th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Bin ich von der EU-Datenschutz-Grundverordnung betroffen? - FAQ

Antworten auf die wichtigsten Fragen

Achtung: Jeder, der nur in irgendeiner Art und Weise im Unternehmen Daten mit Personenbezug (Name, Adresse, Telefonnummer,) speichert / bearbeitet / durchleitet etc fällt in die Bestimmungen der DSGVO!

  1. Betrifft die Verordnung nur Kundendaten oder auch die von Mitarbeitern (zB. Fotos der Mitarbeiter auf der Homepage...)?
  2. Was ist im Supportfall, da muss man auf Nutzerverhalten speichern, also was macht der Kunde/User genau, im Falle das der Kunde mitteilt, das etwas nicht funktioniert? Ich meine damit, ein Kunde meldet das eine Funktion nicht funktioniert, somit muss ich ja evtl. in den Logfiles nachsehen, oder ein Livelog machen, was ist damit?
  3. Umfasst die DSGVO nur Datensätze in operativen Systemen (wie CRM, ERP, ...) oder auch a) auch Backup-Bändern und b) in E-Mail-Postfächern?
  4. Sind auch ARGE von der DSGVO betroffen?
  5. Betrifft das auch FF, Rettung, sonstige gemeinnützige Vereine?
  6. Gilt die Datenschutzverordnung nur für digitale Daten oder auch für analoge (z.B. händisch beschriebene Kundenkarten)?
  7. Wenn ich von einem Kunden personenbezogene Daten über das Internet recherchiere und diese Daten dann in unserer Datenbank aktualisiere - gilt hier die DSGVO?
  8. Ich habe alle Adressdaten ausgedruckt nicht digital verfügbar. Falle ich darunter?
  9. Ich bin Einzelunternehmer (Fotograf) und bekommen von meinen Kunden lediglich eine Rechnungsadresse für die Verrechnung. Betrifft mich diese Datenschutzverordnung trotzdem?
  10. Fallen auch die Daten der MitarbeiterInnen, die man bei einer neuen Anstellung benötigt (Adresse, Kontodaten, SVNr. der Mitarbeiter etc) unter personenbezogene Daten?
  11. Was ist mit ITlern? In wie weit sind die betroffen? Die haben evtl. Zugangsdaten von Systemen und Usern usw.
  12. Ich bin Kleinunternehmerin. Ich habe keine Kundendatenbank oder dergleichen. Gespeichert habe ich ausschließlich die Rechnungen die ich meinen Kunden gestellt habe, lt. gesetzlichen Anforderungen. Inwiefern betrifft mich in diesem Fall die DSGVO?
  13. Sind Privatpersonen, die Adressbücher am Computer haben auch betroffen?
  14. Ist unser Unternehmen betroffen? Wir sind Reiseveranstalter (Organisation von Incentive-Reisen unserer Firmen-Kunden) und sammeln in unserer Kontaktdatenbank nur die Daten unserer Lieferanten und Kunden, die wissen, dass wir Ihre Daten speichern (um ihre Reisen zu buchen)?
  15. Wird die DSGVO auch bei reinem B2B Geschäft schlagend?
  16. Wie schaut es aus, wenn ich als Einzelunternehmer lediglich Kontaktdaten von Kunden und Kollegen (Freelancern) speichere und sonst nichts?
  17. Fallen auch NICHT gewerbliche Vermieter (Privatvermieter) in die DSGVO?
  18. Wie sieht es aus, wenn ich als Privatperson mit einer Steuernummer Wohnungen vermiete und dafür neue Mieter suche. Muss ich die neuen Richtlinien betreffend des Datenschutzes beachten?
  19. Gelten die Datenschutzrichtlinien für Vereine im gleichen Maß, wie für Unternehmen?
  20. Inwiefern betrifft der Datenschutz die Meldepflicht bei Gästen in der Hotellerie?
  21. Fällt auch die Verarbeitung von Mailadressen in Verbindung mit freiwillig zur Verfügung gestellten Interessensdaten in die DSGVO?
  22. Fällt das Entsorgen von Altpapier mit Daten unter Datenverarbeitung? Ist ein Altpapierentsorger ein Datenverarbeiter?
  23. Inwieweit sind auch Drucker die eine Festplatte eingebaut haben von der neuen Datenschutzverordnung betroffen?
  24. Wenn ich lediglich Name und E-Mail-Adresse digital speichere, in wieweit betrifft mich die neue Verordnung?
  25. Wenn ich als EPU im Direktvertrieb tätig bin und meine Kundendaten ausschließlich in meinem iPhone gespeichert habe (welches mit der iCloud synchronisiert wird), betrifft mich das Thema überhaupt?
  26. Ich arbeite von zu Hause aus (Homeoffice) wo ich gemeinsam mit meinem Mann wohne. (Wie) muss ich mir datenschutzrechtlich vor allem in Hinblick auf "Datenschutz neu" wegen ihm Gedanken machen? Er ist nicht bei mir offiziell im Betrieb, hat aber natürlich Zugang und hilft mir auch oft aus (Buchhaltung, Akquise u. ä.) Muss er z. B. eine Art "Geheimhaltungsblatt" unterschreiben? Hab da gar keine Vorstellung.
  27. Gilt die DSGVO auf für Vereine, z. B. Sportvereine?

