Feiler, Lukas Umsetzung Der DSGVO in Der Praxis (E Bib)

Lizenziert für Wirtschaftsuniversität Wien am 08.09.
2022 um 13:35 Uhr
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Verlag Österreich
Lukas Feiler
Bernhard Horn
Umsetzung der DSGVO

in der Praxis
Fragen, Antworten, Muster
2018
Praxisliteratur
Verlag Österreich
RA Dr. Lukas Feiler, SSCP CIPP/E
leitet das IT-Team bei Baker McKenzie,
Fellow des Stanford-Vienna Transatlantic Technology Law Forums
Mag. Dipl.-Ing. Dr. Bernhard Horn, CIPP/E

Hauptabteilung für Informationstechnologie und Kundenservice,
Oesterreichische Nationalbank
Das Werk ist urheberrechtlich geschützt.

Die dadurch begründeten Rechte, insbesondere die der Übersetzung, des Nachdruckes, der
Entnahme von Abbildungen, der Funksendung, der Wiedergabe auf fotomechanischem
oder ähnlichem Wege und der Speicherung in Datenverarbeitungsanlagen, bleiben, auch bei
nur auszugsweiser Verwertung, vorbehalten. Die Wiedergabe von Gebrauchsnamen, Han-
delsnamen, Warenbezeichnungen usw. in diesem Buch berechtigt auch ohne besondere
Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen-
und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann
benutzt werden dürfen.
Produkthaftung: Sämtliche Angaben in diesem Fachbuch/wissenschaftlichen Werk erfol-

gen trotz sorgfältiger Bearbeitung und Kontrolle ohne Gewähr. Eine Haftung der Autoren
oder des Verlages aus dem Inhalt dieses Werkes ist ausgeschlossen.
© 2018 Verlag Österreich GmbH, Wien

www.verlagoesterreich.at
Gedruckt in Deutschland
Satz: Grafik & Design Claudia Gruber-Feigelmüller, 3580 Horn, Österreich

Druck: Strauss GmbH, 69509 Mörlenbach, Deutschland
Gedruckt auf säurefreiem, chlorfrei gebleichtem Papier
Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der
Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im
Internet über http://dnb.d-nb.de abrufbar.
ISBN 978-3-7046-7859-1 Verlag Österreich
Verlag Österreich
Vorwort
Die 99 Artikel und 173 Erwägungsgründe der Datenschutz-Grundverord-

nung (DSGVO) sind zum Teil schwer verständlich oder sogar widersprüch-
lich. Die DSGVO selbst ist damit alles andere als praxisnah. Wer versucht,
die DSGVO in einem Unternehmen oder einer Behörde umzusetzen, kann

leicht die Orientierung verlieren. Das vorliegende Werk schlägt eine Brücke
zwischen der DSGVO und der Praxis und ermöglicht daher eine erfolgrei-
che praktische Umsetzung.
Es richtet sich an Praktiker, wie Geschäftsführer, Datenschutzbeauftragte,
Datenschutzmanager, IT- oder HR-Mitarbeiter und soll diese bei der Um-
setzung der DSGVO in ihrer Organisation unterstützen. Ein datenschutz-
rechtliches Vorwissen des Lesers wird dezidiert nicht vorausgesetzt.
Das vorliegende Werk bietet:
− einen Schlachtplan zur praktischen Umsetzung der DSGVO in
12 Schritten,
− 100 Praxisfragen und -antworten zur DSGVO,
− zahlreiche Muster und
− ein Wörterbuch zum raschen Nachschlagen der wichtigsten Begriffe aus
Datenschutzrecht und -praxis.
Der Schlachtplan zur praktischen Umsetzung der DSGVO in 12 Schrit-
ten gilt gleichermaßen für Klein- und Mittelbetriebe, wie für internationale
Konzerne und Behörden. Er basiert auf der Erfahrung der Autoren bei der
Umsetzung der DSGVO in zahlreichen Organisationen unterschiedlichster
Größe. Jeder der zwölf Schritte ist am Seitenrand durch einen Kreis mit ei-
ner Fortschrittsanzeige gekennzeichnet.
Die 100 Praxisfragen und -antworten sind anhand griffiger Kapitel, wie
„Der Datenschutzbeauftragte“, „Kundendatenschutz“, „Mitarbeiterdaten-
schutz“ oder „Datensicherheit & Sicherheitsverletzungen“ gegliedert. So
wird ein schnelles Auffinden der gesuchten Antworten erleichtert. Die Ant-
worten sind bewusst nicht als akademische Abhandlungen verfasst, sondern
Verlag Österreich
Vorwort
als pragmatische, praxistaugliche Empfehlungen, Handlungsanweisungen

und Checklisten. Jede der 100 Fragen ist am Seitenrand durch eine Sprech-
blase gekennzeichnet.
Das vorliegende Werk enthält außerdem zahlreiche Muster – zB für ein Ver-
zeichnis der Verarbeitungstätigkeiten, für eine Datenschutz-Folgenabschät-
zung oder für eine Auftragsverarbeitervereinbarung. Als Praktiker muss
man daher das Rad nicht neu erfinden und kann sich vielmehr mit Effizienz
an die eigentliche Umsetzung der DSGVO machen. Zur besseren Orientie-
rung bietet Seite XIII ein Verzeichnis aller Muster. Außerdem ist jedes Mus-
ter am Seitenrand durch ein Clipboard mit einem Häkchen gekennzeichnet.
Am Ende des vorliegenden Werks findet sich ein Wörterbuch, sodass man
die wichtigsten Begriffe des Datenschutzrechts und der Datenschutzpraxis
jederzeit nachschlagen kann. In diesem Wörterbuch werden Praxisbegriffe

– zB PCI, ISMS oder CRM – ebenso erklärt wie Rechtsbegriffe – zB Verant-
wortlicher, Auftragsverarbeiter oder sensible Daten. Insbesondere Lesern
ohne datenschutzrechtliches Vorwissen wird so der Einstieg in die Materie
erleichtert.
Durch die oben beschriebene Gliederung und Ausrichtung des Werks soll
das Datenschutzrecht für Praktiker verständlicher und leichter umsetzbar
werden. Datenschutz bedeutet nämlich nicht, dass man gar keine personen-
bezogenen Daten mehr verarbeiten dürfte, ein Profiling von Kunden jeden-
falls unzulässig wäre oder dass personenbezogene Daten auf Zuruf der Be-
troffenen jedenfalls gelöscht werden müssten. Durch pragmatische, praxis
taugliche Empfehlungen und Handlungsanweisungen wird vielmehr aufge-
zeigt, wie man DSGVO-Compliance erreicht und dennoch die Digitali-
sierung vorantreiben und datengetriebene Geschäftsmodelle entwickeln
kann.
Abschließend sei Lesern, die in Ergänzung zu diesem Werk eine wissen-
schaftlichere Auseinandersetzung mit der DSGVO suchen, der DSGVO-
Kommentar Feiler/Forgó, EU-DSGVO (2017) empfohlen. Wer bei seiner
praktischen Arbeit die DSGVO und die einschlägigen Guidelines der Arti-
kel-29-Datenschutzgruppe gerne in gedruckter Form (zweisprachig Eng-
lisch und Deutsch) vor sich hat, wird in Feiler (Hrsg), Gesetzbuch Daten-
schutzrecht (2017) fündig.
Wir wünschen viel Erfolg bei der Umsetzung der DSGVO!
Wien, im Jänner 2018 Lukas Feiler
Bernhard Horn
VI
Verlag Österreich
Inhaltsverzeichnis
Verzeichnis der Muster................................................................................. XIII

Abkürzungsverzeichnis................................................................................ XV
Die praktische Umsetzung der DSGVO.................................................. 1

Schritt 1: Unterstützung aus dem Management sichern......................... 3
Schritt 2: Datenschutzbeauftragten bzw -manager ernennen und
Zuständigkeiten klären.............................................................. 4
Schritt 3: Ersten Überblick verschaffen.................................................... 6
Schritt 4: Ziele des Datenschutzmanagements in einer Unternehmens-
richtlinie definieren.................................................................... 9
Schritt 5: Passende IT-Tools für das Datenschutz-Management
auswählen.................................................................................... 11
Schritt 6: Informationen über alle Datenverarbeitungsprozesse
erheben........................................................................................ 13
Schritt 7: Verzeichnis der Verarbeitungstätigkeiten erstellen................. 14
Schritt 8: Rechtmäßigkeit der Verarbeitungstätigkeiten absichern........ 14
Schritt 9: Datenschutz-Folgenabschätzungen durchführen................... 21
Schritt 10: Datenschutzrelevante Unternehmensrichtlinien erstellen...... 22
Schritt 11: Konzept für unternehmensinterne Informationsmaßnahmen
und Schulungen erstellen............................................................ 24
Schritt 12: Datenschutz im täglichen Betrieb aufrechterhalten................ 24
100 Praxisfragen und Antworten zur DSGVO...................................... 27

A. Der Datenschutzbeauftragte................................................................... 29
1. Wann muss eine Organisation einen Datenschutzbeauftragten
bestellen?............................................................................................. 29
2. Wann ist eine Organisation eine „Behörde oder öffentliche
Stelle“ und muss aus diesem Grund einen Datenschutz-
beauftragten bestellen?...................................................................... 31
3. Welche Stellung hat der Datenschutzbeauftragte in der
Organisation?..................................................................................... 32
VII
Verlag Österreich
Inhaltsverzeichnis
4. Welche Pflichten hat der Datenschutzbeauftragte?........................ 33

5. Welches Haftungsrisiko hat der Datenschutzbeauftragte?............ 35
6. Genießt ein Datenschutzbeauftragter Kündigungsschutz?........... 36
7. Welche Ausbildung und Fähigkeiten muss ein Datenschutz
beauftragter haben?............................................................................ 38
8. Kann ein Datenschutzbeauftragter auch andere Aufgaben
wahrnehmen oder in Teilzeit bestellt werden?................................ 40
9. Kann der Leiter der IT-Abteilung als Datenschutzbeauftragter
bestellt werden?.................................................................................. 40
10. Muss der Name des Datenschutzbeauftragten veröffentlicht
werden?............................................................................................... 42
11. Wie lange ist die Funktionsperiode eines Datenschutz-
beauftragten?...................................................................................... 43
12. Kann auch ein Externer als Datenschutzbeauftragter fungieren?. 44

13. Welche Vor- und Nachteile hat ein externer Datenschutz
beauftragter?....................................................................................... 44
B. Das Verzeichnis der Verarbeitungstätigkeiten...................................... 47
14. Ein Unternehmen hat weniger als 250 Mitarbeiter – Muss
trotzdem ein Verzeichnis der Verarbeitungstätigkeiten geführt
werden?............................................................................................... 47
15. Was muss im Verzeichnis der Verarbeitungstätigkeiten jeden-
falls dokumentiert werden?............................................................. 48
16. Muss auch ein Auftragsverarbeiter ein Verzeichnis der
Verarbeitungstätigkeiten führen?.................................................... 53
17. Soll mehr als das Minimum im Verzeichnis der Verarbeitungs-
tätigkeiten dokumentiert werden?.................................................. 54
18. Müssen auch Verarbeitungstätigkeiten dokumentiert werden,
die ohnedies bereits in DVR-Online gemeldet wurden?.............. 55
19. Ist der Datenschutzbeauftragte für die Führung des Verzeich-
nisses der Verarbeitungstätigkeiten verantwortlich?..................... 56
20. Kann das Verzeichnis der Verarbeitungstätigkeiten auch
elektronisch geführt werden? Sollen spezielle Softwarelösungen
verwendet werden?........................................................................... 57
21. Kann das Verzeichnis der Verarbeitungstätigkeiten auch auf
Englisch geführt werden?................................................................ 59
C. Datenschutz-Folgenabschätzungen....................................................... 61
22. Was ist eine Datenschutz-Folgenabschätzung eigentlich?............. 61
23. Wann muss eine Datenschutz-Folgenabschätzung durchgeführt
werden?............................................................................................... 62
24. Wie lautet die Faustregel der Artikel-29-Datenschutzgruppe zur
Notwendigkeit einer Datenschutz-Folgenabschätzung?............... 65
VIII
Verlag Österreich
Inhaltsverzeichnis
25. Muss eine Datenschutz-Folgenabschätzung auch für alte

Datenanwendungen durchgeführt werden, die es bereits vor
Geltungsbeginn der DSGVO gab?................................................. 66
26. Wie soll eine Datenschutz-Folgenabschätzung durchgeführt
werden?............................................................................................. 67
27. Wer ist für die Datenschutz-Folgenabschätzung verantwortlich?. 74
28. Was sind mögliche Risikominderungsmaßnahmen?..................... 75
29. Ist eine Datenschutz-Folgenabschätzung eine einmalige
Angelegenheit?.................................................................................. 77
30. In welchen Fällen ist eine Konsultation mit der Datenschutz-
behörde durchzuführen?.................................................................. 77
D. Datenschutzmitteilungen und Betroffenenrechte................................. 79
31. Muss die Verarbeitung gegenüber den Betroffenen offengelegt
werden?............................................................................................. 79
32. Wann und wie sind die Betroffenen zu informieren?.................... 83
33. Was ist vom Recht auf Auskunft umfasst?..................................... 85
34. Hat der Betroffene bei einem Auskunftsbegehren eine Mitwir-
kungspflicht?..................................................................................... 86
35. Muss eine Person ihre Identität nachweisen, um ihre Betrof-
fenenrechte geltend zu machen?...................................................... 86
36. Hat der Betroffene immer ein Recht auf Datenübertragbarkeit? 89
37. In welchem Format müssen Daten übergeben werden, wenn
der Betroffene Datenübertragbarkeit fordert?............................... 90
38. Können Betroffene immer einen Widerspruch erheben?.............. 91
39. Kann das Recht auf Vergessenwerden immer geltend gemacht
werden?............................................................................................. 93
40. Wie schnell muss man reagieren, wenn Betroffene ihre Rechte
geltend machen?................................................................................ 94
41. Haben auch juristische Personen Betroffenenrechte?................... 94
42. Sind bei Ausübung des Löschungsrechts auch Daten von
Backups zu löschen?......................................................................... 95
E. IP-Adressen, Cookies und Social Media Plugins................................. 97
43. Sind IP-Adressen personenbezogene Daten?................................ 97
44. Welche Daten dürfen wir am Webserver protokollieren?............. 98
45. Ist eine Einwilligung für Cookies erforderlich?............................ 99
46. Wie soll die Datenschutzmitteilung auf einer Website aussehen?. 99
47. Dürfen wir auf unserer Website Google Analytics verwenden?... 103
48. Ist es zulässig, auf der eigenen Website Social Media Plugins zu
verwenden?....................................................................................... 106
F. E-Mails..................................................................................................... 109
49. Wie lange sollen E-Mails aufbewahrt werden?............................... 109
IX
Verlag Österreich
Inhaltsverzeichnis
50. Dürfen eingehende und ausgehende E-Mails gespiegelt werden?. 110

51. Darf man auf den E-Mail-Account eines Mitarbeiters zugreifen,
der auf Urlaub ist oder das Unternehmen verlassen hat?............... 111
G. Kundendatenschutz................................................................................. 113
52. Ich habe nur Geschäftskunden – gilt die DSGVO überhaupt?..... 113
53. Müssen Kunden in die Verarbeitung ihrer Daten einwilligen?...... 114
54. Ist eine Einwilligung für einen E-Mail-Newsletter erforderlich?. 115
55. Was ist bei Kunden-Profiling zu beachten?..................................... 117
56. Ist eine Einwilligungserklärung in AGB zulässig?......................... 119
57. Sind separate Einwilligungen für unterschiedliche Verarbeitungs-
zwecke erforderlich?.......................................................................... 119
58. Gelten alte Einwilligungen, die vor Geltungsbeginn der DSGVO
erteilt wurden, fort?........................................................................... 121
59. Ab welchem Alter ist eine Einwilligung von Minderjährigen

wirksam?............................................................................................. 121
60. Darf man das Angebot von Waren und Dienstleistungen von
der Erteilung einer Einwilligung abhängig machen?
(Koppelungsverbot)........................................................................... 122
61. Wie umgeht man das Koppelungsverbot?....................................... 123
H. Mitarbeiterdatenschutz........................................................................... 125
62. Von welchen IT-Systemen muss der Betriebsrat informiert
werden?............................................................................................... 125
63. In welchen Fällen ist eine Betriebsvereinbarung erforderlich?...... 126
64. Droht eine Geldbuße, wenn eine Betriebsvereinbarung fehlt?...... 127
65. Was ist notwendiger Inhalt einer Betriebsvereinbarung?............... 127
66. Darf der Betriebsrat in alle Mitarbeiterdaten Einsicht nehmen?... 129
67. Wie lange dürfen Mitarbeiterdaten aufbewahrt werden?............... 130
68. Ist eine Mitarbeitereinwilligung wirksam?...................................... 131
69. Ist die Überwachung des Internetverkehrs der Mitarbeiter zuläs-
sig? Einschließlich Aufbrechen der SSL/TLS-Verschlüsselung?... 131
I. Outsourcing............................................................................................. 135
70. Muss der Verantwortliche mit jedem Dienstleister einen Vertrag
abschließen? Wie muss dieser aussehen?.......................................... 135
71. Der Dienstleister versichert, dass er ohnedies nie auf die Daten
zugreifen wird – reicht das?.............................................................. 140
72. Darf sich ein Auftragsverarbeiter vertraglich vorbehalten, Sub-
Auftragsverarbeiter einzusetzen?..................................................... 140
73. Darf man einen Auftragsverarbeiter mit Sitz in den USA
einsetzen?............................................................................................ 141
74. Sind Abweichungen von den Standardvertragsklauseln zulässig
oder sogar notwendig?...................................................................... 142
Verlag Österreich
Inhaltsverzeichnis
75. Haftet ein IT-Dienstleister, wenn er rechtswidrige Anweisungen

seiner Kunden befolgt?...................................................................... 145
J. Fotos und Videoüberwachung .............................................................. 147
76. Zu welchen Zwecken dürfen Foto- oder Videoaufnahmen
gemacht werden?................................................................................ 147
77. Wie lange dürfen Foto- und Videoaufnahmen gespeichert
werden?............................................................................................... 149
78. Wann dürfen Aufzeichnungen einer Videoüberwachung ausge-
wertet werden?................................................................................... 149
79. Ist eine Betriebsvereinbarung oder die Zustimmung der Arbeit-
nehmer für eine Videoüberwachung notwendig?........................... 150
K. Whistleblowing und interne Compliance-Untersuchungen............... 153
80. Ist eine Betriebsvereinbarung für eine Whistleblowing-Hotline

notwendig?......................................................................................... 153
81. Welche Arten von Rechtsverstößen können über eine
Whistleblowing-Hotline gemeldet werden?.................................... 154
82. Es gibt keinen Betriebsrat: Müssen die Mitarbeiter der
Whistleblowing-Hotline zustimmen?.............................................. 155
83. Über welche Personen darf eine Whistleblowing-Meldung
erstattet werden?................................................................................ 156
84. Wann darf man E-Mails verdächtiger Mitarbeiter auswerten?...... 157
85. Können datenschutzrechtswidrig erlangte Beweise verwertet
werden?............................................................................................... 158
L. Datensicherheit & Sicherheitsverletzungen.......................................... 159
86. Wie sicher ist sicher genug?............................................................... 159
87. An welchen technischen Sicherheitsstandards kann man sich
orientieren?......................................................................................... 160
88. Ist eine Zertifizierung nach ISO 27001 erforderlich? Was sagt sie
aus?...................................................................................................... 162
89. Wie kann man ein Sicherheitskonzept leicht überprüfen?............. 163
90. Was sind die gefährlichsten Sicherheitslücken?............................... 164
91. Sind Penetrationstests zwingend erforderlich?............................... 166
92. Wann muss die Datenschutzbehörde und wann müssen die
Betroffenen von einer Sicherheitsverletzung informiert werden?. 167
93. In welcher Form sind Sicherheitsverletzungen zu dokumentieren?. 171
M. Geldbußen und Haftung......................................................................... 173
94. Wie hoch können die Geldbußen für Datenschutzverstöße sein? 173
95. Wann haftet das Management, wann das Unternehmen für
Geldbußen?........................................................................................ 174
96. Haftet die Konzernmutter für die Tochter?.................................... 175
XI
Verlag Österreich
Inhaltsverzeichnis
97. Haftet der Leiter der öffentlichen Stelle für die öffentliche
Stelle?.................................................................................................. 175
98. Wie weit reicht der Schadenersatzanspruch der Betroffenen?....... 176
99. Wird es in Österreich Sammelklagen geben?................................... 177
100. Wie kann man vorsorgen, um sich in einem Schadenersatz-
prozess freibeweisen zu können?..................................................... 178
Datenschutzwörterbuch............................................................................. 181
Stichwortverzeichnis..................................................................................... 201
XII
Verlag Österreich
Verzeichnis der Muster
Muster eines minimalistischen Verzeichnisses der Verarbeitungs-

tätigkeiten................................................................................................. 50
Muster einer minimalistischen Datenschutz-Folgenabschätzung............ 70
Muster einer Datenschutzmitteilung (zweisprachig)................................. 80

Muster einer Website-Datenschutzmitteilung............................................ 100
Muster einer Datenschutzmitteilung für Google Analytics
(zweisprachig).......................................................................................... 104
Muster einer Einwilligungserklärung für Werbe-E-Mails......................... 116
Muster einer datenschutzrechtlichen Betriebsvereinbarung..................... 128
Muster einer Auftragsverarbeitervereinbarung (zweisprachig)................ 135
Muster eines DSGVO-Zusatzes für Standardvertragsklauseln................. 143
Muster einer Zustimmungserklärung für Videoüberwachung in einem
Geschäftslokal.......................................................................................... 151
Muster einer Zustimmungserklärung für eine Whistleblowing-Hotline. 156
Muster eines Verzeichnisses von Verletzungen des Schutzes
personenbezogener Daten...................................................................... 171
XIII
Verlag Österreich
Verlag Österreich
Abkürzungsverzeichnis
Abs Absatz
Art Artikel
bzw beziehungsweise
dh das heißt
DSG 2000 Datenschutzgesetz 2000
DSG Datenschutzgesetz idF Datenschutz-Anpassungsgesetz 2018
DSGVO Verordnung (EU) 2016/679 des Europäischen Parlaments und
des Rates vom 27. April 2016 zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten, zum freien Da-
tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Da-
tenschutz-Grundverordnung)
eIDAS-VO Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments
und des Rates vom 23. Juli 2014 über elektronische Identifizie-
rung und Vertrauensdienste für elektronische Transaktionen im
Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
etc et cetera
EU Europäische Union
EWR Europäischer Wirtschaftsraum
f folgende
ff fortfolgende
idF in der Fassung
iSv im Sinne von
iVm in Verbindung mit
IP Internet Protocol
LfNr Laufnummer
lit litera
Nr Nummer
sog sogenannt, -e, -er, -es
UAbs Unterabsatz
vgl vergleiche
Z Ziffer
zB zum Beispiel
XV
Verlag Österreich
Verlag Österreich
Verlag Österreich
Die praktische Umsetzung der DSGVO
Verlag Österreich
Die Datenschutz-Grundverordnung („DSGVO“) in einem Unternehmen,
einem ganzen Konzern oder einer Behörde umzusetzen, ist eine erhebliche
organisatorische, technische und juristische Herausforderung. Aufgrund
der zahlreichen und detaillierten Anforderungen der DSGVO ist es leicht,
den Überblick zu verlieren.
Im folgenden Kapitel wird daher ein strukturierter und pragmatischer

Schlachtplan vorgestellt, wie die DSGVO in 12 Schritten effizient umgesetzt
werden kann. Dieser Schlachtplan gilt gleichermaßen für Unternehmen bzw
Konzerne wie für Behörden und öffentliche Stellen. Die verwendeten Be-
griffe nehmen allerdings stark auf das Unternehmensumfeld Bezug.
Schritt 1: Unterstützung aus dem Management sichern

Ohne die Unterstützung des Managements (bzw im Fall einer Behörde der
Behördenleitung) ist es sehr unterwahrscheinlich, dass die DSGVO in einer
Organisation erfolgreich umgesetzt werden kann. Denn die meisten Schritte,
die für die Umsetzung erforderlich sind, können nur durchgeführt werden,
wenn hierfür ein gewisses Budget bereitgestellt wird und andere Geschäfts-
abteilungen den Umsetzungsprozess unterstützen. Häufig sind an einzelnen
Stellen auch gewisse organisationsinterne politische Hindernisse zu über-
winden, was ein Machtwort des Managements erforderlich machen kann.
Ein Mitarbeiter der IT- oder Rechtsabteilung kann daher die DSGVO in
einer Organisation nicht im Alleingang umsetzen. Vielmehr ist die aktive
Unterstützung des Managements für die erfolgreiche Durchführung der
meisten Umsetzungsschritte erforderlich.
Tatsächlich liegt es im eigenen Interesse des Managements, die Umsetzung
der DSGVO zu unterstützen, weil die DSGVO im Falle von Rechtsverlet-
zungen Geldbußen von bis zu 20 Millionen Euro oder 4% des gesamten
weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs
vorsieht – je nachdem, welcher der beiden Beträge höher ist (siehe Fra-
ge 94 ff).
Wenn das Management daher erst zur Gewährung der erforderlichen Un-
terstützung motiviert werden muss, ist es häufig zielführend, auf die Geld-
Verlag Österreich
bußen hinzuweisen, für die das Management in vielen Fällen persönlich

haften würde (siehe Fragen 95 und 97). Weiters empfiehlt es sich, an das
Management bereits mit einem Umsetzungsplan entsprechend den folgen-
den elf Schritten heranzutreten, um nicht nur eine Herausforderung
(DSGVO-Compliance), sondern auch gleich eine Lösung hierfür präsentie-
ren zu können.
Schritt 2: Datenschutzbeauftragten bzw -manager ernennen und

