Eine Datenschutz-Folgenabschätzung (DSFA oder PIA – Privacy Impact Assessment) ist gemäß Art. 35 DSGVO insbesondere dann durchzuführen, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat.

Der Europäische Datenschutzausschuss, in dem alle europäischen Aufsichtsbehörden vertreten sind, soll eine für alle EU-Mitgliedstaaten einheitliche, verbindliche Liste verabschieden. Leider ist dies bislang nicht geschehen. Allerdings legen immer mehr Länder ihre eigenen Black- und Whitelists vor. So nun auch Österreich. Die schon länger verfügbare Whitelist und nun auch die Blacklist. Anders als z.B. in Deutschland enthält die österreichische Liste keine Beispiele, sondern bleibt bei allgemeinen Beschreibungen. Ein weiteres Unterscheidungsmerkmal ist eine Ausnahmeregelung der österreichischen Blacklist: bestimmte Verarbeitungen im Zusammenhang mit Beschäftigungsverhältnissen bedürfen keine DSFA, wenn es über diese eine Betriebsvereinbarung gibt.

Es bleibt zu hoffen, dass der Europäische Datenschutzausschuss sich zeitnah um eine einheitliche europäische Liste bemüht.