th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Aufsichtsbehörde, Strafen und Umsetzung in Österreich nach der EU-Datenschutz-Grundverordnung - FAQ

Antworten auf die wichtigsten Fragen

  1. Haben wir schon wieder einmal ein gold plating einer EU Verordnung?
  2. Ich befürchte, dass kleine EPU durch diese neuen Maßnahmen überfordert sind und dadurch "umgebracht" werden! Wie sieht das der Gesetzgeber?
  3. Wer kontrolliert den Datenschutz? Werden z.B. stichprobenartige Kontrollen gemacht oder wird nur dann nachgefragt/kontrolliert, wenn sich jemand dezidiert beschwert?
  4. Können die Strafen höher als der Unternehmensumsatz sein?
  5. Welche Durchgriffsmöglichkeit bietet das Gesetz bei Unternehmen die im Ausland sind, also z.B.: nicht in der EU? CH? Und kommt damit eine neue Panama-Welle weil dort nix geprüft wird?
  6. Welche Prüfmöglichkeiten hat die Datenschutzbehörde? Zum Beispiel: Telekom-Provider, ich mutmaße, dass dort nichts gesetzeskonform passiert mit unseren Daten. Kann dort auch ein Zugriff auf Server erfolgen? Und wie kann die Behörde bei kleinen Unternehmen vorgehen?
  7. Was sind mögliche Strafen? Wonach werden die bemessen?
  8. Sie sprechen immer von "der Behörde melden". Wer ist die Behörde? Bitte Namen und Kontaktdaten der Ansprechpartner bekanntgeben.
  9. Müssen die Betriebe mit Kontrollen rechnen?
  10. Wie wird die Einhaltung der neuen Verordnung überprüft?
  11. Werden Überprüfungen auf die DSGVO von Behörden durchgeführt? Wer führt das aus? Wie kann so eine Prüfung ablaufen?
  12. Ist das GESETZ zur DSGVO eigentlich schon fertig? Oder kann sich da noch was ändern?

1. Haben wir schon wieder einmal ein gold plating einer EU Verordnung?

Diesmal nicht, nein. Im österreichischen Datenschutz-Anpassungsgesetz ist nur sehr wenig an Öffnungsklauseln aus der DSGVO genutzt worden. Die DSGVO gilt unmittelbar, dh hier gab es keine Möglichkeit einer „österreichischen Lösung“ oder Verschärfung auf nationaler Ebene. 

2. Ich befürchte, dass kleine EPU durch diese neuen Maßnahmen überfordert sind und dadurch "umgebracht" werden! Wie sieht das der Gesetzgeber?

KMU und EPU trifft die DSGVO natürlich wie alle anderen Unternehmen auch, insofern vielleicht „schwerer“, da diese oftmals über keine eigene IT- oder Rechtsabteilung verfügen. Wir haben versucht, mit den Informationsdokumenten/ Checklisten/ Mustern auf www.wko.at/datenschutz so Vieles wie möglich gerade für KMU einfacher zu machen, damit der tatsächliche Aufwand reduziert wird. Der europäische Gesetzgeber will, dass Datenschutz verstärkt Beachtung bekommt und das hat er zugegebenermaßen geschafft. 

3. Wer kontrolliert den Datenschutz? Werden z.B. stichprobenartige Kontrollen gemacht oder wird nur dann nachgefragt/kontrolliert, wenn sich jemand dezidiert beschwert?

Die Datenschutzbehörde kontrolliert eigenständig. Einer Kontrolle muss keine Beschwerde vorangehen. 

4. Können die Strafen höher als der Unternehmensumsatz sein?

Ja, nach dem Verordnungswortlaut ist dies nicht ausgeschlossen. Strafen bis zu 20 Millionen Euro oder 4% des Konzernumsatzes des vorangegangenen Geschäftsjahres wären möglich. 

5. Welche Durchgriffsmöglichkeit bietet das Gesetz bei Unternehmen die im Ausland sind, also z.B.: nicht in der EU? CH? Und kommt damit eine neue Panama-Welle weil dort nix geprüft wird?

Durchsetzungsansprüche auf Grund Bescheide oÄ richten sich nicht nach den einzelnen Gesetzen, sondern zB nach Vollstreckungsübereinkommen. Es gibt Abkommen mit vielen Staaten. 

6. Welche Prüfmöglichkeiten hat die Datenschutzbehörde? Zum Beispiel: Telekom-Provider, ich mutmaße, dass dort nichts gesetzeskonform passiert mit unseren Daten. Kann dort auch ein Zugriff auf Server erfolgen? Und wie kann die Behörde bei kleinen Unternehmen vorgehen?

Die Befugnisse der Datenschutzbehörde sind im Datenschutzanpassungsgesetz 2018 (§ 22) geregelt.