1. Betrifft die Verordnung nur Kundendaten oder auch die von Mitarbeitern (zB. Fotos der Mitarbeiter auf der Homepage...)?

Die Verordnung regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Daten und Fotos der Mitarbeiter auf der Homepage sind personenbezogene Daten und unterliegen daher der DSGVO.

2. Was ist im Supportfall, da muss man auf Nutzerverhalten speichern, also was macht der Kunde/User genau, im Falle das der Kunde mitteilt, das etwas nicht funktioniert? Ich meine damit, ein Kunde meldet das eine Funktion nicht funktioniert, somit muss ich ja evtl. in den Logfiles nachsehen, oder ein Livelog machen, was ist damit?

Sie sind hier genauso von der DSGVO betroffen, da Sie offenbar personenbezogene Daten verarbeiten. Es ist davon auszugehen, dass hier ein Vertragsverhältnis zu Grunde liegt, dh Sie greifen auf die Daten im vertraglich definierten Ausmaß zu.

3. Umfasst die DSGVO nur Datensätze in operativen Systemen (wie CRM, ERP, ...) oder auch a) auch Backup-Bändern und b) in E-Mail-Postfächern?

Ja! Die DSGVO findet Anwendung auf die Verarbeitung (darunter fällt u.a. auch die Speicherung) von personenbezogenen Daten. Welche Technologie dabei verwendet wird, ist nicht wesentlich. Es fallen daher auch personenbezogene Daten in den Anwendungsbereich, die in Backups oder in E-Mail-Postfächern gespeichert sind.

Lediglich manuelle Dateien, die keiner Ordnung unterliegen, fallen nicht in den Anwendungsbereich der DSGVO.

4. Sind auch ARGE von der DSGVO betroffen?

Ja! Die Ausnahmen vom Anwendungsbereich der DSGVO sind in der DSGVO abschließend aufgezählt. Eine Ausnahme gibt es beispielsweise für die Datenverarbeitung durch Privatpersonen ausschließlich für „persönliche oder familiäre Tätigkeiten“. Eine Ausnahme für Arbeitsgemeinschaften gibt es nicht.

5. Betrifft das auch FF, Rettung, sonstige gemeinnützige Vereine?

Ja! Die Ausnahmen vom Anwendungsbereich der DSGVO sind in der DSGVO abschließend aufgezählt. Eine Ausnahme gibt es beispielsweise für die Datenverarbeitung durch Privatpersonen ausschließlich für „persönliche oder familiäre Tätigkeiten“. Eine Ausnahme für gemeinnützige Vereine gibt es nicht.

6. Gilt die Datenschutzverordnung nur für digitale Daten oder auch für analoge (z.B. händisch beschriebene Kundenkarten)?

Die DSGVO findet auch auf die analoge Verarbeitung personenbezogener Daten Anwendung, wenn diese einer Ordnung unterliegen. Wenn die Kundenkarten daher beispielsweise alphabetisch, geographisch oder nach dem Datum des erstmaligen Kontaktes geordnet sind, unterliegen sie der DSGVO. Lediglich Akten in Papierform, die nicht nach bestimmten Kriterien geordnet werden, unterliegen nicht der Verordnung.

7. Wenn ich von einem Kunden personenbezogene Daten über das Internet recherchiere und diese Daten dann in unserer Datenbank aktualisiere - gilt hier die DSGVO?

