th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Datenübermittlung außerhalb Österreichs / außerhalb der EU nach der EU-Datenschutz-Grundverordnung - FAQ

  1. Müssen beim Transfer von pseudonymisierten Daten spezielle Vorkehrungen getroffen werden, wenn der Empfänger in einem Drittland ansässig ist aber keinen Zugriff auf die Referenzliste (den Datenschlüssel) hat? 
  2. Wenn ich für ein ausländisches Unternehmen arbeite und mit Daten auf einem Schweizer Server arbeite (es geht um Buchhaltung, Ressourcenbestand und andere Daten rund um das Unternehmen) - Bin ich als Einzelunternehmer verpflichtet mich um den Datenschutz zu kümmern oder müssen es die Dienstleister in der Schweiz oder das eigentliche Unternehmen aus Asien?
  3. Wenn ich Kunden oder Lieferanten in z.B. China habe, dann kann ich ja gar nicht mit verschlüsselten Mitteilungen kommunizieren, das wäre nach derzeitigen Erkenntnissen entgegen den Gesetzen im Empfängerland!
  4. Wir sind eine eigenständige GmbH mit Österreich, unser Eigentümer sitzt in Deutschland. Bestellungen von unseren Kunden, sowie Projektinformationen werden nach Eingang nach Deutschland transferiert und diese werden dort weiterverarbeitet (Bestellungen beim Lieferanten, Rechnungslegung nach Österreich usw.). Gibt es hier einen Handlungsbedarf bzgl. Datenschutz?
  5. Bin Geschäftsführer eines österreichischen Unternehmens mit einer Tochterfirma außerhalb der EU und speichere Mitarbeiter- und Kundendaten in der Cloud und arbeite mit denen von Österreich aus, bin aber formell kein Organ dieser Firma außerhalb der EU. Muss ich da was ausweisen?
  6. Ich verwende für alles ein Cloud-Service (Zoho) Ich kann nicht garantieren, dass alle Server in der EU stehen. Ist das ein Problem? / Bei Verwendung von online Tools wie zb Newslettertools - müssen deren Server in Europa liegen?
  7. Mitarbeiterbeurteilungen - (mit Beurteilungen in "Teamfähigkeit",....etc.) Konzernhauptsitz in Deutschland. Dürfen diese Daten nach Deutschland gesandt werden?
  8. Wie verhält es sich mit dem Datenaustausch von personenbezogenen Daten zwischen Unternehmen innerhalb Konzern; erlaubt/nicht erlaubt?
  9. Was muss man bei Clouds außerhalb der EU beachten?
  10. Konzern Hauptsitz in D, Firma in Ö ist eine GmbH. Mitarbeiterdaten muss ich aus verschiedenen Gründen (PersonalNr., Mitarbeiterrabattcoupons, etc ) an das Headquartier senden. Welche Daten darf ich senden?
  11. Wir übersiedeln Privatpersonen, auch weltweit. Für die Zustellung und Verzollung des Umzugsguts müssen wir unseren Partnern (USA, China, usw) sowohl Kontaktdaten als auch Adressen, Passkopien, Meldezettel usw. des Kunden weitergeben. Sind diese Partner dann auch Datenverarbeiter?
  12. Müssen Standorte außerhalb der EU komplett selbstständig Verarbeitungsprotokolle führen, Datenschutzbeauftragte bestellen, etc. oder kann dies vom österreichischen Hauptstandort aus mitbetreut werden?
  13. Kann Einwilligung zur "Verarbeitung im EU-Ausland" gegeben werden? Rechtsfolgen?
  14. Wie sollten ausländische Geschäftspartner aus dem EU Raum in den Datenschutz mit eingebunden werden?

1. Müssen beim Transfer von pseudonymisierten Daten spezielle Vorkehrungen getroffen werden, wenn der Empfänger in einem Drittland ansässig ist aber keinen Zugriff auf die Referenzliste (den Datenschlüssel) hat? 

Eine (dem § 12 Abs 3 Z 2 des geltenden DSG 2000 entsprechende) Ausnahme (für „indirekt personenbezogene Daten“) ist in der DSGVO nicht vorgesehen. Es gelten daher die allgemeinen Regeln für die Datenübermittlung an Drittländer: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html

2. Wenn ich für ein ausländisches Unternehmen arbeite und mit Daten auf einem Schweizer Server arbeite (es geht um Buchhaltung, Ressourcenbestand und andere Daten rund um das Unternehmen) - Bin ich als Einzelunternehmer verpflichtet mich um den Datenschutz zu kümmern oder müssen es die Dienstleister in der Schweiz oder das eigentliche Unternehmen aus Asien?

Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet. 

3. Wenn ich Kunden oder Lieferanten in z.B. China habe, dann kann ich ja gar nicht mit verschlüsselten Mitteilungen kommunizieren, das wäre nach derzeitigen Erkenntnissen entgegen den Gesetzen im Empfängerland!

Nirgends in der DSGVO steht geschrieben, dass Sie zwingend verschlüsselt kommunizieren müssen. Es ist nur eine Möglichkeit, Datensicherheit zu gewährleisten. Wenn es mit den jeweiligen Kunden zB nicht möglich ist, dann müssen Sie andere Möglichkeiten der Datensicherung finden. Ob China eine verschlüsselte Kommunikation in jedem Fall verbietet, sollte mit einem der Außenwirtschaftscentren geklärt werden.

