th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Sonstiges / branchenspezifische Fragen zur EU-Datenschutz-Grundverordnung - FAQ

Antworten auf die wichtigsten Fragen

  1. Sind Datenschutz-Muster, die man kostenlos im Internet konfigurieren kann, ausreichend auf einer Website (zB von Rechtsanwalt Thomas Schwenke I LAW it)?
  2. Könnten Sie bitte die Auswirkungen auf das Affiliate-Marketing beleuchten?
  3. In einem Paketshop (Kunden können ihre Pakete abholen), wenn der Name gespeichert wird um das Paket leichter finden zu können, ist es nicht möglich die Zustimmung zu bekommen, bevor der Kunde ins Geschäft kommt. Wie kann man diesem Problem entgegen treten?
  4. Folge- bzw. Risikoabschätzungen für die Daten der Kunden können wir ja z.B. gar nicht durchführen, da wir nicht wissen was daraus resultieren könnte...?
  5. Darf man als Unternehmen persönliche Informationen (hat einen Hund, macht bald Urlaub, interessiert sich für X) aus Vertriebsgesprächen überhaupt zur Beziehungspflege speichern (Datensparsamkeit)? Auch von (noch-)Nichtkunden?
  6. Ist es ein Problem wenn wir Fotos einer Firmenfeier mit KundInnen und MitarbeiterInnen darauf (ohne Namen), auf einem Dropbox Konto abzuspeichern?
  7. Dürfen wir weiterhin Weihnachtspost versenden?
  8. Wie lange müssen unterschriebene Kundendatenplätter, in welchen bestätigt wird, dass ich dem Kunden Werbungen schicken darf, aufgehoben werden?
  9. Wie schaut es mit Daten in Learn Management Systemen aus? ZB auch für öffentliche Bildungseinrichtungen, die e-Learning Systeme zur Unterstützung der Lehre verwenden?
  10. Komme ich mit einem Betrieb nach Beginn dieser Verordnung, dann z.B. aus einem Beurteilungsportal wie Holidaycheck heraus? Bis jetzt war das ja nicht möglich.
  11. Wir sind Versicherungsmakler und verarbeiten daher neben personenbezogenen Daten auch sensible Daten wie z.B.: den Gesundheitszustand des Klienten udgl.....was ist zu tun bzw. zu beachten?
  12. Verzeichnis der Weihnachtsgeschenke für GPLA/FA Prüfung notwendig - wie geh ich damit um?
  13. Darf ich überhaupt noch in einer Akquisitiondatenbank mit Name, Adresse, Telefonnumer und Funktion eines potentiellen Klienten speichern?
  14. Darf man weiterhin Journalisten via Mail anschreiben und ihnen Presseinformationen zusenden bzw. was gibt es aufgrund der DSGVO zu beachten? 
  15. Wie ist es wenn ich die Daten für die Kurtaxe zum Gemeinde schicken muss?
  16. Muss zwischen internen Personaldaten und externen Kundendaten unterschieden werden und müssen diese unterschiedlich behandelt werden? Dürfen diese in ein und demselben System gespeichert werden?
  17. Wir sind ein Veranstaltungstechnikbetrieb, haben 2 Angestellte und arbeiten auch mit freiberuflichen Technikern. Unsere Daten liegen fast ausschließlich bei uns im Unternehmen - bis auf aktuelle Projekte, die werden mittels Cloud (droben, synolgic cloud) an die freiberuflichen Techniker und die Angestellten "geteilt". Somit haben die Techniker zu diversen Kundendaten Zugang (zB Angebot inkl Adresse, Telefonnummer, E-Mail..., Fotos der Veranstaltungslocation, Skizzen,...). Momentan arbeiten wir hier mit Werkverträgen pro Veranstaltung, wo darin explizit darauf hingewiesen wird, dass die Daten nur im Rahmen der Veranstaltung genutzt werden dürfen, ansonsten fallen Pönalen an. Reicht dies aus oder müssen hier "strengere" Klauseln in den Verträgen vereinbart werden?
  18. Wir sind ein Autohaus. Als Vertragspartner werden Kundendaten auch an den Hersteller weitergegeben. Weiters werden Finanzierungen und Versicherung über Online-Portale verkauft. Was müssen wir hier beachten?