Zuständigkeiten klären
Die DSGVO verpflichtet Behörden und öffentliche Stellen (siehe hierzu
Frage 2) sowie Unternehmen in den unten beschriebenen Fällen, einen sog
Datenschutzbeauftragten zu bestellen. Nach dem Konzept der DSGVO hat
der Datenschutzbeauftragte sehr beschränkte Aufgaben im Bereich der Da-

tenschutz-Compliance. Er ist daher nicht umfassend dafür zuständig, die
DSGVO im Unternehmen umzusetzen.
Insbesondere ist der Datenschutzbeauftragte nach der DSGVO nicht dazu
verpflichtet, das Verzeichnis der Verarbeitungstätigkeiten zu führen (siehe
Schritt 7) oder Datenschutz-Folgenabschätzungen durchzuführen (siehe
Schritt 9).
Die Kernaufgaben eines Datenschutzbeauftragten bestehen vielmehr darin,
die Organisation zu ihren Pflichten nach der DSGVO zu beraten, die Ein-
haltung dieser Pflichten zu überwachen, mit der Datenschutzbehörde zu-
sammenzuarbeiten und als Anlaufstelle für Betroffene zu fungieren (vgl
Art 38 f DSGVO). Das nach der DSGVO vorgesehene Aufgabengebiet des
Datenschutzbeauftragten deckt daher nur einen kleinen Teil der nach der
DSGVO verpflichtenden Compliance-Aufgaben ab (siehe Abbildung):
Aufgaben des Datenschutzbeauftragten
Verlag Österreich
Um in Organisationen, in denen ein Datenschutzbeauftragter zu bestellen

ist (oder freiwillig bestellt wird), alle DSGVO-Compliance-Aufgaben erfül-
len zu können, ist es daher notwendig, entweder (1) zusätzlich zum Daten-
schutzbeauftragten einen organisationsinternen „Datenschutzmanager“ zu
bestellen oder (2) dem Datenschutzbeauftragten auch die Funktionen eines
Datenschutzmanagers zu übertragen. Muss hingegen in einem Unterneh-
men kein Datenschutzbeauftragter bestellt werden, so können sämtliche
Aufgaben – einschließlich jenen, welche die DSGVO für den Datenschutz-
beauftragten vorgesehen hat – von einem Datenschutzmanager wahrgenom-
men werden. Die Aufgaben eines Datenschutzmanagers können freilich
auch einer ganzen Abteilung übertragen werden.
Aufbauend auf die grundlegende Entscheidung, ob ein Datenschutzbeauf-
tragter und/oder ein Datenschutzmanager bestellt wird, sollten folgende

Entscheidungen getroffen werden:
> Welche Befugnisse soll der Datenschutzbeauftragte bzw -manager ha-
ben?
> Welche sachliche Zuständigkeit soll der Datenschutzbeauftragte bzw
-manager haben? Ist er zB für alle Geschäftsbereiche zuständig?
> Welche örtliche Zuständigkeit soll der Datenschutzbeauftragte bzw
-manager haben? Soll er zB auch ausländische Tochtergesellschaften be-
treuen?
> Wie soll der Datenschutzbeauftragte bzw -manager in die Organisa
tionsstruktur eingebunden werden?
> Welche finanziellen und personellen Ressourcen sollen dem Daten-
schutzbeauftragten bzw -manager zugewiesen werden?
Bei der Beantwortung dieser Fragen ist zu berücksichtigen, dass die DSGVO
für die Stellung des Datenschutzbeauftragten folgenden Rahmen zwingend
vorgibt (Art 38 DSGVO):
> er ist weisungsfrei;
> er darf wegen der Erfüllung seiner Aufgaben nach der DSGVO nicht
abberufen oder benachteiligt werden, genießt daher insbesondere Kün-
digungsschutz;
> er berichtet unmittelbar der Geschäftsleitung;
> er muss frühzeitig bei allen Datenschutzfragen eingebunden werden;
> das Unternehmen hat ihm alle notwendigen Ressourcen zur Verfügung
zu stellen;
> ihm ist Zugang zu allen IT-Systemen zu gewähren, mit denen perso-
nenbezogene Daten verarbeitet werden;
Verlag Österreich
> er fungiert als Anlaufstelle für betroffene Personen und

> er ist zur Verschwiegenheit verpflichtet.
Aufgrund dieser relativ unflexiblen Vorgaben der DSGVO hinsichtlich der
Stellung des Datenschutzbeauftragten sollten sich Unternehmen fragen, ob
sie überhaupt einen Datenschutzbeauftragten bestellen müssen. Nach der
DSGVO ist die Bestellung eines Datenschutzbeauftragten für ein Unterneh-
men in folgenden Fällen zwingend vorgesehen (siehe ausführlich Frage 1):
> wenn die Kerntätigkeit des Unternehmens in der Durchführung von
Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige
und systematische Überwachung von betroffenen Personen erforderlich
machen (zB Online-Werbenetzwerke, welche die Onlineaktivitäten von
Nutzern protokollieren, um ihnen personenbezogene Werbung präsen-
tieren zu können) oder

> wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verar-
beitung sensibler oder strafrechtlich relevanter Daten besteht (zB ein
Unternehmen, das sich auf strafrechtliche Background-Checks speziali-
siert oder ein Auftragsverarbeiter, der sich auf den Gesundheitsbereich
spezialisiert hat).
Für eine Behörde oder öffentliche Stelle (vgl ausführlich Frage 2) ist die Be-
stellung eines Datenschutzbeauftragten jedenfalls verpflichtend.
Muss ein Datenschutzbeauftragter bestellt werden (oder wird er freiwillig
bestellt), ist zu berücksichtigen, dass die DSGVO vorschreibt, dass er so-
wohl die für seine Tätigkeit erforderliche berufliche Qualifikation als auch
das dafür notwendige Fachwissen auf dem Gebiet des Datenschutzrechts
besitzen muss (siehe ausführlich Frage 7).
Schritt 3: Ersten Überblick verschaffen

Bevor weitere Umsetzungsschritte in Angriff genommen werden, sollte
man sich einen ersten Überblick über das Unternehmen und die bestehen-
den Datenverarbeitungstätigkeiten verschaffen.
Hierzu ist es ratsam, sich in den folgenden drei Bereichen grundlegende In-
formationen zu verschaffen:
A. Welche Arten von IT-Systemen nutzt das Unternehmen?

Um einen Überblick über die Datenverarbeitungstätigkeiten des Unterneh-
mens zu bekommen, empfiehlt es sich, die wesentlichsten vom Unterneh-
men eingesetzten IT-Systeme zu erheben. Gleichgültig ist hierbei zunächst,
Verlag Österreich
ob ein IT-System vom Unternehmen selbst betrieben wird (zB die unter-
nehmensinterne Buchhaltung) oder von einem Auftragsverarbeiter für das
Unternehmen betrieben wird (zB ein Cloud-Computing-Dienst).
Wichtigster Ansprechpartner für die Erhebung der genutzten IT-Systeme ist
typischerweise die IT-Abteilung des Unternehmens. Um den Informations-
austausch mit der IT-Abteilung sowie die Darstellung der gewonnenen In-
formationen besser zu strukturieren, empfiehlt sich eine Gliederung anhand
folgender drei Betroffenengruppen: Mitarbeiter, Kunden und Lieferanten.
Typische Verarbeitungstätigkeiten bezüglich Mitarbeiterdaten sind:
> Lohnverrechnung,
> E-Mail-System (zB Microsoft Exchange Server),
> Berechtigungssystem (zB Active Directory),

> Telefonsystem (gegebenenfalls mit anschlussbezogener Erfassung der
Telefonate) und
> Personalverwaltungssystem – auch Human Capital Management (HCM)
System oder Human Resource Information Management (HRIS) System
genannt (zB Workday oder SAP SuccessFactors).
Typische Verarbeitungstätigkeiten bezüglich Kundendaten sind:
> Rechnungswesen und Logistik,
> ein System zum Versand eines E-Mail-Newsletters und
> ein System zum Kundenbeziehungsmanagement – auch Customer Rela-
tionship Management (CRM) System genannt (zB SalesForce.com).
Typische Verarbeitungstätigkeiten bezüglich Lieferantendaten sind:
> Rechnungswesen und Logistik und
> Supply Chain Management (SCM) Systeme (zB Oracle SCM).
In der Praxis kommt es im Übrigen teilweise vor, dass die Bereiche Rech-
nungswesen, Human Capital Management, Customer Relationship Ma-
nagement und Supply Chain Management von einer einheitlichen IT-Lö-
sung bedient werden, sog Enterprise Resource Planning (ERP) Systemen
(zB SAP oder Microsoft Dynamics AX).
B. Wie sieht die gesellschaftsrechtliche Struktur des Unternehmens aus?

In vielen Fällen stehen hinter „dem Unternehmen“ tatsächlich mehrere Ge-
sellschaften (juristische Personen). Bei international tätigen Unternehmen
gibt es zudem typischerweise nationale Gesellschaften in unterschiedlichen
Ländern.
Verlag Österreich
Informationen über die gesellschaftsrechtliche Struktur sind deshalb not-

wendig, weil die DSGVO grundsätzlich jede Gesellschaft isoliert betrachtet
und – mit Ausnahme der Geldbußenregelung – die Tatsache, dass mehrere
Gesellschaften zum selben Konzern gehören, grundsätzlich nicht berück-
sichtigt.
Selbst wenn man als Datenschutzbeauftragter bzw -manager nur für eine
Gesellschaft zuständig ist, sollte man die gesellschaftsrechtliche Struktur
kennen, da es häufig zu Datenübermittlungen zwischen den einzelnen Ge-
sellschaften kommt.
Im Idealfall ist es für den Datenschutzbeauftragten bzw -manager möglich,
folgende Unterlagen von der Geschäftsleitung zu erhalten: (1) eine vollstän-
dige Liste aller verbundenen Unternehmen einschließlich Firmenwortlaut
und Anschrift sowie (2) ein Diagramm, welches die Beteiligungsverhältnisse

darstellt.
C. Welche Geschäftssparten hat das Unternehmen?

Insbesondere um den nächsten Schritt 4 sinnvoll in Angriff nehmen zu kön-
nen, sollte man sich mit den unterschiedlichen Geschäftssparten und Ver-
triebswegen des Unternehmens vertraut machen. So macht es aus daten-
schutzrechtlicher Sicht einen wesentlichen Unterschied, ob das Unterneh-
men primär an Geschäftskunden oder an Privatkunden verkauft:
> Verkauf an Geschäftskunden (auch „Business-to-Business“ oder „B2B“):
Weil Daten, die sich lediglich auf eine Gesellschaft (juristische Person)
beziehen, grundsätzlich keine personenbezogenen Daten sind (siehe aus-
führlich Frage 52), fällt die Verarbeitung von Geschäftskundendaten
meist nicht in den Anwendungsbereich der DSGVO. Datenverarbeitun-
gen im Bereich B2B sollten dennoch nicht ganz ignoriert werden, weil
zumindest die Speicherung von Daten der einzelnen Ansprechpartner
bei Geschäftskunden der DSGVO unterliegt.
> Verkauf an Privatkunden (auch „Business-to-Consumer“ oder „B2C“):
Daten über Privatkunden sind jedenfalls personenbezogene Daten, wes-
halb die DSGVO im Bereich B2C voll Anwendung findet.
Hat ein Unternehmen ausschließlich B2B-Geschäfte – wie dies bei Indust-
rieunternehmen häufig der Fall ist –, so führt dies typischerweise dazu, dass
der Mitarbeiterdatenschutz strategisch in den Vordergrund rückt, da in die-
sem Bereich die meisten Daten und daher auch die meisten Risiken vorhan-
den sein werden.
Verlag Österreich
Schritt 4: Ziele des Datenschutzmanagements in einer Unterneh-

mensrichtlinie definieren
Welche Ziele verfolgt das Unternehmen im Bereich des Datenschutzes?
Ohne diese Frage zu beantworten, ist es schwer, die DSGVO in einem Un-
ternehmen zur Zufriedenheit der Geschäftsleitung zu implementieren.
Denn schlussendlich wird die Implementierung an diesen – allenfalls unaus-
gesprochen gebliebenen – Zielen gemessen werden.
Folgende Fragen sollte ein Unternehmen im Rahmen einer Unternehmens-
richtlinie zur Datenschutzstrategie des Unternehmens klären:
> Soll aus personenbezogenen Daten ein wirtschaftlicher Wert gewon-
nen werden? Die Antwort auf diese Frage wird von der allgemeinen
Digitalisierungsstrategie des Unternehmens abhängen und maßgeblich
beeinflussen, ob das Unternehmen eine eher defensive oder offensive

Datenschutzstrategie wählen sollte. Bei einem defensiven Ansatz ist es
ausreichend zu prüfen, ob durch einen bestimmten Geschäftsprozess
die DSGVO verletzt wird; gegebenenfalls sind entsprechende Compli-
ance-Maßnahmen zu implementieren. Demgegenüber erfordert ein of-
fensiver strategischer Ansatz, vorausschauend zu planen, welche Ge-
schäftsprozesse durch welche Datenverarbeitungen ermöglicht oder
gestützt werden könnten und welche Compliance-Maßnahmen die
größtmögliche Flexibilität bei der Ausgestaltung dieser Geschäftspro-
zesse bieten werden. Insbesondere Unternehmen, die auf datenbasierte
Geschäftsmodelle setzen, sollten eine offensive Datenschutzstrategie
verfolgen.
> Wenn es mehrere verbundene Gesellschaften gibt: Gilt die Datenschutz-
strategie für den ganzen Konzern oder nur für eine bestimmte Gesell-
schaft? Soweit die Strategie auch in anderen Ländern als Österreich (ins-
besondere außerhalb der EU bzw des EWR) gelten soll, kann es erfor-
derlich sein, auch das jeweilige lokale Datenschutzrecht entsprechend zu
berücksichtigen. Darüber hinaus wird auf gesellschaftsübergreifende
organisatorische Fragen Rücksicht zu nehmen sein.
> 100% Compliance oder pragmatischer Compliance-Ansatz? Die
DSGVO sieht eine Fülle von Compliance-Verpflichtungen vor, deren
100%ige Erfüllung für ein Unternehmen ein sehr kostspieliges Unter-
fangen sein kann. Wie in anderen Compliance-Bereichen auch, sollte sich
das Unternehmen daher fragen, welche Risiken für das Unternehmen
mit Datenschutz verbunden sein können. Hierzu zählen neben den
rechtlichen Risiken in Form von Geldbußen und Schadenersatzansprü-
chen der Betroffenen insbesondere auch Image-Risiken sowie – für Un-
ternehmen, die sich in öffentlicher Hand befinden oder in großem Um-
Verlag Österreich
fang für die öffentliche Hand tätig sind – politische Risiken. Sind diese
Risiken überschaubar, so ist in der Praxis häufig ein pragmatischer Com-
pliance-Ansatz zu empfehlen, der das Ziel verfolgt, die DSGVO-Com-
pliance-Risiken kosteneffizient zu minimieren aber nicht notwendiger-
weise alle zu eliminieren. Denn in manchen Fällen ist das tatsächliche
Compliance-Risiko so klein, dass die Kosten der in Betracht kommen-
den Compliance-Maßnahmen das Risiko um ein Vielfaches übersteigen
würden.
> Wer ist wofür zuständig? In kleineren Unternehmen kann es ausrei-
chend sein, alle Fragen der DSGVO-Compliance beim Datenschutzbe-
auftragten bzw -manager zu zentralisieren. Gibt es hingegen zB Tochter-
gesellschaften im Ausland, wird es erforderlich sein festzulegen, ob es
Ansprechpartner in Datenschutzfragen bei diesen Tochtergesellschaften
geben soll und wie diese bestellt werden. Die Datenschutzstrategie sollte
jedenfalls nicht die Namen von konkreten Personen nennen, sondern
sich vielmehr darauf beschränken, bestimmte Rollen bzw Positionen zu
definieren. Nur so kann vermieden werden, dass die Datenschutzstrate-
gie jedes Mal geändert werden muss, wenn ein mit Datenschutz befasster
Mitarbeiter seine Position verlässt.
Darüber hinaus sollte die Datenschutzstrategie des Unternehmens klar zum
Ausdruck bringen, dass sich das Unternehmen an die Grundsätze des Da-
tenschutzrechts hält, wie sie in der DSGVO festgeschrieben sind (vgl Art 5
DSGVO):
> Rechtmäßigkeit: Personenbezogene Daten müssen auf rechtmäßige
Weise verarbeitet werden, was bedeutet, dass eine Rechtsgrundlage für
die Verarbeitung vorhanden sein muss (vgl Schritt 8, Zwischenschritt B).
> Treu und Glauben: Die Verarbeitung personenbezogener Daten darf
nur nach Treu und Glauben erfolgen, was insbesondere bei der Durch-
führung von Interessensabwägungen zu berücksichtigen ist.
> Transparenz: Betroffene Personen müssen über die Verarbeitung ihrer
personenbezogenen Daten informiert werden.
> Zweckbindung: Erstens dürfen personenbezogene Daten nur erhoben
werden, wenn spätestens zum Zeitpunkt der Erhebung ein eindeutiger
und legitimer Zweck festgelegt wurde (Grundsatz der Zweckfestlegung).
Dies kann insbesondere durch eine Dokumentation der Verarbeitungs-
zwecke im Verzeichnis der Verarbeitungstätigkeiten (siehe Schritt 7) er-
folgen. Zweitens dürfen die erhobenen Daten – vorbehaltlich der Einwil-
ligung der betroffenen Person – nur zu Zwecken weiterverarbeitet wer-
den, welche mit den ursprünglich festgelegten Zwecken vereinbar sind
(Zweckbindung im engeren Sinn).
10
Verlag Österreich
> Datenminimierung: Art und Umfang der verarbeiteten Daten müssen

den Verarbeitungszwecken angemessen sein sowie auf das für die Zwe-
cke notwendige Maß beschränkt sein. Der Grundsatz der Datenmini-
mierung wäre zB verletzt, wenn zum Zweck, das von jedem Mitarbeiter
verbrauchte Datenvolumen zu dokumentieren, nicht nur die Größe der
heruntergeladenen Dateien, sondern auch der Dateiname und die Uhr-
zeit jedes Downloads protokolliert werden.
> Richtigkeit: Personenbezogene Daten müssen sachlich richtig und,
wenn dies für den Verarbeitungszweck erforderlich ist, auf dem neuesten
Stand sein.
> Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange ge-
speichert werden, wie dies für die festgelegten Verarbeitungszwecke er-
forderlich ist. Nach Ablauf dieser Frist sind die Daten entweder zu lö-
schen oder zu anonymisieren. Mit dem Grundsatz der Speicherbegren-

zung wäre es zB nicht vereinbar, die Dokumentation zu einem Vertrags-
verhältnis zum Zweck der Abwehr allfälliger Ansprüche des Kunden
gespeichert zu halten, wenn alle denkbaren Ansprüche bereits verjährt
sind.
> Integrität und Vertraulichkeit: Dieser Grundsatz erfordert, dass ange-
messene Maßnahmen zum Schutz der Sicherheit von personenbezoge-
nen Daten implementiert werden.
> Rechenschaftspflicht: Dieser Grundsatz macht es erforderlich, dass ein
Unternehmen nicht nur keine Datenschutzverletzungen begeht, sondern
(1) aktiv Compliance-Maßnahmen implementiert, welche die Einhaltung
der oben genannten Grundsätze sicherstellen (die Datenschutzstrategie
ist eine zentrale derartige Maßnahme) und (2) die Einhaltung dieser
Grundsätze auch nachweisen kann. Man muss die DSGVO daher nicht
nur einhalten, sondern auch nachweisen können, dass man sie eingehal-
ten hat.
Schritt 5: Passende IT-Tools für das Datenschutz-Management

auswählen
Insbesondere um das Verzeichnis der Verarbeitungstätigkeiten zu erstellen
(siehe Schritt 7), Datenschutz-Folgenabschätzungen durchzuführen (Schritt 9)
und ein Verzeichnis der Sicherheitsverletzungen zu führen (siehe Frage 93),
können diverse IT-Tools hilfreich sein.
In kleineren Unternehmen wird man mit Microsoft Excel- und Word-
Dokumenten das Auslangen finden. Soll das Datenschutz-Compliance-
Programm hingegen im gesamten Konzern eingeführt werden, sollten IT-
11
Verlag Österreich
Tools zum Einsatz kommen, die insbesondere folgende Voraussetzungen

erfüllen:
> die Organisationsstruktur des Konzerns sollte abgebildet werden kön-
nen;
> aufbauend auf die abgebildete Organisationsstruktur sollte es möglich
sein, gewisse Informationen einheitlich für alle Konzerngesellschaften
(oder einen Teil derselben) zu dokumentieren. Kann zB eine in allen
Konzerngesellschaften ident durchgeführte Verarbeitungstätigkeit ein-
heitlich in den Verzeichnissen der Verarbeitungstätigkeiten aller Kon-
zerngesellschaften erfasst (und wenn nötig geändert) werden, können
signifikante Effizienzsteigerungen erzielt werden;
> die konzerninternen Zuständigkeiten sollten abgebildet werden können
(zB wenn eine Person als Datenschutzbeauftragter für zwei Gesellschaf-

ten bestellt ist);
> die Zusammenarbeit mehrerer Mitarbeiter sollte unterstützt werden
(zB sollten mehrere Mitarbeiter an der Dokumentation einer Verarbei-
tungstätigkeit arbeiten können) und
> Freigabeprozesse sollten abgebildet werden können (zB dass ein Mitar-
beiter einen Eintrag im Verzeichnis der Verarbeitungstätigkeiten entwer-
fen kann, der von einem anderen Mitarbeiter freizugeben ist).
Der Markt für derartige Online-Tools ist noch relativ jung und sollte daher
genau beobachtet werden. Insbesondere wenn man sich für einen Cloud-
basierten Anbieter entscheidet, sollte die Auswahl besonders sorgfältig ge-
troffen werden. Werden die Bedürfnisse des Unternehmens von den kom-
merziell verfügbaren Produkten noch nicht abgedeckt, kommt auch eine
Eigenentwicklung in Betracht.
Jedenfalls sollte darauf geachtet werden, dass das gewählte (oder selbst ent-
wickelte) IT-Tool eine vollständige Export-Funktion bietet. Denn die Da-
tenschutzbehörde wird sich voraussichtlich nicht mit einem Online-Zugang
zum Verzeichnis der Verarbeitungstätigkeiten begnügen, sondern die Über-
mittlung eines Auszugs aus dem IT-Tool fordern.
Bei internationalen Konzernen ist in praktischer Hinsicht außerdem die
Sprachenfrage zu berücksichtigen. Da die DSGVO nicht regelt, in welcher
Sprache die Dokumentationspflichten zu erfüllen sind (insbesondere in wel-
cher Sprache das Verzeichnis der Verarbeitungstätigkeiten zu führen ist),
sollte mit den zuständigen ausländischen Datenschutzbehörden vorab ge-
klärt werden, ob eine englischsprachige Dokumentation ausreichend ist. An-
dernfalls sollte das IT-Tool eine mehrsprachige Dokumentation unterstüt-
zen.
12
Verlag Österreich
Schritt 6: Informationen über alle Datenverarbeitungsprozesse

erheben
Um das Verzeichnis der Verarbeitungstätigkeiten erstellen (siehe Schritt 7)
und die Rechtmäßigkeit der Verarbeitungstätigkeiten beurteilen zu können
(siehe Schritt 8), sollten über jede Verarbeitungstätigkeit folgende Informa-
tionen erhoben werden:
Variante 1: Das Unternehmen ist hinsichtlich einer Verarbeitungstätigkeit

Verantwortlicher (dh entscheidet selbst über die Datenverarbeitung)
> Entscheidet das Unternehmen alleine über Mittel und Zwecke der Da-
tenverarbeitung oder werden diese Entscheidungen gemeinsam mit an-
deren Unternehmen getroffen? (dh gibt es gemeinsam Verantwortliche?)
> Welche Datenkategorien werden verarbeitet?