Bsp:

  • Die Datenschutzbehörde kann vom Verantwortlichen oder Auftragsverarbeiter der überprüften Datenverarbeitung insbesondere alle notwendigen Aufklärungen verlangen
  • Sie kann Einschau in Datenverarbeitungen und diesbezügliche Unterlagen begehren.
  • Die Datenschutzbehörde ist nach Verständigung des Inhabers der Räumlichkeiten und des Verantwortlichen oder des Auftragsverarbeiters berechtigt, Räume, in welchen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen.
  • Wenn durch den Betrieb einer Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Personen (Gefahr im Verzug) vorliegt, so kann die Datenschutzbehörde die Weiterführung der Datenverarbeitung mit Bescheid, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenverarbeitung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Ebenso kann die Datenschutzbehörde auf Antrag einer betroffenen Person eine Einschränkung der Verarbeitung anordnen, wenn der Verantwortliche einer diesbezüglichen Verpflichtung nicht fristgerecht nachkommt.
  • Der Datenschutzbehörde obliegt im Rahmen ihrer Zuständigkeit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen. 

Gesetzlich wird nicht zwischen „kleinen“ oder „großen“ Unternehmen unterschieden.

Strafbar ist zB auch der Versuch, die Einschau der Datenschutzbehörde in die Datenverarbeitungen und die diesbezüglichen Unterlagen zu verweigern.

7. Was sind mögliche Strafen? Wonach werden die bemessen?

Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Es richtet sich nach Art, Schwere und Dauer des Verstoßes, Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, vorgenommene Maßnahmen zur Schadensminderung etc. Vgl auch: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Rechtsdurchsetzung-und-St.html

8. Sie sprechen immer von "der Behörde melden". Wer ist die Behörde? Bitte Namen und Kontaktdaten der Ansprechpartner bekanntgeben.

Österreichische Datenschutzbehörde
Hohenstaufengasse 3
1010 Wien

Telefon: +43 1 531 15-202525
Telefax: +43 1 531 15-202690

E-Mail:dsb@dsb.gv.at

9. Müssen die Betriebe mit Kontrollen rechnen?

Ja. Die Datenschutzbehörde wird die Einhaltung der datenschutzrechtlichen Bestimmungen kontrollieren. 

10. Wie wird die Einhaltung der neuen Verordnung überprüft?

zB mittels Kontrollen der Datenschutzbehörde oder Beschwerden betroffener Personen an die Datenschutzbehörde. 

11. Werden Überprüfungen auf die DSGVO von Behörden durchgeführt? Wer führt das aus? Wie kann so eine Prüfung ablaufen?

Überprüfungen wird es durch die Datenschutzbehörde geben. Wie diese ablaufen werden, ist (noch) nicht bekannt. Es ist aber durchaus vorstellbar, dass die Datenschutzbehörde auch vor Ort in das Unternehmen kommt, um die Einhaltung der datenschutzrechtlichen Bestimmungen (Verfahrensverzeichnis, Schulungen der Mitarbeiter, etc) zu überprüfen.

Die Befugnisse der Datenschutzbehörde sind gesetzlich geregelt:

Bsp:

  • Die Datenschutzbehörde kann vom Verantwortlichen oder Auftragsverarbeiter der überprüften Datenverarbeitung insbesondere alle notwendigen Aufklärungen verlangen 
  • Sie kann Einschau in Datenverarbeitungen und diesbezügliche Unterlagen begehren.

  • Die Datenschutzbehörde ist nach Verständigung des Inhabers der Räumlichkeiten und des Verantwortlichen oder des Auftragsverarbeiters berechtigt, Räume, in welchen Datenverarbeitungen vorgenommen werden, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen sowie Kopien von Datenträgern in dem für die Ausübung der Kontrollbefugnisse unbedingt erforderlichen Ausmaß herzustellen.

  • Wenn durch den Betrieb einer Datenverarbeitung eine wesentliche unmittelbare Gefährdung schutzwürdiger Geheimhaltungsinteressen der betroffenen Personen (Gefahr im Verzug) vorliegt, so kann die Datenschutzbehörde die Weiterführung der Datenverarbeitung mit Bescheid, untersagen. Wenn dies technisch möglich, im Hinblick auf den Zweck der Datenverarbeitung sinnvoll und zur Beseitigung der Gefährdung ausreichend scheint, kann die Weiterführung auch nur teilweise untersagt werden. Ebenso kann die Datenschutzbehörde auf Antrag einer betroffenen Person eine Einschränkung der Verarbeitung anordnen, wenn der Verantwortliche einer diesbezüglichen Verpflichtung nicht fristgerecht nachkommt.

Der Datenschutzbehörde obliegt im Rahmen ihrer Zuständigkeit die Verhängung von Geldbußen gegenüber natürlichen und juristischen Personen.

12. Ist das GESETZ zur DSGVO eigentlich schon fertig? Oder kann sich da noch was ändern?

Das Datenschutzanpassungsgesetz 2018 wurde am 31. Juli 2017 veröffentlicht und gilt ab 25. Mai 2018. Aber wie bei allen Gesetzen sind zukünftige Änderungen möglich. 

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.