  19. Welche Auswirkungen hat die DSGVO auf einen klassischen Einzelhandelsbetrieb der Kundendaten an der Kasse erfasst und per DirectMarketing (Postsendung, Kundenzeitung, Email-Informationen usw.) verwendet. Welche Aufzeichnungen müssen gemacht werden und welche Zustimmungen der betroffenen Personen müssen vorliegen?
  20. Was muss ein Personalverrechnungsunternehmen tun bzw. was ist zu beachten?
  21. Darf ich Kundendaten aus dem vorherigen Dienstverhältnis in der neuen Firma nutzen?
  22. Wir sind eine Buchbinderei und bekommen von Studenten Bachelor-, Master- oder Diplomarbeiten per Mail gesendet. Wie müssen wir mit den Arbeiten umgehen?
  23. Was ist im Bereich Marketing & Kommunikation zu beachten? Stichwort Cookie Richtlinien, Datenschutzrichtlinien auf der Website oder auch die Verwendung von Kundendaten für elektronische Aussendungen?
  24. Ich verwende ein digitales Fundsystem. Mit einem Schlüsselanhänger, den sogenannten NFC-Finder kann ich mich mit meiner Emailadresse registrieren und jemand der den NFC-Finder findet kann mit mir per Smartphone in anonymer Kommunikation treten. Ich verkaufe das Produkt B2B, das heißt wenn ich das Produkt z.B. an eine Agentur verkaufe, kann diese auch eine digitale Werbung hinterlegen. Jetzt die Frage: Muss auf der individuellen Landing Page für den Endkunden mein Impressum usw. hinterlegt sein oder das der Agentur? 
  25. KFZ-Reparaturbetrieb: Muss jeder Auftrag mit Datenschutzerklärung unterschrieben werden um Rechnung und § 57a Gutachten (Pickerl) ausstellen zu können?
  26. Wir sind ein Reiseveranstalter, was passiert mit personenbezogenen Daten, die wir von Geschäftspartner (zB Namensliste von Reiseteilnehmern) erhalten?
  27. Wie kann man sich als Berater zertifizieren lassen bzw. wie erkennt man "ordentliche" bzw. zertifizierte Berater?
  28. Wenn ich Kunden in lfd Geschäftsbeziehung zum Geburtstag gratuliere: Vor 20 Jahren gab's noch keine Einverständniserklärung f Email.... ist das okay?
  29. Wenn jemand bei uns ein Auto least, müssen wir eine Bonitätskontrolle bei der Bank durchführen. Was müssen wir da beachten?
  30. Wie betrifft die DSGVO öffentliche Einrichtungen (Kindergärten, Schulen)? Oder auch Einrichtungen wie Krankenhäuser oder Polizei? Wie sind diese betroffen und müssen diese auf Wunsch die gespeicherten Daten auch löschen?
  31. Was muss man bei nicht personenbezogenen Daten wie Zeichnungen oder CAD-Daten berücksichtigen, wenn keine Geheimhaltung mit dem Kunden vereinbart wurde?
  32. Ist davon auszugehen, dass es mit Mai 2018 zu Abmahnwellen "findiger Anwälte" kommen kann? Es gab und gibt ja genügend Fälle, z.B. bei fehlenden Angaben in einem Impressum.
  33. Ist ein Intranet innerhalb der Firma notwendig, eine sogenanntes virtuelles Blackboard - XY ist Papa geworden, Tochter YY Gewicht, neuer Mitarbeiter - Bekanntgabe Name etc.
  34. DSGVO verlangt schlanke Datenspeicherung, darf ich dann überhaupt das Geburtsdatum der Kinder eines Kunden speichern?
  35. Wird es Unternehmerprüfungen geben, um die korrekte Implementierung der Verordnung zu verifizieren?
  36. Brauche ich als Handelsunternehmen zwingend eine externe Beratung zur DSGVO?
  37. Wie darf ich potenzielle Geschäftspartner laut "Datenschutz neu" erstmalig (Telefon/E-Mail) kontaktieren? Da kann er/sie ja gar nicht vorher zustimmen. Also natürlich nur, falls diese Kontaktdaten öffentlich zugänglich waren (auf der Website des potenziellen Geschäftspartners zum Beispiel)
  38. Inwiefern betrifft die neue Datenschutzregelung das Thema Dropshipping?
  39. Man hört, dass es keine Rechtssicherheit geht, weil die Gesetze sehr schwammig sind und erst vor Gericht entschieden werden - wie soll ich als kleiner Betrieb da mitkommen? zB habe ich schon Aussagen der WKO gehört, die eine andere Firma anders auslegt... ich stehe in der Mitte... und hab keine Ahnung, was tun?

