th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung: Verantwortliche und Haftung - FAQ

Antworten auf die wichtigsten Fragen

  1. Wer ist der/die Verantwortliche im Unternehmen? Geschäftsführer?
  2. Wer haftet für Schäden, die durch Weitergabe von Daten an Dritte wie z.B. Steuerberater, Rechtsanwalt etc. entstehen?
  3. Thema "alte Daten", die bisher nicht 100% datenschutzrechtlich konform erfasst wurden (zB über ein Formular auf der Website). Darf ich diese weiterverwenden? Gibt es dazu eine Regelung?
  4. Ich verwende ein Programm, wo ich den gesundheitlichen Zustand sowie den Therapieverlauf dokumentiere. Muss der Softwarehersteller auch für den Datenschutz etwas machen oder bin da ausschließlich ich verantwortlich? Wenn ja, was muss ich genau machen?
  5. Wenn ich als Verantwortlicher eine Software zur Erfassung von Kundendaten einsetze, diese Software aber keine geeignete Exportfunktion für die Kundendaten besitzt, sollte ich mich dann nach einer Alternative umsehen? Muss der Softwarehersteller auf DSGVO-konforme Funktionen seiner Software achten oder bleibt diese Pflicht in letzter Instanz immer dem Verantwortlichem überlassen?
  6. Wenn meine Website bei jimdo liegt: dort gibt es seitens des Anbieters bereits den Bereich und eine Text zum Datenschutz, muss ich selbst auch noch Informationen zum Datenschutz formulieren?
  7. Kann ich als Geschäftsführer die Verantwortung für das Thema an einen Mitarbeiter delegieren?
  8. Was sind die Folgen für die gemeinsame Datenverarbeitung zwischen Firmen die rechtlich verbunden sind (z.B.: Mutter- / Tochterunternehmen, Landes-/Bezirksverein)?
  9. Sofern personenbezogene Daten auch mit anderen Firmen geteilt werden, wird die Gewährleistung entsprechend komplex. Ich denke da zB an Dokumente wie Firmenverträge welche zB per Google Drive mit dem Firmen Board oder Anwälten und Notaren geteilt werden. Was passiert konkret, wenn der Praktikant des betroffenen Notars seinen USB Stick verliert?
  10. Ich bin Versicherungsagent. Kann ich die Haftung mit dem Kunden einvernehmlich ausschließen?

1. Wer ist der/die Verantwortliche im Unternehmen? Geschäftsführer?

Das Unternehmen selbst. Ist das Unternehmen eine juristische Person (GmBH, AG), haftet dieses in erster Linie. Durch das Datenschutz-Deregulierungs-Gesetz 2018 wurde dieser Vorrang der Haftbarkeit der juristischen Person nochmal klargestellt (vgl EU-Datenschutz-Grundverordnung (DSGVO): Das österreichische Datenschutzgesetz (i.d.F. des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetztes 2018). 

2. Wer haftet für Schäden, die durch Weitergabe von Daten an Dritte wie z.B. Steuerberater, Rechtsanwalt etc. entstehen?

Der Verantwortliche ist auch für die Datenweitergabe verantwortlich. Bei der Weitergabe von Daten an andere Empfänger innerhalb der EU muss der Verantwortliche prüfen, ob diese Weitergabe rechtmäßig ist (zB weil der Vertrag mit der betroffenen Person das erfordert oder eine Einwilligung vorliegt, vgl EU-Datenschutz-Grundverordnung (DSGVO): Grundsätze und Rechtmäßigkeit der Verarbeitung).Werden Daten einem Auftragsverarbeiter weitergegeben, muss nur sichergestellt werden, dass dieser zuverlässig ist und ein Vertrag geschlossen wurde (Muster finden Sie hier:

). Werden Daten zB in einen Drittstaat außerhalb der EU weitergegeben, muss der Verantwortliche prüfen, ob dies möglich ist und ob ein angemessenes Datenschutz-Niveau in dem Empfängerstaat herrscht (vgl EU-Datenschutz-Grundverordnung (DSGVO): Internationaler Datenverkehr). Wichtig: Die Letztverantwortung bleibt grundsätzlich bei Verantwortlichen. Aber auch für das Datenschutzrecht gilt das Verschuldensprinzip. Trifft den ursprünglich Verantwortlichen daher gar kein Verschulden an der rechtswidrigen Datenverarbeitung durch einen anderen, kann er auch nicht haftbar gemacht werden, sofern nicht die Regeln der Gehilfenhaftung greifen.

3. Thema "alte Daten", die bisher nicht 100% datenschutzrechtlich konform erfasst wurden (zB über ein Formular auf der Website). Darf ich diese weiterverwenden? Gibt es dazu eine Regelung?

Sobald die DSGVO gilt, ist sie einzuhalten. Das gilt auch für „Altdaten“. Bisher datenschutzwidrige Verarbeitungen sind mit sehr hoher Wahrscheinlichkeit auch nach dem 25. Mai unzulässig, dh diese konkrete Datenverarbeitung sollte nicht mehr betrieben werden und die Daten gelöscht werden. Die bloße Tatsache, dass man Daten über eine Website erhält, ist aber noch kein Indiz für die datenschutzrechtliche Unzulässigkeit. Falls die dahinter stehende Einwilligungserklärung zB nicht gültig ist, dann wäre das aber natürlich ein Problem.

4. Ich verwende ein Programm, wo ich den gesundheitlichen Zustand sowie den Therapieverlauf dokumentiere. Muss der Softwarehersteller auch für den Datenschutz etwas machen oder bin da ausschließlich ich verantwortlich? Wenn ja, was muss ich genau machen?

