Datenschutz-Grundverordnung für Bilanzbuchhalter, Buchhalter und Personalverrechner 

Der Fachverband UBIT hat für Bilanzbuchhalter/Buchhalter/Personalverrechner einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Auftragsverarbeiter und einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Verantwortlicher erstellt, die die auf diversen Websiten zur Verfügung gestellten Informationen in Hinblick auf die unterschiedlichen Rollen der Bilanzbuchhalter/Buchhalter/Personalverrechner evaluiert und relevante Links aufgelistet.

1. WKO Unterlagen und Hilfestellung zur DSGVO - wko.at/datenschutz

Alle Links sind grundsätzlich für Sie relevant, da Sie Daten in der Regel sowohl für das eigene Unternehmen als auch als externer Dienstleister als Verantwortlicher verarbeiten. Die fett markierten Links sind für Sie nur relevant, wenn Sie ausnahmsweise als Auftragsverarbeiter tätig werden sollten.

Checkliste

Online-Ratgeber zur Datenschutz-Grundverordnung

Online-Ratgeber zu den Informationsverpflichtungen

Verhaltensregeln für Bilanzbuchhaltungsberufe gemäß DSGVO

Die wichtigsten Veränderungen im Überblick

• Verzeichnis von Verarbeitungstätigkeiten führen

Das Verzeichnis löst die derzeitigen DVR-Meldungen ab. Es muss u.a. Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kate­gorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten.

EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Auftragsverarbeiter

Anwendungsbeispiel für Auftragsverarbeiter

EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher

Anwendungsbeispiel für Verantwortlichen

• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design/privacy by default“) einführen

Damit die Verarbeitung den neuen Anforderungen entspricht und die Rechte der betroffenen Personen geschützt werden, müssen geeignete technische und organisatorische Maßnah­men und Verfahren (z.B. Pseudonymisie­rung) implementiert werden.

Datenschutzrechtliche Voreinstellungen müssen sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbei­tet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist.

Mehr zu Datensicherheitsmaßnahmen

• Datenschutzbeauftragter

Einige Unterneh­men sind außerdem lt. DSGVO verpflichtet, einen eigenen Datenschutzbeauftragten zu bestellen. Betroffen sind Betriebe, deren Kerntätigkeit in einer umfangrei­chen regelmäßigen und systematischen Beobachtung von betroffenen Personen, umfangreichen Verarbeitung besonderer Kategorien von Daten („sensibler Daten“) oder von Daten über strafrechtliche Verur­teilungen oder Straftaten besteht.

Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten inkl. Mustervorlage für die Bestellung einer Person zum/zur Datenschutzbeauftragten gemäß Artikel 37 DSGVO iVm § 5 DSG“ – Dokument des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

Mehr zu Datenschutzbeauftragter

Die Pflichten für Unternehmen

• Informationspflicht und Rechte von betroffenen Personen

Informationen und Betroffenenrechte (v.a. Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) müssen unverzüglich, spätestens aber innerhalb eines Monats gegeben und erledigt werden. Diese Frist kann um höchstens weitere zwei Monate verlängert werden.

Mehr zu Informationspflichten

Mehr zu Betroffenenrechte

• Pflicht zur Datenschutz-Folgenabschätzung

Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten be­steht (insbesondere bei Verwendung neuer Techno­logien), so muss Ihr Unternehmen eine Datenschutz- Folgenabschätzung machen. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschrieben sowie die Notwen­digkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewertet werden. Diese Risikoanalyse und geplante Abhilfen in der Organisation komplettie­ren die Folgeabschätzung.

Mehr zu Datenschutz-Folgenabschätzung

• Unternehmer müssen Meldung machen

Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriff) müssen Unternehmen dies der Datenschutzbehörde und den betroffenen Personen melden. Und zwar in angemessener Frist – höchstens innerhalb von 72 Stunden nach der Entdeckung.

Ausnahme: Wenn die Datenschutzverletzung voraussichtlich kein Risiko (bzw. im Fall der Betroffenen kein hohes Risiko) für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet.

Mehr zu Datenschutzverletzungen

Musterdokumente

Mustervertrag - Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO - (Hinweis: Sofern Sie Daten im Rahmen Ihrer Tätigkeit als Bilanzbuchhalter, Buchhalter oder Personalverrechner verarbeiten, sind Sie in der Regel nicht als Auftragsverarbeiter, sondern als Verantwortlicher einzustufen. Dementsprechend ist auch kein Auftragsverarbeitungsvertrag abzuschließen. Die Frage, ob in sonstigen Fällen im Verhältnis zu Ihrem Steuerberater ein derartiger Vertrag abgeschlossen werden muss, ist direkt mit Ihrem Steuerberater zu klären. Nähere Informationen hierzu finden Sie in unseren „FAQ“-Datenschutz-Verhaltensregeln.)