> Zu welchen Zwecken erfolgt die Verarbeitung?
> Werden Auftragsverarbeiter eingesetzt? Wenn ja:
· Wie lauten Name und Anschrift der Auftragsverarbeiter?
· In welchem Land werden die Daten verarbeitet?
· Eine Kopie des mit dem Auftragsverarbeiter geschlossenen Vertrags
· Soweit Sub-Auftragsverarbeiter eingesetzt werden:
- Wie lauten Namen und Anschrift der Sub-Auftragsverarbeiter?
- In welchem Land werden die Daten verarbeitet?
> Werden Daten an andere Verantwortliche übermittelt? Wenn ja:
· Wie lauten Name und Anschrift der anderen Verantwortlichen?
· Welche Datenkategorien werden an die anderen Verantwortlichen
übermittelt?
· Zu welchen Zwecken werden die Daten übermittelt?
· Eine Kopie des allenfalls mit den anderen Verantwortlichen abge-
schlossenen Vertrages
> Erfolgt die Verarbeitung auf Grundlage einer Einwilligung der Betroffe-
nen? Wenn ja:
· Eine Kopie des Musters der Einwilligungserklärung
> Eine Kopie der Datenschutzmitteilung, soweit bereits vorhanden
> Durch welche technischen und organisatorischen Sicherheitsmaßnah-
men werden die Daten geschützt?
Variante 2: Das Unternehmen ist hinsichtlich einer Verarbeitungstätigkeit

Auftragsverarbeiter (dh verarbeitet die Daten im Auftrag eines Dritten)
> In wessen Auftrag erfolgt die Datenverarbeitung (dh wer ist Verantwort-
licher)?
13
Verlag Österreich
> Welche Kategorien von Verarbeitungen werden für welche Verantwort-

lichen durchgeführt?
> Werden Sub-Auftragsverarbeiter eingesetzt? Wenn ja:
· Wie lauten Name und Anschrift der Sub-Auftragsverarbeiter?
· In welchem Land werden die Daten verarbeitet?
· Eine Kopie des mit dem Auftragsverarbeiter geschlossenen Ver-
trags
> Durch welche technischen und organisatorischen Sicherheitsmaßnah-
men werden die Daten geschützt?
Die oben genannten Informationen sollten separat für jede Verarbeitungstä-
tigkeit (zB separat für das CRM-System und das SCM-System) erhoben
werden.
Schritt 7: Verzeichnis der Verarbeitungstätigkeiten erstellen

Das Verzeichnis der Verarbeitungstätigkeiten zu erstellen, ist nicht nur eine
Rechtspflicht (Art 30 DSGVO). Dies ist auch notwendig, um überhaupt
sinnvoll die Rechtmäßigkeit der durchgeführten Datenverarbeitungen zu
prüfen (siehe Schritt 8 unten).
Soweit sich das Unternehmen im Rahmen seiner Datenschutzstrategie dazu
entschieden hat, aus personenbezogenen Daten auch einen wirtschaftlichen
Wert erzielen zu wollen (vgl Schritt 4 oben), ist die Erstellung des Verzeich-
nisses der Verarbeitungstätigkeiten auch eine exzellente Gelegenheit, die
„Datenschätze“ des Unternehmens zu ermitteln.
Die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten
trifft im Ergebnis auch Unternehmen mit weniger als 250 Mitarbeitern (sie-
he Frage 14).
Der Mindestinhalt des Verzeichnisses der Verarbeitungstätigkeiten ist in
Frage 15 dargestellt. Dort findet sich auch ein Muster für das Verzeich-
nis.
Schritt 8: Rechtmäßigkeit der Verarbeitungstätigkeiten absichern

Um sicherzugehen, dass eine konkrete Verarbeitungstätigkeit, wie sie in
Schritt 7 dokumentiert wurde, nach der DSGVO zulässig ist, müssen – zu-
sätzlich zu den allgemeinen Grundsätzen der Datenverarbeitung (siehe
Schritt 4) – eine Reihe von Voraussetzungen erfüllt werden. Diese werden
im Folgenden dargestellt:
14
Verlag Österreich
A. Rechtsgrundlage für die Verarbeitung identifizieren

Nach der DSGVO gilt, dass für jede Datenverarbeitung eine Rechtsgrund-
lage erforderlich ist. Mit anderen Worten: Jede Datenverarbeitung ist verbo-
ten, außer sie ist erlaubt.
In Betracht kommende Rechtsgrundlagen für die Verarbeitung nicht-sen-
sibler Daten sind (zum Begriff „sensible Daten“ siehe das Datenschutzwör-
terbuch am Ende dieses Buches):
> die schlüssige oder ausdrückliche Einwilligung des Betroffenen – da
eine Einwilligung nur wirksam ist, wenn sie „frei“ abgegeben wird (was
im Arbeitsverhältnis meist problematisch ist – siehe Frage 68) und außer-
dem jederzeit widerrufen werden kann, ist sie nicht immer die beste Lö-
sung, um die Rechtmäßigkeit abzusichern;

> die Erforderlichkeit für die Erfüllung eines Vertrages, der mit dem Be-
troffenen geschlossen wurde, oder für die Durchführung vorvertragli-
cher Maßnahmen, die auf Anfrage des Betroffenen erfolgen – zB die Ver-
arbeitung der Lieferanschrift, um dem Kunden die bestellte Ware zuzu-
senden und so den mit ihm geschlossenen Kaufvertrag zu erfüllen oder
die Verarbeitung von Bewerberdaten im Rahmen einer Stellenausschrei-
bung;
> die Erforderlichkeit für die Erfüllung einer gesetzlichen Verpflichtung
des Verantwortlichen – zB die Übermittlung von Gehaltsdaten der Mit-
arbeiter an den Sozialversicherungsträger in Erfüllung sozialversiche-
rungsrechtlicher Pflichten;
> die Erforderlichkeit zum Schutz lebenswichtiger Interessen des Betrof-
fenen oder eines Dritten – zB die Erhebung der Blutgruppe eines Schwer-
verletzten, der bewusstlos in die Notaufnahme eingeliefert wurde;
außerhalb des medizinischen Bereichs hat diese Rechtsgrundlage kaum
Bedeutung;
> die Erforderlichkeit für eine Aufgabe, die im öffentlichen Interesse
liegt oder in Ausübung öffentlicher Gewalt erfolgt – diese Rechts-
grundlage ist primär für Behörden relevant;
> überwiegende berechtigte Interessen des Verantwortlichen oder eines
Dritten. Diese Rechtsgrundlage hat in der Praxis einen sehr breiten An-
wendungsbereich, setzt aber voraus, dass die Datenverarbeitung im De-
tail geprüft und die widerstreitenden Interessen gegeneinander abgewo-
gen werden – so hat der Arbeitgeber beispielsweise ein überwiegendes
berechtigtes Interesse, den beruflichen E-Mail-Verkehr automatisch auf
Viren und andere Schadsoftware zu prüfen (vgl Frage 69), aber kein
überwiegendes berechtigtes Interesse, eine Whistleblowing-Hotline zur
15
Verlag Österreich
anonymen Meldung von Verletzungen der Kleidervorschrift einzurich-

ten (vgl Frage 81). Insbesondere für die Verarbeitung der Mitarbeiterda-
ten ist in der Praxis das überwiegende berechtigte Interesse die wichtigs-
te Rechtsgrundlage. Diese Rechtsgrundlage kann allerdings nicht für den
Bereich der Hoheitsverwaltung herangezogen werden.
Für sensible Daten sind diese Rechtsgrundlagen noch weiter eingeschränkt.
Insbesondere ist ein überwiegendes berechtigtes Interesse keine ausreichen-
de Rechtsgrundlage für die Verarbeitung sensibler Daten. Die in Betracht
kommenden Rechtsgrundlagen sind:
> eine ausdrückliche Einwilligung des Betroffenen;
> Notwendigkeit der Datenverarbeitung für die Ausübung von Rechten
oder die Erfüllung von Pflichten im Bereich des Arbeits- und Sozial-
rechts (zB Erfassung der Krankheitstage);

> Ermächtigung durch eine Betriebsvereinbarung oder einen Kollektiv-
vertrag;
> lebenswichtige Interessen des Betroffenen, ohne dass die betroffene
Person ihre Einwilligung erteilen kann;
> Mitgliederverwaltung durch politisch, weltanschaulich, religiös oder ge-
werkschaftlich ausgerichtete Organisationen ohne Gewinnerzielungs-
absicht;
> die sensiblen Daten wurden vom Betroffenen selbst veröffentlicht (zB
auf Facebook);
> die sensiblen Daten sind zur Rechtsverteidigung oder Rechtsdurchset-
zung erforderlich; oder
> eine Rechtsgrundlage im nationalen Recht, insbesondere im Bereich des
Gesundheits- oder Sozialwesens (zB das Standesrecht der Ärzte).
Abhängig von der in Betracht kommenden Rechtsgrundlage und dem
Zweck der Datenverarbeitung wird sich auch eine Beschränkung der Spei-
cherdauer ergeben. Sollen beispielsweise – gestützt auf ein überwiegendes
berechtigtes Interesse – die Daten von erfolglosen Bewerbern von der Per-
sonalabteilung aufbewahrt werden, um Ansprüche wegen behaupteter Dis-
kriminierung im Rahmen des Bewerbungsverfahrens abwehren zu können,
wäre eine Speicherung nur für bis zu sechs Monate zulässig, weil derartige
Ansprüche nach dem Gleichbehandlungsgesetz nach sechs Monaten verjäh-
ren.
Schließlich ist darauf hinzuweisen, dass auch jede Datenübermittlung von
einem Verantwortlichen an einen anderen Verantwortlichen eine Rechts-
grundlage voraussetzt. Werden beispielsweise Mitarbeiterdaten zwischen
16
Verlag Österreich
Konzerngesellschaften übermittelt, so erfordert dies eine separate Rechts-

grundlage – typischerweise das überwiegende berechtigte Interesse des Ar-
beitgebers.
B. Auftragsverarbeitervereinbarungen mit Dienstleistern abschließen

Es muss sichergestellt werden, dass das Unternehmen in seiner Rolle als
Verantwortlicher mit jedem Auftragsverarbeiter (Dienstleister) eine Auf-
tragsverarbeitervereinbarung abschließt, die den Anforderungen der
DSGVO entspricht. Unter Frage 70 ist ein Muster einer solchen Vereinba-
rung abgedruckt. Dieses kann verwendet werden, wenn der Auftragsverar-
beiter seinen Sitz nicht in einem unsicheren Drittland hat; Anderenfalls
müssen Standardvertragsklauseln zur Anwendung kommen (siehe Zwi-
schenschritt C unten).
C. Internationale Datenübermittlungen absichern

Sobald personenbezogene Daten ins Ausland übermittelt werden, verlieren
sie potentiell den Schutz des inländischen Rechts. Die DSGVO sieht daher
für internationale Datenübermittlungen Sonderregelungen vor. Hierbei un-
terscheidet die DSGVO wie folgt:
> Mitgliedstaaten der EU oder des EWR (dh die derzeit 28 EU-Mitglied-
staaten plus Island, Liechtenstein und Norwegen): Ein Datenexport in
diese Länder unterliegt keinen zusätzlichen Beschränkungen, da die
DSGVO gleichermaßen in diesen Ländern gilt.
> Länder, die keine Mitgliedstaaten der EU bzw des EWR sind aber nach
einem sog Angemessenheitsbeschluss der Europäischen Kommission ein
angemessenes Datenschutzniveau bieten, werden datenschutzrechtlich
so behandelt, als ob sie EU/EWR-Mitgliedstaaten wären. Es gelten daher
keine zusätzlichen Beschränkungen. Dies gilt derzeit (Stand Okto-
ber 2017) für: Andorra, Argentinien, Kanada, die Schweiz, die Färöer
Inseln, Guernsey, Israel, die Isle of Man, die Insel Jersey, Neuseeland,
Uruguay und die USA soweit das US-Unternehmen über eine Privacy-
Shield-Zertifizierung verfügt (siehe https://www.privacyshield.gov/list).
> Länder, die keine EU/EWR-Mitgliedstaaten sind und kein angemesse-
nes Datenschutzniveau bieten (unsichere Drittländer): Datenübermitt-
lungen in diese Länder sind nur zulässig, wenn eine Ausnahmeregelung
erfüllt ist. Soweit für die Unternehmenspraxis relevant, kommen folgen-
de Ausnahmeregelungen in Betracht:
· Zwischen dem europäischen Unternehmen und dem Übermittlungs-
empfänger im Drittland wurden sog Standardvertragsklauseln ab-
geschlossen. Es handelt sich hierbei um Vertragsmuster, die von der
17
Verlag Österreich
Europäischen Kommission veröffentlicht wurden. Es stehen zwei

Arten von Vertragsmustern zur Verfügung: (1) Standardvertragsklau-
seln für Datenübermittlungen von einem Verantwortlichen an einen
Auftragsverarbeiter und (2) Standardvertragsklauseln für einen Ver-
antwortlichen an einen anderen Verantwortlichen (siehe http://ec.
europa.eu/‌‌justice/‌‌data-protection/‌international-transfers/‌‌transfer/
‌index‌_‌‌en.htm). In der Praxis sind Standardvertragsklauseln die häu-
figste Lösung zur Absicherung von Datenübermittlungen in unsiche-
re Drittländer.
· Konzerninterne Datenübermittlungen in unsichere Drittländer kön-
nen alternativ durch sog Binding Corporate Rules (BCR) abgesi-
chert werden. Diese müssen allerdings behördlich genehmigt werden
und sind daher eine relativ unattraktive Lösung. Bisher hat sich kein
österreichischer Konzern für BCR entschieden.

· Der Betroffene hat ausdrücklich in die Übermittlung in das unsichere
Drittland eingewilligt – dies ist selten eine praktikable Lösung, zu-
mal die Einwilligung jederzeit widerrufen werden kann.
· Die Übermittlung ist für den Abschluss oder die Erfüllung eines
Vertrages erforderlich, der mit dem Betroffenen oder zumindest in
seinem Interesse geschlossen wurde – zB die Übermittlung der Lie-
feradresse eines Kunden an die türkische Post, um einem türkischen
Online-Kunden das von ihm bestellte Paket liefern zu können.
· Die Übermittlung ist zur Rechtsdurchsetzung oder Rechtsvertei-
digung notwendig – zB die Übermittlung von E-Mails österreichi-
scher Mitarbeiter als Beweismittel an ein US-Gericht in einem in den
USA gegen das Unternehmen geführten Zivilprozess.
In der Praxis kommen fast immer Standardvertragsklauseln zum Einsatz,
wenn personenbezogene Daten in unsichere Drittländer übermittelt werden
sollen. Zu den notwendigen Anpassungen der Standardvertragsklauseln an
die DSGVO siehe Frage 74.
D. Datenschutzmitteilungen an Betroffene korrekt gestalten

Eine weitere Voraussetzung für die Rechtmäßigkeit der Verarbeitung ist,
dass die Betroffenen über die Datenverarbeitung informiert werden. Die
DSGVO sieht folgende Punkte vor, die in einer Datenschutzmitteilung ent-
halten sein müssen:
> der Name bzw der Firmenwortlaut und die Kontaktdaten (zumindest
Anschrift und E-Mail-Adresse) des Verantwortlichen;
> die Kontaktdaten des Datenschutzbeauftragten (zumindest eine
E-Mail-Adresse);
18
Verlag Österreich
> die Verarbeitungszwecke – in praktischer Hinsicht empfiehlt sich, die

jeweilige Geschäftsabteilung, welche die Daten verarbeitet, um eine Be-
schreibung der Geschäftsprozesse zu bitten, die durch die Datenverar-
beitung unterstützt werden; dies ist meist eine gute Beschreibung der
Verarbeitungszwecke;
> sofern die Daten bei der betroffenen Person erhoben werden (zB Ausfül-
len eines Formulars):
· ob die Bereitstellung der Daten durch die betroffene Person erfor-
derlich oder verpflichtend ist und welche Folgen die Nichtbereit-
stellung hätte (zB: „Es steht Ihnen frei, Ihre personenbezogenen Da-
ten mit diesem Bestellformular bereitzustellen. Tun Sie dies nicht,
werden wir Ihre Bestellung allerdings nicht bearbeiten können.“);
> sofern die Daten nicht bei der betroffenen Person erhoben werden (zB
automatische Datenerhebung beim Besuch einer Website):
· die Kategorien der personenbezogenen Daten (zB „Ihre IP-Adres-
se, Name und Version Ihres Webbrowsers, ein Ihren Webbrowser
identifizierendes Cookie und welche Seiten Sie auf unserer Website
besuchen“) und
· soweit verfügbar: die Quelle, aus der die personenbezogenen Daten
stammen und ob es sich um eine öffentlich zugängliche Quelle han-
delt (zB „Diese Daten übermittelt uns Ihr Webbrowser beim Aufruf
unserer Website“);
> die Rechtsgrundlage der Datenverarbeitung (siehe Zwischenschritt A
oben) und abhängig von der Rechtsgrundlage folgende weitere Informa-
tionen:
· soweit die Verarbeitung auf Grundlage der Einwilligung der betroffe-
nen Person erfolgt: das Bestehen des Rechts, die Einwilligung jeder-
zeit zu widerrufen, sowie der Hinweis, dass durch den Widerruf der
Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis
zum Widerruf erfolgten Verarbeitung nicht berührt wird;
· soweit die Verarbeitung auf Grundlage eines überwiegenden berech-
tigten Interesses erfolgt: die Bezeichnung dieses überwiegenden be-
rechtigten Interesses – dies wird praktisch gesehen häufig dem Ver-
arbeitungszweck entsprechen;
> die Empfänger oder Kategorien von Empfängern (Verantwortliche
ebenso wie Auftragsverarbeiter; zB „alle Konzerngesellschaften des Un-
ternehmens“ oder „IT-Dienstleister“);
> Im Falle von Übermittlungen an Verantwortliche oder Auftragsverarbei-
ter in einem Nicht-EU/EWR-Staat: ob ein Angemessenheitsbeschluss
der Europäischen Kommission für das Drittland vorliegt und im Fall,
dass ein solcher nicht vorliegt, ein Verweis auf die Garantien, welche die
19
Verlag Österreich
Übermittlung rechtfertigen (zB abgeschlossene Standardvertragsklau-

seln) und wie eine Kopie der Garantien zu erhalten ist (zB eine E-Mail-
Adresse oder eine URL, unter welcher die abgeschlossenen Standardver-
tragsklauseln abrufbar sind);
> die Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die
Festlegung dieser Dauer (zB „für drei Jahre ab Beendigung des Dienst-
verhältnisses“ oder „bis zum Ablauf gesetzlicher Aufbewahrungsfris-
ten“);
> das Bestehen der Betroffenenrechte auf Auskunft, Berichtigung, Lö-
schung, Einschränkung der Verarbeitung, Widerspruch, Datenübertrag-
barkeit und Einbringung einer Beschwerde bei der Datenschutzbehörde
(eine detaillierte Beschreibung dieser gesetzlichen Rechte ist nicht erfor-
derlich) und
> soweit eine automatisierte Entscheidungsfindung einschließlich Profi-
ling erfolgt, welche gegenüber den Betroffenen rechtliche Wirkung ent-
faltet oder sie in ähnlicher Weise erheblich beeinträchtigt: Der Umstand,
dass eine derartige Verarbeitung erfolgt, Informationen über die invol-
vierte Entscheidungslogik sowie die Tragweite und die angestrebten
Auswirkungen der Entscheidung.
Ein Muster einer Datenschutzmitteilung ist bei Frage 31 abgedruckt.
E. Angemessene Sicherheitsmaßnahmen implementieren

Jeder Verantwortliche und jeder Auftragsverarbeiter hat risikoangemessene
Sicherheitsmaßnahmen zu implementieren, um die Vertraulichkeit, Integri-
tät und Verfügbarkeit personenbezogener Daten sicherzustellen. Unterneh-
men sollten darauf achten, die Sicherheit personenbezogener Daten nicht
nur als ein Problem der „IT-Sicherheit“ zu behandeln, da dies vernachlässi-
gen würde, dass personenbezogene Daten auch dann zu schützen sind,
wenn sie gerade nicht in elektronischer Form vorliegen (zB das gesprochene
Wort bei einem Telefonat in der U-Bahn). Angemessene Sicherheitsmaß-
nahmen umfassen daher nicht nur technische Maßnahmen (zB eine Firewall),
sondern auch administrative Maßnahmen (zB Schulungen oder eine Inci-
dent Response Policy) und physische Maßnahmen (zB eine Sicherheitstür;
siehe Frage 89). Weiterführende Hinweise zum Thema Datensicherheit bie-
ten die Antworten auf die Fragen 86 ff.
F. Betriebsvereinbarungen abschließen

Wenn in einem Betrieb ein Betriebsrat eingerichtet ist, muss bei jeder Verar-
beitung von Mitarbeiterdaten geprüft werden, ob eine Betriebsvereinbarung
erforderlich ist – siehe hierzu ausführlich Frage 62.
20
Verlag Österreich
Wird keine Betriebsvereinbarung abgeschlossen, obwohl dies arbeitsrecht-

lich erforderlich ist, so hat dies zur Folge, dass der Zweck der Datenverar-
beitung nicht legitim ist und daher auch eine Datenschutzverletzung vor-
liegt. Fehlende Betriebsvereinbarungen begründen daher das Risiko einer
Geldbuße nach der DSGVO (siehe Frage 64).
Enthält eine Betriebsvereinbarung bereits alle Informationen, die eine Da-
tenschutzmitteilung enthalten müsste (siehe Zwischenschritt C oben), ist
eine separate Datenschutzmitteilung an die Betroffenen nicht mehr erfor-
derlich, weil Betriebsvereinbarungen ohnedies für alle Mitarbeiter zugäng-
lich gemacht werden müssen (§ 30 Abs 1 Arbeitsverfassungsgesetz).
Schritt 9: Datenschutz-Folgenabschätzungen durchführen

Der Verantwortliche hat für eine Datenverarbeitungstätigkeit dann eine

Datenschutz-Folgenabschätzung (auch „Privacy Impact Assessment“)
durchzuführen, wenn die Datenverarbeitungstätigkeit voraussichtlich ein
hohes Risiko für die Betroffenen begründet.
Ein solches hohes Risiko ist grundsätzlich in folgenden Fällen gegeben (sie-
he im Detail Frage 23 f):
> es erfolgt eine systematische und umfassende Bewertung persönlicher
Aspekte natürlicher Personen (Profiling), welche als Grundlage für Ent-
scheidungen dient, die Rechtswirkungen gegenüber natürlichen Perso-
nen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
> es kommt zu einer umfangreichen Verarbeitung sensibler oder straf-
rechtlich relevanter Daten (zB die Verarbeitung von Patientendaten
durch einen IT-Dienstleister eines Krankenhauses, nicht hingegen die
Verarbeitung von Patienten- bzw Mandantendaten durch einen einzel-
nen Arzt oder Rechtsanwalt);
> es wird eine systematische umfangreiche Überwachung öffentlich zu-
gänglicher Bereiche vorgenommen (zB Einsatz einer großen Anzahl
von elektronischen Videoüberwachungskameras) oder
> die Art der Verarbeitung findet sich auf einer von der Datenschutzbe-
hörde veröffentlichten „schwarzen Liste“ – diese gibt es derzeit (Stand
Oktober 2017) nicht, allerdings ist zu erwarten, dass insbesondere
Whistleblowing-Hotlines auf der schwarzen Liste stehen werden.
Eine Anleitung zur Durchführung einer Datenschutz-Folgenabschätzung
einschließlich eines Musters findet sich in Frage 26.
Kommt die Datenschutz-Folgenabschätzung zum Ergebnis, dass trotz im-
plementierter Risikominderungsmaßnahmen ein hohes Risiko für die Be-
21
Verlag Österreich
troffenen verbleibt, ist vorab eine Konsultation mit der Datenschutzbehör-

de durchzuführen (siehe Frage 30).
Schritt 10: Datenschutzrelevante Unternehmensrichtlinien

erstellen
Die Einhaltung der DSGVO erfordert es auch, organisatorische Maßnah-
men in Form von Unternehmensrichtlinien zur Gewährleistung des Daten-
schutzes zu treffen. Derartige Richtlinien können grundsätzlich in Form
einer arbeitsrechtlichen Weisung erlassen werden (zB durch eine E-Mail an
alle Mitarbeiter). Eine Zustimmung der Mitarbeiter ist daher grundsätzlich
nicht erforderlich.
Neben einer Unternehmensrichtlinie zur Datenschutzstrategie (siehe

