Überblick über die Neuerungen durch die Datenschutz-Grundverordnung

Stand: 03.04.2018

Die Datenschutz-Grundverordnung (DSGVO) betrifft nahezu alle Unternehmen: Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet (z.B. eine Kundendatei führt, Mitarbeiter beschäftigt oder Lieferantendaten speichert), ist betroffen und muss seine Datenanwendungen rechtzeitig vor dem Geltungsbeginn der DSGVO am 25. Mai 2018 an die neue Rechtslage anpassen. Im Folgenden erfahren Sie welche Schritte Sie mindestens bis zum 25. Mai 2018 umsetzen müssen:

Rechtsgrundlagen für Datenverarbeitung

Für jede Datenverarbeitung wird eine im Gesetz genannte Rechtsgrundlage benötigt. Jedes Unternehmen hat das Vorhandensein einer solchen zu prüfen. Sollte keine gültige Rechtsgrundlage vorhanden sein, ist diese entweder nachträglich einzuholen (z.B. Einwilligungen erneut DSGVO-konform einholen) oder die betreffenden Daten zu löschen.

Für Unternehmer sind im Bereich der nicht-sensiblen Daten insbesondere die folgenden Rechtsgrundlagen relevant:

Die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt (z.B. arbeits(zeit)rechtlichen oder steuerrechtlichen Verpflichtungen).
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (dies insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt).

Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

Besonderheit: Einwilligungserklärungen

Unter einer „Einwilligung“ versteht die DSGVO jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung durch die betroffene Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Diese Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen. Stillschweigen, bereits vorangekreuzte Kästchen oder Untätigkeit können keine Einwilligung darstellen. Wenn die Verarbeitung mehreren Zwecken dient, ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig. Für die Zulässigkeit der Verarbeitung „sensibler Daten“ ist eine „ausdrückliche Einwilligung“ erforderlich.

Datenverarbeitungen, die auf bereits bestehenden Einwilligungserklärungen nach der alten Rechtslage basieren, erfordern keine neuerliche Zustimmungserklärung, sofern die erteilten Einwilligungen den Bedingungen der neuen Rechtslage entsprechen. Fehlt allerdings eines der beschriebenen Elemente muss die Einwilligung neu eingeholt werden.

Beispielhafter Formulierungsvorschlag:

„Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur Zusendung von Werbematerial über die Produkte der Firma …“) bei der Firma NN verarbeitet werden und die Daten … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur zentralen Abwicklung des Kunden-Beschwerdemanagements“) an … (genaue Angabe des Übermittlungsempfängers, z.B. Name der Konzernmutter mit Anschrift) weitergegeben werden.
Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden.“

Verfahrensverzeichnis für Verantwortliche und Auftragsverarbeiter

Aufgrund der DSGVO ist keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer gehört der Vergangenheit an. Stattdessen sind von jedem Unternehmen ua. Verzeichnisse über die Verarbeitung von Daten zu führen. Diese Pflicht trifft sowohl den Verantwortlichen (derjenige der über die Zwecke und Mittel der Datenverarbeitung entscheidet) als auch den Auftragsverarbeiter (derjenige der die personenbezogenen Daten lediglich im Auftrag des Verantwortlichen bearbeitet, z.B. Steuerberater, IT-Dienstleister, externe Lohnverrechnung). Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter jedoch geringer als für den Verantwortlichen.

Unter den folgenden Links finden Sie Muster-Verarbeitungsverzeichnisse für den Verantwortlichen (https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-verantwortliche.html) sowie den Auftragsverarbeiter (https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-auftragsverarbeite.html).

Besonderheiten in Bezug auf Auftragsverarbeiter: Schriftlicher Vertrag!

