th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Überblick über die Neuerungen durch die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung (DSGVO) betrifft nahezu alle Unternehmen: Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet (z.B. eine Kundendatei führt, Mitarbeiter beschäftigt oder Lieferantendaten speichert), ist betroffen und muss seine Datenanwendungen rechtzeitig vor dem Geltungsbeginn der DSGVO am 25. Mai 2018 an die neue Rechtslage anpassen. Im Folgenden erfahren Sie welche Schritte Sie mindestens bis zum 25. Mai 2018 umsetzen müssen:

 

Rechtsgrundlagen für Datenverarbeitung

Für jede Datenverarbeitung wird eine im Gesetz genannte Rechtsgrundlage benötigt. Jedes Unternehmen hat das Vorhandensein einer solchen zu prüfen. Sollte keine gültige Rechtsgrundlage vorhanden sein, ist diese entweder nachträglich einzuholen (z.B. Einwilligungen erneut DSGVO-konform einholen) oder die betreffenden Daten zu löschen.

 

Für Unternehmer sind im Bereich der nicht-sensiblen Daten insbesondere die folgenden Rechtsgrundlagen relevant:

  • Die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. arbeits(zeit)rechtlichen oder steuerrechtlichen Verpflichtungen). 
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (dies insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt).
  • Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

 

Besonderheit: Einwilligungserklärungen

Unter einer „Einwilligung“ versteht die DSGVO jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung durch die be­troffene Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. 

Diese Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen. Stillschweigen, bereits vorangekreuzte Kästchen oder Untätigkeit können keine Einwilligung darstellen. Wenn die Verarbeitung mehreren Zwecken dient, ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig. Für die Zulässigkeit der Verarbeitung „sensibler Daten“ ist eine „ausdrückliche Einwilligung“ erforderlich. 

Datenverarbeitungen, die auf bereits bestehenden Einwilligungserklärungen nach der alten Rechtslage basieren, erfordern keine neuerliche Zustimmungserklärung, sofern die erteilten Einwilligungen den Bedingungen der neuen Rechtslage entsprechen. Fehlt allerdings eines der beschriebenen Elemente muss die Einwilligung neu eingeholt werden.

Beispielhafter Formulierungsvorschlag: „Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur Zusendung von Werbematerial über die Produkte der Firma …“) bei der Firma NN verarbeitet werden und die Daten … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur zentralen Abwicklung des Kunden-Beschwerdemanagements“) an … (genaue Angabe des Übermittlungsempfängers, z.B. Name der Konzernmutter mit Anschrift) weitergegeben werden.

Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden.“ 

 

Verfahrensverzeichnis für Verantwortliche und Auftragsverarbeiter

Aufgrund der DSGVO ist keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer gehört der Vergangenheit an. Stattdessen sind von jedem Unternehmen ua. Verzeichnisse über die Verarbeitung von Daten zu führen. Diese Pflicht trifft sowohl den Verantwortlichen (derjenige der über die Zwecke und Mittel der Datenverarbeitung entscheidet) als auch den Auftragsverarbeiter (derjenige der die personenbezogenen Daten lediglich im Auftrag des Verantwortlichen bearbeitet, z.B. Steuerberater, IT-Dienstleister, externe Lohnverrechnung). Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter jedoch geringer als für den Verantwortlichen. 

Unter den folgenden Links finden Sie Muster-Verarbeitungsverzeichnisse für den Verantwortlichen (https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-verantwortliche.html) sowie den Auftragsverarbeiter (https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-auftragsverarbeite.html).

 

Besonderheiten in Bezug auf Auftragsverarbeiter: Schriftlicher Vertrag!

Es dürfen von den Verantwortlichen nur solche Auftragsverarbeiter herangezogen werden, die (insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen) hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen getroffen werden, die den Anforderungen der DSGVO genügen. Weiters ist ein schriftlicher Vertrag abzuschließen, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. In diesem Vertrag müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein. Einen Mustervertrag finden Sie unter diesem Link: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag-auftragsverarbeitung.html


Informationspflichten

Nach der DSGVO sind der betroffenen Person durch den Verantwortlichen gewisse Informationen über die Datenanwendungen zur Verfügung zu stellen. Die Informationspflichten nach der DSGVO trennen sich in eine Auflistung von Informationen, welche zu erteilen sind, wenn die Daten bei Betroffenen direkt erhoben wurden und für den Fall, dass die Daten nicht bei Betroffenen selbst erhoben wurden.

Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen. Die Übermittlung erfolgt schriftlich, elektronisch oder in einer anderen Form. Sie können beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist, bereitgestellt werden. Sie müssen lediglich dann nicht zur Verfügung gestellt werden, wenn die betroffene Person bereits über die Informationen verfügt. Musterformulierungen finden Sie unter https://dsgvo-informationsverpflichtungen.wkoratgeber.at/ oder für die Homepage (Cookies, Google Analytics, Newsletter,…) unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

 

Datensicherheitsmaßnahmen

Die Datensicherheit bei der Verarbeitung von personenbezogenen Daten soll in Zukunft noch effektiver gewährleistet werden. Hierbei sind die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere bei unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten („risikobasierter Ansatz“).

Als Datensicherheitsmaßnahmen sind ua folgende Maßnahmen gefordert:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten (z.B. Passwortsicherungen von Dateien);
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (z.B. Zutritts-/Zugangskontrollen, Zugriffsbeschränkungen). Dazu gehört auch, dass unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten („Auftragsprinzip“);
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (z.B. Backup-Programme);
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Selbstevaluierungsprozesse).

 

Welche Maßnahmen muss ich weiter treffen?

 

 

Weitere Informationen finden Sie auch unter www.wko.at/datenschutz.

Im Online-Ratgeber unter https://dsgvo.wkoratgeber.at/ werden Sie Schritt für Schritt durch die für Ihre Datenverarbeitung relevanten Vorschriften geführt. Weiters erhalten Sie Tipps zur Umsetzung sowie Links zu den für Sie erforderlichen Musterformularen.


Aktuelle Veranstaltungen:


Weitere Informationen und Details zur Anmeldung finden Sie unter:
https://www.wko.at/service/Veranstaltungen.html


Hilfreiche Links: