Buchstaben formen DSGVO im Fokus, im Hintergrund steht der Schriftzug Datenschutz
© Sonja Birkelbach | stock.adobe.com
Handel mit Mode und Freizeitartikeln, Landesgremium

DSGVO für den Handel mit Mode und Freizeitartikeln

Gesammelte Informationen für das NÖ Landesgremium

Lesedauer: 7 Minuten

Die Datenschutz-Grundverordnung (DSGVO) stellt uns alle – Unternehmen, Vereine, Behörden und auch die Wirtschaftskammer - vor große Herausforderungen. Wir haben für Sie einen Schnell-Überblick zusammengestellt, der Sie in 10 Schritten durch die wesentlichen Bestimmungen führt und in 2 Anhängen einerseits ganz konkret die wichtigsten Umsetzungsschritte (7 TO-DOs) nennt, andererseits das „Herzstück“ jeder Datenverarbeitung, die sogenannten „Rechtsgrundlagen“ erklärt. Bei jedem Schritt finden Sie zusätzlich weitere Informationen direkt auf wko.at. 

Hinweis: Jeder der folgenden 10 Schritte kann in beliebiger Reihenfolge gesetzt werden. Die Abfolge der 10 Schritte ist so gewählt, dass die Informationen vom Allgemeineren immer mehr ins Speziellere gehen. Als Umsetzungsschritte wurden jene ausgewählt, die jedenfalls gesetzt werden müssen. Abhängig von der Situation im Einzelfall können auch noch weitere Umsetzungsschritte (z.B. Bestellung eines Datenschutzbeauftragten, Durchführung einer Datenschutz-Folgenabschätzung) erforderlich sein.

 

  1. VORFRAGE: Verarbeiten Sie personenbezogene Daten?
    Wahrscheinlich lautet Ihre Antwort: Ja! Kundendaten, Mitarbeiterdaten, alle Daten, die einen Bezug oder Rückschluss zu einer Person (die DSGVO spricht von „Betroffenen“) zulassen, sind personenbezogene Daten. Das Medium ist dabei egal, auch eine händisch sortierte Visitenkartensammlung stellt in der Regel eine Verarbeitung personenbezogener Daten dar.
     
  2. VORFRAGE: Verarbeiten Sie die personenbezogenen Daten der Betroffenen rechtmäßig?
    Diese Frage wird Sie bei der Umsetzung immer wieder beschäftigen. Hier nur ganz kurz worum es geht: Sie benötigen für jede Datenverarbeitung einen sogenannten „Rechtsgrund“ (von der DSGVO vorgegeben) und einen „Verarbeitungszweck“ (von Ihnen für jede Datenverarbeitung zu definieren).
     
    Nähere Informationen finden Sie hier sowie im Anhang 1; machen Sie sich aber zuerst mit den anderen Schritten vertraut:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Grundsaetze-und-Rechtmaes.html
     
  3. WEBINAR
    Verschaffen Sie sich einen ersten Überblick und besuchen Sie unser Webinar mit weiterführenden FAQs:
    https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/webinar-datenschutz-jetzt-neu-angehen.html
     
  4. ONLINE-RATGEBER
    Spielen Sie unseren Online-Ratgeber durch. Der Ratgeber ist vollkommen anonym und hilft Ihnen, aus dem umfangreichen Angebot auf wko.at jene Informationen herauszufiltern, die für Sie wesentlich sind:
    https://dsgvo.wkoratgeber.at/
     
  5. TO-DOs
    Durch den Online-Ratgeber haben Sie einen Überblick darüber, wo Handlungsbedarf besteht. Die wichtigsten Punkte, die so gut wie immer umgesetzt werden müssen, finden Sie hier, Details im Anhang 2:
     
    1.  VERARBEITUNGSVERZEICHNIS (VERFAHRENSVERZEICHNIS) erstellen
    2.  RISIKOANALYSE durchführen
    3.  DATENSICHERHEITS-MASSNAHMEN überlegen
    4.  INFORMATIONSPFLICHTEN (DATENSCHUTZERKLÄRUNG) umsetzen
    5.  GEHEIMHALTUNGSVERPFLICHTUNG FÜR MITARBEITER abschließen
    6.  UMGANG MIT DEN BETROFFENENRECHTEN überlegen
    7.  AUFTRAGSVERARBEITER-VERTRÄGE kontrollieren oder abschließen
       