1. Sind Datenschutz-Muster, die man kostenlos im Internet konfigurieren kann, ausreichend auf einer Website (zB von Rechtsanwalt Thomas Schwenke I LAW it)?

Das können wir so pauschal nicht sagen, da wir die Muster nicht kennen. Es ist wahrscheinlich ähnlich zu handhaben wie mit allen anderen Muster auch – Sie können es als Anhaltspunkt/ Vorschlag verwenden, die Detailarbeit und richtige Ausfertigung bleibt Ihnen aber nicht erspart. 

2. Könnten Sie bitte die Auswirkungen auf das Affiliate-Marketing beleuchten?

Das Affiliate-Marketing fällt ebenfalls unter die Bestimmungen der DSGVO, dh alle Verpflichtungen sind entsprechend einzuhalten. Derjenige, welcher letztendlich über die Datenverarbeitung entscheidet, ist als Verantwortlicher zu qualifizieren. Diejenigen, welche die Daten für ihn verarbeiten, als Auftragsverarbeiter. Üblicherweise wird hier auch über sogenannte „Cookies“, Webtrackingtools gearbeitet, Näheres hierzu finden Sie unter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html

3. In einem Paketshop (Kunden können ihre Pakete abholen), wenn der Name gespeichert wird um das Paket leichter finden zu können, ist es nicht möglich die Zustimmung zu bekommen, bevor der Kunde ins Geschäft kommt. Wie kann man diesem Problem entgegen treten?

Es wird hier keine Einwilligung notwendig sein, da Sie die Daten offenbar ausschließlich zur Vertragserfüllung (= Bereitstellen des Pakets zur Abholung durch den Kunden) verwenden. 

4. Folge- bzw. Risikoabschätzungen für die Daten der Kunden können wir ja z.B. gar nicht durchführen, da wir nicht wissen was daraus resultieren könnte...?

Eine Risikoanalyse ist allgemein zu erstellen und muss jeder Unternehmer durchlaufen. Eine Checkliste, wie es ablaufen könnte und an was Sie denken sollten, finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-datenschutz-grundverordnung-datenschutz-folgenabschaetzu.html

5. Darf man als Unternehmen persönliche Informationen (hat einen Hund, macht bald Urlaub, interessiert sich für X) aus Vertriebsgesprächen überhaupt zur Beziehungspflege speichern (Datensparsamkeit)? Auch von (noch-)Nichtkunden?

Die Frage geht schon in die richtige Richtung – brauchen Sie die Daten wirklich für diese Kundenbeziehung? Im Sinne des Datenminimierungsgrundsatzes sollten Sie gut begründen können, warum Sie die Daten auch aufnehmen und speichern. 

6. Ist es ein Problem wenn wir Fotos einer Firmenfeier mit KundInnen und MitarbeiterInnen darauf (ohne Namen), auf einem Dropbox Konto abzuspeichern?

Wenn diese Mitarbeiter und Kunden die Zustimmung zur Fotoanfertigung und Veröffentlichung nicht gegeben haben, dann kann es ein Problem werden, ja. Üblicherweise verweist man in der Einladung darauf. 

7. Dürfen wir weiterhin Weihnachtspost versenden?

Postalisch ja, elektronisch im Zuge einer aufrechten Kundenbeziehung mit dem Kunden. 

8. Wie lange müssen unterschriebene Kundendatenplätter, in welchen bestätigt wird, dass ich dem Kunden Werbungen schicken darf, aufgehoben werden?

Zumindest solange er die Einwilligung nicht widerruft. 

9. Wie schaut es mit Daten in Learn Management Systemen aus? ZB auch für öffentliche Bildungseinrichtungen, die e-Learning Systeme zur Unterstützung der Lehre verwenden?

