th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Verantwortlicher und Auftragsverarbeiter - (Überblick)

Wesentliche Pflichten des Verantwortlichen und des Auftragsverarbeiters

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Durch die DSGVO wird der Begriff „Auftraggeber“ des österreichischen Datenschutzgesetzes (DSG 2000) durch den Begriff „Verantwortlicher“ und der Begriff „Dienstleister“ durch den Begriff „Auftragsverarbeiter“ ersetzt.  

Verantwortlicherist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.  

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet.  

Die DSGVO kennt keine Pflicht zur Registrierung bei der Datenschutzbehörde/ Datenverarbeitungsregister mehr, sieht jedoch im Vergleich zur Rechtslage nach DSG 2000 weitgehende Neuregelungen der Pflichten bei einer Datenverarbeitung für den Verantwortlichen – teilweise auch für Auftragsverarbeiter – vor: 

Datensicherheitsmaßnahmen müssen – wie nach DSG 2000 – sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter vorgesehen werden.   

Hinweis:
Der Verantwortliche muss sicherstellen und den Nachweis erbringen können, dass die Verarbeitung entsprechend der DSGVO erfolgt.

Den Verantwortlichen treffen weiters Informationspflichten bei Erhebung von personenbezogenen Daten und er ist Adressat der Betroffenenrechte (vor allem Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung – „Recht auf Vergessenwerden“, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht). 

Was ist bei der Heranziehung eines Auftragsverarbeiters zu beachten? 

  • Es dürfen nur solche Auftragsverarbeiter herangezogen werden, die (insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen) hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen getroffen werden, die den Anforderungen der DSGVO genügen.
  • Es ist ein schriftlicher Vertrag abzuschließen, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. In diesem Vertrag müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein. Dieser Vertrag muss insbesondere Folgendes vorsehen:
    • Der Auftragsverarbeiter darf die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten.
    • Der Auftragsverarbeiter verpflichtet sich zur Vertraulichkeit oder unterliegt einer angemessenen gesetzlichen Verschwiegenheitspflicht.
    • Der Auftragsverarbeiter ergreift alle erforderlichen Datensicherheitsmaßnahmen.
    • Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch.
    • Der Auftragsverarbeiter unterstützt den Verantwortlichen in seiner Pflicht zur Erfüllung der Betroffenenrechte und sonstiger Verpflichtungen nach der DSGVO.
    • Nach Abschluss der Erbringung der Verarbeitungsleistungen werden alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder gelöscht oder zurückgegeben.
    • Der Auftragsverarbeiter stellt alle Informationen zum Nachweis der Einhaltung seiner Verpflichtungen zur Verfügung und ermöglicht diesbezügliche Prüfungen.   

Geldstrafen  

Bei Verstoß gegen die genannten Pflichten des Auftragsverarbeiters sind Geldbußen von bis zu EUR 10 Mio oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorgesehen. 


Relevante Artikel der DSGVO: Art 4, Art 24 – 43

Relevante Erwägungsgründe: 74ff

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.