  6. UMSETZUNGSHILFEN
    Eine Zusammenstellung aller Unterstützungsmaßnahmen für die Umsetzung finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Unterstuetzung-zur-Umsetzung-der-DSGVO.html
     
  7. EXPERTEN FINDEN
    Manchmal wird es sich nicht vermeiden lassen, bei der Umsetzung Experten heranzuziehen. Das muss nicht immer gleich ein Rechtsanwalt sein. Wir haben für Sie eine Liste geprüfter niederösterreichischer Unternehmen, die Ihnen bei der Umsetzung helfen können:
    https://www.wko.at/service/noe/wirtschaftsrecht-gewerberecht/datenschutzexperten-noe.html
     
  8. NACHLESE
    Manchmal ist ein Buch immer noch das beste Medium, um sich mit einem neuen Thema vertraut zu machen. Wir haben für Sie alle Infos auch in Buchform kostengünstig zusammengestellt. Bestellmöglichkeit:
    https://webshop.wko.at/datenschutzanpassungsgesetz-2018.html
    Alle Infos in aktuellster Form finden Sie auf wko.at:
    https://wko.at/Datenschutz.
     
  9. WENN ETWAS PASSIERT IST: MELDUNG VON DATENSCHUTZ-VERLETZUNGEN
    Wenn eine Datenschutz-Verletzung (Datenverlust, Datendiebstahl, Datenmissbrauch) erfolgt ist, ist dies der Datenschutzbehörde binnen 72 h melden. In vielen Fällen sind auch die Betroffenen zu informieren.
    Informationen und Muster (bearbeitbar im .docx-Format und als ausgefülltes Beispiel im .pdf-Format) finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Meldung-von-Datenschutzve.html
     
  10. WAS NICHT MEHR ALLE UNTERNEHMEN BETRIFFT: DATENSCHUTZ-BEAUFTRAGTER;
    DATENTRANSFER IN DRITTSTAATEN
    Zur Sicherheit informieren Sie sich zum Abschluss noch, ob Sie eventuell einen Datenschutz-Beauftragten benötigen (dies wird nur in Ausnahmefällen notwendig sein) und überlegen Sie, ob Sie Daten an Drittstaaten (außerhalb der EU) übertragen (z.B. auch in Clouds):
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Der-Datenschutzbeauftragt.html
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html
     
    Alle Infos inklusive aktueller Webinare, Infoveranstaltungen und weiterführender Brancheninformationen zur DSGVO finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Unterstuetzung-zur-Umsetzung-der-DSGVO.html
     
     
    Anhang 1: Überblick über die wichtigsten Rechtsgründe und Grundsätze der DSGVO:
     
     
  1. Die Verarbeitung ist für Vertragserfüllung notwendig (Beispiel: Adressdaten des Kunden zwecks Zustellung).
  2. Die Verarbeitung ist für Erfüllung einer rechtlichen Verpflichtung notwendig (Beispiel: Lohnverrechnung).
  3. Lebenswichtiges Interesse des Betroffenen / öffentliches Interesse.
  4. Berechtigtes Interesse des Verantwortlichen oder eines Dritten, sofern nicht Interessen des Berechtigten überwiegen (Beispiel: Marketingmaßnahmen; Achtung: Für E-Mail-Werbung gibt es speziellere Vorschriften im Telekommunikationsgesetz TKG).
  5. Einwilligung des Betroffenen. Diese ist dann erforderlich, wenn keiner der anderen Rechtsgründe herangezogen werden kann. (Achtung: Die Einwilligung darf nicht mit anderen Vertragserklärungen gekoppelt sein – sogenanntes „Koppelungsverbot“ - und es dürfen keine vorangekreuzten Checkboxen verwendet werden – „opt in“ statt „opt out“).
    Nähere Informationen zur Einwilligungserklärung finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Einwilligungserklaerung-.html
     