Wenn personenbezogene Daten in diesen Systemen verarbeitet (gespeichert, durchgeleitet, etc) werden, dann kommen alle Bestimmungen der DSGVO zur Anwendung. 

10. Komme ich mit einem Betrieb nach Beginn dieser Verordnung, dann z.B. aus einem Beurteilungsportal wie Holidaycheck heraus? Bis jetzt war das ja nicht möglich.

Es wird nach wie vor eine Abwägung zwischen Ihrem Grundrecht auf Datenschutz und dem Recht auf freie Meinungsäußerung durchgeführt, es ändert sich hier also grundsätzlich noch nichts. Möglicherweise wird sich allerdings die Rechtsprechung zu den Bewertungsportalen noch einmal ändern. 

11. Wir sind Versicherungsmakler und verarbeiten daher neben personenbezogenen Daten auch sensible Daten wie z.B.: den Gesundheitszustand des Klienten udgl.....was ist zu tun bzw. zu beachten?

Für Versicherungsmakler gibt es einen eigenen Leitfaden, den der Fachverband herausgegeben hat und bei diesem Bezogen werden kann. Dort sind konkrete Handlungsempfehlungen und Tipps für Versicherungsmakler enthalten. 

12. Verzeichnis der Weihnachtsgeschenke für GPLA/FA Prüfung notwendig - wie geh ich damit um?

Wenn diese Verzeichnisse notwendig sind, dürfen Sie sich auch beibehalten. 

13. Darf ich überhaupt noch in einer Akquisitiondatenbank mit Name, Adresse, Telefonnumer und Funktion eines potentiellen Klienten speichern?

Ja. 

14. Darf man weiterhin Journalisten via Mail anschreiben und ihnen Presseinformationen zusenden bzw. was gibt es aufgrund der DSGVO zu beachten? 

Wenn es sich hier um eine E-Mail zu Werbezwecken handelt, dann durften Sie das ohne vorherige Zustimmung eigentlich bisher auch nicht (vgl https://www.wko.at/service/wirtschaftsrecht-gewerberecht/E-Mails_versenden_-_aber_richtig.html). An diesen Bestimmungen hat sich mit der DSGVO nichts geändert. 

15. Wie ist es wenn ich die Daten für die Kurtaxe zum Gemeinde schicken muss?

Sie müssen das tun, da es gesetzlich geregelt ist, dh Sie dürfen das auch datenschutzrechtlich. 

16. Muss zwischen internen Personaldaten und externen Kundendaten unterschieden werden und müssen diese unterschiedlich behandelt werden? Dürfen diese in ein und demselben System gespeichert werden?

Nein, es wird nicht unterschieden, nein es gibt keine Verpflichtung zur unterschiedlichen Aufbewahrung. 

17. Wir sind ein Veranstaltungstechnikbetrieb, haben 2 Angestellte und arbeiten auch mit freiberuflichen Technikern. Unsere Daten liegen fast ausschließlich bei uns im Unternehmen - bis auf aktuelle Projekte, die werden mittels Cloud (droben, synolgic cloud) an die freiberuflichen Techniker und die Angestellten "geteilt". Somit haben die Techniker zu diversen Kundendaten Zugang (zB Angebot inkl Adresse, Telefonnummer, E-Mail..., Fotos der Veranstaltungslocation, Skizzen,...). Momentan arbeiten wir hier mit Werkverträgen pro Veranstaltung, wo darin explizit darauf hingewiesen wird, dass die Daten nur im Rahmen der Veranstaltung genutzt werden dürfen, ansonsten fallen Pönalen an. Reicht dies aus oder müssen hier "strengere" Klauseln in den Verträgen vereinbart werden?

Es handelt sich hier offenbar um ein Auftragsverarbeiterverhältnis, dh Sie werden wohl oder übel die neuen Standardklauseln in den Vertrag einarbeiten müssen. Diese finden Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag-auftragsverarbeitung.html

18. Wir sind ein Autohaus. Als Vertragspartner werden Kundendaten auch an den Hersteller weitergegeben. Weiters werden Finanzierungen und Versicherung über Online-Portale verkauft. Was müssen wir hier beachten?

Hinsichtlich der Versicherungen empfiehlt es sich den Leitfaden des Fachverbands der Versicherungsmakler zu beziehen (direkt bei diesem), welcher Aufschluss über die konkreten Handlungsempfehlungen gibt.