Hersteller haben dafür zu sorgen, deren Software Datenschutz bereits in der Entwicklungsphase berücksichtigt und die Nutzer die DSGVO einhalten können („privacy by design“). Den Verantwortlichen trifft zusätzlich die Pflicht, die datenschutzfreundlichsten Einstellungen standardmäßig einzustellen („privacy by default“). Haben Sie in das Programm vor dem 25. Mai gekauft, ist der Hersteller aber üblicherweise nicht in der Pflicht, dh Sie müssen selbst als Verantwortlicher darauf achten, die DSGVO entsprechend einhalten zu können, wenn Sie die Software nutzen. Speziell bei sensiblen Datensätzen wie Gesundheitsdaten wird voraussichtlich mehr in Datensicherheit investieren werden müssen. 

5. Wenn ich als Verantwortlicher eine Software zur Erfassung von Kundendaten einsetze, diese Software aber keine geeignete Exportfunktion für die Kundendaten besitzt, sollte ich mich dann nach einer Alternative umsehen? Muss der Softwarehersteller auf DSGVO-konforme Funktionen seiner Software achten oder bleibt diese Pflicht in letzter Instanz immer dem Verantwortlichem überlassen?

Die DSGVO schreibt die Notwendigkeit einer Exportfunktion nicht vor. Sie kann sich aber zB für die Erfüllung von Auskunftsansprüchen als praktisch erweisen.

Mit dem 25. Mai gilt, dass Softwarehersteller Datenschutz bereits in der Entwicklungsphase berücksichtigen müssen, damit die Nutzer die DSGVO einhalten können („privacy by design“). Den Verantwortlichen trifft zusätzlich die Pflicht, die datenschutzfreundlichsten Einstellungen standardmäßig einzustellen („privacy by default“). Die Verantwortung bleibt im Grundsätzlichen bei Ihnen, fraglich ist aber, ob Sie ein Verschulden trifft, wenn Sie zB eine Software nutzen, deren Funktionalität etwas anderes versprochen hätte, als tatsächlich der Fall war.  

6. Wenn meine Website bei jimdo liegt: dort gibt es seitens des Anbieters bereits den Bereich und eine Text zum Datenschutz, muss ich selbst auch noch Informationen zum Datenschutz formulieren?

Sie sind selbst dafür verantwortlich, auf Ihrer Website eine Datenschutzerklärung zur Verfügung zu stellen, die der DSGVO entspricht, über allfällig gesetzte Cookies zu informieren und die Einwilligung eingeholt zu haben etc. Stellt ein vertraglicher Dienstleister eine Datenschutzerklärung im Rahmen seines Auftrages zu Verfügung, kann diese natürlich genutzt werden. Stellt sich diese als rechtswidrig heraus, haften Sie aber dennoch. 

7. Kann ich als Geschäftsführer die Verantwortung für das Thema an einen Mitarbeiter delegieren?

Wenn das Unternehmen eine juristische Person ist, haftet primär diese. Die Datenschutzbehörde hat von der Bestrafung eines Verantwortlichen gem. § 9 VStG (zB Geschäftsführer, verantwortlicher Beauftragter) abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wurde, was bedeutet, dass es voraussichtlich nicht möglich ist, die Verantwortung iS von Geldbußen an jemanden auszulagern.

8. Was sind die Folgen für die gemeinsame Datenverarbeitung zwischen Firmen die rechtlich verbunden sind (z.B.: Mutter- / Tochterunternehmen, Landes-/Bezirksverein)?

Es handelt sich dabei um Gemeinsame Verantwortliche, wenn sie gemeinsam die Zwecke und die Mittel der Verarbeitung festlegen. In diesem Fall ist in einer Vereinbarung festzuhalten, wer von ihnen welche gesetzliche Verpflichtung übernimmt (z.B. wer handhabt die Betroffenenrechte, wer kommt den Informationspflichten nach). In der Vereinbarung kann auch eine Anlaufstelle für die betroffenen Personen angegeben werden. Unabhängig vom Inhalt der Vereinbarung können betroffene Personen ihre Rechte aber gegenüber jedem Einzelnen geltend machen. Die Vereinbarung ist aber für die interne Aufgabenverteilung und etwaige Regressansprüche gegeneinander wichtig.

9. Sofern personenbezogene Daten auch mit anderen Firmen geteilt werden, wird die Gewährleistung entsprechend komplex. Ich denke da zB an Dokumente wie Firmenverträge welche zB per Google Drive mit dem Firmen Board oder Anwälten und Notaren geteilt werden. Was passiert konkret, wenn der Praktikant des betroffenen Notars seinen USB Stick verliert?

Es ist grundsätzlich zu empfehlen, vertrauliche Informationen in gesicherten Umgebungen zu speichern und zu teilen. Bei USB-Sticks wäre eine Verschlüsselung der Informationen naheliegend. Ein solcher Verlust des Sticks kann der Auslöser für eine „Data Breach Notification“ an die Datenschutzbehörde und/oder die betroffenen Personen sein. Bei entsprechendem Verschulden sind Geldbußen und Schadenersatz als Sanktionen möglich.

10. Ich bin Versicherungsagent. Kann ich die Haftung mit dem Kunden einvernehmlich ausschließen?

Zu dieser Frage gibt es weder Rechtsprechung noch Literaturmeinungen in Österreich. Nach deutscher Ansicht ist ein vertraglicher Haftungsausschluss nicht möglich. Die Haftung für DSGVO-widriges Verhalten generell auszuschließen ist mit hoher Wahrscheinlichkeit sittenwidrig (iSd § 879 Abs 1 ABGB). 

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.