Muster-Verarbeitungsverzeichnis für Verantwortliche

Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter

Musterschreiben zur Auskunftserteilung

Data Breach Notification - Muster Meldung an die Aufsichtsbehörde

Data Breach Notification - Muster Benachrichtigung der betroffenen Person

Datenschutzerklärung für Mitarbeiter

Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten

Muster Datenschutzinformation und Einwilligungserklärung

Anmerkung: Bitte beachten Sie, dass die von dieser Datenschutzerklärung umfasste Einwilligungserklärung ausschließlich für unmittelbare Auftragsverhältnisse zwischen Ihnen als Buchhalter/Bilanzbuchhalter/Personalverrechner und betroffenen Personen selbst gedacht ist (z.B. einem Arbeitnehmer im Rahmen seiner Arbeitnehmerveranlagung).

Links

Ablaufplan Datenschutz-Folgenabschätzung

Auskunftspflicht des Verantwortlichen

Betroffenenrechte

Bildverarbeitung

Checkliste

Das Datenschutz-Anpassungsgesetz 2018

Datenschutz und Direktmarketing

Datenschutz-Folgenabschätzung und vorherige Konsultation

Datenschutzrechtliche Pflicht zur Datenübertragbarkeit

Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches

Datenverarbeitung zu Archivzwecken, zu wissenschaftlichen und historischen Forschungszwecken sowie zu statistischen Zwecken

Datenschutzbeauftragter

Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten

Einwilligungserklärung

Grundsätze und Rechtmäßigkeit der Verarbeitung

Informationspflichten

Internationaler Datenverkehr

Meldung von Datenschutzverletzungen (Data Breach Notification)

Pflicht zur Berichtigung, Löschung ("Recht auf Vergessenwerden") und zur Einschränkung der Verarbeitung

Pflichten des Auftragsverarbeiters

Pflichten des Verantwortlichen

Rechtsdurchsetzung und Strafen

Sachlicher und räumlicher Anwendungsbereich

Speicher- und Aufbewahrungsfristen

Verantwortlicher und Auftragsverarbeiter - (Überblick)

Wichtige Begriffsbestimmungen

www.it-safe.at

KMU DIGITAL BeraterInnen

Fragen und Antworten aus dem Chat

- Auftragsverarbeiter

- Verarbeitungsverzeichnis

2. Unterlagen und Hilfestellung zur DSGVO der Datenschutzbehörde - https://www.dsb.gv.at/datenschutz-grundverordnung

Leitfaden - Verordnung

Artikel 29 Datenschutzgruppe - Beschlossene Leitlinien der Artikel-29-Gruppe

Article 29 Working Party

• Recht auf Datenübertragbarkeit
  Leitlinien zum Recht auf Datenübertragbarkeit

• Datenschutzbeauftragter 
  Leitlinien in Bezug auf Datenschutzbeauftrage

• Federführende Aufsichtsbehörde
  Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters

• Datenschutz-Folgenabschätzung und Hohes Risiko
  Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt"

Neu: Export-Funktion in DVR-Online

Mit dem In-Geltung-Treten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde. Das Datenverarbeitungsregister wird ab diesem Zeitpunkt (bis zum 31. Dezember 2019) zu Archivzwecken fortgeführt werden.

Um einem Auftraggeber die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren.

Hierfür wurden im DVR-ONLINE-Meldebereich des Auftraggebers entsprechende Funktionen (rote Buttons, siehe Screenshot) eingefügt.

Achtung: für Informationsverbundsysteme besteht diese Möglichkeit nicht.

Mehr zu DVR-Online.

3. Unterlagen und Hilfestellung zur DSGVO des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

Kompakte Checkliste zur Umsetzung der Datenschutz-Grundverordnung

4. Rechtsinformationssystem (RIS)

Hier finden Sie ausgewählte Entscheidungen der Datenschutzkommission von 1990 bis 2013. Ab 2014 finden Sie hier ausgewählte Entscheidungen der Datenschutzbehörde.

https://www.ris.bka.gv.at/Dsk/

Höchstgerichtliche Judikatur: www.ris.bka.gv.at und InfoCuria - Rechtsprechung des Europäischen Gerichtshofs