th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung: Verantwortliche und Haftung - FAQ

Antworten auf die wichtigsten Fragen

  1. Wer ist der/die Verantwortliche im Unternehmen? Geschäftsführer?
  2. Wer haftet für Schäden, die durch Weitergabe von Daten an Dritte wie z.B. Steuerberater, Rechtsanwalt etc. entstehen?
  3. Thema "alte Daten", die bisher nicht 100% datenschutzrechtlich erfasst wurden (zB über ein Formular auf der Website). Darf ich diese weiter verwenden? gibt es dazu eine Regelung?
  4. Ich verwende ein Programm, wo ich den gesundheitlichen Zustand sowie den Therapieverlauf dokumentiere. Muss der Softwarehersteller auch für den Datenschutz etwas machen oder bin da ausschließlich ich verantwortlich? Wenn ja, was muss ich genau machen?
  5. Wenn ich als Verantwortlicher eine Software zur Erfassung von Kundendaten einsetze, diese Software aber keine geeignete Exportfunktion für die Kundendaten besitzt, sollte ich mich dann nach einer Alternative umsehen? Muss der Softwarehersteller auf DSGVO-konforme Funktionen seiner Software achten oder bleibt diese Pflicht in letzter Instanz immer dem Verantwortlichem überlassen?
  6. Wenn meine Website bei jimdo liegt: dort gibt es seitens des Anbieters bereits den Bereich und eine Text zum Datenschutz, muss ich selbst auch noch Informationen zum Datenschutz formulieren?
  7. Kann ich als Geschäftsführer die Verantwortung für das Thema an einen Mitarbeiter delegieren?
  8. Was sind die Folgen für die gemeinsame Datenverarbeitung zwischen Firmen die rechtlich verbunden sind (z.B.: Mutter- / Tochterunternehmen, Landes-/Bezirksverein)?
  9. Sofern personenbezogene Daten auch mit anderen Firmen geteilt werden, wird die Gewährleistung entsprechend komplex. Ich denke da zB an Dokumente wie Firmenverträge welche zB per Google Drive mit dem Firmen Board oder Anwälten und Notaren geteilt werden. Was passiert konkret, wenn der Praktikant des betroffenen Notars seinen USB Stick verliert?
  10. Ich bin Versicherungsagent. Kann ich die Haftung mit dem Kunden einvernehmlich ausschließen?

1. Wer ist der/die Verantwortliche im Unternehmen? Geschäftsführer?

Das Unternehmen selbst. Ist das Unternehmen eine juristische Person (GmBH, AG), haftet dieses in erster Linie.

2. Wer haftet für Schäden, die durch Weitergabe von Daten an Dritte wie z.B. Steuerberater, Rechtsanwalt etc. entstehen?

Der Verantwortliche darf nur solche Auftragsverarbeiter beauftragen, die eine datenschutzkonforme Verarbeitung gewährleisten, dh die Letztverantwortung bleibt grundsätzlich bei ihm. Aber auch für das Datenschutzrecht gilt das Verschuldensprinzip. Trifft den ursprünglich Verantwortlichen daher gar kein Verschulden an der rechtswidrigen Datenverarbeitung durch einen anderen, kann er auch nicht haftbar gemacht werden, sofern nicht die Regeln der Gehilfenhaftung greifen.

3. Thema "alte Daten", die bisher nicht 100% datenschutzrechtlich erfasst wurden (zB über ein Formular auf der Website). Darf ich diese weiter verwenden? gibt es dazu eine Regelung?

Sobald die DSGVO gilt, ist sie einzuhalten. Das gilt auch für „Altdaten“.

4. Ich verwende ein Programm, wo ich den gesundheitlichen Zustand sowie den Therapieverlauf dokumentiere. Muss der Softwarehersteller auch für den Datenschutz etwas machen oder bin da ausschließlich ich verantwortlich? Wenn ja, was muss ich genau machen?

Hersteller haben dafür zu sorgen, dass ihre Software datenschutzkonform ist („privacy by design“). Den Verantwortlichen trifft zusätzlich die Pflicht, die datenschutzfreundlichsten Einstellungen standardmäßig einzustellen („privacy by default“). Außerdem werden Sie bei derart sensiblen Datensätzen wie Gesundheitsdaten auch in Datensicherheit investieren müssen.