Hinsichtlich der Weitergabe der Daten an die Hersteller handelt es sich offenbar um eine notwendige Handhabe um den Vertrag abwickeln zu können. Dh Sie müssen den Kunden darüber informieren, brauchen aber keine separate Einwilligung hierfür. 

19. Welche Auswirkungen hat die DSGVO auf einen klassischen Einzelhandelsbetrieb der Kundendaten an der Kasse erfasst und per DirectMarketing (Postsendung, Kundenzeitung, Email-Informationen usw.) verwendet. Welche Aufzeichnungen müssen gemacht werden und welche Zustimmungen der betroffenen Personen müssen vorliegen?

Sie sind von der DSGVO vollinhaltlich betroffen, da Sie personenbezogene Daten verarbeiten. Sie müssen ein Verarbeitungsverzeichnis führen, Sie müssen Risiken der Verarbeitung selbst einschätzen und wissen, auf welche Rechtfertigungsgrundlage Sie Ihre Verarbeitung beziehen. Für den Einstieg iSv "wie muss ich beginnen", "was muss ich tun" empfiehlt sich das Durchspielen unseres Online-Ratgebers auf https://dsgvo.wkoratgeber.at, welcher Ihnen am Schluss individuelle Empfehlungen abgibt, was noch zu tun ist.

20. Was muss ein Personalverrechnungsunternehmen tun bzw. was ist zu beachten?

Sie sind von der DSGVO vollinhaltlich betroffen, da Sie personenbezogene Daten verarbeiten. Sie müssen ein Verarbeitungsverzeichnis führen, Sie müssen Risiken der Verarbeitung selbst einschätzen und wissen, auf welche Rechtfertigungsgrundlage Sie Ihre Verarbeitung beziehen. Für den Einstieg iSv "wie muss ich beginnen", "was muss ich tun" empfiehlt sich das Durchspielen unseres Online-Ratgebers auf https://dsgvo.wkoratgeber.at, welcher Ihnen am Schluss individuelle Empfehlungen abgibt, was noch zu tun ist.

21. Darf ich Kundendaten aus dem vorherigen Dienstverhältnis in der neuen Firma nutzen?

Nein. Als Mitarbeiter eines Unternehmens unterliegen Sie dem Datengeheimnis (§ 6 DSG neu), dh personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten haben. Weiters kommen hier wettbewerbsrechtliche Bedenken hinzu. 

22. Wir sind eine Buchbinderei und bekommen von Studenten Bachelor-, Master- oder Diplomarbeiten per Mail gesendet. Wie müssen wir mit den Arbeiten umgehen?

Sie werden hier abgesehen von den wissenschaftlichen Arbeiten wohl auch personenbezogene Informationen (= Daten) der jeweiligen Einreicher speichern (= verarbeiten). Sie dürfen diese nur so verwenden, wie Sie es mit dem jeweiligen Einreicher vereinbart haben (= Druck, Bindung, etc.) und darüber hinausgehend nicht. Die Daten Ihrer Kunden sind üblicherweise in einer Kundendatenbank gespeichert, für welche die allgemeinen Voraussetzungen nach der DSGVO gelten (Risikoanalyse, Aufnahme ins Datenverarbeitungsverzeichnis, …). 

23. Was ist im Bereich Marketing & Kommunikation zu beachten? Stichwort Cookie Richtlinien, Datenschutzrichtlinien auf der Website oder auch die Verwendung von Kundendaten für elektronische Aussendungen?

Achtung: Cookies, Newsletter etc sind durch das Telekommunikationsgesetz geregelt. Diese Bestimmungen bleiben (noch) aufrecht (vgl auch: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/E-Mails_versenden_-_aber_richtig.html und https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html). 

24. Ich verwende ein digitales Fundsystem. Mit einem Schlüsselanhänger, den sogenannten NFC-Finder kann ich mich mit meiner Emailadresse registrieren und jemand der den NFC-Finder findet kann mit mir per Smartphone in anonymer Kommunikation treten. Ich verkaufe das Produkt B2B, das heißt wenn ich das Produkt z.B. an eine Agentur verkaufe, kann diese auch eine digitale Werbung hinterlegen. Jetzt die Frage: Muss auf der individuellen Landing Page für den Endkunden mein Impressum usw. hinterlegt sein oder das der Agentur? 