Schritt 4) sollte ein Unternehmen jedenfalls folgende Richtlinien erlassen:
> Eine Richtlinie zur Informationssicherheit: Zweckmäßigerweise sollte
die Sicherheit personenbezogener Daten nicht getrennt von der Sicher-
heit anderer für das Unternehmen relevanter Daten (zB Geschäftsge-
heimnisse) geregelt werden. Weiters sollte die Frage der Sicherheit nicht
auf „IT-Sicherheit“ beschränkt werden, sondern es sollten Informatio-
nen unabhängig vom Informationsträger geschützt werden (vgl Schritt 8,
Zwischenschritt E). Einige zentrale technische Aspekte einer Informati-
onssicherheits-Richtlinie (die in der Praxis teilweise auch in separate, un-
tergeordnete Richtlinien ausgegliedert werden) sind:
· Incident Response: Es sollte klar geregelt sein, wie bei einem Zwi-
schenfall (Incident) vorzugehen ist, wer wen zu kontaktieren hat und
wer kritische Entscheidungen im Ernstfall trifft (zB ob ein gehackter
Server offline zu nehmen ist). Incident Response-Prozesse sind häu-
fig in folgende Phasen gegliedert: (1) Vorbereitung, (2) Erkennung,
(3) Eindämmung, (4) Beseitigung, (5) Wiederherstellung und (6) Fol-
low-Up. In diesen Prozess sollte die Erfüllung der Notifikations-
pflichten gegenüber der Datenschutzbehörde und den Betroffenen
(siehe Frage 92) integriert werden.
· Sicherheitsupdates: Die meisten Systeme können dadurch kompro-
mittiert werden, dass eine seit längerem bekannte Sicherheitslücke
ausgenützt wird, die auf dem System nie durch die Installation der
entsprechenden Sicherheitsupdates geschlossen wurde. Wie schnell
welche Arten von Sicherheitsupdates zu installieren sind, sollte daher
in einer Unternehmensrichtlinie geregelt sein. Am einfachsten kann
man hierbei auf die vom Softwarehersteller vorgenommene Einstu-
fung des Sicherheitsupdates abstellen (zB „Alle Microsoft-Updates,
22
Verlag Österreich
die von Microsoft als ‚critical‘ eingestuft wurden, sind binnen 3 Ka-
lendertagen zu installieren.“). Größere Organisationen sollten auch
auf das Common Vulnerability Scoring System (CVSS) zurückgrei-
fen, welches insbesondere für die National Vulnerability Database
des U.S. National Institute of Standards and Technology (NIST) ein-
gesetzt wird (siehe auch Frage 90).
· Passwörter: Die Erfahrung zeigt, dass Nutzer regelmäßig sehr
schlechte (dh leicht erratbare) Passwörter wählen. Eine Unterneh-
mensrichtlinie sollte daher regeln, welche Passwortkomplexität für
welche Arten von Systemen erforderlich ist und zudem vorsehen,
dass die vorgeschriebene Passwortkomplexität nach Möglichkeit
auch automatisch geprüft wird, sodass Nutzer schlechte Passwörter
gar nicht wählen können.
· Verschlüsselung: Eine Richtlinie zur Verschlüsselung sollte vorse-

hen, dass personenbezogene Daten über öffentliche Netze grund-
sätzlich nur verschlüsselt übertragen werden dürfen. Konkret bedeu-
tet dies, dass Webserver, die den Zugang zu personenbezogenen Da-
ten ermöglichen, das Protokoll HTTPS verwenden sollten und Mail-
Server so konfiguriert werden sollten, dass sie mit anderen Mail-Ser-
vern verschlüsselt kommunizieren können. Eine Richtlinie zur Ver-
schlüsselung sollte außerdem vorsehen, dass die Datenspeicher von
mobilen Endgeräten zu verschlüsseln sind – dies ist zB beim Betriebs-
system Windows über die Funktionalität BitLocker leicht möglich
und kann von der IT-Abteilung zentral gesteuert werden.
> Eine Richtlinie zur Nutzung der Unternehmens-IT sollte erlassen
werden, um eine klare Trennung zwischen der beruflichen und der pri-
vaten Sphäre der Mitarbeiter vorzunehmen. Der einfachste Ansatz be-
steht darin, den Mitarbeitern zu untersagen, (1) die Unternehmens-IT zu
privaten Zwecken zu verwenden und (2) private Endgeräte oder Online-
Accounts (zB einen privaten E-Mail-Account) für berufliche Zwecke zu
verwenden. Eine derart strikte Trennung hat den Vorteil, dass das Unter-
nehmen davon ausgehen darf, dass die auf der Unternehmens-IT gespei-
cherten Daten nicht der Privatsphäre der Mitarbeiter zuzurechnen sind
und daher zB die beruflichen E-Mails eines Mitarbeiters keine potentiell
sensiblen Daten (Korrespondenz mit seinem Arzt oder seiner Geliebten)
enthalten. Ist eine solche strikte Trennung nicht möglich, sollten die Mit-
arbeiter zumindest angewiesen werden, zu privaten Zwecken erzeugte
Daten (zB private E-Mails) entsprechend zu kennzeichnen oder nur in
speziell benannten Ordnern abzulegen.
23
Verlag Österreich
Schritt 11: Konzept für unternehmensinterne Informationsmaß-

nahmen und Schulungen erstellen
Jedes Unternehmen sollte ein Konzept dafür entwickeln, wie die Mitarbei-
ter des Unternehmens fortlaufend über relevante Datenschutzthemen infor-
miert und im erforderlichen Maß geschult werden.
Bei der Entwicklung dieses Konzepts sollte besonderes Augenmerk darauf
gelegt werden, dass mit den Informations- und Schulungsmaßnahmen die
richtigen Mitarbeiter angesprochen werden. Welche Mitarbeiter als Ziel-
gruppe identifiziert werden, hängt maßgeblich von den vom Unternehmen
definierten Zielen des Datenschutzmanagements ab (vgl Schritt 4). Im All-
gemeinen werden jedoch Mitarbeiter aus den Bereichen HR, IT und Ver-
kauf zu den primären Zielgruppen zählen.
Die Informationsmaßnahmen können insbesondere dazu dienen, den Mit-

arbeitern die bereits in Schulungen vermittelten Handlungsanweisungen
wieder in Erinnerung zu rufen („Awareness Raising“). Dauer und Frequenz
der Schulungen sollten sich an den Zielen des Datenschutzmanagements
und dem gewählten Compliance-Ansatz orientieren.
Schritt 12: Datenschutz im täglichen Betrieb aufrechterhalten

Den größten Fehler, den ein Unternehmen bei der Umsetzung der DSGVO
begehen kann, ist es, die Umsetzung als einmaligen Kraftakt zu sehen. Dies
würde dazu führen, dass erhebliche Ressourcen investiert werden, ohne je-
doch nachhaltig die DSGVO-Compliance zu erhöhen.
Folgende Punkte sind essentiell, um den Datenschutz im täglichen Betrieb
aufrechtzuerhalten:
> Fortlaufende Management-Unterstützung sichern: Eine ungebroche-
ne Unterstützung aus dem Management ist eine unabdingbare Voraus-
setzung, um DSGVO-Compliance im täglichen Betrieb sicherzustellen.
Hierzu zählt auch ein fortlaufendes Datenschutz-Budget sowie die Zu-
teilung der erforderlichen Ressourcen.
> Audits durchführen: Die DSGVO sieht zwingend vor, dass Audits
durchgeführt werden, um die Effektivität der DSGVO-Compliance zu
überprüfen. Diese Audits müssen nicht sehr umfangreich sein und kön-
nen sich auch auf stichprobenartige Prüfungen beschränken. Unterneh-
men sollten jedenfalls nicht den Fehler begehen, den Großteil ihres Da-
tenschutz-Budgets für Audits auszugeben, die lediglich Compliance-
Defizite aufzeigen. Denn für die Entwicklung und Implementierung von
Compliance-Lösungen verbleibt dann zu wenig Budget.
24
Verlag Österreich
> Schulungen abhalten: Das in Schritt 11 entwickelte Informations- und

Schulungskonzept muss in die Praxis umgesetzt werden. Die Teilnahme
an den Schulungen sollte dokumentiert und der Erfolg der Schulungs-
und Informationsmaßnahmen im Idealfall auch gemessen werden (zB
durch kleine Tests am Ende einer Schulung).
> Auf Zwischenfälle reagieren: Wenn es tatsächlich zu einer Datensicher-
heitsverletzung kommt, muss das Unternehmen den entwickelten Inci-
dent-Response-Prozess ausführen (siehe Schritt 10 oben) und allenfalls
die Datenschutzbehörde oder sogar die Betroffenen informieren (siehe
Frage 92).
> Anfragen von Betroffenen beantworten: Wenn Betroffene ihre Rechte
(zB das Recht auf Auskunft) gegenüber einem Unternehmen geltend
machen, hat das Unternehmen diese Anfragen grundsätzlich innerhalb
eines Monats zu beantworten. Das Unternehmen sollte daher einen ent-

sprechenden Prozess implementieren, der sicherstellt, dass Anfragen von
Betroffenen erfasst, mit einer Deadline versehen und rechtzeitig beant-
wortet werden. Hierzu kann gehören, die einzelnen Fachabteilungen
durch eine Unternehmensrichtlinie zur Mitwirkung zu verpflichten.
> Neue Verarbeitungstätigkeiten erfassen: Die bestehenden Verarbei-
tungstätigkeiten in einem Verzeichnis zu erfassen (Schritt 7), ihre Recht-
mäßigkeit zu prüfen (Schritt 8) und für sie gegebenenfalls eine Daten-
schutz-Folgenabschätzung durchzuführen (Schritt 9) ist von wenig
Wert, wenn neue Verarbeitungstätigkeiten oder Änderungen bestehen-
der Verarbeitungstätigkeiten gänzlich ignoriert werden. Es ist daher es-
sentiell, dass auch neue bzw modifizierte Verarbeitungstätigkeiten die
Schritte 7 bis 9 durchlaufen. Dies setzt insbesondere voraus, dass der
Datenschutzmanager bzw -beauftragte von allen Geschäftsabteilungen
eingebunden wird, wenn sie neue Verarbeitungstätigkeiten oder Verän-
derungen bestehender Verarbeitungstätigkeiten planen und implemen-
tieren.
> An das Management berichten: In regelmäßigen Abständen sollte dem
Management über den Stand des DSGVO-Compliance-Programms ein-
schließlich der Vorhaben im nächsten Berichtszeitraum sowie aktuelle
rechtliche Entwicklungen berichtet werden. Eine solche regelmäßige Be-
richterstattung ist häufig eine Voraussetzung für die fortlaufende Unter-
stützung des Managements (siehe bereits oben).
25
Verlag Österreich
Verlag Österreich
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Verlag Österreich
A. Der Datenschutzbeauftragte
1. Wann muss eine Organisation einen Datenschutzbeauftragten

bestellen?
Behörden und öffentliche Stellen müssen immer einen Datenschutzbeauf-

tragten bestellen (siehe Frage 2).
Unternehmen müssen nur dann einen Datenschutzbeauftragten bestellen,
wenn ihre Kerntätigkeit aus (i) der umfangreichen regelmäßigen und syste-
matischen Überwachung von Personen oder (ii) der umfangreichen Ver-
arbeitung sensibler Daten oder strafrechtlich relevanter Daten besteht
(Art 37 Abs 1 DSGVO; siehe das Wörterbuch am Ende des Buches zu den
Begriffen „sensible Daten“ und „strafrechtlich relevante Daten“). Dies gilt
sowohl für Verantwortliche als auch für Auftragsverarbeiter, wobei die Fra-
ge, ob ein Datenschutzbeauftragter zu bestellen ist, für einen Verantwortli-
chen und seine allfälligen Auftragsverarbeiter unabhängig zu beurteilen ist.
Einen Datenschutzbeauftragten müssen daher zB bestellen:
> ein Detektivbüro (Überwachung als Kerntätigkeit);
> ein Online-Werbenetzwerk, welches das Online-Verhalten von Nut-
zern nicht nur auf einer, sondern auf unzähligen Websites protokolliert
(Überwachung als Kerntätigkeit);
> ein Krankenhaus (umfangreiche Verarbeitung sensibler Daten als Kern-
tätigkeit – so zumindest die wohl überwiegende Ansicht);
> ein IT-Dienstleister, der Kunden im Gesundheitssektor hat (umfang-
reiche Verarbeitung sensibler Daten als Kerntätigkeit) oder
> ein Unternehmen, das sich auf die Durchführung von Background
Checks spezialisiert hat (umfangreiche Verarbeitung strafrechtlich rele-
vanter Daten als Kerntätigkeit).
Keinen Datenschutzbeauftragten benötigen hingegen zB:
> Unternehmen, die sensible Daten nur von Arbeitnehmern und nur im
gesetzlich zwingenden Umfang verarbeiten – dh Krankheitstage, Ge-
29
Verlag Österreich
werkschaftszugehörigkeit (zur Abführung des Gewerkschaftsbeitrages

auf Wunsch der Betroffenen), evangelisches Religionsbekenntnis (zur
Abwesenheitsverwaltung am Karfreitag nach § 7 Arbeitsruhegesetz) und
Grad der Behinderung gemäß Behinderteneinstellungsgesetz (die Verar-
beitung der sensiblen Daten ist nicht umfangreich);
> Unternehmen, die zum Schutz ihres Eigentums eine Videoüberwa-
chungsanlage betreiben (die Videoüberwachung ist wohl keine Kerntä-
tigkeit des Unternehmens) oder
> Ein einzelner Arzt oder Rechtsanwalt (ihre Verarbeitung sensibler bzw
strafrechtlich relevanter Daten gilt gemäß Erwägungsgrund 91 Satz 4
DSGVO nicht als „umfangreich“).
In der Praxis wirft insbesondere die Frage, was unter der „Kerntätigkeit“
eines Unternehmens zu verstehen ist, Probleme auf. Die Artikel-29-Daten-

schutzgruppe vertritt den Standpunkt, dass alle Tätigkeiten, die notwendig
sind, um die Unternehmensziele zu erreichen, zur Kerntätigkeit des Unter-
nehmens zählen (Guidelines on Data Protection Officers, WP 243rev.01,
Seite 7, verfügbar unter http://ec.europa.eu/‌newsroom/‌document.cfm?doc_
id=‌44100). Da in einem betriebswirtschaftlich geführten Unternehmen aber
alle Tätigkeiten der Erreichung der Unternehmensziele dienen sollten, wür-
de eine derart extensive Interpretation dem Begriff der Kerntätigkeit jegli-
che Bedeutung nehmen. Darüber hinaus geht sie auch über den Wortlaut der
DSGVO hinaus, wonach sich die Kerntätigkeit eines Unternehmens „auf
seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener
Daten als Nebentätigkeit“ bezieht (Erwägungsgrund 97). Unter Nebentä-
tigkeiten wird man wohl alle Tätigkeiten verstehen können, deren Ergebnis-
se nicht am Markt angeboten werden (zB Vertrieb, Logistik, Rechtsab
teilung, Buchhaltung, Personalwesen; vgl die Beschreibung der Eurostat
von „Core business functions“ gegenüber „Support business functions“
unter http://ec.europa.eu/‌eurostat/‌statistics-explained/‌index.php/Glossary:
Business_functions).
Ist ein Datenschutzbeauftragter zwingend zu bestellen, muss dies vor dem
25. Mai 2018 erfolgen. Eine frühere Bestellung ist freilich möglich und auch
ratsam: Mit Geltungsbeginn der DSGVO muss das DSGVO-Compliance-
Programm bereits am Laufen sein, in dem auch der Rolle des Datenschutz-
beauftragten wesentliche Bedeutung zukommt. Eine praktisch bedeutende
Voraussetzung für die effektive Wahrnehmung dieser Rolle ist auch die or-
ganisationsinterne Bekanntheit der als Datenschutzbeauftragter bestellten
Person. Sie muss immerhin frühzeitig in alle Vorhaben und Fragen mit Da-
tenschutzbezug eingebunden werden und soll die Organisation in Daten-
schutzangelegenheiten beraten. Dafür muss den verantwortlichen Mitarbei-
30
Verlag Österreich
Der Datenschutzbeauftragte
tern die Existenz und Funktion dieser Rolle bekannt sein, was gefördert
wird, wenn Datenschutz in der Organisation „ein Gesicht hat“.
Durch eine Bestellung vor dem 25. Mai 2018 ist es der bestellten Person
möglich, sich bis zu diesem Datum in der Rolle als Datenschutzbeauftragter
zu etablieren und für eine entsprechende Bekanntheit innerhalb der Organi-
sation zu sorgen.
2. Wann ist eine Organisation eine „Behörde oder öffentliche

Stelle“ und muss aus diesem Grund einen Datenschutz
beauftragten bestellen?
Nach der DSGVO muss jede Behörde oder öffentliche Stelle einen Daten-
schutzbeauftragten bestellen (Art 37 Abs 1 lit a DSGVO). Hierunter wer-

den unseres Erachtens zumindest zu verstehen sein:
> die Gebietskörperschaften (Bund, Länder, Gemeinden);
> gesetzliche nicht-territoriale Selbstverwaltungskörperschaften – dh
Sozialversicherungsträger, Kammern und gesetzliche Interessensvertre-
tungen, wie die Österreichische Hochschülerschaft;
> Anstalten öffentlichen Rechts, wie die E-Control oder die Statistik
Austria;
> sonstige juristische Personen des öffentlichen Rechts, wie insbesondere
öffentliche Universitäten (§ 4 Universitätsgesetz 2002) und
> Durch Gesetz eingerichtete juristische Personen des Privatrechts, die
mit der Vollziehung von Gesetzen betraut sind (zB die Rundfunk und
Telekom Regulierungs-GmbH).
Da die DSGVO den Begriff der öffentlichen Stelle nicht definiert, ist insbe-
sondere strittig, ob von der öffentlichen Hand gehaltene oder finanzierte
Unternehmen als öffentliche Stellen anzusehen sind.
Hierbei ist zu berücksichtigen, dass eine Qualifikation als Behörde oder öf-
fentliche Stelle auch bedeutet, dass über die fragliche Einrichtung keine Geld-
buße verhängt werden kann (Art 83 Abs 7 DSGVO iVm § 30 Abs 5 DSG).
Würde man daher den Begriff der Behörde bzw der öffentlichen Stelle weit
auslegen, hätte dies zur Folge, dass öffentlich gehaltene oder finanzierte
Unternehmen, die auf dem Markt tätig sind und am Wettbewerb teilneh-
men, durch die Befreiung von Geldbußen einen unfairen Wettbewerbsvor-
teil erlangen würden. Dies würde jedoch dem Ziel der DSGVO widerspre-
chen, Wettbewerbsverzerrungen zu verhindern (vgl Erwägungsgrund 9
DSGVO).
31
Verlag Österreich
3. Welche Stellung hat der Datenschutzbeauftragte in der

Organisation?
Nach der DSGVO ist die Stellung des Datenschutzbeauftragten gekenn-
zeichnet durch:
> Weisungsfreiheit: Dem Datenschutzbeauftragten dürfen in dieser Rolle
keinerlei Weisungen erteilt werden (Art 38 Abs 3 DSGVO). Das betrifft
insbesondere die Frage, wie Beratungs- und Prüfpflichten wahrgenom-
men werden, wie bestimmte Sachverhalte datenschutzrechtlich zu beur-
teilen sind, welche Empfehlungen mit welchem Inhalt ausgesprochen
werden und welchen Inhalt der Bericht an die Organisationsleitung auf-
weist.
Zu beachten ist dabei, dass sich diese Weisungsfreiheit nur auf solche
Aufgaben erstreckt, die dem Datenschutzbeauftragten nach der DSGVO

zwingend zugewiesen sind (siehe Frage 4). Nimmt der Datenschutzbe-
auftragte daneben auch noch andere Aufgaben wahr, die gemäß DSGVO
eigentlich in der Verantwortung des Verantwortlichen bzw Auftragsver-
arbeiters liegen (zB die Führung des Verarbeitungsverzeichnisses, die
Meldung von Sicherheitsverletzungen an die Datenschutzbehörde oder
die Beantwortung von Anfragen von Betroffenen), besteht für diese Auf-
gaben keine zwingende Weisungsfreiheit.
> Abberufungs- und Benachteiligungsschutz: Der Datenschutzbeauf-
tragte darf allein wegen der Erfüllung seiner Aufgaben (siehe Frage 4)
nicht abberufen oder benachteiligt werden (siehe Frage 6).
> Berichterstattung an die (oberste) Organisationsleitung: Der Daten-
schutzbeauftragte berichtet unmittelbar an die höchste Managementebe-
ne, dh an den Geschäftsführer einer GmbH oder den Vorstand einer AG
(Art 38 Abs 3 DSGVO). Damit das Management seine datenschutzrecht-
liche Verantwortung (siehe Frage 95) wahrnehmen kann, muss es über die
datenschutzrechtliche Situation in seiner Organisation informiert sein
(zB über bestehende Risiken, aktuelle Geschehnisse, Projektvorhaben,
Schulungs-, Beratungs- und Kontrolltätigkeiten des Datenschutzbeauf-
tragten samt entsprechender Ergebnisse). Dafür ist dem Management
vom Datenschutzbeauftragten in regelmäßigen Abständen (in der Regel
mindestens einmal jährlich) ein Datenschutzbericht vorzulegen.
Dieser Bericht ist vom Datenschutzbeauftragten zu verfassen (allenfalls
unter Mitarbeit weiterer Fachkräfte der Organisation). Durch die direk-
te Berichterstattung ist sichergestellt, dass der Datenschutzbericht voll-
ständig und unverändert an die oberste Leitung gelangt, weil derartige
Berichte auch Informationen über Compliance-Verstöße beinhalten
können und damit Unannehmlichkeiten für andere Personen in der Or-
ganisationshierarchie nicht ausgeschlossen sind.
32
Verlag Österreich
> Ausreichende zeitliche Ressourcen: Es muss sichergestellt sein, dass der

Datenschutzbeauftragte über genügend zeitliche Ressourcen verfügt, um
seine Aufgaben (siehe Frage 4) in der erforderlichen Qualität und Effek-
tivität wahrnehmen zu können.
> Kein Interessenkonflikt: Der Datenschutzbeauftragte darf neben dieser
Tätigkeit grundsätzlich auch weitere Aufgaben wahrnehmen. Dabei
muss jedoch sichergestellt sein, dass diese weiteren Tätigkeiten zu kei-
nem Interessenkonflikt führen (siehe dazu auch Frage 8).
4. Welche Pflichten hat der Datenschutzbeauftragte?

Der Datenschutzbeauftragte hat zwingend folgende Aufgaben und Pflich-
ten (Art 39 DSGVO):
> Information und Schulung: Der Datenschutzbeauftragte hat die Mitar-

beiter, die Verarbeitungen durchführen, über ihre datenschutzrechtli-
chen Pflichten zu informieren und entsprechend zu schulen.
Schulungen sollten sich nicht nur auf bloß allgemeine Informationen
über die DSGVO beschränken, sondern die Mitarbeiter auch über die
entsprechende organisationsinterne Umsetzung informieren. Dies wird
regelmäßig die Schulung von Dienstanweisungen oder Geheimhaltungs-
erklärungen mit Datenschutzbezug oder das Datensicherheitskonzept
umfassen. Die Schulungsvorhaben sollten vom Datenschutzbeauftragten
in einem Schulungskonzept erfasst werden, das Teil des Datenschutzbe-
richts an die Organisationsleitung sein sollte. Die Teilnahme an solchen
Schulungen sollte nachweislich dokumentiert werden, um den Über-
blick zu behalten, welche Personen innerhalb der Organisation bereits
entsprechend geschult wurden und wo noch Nachbesserungsbedarf be-
steht.
> Beratung: Der Datenschutzbeauftragte berät die Organisation in kon-
kreten Fragen des Datenschutzrechts. Diese Pflicht wird insbesondere
bei neuen Projektvorhaben oder im Zuge von Kontrollmaßnahmen zum
Tragen kommen, um die Rechtskonformität der Verarbeitungen sicher-
zustellen (Art 25 DSGVO).
> Überwachung der DSGVO-Compliance: Der Datenschutzbeauftragte
hat die Organisation auf die Einhaltung aller datenschutzrechtlichen
Vorgaben zu kontrollieren und allenfalls Anpassungsbedarf aufzuzeigen.
Wichtig in diesem Zusammenhang ist, dass der Datenschutzbeauftragte
im Rahmen dieser Kontrollfunktion lediglich auf die Einhaltung des Da-
tenschutzrechts hinwirken muss; er ist aber nicht persönlich für die tat-
sächliche Einhaltung verantwortlich. Diese Verantwortung ist und bleibt
bei der Organisation als Verantwortlicher bzw Auftragsverarbeiter.
33
Verlag Österreich
Neben den einzelnen Verarbeitungen umfasst die Kontrollpflicht des

Datenschutzbeauftragten auch das Datenschutz-Compliance-Programm
in seiner Gesamtheit. Dies betrifft insbesondere die Zuweisung von (da-
tenschutzrechtlichen) Zuständigkeiten, die Sensibilisierung und die
Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter.
> Beratung bei Datenschutz-Folgenabschätzungen: Der Datenschutz-
beauftragte berät die Organisation bei der Durchführung von Daten-
schutz-Folgenabschätzungen (vgl Frage 27). Eine solche Beratung ist
explizit nur „auf Anfrage“ zu erteilen, wodurch klargestellt ist, dass der
Datenschutzbeauftragte nicht für die Folgenabschätzung als solche ver-
antwortlich ist. Diese Verantwortung liegt vielmehr beim Verantwortli-
chen (Art 35 Abs 2 DSGVO).
Nichtsdestotrotz ist der Datenschutzbeauftragte aber dafür verantwort-
lich, die tatsächliche Umsetzung und Anwendung der im Zuge einer

Datenschutz-Folgenabschätzung erarbeiteten risikoreduzierenden Maß-
nahmen zu überwachen (zur Überwachungspflicht siehe bereits oben).
> Zusammenarbeit mit der Aufsichtsbehörde: Der Datenschutzbeauf-
tragte ist verpflichtet, mit der Datenschutzbehörde zusammenzuarbeiten
und sie bei ihrer Tätigkeit zu unterstützen (zB im Rahmen eines Konsul-
tationsverfahrens; Art 36 Abs 3 lit d DSGVO). Diese Bestimmung gibt
dem Datenschutzbeauftragten die Möglichkeit, sich jederzeit mit der
Datenschutzbehörde in Fragen des Datenschutzrechts in Verbindung zu
setzen, ohne auf die Zustimmung des Verantwortlichen bzw Auftrags-
verarbeiters angewiesen zu sein.
> Anlaufstelle für die Datenschutzbehörde: Der Datenschutzbeauftragte
hat als Anlaufstelle für die Datenschutzbehörde zu fungieren. Zu diesem
Zweck müssen der Datenschutzbehörde die Kontaktdaten (nicht aber
der Name) des Datenschutzbeauftragten bekanntgegeben werden
(Art 37 Abs 7 DSGVO; zB per E-Mail an dsb@dsb.gv.at), um ihr eine
einfache Kontaktaufnahme zu ermöglichen. Möchte die Datenschutzbe-
hörde mit einer Organisation Kontakt aufnehmen, steht ihr aufgrund
dieser Regelung eine kompetente Kontaktperson zur Verfügung, ohne
sich erst über die Vermittlung zu der mit Datenschutz beauftragten Per-
son durchfragen zu müssen.
> Verschwiegenheitspflicht: Der Datenschutzbeauftragte ist gegenüber
Dritten zur Geheimhaltung verpflichtet (Art 38 Abs 5 DSGVO iVm § 5
Abs 1 DSG). Ungeachtet der Tatsache, dass die Verschwiegenheitspflicht
nicht gegenüber der Datenschutzbehörde gilt (so ausdrücklich die Ge-
setzesmaterialien), ist der DSGVO nicht zu entnehmen, dass der Daten-
schutzbeauftragte die Aufgabe hätte, gegenüber der Datenschutzbehör-
de als Whistleblower zu fungieren.
34
Verlag Österreich
Hat der Datenschutzbeauftragte ein Compliance-Defizit identifiziert, so

hat er vielmehr innerhalb der Organisation auf die Beseitigung dieses
Defizits hinwirken. Kann auf diese Weise keine Abhilfe geschaffen wer-
den, muss letztendlich die Leitung der Organisation informiert werden,
die ihn bestellt hat. Denn diese trägt schlussendlich auch die rechtliche
Verantwortung für die Einhaltung der DSGVO (vgl Frage 95).
Keine Aufgabe des Datenschutzbeauftragten ist es hingegen, die Betroffe-
nen zu beraten oder gar zu vertreten (bei der Formulierung in Art 38 Abs 4
DSGVO, wonach die Betroffenen den Datenschutzbeauftragten „zu Rate
ziehen“ können, handelt es sich um einen Übersetzungsfehler – richtiger-
weise heißt es „kontaktieren“). Der Datenschutzbeauftragte ist daher kein
„Anwalt der Betroffenen“. Sich als solcher zu verhalten und zum Nachteil
des Unternehmens zu agieren, könnte sogar eine Verletzung seines Dienst-

vertrags darstellen und eine Haftung begründen (vgl auch Frage 5).
5. Welches Haftungsrisiko hat der Datenschutzbeauftragte?

