Datenschutz-Grundverordnung für Bilanzbuchhalter, Buchhalter und Personalverrechner
Der Fachverband UBIT hat für Bilanzbuchhalter/Buchhalter/Personalverrechner einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Auftragsverarbeiter und einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Verantwortlicher erstellt, die die auf diversen Websiten zur Verfügung gestellten Informationen in Hinblick auf die unterschiedlichen Rollen der Bilanzbuchhalter/Buchhalter/Personalverrechner evaluiert und relevante Links aufgelistet.
Wichtig:
Sofern Sie Daten im Rahmen Ihrer Tätigkeit als Bilanzbuchhalter, Buchhalter oder Personalverrechner verarbeiten (also auch als externer Dienstleister!), sind Sie gemäß DSGVO in der Regel als "Verantwortlicher" einzustufen.
Nähere Informationen hierzu finden Sie in unseren "FAQ" - Datenschutz-Verhaltensregeln.
1. WKO Unterlagen und Hilfestellung zur DSGVO - wko.at/datenschutz
Alle Links sind grundsätzlich für Sie relevant, da Sie Daten in der Regel sowohl für das eigene Unternehmen als auch als externer Dienstleister als Verantwortlicher verarbeiten. Die fett markierten Links sind für Sie nur relevant, wenn Sie ausnahmsweise als Auftragsverarbeiter tätig werden sollten.
Online-Ratgeber zur Datenschutz-Grundverordnung
Online-Ratgeber zu den Informationsverpflichtungen
Verhaltensregeln für Bilanzbuchhaltungsberufe gemäß DSGVO
Die wichtigsten Veränderungen im Überblick
- Verzeichnis von Verarbeitungstätigkeiten führen
Das Verzeichnis löst die derzeitigen DVR-Meldungen ab. Es muss u.a. Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten.
EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Auftragsverarbeiter
Anwendungsbeispiel für Auftragsverarbeiter
EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher
Anwendungsbeispiel für Verantwortlichen
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design/privacy by default“) einführen
Damit die Verarbeitung den neuen Anforderungen entspricht und die Rechte der betroffenen Personen geschützt werden, müssen geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) implementiert werden.
Datenschutzrechtliche Voreinstellungen müssen sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist.
Mehr zu Datensicherheitsmaßnahmen
- Datenschutzbeauftragter
Einige Unternehmen sind außerdem lt. DSGVO verpflichtet, einen eigenen Datenschutzbeauftragten zu bestellen. Betroffen sind Betriebe, deren Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Beobachtung von betroffenen Personen, umfangreichen Verarbeitung besonderer Kategorien von Daten („sensibler Daten“) oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.
Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten inkl. Mustervorlage für die Bestellung einer Person zum/zur Datenschutzbeauftragten gemäß Artikel 37 DSGVO iVm § 5 DSG“ – Dokument des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at
Mehr zu Datenschutzbeauftragter
Die Pflichten für Unternehmen
- Informationspflicht und Rechte von betroffenen Personen
Informationen und Betroffenenrechte (v.a. Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) müssen unverzüglich, spätestens aber innerhalb eines Monats gegeben und erledigt werden. Diese Frist kann um höchstens weitere zwei Monate verlängert werden.
Mehr zu Informationspflichten
Mehr zu Betroffenenrechte
- Pflicht zur Datenschutz-Folgenabschätzung
Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht (insbesondere bei Verwendung neuer Technologien), so muss Ihr Unternehmen eine Datenschutz- Folgenabschätzung machen. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschrieben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewertet werden. Diese Risikoanalyse und geplante Abhilfen in der Organisation komplettieren die Folgeabschätzung.
Mehr zu Datenschutz-Folgenabschätzung
- Unternehmer müssen Meldung machen
Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriff) müssen Unternehmen dies der Datenschutzbehörde und den betroffenen Personen melden. Und zwar in angemessener Frist – höchstens innerhalb von 72 Stunden nach der Entdeckung.
Ausnahme: Wenn die Datenschutzverletzung voraussichtlich kein Risiko (bzw. im Fall der Betroffenen kein hohes Risiko) für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet.