Was ist mit „individueller Landing Page“ gemeint – ist das jene der Agentur oder Ihre? Die Impressumspflichten sind vielfältig, treffen eben den Unternehmer bzw den Diensteanbieter, der einen Dienst/ eine Website anbietet. Es ist anzunehmen, dass diese von der jeweiligen Agentur betrieben wird und daher diese auszuweisen ist. Für nähere Informationen vgl Sie hier: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Website-Impressum.html

25. KFZ-Reparaturbetrieb: Muss jeder Auftrag mit Datenschutzerklärung unterschrieben werden um Rechnung und § 57a Gutachten (Pickerl) ausstellen zu können?

Eine allfällig notwendige Einwilligung könnte auch mündlich oder konkludent eingeholt werden, es stellt sich jedoch die Frage der Nachweisbarkeit einer solchen. Sinnvoll wäre es natürlich, den Auftrag mit der Datenschutzerklärung (= Informationserteilung) jedenfalls unterschreiben zu lassen und gegebenenfalls auch eine Einwilligung im datenschutzrechtlichen Sinn. Es ist aber nicht davon auszugehen, dass Sie tatsächlich eine Einwilligung benötigen, da Sie die Daten wohl nur für die Auftragserfüllung selbst benötigen und verwenden. 

26. Wir sind ein Reiseveranstalter, was passiert mit personenbezogenen Daten, die wir von Geschäftspartner (zB Namensliste von Reiseteilnehmern) erhalten?

Diese fallen genauso unter die Bestimmungen der DSGVO. 

27. Wie kann man sich als Berater zertifizieren lassen bzw. wie erkennt man "ordentliche" bzw. zertifizierte Berater?

Eine Zertifizierung iSd KMU Digital Förderungsinitiative erreichen Sie über die Incite: https://www.incite.at/ausbildung/. Bereits zertifizierte Berater finden Sie unter: https://firmen.wko.at/Web/Ergebnis.aspx?StandortID=0&StandortName=%c3%96sterreich&Branche=45167%2c45169%2c45165%2c45168%2c45164&BranchenName=%c3%96sterreich&CategoryID=0&Zertifikate=137%2c142%2c143&CID=1fa3058b-12f7-43c7-9832-a5bed3c8787c

28. Wenn ich Kunden in lfd Geschäftsbeziehung zum Geburtstag gratuliere: Vor 20 Jahren gab's noch keine Einverständniserklärung f Email.... ist das okay?

Wenn die Kunden bereits eine Einwilligung zur Datenverarbeitung abgegeben haben, die den jetzigen Voraussetzungen im Datenschutzrecht entsprochen haben, dann gelten diese auch nach dem 25.5.2018 weiter. Gleiches gilt für Zustimmungserklärungen zum E-Mailversand nach dem Telekommunikationsgesetz. 

29. Wenn jemand bei uns ein Auto least, müssen wir eine Bonitätskontrolle bei der Bank durchführen. Was müssen wir da beachten?

Sie dürfen das auch weiterhin. Diese Datenverarbeitung wird sich auf ein sogenanntes „berechtigtes Interesse“ stützen, worüber dem Kunden allerdings eine Information zu erteilen ist (zB in der Datenschutzerklärung). 

30. Wie betrifft die DSGVO öffentliche Einrichtungen (Kindergärten, Schulen)? Oder auch Einrichtungen wie Krankenhäuser oder Polizei? Wie sind diese betroffen und müssen diese auf Wunsch die gespeicherten Daten auch löschen?

Öffentliche Einrichtungen sind genauso betroffen. Die Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzugs ist allerdings durch eine eigene Richtlinie geregelt. Eine Löschung ist dort nur im Einzelfall möglich (§ 45 DSG neu). 

31. Was muss man bei nicht personenbezogenen Daten wie Zeichnungen oder CAD-Daten berücksichtigen, wenn keine Geheimhaltung mit dem Kunden vereinbart wurde?