Geldbußen können über den Datenschutzbeauftragten nicht verhängt wer-
den. Bei Verletzung seiner Pflichten (siehe Frage 4) kann er jedoch aus dem
zivilrechtlichen Vertrag, den er mit dem Verantwortlichen bzw Auftragsver-
arbeiter geschlossen hat, gegenüber diesem haften.
Der Datenschutzbeauftragte ist ausschließlich ein Beratungs- und Kontroll-
organ (Art 39 Abs 1 lit a und b DSGVO). Die Verantwortung für die Ein-
haltung aller datenschutzrechtlichen Vorgaben liegt hingegen beim Verant-
wortlichen (Art 24 DSGVO). Bußgelder können daher nur über die Orga-
nisation und allenfalls nach verwaltungsstrafrechtlichen Grundsätzen über
die vertretungsbefugten Organe der Organisation verhängt werden (siehe
Fragen 95 und 97).
Das verwaltungsstrafrechtliche Risiko können die vertretungsbefugten Or-
gane der Organisation auch nicht auf den Datenschutzbeauftragten abwäl-
zen. Denn den Datenschutzbeauftragten zum verantwortlichen Beauftrag-
ten nach § 9 VStG zu bestellen (vgl Frage 95), würde für diesen zu einem
unzulässigen Interessenskonflikt führen (er wäre unter Umständen geneigt,
Compliance-Defizite zu verheimlichen anstatt hierüber an das Management
zu berichten; vgl Frage 3).
Der Datenschutzbeauftragte kann jedoch gegenüber der Organisation, die
ihn bestellt hat, nach zivilrechtlichen Grundsätzen haften, wenn der Orga-
nisation durch eine schuldhafte Pflichtverletzung des Datenschutzbeauf-
tragten ein Schaden entstanden ist. Zu denken ist dabei an Fälle, in denen
Betroffene erfolgreich Schadenersatzansprüche gegenüber der Organisation
35
Verlag Österreich
geltend gemacht haben oder eine Verwaltungsstrafe über die Organisation

verhängt wurde. Beim Umfang der Haftung ist zu differenzieren, ob es sich
um einen internen oder externen Datenschutzbeauftragten handelt:
> Haftung eines internen Datenschutzbeauftragten: Ein interner (ange-
stellter) Datenschutzbeauftragter haftet nach dem Dienstnehmerhaft-
pflichtgesetz (DHG) nur eingeschränkt. Abhängig vom Grad des Ver-
schuldens des Datenschutzbeauftragten kann das Gericht den zu erset-
zenden Betrag wie folgt mäßigen:
· bei Vorsatz: Keine Mäßigung – volle Ersatzpflicht;
· bei grober Fahrlässigkeit: Mäßigung möglich aber kein gänzlicher Er-
lass;
· bei leichter Fahrlässigkeit: (weitgehende) Mäßigung oder gänzlicher
Erlass möglich;
· bei entschuldbarer Fehlleistung (sehr leichter Fahrlässigkeit): kein
Schadenersatz.
> Haftung eines externen Datenschutzbeauftragten: Ein externer Da-
tenschutzbeauftragter haftet gegenüber der Organisation ohne gesetzli-
che Haftungsbeschränkung.
In beiden Fällen ist es jedoch möglich, die Haftung des Datenschutzbeauf-
tragten vertraglich zu beschränken. Abhängig von der Höhe des Entgelts
des Datenschutzbeauftragten wäre eine Beschränkung der Haftung auf zB
das dreifache Monatsentgelt denkbar. Auch der Ausschluss der Haftung für
leichte Fahrlässigkeit wäre aus Sicht des Datenschutzbeauftragten zu erwä-
gen.
6. Genießt ein Datenschutzbeauftragter Kündigungsschutz?

Ja, der Datenschutzbeauftragte darf wegen der Erfüllung seiner Aufgaben
(siehe Frage 4) weder gekündigt, abberufen noch auf sonstige Weise benach-
teiligt werden.
Die deutsche Sprachfassung der DSGVO spricht zwar nur von einem Ver-
bot, den Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben
„abzuberufen“ (Art 38 Abs 3 DSGVO). Hierbei handelt es sich aber um
einen Fehler bei der Übersetzung aus dem Englischen, wo der Begriff „dis-
miss“ (kündigen) verwendet wird.
Es ist der Beratungs- und Kontrolltätigkeit des Datenschutzbeauftragten
immanent, dass die Ergebnisse seiner Arbeit beim Verantwortlichen bzw
Auftragsverarbeiter nicht immer auf Gegenliebe stoßen werden. Das ist
aber genau der Sinn und Zweck dieser Rolle, um ein datenschutzrechtliches
Vier-Augen-Prinzip zu realisieren.
36
Verlag Österreich
Der Datenschutzbeauftragte muss laufend kontrollieren, ob in der Organi-

sation alle datenschutzgesetzlichen Anforderungen erfüllt werden. Findet
der Datenschutzbeauftragte Defizite, muss er diese den zuständigen Füh-
rungskräften in der jeweiligen Fachabteilung kommunizieren und allenfalls
eine Frist zur Behebung dieser Defizite setzen. Zudem muss er laufend der
obersten Organisationsleitung berichten. Verstoßen bestimmte Vorhaben
gegen datenschutzrechtliche Bestimmungen, muss sich der Datenschutzbe-
auftragte zwangsläufig dagegen aussprechen, was ihm den Ruf des „Verhin-
derers“ einbringen könnte. Nimmt der Datenschutzbeauftragte seine Rolle
ernst und deckt laufend datenschutzrechtliche Defizite in der Organisation
auf, besteht das Risiko, dass dieser Eifer bei der Organisation nicht in be-
sonderem Maße auf Wohlwollen stößt und sich dadurch das Bestreben ent-
wickelt, sich dieses Datenschutzbeauftragten möglichst rasch wieder zu ent-
ledigen.
Genau vor dieser Konsequenz möchte die DSGVO den Datenschutzbeauf-
tragten aber schützen, um ihm eine unvoreingenommene und unbeeinflusste
Tätigkeit zu ermöglichen. Daher kann der Datenschutzbeauftragte aufgrund
einer ordnungsgemäßen Erfüllung seiner Pflichten nicht gekündigt oder
abberufen werden. Freilich hindert diese Bestimmung die Organisationslei-
tung aber nicht daran, den Datenschutzbeauftragten nach regulärem Ablauf
seiner Funktionsperiode nicht wieder zu bestellen (vgl Frage 11).
Der Datenschutzbeauftragte kann selbstverständlich aber dann abberufen
werden, wenn er seine Aufgaben nach der DSGVO nicht ordnungsge-
mäß erfüllt. Dabei kommt es nicht darauf an, ob der Datenschutzbeauftrag-
te nicht willens oder nicht fähig ist, die Anforderungen an diese Rolle zu
erfüllen. Unterlässt der Datenschutzbeauftragte seine Beratungs-, Schu-
lungs- und Kontrollpflichten (Art 39 Abs 1 und 2 DSGVO) oder steht er
der Datenschutzbehörde (Art 39 Abs 1 lit d DSGVO) oder den Betroffenen
(Art 38 Abs 4 DSGVO) nicht hinreichend als Anlaufstelle zur Verfügung,
ist eine Abbestellung möglich. Eine ordnungsgemäße Erfüllung kann bei-
spielsweise auch dadurch gefährdet sein, dass der Datenschutzbeauftragte
seinen regelmäßigen Weiterbildungspflichten nicht nachkommt (Art 37
Abs 5 DSGVO) und daher seine Eignung als Datenschutzbeauftragter ver-
liert. Eine Abberufung wird aber auch dann möglich sein, wenn den Daten-
schutzbeauftragten kein Verschulden daran trifft, dass er seine Eignung für
die Erfüllung dieser Rolle verliert. Beispielsweise könnte der Datenschutz-
beauftragte unverschuldet länger abwesend sein (zB durch Krankheit oder
Unfall) und daher als Datenschutzbeauftragter nicht zur Verfügung stehen.
In solchen Fällen muss die Organisation sehr wohl die Möglichkeit haben,
eine andere Person zum Datenschutzbeauftragten zu bestellen, weil die Ab-
berufung in solchen Fällen nicht wegen der Erfüllung, sondern gerade der
37
Verlag Österreich
Nicht-Erfüllung seiner Aufgaben erfolgt. Umso mehr wird eine Kündigung

oder Abberufung möglich sein, wenn der Datenschutzbeauftragte schwere
Dienstpflichtverletzungen oder gar Straftaten gegen die Organisation be-
geht.
Das Verbot der Benachteiligung schützt den Datenschutzbeauftragten im
Übrigen vor allen für ihn negativen Folgen aufgrund der ordnungsgemäßen
Erfüllung seiner Pflichten nach der DSGVO. Dabei ist jede Art sozialer
oder wirtschaftlicher Nachteile von Bedeutung und nicht nur eine unge-
rechtfertigte Kündigung: Übergehen bei Beförderungen, Gehaltserhöhun-
gen, Bonuszahlungen oder Sonderleistungen (zB Weihnachtsgutscheine),
Ausschluss von Betriebsveranstaltungen, Zuteilung eines signifikant
schlechteren Bürozimmers, etc. In der Praxis wird freilich der Beweis oft-
mals nicht einfach sein, dass eine tatsächliche (und nicht bloß subjektiv
wahrgenommene) Schlechterstellung aufgrund der Wahrnehmung der Rolle
des Datenschutzbeauftragten erfolgt.
7. Welche Ausbildung und Fähigkeiten muss ein Datenschutz

beauftragter haben?
Zum Datenschutzbeauftragten darf nur bestellt werden, wer über die ent-
sprechende berufliche Qualifikation und das erforderliche Fachwissen im
Bereich des Datenschutzrechts und der Datenschutzpraxis verfügt (Art 37
Abs 5 DSGVO).
Die notwendige Qualifikation der zu bestellenden Person orientiert sich an
der Größe der Organisation sowie an der Risikogeneigtheit der von der Or-
ganisation vorgenommenen Datenverarbeitung. Die Anforderungen an die
Qualifikation eines Datenschutzbeauftragten in einer kleinen Organisation
mit nur wenigen, sehr einfachen und risikoarmen Verarbeitungen ist daher
bedeutend geringer, als in einem multinationalen Konzern mit einer Vielzahl
von Verarbeitungen und internationalen Datentransfers.
Der Datenschutzbeauftragte muss jedenfalls über folgende Qualifikationen
verfügen:
> Fachwissen im Datenschutzrecht: Der Datenschutzbeauftragte muss
die für seine Tätigkeit erforderlichen Kenntnisse auf dem Gebiet des Da-
tenschutzrechts haben, muss aber nicht notwendigerweise ein Jurist sein
oder über einen Hochschulabschluss verfügen. Um die Kenntnisse des
Datenschutzbeauftragten objektivieren zu können, empfiehlt sich zB
eine Zertifizierung als Certified Information Privacy Professional/
Europe (CIPP/E) durch die International Association of Privacy Profes-
sionals (IAPP).
38
Verlag Österreich
> Fachwissen in der Datenschutzpraxis: Die DSGVO fordert weiters

Fachwissen auf dem Gebiet der Datenschutzpraxis. Für manche Organi-
sationen werden vielleicht praktische Übungen im Rahmen einer theore-
tischen Ausbildung ausreichend sein, für andere (komplexe) Organisati-
onen nur eine mehrjährige Berufspraxis als Datenschutzbeauftragter.
Auch für diesen Bereich ist eine Zertifizierung zu erwägen, zB als Certi-
fied Information Privacy Manager (CIPM) durch die International As-
sociation of Privacy Professionals (IAPP).
Darüber hinaus können aber auch weitere Qualifikationen hilfreich sein:
> Technische Kenntnisse: Fundierte technische Kenntnisse im Bereich der
IT und IT-Sicherheit einschließlich Informationssicherheitsmanagement
erleichtern dem Datenschutzbeauftragten die Beurteilung der Angemes-
senheit von Datensicherheitsmaßnahmen (vgl Fragen 86 ff) sowie die

Kommunikation und Zusammenarbeit mit der IT-Abteilung oder tech-
nischen Experten.
> Organisatorische Kenntnisse: Insbesondere in größeren Organisatio-
nen müssen Zuständigkeiten und Prozesse detailliert erarbeitet und fest-
gelegt werden, um die Erfüllung aller Vorgaben der DSGVO organisati-
onsintern sicherzustellen (zB Prozess zur Behandlung neuer Vorhaben
mit Datenschutzbezug, Erstellung und Ablage der Verarbeitungsdoku-
mentation, Vorgehen im Fall einer Sicherheitsverletzung oder die Aus-
wahl und Beauftragung von Auftragsverarbeitern).
> Soziale Kompetenzen: Datenschutzbeauftragte sehen sich in der Praxis
nicht selten damit konfrontiert, ihre Beratungs- und Kontrolltätigkeit
bei den fachverantwortlichen Personen einfordern oder unpopuläre
Maßnahmen vorschlagen zu müssen. Schulungsmaßnahmen sollten an-
sprechend gestaltet werden und generell eine positive Datenschutzkultur
in der Organisation geschaffen werden. Gute rhetorische Fähigkeiten,
Konfliktmanagement, ein sicheres Auftreten, Durchsetzungsvermögen,
Seriosität und Integrität sind hierbei äußerst hilfreich.
> Audittechnik: Um seine Überwachungspflicht (siehe Frage 4) erfüllen
zu können, ist es für den Datenschutzbeauftragten hilfreich, Kenntnisse
im Bereich der Audittechnik zu haben.
Die Rolle des Datenschutzbeauftragten ist in Österreich neu und daher
müssen erst entsprechend qualifizierte Personen für diese Rolle ausgebildet
werden. Es wird daher in der Praxis öfters vorkommen, dass Personen be-
stellt werden müssen, die noch nicht in optimaler Weise über die erforderli-
chen Fachkenntnisse verfügen. In solchen Fällen muss dafür Sorge getragen
werden, dass solche Personen allfällige Defizite möglichst bald durch Aus-
und Weiterbildungen beseitigen.
39
Verlag Österreich
8. Kann ein Datenschutzbeauftragter auch andere Aufgaben

wahrnehmen oder in Teilzeit bestellt werden?
Ja, ein Datenschutzbeauftragter kann grundsätzlich sowohl zusätzliche
Aufgaben wahrnehmen als auch in Teilzeit beschäftigt sein.
Die DSGVO erlaubt neben einer Tätigkeit als Datenschutzbeauftragter
auch die Wahrnehmung anderer Aufgaben oder Funktionen (Art 38 Abs 6
DSGVO), sofern sie zu keinem Interessenkonflikt führen. Es spricht auch
nichts gegen die Bestellung einer Teilzeitkraft als Datenschutzbeauftragter.
In beiden Fällen muss aber sichergestellt sein, dass der Datenschutzbeauf-
tragte über genügend zeitliche Ressourcen verfügt, um seine Rolle auch
erfüllen zu können. Bei der Bemessung der erforderlichen zeitlichen Res-
sourcen muss insbesondere die Größe und Komplexität der Organisation,
der Umfang und die Komplexität der Verarbeitungen, der Schutzbedarf der
verarbeiteten Daten oder eine allfällige Verantwortlichkeit für mehrere Be-
hörden oder Unternehmen einer Gruppe (Art 37 Abs 2 und 3 DSGVO)
berücksichtigt werden. Ein kleines Detektivbüro stellt andere Anforderun-
gen an die Rolle des Datenschutzbeauftragten als ein multinationaler Kon-
zern.
Grundsätzlich liegt es in der Verantwortlichkeit der Organisationsleitung,
dass der Datenschutzbeauftragte über ausreichend zeitliche Ressourcen ver-
fügt (Art 38 Abs 2 DSGVO). Der Datenschutzbeauftragte sollte aber auch
von sich aus aktiv darauf hinwirken, ausreichend zeitliche Ressourcen zur
Verfügung zu haben. Kann ein mit weiteren Aufgaben betrauter Daten-
schutzbeauftragter aufgrund einer zu hohen Gesamtauslastung nicht mehr
alle seine Aufgaben wahrnehmen, gehen die Aufgaben als Datenschutzbe-
auftragter vor.
Ein externer Datenschutzbeauftragter ist freilich selbst dafür verantwort-
lich, für alle von ihm betreuten Organisationen die erforderlichen zeitlichen
Ressourcen zu haben. Allenfalls müsste er neue Aufträge ablehnen.
9. Kann der Leiter der IT-Abteilung als Datenschutzbeauftragter

bestellt werden?
Nein, der Leiter der IT-Abteilung kann nicht zum Datenschutzbeauftragten
bestellten werden, weil dies einen unzulässigen Interessenkonflikt darstellen
würde (Art 38 Abs 6 DSGVO).
Mit der Rolle des Datenschutzbeauftragten schafft die DSGVO ein Vier-
Augen-Prinzip, indem die Organisationsleitung für die Einhaltung aller
datenschutzgesetzlichen Vorgaben verantwortlich ist und der Datenschutz-
40
Verlag Österreich
beauftragte entsprechend berät und kontrolliert. Um die Effektivität dieses

Vier-Augen-Prinzips nicht zu konterkarieren, ist die Unabhängigkeit und
Unvoreingenommenheit des Datenschutzbeauftragten von wesentlicher
Bedeutung.
Der Datenschutzbeauftragte darf neben seiner Tätigkeit nach der DSGVO
daher keine Funktionen oder Aufgaben übernehmen, bei welchen er sich
selbst kontrollieren müsste oder über Zwecke oder Mittel von Verarbeitun-
gen entscheiden müsste. Letzteres obliegt nämlich ausschließlich dem Ver-
antwortlichen (möglicherweise delegiert an fachverantwortliche Personen
innerhalb der Organisation wie beispielsweise Abteilungsleiter). Würde der
Datenschutzbeauftragte Zwecke oder Mittel von Verarbeitungen selbst fest-
legen, müsste er sich diesbezüglich selbst kontrollieren, was das Vier-Au-
gen-Prinzip verletzen würde.

Aus den genannten Gründen werden insbesondere die folgenden Funktio-
nen nicht mit der Rolle des Datenschutzbeauftragten vereinbar sein:
> Leiter der Organisation (Geschäftsführer, Vorstand bzw Behörden-
leiter): Da die Verantwortung für die Erfüllung aller datenschutzrecht-
lichen Vorgaben bei der Organisationsleitung liegt, kann sie nicht
gleichzeitig auch die Rolle des Datenschutzbeauftragten als Beratungs-
und Kontrollorgan einnehmen. Zudem entscheidet die Organisations-
leitung originär über Zwecke und Mittel der Verarbeitung. Eine Selbst-
beratung bzw -kontrolle würde der Intention der DSGVO zuwider-
laufen.
> Abteilungsleiter: Ob der Leiter einer Abteilung der Organisation zum
Datenschutzbeauftragten bestellt werden kann, hängt von der Art und
den Aufgaben der Abteilung ab. Erhält die Abteilungsleitung (delegiert
von der Organisationsleitung) die Kompetenz, über die Einführung ei-
ner Verarbeitungstätigkeit in ihrer Abteilung (oder sogar in der ganzen
Organisation) oder über Zwecke und Mittel solcher Verarbeitungstätig-
keiten zu entscheiden, nimmt sie (delegiert) Aufgaben der Organisati-
onsleitung wahr. Sie entscheidet damit für den Verantwortlichen über
Zwecke und Mittel solcher Verarbeitungstätigkeiten. In diesen Fällen ist
die gleichzeitige Wahrnehmung der Rolle des Datenschutzbeauftragten
nicht möglich. Unvereinbar ist daher meist:
· Leitung der IT-Abteilung: IT-Abteilungen nehmen oftmals selbst
Verarbeitungen vor oder haben Entscheidungsbefugnisse in Bezug
auf Datensicherheitsmaßnahmen (zB Zugriffsberechtigungen, Zu-
griffsprotokollierung, Ticketsysteme oder die Aufbewahrungsdauer
von Backups). Sie entscheiden in solchen Fällen (mit) über Zwecke
und Mittel dieser Verarbeitungstätigkeiten und nehmen damit Funk-
41
Verlag Österreich
tionen des Verantwortlichen wahr, was zu einer Inkompatibilität mit

der Rolle des Datenschutzbeauftragten führt.
· Leitung der Personalabteilung: Die Personalabteilung entscheidet re-
gelmäßig über die Verarbeitung von Mitarbeiterdaten.
· Leitung der Marketingabteilung: Diese Abteilung entscheidet regel-
mäßig über die weitreichende Verarbeitung von Kunden- und Inter-
essentendaten.
Regelmäßig vereinbar mit der Rolle des Datenschutzbeauftragten sind hin-
gegen folgende Funktionen:
> die Leitung der Rechtsabteilung,
> die Leitung der Compliance-Abteilung,
> die Leitung der Innenrevision,
> die Leitung der Qualitätssicherungsabteilung oder

