zu erfüllen,
• Schutzkonzepte wirksam umzusetzen,
• rechtliche sowie ethische Anforderungen im Umgang mit Grenzüberschreitungen zu gewährleisten.

Verhältnismäßigkeit ist gewahrt durch Zugriffsbeschränkungen, ausschließliche interne Verarbeitung, verschlossene Lagerung und klare Kommunikationskanäle.

Bewertung der Risiken (Art. 35 Abs. 7 lit. c) DSGVO)

Risiko

Mögliche Auswirkungen auf Betroffene

Eintritts-wahrscheinlichkeit

Schadens-schwere

1. Unbefugter Zugriff auf Inhalte

Offenlegung höchstpersönlicher Daten, Reputationsschäden, psychische Belastung

niedrig (aufgrund Zugangskontrollen)

hoch

2. Fehlende Nachvollziehbarkeit interner Bearbeitungsschritte

Intransparente Entscheidungsprozesse, fehlende Rechenschaft, Vertrauensverlust

niedrig (aufgrund eines definierten Prozesses)

mittel

3. Kommunikationsfehler (z.B. Fehladressierung)

Offenlegung an unberechtigte Dritte

niedrig bis mittel (Vier Augen Prinzip)

hoch

4. Unzureichende Aufbewahrungsfristen oder fehlende Löschung

Unverhältnismäßige Speicherung, Ausweitung des Risikoumfangs

Mittel (Speicherfristen sind definiert, manuelle Löschung muss allerdings erfolgen)

mittel

5. Drucksituationen für Hinweisgebende durch interne Strukturen

Eingeschränkte Ausübung des Auskunftsrechts oder des Rechts auf Vertraulichkeit

mittel

hoch

Die Risiken für die Rechte und Freiheiten der betroffenen Personen sind hoch in ihrer Schadensschwere (z.B. Offenlegung sensibler Inhalte, Reputationsverlust, psychosoziale Folgen), aber durch technische und organisatorische Maßnahmen in ihrer Eintrittswahrscheinlichkeit niedrig.

→ Es besteht kein hohes Restrisiko, das eine Konsultation der Datenschutzbehörde nach Art. 36 DSGVO erforderlich machen würde.

Maßnahmen zur Risikominimierung (Art. 35 Abs. 7 lit. d DSGVO)

Bereits implementierte Maßnahmen:

• Zugriffskontrolle mit Vier-Augen-Prinzip
• Datenhaltung ausschließlich auf lokalen Servern
• Physische Sicherung analoger Unterlagen
• Keine Cloudverarbeitung
• Begrenzte Speicherdauer mit definierten Löschfristen
• Zentrale Kommunikationsadresse
• Informationspflicht über E-Mail-Signatur
• Anonyme Hinweise können eingebracht werden

Erweiterte Empfehlungen der Datenschutzbeauftragten:

  1. Regelmäßige Reevaluierung der DSFA, insbesondere bei Änderungen
  2. Kontinuierliche Einbindung der Datenschutzbeauftragten
  3. Jährliche Schulungen für alle relevanten Stellen
  4. Dokumentierte Eskalationswege bei internen Interessenkonflikten

Fazit

Die Verarbeitung personenbezogener Daten im Rahmen der Präventionsstelle erfolgt auf einer datenschutzrechtlich angemessenen Grundlage. Das Schutzkonzept gewährleistet – auch unter Berücksichtigung der hohen Sensibilität des Sachverhalts – ein dem Risiko entsprechendes Sicherheitsniveau. Mit Umsetzung der empfohlenen Maßnahmen ist das Restrisiko vertretbar und im Sinne des A

Zur Hauptnavigation

Privatsphäre-Einstellungen

Wir verwenden Web-Cookies auf unserer Website und verarbeiten personenbezogene Daten, wie die IP-Adresse. Ihre Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO zu diesen Technologien ermöglicht es uns, personenbezogene Daten wie auch das Surfverhalten oder eindeutige IDs auf unserer Webseite zu verarbeiten, um Ihnen eine bestmögliche Erfahrung zu bieten, indem wir uns Ihre Präferenzen und wiederkehrenden Besuche merken. Wir setzen auch Drittanbieter-Cookies ein. Technisch-notwendige Cookies sind für den Betrieb dieser Webseite zwingend erforderlich, sie können unterhalb durch Anklicken entscheiden, welchen weiteren Arten von Cookies (Komfort, Statistik, Marketing) Sie zustimmen. Sie haben das Recht Ihre Einwilligung in der Datenschutzerklärung zu einem späteren Zeitpunkt zu ändern oder zu widerrufen. Übermittlung von Daten in Staaten ohne angemessenes Datenschutzniveau: Soweit Ihre getroffenen Einstellungen auch Anbieter umfassen, die Daten in Staaten ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien übermitteln, so gilt Ihre Einwilligung ausdrücklich auch hierfür (Art. 49 Abs. 1 lit. a) DSGVO). Es besteht das Risiko, dass Ihre Daten dem Zugriff durch Behörden in diesen Drittstaaten zu Kontroll- und Überwachungszwecken unterliegen und dagegen keine wirksamen Rechtsbehelfe zur Verfügung stehen. Weitere Hinweise finden Sie in unseren Datenschutzhinweisen, dort können Sie in der Cookie-Übersicht auch nachträglich Ihre Angaben abändern. Unser Impressum finden Sie hier. Wir setzen den Google Consent Mode V2, auch als sog. Einwilligungsmodus bezeichnet, im Basic Mode ein. Erteilen Sie Ihre Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO nicht über den Cookie-Banner (sog. Consent Management Plattform) werden keine neuen Cookies oder ähnliche Technologie durch unsere Partner gesetzt. Erteilen Sie Ihre Einwilligung können Sie diese für konkrete einzeln Zwecke über den Cookie-Banner auswählen. Dies führt dazu, dass auf unserer Website eingesetzte Google-Produkte und integrierte Tags von Drittanbietern nur im gewünschten Maße verarbeiten werden können. Folge der Nicht-Einwilligung ist, dass Sie weniger personalisierte Inhalte erhalten. Sie sind unter 14 Jahre alt? Dann können Sie nicht in optionale Services einwilligen. Bitten Sie Ihre Eltern oder Erziehungsberechtigten, mit Ihnen in diese Services einzuwilligen.

Details anzeigen Details ausblenden