Le der Verarbeitungstätigkeiten gemäss Art. 35 Abs. 4 DSGVO, für die die Datenschutzstelle als Datenschutzaufsichtsbehörde in Liechtenstein eine Datenschutz-Folgenabschätzung (DSFA) verlangt. Die Beispiele und, die in der folgenden Le aufgeführt sind, dienen der Veranschaulichung und sind nicht als abschliessend zu verstehen. Die Beispiele und basieren zum einen auf den Guidelines WP 248 of the Working Party 29, wonach diese näher ergänzt und präzisiert werden und zum anderen wird die Form der Verarbeitung nach Art. 35 Abs. 1 DSGVO näher definiert. 1 Umfangreiche Verarbeitung von Daten, die durch das Sozial- oder Berufsgeheimnis geschützt sind (einschliesslich, aber nicht beschränkt auf besondere Datenkategorien gemäss Art. 9 oder personenbezogene Daten gemäss Art. 10 DSGVO) 2 Processing Using Systematic New/Innovative Technology Dienstleer im Sozialbereich; Grosse Anwaltskanzleien oder Treuhänder. Verarbeitung unter Einsatz systematischer neuer/innovativer technologischer oder organisatorischer Lösungen, vor allem Anwendungsgebiete für das Internet der Dinge. Gesundheits- und Sozialfürsorgeeinrichtungen, die umfassende Aufzeichnungen im Gesundheits- oder Sozialbereich führen; Grosse Anwaltskanzleien mit Schwerpunkt auf Familien- oder Vertragsrecht. Gebäude- und Heimautomatisierung; Selbstfahrende Autotechnik; Intelligente Transportsysteme; Medizintechnik (Telemetrie- Systeme, bei denen medizinische Daten durch Text, Ton, Bilder oder andere Formen übertragen werden, die zur Vorbeugung, Diagnose, Behandlung und Nachsorge von Patienten erforderlich sind); Deep-Learning-Plattformen; Bilderkennung. Version vom 23. Oktober 2019 1
3 Systematic Tracking (einschliesslich, aber nicht beschränkt auf Online- Anwendungen) 4 Kombination oder Abgleich personenbezogener Daten, die aus unterschiedlichen Quellen generiert werden und deren weitere Verarbeitung Systematische Verarbeitung von Daten mit dem Ziel, den Aufenthaltsort, Bewegungen oder das Verhalten einer Person aufzuzeichnen und auszuwerten. Die Abstimmung oder weitere Verarbeitung erfolgt in grossem Umfang, und zielt auf die Einrichtung von Datenbanken ab, auf deren Grundlage Entscheidungen getroffen werden können, die für die betroffenen Personen rechtliche Auswirkungen haben oder die sie in ähnlicher Weise beeinträchtigen können; zielt auf die Entdeckung bisher unbekannter Beziehungen zwischen den Daten für nicht im Voraus angestrebte Zwecke ab. Unternehmen verarbeiten GPSund WiFi-Daten von Passanten und / oder Kunden, um Bewegungsmuster sowie Einkaufsverhalten zu analysieren; Traffic-Flow-Analyse basierend auf Handy-Tracking; Sog. Wearables, das heisst Hardware- oder Software- Lösungen für Fitness-, Lifestyleoder Gesundheits-Monitoring. Betrugs- oder Geldwäsche- Erkennungssysteme; Direktmarketing und personalisierte Werbung; Kundenbindungsprogramm; Kundenbeziehungsmanagement; Hintergrundprüfungen für die Personalrekrutierung. Version vom 23. Oktober 2019 2
5 Verweigerung von Leungen unter Mithilfe von automatisierter Entscheidungsfindung (einschliesslich Profiling) 6 Systematic Employee Monitoring Obwohl Menschen in den Entscheidungsprozess involviert sind, spielen automatische Mittel eine wichtige Rolle im Entscheidungsprozess und führen zur Ablehnung von Leungen. The systematic monitoring of vulnerable data subjects (Die Mitarbeiterüberwachung) ermöglicht es einem Unternehmen, Mitarbeiteraktivitäten zu beobachten und zu überwachen. Prüfung Kreditwürdigkeit mit folgender Ablehnung eines Kreditantrags; negative Entscheidungen über Bewerbungen im Arbeitsbereich; umfassende Datenverarbeitung über früheres (Fehl-)Verhalten von Kunden, um zu bestimmen, ob die Person erneut als Kunde akzeptiert werden soll oder nicht, oder ob sich bspw. die Konditionen für den jeweiligen Kunden verändern. Systematisches Monitoring von Unternehmens-E-Mail und Internetnutzung; Aufzeichnung von Telefongesprächen mit Geschäftstelefonen, einschliesslich persönlicher Anrufe; Erstellung von Bewegungsprofilen mittels Standortverfolgung durch Zugangsausweis; Arbeitgeber nutzen GPS- Systeme in Fahrzeugen der Arbeitgeber, um Bewegungen der Mitarbeitenden zu beobachten; Arbeitgeber bewerten Bewegungsprofile von Mitarbeitern (z. B. mittels RFID, Handy- Tracking) für die Sicherheit von Personal (Sicherheitspersonal, Feuerwehrleute), für den Schutz von Eigentum des Arbeitgebers oder eines Dritten (z.b. Firmenfahrzeug mit Ladung) oder Koordinierung der Arbeitszuteilung im Verkauf. Version vom 23. Oktober 2019 3
7 Umfangreiche Anwendung des Art. 14 Abs. 5 Bst. b DSGVO Umfangreiche Verarbeitung von Daten, die nicht direkt beim Betroffenen erhoben wurden unter Verzicht auf die Information des Betroffenen, unter Berufung auf das Argument, dass sich die Mitteilung als unmöglich erwe oder einen unverhältnismässigen Aufwand darstellt. 8 Biometrische Daten Jede umfangreiche Verarbeitung von biometrischen Daten. 9 Verarbeitung personenbezogener Daten (auch wenn diese nicht umfangreich im Sinne von Art. 35 Abs. 3 Bst. b DSGVO ), wenn die Daten von betroffenen Behörden verarbeitet und an die Strafverfolgungsbehörden weitergeleitet werden. Zentrale Verarbeitung personenbezogener Daten beschuldigter Personen, Zeugen oder sonst in einen Vorfall involvierter Personen. Adresshandel; Datenverarbeitung in Archiven; Direktmarketing-Kampagnen über E-Mail oder Telemarketing. Gesichtserkennungstechnologie zur Überwachung von Personen im Einzelhandel; Gesichtserkennung zum Entsperren von Smartphones; Gesichtserkennung in sozialen Medien; Fingerabdruck-Scan zum Entsperren von Smartphones oder anderen elektronischen Geräten. Behörden verarbeiten personenbezogene Daten von Whleblowing-Hotlines oder E-Mail- Adressen. Version vom 23. Oktober 2019 4
10 Verarbeitung personenbezogener Daten von Kindern oder anderen schutzbedürftigen Personen (auch wenn diese nicht umfangreich im Sinne von Art. 35 Abs. 3 Bst. b DSGVO ) für Marketing, Profiling für automatische Entscheidungsfindung oder für Angebote von Online- Diensten. Die Verwendung der personenbezogenen Daten von Kindern für Marketingzwecke, Profiling oder andere automatisierte Entscheidungsfindung, oder wenn Unternehmen beabsichtigen, Online-Dienste direkt an Kinder anzubieten. Bereitstellung interaktiver Dienste wie soziale Netzwerke, Messenger-Dienste, interaktive Spiele, Cloud-Dienste usw. Version vom 23. Oktober 2019 5