> die Tätigkeit als Betriebsrat (hiervon ist allerdings abzuraten, da dem Da-
tenschutzbeauftragten Zugang zu allen personenbezogenen Daten zu
gewähren ist (Art 37 Abs 2 DSGVO), was bei einem Mitglied des Be-
triebsrats nicht im Interesse des Unternehmens wäre und weit über die
gesetzlichen Auskunftsrechte des Betriebsrats hinausgehen würde; siehe
Frage 66).
10. Muss der Name des Datenschutzbeauftragten veröffentlicht

werden?
Nein, es müssen zwar die Kontaktdaten, aber nicht der Name des Daten-
schutzbeauftragten veröffentlicht werden – zB in der Datenschutzerklärung
auf der Website des Unternehmens.
Die DSGVO sieht vor, dass lediglich die Kontaktdaten des Datenschutzbe-
auftragten veröffentlicht (und an die Datenschutzbehörde gemeldet) wer-
den müssen (Art 37 Abs 7 DSGVO). Auch in der Datenschutzmitteilung
müssen nur die Kontaktdaten genannt werden (siehe Schritt 8, Zwischen-
schritt D des Umsetzungsplans), was zweckmäßig ist, da ansonsten bei je-
dem Wechsel des Datenschutzbeauftragten die Betroffenen erneut infor-
miert werden müssten.
Als Kontaktdaten sollte zumindest eine E-Mail-Adresse bekanntgegeben
werden, wobei eine generische Adresse (zB „datenschutz@organisation.at“)
ausreichend ist. Dadurch wird der Datenschutzbehörde und den Betroffe-
nen eine direkte Kontaktaufnahme mit dem Datenschutzbeauftragten er-
möglicht. Die Angabe einer Telefonnummer ist demgegenüber auch nach
Ansicht der Artikel-29-Datenschutzgruppe nicht zwingend.
42
Verlag Österreich
Die Veröffentlichung der Kontaktdaten muss in geeigneter Weise erfolgen,

sodass betroffene Personen diese Information leicht in Erfahrung bringen
können. Am einfachsten ist es, dies in der Datenschutzmitteilung für die
Website der Organisation zu erledigen. Denn eine solche Datenschutzmit-
teilung ist ohnedies verpflichtend (siehe Frage 46) und muss jedenfalls die
Kontaktdaten des Datenschutzbeauftragten enthalten.
11. Wie lange ist die Funktionsperiode eines Datenschutz

beauftragten?
Für die erstmalige Bestellung einer Person zum Datenschutzbeauftragten
wäre eine Funktionsperiode von zwei bis drei Jahren zu empfehlen. Bei ei-
ner Wiederbestellung kommt auch eine längere oder sogar unbefristete
Funktionsperiode in Betracht.
Die DSGVO macht keine explizite Vorgabe, wie lange die Funktionsperio-
de des Datenschutzbeauftragten sein muss. Eine Befristung macht allerdings
durchaus Sinn, um sich bei Bedarf ohne Konflikt vom Datenschutzbeauf-
tragten (in dieser Funktion) trennen zu können. Denn wenn zB die Qualität
der Beratungsleistung des Datenschutzbeauftragten nicht zufriedenstellend
ist, weil immer nur Probleme identifiziert aber niemals Lösungen vorge-
schlagen werden, wäre eine Kündigung bzw Abbestellung des Datenschutz-
beauftragten mit erheblichen Risiken verbunden (vgl Frage 6).
Andererseits sollte man sich nicht dem Vorwurf aussetzen, den Kündi-
gungsschutz des Datenschutzbeauftragten (siehe Frage 6) zu umgehen,
indem man die Funktionsperiode zu kurz bemisst.
Muss der Datenschutzbeauftragte immer damit rechnen, aufgrund seiner
Beratungstätigkeiten in unmittelbarer Folge nicht wieder bestellt zu wer-
den, wird er ihr nicht in der dafür erforderlichen Unabhängigkeit nachkom-
men können, was auch zum Nachteil der Organisation sein kann. Eine
praktisch sinnvolle Funktionsperiode bei einer erstmaligen Bestellung einer
Person zum Datenschutzbeauftragten wäre daher eine Dauer von zwei bis
drei Jahren. Hierdurch ist die Unabhängigkeit des Datenschutzbeauftragten
hinreichend gewährleistet, die Organisation aber nicht zu lange an den kon-
kreten Datenschutzbeauftragten gebunden. Bei einer Wiederbestellung ei-
nes bereits erprobten Datenschutzbeauftragten sind die Risiken für die Or-
ganisation geringer, weshalb auch eine längere Befristung (zB fünf Jahre)
oder eine unbefristete Bestellung in Betracht kommen.
43
Verlag Österreich
12. Kann auch ein Externer als Datenschutzbeauftragter

fungieren?
Ja, auch eine organisationsexterne Person kann als Datenschutzbeauftragter
bestellt werden.
Die DSGVO ermöglicht auch die Bestellung eines externen Datenschutzbe-
auftragten, womit ein für Österreich neues Berufsbild geschaffen wird. Sol-
che Datenschutzbeauftragte werden als freie Dienstnehmer aufgrund eines
Dienstvertrages oder als Werkvertragsnehmer tätig. Für sie gelten in daten-
schutzrechtlicher Hinsicht dieselben Anforderungen und Regelungen wie
für interne Datenschutzbeauftragte.
Bietet ein Unternehmen mit mehreren Mitarbeitern die Leistungen eines ex-
ternen Datenschutzbeauftragten am Markt an, muss klar geregelt und er-

sichtlich sein, welche dieser Personen die Anforderungen der DSGVO an
die Rolle eines Datenschutzbeauftragten erfüllen und daher als Daten-
schutzbeauftragte bestellt werden können. Freilich können externe Daten-
schutzbeauftragte auch Hilfskräfte einsetzen (zB ein Sekretariat), es muss
für Außenstehende aber immer klar erkennbar sein, welche Personen die
Rolle des (externen) Datenschutzbeauftragten ausüben und die dafür not-
wendigen Voraussetzungen erfüllen.
Es ist grundsätzlich auch denkbar, dass Unternehmen zum externen Da-
tenschutzbeauftragten bestellt werden. Sind mehrere Personen in der Rol-
le eines Datenschutzbeauftragten für Kunden des Unternehmens tätig, emp-
fiehlt sich die Zuweisung eines federführenden Datenschutzbeauftragten für
jede betreute Organisation, um die Verantwortlichkeiten eindeutig zu re-
geln. Es sollte für die Datenschutzbehörde und die Betroffenen immer klar
erkennbar sein, welche Person für welche Organisation hauptverantwort-
lich ist und mit wem sie diesbezüglich in Kontakt treten können.
13. Welche Vor- und Nachteile hat ein externer Datenschutz

beauftragter?
Ob ein externer Datenschutzbeauftragter eine bessere Wahl als ein interner
Datenschutzbeauftragter ist, hängt davon ab, wie eine Organisation die fol-
genden Faktoren für sich bewertet:
> der externe Datenschutzbeauftragte kann seine Rolle unvoreingenom-
men und unbeeinflusst von sozialen Einflüssen wahrnehmen;
> da der externe Datenschutzbeauftragte in der Regel für mehrere Organi-
sationen tätig ist, kann er auf einen breit gestreuten Erfahrungsschatz
(möglicherweise auch in unterschiedlichen Branchen) zurückgreifen;
44
Verlag Österreich
> er bringt bereits alle erforderlichen Kenntnisse und Fähigkeiten mit

und muss nicht mehr eingeschult werden;
> er bringt regelmäßig auch seine eigenen Betriebsmittel mit;
> die Kosten für seine Ausbildung, Ausstattung, Betriebsmittel und Lite-
ratur verteilen sich auf alle von ihm betreuten Organisationen und
müssen nicht wie im Fall einer internen Bestellung von der jeweiligen
Organisation alleine getragen werden;
> im Unterschied zu den Lohnkosten eines internen Datenschutzbeauf-
tragten sind die Kosten eines externen Datenschutzbeauftragten insbe-
sondere bei stundenweiser Verrechnung schwerer vorab zu kalkulieren
und zu budgetieren;
> er ist in die Organisation nur lose integriert, dort oft wenig bekannt und
wird daher unter Umständen seltener bei wichtigen Fragen eingebun-

den;
> er verfügt häufig nur über wenig Wissen über organisationspolitische
Fragen, die verwendeten IT-Systeme und die organisationsinternen Ent-
scheidungsprozesse, was die Effektivität seiner Tätigkeit erheblich min-
dern kann.
In manchen Organisationen wird sich die Frage der Bestellung eines inter-
nen oder externen Datenschutzbeauftragten schon aufgrund der faktischen
Gegebenheiten vielleicht gar nicht stellen: Für die Bestellung eines internen
Datenschutzbeauftragten muss eine geeignete Person gefunden werden, die
die Anforderungen der DSGVO hinsichtlich des erforderlichen Fachwis-
sens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis er-
füllt (siehe Frage 7).
Dass eine solche Person innerhalb der Organisation existiert, ist nicht selbst-
verständlich. Zudem wird sich vielleicht nicht in jeder Organisation eine
Person finden, die überhaupt bereit ist, die Rolle des Datenschutzbeauftrag-
ten zu übernehmen. Ist organisationsintern keine passende Person für eine
Bestellung zum Datenschutzbeauftragten verfügbar, bleibt der Organisati-
on praktisch nur die Bestellung eines externen Datenschutzbeauftragten.
45
Verlag Österreich
Verlag Österreich
B. Das Verzeichnis der Verarbeitungstätigkeiten
14. Ein Unternehmen hat weniger als 250 Mitarbeiter –

Muss trotzdem ein Verzeichnis der Verarbeitungstätigkeiten
geführt werden?
Ja – außer es handelt sich um einen Einzelunternehmer, der für seine Arbeit

weder einen Computer verwendet, noch eine Kunden- oder Lieferantenkar-
tei führt.
Die DSGVO sieht zwar eine Ausnahme von der Pflicht zur Führung eines
Verzeichnisses der Verarbeitungstätigkeiten für Unternehmen mit weni-
ger als 250 Mitarbeitern vor (Art 30 Abs 5 DSGVO). Diese Ausnahme ist
allerdings nur dann anwendbar, wenn folgende Voraussetzungen erfüllt sind:
> die Datenverarbeitungen des Unternehmens bergen keine Risiken für
Betroffene – dh es werden im Wesentlichen nur Daten verarbeitet, die
öffentlich verfügbar sind (zB Name, Adresse, Telefonnummer);
> eine Verarbeitung personenbezogener Daten erfolgt nur gelegentlich
(zB nur einmal in der Woche oder nur anlässlich der Ausstellung einer
Rechnung mittels Registrierkassa) und
> die Verarbeitung umfasst keine sensiblen Daten oder strafrechtlich re-
levanten Daten (eine reguläre Lohnverrechnung, in der Krankheitstage
oder Gewerkschaftszugehörigkeit erfasst sind, scheidet daher aus).
Bereits ein freiberuflicher Computergrafiker oder Programmierer hätte
Schwierigkeiten, die oben genannten Voraussetzungen zu erfüllen, da die
Kompromittierung des mit den Kunden geführten E-Mail-Verkehrs sehr
wohl ein Risiko für die Betroffenen (Kunden) darstellen könnte und außer-
dem fraglich wäre, ob die regelmäßige E-Mail-Kommunikation mit Kunden
noch die Voraussetzung der bloß „gelegentlichen“ Verarbeitung personen-
bezogener Daten erfüllt.
Zudem sind auch manuelle Dateisysteme (papierbasierte Datenverarbeitun-
gen) von den Regelungen der DSGVO umfasst, wenn die personenbezoge-
nen Daten einzelner Betroffener nach einem Suchkriterium zugänglich sind.
47
Verlag Österreich
Das trifft bei allen Kunden- oder Lieferantenkarteien oder sortierten Ak-
tenordnern zu. Dass ein Unternehmen keine Liste mit (zumindest bestimm-
ten umsatzstarken) Kunden führt, ist in der Praxis sehr selten.
Im Ergebnis werden daher nur Einzelunternehmer, die keinen Computer
für ihre Arbeit verwenden und keine Kunden- oder Lieferantenkartei füh-
ren (zB ein Tischler oder Schuster), von der Führung eines Verzeichnisses
der Verarbeitungstätigkeiten befreit sein.
15. Was muss im Verzeichnis der Verarbeitungstätigkeiten

jedenfalls dokumentiert werden?
Die DSGVO enthält eine Liste von Angaben, die im Verzeichnis der Verar-
beitungstätigkeiten für jede Verarbeitungstätigkeit (zB das Kundenbezie-

hungsmanagement oder die Personalverwaltung) dokumentiert werden
müssen.
Hierbei verlangt die DSGVO für Verarbeitungstätigkeiten, bei denen die
Organisation als Auftragsverarbeiter tätig ist (siehe hierzu Frage 16), we-
sentlich weniger Details, als bei Verarbeitungstätigkeiten, die die Organisa-
tion als Verantwortlicher durchführt.
Führt eine Organisation eine Verarbeitungstätigkeit als Verantwortlicher
durch (zB die Personalverwaltung der eigenen Mitarbeiter), ist Folgendes
zu dokumentieren (Art 30 Abs 1 DSGVO):
> Name und Kontaktdaten des Verantwortlichen;
> Wenn die Organisation nicht alleine über Mittel und Zwecke der Daten-
verarbeitung entscheidet, sondern gemeinsam mit anderen Organisatio-
nen (sog gemeinsam Verantwortliche): Name und Kontaktdaten der wei-
teren gemeinsam Verantwortlichen;
> Wenn der Verantwortliche nicht in der EU niedergelassen ist: Name und
Kontaktdaten des zwingend zu bestellenden Vertreters (vgl Art 27
DSGVO);
> Wenn ein Datenschutzbeauftragter bestellt ist: Name und Kontaktdaten
des Datenschutzbeauftragten;
> Zwecke der Verarbeitung: Die Zwecke jeder Verarbeitungstätigkeit
werden ausschließlich vom Verantwortlichen festgelegt. Die Zweckbe-
schreibung muss dabei so gewählt werden, dass sich ein unbeteiligter
Dritter leicht ein Bild machen kann, wofür Daten über die betroffenen
Personen verarbeitet werden;
> Beschreibung der Kategorien betroffener Personen (zB Angestellte
oder Kunden);
48
Verlag Österreich
Das Verzeichnis der Verarbeitungstätigkeiten
> Beschreibung der Kategorien personenbezogener Daten: eine abstrak-

te Beschreibung der einzelnen Datenkategorien (zB Name, Adresse, Ge-
burtsdatum);
> Beschreibung der Kategorien von Empfängern, gegenüber denen die
personenbezogenen Daten offengelegt werden: Im Verzeichnis müssen
nicht notwendigerweise individuell benannte Empfänger angegeben
werden, eine bloß generische Beschreibung der Empfängerkreise ist aus-
reichend (zB „alle Konzerngesellschaften“). Empfänger sind nicht nur
andere Verantwortliche, gegenüber denen Daten offengelegt werden,
sondern auch Auftragsverarbeiter (zB „IT-Dienstleister“);
> Wenn Übermittlungen von personenbezogenen Daten an Empfänger in
Drittländern außerhalb des EWR oder an internationale Organisatio-
nen stattfinden: die Namen der betreffenden Drittländer oder internati-
onalen Organisation;
> Aufbewahrungsfristen der verschiedenen Datenkategorien: wie lange
die Daten der einzelnen Datenkategorien aufbewahrt werden, bis sie ge-
löscht werden; ist eine exakte Angabe (zB „drei Jahre ab Beendigung des
Vertragsverhältnisses“) nicht möglich, können auch die Kriterien für die
Festlegung der Aufbewahrungsdauer genannt werden (zB „bis zum Ab-
lauf der gesetzlichen Aufbewahrungspflichten“);
> Allgemeine Beschreibung der implementierten technischen und organi-
satorischen Datensicherheitsmaßnahmen (wenn möglich): Dafür emp-
fiehlt sich die (einmalige) Ablage der Richtlinie zur Informationssicher-
heit (vgl Schritt 10 des Umsetzungsplans) im Verzeichnis der Verarbei-
tungstätigkeiten. Nur wenn für bestimmte Verarbeitungstätigkeiten spe-
zielle Datensicherheitsmaßnahmen implementiert wurden, sollten diese
individuell dokumentiert werden.
Die meisten dieser Informationen müssen in der Datenschutzmitteilung
auch gegenüber den Betroffenen offengelegt werden (siehe Schritt 8, Zwi-
schenschritt D des Umsetzungsplans).
Untenstehend ist ein Muster eines minimalistisch gestalteten Verzeichnisses
der Verarbeitungstätigkeiten abgedruckt:
> In Abschnitt 1 sind allgemeine Informationen über die Organisation ein-
zutragen.
> Die Tabelle in Abschnitt 2 ist für jede Verarbeitungstätigkeit zu reprodu-
zieren, die die Organisation als Verantwortlicher ausübt.
> Die Tabelle in Abschnitt 3 ist für jede Verarbeitungstätigkeit zu reprodu-
zieren, die die Organisation als Auftragsverarbeiter ausübt.
49
Verlag Österreich
Muster eines minimalistischen Verzeichnisses der Verarbeitungstätigkeiten
Verzeichnis von Verarbeitungstätigkeiten

Inhalt
I. Allgemeine Information zur Organisation
II. Verarbeitungstätigkeiten, für welche die Organisation Verantwortli-
cher ist
III. Verarbeitungstätigkeiten, für welche die Organisation Auftragsverar-
beiter ist

1. Name und Kontaktdaten der Organisation

Name/Firmenwortlaut der Organisation:
Adresse:
E-Mail-Adresse:
2. Name und Kontaktdaten des Datenschutzbeauftragten
(sofern bestellt)
Name:
Adresse:
E-Mail-Adresse:
Telefonnummer:
II. Verarbeitungstätigkeiten, für welche die Organisation

Verantwortlicher ist
[Nachfolgende Tabelle ist für jede Verarbeitungstätigkeit zu reproduzieren]
1. Allgemeine Angaben zur Verarbeitungstätigkeit

LfNr: zB 1
Name der Verarbeitungstätigkeit: zB Kundenbeziehungsmanagement
2. Allfällige gemeinsam Verantwortliche
Firmenwortlaut Adresse E-Mail-Adresse
… … …
50
Verlag Österreich
3. Verarbeitungszwecke
Liste der Verarbeitungszwecke, zB Erfüllung eines mit dem Kunden ge-
schlossenen Vertrages.
4. Kategorien Betroffener
Liste der Kategorien betroffener Personen, zB Arbeitnehmer, Kunden.
5. Datenkategorien
Datenkategorie Speicherdauer
zB Name zB bis drei Jahre nach Vertragsbe-
endigung
… …
6. Kategorien von Empfängern (Verantwortliche und Auftragsverar-
beiter)
Kategorie von Typ (Verantwortli- Land (sofern außer-
Empfängern cher oder Auftrags- halb des EWR)
verarbeiter)
zB IT-Dienstleister zB Auftragsverar zB EWR
beiter
zB Konzerngesell- zB Verantwortlicher zB EWR, USA,
schaften Kanada
… … …
7. Beschreibung der technischen und organisatorischen Sicherheits-
maßnahmen
…
III. Verarbeitungstätigkeiten, für welche die Organisation

Auftragsverarbeiter ist
[Nachfolgende Tabelle ist für jede Verarbeitungstätigkeit zu reproduzieren]
1. Allgemeine Angaben zur Verarbeitungstätigkeit

LfNr: zB 1
Name der Verarbeitungstätigkeit: zB Hosting von Websites
51
Verlag Österreich
2. Verantwortliche, in deren Auftrag diese Verarbeitungstätigkeit

durchgeführt wird
Firmen- Adresse E-Mail- Kontaktdaten des Kontaktdaten des
wortlaut Adresse Datenschutzbe- Vertreters**
auftragten*
… … … … …
* Sofern der jeweilige Verantwortliche einen Datenschutzbeauftragten bestellt hat:
Name, Adresse, E-Mail-Adresse und Telefonnummer
** Sofern der jeweilige Verantwortliche nicht im EWR niedergelassen ist und einen
inländischen Vertreter bestellt hat: Name, Adresse und E-Mail-Adresse
3. Datenübermittlungen an Sub-Auftragsverarbeiter
Firmen- Adresse E-Mail- Kontaktdaten des Kontaktdaten des

wortlaut Adresse Datenschutzbe- Vertreters**
auftragten*
… … … … …
* Sofern der jeweilige Sub-Auftragsverarbeiter einen Datenschutzbeauftragten be-
stellt hat: Name, Adresse, E-Mail-Adresse und Telefonnummer
** Sofern der jeweilige Sub-Auftragsverarbeiter nicht im EWR niedergelassen ist
und einen inländischen Vertreter bestellt hat: Name, Adresse und E-Mail-Adresse
4. Beschreibung der technischen und organisatorischen Sicherheits-

maßnahmen
…
Der Vollständigkeit halber ist darauf hinzuweisen, dass das oben abgedruck-
te Muster zwei Konstellationen nicht erfasst, die freilich für die allermeis-
ten österreichischen Organisationen ohnedies nicht relevant sind:
> Sollte die Organisation nicht in der EU niedergelassen sein, müsste sie
einen inländischen Vertreter bestellen (Art 27 DSGVO) und dessen
Kontaktdaten ebenso im Verzeichnis der Verarbeitungstätigkeiten doku-
mentieren. Dies sieht das Muster nicht vor.
> Höchst seltene und im Übrigen gegenüber der Datenschutzbehörde
meldepflichtige Datenübermittlungen in Drittländer wären ebenso im
Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Dies be-
trifft allerdings nur Übermittlungen, die (i) nicht wiederholt erfolgen,
(ii) nur eine begrenzte Zahl von Personen betreffen, (iii) von zwingenden
berechtigten Interessen des Verantwortlichen gedeckt sind und (iv)
52
Verlag Österreich
durch (in der DSGVO nicht näher definierte) geeignete Datenschutzga-

rantien abgesichert sind (Art 49 Abs 1 UAbs 2 DSGVO).
16. Muss auch ein Auftragsverarbeiter ein Verzeichnis der

Verarbeitungstätigkeiten führen?
Ja, auch Auftragsverarbeiter müssen ein Verzeichnis der Verarbeitungstätig-
keiten führen.
Für Verarbeitungstätigkeiten, die die Organisation als Auftragsverarbeiter
durchführt, verlangt die DSGVO allerdings wesentlich weniger Details, als
bei Verarbeitungstätigkeiten, die die Organisation als Verantwortlicher
durchführt (siehe hierzu Frage 15).

Folgende Informationen müssen für jede Verarbeitungstätigkeit dokumen-
tiert werden, die als Auftragsverarbeiter durchgeführt wird (Art 30 Abs 2
DSGVO):
> Name und Kontaktdaten des Auftragsverarbeiters;
> wenn der Auftragsverarbeiter einen Datenschutzbeauftragten bestellt
hat: Name und Kontaktdaten des Datenschutzbeauftragten des Auf-
tragsverarbeiters;
> Kurzbeschreibung der Verarbeitungstätigkeit (zB „Hosting von Web-
sites“ oder „SAP Support“); Auftragsverarbeiter müssen nicht wie Ver-
antwortliche die Verarbeitungszwecke und Datenkategorien dokumen-
tieren, weil sie diese in vielen Fällen gar nicht beeinflussen können;
> wenn Sub-Auftragsverarbeiter für die Verarbeitungstätigkeit eingesetzt
werden:
· Name und Kontaktdaten der Sub-Auftragsverarbeiter;
· wenn ein Sub-Auftragsverarbeiter nicht in der EU niedergelassen ist:
Name des Drittstaats sowie Name und Kontaktdaten des Vertreters
(vgl Art 27 DSGVO) und
· wenn ein Sub-Auftragsverarbeiter einen Datenschutzbeauftragten
bestellt hat: Name und Kontaktdaten des Datenschutzbeauftragten
beim Sub-Auftragsverarbeiter;
> für jeden Verantwortlichen, in dessen Auftrag die Verarbeitungstätig-
keit durchgeführt wird:
· Name und Kontaktdaten jedes Verantwortlichen;
· wenn ein Verantwortlicher nicht in der EU niedergelassen ist: Name
des Drittstaats sowie Name und Kontaktdaten des Vertreters (vgl
Art 27 DSGVO);
53
Verlag Österreich
· wenn ein Verantwortlicher einen Datenschutzbeauftragten bestellt

hat: Name und Kontaktdaten des Datenschutzbeauftragten beim
Verantwortlichen;
> Beschreibung der implementierten technischen und organisatorischen
Datensicherheitsmaßnahmen: Dafür empfiehlt sich die (einmalige)
Ablage der Richtlinie zur Informationssicherheit (vgl Schritt 10 des Um-
setzungsplans) im Verzeichnis der Verarbeitungstätigkeiten. Nur wenn
für bestimmte Verarbeitungstätigkeiten spezielle Datensicherheitsmaß-
nahmen implementiert wurden, sollten diese individuell dokumentiert
werden.
Auch der Auftragsverarbeiter muss sein Verzeichnis schriftlich führen und
es der Datenschutzbehörde auf Anfrage herausgeben (Art 30 Abs 3 und 4
DSGVO). Eine elektronische Führung ist freilich auch ihm gestattet (siehe
Frage 20).
Ein Muster eines Verzeichnisses der Verarbeitungstätigkeiten, das auch für
Verarbeitungstätigkeiten konzipiert ist, die als Auftragsverarbeiter durchge-
führt werden, ist bei Frage 15 abgedruckt.
17. Soll mehr als das Minimum im Verzeichnis der Verarbeitungs-

tätigkeiten dokumentiert werden?
Dies ist rechtlich nicht notwendig, kann die Effizienz des Datenschutzma-
nagements jedoch in manchen Fällen erhöhen. Insbesondere die folgenden
über die Mindestinhalte des Verzeichnisses (vgl Frage 15) hinausgehenden
Datenschutzaspekte zu dokumentieren, kann in größeren Organisationen
hilfreich sein:
> Rechtsgrundlage: Die DSGVO fordert (überraschenderweise und in
Abweichung zur Meldepflicht gegenüber der Datenschutzbehörde nach
alter Rechtslage) nicht die Dokumentation der Rechtsgrundlage im Ver-
zeichnis der Verarbeitungstätigkeiten. Diese bildet aber das Kernelement
für die Beurteilung der Rechtmäßigkeit der Verarbeitungstätigkeit (siehe
Schritt 8 des Umsetzungsplans). Zudem muss die Rechtsgrundlage ohne-
dies in der Datenschutzmitteilung an die Betroffenen offengelegt werden.
Daher ist ihre zusätzliche Dokumentation im Verzeichnis der Verarbei-
tungstätigkeiten durchaus zweckmäßig. Im Zuge dessen sollte nicht nur
die Rechtsgrundlage für die Verarbeitung selbst dokumentiert werden,
sondern auch für eine allfällige Übermittlung an andere Verantwortliche.
Werden Daten zudem an Empfänger außerhalb des EWR übermittelt,
sollte die Rechtsgrundlage für diese Übermittlung in Drittstaaten ergänzt
werden (siehe Schritt 8, Zwischenschritt C des Umsetzungsplans).
54
Verlag Österreich
> Herkunft der Daten: Die Dokumentation dieser Information ermög-

