th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Datenschutz-Grundverordnung für Bilanzbuchhalter, Buchhalter und Personalverrechner 

Pflichten für externe Dienstleister und Verantwortliche

Der Fachverband UBIT hat für Bilanzbuchhalter/Buchhalter/Personalverrechner einen

Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als externe Dienstleister und einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Verantwortliche erstellt und die auf diversen Website zur Verfügung gestellten Informationen in Hinblick auf die unterschiedlichen Rollen der Bilanzbuchhalter/Buchhalter/Personalverrechner evaluiert und relevante Links aufgelistet.

1. WKO Unterlagen und Hilfestellung zur DSGVO - wko.at/datenschutz

Die fett markierten Links sind für Bilanzbuchhalter, Buchhalter und Personalverrechner relevant, wenn sie als Auftragsverarbeiterinnen und Auftragsverarbeiter tätig werden.

Achtung: Die weiteren angeführten Links sind für Bilanzbuchhalter, Buchhalter und Personalverrechner ebenso relevant, da sie im eigenen Unternehmen eigenständig verantwortlich sind.

Checkliste

Online-Ratgeber zur Datenschutz-Grundverordnung

Online-Ratgeber zu den Informationsverpflichtungen

Die wichtigsten Veränderungen im Überblick

  • Verzeichnis von Verarbeitungstätigkeiten führen

Das Verzeichnis löst die derzeitigen DVR-Meldungen ab. Es muss u.a. Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kate­gorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten.

EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Auftragsverarbeiter

Anwendungsbeispiel für Auftragsverarbeiter

EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher

Anwendungsbeispiel für Verantwortlichen

  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design/privacy by default“) einführen

Damit die Verarbeitung den neuen Anforderungen entspricht und die Rechte der betroffenen Personen geschützt werden, müssen geeignete technische und organisatorische Maßnah­men und Verfahren (z.B. Pseudonymisie­rung) implementiert werden.

Datenschutzrechtliche Voreinstellungen müssen sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbei­tet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist.

Mehr zu Datensicherheitsmaßnahmen

  • Datenschutzbeauftragter

Einige Unterneh­men sind außerdem lt. DSGVO verpflichtet, einen eigenen Datenschutzbeauftragten zu bestellen. Betroffen sind Betriebe, deren Kerntätigkeit in einer umfangrei­chen regelmäßigen und systematischen Beobachtung von betroffenen Personen, umfangreichen Verarbeitung besonderer Kategorien von Daten („sensibler Daten“) oder von Daten über strafrechtliche Verur­teilungen oder Straftaten besteht.

Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten inkl. Mustervorlage für die Bestellung einer Person zum/zur Datenschutzbeauftragten gemäß Artikel 37 DSGVO iVm § 5 DSG“ – Dokument des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

Mehr zu Datenschutzbeauftragter

Die Pflichten für Unternehmen

  • Informationspflicht und Rechte von betroffenen Personen

Informationen und Betroffenenrechte (v.a. Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) müssen unverzüglich, spätestens aber innerhalb eines Monats gegeben und erledigt werden. Diese Frist kann um höchstens weitere zwei Monate verlängert werden.

Mehr zu Informationspflichten

Mehr zu Betroffenenrechte  

  • Pflicht zur Datenschutz-Folgenabschätzung

Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten be­steht (insbesondere bei Verwendung neuer Techno­logien), so muss Ihr Unternehmen eine Datenschutz- Folgenabschätzung machen. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschrieben sowie die Notwen­digkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewertet werden. Diese Risikoanalyse und geplante Abhilfen in der Organisation komplettie­ren die Folgeabschätzung.

Mehr zu Datenschutz-Folgenabschätzung

  • Unternehmer müssen Meldung machen

Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriff) müssen Unternehmen dies der Datenschutzbehörde und den betroffenen Personen melden. Und zwar in angemessener Frist – höchstens innerhalb von 72 Stunden nach der Entdeckung.

Ausnahme: Wenn die Datenschutzverletzung voraussichtlich kein Risiko (bzw. im Fall der Betroffenen kein hohes Risiko) für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet.

Mehr zu Datenschutzverletzungen

Musterdokumente

Mustervertrag - Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO - (Hinweis: Die Frage, ob im Verhältnis zu Ihrem Steuerberater ein derartiger Vertrag abgeschlossen werden muss, ist direkt mit Ihrem Steuerberater zu klären.)