Es dürfen von den Verantwortlichen nur solche Auftragsverarbeiter herangezogen werden, die (insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen) hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen getroffen werden, die den Anforderungen der DSGVO genügen. Weiters ist ein schriftlicher Vertrag abzuschließen, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. In diesem Vertrag müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein. Einen Mustervertrag finden Sie unter diesem Link: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag-auftragsverarbeitung.html

Informationspflichten

Nach der DSGVO sind der betroffenen Person durch den Verantwortlichen gewisse Informationen über die Datenanwendungen zur Verfügung zu stellen. Die Informationspflichten nach der DSGVO trennen sich in eine Auflistung von Informationen, welche zu erteilen sind, wenn die Daten bei Betroffenen direkt erhoben wurden und für den Fall, dass die Daten nicht bei Betroffenen selbst erhoben wurden.

Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zur Verfügung zu stellen. Die Übermittlung erfolgt schriftlich, elektronisch oder in einer anderen Form. Sie können beispielsweise auf einer Website, wenn sie für die Öffentlichkeit bestimmt ist, bereitgestellt werden. Sie müssen lediglich dann nicht zur Verfügung gestellt werden, wenn die betroffene Person bereits über die Informationen verfügt. Musterformulierungen finden Sie unter https://dsgvo-informationsverpflichtungen.wkoratgeber.at/ oder für die Homepage (Cookies, Google Analytics, Newsletter,…) unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflichten-website-datenschutzerklaerung.html

Datensicherheitsmaßnahmen

Die Datensicherheit bei der Verarbeitung von personenbezogenen Daten soll in Zukunft noch effektiver gewährleistet werden. Hierbei sind die Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere bei unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten („risikobasierter Ansatz“).

Als Datensicherheitsmaßnahmen sind u.a. folgende Maßnahmen gefordert:

die Pseudonymisierung und Verschlüsselung personenbezogener Daten (z.B. Passwortsicherungen von Dateien);
die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (z.B. Zutritts-/Zugangskontrollen, Zugriffsbeschränkungen). Dazu gehört auch, dass unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten („Auftragsprinzip“);
die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (z.B. Backup-Programme);
ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Selbstevaluierungsprozesse).

Welche Maßnahmen muss ich weiter treffen?

Überprüfen, ob ein Datenschutzbeauftragter bestellt werden muss: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Der-Datenschutzbeauftragt.html
Überprüfen, ob eine Datenschutz-Folgenabschätzung durchzuführen ist: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-datenschutz-grundverordnung-datenschutz-folgenabschaetzu.html
Maßnahmen treffen um die Betroffenenrechte (Recht auf Auskunft, Berichtigung, Löschung, Widerspruch, Einschränkung der Verarbeitung und Datenübertragbarkeit, siehe https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Betroffenenrechte.html) fristgerecht binnen einem Monat erfüllen zu können.
Vorkehrungen gegen Datenschutzverletzungen (Data Breach) treffen und das mögliche Vorgehen bei einem Data Breach planen: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Meldung-von-Datenschutzve.html
Überprüfung der Zulässigkeit von Datenübermittlungen in Drittländer: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Internationaler-Datenverk.html

Weitere Informationen finden Sie auch unter www.wko.at/datenschutz.

Im Online-Ratgeber unter https://dsgvo.wkoratgeber.at/ werden Sie Schritt für Schritt durch die für Ihre Datenverarbeitung relevanten Vorschriften geführt. Weiters erhalten Sie Tipps zur Umsetzung sowie Links zu den für Sie erforderlichen Musterformularen.

Fotocredit: Adobe Stock, WKÖ

Diese Seite verwendet Cookies

Ohne Ihre Zustimmung verwenden wir nur Cookies, die für die Funktion der Webseite notwendig sind. Wenn Sie auf „Alle akzeptieren“ klicken, verwenden wir zielorientierte Cookies zu Analysezwecken und um für Sie relevante Inhalte anzuzeigen. Um Ihnen darüber hinaus eine angenehme Online-Journey zu bieten, werden weitere Cookies für Marketingzwecke und Optimierungszwecke gesetzt. Dazu verarbeiten wir und ausgewählte Partner personenbezogene technische Daten. Eine Auflistung der Partner und nähere Informationen zu den Cookies finden Sie in unserer Datenschutzerklärung. Unter „Einstellungen“ können Sie Ihre Cookie-Präferenzen jederzeit ändern.