Wenn keine personenbezogenen Daten enthalten sind, unterliegt diese Tätigkeit möglicherweise dem Urheberrechtsgesetz, sofern es sich um eine „eigentümliche geistige Schöpfung“ handelt. Der Urheber entscheidet darüber, was mit dem Werk passiert. Dh selbst wenn keine Geheimhaltung vereinbart wäre, dürften diese Werke nicht außerhalb des Auftragsverhältnisses genutzt werden. 

32. Ist davon auszugehen, dass es mit Mai 2018 zu Abmahnwellen "findiger Anwälte" kommen kann? Es gab und gibt ja genügend Fälle, z.B. bei fehlenden Angaben in einem Impressum.

Das ist richtig und es ist auch möglich. Allerdings ist diese Form der Abmahnung in Österreich durch österreichische Anwälte nach wie vor sehr selten. 

33. Ist ein Intranet innerhalb der Firma notwendig, eine sogenanntes virtuelles Blackboard - XY ist Papa geworden, Tochter YY Gewicht, neuer Mitarbeiter - Bekanntgabe Name etc.

Notwendig iSv vorgeschrieben ist es nicht. Wenn Sie so etwas haben, sollten Sie die Veröffentlichung dieser Daten mit dem Betroffenen abstimmen (dh er hat dem auch zugestimmt). 

34. DSGVO verlangt schlanke Datenspeicherung, darf ich dann überhaupt das Geburtsdatum der Kinder eines Kunden speichern?

Man kann hier mit einem „berechtigten Interesse“ argumentieren um eine Kundenbeziehung zu pflegen. Aber natürlich ist die Frage berechtigt – brauchen Sie diese Daten wirklich? 

35. Wird es Unternehmerprüfungen geben, um die korrekte Implementierung der Verordnung zu verifizieren?

Die Datenschutzbehörde kann und wird auch Überprüfungen im Einzelfall vornehmen, ja. 

36. Brauche ich als Handelsunternehmen zwingend eine externe Beratung zur DSGVO?

Nein, eine zwingende externe Beratung ist nicht vorgeschrieben. Wenn Sie das Unternehmen selbst datenschutz-fit machen können, ist das natürlich umso besser für Sie!

37. Wie darf ich potenzielle Geschäftspartner laut "Datenschutz neu" erstmalig (Telefon/E-Mail) kontaktieren? Da kann er/sie ja gar nicht vorher zustimmen. Also natürlich nur, falls diese Kontaktdaten öffentlich zugänglich waren (auf der Website des potenziellen Geschäftspartners zum Beispiel)

Diesem Problem standen Sie eigentlich schon jetzt gegenüber und ist das nicht im DSG 2000, sondern im Telekommunikationsgesetz (§ 107 TKG) geregelt. Selbst wenn die Kontaktdaten öffentlich zugänglich waren, ist eine elektronische oder telefonische Kontaktaufnahme zu Werbezwecken nicht erlaubt, vgl auch: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/E-Mails_versenden_-_aber_richtig.html

38. Inwiefern betrifft die neue Datenschutzregelung das Thema Dropshipping?

Dropshipping umschreibt nur einen Teil einer unternehmerischen Tätigkeit (= Streckengeschäft, Direkthandel). Wenn personenbezogene Daten verarbeitet werden – und das werden sie – ist die DSGVO anwendbar und umzusetzen. Für dieses Thema stellt Ihre Fachorganisation für weitere Informationen ein Merkblatt zur Verfügung. 

39. Man hört, dass es keine Rechtssicherheit geht, weil die Gesetze sehr schwammig sind und erst vor Gericht entschieden werden - wie soll ich als kleiner Betrieb da mitkommen? zB habe ich schon Aussagen der WKO gehört, die eine andere Firma anders auslegt... ich stehe in der Mitte... und hab keine Ahnung, was tun?

Es stimmt, dass es noch Auslegungsschwierigkeiten mit den neuen Bestimmungen gibt, auch deshalb, weil es noch keine „Behördenpraxis“ und „Entscheidungspraxis“ von obersten Gerichten bzw vom Europäischen Gerichtshof geben kann. Vieles wird sich in der Praxis weisen, allerdings sind auch sehr viele Dinge schon sehr klar. Wenn Sie sich an das halten, was zB in unserem Onlineratgeber empfohlen wird (https://dsgvo.wkoratgeber.at/), sind Sie jedenfalls gut beraten!

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.