Mehr zu Datenschutzverletzungen
Musterdokumente
Mustervertrag - Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO - (Hinweis: Sofern Sie Daten im Rahmen Ihrer Tätigkeit als Bilanzbuchhalter, Buchhalter oder Personalverrechner verarbeiten, sind Sie in der Regel nicht als Auftragsverarbeiter, sondern als Verantwortlicher einzustufen. Dementsprechend ist auch kein Auftragsverarbeitungsvertrag abzuschließen. Die Frage, ob in sonstigen Fällen im Verhältnis zu Ihrem Steuerberater ein derartiger Vertrag abgeschlossen werden muss, ist direkt mit Ihrem Steuerberater zu klären. Nähere Informationen hierzu finden Sie in unseren „FAQ“-Datenschutz-Verhaltensregeln.)
Muster-Verarbeitungsverzeichnis für Verantwortliche
Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter
Musterschreiben zur Auskunftserteilung
Data Breach Notification - Muster Meldung an die Aufsichtsbehörde
Data Breach Notification - Muster Benachrichtigung der betroffenen Person
Datenschutzerklärung für Mitarbeiter
Muster Datenschutzinformation und Einwilligungserklärung
Anmerkung: Bitte beachten Sie, dass die von dieser Datenschutzerklärung umfasste Einwilligungserklärung ausschließlich für unmittelbare Auftragsverhältnisse zwischen Ihnen als Buchhalter/Bilanzbuchhalter/Personalverrechner und betroffenen Personen selbst gedacht ist (z.B. einem Arbeitnehmer im Rahmen seiner Arbeitnehmerveranlagung).
Links
Ablaufplan Datenschutz-Folgenabschätzung
Auskunftspflicht des Verantwortlichen
Das Datenschutz-Anpassungsgesetz 2018
Datenschutz und Direktmarketing
Datenschutz-Folgenabschätzung und vorherige KonsultationDatenschutzrechtliche Pflicht zur Datenübertragbarkeit
Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches
Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten
Grundsätze und Rechtmäßigkeit der Verarbeitung
Meldung von Datenschutzverletzungen (Data Breach Notification)
Pflichten des Auftragsverarbeiters
Pflichten des Verantwortlichen
Rechtsdurchsetzung und Strafen
Sachlicher und räumlicher Anwendungsbereich
Speicher- und Aufbewahrungsfristen
Verantwortlicher und Auftragsverarbeiter - (Überblick)
Fragen und Antworten aus dem Chat
2. Unterlagen und Hilfestellung zur DSGVO der Datenschutzbehörde - https://www.dsb.gv.at/datenschutz-grundverordnung
Artikel 29 Datenschutzgruppe - Beschlossene Leitlinien der Artikel-29-Gruppe
- Recht auf Datenübertragbarkeit
Leitlinien zum Recht auf Datenübertragbarkeit
- Datenschutzbeauftragter
Leitlinien in Bezug auf Datenschutzbeauftrage
- Federführende Aufsichtsbehörde
Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters
- Datenschutz-Folgenabschätzung und Hohes Risiko
Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt"
Neu: Export-Funktion in DVR-Online
Mit dem In-Geltung-Treten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde. Das Datenverarbeitungsregister wird ab diesem Zeitpunkt (bis zum 31. Dezember 2019) zu Archivzwecken fortgeführt werden.
Um einem Auftraggeber die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren.
Hierfür wurden im DVR-ONLINE-Meldebereich des Auftraggebers entsprechende Funktionen (rote Buttons, siehe Screenshot) eingefügt.
Achtung: für Informationsverbundsysteme besteht diese Möglichkeit nicht.
Mehr zu DVR-Online.
3. Unterlagen und Hilfestellung zur DSGVO des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at
Kompakte Checkliste zur Umsetzung der Datenschutz-Grundverordnung
4. Rechtsinformationssystem (RIS)
Hier finden Sie ausgewählte Entscheidungen der Datenschutzkommission von 1990 bis 2013. Ab 2014 finden Sie hier ausgewählte Entscheidungen der Datenschutzbehörde.
https://www.ris.bka.gv.at/Dsk/
Höchstgerichtliche Judikatur: www.ris.bka.gv.at und InfoCuria - Rechtsprechung des Europäischen Gerichtshofs