th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail LinkedIn Google-plus Facebook Whatsapp Flickr Youtube Instagram Pinterest Skype Vimeo Snapchat arrow-up arrow-right arrow-left arrow-down calendar user home

Tätigkeitsbereiche DSGVO und Datenschutzbeauftragter im Berufsbild IT

Alles, was Sie jetzt über das adaptierte Berufsbild IT wissen müssen.

Das Berufsbild IT wurde um die Tätigkeitsbereiche DSGVO und Datenschutzbeauftragter adaptiert und steht in der überarbeiteten Version online auf ubit.at zur Verfügung.

Das Berufsbild kodifiziert die aktuellen Auffassungen der Branche und schlüsselt auf dieser Grundlage die dem Beruf eigentümlichen Arbeitsvorgänge und Tätigkeitsfelder auf. Es handelt sich dabei um eine demonstrative, aufgrund der dynamischen Entwicklung des Berufsstandes keineswegs den Anspruch der Vollständigkeit erhebende Darstellung der Kernkompetenzen und Tätigkeitsfelder. 

Datenschutzbeauftragter aus Sicht der Informationstechnologen

Die Person muss für die Ausübung der Funktion des betrieblichen Datenschutzbeauftragten sowohl eine berufliche Qualifikation und insbesondere ein Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen sowie Fähigkeiten aufweisen, um die gesetzlich vorgesehenen Mindestaufgaben zu erfüllen (Vgl. Art 37 Abs. 5 DSGVO). Die Mindestaufgaben, welcher ein interner betrieblicher Datenschutzbeauftragter (ein Mitarbeiter) oder ein externer Dienstleister zu erfüllen hat, sind in Art 39 DSGVO angeführt und teilen sich in drei Säulen:

  1. Beratung und Unterrichtung
  2. Überwachungs- und Überprüfungstätigkeiten
  3. Zusammenarbeit mit und Anlaufstelle für die Datenschutzbehörde (Vertretungsaufgaben) 

Die drei Säulen des Aufgabenkatalogs beziehen sich alle auf drei Untergliederungsbereiche der DSGVO (Recht-Organisation-Technik):

  • Der rechtliche Teil beinhaltet eine Reihe an Prüfung von Rechtsmaterien wie u.a. Prüfung der Anwendbarkeit der DSGVO, der Grundprinzipien und der Rechtsgrundlagen für die rechtmäßige Datenverarbeitung, das Vorliegen der Voraussetzungen und Bedingungen im Zusammenhang mit der Erfüllung der Betroffenenrechte, Prüfung der Voraussetzungen für die Einbindung eines Auftragsverarbeiters.
  • Unter den organisatorischen Bereich fällt u.a. das Management zur Umsetzung der Betroffenenrechte, das Feststellen des Datenbestandes, die Durchführung von Risikoanalysen in Bezug auf den Datenschutz samt Abhilfemaßnahmen (organisatorische Sicht), das Verfassen einer Datenschutzstrategie/-policy, die Organisation von Sicherheitsmaßnahmen.
  • Der technische Teil beinhaltet grundsätzlich die technische Gestaltung von Datenschutz und datenschutzfreundliche Voreinstellungen (privacy by design, privacy by default). Auch das Verfassen einer Risikoanalyse und die Konzeptionierung von Abhilfemaßnahmen (technischer Blickwinkel) gehören zu diesem Bereich. 

Ein Informationstechnologe ist grundsätzlich berechtigt, die Funktion des Datenschutzbeauftragten auszuüben, wobei er aber bzgl. Beratungsleistungen aus anderen Bereichen als der Technik die Grenzen des § 32 Abs. 1a GewO idgF zu beachten hat.

  1. Aufgabe Beratung und Überwachung:
    Das Berufsbild IT weist jene Bereiche der technischen Beratung der DSGVO als von der Gewerbeberechtigung des Informationstechnologen abgedeckt aus. Die Leistungen des Datenschutzbeauftragten hinsichtlich des betriebswirtschaftlich-organisatorischen sowie rechtlichen Spektrums können mitunter im Rahmen eines Nebenrechts erfüllt werden. Gemäß § 32 Abs. 1a steht freien Gewerben das Erbringen von anderen Leistungen anderer Gewerbe (hier der Unternehmensberatung) zu, wenn diese Leistungen die eigene Leistung wirtschaftlich sinnvoll ergänzen. Der IT-Dienstleister hat darauf zu achten, dass die ergänzenden Leistungen insgesamt nur bis 30 Prozent des im Wirtschaftsjahr vom Gewerbetreibenden erzielen Gesamtumsatzes nicht übersteigen darf. Zusätzlich gilt, dass die ergänzenden Leistungen aus reglementierten Gewerben (hier der Unternehmensberatung) auch im Einzelfall nur soweit erbracht werden dürfen, als sie nicht mehr als 15 Prozent der Gesamtleistung ausmachen.