5. Wenn ich als Verantwortlicher eine Software zur Erfassung von Kundendaten einsetze, diese Software aber keine geeignete Exportfunktion für die Kundendaten besitzt, sollte ich mich dann nach einer Alternative umsehen? Muss der Softwarehersteller auf DSGVO-konforme Funktionen seiner Software achten oder bleibt diese Pflicht in letzter Instanz immer dem Verantwortlichem überlassen?

Die DSGVO schreibt die Notwendigkeit einer Exportfunktion nicht vor. Sie kann sich aber zB für die Erfüllung von Auskunftsansprüchen als praktisch erweisen. Hersteller haben dafür zu sorgen, dass ihre Software datenschutzkonform ist („privacy by design“). Der Verantwortliche hat zusätzlich dazu die Pflicht, die datenschutzfreundlichsten Einstellungen standardmäßig einzustellen („privacy by default“). Der konkrete Handlungsbedarf kann nur im Einzelfall bestimmt werden.

6. Wenn meine Website bei jimdo liegt: dort gibt es seitens des Anbieters bereits den Bereich und eine Text zum Datenschutz, muss ich selbst auch noch Informationen zum Datenschutz formulieren?

Sie sind selbst dafür verantwortlich, auf Ihrer Website eine Datenschutzerklärung zur Verfügung zu stellen, die der DSGVO entspricht. Stellt ein Dienstleister eine Datenschutzerklärung im Rahmen seines Auftrages zu Verfügung, kann diese natürlich genutzt werden. Stellt sich diese als rechtswidrig heraus, haften Sie aber dennoch.

7. Kann ich als Geschäftsführer die Verantwortung für das Thema an einen Mitarbeiter delegieren?

Wenn das Unternehmen eine juristische Person ist, haftet primär diese; der Verantwortliche Beauftragte (§ 9 VStG, Geschäftsführer oder bestellte Person) haftet nur ausnahmsweise.

8. Was sind die Folgen für die gemeinsame Datenverarbeitung zwischen Firmen die rechtlich verbunden sind (z.B.: Mutter- / Tochterunternehmen, Landes-/Bezirksverein)?

Es handelt sich dabei um Gemeinsame Verantwortliche, wenn sie gemeinsam die Zwecke und die Mittel der Verarbeitung festlegen. In diesem Fall ist in einer Vereinbarung festzuhalten, wer von ihnen welche gesetzliche Verpflichtung übernimmt (z.B. wer handhabt die Betroffenenrechte, wer kommt den Informationspflichten nach). In der Vereinbarung kann auch eine Anlaufstelle für die betroffenen Personen angegeben werden. Unabhängig vom Inhalt der Vereinbarung können betroffene Personen ihre Rechte aber gegenüber jedem Einzelnen geltend machen. Die Vereinbarung ist aber für die interne Aufgabenverteilung und etwaige Regressansprüche gegeneinander wichtig.

9. Sofern personenbezogene Daten auch mit anderen Firmen geteilt werden, wird die Gewährleistung entsprechend komplex. Ich denke da zB an Dokumente wie Firmenverträge welche zB per Google Drive mit dem Firmen Board oder Anwälten und Notaren geteilt werden. Was passiert konkret, wenn der Praktikant des betroffenen Notars seinen USB Stick verliert?

Es ist grundsätzlich zu empfehlen, vertrauliche Informationen in gesicherten Umgebungen zu speichern und zu teilen. Bei USB-Sticks wäre eine Verschlüsselung der Informationen naheliegend. Ein solcher Verlust des Sticks kann der Auslöser für eine „Data Breach Notification“ an die Datenschutzbehörde und/oder die betroffenen Personen sein. Bei entsprechendem Verschulden sind Geldbußen und Schadenersatz als Sanktionen möglich.

10. Ich bin Versicherungsagent. Kann ich die Haftung mit dem Kunden einvernehmlich ausschließen?

Zu dieser Frage gibt es weder Rechtsprechung noch Literaturmeinungen in Österreich. Nach deutscher Ansicht ist ein vertraglicher Haftungsausschluss nicht möglich. Die Haftung für DSGVO-widriges Verhalten generell auszuschließen ist mit hoher Wahrscheinlichkeit sittenwidrig (iSd § 879 Abs 1 ABGB). 

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.