licht dem Verantwortlichen (bzw seinem Datenschutzbeauftragten) die
Prüfung, ob die Daten rechtmäßig ermittelt werden. Zudem muss die
Herkunft der Daten gegenüber den Betroffenen in der Datenschutzmit-
teilung offengelegt werden.
> Verarbeitung für weitere (interne) Zwecke: Werden die Daten organi-
sationsintern für andere Zwecke weiterverarbeitet, als für die sie ur-
sprünglich erhoben wurden, müssen diese Zwecke miteinander verein-
bar (kompatibel) sein. Die Dokumentation solcher „Sekundärzwecke“
und ihrer Kompatibilität mit dem ursprünglichen Zweck (vgl Art 6
Abs 4 DSGVO) ist daher ratsam. Zudem müssen auch diese Sekun
därzwecke in der Datenschutzmitteilung offengelegt werden.
> Erforderlichkeit einer Datenschutz-Folgenabschätzung: Im Verzeich-

nis der Verarbeitungstätigkeiten empfiehlt sich die Dokumentation, ob
und aus welchem Grund für die dokumentierte Verarbeitungstätigkeit
eine Folgenabschätzung (nicht) erforderlich ist (siehe auch Frage 23 f).
> Verknüpfung mit anderen Dokumenten, die in Zusammenhang mit
der jeweiligen Verarbeitungstätigkeit stehen:
· die Datenschutzmitteilung;
· sofern die Verarbeitung auf Grundlage einer Einwilligung der Betrof-
fenen erfolgt: ein Muster der Einwilligungserklärung;
· sofern eine Betriebsvereinbarung für die Verarbeitung erforderlich ist
(siehe Frage 63): eine Kopie der Betriebsvereinbarung;
· sofern eine Datenschutz-Folgenabschätzung durchgeführt wurde:
eine Kopie der Datenschutz-Folgenabschätzung;
· sofern eine vorherige Konsultation mit der Behörde durchgeführt
wurde: eine Dokumentation des Ausgangs des Konsultationsver-
fahrens und
· eine Verknüpfung mit dem Verzeichnis der Sicherheitsverletzun-
gen (siehe Frage 93).
18. Müssen auch Verarbeitungstätigkeiten dokumentiert werden,

die ohnedies bereits in DVR-Online gemeldet wurden?
Ja, auch bereits im Datenverarbeitungsregister (DVR) der Datenschutzbe-
hörde gemeldete Datenanwendungen (in der neuen Diktion der DSGVO
„Verarbeitungstätigkeiten“) müssen im Verzeichnis der Verarbeitungstätig-
keiten erfasst werden.
Die Pflicht zur Meldung von Datenanwendungen im DVR erlischt mit
dem Geltungsbeginn der DSGVO am 25. Mai 2018 und wird gleichsam
55
Verlag Österreich
durch die Pflicht zur Führung des internen Verzeichnisses der Verarbei-
tungstätigkeiten ersetzt. Bis zu diesem Zeitpunkt müssen Datenanwen-
dungen grundsätzlich auch weiterhin beim DVR gemeldet werden. Ab
25. Mai 2018 muss dann, den Regelungen der DSGVO entsprechend, das
interne Verzeichnis der Verarbeitungstätigkeiten vorhanden sein und der
Datenschutzbehörde auf Anfrage herausgegeben werden; das DVR wird
obsolet. Es empfiehlt sich daher, bereits jetzt schon parallel zu den DVR-
Meldungen das Verzeichnis der Verarbeitungstätigkeiten aufzubauen. Die
zu dokumentierenden Informationen decken sich ohnedies weitgehend.
Bestehende (aktuelle, vollständige und gut gepflegte) DVR-Meldungen
sind eine sehr gute Ausgangsbasis für die Erfassung der Verarbeitungstä-
tigkeiten im Verzeichnis der Verarbeitungstätigkeiten. Aus diesem Grund
wird die Datenschutzbehörde das DVR auch nach Geltungsbeginn der

DSGVO bis 31. Dezember 2019 in einem Archivmodus weiter betreiben
und hat bereits jetzt eine Exportfunktion implementiert.
19. Ist der Datenschutzbeauftragte für die Führung des

Verzeichnisses der Verarbeitungstätigkeiten verantwortlich?
Nein, die DSGVO verpflichtet explizit den Verantwortlichen bzw Auf-
tragsverarbeiter zur Führung des Verzeichnisses der Verarbeitungstätigkei-
ten und nicht den Datenschutzbeauftragten (Art 30 DSGVO). Es spricht
aber nichts dagegen, dass eine Organisation ihren Datenschutzbeauftragten
zusätzlich zu seinen originären Aufgaben nach der DSGVO (siehe Frage 4)
auch mit der Führung des Verzeichnisses der Verarbeitungstätigkeiten be-
auftragt. In diesem Fall bleibt die Organisation verwaltungsstrafrechtlich
nach außen verantwortlich, kann sich jedoch unter Umständen beim Daten-
schutzbeauftragten regressieren, wenn dieser schuldhaft seine vertragliche
Pflicht zur Führung des Verzeichnisses verletzt (siehe Frage 5).
Eine solche Beauftragung des Datenschutzbeauftragten mit der Führung
des Verarbeitungsverzeichnisses ist sogar sehr zu empfehlen: Das vollständi-
ge Verarbeitungsverzeichnis liefert eine sehr gute Übersicht über alle daten-
schutzrelevanten Verarbeitungstätigkeiten innerhalb der Organisation. Es
erleichtert dem Datenschutzbeauftragten die Prüfung aller Verarbeitungstä-
tigkeiten auf ihre Rechtskonformität und die Planung und Organisation sei-
ner Prüf- und Beratungstätigkeit (siehe Frage 4 zu den Aufgaben des Daten-
schutzbeauftragten).
Der Datenschutzbeauftragte wird zudem regelmäßig bei der Erstellung von
Verarbeitungsdokumentationen unterstützen und auf eine rechtskonforme
Ausgestaltung der Verarbeitungstätigkeiten hinwirken. In der Praxis wird er
56
Verlag Österreich
sehr eng mit den für die Verarbeitungstätigkeit zuständigen Personen in der
jeweiligen Fachabteilung zusammenarbeiten, wodurch es für ihn keinen we-
sentlichen Mehraufwand bedeuten wird, für die geordnete Ablage der Ver-
arbeitungsdokumentation im Verzeichnis der Verarbeitungstätigkeiten zu
sorgen.
Für die Organisationsleitung hat eine solche Delegation der Zuständigkeit
den Vorteil, dass sie regelmäßig sichergehen kann, dass die Verarbeitungsdo-
kumentation den Vorgaben der DSGVO entspricht und der Datenschutzbe-
hörde auf Anfrage vollständig herausgegeben werden kann. Die Beauftra-
gung des Datenschutzbeauftragten mit der Führung des Verzeichnisses der
Verarbeitungstätigkeiten kann daher als eine wirksame Maßnahme angese-
hen werden, die den Verantwortlichen bzw Auftragsverarbeiter bei der Er-
füllung des Grundsatzes der Rechenschaftspflicht unterstützt (siehe auch

Schritt 4 des Umsetzungsplans zur Rechenschaftspflicht).
20. Kann das Verzeichnis der Verarbeitungstätigkeiten auch

elektronisch geführt werden? Sollen spezielle Software
lösungen verwendet werden?
Ja, das Verzeichnis der Verarbeitungstätigkeiten kann auch elektronisch ge-
führt werden. Hierzu kann Office-Software wie Microsoft Word und Excel
oder aber auch Spezialsoftware verwendet werden, welche allerdings über
eine Exportfunktionalität verfügen muss, sodass das gesamte Verzeichnis
der Behörde in einem gängigen Format (zB PDF) vorgelegt werden kann.
Die Verwendung von Spezialsoftware ist nicht erforderlich, kann jedoch
insbesondere für größere Organisationen die Effizienz des Datenschutzma-
nagements deutlich erhöhen (siehe bereits Schritt 5 des Umsetzungsplans).
Es gibt vor allem am deutschen Markt bereits eine Vielzahl von Tools zur
Unterstützung des Datenschutzmanagements, weil die interne Führung des
„Verfahrensverzeichnisses“ (anstatt einer Behördenmeldung) schon bisher
im deutschen Datenschutzrecht vorgesehen war. Daher kann in Deutsch-
land auf entsprechende Erfahrungswerte mit dieser Dokumentationssyste-
matik und dafür eigens entwickelte Softwarelösungen zurückgegriffen wer-
den.
Für kleinere oder wenig fragmentierte Organisationen ist es meist am
einfachsten, das Verzeichnis in Form eines schlichten Word-Dokuments zu
führen (Frage 15 enthält ein Muster).
Bei komplexeren Organisationen könnte sich die Erstellung von Formula-
ren in einer Textverarbeitungssoftware anbieten. Das Verzeichnis der Verar-
57
Verlag Österreich
beitungstätigkeiten könnte dabei als intuitive Verzeichnisstruktur auf einem

geschützten Laufwerk gestaltet werden, in das die abgestimmten Dokumen-
tationsformulare in Form von organisationsinternen „Meldungen“ abgelegt
werden (analog zu den bisherigen DVR-Meldungen, nur eben intern).
Textverarbeitungsprogramme bieten eine Reihe hilfreicher Funktionen zur
Erstellung solcher Formulare: Beispielsweise könnten mit Hilfe der „Ent-
wicklertools“ Textfelder und Check-Boxen eingefügt werden. Wird das
Formular für eine Bearbeitung gesperrt, können nur mehr die vorgesehenen
Kontrollelemente ausgefüllt (bearbeitet) werden. Dadurch wird verhindert,
dass das Formular in den Fachbereichen verändert oder vorgesehene Doku-
mentationselemente entfernt werden.
Vor allem die Verwendung von Check-Boxen bietet eine sehr gute Möglich-
keit, die Einträge zum Verzeichnis der Verarbeitungstätigkeiten als eine Art
Check-Liste zu gestalten, in der nicht nur datenschutzrelevante Aspekte der
Verarbeitungstätigkeit, sondern auch die Erfüllung bestimmter datenschutz-
gesetzlicher Verpflichtungen dokumentiert abgearbeitet werden können
(siehe Frage 17).
Ist es allerdings erforderlich, dass standort- oder sogar länderübergreifend
mehrere Personen gleichzeitig und mit unterschiedlichen Berechtigungen
auf das Verzeichnis zugreifen können, empfiehlt sich die Verwendung von
Spezialsoftware. Bei der Auswahl von Spezialsoftware könnten folgende
Kriterien berücksichtigt werden:
> Mehrsprachigkeit der Benutzeroberfläche, wenn die Software auch
von ausländischen Tochtergesellschaften benutzt werden soll;
> Zugriffskontrollmanagement für mehrere Nutzer auf Ebene der ein-
zelnen juristischen Person oder der Verarbeitungstätigkeit;
> Möglichkeit der Abbildung der Konzernstruktur und der konzernwei-
ten Zuständigkeiten (zB dass eine Person als Datenschutzbeauftragter
für zwei Gesellschaften bestellt ist);
> Möglichkeit der Abbildung von Arbeitsabläufen (zB eine Person macht
einen Entwurf eines Eintrags im Verzeichnis, den eine andere noch frei-
geben muss);
> Möglichkeit, Verarbeitungstätigkeiten konzernweit oder für gewisse
Konzernsparten einheitlich zu definieren und einheitlich zu ändern;
> Abbildung von Veränderungen über die Zeit hinweg – im Idealfall ist
es ersichtlich, wann was im Verzeichnis dokumentiert bzw geändert
wurde;
> Möglichkeit, mehr als das Minimum zu dokumentieren (vgl Frage 17);
58
Verlag Österreich
> Exportfunktionalität:
· in gängige Office-Formate (Microsoft Word oder PDF) und in ein
maschinenlesbares Format (zB XML), um den Anbieterwechsel zu
erleichtern;
· wenn mehr als das Minimum dokumentiert werden kann (vgl Fra-
ge 17): die Möglichkeit, den Datenexport auf dieses Minimum zu
beschränken, um gegenüber der Datenschutzbehörde nicht mehr als
notwendig offenlegen zu müssen;
> Kosten und
> Vertrauenswürdigkeit und Zuverlässigkeit des Anbieters.
Den Autoren bekannte Softwaretools sind (ohne Anspruch auf Vollständig-
keit oder qualitative Bewertung):
> 2B Advice PrIME;

> BRZ DataReg;
> Nymity ExpertMapping;
> OneTrust Data Mapping Automation;
> otris privacy und
> TrustArc Data Flow Manager.
21. Kann das Verzeichnis der Verarbeitungstätigkeiten auch auf

Englisch geführt werden?
Ja, es ist davon auszugehen, dass die Datenschutzbehörde ein auf Englisch
geführtes Verzeichnis der Verarbeitungstätigkeiten akzeptieren wird.
Grundsätzlich ist in Österreich zwar Deutsch die Amtssprache, in der auch
mit allen Verwaltungsbehörden zu kommunizieren ist (Art 8 Abs 1 B-VG).
Man wird aber mit guten Gründen davon ausgehen dürfen, dass das Ver-
zeichnis auch in einer der Aufsichtsbehörde geläufigen Fremdsprache ge-
führt werden darf. Englisch wird in diesem Zusammenhang wohl als eine
der Datenschutzbehörde geläufige Fremdsprache anzusehen sein, zumal die
Behörde nach eigener Angabe auch die Zusammenarbeit mit den Daten-
schutzbehörden anderer Mitgliedstaaten in Englisch gestalten wird.
Außerdem ließ die Datenschutzbehörde schon bisher in Genehmigungs-
verfahren im internationalen Datenverkehr die Vorlage von Standardver-
tragsklauseln in englischer Sprache zu.
Ob allerdings die Datenschutzbehörden anderer Mitgliedstaaten sich
ebenso mit einer englischen Sprachfassung des Verzeichnisses zufrieden ge-
59
Verlag Österreich
ben werden, ist ungewiss. Selbst wenn dies nicht der Fall sein sollte, wird
allerdings eine ad hoc vorgenommene Übersetzung ausreichend sein.
Insbesondere in Konzernen wird es in Zukunft nicht selten vorkommen,
dass die Einträge zum Verzeichnis der Verarbeitungstätigkeiten für alle
gruppenweit im Einsatz befindlichen IT-Services von einer Konzerngesell-
schaft für alle Gesellschaften innerhalb des EWR zentral verfasst und den
Tochtergesellschaften zur Aufnahme in ihr eigenes lokales Verzeichnis zur
Verfügung gestellt werden. So muss nicht jede Konzerngesellschaft ihren
eigenen Eintrag zum Verzeichnis erstellen. Auch hierfür wird die Zurverfü-
gungstellung in englischer Sprache zukünftig wohl die Regel sein.
60
Verlag Österreich
C. Datenschutz-Folgenabschätzungen
22. Was ist eine Datenschutz-Folgenabschätzung eigentlich?

Eine Datenschutz-Folgenabschätzung ist die Dokumentation eines Pro-
zesses, der darin besteht,

1) die Verarbeitungstätigkeit zu beschreiben;
2) die Rechtmäßigkeit zu prüfen;
3) die Risiken zu identifizieren und vorläufig zu bewerten, die eine Ver-
arbeitungstätigkeit für die Betroffenen mit sich bringt (auch eine recht-
mäßige Verarbeitung kann zahlreiche Risiken aufweisen);
4) diese Risiken zu mindern, indem technische oder organisatorische Ab-
hilfemaßnahmen definiert werden und
5) das verbleibende Restrisiko zu bewerten.
Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung trifft
einen Verantwortlichen – niemals aber einen Auftragsverarbeiter – grund-
sätzlich dann, wenn eine konkrete Verarbeitungstätigkeit nach erster Be-
trachtung ein hohes Risiko für die Betroffenen darstellt (siehe Frage 23 f).
Ergibt sich nach Durchführung der Datenschutz-Folgenabschätzung (siehe
hierzu Frage 26), dass trotz Risikominderungsmaßnahmen das verbleiben-
de Restrisiko hoch ist, so muss vor Beginn der Verarbeitungstätigkeit eine
Konsultation mit der Datenschutzbehörde durchgeführt werden (siehe
Frage 30).
Eine Datenschutz-Folgenabschätzung hat daher folgende doppelte Funktion:
> die Einhaltung der DSGVO zu überprüfen und zu dokumentieren und
> festzustellen, ob eine Konsultation mit der Datenschutzbehörde erfor-
derlich ist.
61
Verlag Österreich
23. Wann muss eine Datenschutz-Folgenabschätzung

durchgeführt werden?
Ein Verantwortlicher muss eine Datenschutz-Folgenabschätzung durch-
führen, wenn nach erster Betrachtung ein hohes Risiko für die Betroffenen
gegeben ist (Art 35 Abs 1 DSGVO).
Ein solches hohes Risiko ist jedenfalls in folgenden Fällen gegeben (Art 35
Abs 3 und 4 DSGVO):
> es erfolgt eine systematische und umfassende Bewertung persönlicher
Aspekte natürlicher Personen (Profiling), welche als Grundlage für Ent-
scheidungen dient, die Rechtswirkung gegenüber natürlichen Personen
entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen – zB
Profiling durch eine Versicherung, um risikoträchtige Versicherungsneh-

mer zu identifizieren und zu kündigen; nicht hingegen Profiling zu Zwe-
cken der personalisierten Werbung (weder Rechtswirkungen, noch eine
ähnlich starke Beeinträchtigung);
> es kommt zu einer umfangreichen Verarbeitung sensibler oder straf-
rechtlich relevanter Daten (zB die Verarbeitung von Patientendaten
durch einen IT-Dienstleister eines Krankenhauses, nicht hingegen eine ge-
wöhnliche Personaldatenverwaltung oder die Verarbeitung von Patienten-
bzw Mandantendaten durch einen einzelnen Arzt oder Rechtsanwalt);
> es wird eine systematische umfangreiche Überwachung öffentlich zu-
gänglicher Bereiche durchgeführt (zB Einsatz einer großen Anzahl von
elektronischen Videoüberwachungskameras) oder
hörde veröffentlichten „schwarzen Liste“ – diese wird voraussichtlich
erst am oder nach dem 25. Mai 2018 veröffentlicht werden, wobei zu er-
warten ist, dass insbesondere Whistleblowing-Hotlines auf der schwar-
zen Liste stehen werden.
Weiters ist nach der – für Verantwortliche nicht verbindlichen – Faustregel
der Artikel-29-Datenschutzgruppe dann ein hohes Risiko gegeben (und da-
her eine Folgenabschätzung durchzuführen), wenn zumindest zwei der neun
Kriterien der Artikel-29-Datenschutzgruppe erfüllt sind (siehe Frage 24).
Umgekehrt ist jedenfalls keine Datenschutz-Folgenabschätzung durch-
zuführen, wenn einer der folgenden Fälle vorliegt (Art 35 Abs 5 und 10
DSGVO):
hörde veröffentlichten „weißen Liste“ – diese wird voraussichtlich am
oder nach dem 25. Mai 2018 veröffentlicht; oder
62
Verlag Österreich
Datenschutz-Folgenabschätzungen
> die Verarbeitungstätigkeit ist (i) detailliert gesetzlich geregelt und (ii)
wurde im Gesetzgebungsverfahren bereits einer allgemeinen Daten-
schutz-Folgenabschätzung unterzogen. Da die DSGVO keine konkre-
ten Vorgaben für eine solche allgemeine Folgenabschätzung vorsieht,
kann diese insbesondere vorliegen, wenn:
· in einem nationalen Gesetzgebungsverfahren in den Gesetzesmateri-
alien eine datenschutzrechtliche Interessensabwägung dokumentiert
ist (zB in den erläuternden Bemerkungen einer Regierungsvorlage
oder in einem Bericht eines Ausschusses des Nationalrats);
· die Datenschutzbehörde in einem nationalen Gesetzgebungsverfah-
ren eine Stellungnahme abgegeben hat (siehe www.dsb.gv.at/‌geset
zesbegutachtungen);
· der Datenschutzrat in einem nationalen Gesetzgebungsverfahren
eine Stellungnahme abgegeben hat (www.bundeskanzleramt.gv.at/

‌stellungnahmen-datenschutzrat);
· in jenen Fällen, in denen ein nationales Gesetz auf eine EU-Richtlinie
zurückgeht, im Rahmen des Gesetzgebungsverfahrens dieser EU-
Richtlinie eine Folgenabschätzung durchgeführt wurde – sei es durch
die Europäische Kommission in einem als „Impact Assessment“ be-
zeichneten Dokument oder durch den Europäischen Datenschutz-
beauftragten in Form einer Stellungnahme (Opinions oder
Comments; siehe https://edps.europa.eu/data-protection/our-work/
our-work-by-type/comments_en und https://edps.europa.eu/data-
protection/our-work/our-work-by-type/opinions_en) oder
· die (gesetzlich vorgesehene) Verarbeitungstätigkeit von einer Daten-
anwendung gedeckt ist, die in der Standard- und Muster-Verord-
nung 2004 definiert ist – hierin wird man eine (nachträgliche) Fol-
genabschätzung des Verordnungsgebers (dh des Bundeskanzlers) er-
blicken können.
Folgende Beispiele geben eine Orientierungshilfe für die Praxis:
Verarbeitungstätigkeit Datenschutz-Folgenabschätzung erforderlich?
Personalverwaltung im Nein – Die Verarbeitung von sensiblen Daten

gesetzlich zwingenden in der Lohnverrechnung ist nicht umfangreich
Ausmaß einschließlich (weshalb keiner der in der DSGVO selbst
Lohnverrechnung geregelten Fälle vorliegt).
Nach der Daumenregel der Artikel-29-Daten-
schutzgruppe würden zwar zwei der neun
Faktoren vorliegen (sensible Daten und
verwundbare Personengruppe – sofern es
keinen Betriebsrat gibt, siehe Frage 24).
63
Verlag Österreich
Allerdings ist die Verarbeitung gesetzlich

verpflichtend, detailliert gesetzlich geregelt und
es liegt jedenfalls in Form der Standardanwen-
dung SA002 der Standard- und Muster-Verord-
nung 2004 auch eine allgemeine Folgenabschät-
zung bereits vor. Daher ist keine Folgenab-
schätzung mehr erforderlich.
E-Mail-Newsletter für Nein – es werden weder sensible noch straf-
Kunden rechtlich relevante Daten verarbeitet, noch
besteht sonst ein hohes Risiko für die Betroffe-
nen. Dies ergibt sich auch nach der Faustregel

der Artikel-29-Datenschutzgruppe (keines der
neun Kriterien ist erfüllt).
Profiling zwecks Nein – das Profiling hat weder Rechtsfolgen
personalisierter für die Betroffenen, noch beeinträchtigt es sie
Werbung auf ähnliche Weise (daher liegt keiner
der in der DSGVO selbst geregelten Fälle
vor). Dies ergibt sich auch nach der Faustre-
gel der Artikel-29-Datenschutzgruppe (nur
das erste der neun Kriterien ist erfüllt – Pro-
filing).
Videoüberwachung Ja – es handelt sich um eine umfangreiche
durch dutzende Video- Überwachung öffentlich zugänglicher Bereiche
kameras in einem (ein in der DSGVO ausdrücklich geregelter
Geschäft Fall). Eine gesetzliche Regelung hierfür gibt es
nicht.
Globales Kundenbezie- Nein – es liegt kein in der DSGVO ausdrück-
hungsmanagement im lich genannter Fall vor und es ist auch nach der
internationalen Konzern Faustregel der Artikel-29-Datenschutzgruppe
ohne Profiling (zB nur einer der neun Faktoren erfüllt (groß
mittels SalesForce.com) angelegte Verarbeitung).
Globale Personalver- Ja, sofern es keinen Betriebsrat gibt – nach der
waltung im internatio- Faustregel der Artikel-29-Datenschutzgruppe
nalen Konzern inklusive liegen zwei der neun Faktoren vor: groß
Leistungsbeurteilung angelegte Verarbeitung und verwundbare
einzelner Mitarbeiter Personengruppe (sofern es keinen Betriebsrat
gibt; siehe Frage 24).
64
Verlag Österreich
Gesetzlich zwingende Nein, weil gesetzlich verpflichtend, detailliert

Geldwäscheprüfung gesetzlich geregelt und jedenfalls in Form der
durch zB Rechtsanwäl- Standardanwendung SA037 der Standard- und
te, Notare, Steuerberater Muster-Verordnung 2004 auch eine allgemeine
oder Wirtschaftsprüfer Folgenabschätzung bereits vorliegt.
24. Wie lautet die Faustregel der Artikel-29-Datenschutzgruppe

zur Notwendigkeit einer Datenschutz-Folgenabschätzung?
Die Artikel-29-Datenschutzgruppe hat eine Faustregel formuliert, wann
außer in den Fällen, die die DSGVO selbst nennt (siehe Frage 23), ein hohes
Risiko gegeben ist und daher eine Datenschutz-Folgenabschätzung erfor-
derlich ist. Diese ist leider eine eher komplizierte und vage Faustregel.
Nach dieser Faustregel ist grundsätzlich dann eine Datenschutz-Folgenab-
schätzung erforderlich, wenn mindestens zwei der folgenden neun Krite-
rien für eine Verarbeitungstätigkeit erfüllt sind (vgl die Guideline der Arti-
kel-29-Datenschutzgruppe zu „Data Protection Impact Assessment“, WP
248 rev.01):
1. jegliche Art des Profiling, auch wenn dieses gegenüber den Betroffenen
keine rechtliche Wirkung entfaltet und sie auch nicht in ähnlicher Weise
erheblich beeinträchtigt (zB Bonitätsbewertungen oder Marketing-Pro-
file auf Grundlage des Surf-Verhaltens);
2. Vorliegen einer vollständig automatisierten Einzelentscheidungsfin-
dung, die gegenüber den Betroffenen rechtliche Wirkung entfaltet oder
sie in ähnlicher Weise erheblich beeinträchtigt (zB automatisierte Ableh-
nung eines Kredit- oder Versicherungsantrags);
3. die Verarbeitung hat den Zweck, betroffene Personen zu beobachten, zu
überwachen oder zu kontrollieren (zB ein Online-Werbenetzwerk, das
das Online-Verhalten von Nutzern über mehrere Websites hinweg über-
wacht);
4. es werden sensible Daten, strafrechtlich relevante Daten, Kommuni-
kationsdaten, Standortdaten oder Finanzdaten (die einen Betrug im
Zahlungsverkehr ermöglichen) verarbeitet, welche nicht öffentlich ver-
fügbar sind;
5. die Verarbeitung ist hinsichtlich der Anzahl der betroffenen Personen,
des Umfangs der verarbeiteten Daten, der Dauer der Verarbeitung und/
oder ihrer geografischen Ausdehnung groß angelegt;
65
Verlag Österreich
6. die verarbeiteten Daten stammen aus zwei oder mehr internen oder ex-
ternen Quellen (interne Verarbeitungstätigkeiten mit verschiedenen
Zwecken oder mehrere Verantwortliche) und die Kombination der Da-
ten aus diesen Datenquellen geht über die vernünftigen Erwartungen
der Betroffenen hinaus;
7. es werden Daten über besonders verwundbare Personengruppen ver-
arbeitet: zB Kinder, Arbeitnehmer (richtigerweise nur wenn es keinen
Betriebsrat gibt; siehe unten), psychisch Kranke, Patienten, geistig Be-
nachteiligte);
8. es kommen neue Technologien zum Einsatz;
9. die Verarbeitung ist geeignet, Betroffene an der Ausübung eines Rechts,
am Abschluss eines Vertrags oder an der Inanspruchnahme einer Dienst-
leistung zu hindern (zB Bonitätsdatenbanken).

