th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO):  Datenschutzbeauftragter

Wann wird ein Datenschutzbeauftragter benötigt und was sind seine Aufgaben?

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Besteht eine Verpflichtung zur Bestellung?

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist für Unternehmen nur in folgenden Fällen vorgesehen, wenn 

  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive).

  • die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten).

Diese Voraussetzungen gelten für Verantwortliche und Auftragsverarbeiter gleichermaßen. Sowohl Verantwortliche als auch Auftragsverarbeiter können daher der Verpflichtung zur Bestellung eines Datenschutzbeauftragten unterliegen; das Vorliegen der Voraussetzung ist unabhängig vom jeweils anderen zu prüfen. 

Eine freiwillige Bestellung eines Datenschutzbeauftragten ist jederzeit möglich. 

Achtung:
Ein freiwillig bestellter Datenschutzbeauftragter hat dieselbe Stellung und dieselben Aufgaben wie ein verpflichtend zu bestellender Datenschutzbeauftragter.

Aufgaben

Der Datenschutzbeauftragte hat jedenfalls die folgenden Aufgaben zu erfüllen:

  • Die Unterrichtung und Beratung der Unternehmer und Mitarbeiter hinsichtlich ihrer Pflichten nach dem Datenschutzrecht.

  • Die Überwachung und Überprüfung der Einhaltung der Datenschutzvorschriften und Strategien für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter.

  • Beratungen – auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und der Überwachung Ihrer Durchführung.

  • Die Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese.

Qualifikationen

An Qualifikationen muss der Datenschutzbeauftragte jedenfalls ein Fachwissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzen und die Fähigkeit die oben genannten Aufgaben zu erfüllen.

Stellung im Unternehmen

Der Datenschutzbeauftragte kann ein Dienstnehmer oder ein Selbständiger sein. Er ist ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Der Unternehmer muss den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm dafür die erforderlichen Ressourcen und den Zugang zu den personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen. Zur Erhaltung seines Fachwissens hat der Unternehmer ebenfalls die erforderlichen Ressourcen zu gewähren.

Der Datenschutzbeauftragte darf bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten. Weiters darf er vom Unternehmer wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Allerdings ist darin kein genereller Kündigungsschutz zu sehen. Er hat weiters unmittelbar an die höchste Managementebene zu berichten.

Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Bereich der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen zu Rate ziehen.

Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben zur Geheimhaltung und Vertraulichkeit verpflichtet. Dies gilt insbesondere in Bezug auf die Identität betroffener Personen, die sich an den Datenschutzbeauftragten gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, außer es ist eine ausdrückliche Entbindung von der Verschwiegenheitspflicht durch die betroffene Person erfolgt. Er kann auch andere Aufgaben und Pflichten übernehmen, doch darf dies nicht zu einem Interessenkonflikt führen. 

Aussageverweigerungsrecht 

Erhält ein Datenschutzbeauftragter bei seiner Tätigkeit Kenntnis von Daten, für die einer der Kontrolle des Datenschutzbeauftragten unterliegenden Stelle beschäftigten Person ein gesetzliches Aussageverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den für ihn tätigen Personen insoweit zu, als die Person, der das gesetzliche Aussageverweigerungsrecht zusteht, davon Gebrauch gemacht hat.

Bestellung

Der Unternehmer teilt die Kontaktdaten des Datenschutzbeauftragten der Datenschutzbehörde mit und veröffentlicht sie. Näheres zur Bestellung ist nicht geregelt. Sie sollte aber jedenfalls aus Beweisgründen schriftlich erfolgen und die klare Zustimmung des Datenschutzbeauftragten zu seiner Position enthalten.

Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann.  

Der Unternehmer hat die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der Datenschutzbehörde mitzuteilen.

Haftung - verantwortlicher Beauftragter

Eine Bestellung des Datenschutzbeauftragten als verantwortlicher Beauftragter nach dem Verwaltungsstrafgesetz ist nicht zulässig. 

Geldstrafen

Die Missachtung der Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist mit bis zu EUR 10 Mio oder 2 % des letztjährigen weltweiten Jahresumsatzes sanktioniert. 

Relevante Artikel der DSGVO: Art 37-39
Relevante Erwägungsgründe: 97
Relevante Bestimmungen des DSG (i.d.F. des Datenschutz-Anpassungsgesetzes 2018): § 5

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.