Bitte beachten Sie, dass wir auch Cookies von US-amerikanischen Unternehmen einsetzen, welche sich nicht dem Datenschutzabkommen zwischen EU-USA unterworfen haben. Wenn Sie der Cookie-Setzung zustimmen, gelangen Ihre durch die Cookies erhobenen personenbezogene Daten auch an Unternehmen in den USA, bei welchen Ihre Daten keinem dem EU-Datenschutzrecht angemessenen Schutzniveau unterliegen, Sie nur eingeschränkte, bis keine datenschutzrechtliche Rechte genießen und insbesondere auch die US-amerikanische Regierung Zugang zu diesen Daten erlangen kann.

Cookie-Einstellungen

Hier können Sie der Setzung einzelner Cookies, die auf dieser Domain und ihren Subdomains verwendet werden, zustimmen oder ablehnen. Sie können Ihre Cookie-Einstellungen jederzeit ändern, nutzen Sie dazu bitte den Link „Cookie-Einstellungen“ im Footer der Webseite neben dem Link zur Datenschutzerklärung, aus der Sie nähere Informationen zur Nutzung unserer Webseite und den Cookies dem Unterpunkt 1.3.6 entnehmen können. Bitte beachten Sie, dass wir auch Cookies von US-amerikanische Unternehmen einsetzen, welche sich nicht dem Datenschutzabkommen zwischen EU-USA unterworfen haben. Wenn Sie deren Setzung zustimmen, gelangen Ihre durch die Cookies erhobenen personenbezogenen Daten auch an Unternehmen in den USA, bei welchen Ihre Daten keinem dem EU-Datenschutzrecht angemessenen Schutzniveau unterliegen, Sie nur eingeschränkte, bis keine datenschutzrechtliche Rechte genießen und insbesondere auch die US-amerikanische Regierung Zugang zu diesen Daten erlangen kann.

Die Ausspielung dieser zustimmungspflichtigen Cookies erfolgt durch den Google Tag Manager. Wenn Sie daher einem der unten aufgelisteten Cookies zustimmen, so stimmen Sie auch zu, dass die Ausspielung über den Google Tag Manager erfolgt. Wenn Sie keine Cookies oder den Google Tag Manager wünschen, dann klicken Sie bitte auf Button „Alle ablehnen“.

Notwendig

immer aktiv

Notwendige Cookies sind für das ordnungsgemäße Funktionieren der Website unbedingt erforderlich. Diese Cookies gewährleisten anonym grundlegende Funktionsweisen und Sicherheitsfeatures der Website.

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wordpress_logged_in_*	Session	Login Handling Ermöglicht Aufruf geschützter Seiten.
wordpress_sec_*	Session	Login Handling Ermöglicht Aufruf geschützter Seiten.
wordpress_test_cookie	Session	Cookie, um das Setzen von Cookies zu überprüfen

Analytik

Analytische Cookies werden verwendet, um zu verstehen, wie Besucher mit der Website interagieren. Diese Cookies helfen dabei, Informationen über die Anzahl der Besucher, Absprungrate, Verkehrsquelle usw. zu liefern.

Cookie	Dauer	Beschreibung
_ga	2 Jahre	Beinhaltet eine zufallsgenerierte User-ID, anhand derer Google Analytics wiederkehrende Besucher auf unseren Webseiten wiedererkennen und mit Daten von früheren Besuchen zusammenführen kann.
_ga_4DQVPGZDS1	2 Jahre	Enthält eine zufallsgenerierte User-ID. Anhand dieser ID kann Google Analytics wiederkehrende User auf dieser Website wiedererkennen und die Daten von früheren Besuchen zusammenführen.
_gcl_au	90 Tage	Dieses Cookie wird von Google gesetzt, wenn ein User über einen Klick auf eine Google Werbeanzeige auf die Website gelangt. Es enthält Informationen darüber, welche Werbeanzeige geklickt wurde, sodass erzielte Erfolge wie z.B. Bestellungen oder Kontaktanfragen der Anzeige zugewiesen werden können.