    Zusätzlich sind noch weitere Grundsätze zu beachten wie insbesondere
  1. VERARBEITUNGSVERZEICHNIS (VERFAHRENSVERZEICHNIS)
    Erstellen Sie ein Verzeichnis der in Ihrem Betrieb eingerichteten Datenverarbeitungen. Das Verarbeitungsverzeichnis (oder Verfahrensverzeichnis; beide Begriffe meinen dasselbe) dient zur betriebsinternen Dokumentation Ihrer Datenverarbeitungen und muss im Falle eine Kontrolle der Datenschutzbehörde vorgelegt werden können. Formvorschriften gibt es dafür nicht, wohl aber bestimmte Mindestinhalte. Informationen finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html
     
    Achtung! Die Ausnahme von der Erstellung eines Verarbeitungsverzeichnisses für Betriebe mit weniger als 250 Mitarbeiter ist in der Praxis kaum anwendbar, weil sie nur auf „gelegentliche“ (nicht regelmäßige) Datenverarbeitungen anwendbar ist.
     
    Muster (bearbeitbar im .docx-Format und als ausgefülltes Beispiel im .pdf-Format) finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html
     
  2. RISIKOANALYSE
    Im Verarbeitungsverzeichnis können Sie auch das Ergebnis der Risikoanalyse dokumentieren. Dabei handelt es sich um Ihre Einschätzung des Risikos für Betroffene in Folge von Datenverlust, Datenmissbrauch oder Datendiebstahl. Eine darüber hinausgehende sogenannte „Datenschutz-Folgenabschätzung“ wird in den meisten Fällen nicht erforderlich sein, da diese nur bei einem „besonders hohen Risiko“ erforderlich ist. Informationen und wann zusätzlich zur Risikoanalyse eine Datenschutz-Folgenabschätzung erforderlich ist, finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-datenschutz-grundverordnung-datenschutz-folgenabschaetzu.html
    Eine Checkliste zur Datenschutz-Folgenabschätzung finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Ablaufplan-Datenschutz-Fo.html
     
  3. DATENSICHERHEITS-MASSNAHMEN
    Informationen finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Datensicherheit-und-Daten.html
     
  4. INFORMATIONSPFLICHTEN (DATENSCHUTZERKLÄRUNG)
    Während das Verarbeitungsverzeichnis insbesondere der Datenschutzbehörde gegenüber betriebsintern als Dokumentation erstellt werden muss, richten sich die Informationspflichten nach außen: Die „Betroffenen“ (jene Personen, deren Daten verarbeitet werden) müssen ebenfalls informiert werden. Nähere Informationen finden sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Informationspflichten.html
    Damit Sie in der „Datenschutzerklärung“ keine Pflichtinformation vergessen, unterstützt Sie unser Online-Ratgeber bei der Erstellung der Datenschutzerklärung -  wiederum völlig anonym:
    https://dsgvo-informationsverpflichtungen.wkoratgeber.at/
     
  5. GEHEIMHALTUNGSVERPFLICHTUNG FÜR MITARBEITER
    Wenn Sie Mitarbeiter beschäftigen, müssen Sie Ihre Mitarbeiter zur Wahrung des Datengeheimnisses verpflichten. Muster (bearbeitbar im .docx-Format:
    Verschwiegenheitsvereinbarung
     
  6. BETROFFENENRECHTE
    Nicht nur die Datenschutzbehörde, auch Betroffene (Personen, deren personenbezogene Daten Sie verarbeiten) haben Rechte, zum Beispiel das Recht auf Löschung („Recht, vergessen zu werden“), Recht auf Auskunft, Recht auf Richtigstellung etc. Stellen Sie sicher, dass sie binnen der gesetzlichen Frist eines Monats diesen Ansprüchen nachkommen können.
    Einen Überblick finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Betroffenenrechte.html
    Tipps, wie Sie im Fall der Fälle vorgehen können, finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Pflicht-zur-Berichtigung.html
    Ein Muster für die Erledigung eines Auskunftsbegehrens (bearbeitbar im .docx-Format) finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-musterschreiben-auskunftserteilung.html
     