Ja, denn auch hier werden personenbezogene Daten verarbeitet. Dieser Verarbeitungsvorgang fällt unter keine Ausnahme vom Anwendungsbereich der DSGVO. In diesem Zusammenhang ist jedoch auch die Rechtsgrundlage zu beachten; derzeit ist noch nicht vollständig geklärt, ob öffentliche Daten ohne Einwilligung der betroffenen Person oder anderer Rechtsgrundlage verarbeitet werden dürfen, da die Verarbeitung von öffentlichen Daten nicht als Rechtsgrundlage (in Art 6 Abs 1 DSGVO) genannt ist. Lediglich im Zusammenhang mit sensiblen Daten stellt auch (Art 9 Abs 2 lit e DSGVO) eine Rechtsgrundlage dar, wenn die betroffene Person die Daten „offensichtlich öffentlich“ gemacht hat. Es ist jedoch anzunehmen, dass – wenn sogar veröffentlichte sensible Daten verwendet werden dürfen – auch veröffentlichte nicht-sensible personenbezogene Daten ohne anderer Rechtsgrundlage verarbeitet werden dürfen.

8. Ich habe alle Adressdaten ausgedruckt nicht digital verfügbar. Falle ich darunter?

Die DSGVO findet auch auf manuelle Verarbeitungen personenbezogener Daten Anwendung, wenn diese einer Ordnung unterliegen. Wenn die Kundenkarten daher beispielsweise alphabetisch, geographisch oder nach dem Datum des erstmaligen Kontaktes geordnet sind, unterliegen sie der DSGVO. Lediglich Akten in Papierform, die nicht nach bestimmten Kriterien geordnet werden, unterliegen nicht der Verordnung

9. Ich bin Einzelunternehmer (Fotograf) und bekommen von meinen Kunden lediglich eine Rechnungsadresse für die Verrechnung. Betrifft mich diese Datenschutzverordnung trotzdem?

Ja! Die DSGVO regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Im vorliegenden Fall verarbeiten Sie den Namen und die Adresse von Ihren Kunden. Beides sind personenbezogene Daten und unterliegen daher der DSGVO.

10. Fallen auch die Daten der MitarbeiterInnen, die man bei einer neuen Anstellung benötigt (Adresse, Kontodaten, SVNr. der Mitarbeiter etc) unter personenbezogene Daten?

Ja! Die Verordnung regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die aufgezählten Daten sind personenbezogene Daten und unterliegen daher der DSGVO.

11. Was ist mit ITlern? In wie weit sind die betroffen? Die haben evtl. Zugangsdaten von Systemen und Usern usw.

Natürlich sind auch ITler, die personenbezogene Daten verarbeiten von der DSGVO betroffen. Hier ist zu beachten, dass jedes Unternehmen für unterschiedliche personenbezogene Daten gleichzeitig Verantwortlicher und Auftragsverarbeiter sein kann.

In Ihrem Fall sind Sie Verantwortlicher im Sinne der DSGVO für die personenbezogenen Daten Ihrer eigenen Kunden. Im Hinblick auf die Userdaten Ihres Kunden sind Sie Auftragsverarbeiter: Sie verarbeiten für Ihren Kunden personenbezogene Daten seiner Kunden. Ihr Kunde entscheidet über den Zweck und die Mittel der Verarbeitung und ist daher Verantwortlicher dieser Userdaten.

12. Ich bin Kleinunternehmerin. Ich habe keine Kundendatenbank oder dergleichen. Gespeichert habe ich ausschließlich die Rechnungen die ich meinen Kunden gestellt habe, lt. gesetzlichen Anforderungen. Inwiefern betrifft mich in diesem Fall die DSGVO?

Sind auf den Rechnungen personenbezogene Daten enthalten (z.B. Name, Adresse) unterliegen diese Daten der DSGVO. In diesem Fall haben Sie die Bestimmungen der DSGVO einzuhalten.

Sind auf den Rechnungen keine personenbezogenen Daten gespeichert, so unterliegen diese – mangels Vorliegens personenbezogener Daten – nicht der DSGVO. Es ist jedoch zu beachten, dass beispielsweise auch personenbezogene Daten, die in E-Mail-Postfächern gespeichert sind, der DSGVO unterliegen.

13. Sind Privatpersonen, die Adressbücher am Computer haben auch betroffen?

Nein! Verarbeiten Privatpersonen personenbezogene Daten ausschließlich zur Ausübung persönlicher und familiärer Tätigkeiten, gilt die DSGVO nicht.

14. Ist unser Unternehmen betroffen? Wir sind Reiseveranstalter (Organisation von Incentive-Reisen unserer Firmen-Kunden) und sammeln in unserer Kontaktdatenbank nur die Daten unserer Lieferanten und Kunden, die wissen, dass wir Ihre Daten speichern (um ihre Reisen zu buchen)?

Ja! Die DSGVO regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Dass die betroffenen Personen (Ihre Lieferanten und Kunden) von der Datenverarbeitung wissen, ändert nichts an der verpflichtenden Anwendung der DSGVO.

