th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Informationspflichten

Worüber muss der Betroffene informiert werden?

Hinweis:
Die Bestimmungen der DSGVO gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Überblick

Nach der DSGVO sind den Betroffenen durch den Verantwortlichen gewisse Informationen über die Datenanwendungen zur Verfügung zu stellen. 

Die Informationspflichten nach der DSGVO trennen sich in eine Auflistung von Informationen, welche zu erteilen sind, wenn die Daten bei Betroffenen direkt erhoben wurden und für den Fall, dass die Daten nicht bei Betroffenen selbst erhoben wurden.  

Daten werden bei der betroffenen Person selbst erhoben:

  • Namen und Kontaktdaten  des Verantwortlichen (und ggf seiner Vertreter),

  • ggf Kontaktdaten des Datenschutzbeauftragten,

  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,

  • im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw eines Dritten sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen,

  • ggf Empfänger der Daten,

  • falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre,

  • Dauer der Datenspeicherung bzw wenn unmöglich die Kriterien für die Festlegung der Dauer,

  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,

  • die Möglichkeit des Widerrufs der Einwilligung,

  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,

  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte,

  • ggf über das Bestehen automatisierter Entscheidungsfindung, inkl aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (zB Profiling).

Achtung:
Sollen die Daten für einen anderen als den ursprünglichen Zweck weiterverarbeitet werden, müssen vor der Weiterverarbeitung auch Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen erteilt werden.

Zeitpunkt:

Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten zur Verfügung zu stellen.

Ausnahme:

Die Daten müssen nicht zur Verfügung gestellt werden, wenn die betroffene Person bereits über die Informationen verfügt. 

Daten werden nicht bei der betroffenen Person selbst erhoben:

  • den Namen und die Kontaktdaten des Verantwortlichen (und ggf seiner Vertreter),

  • ggf die Kontaktdaten des Datenschutzbeauftragten,

  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,

  • die Kategorien personenbezogener Daten, die verarbeitet werden,

  • ggf Empfänger der Daten,

  • falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre,

  • Dauer der Datenspeicherung bzw wenn unmöglich die Kriterien für die Festlegung der Dauer,

  • im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw eines Dritten sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen,

  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,

  • die Möglichkeit des Widerrufs der Einwilligung,

  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,

  • aus welcher Quelle die personenbezogenen Daten stammen (zB öffentlich zugängliche Quelle),

  • ggf über das Bestehen automatisierter Entscheidungsfindung, inkl aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (zB Profiling).

Achtung:
Sollen die Daten für einen anderen als den ursprünglichen Zweck weiterverarbeitet werden, müssen vor der Weiterverarbeitung auch Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen erteilt werden.

Zeitpunkt:

Der Verantwortliche erteilt die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an die Person, oder falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

Ausnahmen:

Wenn

  • die betroffene Person bereits über die Informationen verfügt,

  • die Erteilung dieser Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert (zB bei Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke) oder falls die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt werden würde,

  • die Erlangung oder Offenlegung durch Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten ausdrücklich geregelt ist,

  • die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis oder einer satzungsmäßigenGeheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

Transparente Information, Kommunikation und Modalitäten

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. 

Die Übermittlung der Informationen erfolgt schriftlich, elektronisch oder in einer anderen Form. Die Informationen können nach den Erwägungsgründen beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist, bereitgestellt werden.  

Geldstrafen

Die Verletzung der Informationspflicht ist mit bis zu EUR 20 Mio oder 4% des letztjährigen weltweiten Jahresumsatzes sanktioniert.  

Relevante Artikel der DSGVO: Art 13, Art 14

Relevante Erwägungsgründe: 39, 58 – 62

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.