  7. AUFTRAGSVERARBEITER-VERTRÄGE
    Wenn Sie personenbezogene Daten zur Verarbeitung in Ihrem Auftrag an externe Dienstleister (z.B. zur Lohnverrechnung) weitergeben, benötigen Sie mit diesen Dienstleistern sogenannte „Auftragsverarbeiter-Verträge“. Diese müssen bestimmte Mindestinhalte aufweisen. Muster (bearbeitbar im .docx-Format und als ausgefülltes Beispiel im .pdf-Format) finden Sie hier:
    https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag.html
     
    Die Durchführung konkreter Umsetzungsschritte wie die Erstellung des Verarbeitungsverzeichnisses ist uns weder zeitlich noch inhaltlich möglich, weil dafür eine genaue Analyse der bei Ihnen bestehenden Datenverarbeitungssysteme erforderlich ist. Wenn Sie hier Hilfe benötigen, wenden Sie sich bitte an den Unternehmensberater oder IT-Dienstleister Ihres Vertrauens oder an einen unserer gelisteten Experten (siehe Schritt 7 „Experten finden“).
     
    Hinweisen muss man auch noch auf die „toolbox“ zur DSGVO, die die Wirtschaftskanzlei Leitner Leitner für die Bundessparte Handel entworfen hat. Sie finden dort eine Schritt-für-Schritt Anleitung, wie man die DSGVO umsetzt und auch Musterdokumente zur Verwendung: (https://www.wko.at/branchen/handel/datenschutzgrundverordnung-in-handelsunternehmen.html . Natürlich müssen Sie die Dokumente auf ihre Bedürfnisse anpassen, Nichtzutreffendes streichen und Fehlendes ergänzen. Sie finden unter „Vortrag online“ auch einen Livemitschnitt, wo Mag. Zeppelzauer von Leitner Leitner die Umsetzung der „toolbox“ erklärt.
     
    Im Anhang finden Sie noch ein Merkblatt zum Umgang mit Kundenkarten, dass einmal grob vorgibt, wie man mit der Erhebung von Kundendaten für Kundenkarten umgeht. Positiv ist, dass man „klassische“ Kundenkarten oft auf die Rechtsgrundlage des Vertrages stützen kann (Teilnahmevertrag), wenn einem Kunden auf Antrag Rabatte gewährt werden.
    Ein Muster für eine Datenschutzerklärung, die Sie auf ihre Homepage stellen können, finden Sie hier: https://www.wko.at/branchen/noe/handel/D_05b-Datenschutzerklaerung-zur-Veroeffentlichung-auf-Websit.pdf .
    Stammkunden sind dann darüber zu informieren, dass Sie ihre „Betroffenenrechte“ und mehr zum Schutz ihrer Daten dort finden („Standardmail“). Ebenfalls im Anhang findet sich eine Datenschutzerklärung für ihre Mitarbeiter. Die Rechtsgrundlage für die Verarbeitung der Mitarbeiterdaten ist der Vertrag („Dienstvertrag“).
     
    Einer der ersten und wichtigsten Schritte ist die Erstellung eines Verarbeitungsverzeichnisses, ein Muster zum Befüllen finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Dokumentationspflicht.html
    Im Anhang ist auch noch ein befülltes, jedoch stark verkürztes Verarbeitungsverzeichnis als Excel-Sheet zur Ansicht, es dient zur besseren Veranschaulichung.
     
    Abschließend weisen wir noch darauf hin, dass der Zweck dieser Informationen natürlich ist, Ihnen bei der Umsetzung der DSGVO in ihrem Betrieb bestmöglich zu helfen. Trotz gewissenhafter und sorgfältiger Aufbereitung der Unterlagen erhebt dieses Informationsschreiben aber keinen Anspruch auf Richtigkeit oder Vollständigkeit.
     

Stand: 16.06.2020