15. Wird die DSGVO auch bei reinem B2B Geschäft schlagend?

Grundsätzlich ja! Die DSGVO regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Handelt es sich bei den Geschäftspartnern um Einzelunternehmen oder Unternehmen, bei welchen der Personenbezug durch den Firmenwortlaut herstellbar ist, so ist die DSGVO aufgrund der darin enthaltenen personenbezogenen Daten natürlicher Personen jedenfalls zu beachten.

Durch das in Österreich geltende Datenschutzgesetz (DSG) sind zum derzeitigen Zeitpunkt auch die Daten juristischer Personen geschützt. Es ist fraglich, ob der Gesetzgeber diesen ungewollten Zustand bis zum 25. Mai 2018 ändern wird.

16. Wie schaut es aus, wenn ich als Einzelunternehmer lediglich Kontaktdaten von Kunden und Kollegen (Freelancern) speichere und sonst nichts?

Auch hier haben Sie die DSGVO zu beachten, da Kontaktdaten (Name, Adresse, Telefonnummer) personenbezogene Daten natürlicher Personen sind, welche durch die DSGVO geschützt werden sollen.

17. Fallen auch NICHT gewerbliche Vermieter (Privatvermieter) in die DSGVO?

Grundsätzlich kennt die DSGVO eine Ausnahme für Datenverarbeitungen durch Privatpersonen ausschließlich für persönliche oder familiäre Tätigkeiten. Sobald jedoch ein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird, findet die DSGVO vollumfänglich Anwendung (siehe Erwägungsgrund 18 zur DSGVO). Der Begriff der wirtschaftlichen Tätigkeit ist nicht genauer definiert. Im gegebenen Fall liegt eher eine wirtschaftliche Tätigkeit vor und die DSGVO ist anzuwenden, hierzu gibt es aber noch keine gesicherte Rechtsprechung.

18. Wie sieht es aus, wenn ich als Privatperson mit einer Steuernummer Wohnungen vermiete und dafür neue Mieter suche. Muss ich die neuen Richtlinien betreffend des Datenschutzes beachten?

Grundsätzlich kennt die DSGVO eine Ausnahme für Datenverarbeitungen durch Privatpersonen ausschließlich für persönliche oder familiäre Tätigkeiten. Sobald jedoch ein Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird, findet die DSGVO vollumfänglich Anwendung (siehe Erwägungsgrund 18 zur DSGVO). Der Begriff der wirtschaftlichen Tätigkeit ist nicht genauer definiert.

Im gegebenen Fall liegt eher eine wirtschaftliche Tätigkeit vor und die DSGVO ist anzuwenden, hierzu gibt es aber noch keine gesicherte Rechtsprechung.

19. Gelten die Datenschutzrichtlinien für Vereine im gleichen Maß, wie für Unternehmen?

Ja! Die Ausnahmen vom Anwendungsbereich der DSGVO sind in der DSGVO abschließend aufgezählt. Eine Ausnahme gibt es beispielsweise für die Datenverarbeitung durch Privatpersonen ausschließlich für „persönliche oder familiäre Tätigkeiten“. Eine Ausnahme für Vereine gibt es nicht, diese haben die DSGVO im gleichen Maß einzuhalten wie Unternehmen.

20. Inwiefern betrifft der Datenschutz die Meldepflicht bei Gästen in der Hotellerie?

Bei der Meldepflicht der Gäste werden personenbezogene Daten natürlicher Personen verarbeitet. Diese Datenanwendung unterliegt daher der DSGVO. Als Rechtsgrundlage dient Ihnen die rechtliche Verpflichtung die Daten zu speichern.

21. Fällt auch die Verarbeitung von Mailadressen in Verbindung mit freiwillig zur Verfügung gestellten Interessensdaten in die DSGVO?

Auch hier werden personenbezogene Daten natürlicher Personen verarbeitet. Die DSGVO gilt unabhängig davon, ob die betroffene Person etwas von der Datenverarbeitung weiß oder die Daten freiwillig zur Verfügung gestellt hat. Diese Datenverarbeitung unterliegt daher der DSGVO.

22. Fällt das Entsorgen von Altpapier mit Daten unter Datenverarbeitung? Ist ein Altpapierentsorger ein Datenverarbeiter?

Grundsätzlich fällt auch das Löschen von personenbezogenen Daten unter den Begriff der „Verarbeitung“ und fällt daher unter die DSGVO.

Interpretiert man das Entsorgen von Altpapier als Löschen von Daten, so ist hier auch die DSGVO anzuwenden. Ein externer Altpapierentsorger wäre daher ein Auftragsverarbeiter (er verarbeitet (= löscht) die Daten im Auftrag des Verantwortlichen.