4. Wir sind eine eigenständige GmbH mit Österreich, unser Eigentümer sitzt in Deutschland. Bestellungen von unseren Kunden, sowie Projektinformationen werden nach Eingang nach Deutschland transferiert und diese werden dort weiterverarbeitet (Bestellungen beim Lieferanten, Rechnungslegung nach Österreich usw.). Gibt es hier einen Handlungsbedarf bzgl. Datenschutz?

Für die Datenübermittlung innerhalb der EU (hier: nach Deutschland) sind keine zusätzlichen Erfordernisse zu beachten. Es gelten die allgemeinen Regelungen zur Zulässigkeit der Verarbeitung: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Grundsaetze-und-Rechtmaes.html 

Für Ihre Datenverarbeitung in Österreich sind folgende Pflichten zu beachten: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Pflichten-des-Verantwortl.html

5. Bin Geschäftsführer eines österreichischen Unternehmens mit einer Tochterfirma außerhalb der EU und speichere Mitarbeiter- und Kundendaten in der Cloud und arbeite mit denen von Österreich aus, bin aber formell kein Organ dieser Firma außerhalb der EU. Muss ich da was ausweisen?

Für den Datenverkehr mit Drittstaaten sind folgende Regelungen zu beachten: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html

6. Ich verwende für alles ein Cloud-Service (Zoho) Ich kann nicht garantieren, dass alle Server in der EU stehen. Ist das ein Problem? / Bei Verwendung von online Tools wie zb Newslettertools - müssen deren Server in Europa liegen?

Für den Datenverkehr mit Drittstaaten sind folgende Regelungen zu beachten: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html

7. Mitarbeiterbeurteilungen - (mit Beurteilungen in "Teamfähigkeit",....etc.) Konzernhauptsitz in Deutschland. Dürfen diese Daten nach Deutschland gesandt werden?

Für die Datenübermittlung innerhalb der EU (hier: nach Deutschland) sind keine zusätzlichen Erfordernisse zu beachten.

Verantwortliche, die Teil einer Unternehmensgruppe sind, die einer zentralen Stelle zugeordnet sind können gem. Erwägungsgrund 48 der DSGVO ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.

8. Wie verhält es sich mit dem Datenaustausch von personenbezogenen Daten zwischen Unternehmen innerhalb Konzern; erlaubt/nicht erlaubt?

Verantwortliche, die Teil einer Unternehmensgruppe sind, die einer zentralen Stelle zugeordnet sind können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln (vgl auch EG 48). Die Grundprinzipien für die Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen an ein Unternehmen in ein Drittland bleiben unberührt: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html

9. Was muss man bei Clouds außerhalb der EU beachten?

Für den Datenverkehr mit Drittstaaten sind folgende Regelungen zu beachten: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html

10. Konzern Hauptsitz in D, Firma in Ö ist eine GmbH. Mitarbeiterdaten muss ich aus verschiedenen Gründen (PersonalNr., Mitarbeiterrabattcoupons, etc ) an das Headquartier senden. Welche Daten darf ich senden?

Für die Datenübermittlung innerhalb der EU (hier: nach Deutschland) sind keine zusätzlichen Erfordernisse zu beachten.

Verantwortliche, die Teil einer Unternehmensgruppe sind, die einer zentralen Stelle zugeordnet sind können gem. Erwägungsgrund 48 der DSGVO ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln. 

11. Wir übersiedeln Privatpersonen, auch weltweit. Für die Zustellung und Verzollung des Umzugsguts müssen wir unseren Partnern (USA, China, usw) sowohl Kontaktdaten als auch Adressen, Passkopien, Meldezettel usw. des Kunden weitergeben. Sind diese Partner dann auch Datenverarbeiter?

Ebenfalls unter die DSGVO fällt die Verarbeitung personenbezogener Daten von Personen, die sich in der EU befinden, um ihnen Waren oder Dienstleistungen anzubieten, unabhängig davon, ob die Person eine Zahlung zu leisten hat (Beispiel: Ein US-Unternehmen bietet über das Internet Bücher in Österreich an) oder um das Verhalten der Personen in der EU zu beobachten. 

Weiters müssen Sie bei der Übermittlung der Daten in Drittländer gewisse Regelungen beachten: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html

12. Müssen Standorte außerhalb der EU komplett selbstständig Verarbeitungsprotokolle führen, Datenschutzbeauftragte bestellen, etc. oder kann dies vom österreichischen Hauptstandort aus mitbetreut werden?

Unternehmen, die sich an die DSGVO halten müssen haben auch eigenständig die jeweiligen Vorkehrungen zu treffen. Grundsätzlich kann aber sowohl die Tätigkeit des Datenschutzbeauftragten als auch die weiteren Tätigkeiten im Datenschutzbereich ausgelagert werden (entweder generell extern an einen Dienstleister oder auch an andere Konzernunternehmen). Achtung aber: Die Verantwortung verbleibt beim Unternehmen selbst, das die Tätigkeit auslagert. 

13. Kann Einwilligung zur "Verarbeitung im EU-Ausland" gegeben werden? Rechtsfolgen?

Die betroffene Person muss in die jeweils konkrete Datenübermittlung ausdrücklich einwilligen, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde.

14. Wie sollten ausländische Geschäftspartner aus dem EU Raum in den Datenschutz mit eingebunden werden?

Im gesamten EU-Raum gilt die DSGVO. Soll der Geschäftspartner als Auftragsverarbeiter tätig werden, ist dafür eine schriftliche Vereinbarung zu treffen, Muster hierfür finden Sie unter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag-auftragsverarbeitung.html

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.