Muster-Verarbeitungsverzeichnis für Verantwortliche

Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter

Musterschreiben zur Auskunftserteilung

Data Breach Notification - Muster Meldung an die Aufsichtsbehörde

Data Breach Notification - Muster Benachrichtigung der betroffenen Person

Datenschutzerklärung für Mitarbeiter

Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten

Musterformular Datenschutzerklärung

Anmerkung: Bitte beachten Sie, dass die von der Datenschutzerklärung umfasste Einwilligungserklärung das Verhältnis zwischen Ihnen als Buchhalter/Bilanzbuchhalter/Personalverrechner und der betroffenen Person selbst betrifft (z.B. einem Arbeitnehmer im Rahmen seiner Arbeitnehmerveranlagung).

Wenn Sie z.B. die Personalverrechnung für ein Unternehmen durchführen, ist dieses Unternehmen und nicht Sie als Personalverrechner dafür verantwortlich, dass eine gültige Rechtsgrundlage für die Verarbeitung der Mitarbeiterdaten des Unternehmens vorliegt (z.B. eine Einwilligung).

Links

Ablaufplan Datenschutz-Folgenabschätzung

Auskunftspflicht des Verantwortlichen

Betroffenenrechte

Bildverarbeitung

Checkliste

Das Datenschutz-Anpassungsgesetz 2018

Datenschutz und Direktmarketing

Datenschutz-Folgenabschätzung und vorherige Konsultation

Datenschutzrechtliche Pflicht zur Datenübertragbarkeit

Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches

Datenverarbeitung zu Archivzwecken, zu wissenschaftlichen und historischen Forschungszwecken sowie zu statistischen Zwecken

Datenschutzbeauftragter

Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten

Einwilligungserklärung

Grundsätze und Rechtmäßigkeit der Verarbeitung

Informationspflichten

Internationaler Datenverkehr

Meldung von Datenschutzverletzungen (Data Breach Notification)

Pflicht zur Berichtigung, Löschung ("Recht auf Vergessenwerden") und zur Einschränkung der Verarbeitung

Pflichten des Auftragsverarbeiters

Pflichten des Verantwortlichen

Rechtsdurchsetzung und Strafen

Sachlicher und räumlicher Anwendungsbereich

Speicher- und Aufbewahrungsfristen

Verantwortlicher und Auftragsverarbeiter - (Überblick)

Wichtige Begriffsbestimmungen

www.it-safe.at

KMU DIGITAL BeraterInnen

Fragen und Antworten aus dem Chat

- Auftragsverarbeiter

- Verarbeitungsverzeichnis

2. Unterlagen und Hilfestellung zur DSGVO der Datenschutzbehörde - https://www.dsb.gv.at/datenschutz-grundverordnung

Leitfaden - Verordnung

Artikel 29 Datenschutzgruppe - Beschlossene Leitlinien der Artikel-29-Gruppe

Article 29 Working Party

Neu: Export-Funktion in DVR-Online

Mit dem In-Geltung-Treten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde. Das Datenverarbeitungsregister wird ab diesem Zeitpunkt (bis zum 31. Dezember 2019) zu Archivzwecken fortgeführt werden.

Um einem Auftraggeber die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren.

Hierfür wurden im DVR-ONLINE-Meldebereich des Auftraggebers entsprechende Funktionen (rote Buttons, siehe Screenshot) eingefügt.

Achtung: für Informationsverbundsysteme besteht diese Möglichkeit nicht.

Mehr zu DVR-Online.

3. Unterlagen und Hilfestellung zur DSGVO des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

Kompakte Checkliste zur Umsetzung der Datenschutz-Grundverordnung

4. Rechtsinformationssystem (RIS)

Hier finden Sie ausgewählte Entscheidungen der Datenschutzkommission von 1990 bis 2013. Ab 2014 finden Sie hier ausgewählte Entscheidungen der Datenschutzbehörde.

https://www.ris.bka.gv.at/Dsk/

Höchstgerichtliche Judikatur: www.ris.bka.gv.at und InfoCuria - Rechtsprechung des Europäischen Gerichtshofs