23. Inwieweit sind auch Drucker die eine Festplatte eingebaut haben von der neuen Datenschutzverordnung betroffen?

Der Ort der Datenspeicherung ist grundsätzlich egal. Ob Sie nun zwei Computer oder einen Computer und einen Drucker mit eingebauter Festplatte haben, ist für die Anwendung der DSGVO irrelevant.

In diesem Zusammenhang ist aber insbesondere auf die Datensicherheit zu achten: Es sind geeignete technische und organisatorische Maßnahmen zu treffen um die Daten zu schützen.

24. Wenn ich lediglich Name und E-Mail-Adresse digital speichere, in wieweit betrifft mich die neue Verordnung?

Hier sind zwei Punkte zu beachten: Einerseits fällt die digitale, also rechnergestützte Verarbeitung personenbezogener Daten jedenfalls in den Anwendungsbereich der DSGVO. Andererseits sind Name und E-Mail-Adresse personenbezogene Daten und unterliegen daher ebenfalls der DSGVO. Sie haben daher die Bestimmungen der DSGVO einzuhalten und beispielsweise ein Verfahrensverzeichnis zu führen sowie die betroffenen Personen über die Datenverarbeitung zu informieren.

25. Wenn ich als EPU im Direktvertrieb tätig bin und meine Kundendaten ausschließlich in meinem iPhone gespeichert habe (welches mit der iCloud synchronisiert wird), betrifft mich das Thema überhaupt?

Die DSGVO regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Im vorliegenden Fall speichern Sie die Kontaktdaten (üblicherweise Name, Telefonnummer und/oder E-Mail-Adresse) Ihrer Kunden. Diese Daten sind personenbezogene Daten. Darüber hinaus speichern Sie diese Daten auf Ihrem iPhone bzw. in der iCloud. Dies fällt unter den Begriff „automatisierte Verarbeitung“. Diese Datenverarbeitung unterliegt daher ebenfalls der DSGVO. Zusätzlich ist zu beachten, dass Sie als Verantwortlicher der personenbezogenen Daten Ihrer Kunden gelten. Sie entscheiden daher über Zwecke und Mittel der Verarbeitung.

Die iCloud gilt als Auftragsverarbeiter: Sie verarbeitet die Daten nur im Auftrag von Ihnen. Im Verarbeitungsverzeichnis müssen unter anderem die Kategorien von Empfängern (Auftragsverarbeiter und sonstige Empfänger der Daten) genannt werden. Die iCloud ist daher als Empfänger im Verarbeitungsverzeichnis anzuführen.

Darüber hinaus ist zwischen Ihnen als Verantwortlichen und der iCloud als Auftragsverarbeiter ein schriftlicher Vertrag über die Datenverarbeitung abzuschließen. Dies sollte üblicherweise durch die an die DSGVO angepassten Nutzungsbedingungen der iCloud erfüllt sein.

26. Ich arbeite von zu Hause aus (Homeoffice) wo ich gemeinsam mit meinem Mann wohne. (Wie) muss ich mir datenschutzrechtlich vor allem in Hinblick auf "Datenschutz neu" wegen ihm Gedanken machen? Er ist nicht bei mir offiziell im Betrieb, hat aber natürlich Zugang und hilft mir auch oft aus (Buchhaltung, Akquise u. ä.) Muss er z. B. eine Art "Geheimhaltungsblatt" unterschreiben? Hab da gar keine Vorstellung.

Dies kann – insbesondere bei Einzelunternehmen und Personengesellschaften – als Fall der „familienhaften Mitarbeit“ bewertet werden. Hierbei liegt kein Dienstverhältnis vor; es kann jedoch das Vorliegen eines arbeitnehmerähnlichen Verhältnisses nicht ausgeschlossen werden. Ihr Mann würde daher das Datengeheimnis des § 6 DSG einhalten müssen. Sie haben daher unter anderem Ihren Mann vertraglich dazu verpflichten personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis einzuhalten. Darüber hinaus haben Sie ihn darüber sowie über die Folgen einer Verletzung des Datengeheimnisses zu belehren. 

27. Gilt die DSGVO auf für Vereine, z. B. Sportvereine?

Ja! Die Ausnahmen vom Anwendungsbereich der DSGVO sind in der DSGVO abschließend aufgezählt. Eine Ausnahme gibt es beispielsweise für die Datenverarbeitung durch Privatpersonen ausschließlich für „persönliche oder familiäre Tätigkeiten“. Eine Ausnahme für (Sport-)Vereine gibt es nicht.