  2. Aufgabe Zusammenarbeit mit und Anlaufstelle für die Datenschutzbehörde (Vertretung):
    Grundsätzlich findet sich keine Regelung für den Informationstechnologen, wonach diesem das Recht für eine berufsmäßige Parteienvertretung im Außenverhältnis gegenüber Behörden und Körperschaften öffentlichen Rechts zukommt. IT-Dienstleister werden nur eingeschränkt diese Funktion des Datenschutzbeauftragten übernehmen können, nämlich im Rahmen der Grenzen des Nebenrechts. Weiters ist festzuhalten, dass in jedem Aufgabenbereich, der nicht von der Gewerbeberechtigung umfasst sein möge, eine Hinzuziehung geeigneter Fachleute ausreichend ist.
  3. Aufgabe Schulungen:
    Schulungen sind als Veranstaltungen von Erwachsenenbildung zur Wissensvermittlung vom Anwendungsbereich der GewO 1994 idgF ausgenommen. Zu den Tätigkeitsbereichen der Informationstechnologen gehören auch Schulungen (siehe Berufsbild IT). Angesichts dessen können und dürfen Schulungsmaßnahmen im Bereich Datenschutz auch von IT-Dienstleistern angeboten werden. 

Faktische Kenntnisse und Praktische Erfahrung

Unabhängig von den berufsrechtlichen Zugangsvoraussetzungen sind gem. § 37 Abs. 5 DSGVO die tatsächlichen Kenntnisse und Fähigkeiten im Zeitpunkt der Ernennung des Datenschutzbeauftragten zu berücksichtigen. Neben einem theoretischen Wissen im Bereich des Datenschutzrechtes und der Datensicherheit sind auch praktische Erfahrung in Bezug auf Datenverarbeitung nachzuweisen. Neben dem Erfordernis der profunden Kenntnis über die DSGVO sind Kenntnisse über den jeweiligen Wirtschaftszweig bzw. die Organisation sowie über die Datenverarbeitungsvorgänge in der Organisation nützlich.

Das sehr breite und weitläufige Spektrum des Aufgabengebietes, das ein Datenschutzbeauftragter abzudecken hat, wird wohl kaum bis gar nicht von einer bestellten Person zu erfüllen sein. Es sollte genügen, wenn der zum Datenschutzbeauftragten Ernannte nur in einem Teilbereich über eine entsprechende berufliche Qualifikation und Fachkenntnisse verfügt. Deckt er einen Teilbereich des Aufgabenspektrums des Datenschutzbeauftragten durch seine Fachkenntnisse nicht ab, sollte es ausreichend sein, das er mit entsprechenden Experten zusammenarbeitet (z.B. ein IT-Dienstleister mit einem Unternehmensberater oder Rechtsanwalt). 

Unterlagen und Hilfestellung zur DSGVO

Auf wko.at/datenschutz finden Sie umfassende Informationen der Wirtschaftskammer, welche auch laufend aktualisiert bzw. ergänzt werden.

  • Informationsblätter, Broschüren und Folder zur DSGVO und DSG 2000 (künftig DSG)
  • Checkliste für Unternehmen (von der Analyse bis zur Umsetzung)
  • Musterdokumente wie Mustervertrag über Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO, Muster-Verarbeitungsverzeichnis für Verantwortliche und Auftragsverarbeiter und Musterschreiben zur Auskunftserteilung
  • Informationsblatt über die Pflichten des Auftragsverarbeiters
  • Online-Ratgeber zur DSGVO (führt Schritt für Schritt durch die für Ihre Datenverarbeitung relevanten Vorschriften, gibt Ihnen Tipps zur Umsetzung und stellt Ihnen Musterformulare zur Verfügung)
  • Online Ratgeber zu den Informationspflichten nach der DSGVO
  • Beratung & Schulung (KMU DIGITAL – Förderung)
  • Aktuelle Veranstaltungen
    Die Präsentationsunterlagen zur Veranstaltung "Datenschutz im Fokus" vom 12. und 13. Oktober 2017 sind online abrufbar: www.wko.at/ic

Zusätzlich wird die DSGVO-Thematik aus IT-Sicht in einigen Arbeitskreisen zu spezifischen Punkten aufgegriffen, aktuell:

  • Der Arbeitskreis Daten widmet sich dabei insbesondere IT-Dienstleistern mit Schnittstellen zu Behörden (wie Verrechnungsstellen), ebenso ist auch im Arbeitskreis ZMR (Zentrales Melderegister) ein Austausch zum Thema DSGVO zwischen BMI und den Providern initiiert.
  • Im Arbeitskreis eHealth wird ein Informationsaustausch zwischen Arztsoftwareherstellern und der Österreichischen Ärztekammer zu dem Thema aufgebaut. 

UBIT Firmen A-Z mit neuer Suchfunktion: DSGVO-Beratung

Unternehmensberater als auch IT-Dienstleister dürfen im Kontext ihrer Fachexpertise und ihres Berechtigungsumfangs Beratungsleistungen zur Implementierung von DSGVO Maßnahmen und Maßnahmen zur Datensicherheit in Betrieben anbieten.

Zu diesem Zweck wurde im UBIT Firmen A-Z eine eigene Kategorie (DSGVO-Beratung) geschaffen. Dienstleister, die sich mit Beratung/Implementierung im Bereich Datenschutz bzw. DSGVO beschäftigen, werden leichter und schneller von Unternehmen gefunden, die hierzu Unterstützung suchen. Unsere Mitglieder können diese Kategorie über die Firmen A-Z Wartung (Menüpunkt "Auszeichnungen & Zertifikate") selbst auswählen.