Aus der Sicht eines österreichischen Unternehmens, bei dem ein Betriebsrat
eingerichtet ist, erscheint es etwas befremdlich, dass Arbeitnehmer als „be-
sonders verwundbar“ betrachtet werden sollen. Dies gilt umso mehr, wenn
man berücksichtigt, dass für praktisch jede Arbeitnehmerdatenverarbei-
tung, die über das gesetzlich zwingende Maß hinausgeht, ohnedies eine Be-
triebsvereinbarung erforderlich ist (siehe Frage 63). Man wird daher Arbeit-
nehmer wohl dann nicht als „besonders verwundbar“ betrachten müssen,
wenn ein Betriebsrat eingerichtet ist.
Siehe Frage 23 mit einigen Beispielen, die die Anwendung der Faustregel der
Artikel-29-Datenschutzgruppe illustrieren.
25. Muss eine Datenschutz-Folgenabschätzung auch für alte

Datenanwendungen durchgeführt werden, die es bereits vor
Geltungsbeginn der DSGVO gab?
Ja, auch für alte Datenanwendungen, die bereits vor dem 25. Mai 2018 in
Betrieb genommen wurden, muss – wenn nach erster Betrachtung ein hohes
Risiko vorliegt (siehe Frage 23 f) – eine Datenschutz-Folgenabschätzung
durchgeführt werden. Die einzige Ausnahme hiervon ist, wenn die Daten-
anwendung:
> nach alter Rechtslage an die Datenschutzbehörde gemeldet wurde und
im Rahmen der sog Vorabkontrolle (§ 18 Abs 2 DSG 2000) von der Da-
tenschutzbehörde positiv geprüft und im Datenverarbeitungsregister
registriert wurde und
> die Datenanwendung seit der Registrierung nicht verändert wurde.
66
Verlag Österreich
Ob eine solche positive Prüfung der Datenschutzbehörde erfolgt – und die

Datenanwendung nicht einfach automatisch registriert wurde – kann da-
durch geprüft werden, dass man im Online-Datenverarbeitungsregister der
Datenschutzbehörde die „Detailansicht“ einer Datenanwendung aufruft und
im Feld „Angaben zur Vorabkontrolle“ nachsieht. Steht dort „Vorliegen kei-
ner der Voraussetzungen“, so bedeutet dies, dass keine Prüfung durch die
Datenschutzbehörde durchgeführt wurde. Hat das Feld „Angaben zur Vor-
abkontrolle“ hingegen einen der folgenden Inhalte, bedeutet dies, dass be-
reits eine positive Prüfung der Datenschutzbehörde durchgeführt wurde und
daher keine Datenschutz-Folgenabschätzung erforderlich ist:
> Verwendung von sensiblen Daten,
> Verwendung von strafrechtlich relevanten Daten,
> Vorliegen eines Kreditinformationssystems oder

> Videoüberwachung (gemäß § 50c DSG 2000).
26. Wie soll eine Datenschutz-Folgenabschätzung durchgeführt

werden?
Wie bereits unter Frage 22 beschrieben, muss eine Datenschutz-Folgenab-
schätzung Folgendes umfassen:
> Beschreibung der geplanten Verarbeitungsvorgänge: Diese sollte nach
der Artikel-29-Datenschutzgruppe Folgendes enthalten:
· eine Beschreibung und Auseinandersetzung mit Art, Umfang und
Kontext der Verarbeitung;
· eine Beschreibung der Datenkategorien, Verarbeitungszwecke, Über-
mittlungsempfänger und der Speicherdauer – hierzu wird auf das
Verzeichnis der Verarbeitungstätigkeiten zurückgegriffen werden
können;
· eine funktionale Beschreibung der Datenverarbeitung und
· eine Beschreibung der verwendeten Ressourcen (Software, Hard-
ware, Personal).
Mit dieser Beschreibung wird der Kontext für die weitere datenschutz-
rechtliche Risikoanalyse definiert (der technische Standard ISO 31000
spricht von „establishing the context“). Die obenstehenden Informatio-
nen könnten auch in einem Datenflussdiagramm dargestellt werden.
> Prüfung der Rechtmäßigkeit (die DSGVO spricht von einer „Bewer-
tung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvor-
gänge“): Dies erfordert eine vollständige Prüfung der Rechtmäßigkeit
(siehe Schritt 8 des Umsetzungsplans) sowie eine Auseinandersetzung
67
Verlag Österreich
damit, wie die Rechte der Betroffenen auf Auskunft, Datenportabilität,

Berichtigung, Löschung, Widerspruch und Einschränkung der Verarbei-
tung erfüllt werden können.
> Identifikation und vorläufige Bewertung der Risiken: Die Daten-
schutz-Folgenabschätzung muss eine detaillierte Analyse und Bewer-
tung aller Risiken für die Betroffenen enthalten.
Im Zuge dessen müssen alle Risiken identifiziert werden, die zu einer
Verletzung datenschutzgesetzlicher Vorgaben führen können. Im Rah-
men der Risikoanalyse ist systematisch zu prüfen, welche Umstände –
externer oder interner Natur – eintreten könnten, die möglicherweise
dazu führen, dass bestimmte Vorgaben der DSGVO nicht (rechtskon-
form) erfüllt werden. Bei der Identifikation und Beschreibung der Risi-
ken für die Betroffenen kann es hilfreich sein, Risiken in folgende Kom-
ponenten zu untergliedern:
· Schutzobjekte (engl Assets; zB sensible Daten oder reguläre perso-
nenbezogene Daten);
· Bedrohungen (engl Threats; zB Schadsoftware oder eine zweckwid-
rige Verwendung der Daten);
· Bedrohungsquellen (engl Threat Agents; zB die eigenen Mitarbeiter,
unternehmensfremde Personen oder Naturgewalten);
· bestehende Schwachstellen (engl Vulnerabilities; zB Sicherheits
lücken in Software) und
· bereits implementierte Sicherheitsmaßnahmen (engl Security Con-
trols; zB eine Firewall).
Risiken sind dabei beispielsweise, dass der Zweckbindungs- oder Daten-
minimierungsgrundsatz verletzt wird, dass Daten ohne Rechtsgrundlage
verarbeitet oder an Dritte übermittelt werden, dass Daten ungewollt von
Dritten abgegriffen oder eingesehen werden, dass Daten ungewollt zer-
stört werden (zB durch Krypto-Trojaner), dass den betroffenen Perso-
nen keine oder nur unzureichende Datenschutzinformationen erteilt
werden oder dass Betroffenenrechte nicht, nicht rechtskonform, nicht
fristgerecht oder nicht vollständig erfüllt werden (können).
Im Anschluss ist eine Bewertung dieser Risiken vorzunehmen. Hierbei
ist es hilfreich, Risiken zu betrachten als mathematisches Produkt von
· Eintrittswahrscheinlichkeit und
· potentiellen (materiellen oder immateriellen) Schäden für die Be-
troffenen (es ist hierbei immer auf die Betroffenensicht abzustellen).
Diese Bewertung kann quantitativ durch Schätzung eines möglichen
Schadensbetrags für die Betroffenen (zB EUR 1.000) oder qualitativ in
Form einer Bewertungsskala (zB niedrig, mittel, hoch) erfolgen.
68
Verlag Österreich
Bei der Bewertung der Risiken ist es häufig auch hilfreich, danach zu
differenzieren, welche Auswirkungen eintreten würden, wenn sich das
Risiko materialisiert:
· Verletzung der Vertraulichkeit: Die Daten werden für Unbefugte
zugänglich.
· Verletzung der Integrität: Die Daten werden unautorisiert verändert.
· Verletzung der Verfügbarkeit: Die Daten werden unautorisiert ge-
löscht.
· Verletzung der Rechtmäßigkeit: Die Daten werden rechtswidrig
verwendet – dies kann auch ohne Verletzung von Vertraulichkeit, In-
tegrität oder Verfügbarkeit erfolgen, zB wenn ein Mitarbeiter, der
grundsätzlich autorisiert ist, auf die Daten zuzugreifen, diese in Ver-
letzung des Zweckbindungsgrundsatzes verwendet.

> Verminderung der Risiken durch die Auswahl von Abhilfemaßnah-
men: Für alle identifizierten Risiken müssen Abhilfemaßnahmen geprüft
werden (ISO 31000 spricht beispielsweise von „treating the risks“).
Grundsätzlich gibt es folgende Möglichkeiten, auf ein identifiziertes Ri-
siko zu reagieren (wobei das Akzeptieren eines Risikos naheliegender
Weise keine Abhilfemaßnahme darstellt):
· das Risiko zu eliminieren – zB indem die fraglichen Daten gar nicht er-
hoben werden, dann können diese auch nicht kompromittiert werden;
· das Risiko zu mindern – zB indem zusätzliche Maßnahmen imple-
mentiert werden, die die Eintrittswahrscheinlichkeit oder den poten-
tiellen Schaden reduzieren – siehe hierzu ausführlich Frage 28;
· das Risiko zu transferieren – zB indem zum Vorteil der Betroffenen
eine Versicherung abgeschlossen wird, die sie schadlos hält (dies wird
nur selten in Betracht kommen);
· das Risiko zu akzeptieren – dh nichts gegen das Risiko zu unterneh-
men, zB weil jegliche Abhilfemaßnahmen im Verhältnis zur Schwere
des Risikos unverhältnismäßig kostenintensiv wären.
> Bewertung des verbleibenden Restrisikos: Abschließend ist eine Ge-
samtbewertung des verbleibenden Restrisikos vorzunehmen. Ist dieses
hoch, muss vor Inbetriebnahme der Verarbeitungstätigkeit eine Konsulta-
tion mit der Datenschutzbehörde durchgeführt werden (siehe Frage 30).
Grundsätzlich wird von der eingangs durchgeführten Erstbetrachtung
auszugehen sein, die ergeben hatte, dass grundsätzlich ein hohes Risiko
gegeben ist und daher eine Datenschutz-Folgenabschätzung erforderlich
ist (siehe Frage 23). Wurden die im Rahmen der Folgenabschätzung
identifizierten Risiken erheblich gemindert (siehe oben), so wird das Ri-
siko daher als nicht mehr hoch anzusehen sein.
69
Verlag Österreich
Für den zeitlichen Ablauf einer Datenschutz-Folgenabschätzung ist zu be-

rücksichtigen, dass sie jedenfalls vor Beginn der Verarbeitungstätigkeit
abgeschlossen sein muss. Allerdings empfiehlt es sich, die Folgenabschät-
zung nicht am Ende eines Projektes durchzuführen, sondern im Sinne von
Privacy by Design als begleitenden Prozess zu behandeln, der das gesamte
Projekt begleitet.
Eine besondere Herausforderung stellt weiters dar, dass nicht nur der Da-
tenschutzbeauftragte, sondern auch die Betroffenen bei der Datenschutz-
Folgenabschätzung zu involvieren sind (siehe Frage 27). Außerdem kommt
auch Auftragsverarbeitern eine Rolle bei der Datenschutz-Folgenabschät-
zung zu (siehe ebenso Frage 27).
Untenstehend ist ein Muster für die Dokumentation einer Datenschutz-
Folgenabschätzung abgedruckt:
Muster einer minimalistischen Datenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung
Inhalt
II. Beschreibung der Verarbeitungstätigkeit
III. Prüfung der Rechtmäßigkeit
IV. Involvierung des Datenschutzbeauftragten und der Betroffenen
V. Risiken für die Betroffenen
1. Name und Kontaktdaten der Organisation

Name/Firmenwortlaut der Organisation:
Adresse:
E-Mail-Adresse:
2. Name und Kontaktdaten des Datenschutzbeauftragten
(sofern bestellt)
Name:
Adresse:
E-Mail-Adresse:
Telefonnummer:
70
Verlag Österreich
II. Beschreibung der Verarbeitungstätigkeit
Bezeichnung der Verarbeitungs Bezeichnung, wie sie auch im Ver-

tätigkeit zeichnis der Verarbeitungstätigkei-
ten angegeben wurde; zB Kunden-
beziehungsmanagement.
Datenkategorien, Verarbeitungs- zB Verweise auf eine anbei befindli-
zwecke, Übermittlungsempfän- che Kopie des Eintrags im Verzeich-
ger, Speicherdauer nis der Verarbeitungstätigkeiten.
Art, Umfang und Kontext der zB Wie viele Betroffene wird es ge-
Verarbeitung ben? Was ist der unternehmerische
Kontext der Verarbeitung? (zB Teil

einer größeren Digitalisierungsstra-
tegie)
Funktionale Beschreibung der zB Verweis auf eine beiliegende
Datenverarbeitung funktionale Dokumentation des
Systems, wie sie hoffentlich die IT-
Abteilung liefern kann.
Verwendete Ressourcen zB Aufstellung der verwendeten
(Software, Hardware, Personal) Software-Produkte sowie der einge-
setzten Hardware bzw Verweis auf
Cloud-Dienste von Drittanbietern.
III. Prüfung der Rechtmäßigkeit
1. Grundsätze der Datenverarbeitung einschließlich Rechtsgrund

lage für die Verarbeitung
Rechtmäßigkeit – Welche Rechts- Identifikation einer anwendbaren
grundlage? Rechtsgrundlage (siehe Schritt 8,
Zwischenschritt A des Umsetzungs-
plans)
Zweckbindung Beschreibung der Maßnahmen, mit
denen zweckwidrige Datenverar-
beitungen verhindert werden.
Datenminimierung Prüfung, ob tatsächlich nicht mehr
Daten als erforderlich erhoben wer-
den
71
Verlag Österreich
Speicherbegrenzung Prüfung, ob die Daten tatsächlich

nicht länger als erforderlich aufbe-
wahrt werden.
Sicherheit zB Verweise auf eine anbei befindli-
che Kopie des Eintrags im Verzeich-
nis der Verarbeitungstätigkeiten
2. Eingesetzte Auftragsverarbeiter
Welche Auftragsverarbeiter und Auflistung der eingesetzten Auf-
Sub-Auftragsverarbeiter werden tragsverarbeiter und Bestätigung
eingesetzt und (i) hat sich der Ver- ihrer Zuverlässigkeit sowie der
antwortliche von ihrer Zuverläs- Rechtskonformität der Auftrags-
sigkeit überzeugt und (ii) sind verarbeitervereinbarungen, die in

rechtskonforme Auftragsverarbei- Kopie beigelegt werden sollten.
tervereinbarungen geschlossen
worden?
3. Internationale Datenübermittlungen
Gibt es Datenübermittlungen in Beschreibung allfälliger internatio-
Drittländer oder an internationale naler Datenübermittlungen und
Organisationen? Beschreibung ihrer Absicherung
(siehe Schritt 8, Zwischenschritt C
des Umsetzungsplans).
4. Datenschutzmitteilung an Betroffene
Ist die entworfene Datenschutz- Beschreibung, wie die Datenschutz-
mitteilung rechtskonform? mitteilung den Betroffenen zugäng-
lich gemacht wird sowie Bestäti-
gung, dass diese rechtskonform ist;
Verweis auf die anbei befindliche
Kopie der Datenschutzmitteilung.
5. Betriebsvereinbarung
Ist eine Betriebsvereinbarung er- Erklärung weshalb (nicht) sowie
forderlich? gegebenenfalls ein Verweis auf eine
anbei befindliche Kopie der Be-
triebsvereinbarung.
6. Möglichkeit für die Betroffenen, ihre Rechte geltend zu machen
Wie sieht der Prozess zur Geltend- Beschreibung des Prozesses zur
machung der Betroffenenrechte Geltendmachung und Umsetzung
72
Verlag Österreich
und ihrer Umsetzung beim Ver- der Betroffenenrechte auf Aus-

antwortlichen aus? kunft, Datenportabilität, Berichti-
gung, Löschung, Widerspruch und
Einschränkung der Verarbeitung
IV. Involvierung des Datenschutzbeauftragten und der Betroffenen
In welcher Form wurde der Da- Entweder (i) Hinweis, dass kein
tenschutzbeauftragte involviert? Datenschutzbeauftragter bestellt
wurde oder (ii) Beschreibung der
Involvierung des Datenschutzbe-
auftragten sowie gegebenenfalls
Verweis auf seine anbei befindliche

Stellungnahme (falls er die Folgen-
abschätzung nicht ohnedies selbst
durchgeführt hat). Sofern der Ver-
antwortliche von der Empfehlung
des Datenschutzbeauftragten ab-
weicht, sollte dies gesondert doku-
mentiert und begründet werden.
In welcher Form wurde der Stand- zB wenn die Betroffenen die Ar-
punkt der Betroffenen erhoben beitnehmer sind, Verweis auf eine
und berücksichtigt? anbei befindliche Kopie einer Be-
triebsvereinbarung; wird der Stand-
punkt der Betroffenen nicht einge-
holt oder wird der Standpunkt im
Ergebnis nicht berücksichtigt, ist
dies zu begründen (siehe Frage 27).
V. Risiken für die Betroffenen
1. Identifikation und vorläufige Bewertung der Risiken für die

Betroffenen
Beschreibung des Vorläufige Bewertung Risikominderungs-
Risikos (niedrig/mittel/hoch) maßnahme (allenfalls
mit Umsetzungsfrist)
… … …
… … …
73
Verlag Österreich
2. Bewertung des Restrisikos

Risikoklassifizierung (niedrig/ niedrig/mittel/hoch
mittel/hoch)
Erläuterung der Risiko Beschreibung des Restrisikos
klassifizierung
27. Wer ist für die Datenschutz-Folgenabschätzung

verantwortlich?
Die Verantwortung für die Datenschutz-Folgenabschätzung liegt aus-
schließlich beim Verantwortlichen. Dies gilt sowohl hinsichtlich der Frage,
ob überhaupt eine Datenschutz-Folgenabschätzung durchgeführt wird, als

auch für die Korrektheit und Vollständigkeit der Dokumentation der Da-
tenschutz-Folgenabschätzung.
Allerdings kommt anderen Personen sehr wohl eine Rolle im Rahmen der
Datenschutz-Folgenabschätzung zu:
> Sofern ein Datenschutzbeauftragter bestellt wurde, muss sein Rat ein-
geholt und in die Dokumentation der Datenschutz-Folgenabschätzung
aufgenommen werden (Art 35 Abs 2 DSGVO). Weiters hat der Daten-
schutzbeauftragte die Durchführung der Datenschutz-Folgenabschät-
zung zu überwachen (Art 39 Abs 1 lit c DSGVO).
> Sofern dies im konkreten Fall möglich ist und keine gewichtigen Interes-
sen dagegensprechen, muss der Standpunkt der Betroffenen oder ihrer
Vertreter eingeholt werden (Art 35 Abs 9 DSGVO). Dies kann beispiels-
weise durch Studien, Fragebögen oder durch eine formale Konsultation
des Betriebsrats oder der Gewerkschaft erfolgen. Auch eine bereits abge-
schlossene Betriebsvereinbarung wird als ausreichend anzusehen sein.
Der Standpunkt der Betroffenen muss dann nicht eingeholt werden,
wenn
· dies mit einem unverhältnismäßigen Aufwand verbunden wäre (zB
wird eine Telefonumfrage unter potentiellen Kunden regelmäßig ei-
nen unverhältnismäßigen Aufwand darstellen);
· dies die Vertraulichkeit von Geschäftsgeheimnissen gefährden wür-
de (zB weil die Ausgestaltung des Produkts bzw der Dienstleistung
offengelegt werden müsste, welche bis zum Zeitpunkt der Marktein-
führung noch ein Geschäftsgeheimnis darstellt);
· dies die Sicherheit der Datenverarbeitung gefährden würde (zB
weil interne Informationen über das Sicherheitskonzept offen gelegt
werden müssten);
74
Verlag Österreich
· dies im konkreten Fall impraktikabel ist, weil zB die Komplexität

der Fragestellung eine Beurteilung durch Laien nahezu unmöglich
macht.
Entscheidet sich der Verantwortliche dafür, die Betroffenen nicht zu
konsultieren oder lässt er die Ansicht der betroffenen Personen unbe-
rücksichtigt, sollten die dafür ausschlaggebenden (berechtigten) Gründe
in der Datenschutz-Folgenabschätzung dokumentiert werden.
> Auftragsverarbeiter des Verantwortlichen haben diesen bei der Durch-
führung einer Datenschutz-Folgenabschätzung zu unterstützen (Art 28
Abs 3 lit f DSGVO). Art und Umfang der Unterstützung sollte im Inte-
resse beider Vertragspartner detailliert in der Auftragsverarbeiterverein-
barung geregelt werden. Tatsächlich verfügen Auftragsverarbeiter häufig
über wesentliche Informationen über den Aufbau und die allgemeinen
Risiken der Verarbeitung.

Zudem könnten sie als Marketingmaßnahme für ihre Produkte „generi-
sche“ Datenschutz-Folgenabschätzungen vorbereiten und ihren Kunden
zur Verfügung stellen. Die gesamte Folgenabschätzung kann ein Auf-
tragsverarbeiter für seine Kunden freilich nicht übernehmen, weil er
nicht in der Position ist, die Zwecke der Verarbeitung festzulegen sowie
die Risikosituation beim Verantwortlichen vollständig und richtig einzu-
schätzen.
28. Was sind mögliche Risikominderungsmaßnahmen?

Um das nach erster Betrachtung hohe Risiko im Rahmen der Datenschutz-
Folgenabschätzung zu reduzieren, sind Risikominderungsmaßnahmen er-
forderlich (siehe Frage 26).
Abhängig davon, welche Arten von Risiken die Maßnahmen mindern sol-
len, wird man danach differenzieren können, ob es sich um Risikominde-
rungsmaßnahmen
> zum Schutz der Vertraulichkeit der Daten,
> zum Schutz der Integrität der Daten,
> zum Schutz der Verfügbarkeit der Daten oder
> zum Schutz der Rechtmäßigkeit der Verarbeitung der Daten handelt.
Sicherheitsmaßnahmen – dh Maßnahmen zum Schutz der Vertraulichkeit,
Integrität oder Verfügbarkeit der Daten – lassen sich klassisch unterscheiden
nach:
> ihrer Art: technische, organisatorische und physische Sicherheitsmaß-
nahmen und
75
Verlag Österreich
> ihrer Wirkungsweise: präventive, detektive, reaktive und abschreckende

Maßnahmen.
Frage 89 erläutert diese Unterscheidungen von Sicherheitsmaßnahmen aus-
führlich und nennt zahlreiche Beispiele.
Maßnahmen zur Absicherung der Rechtmäßigkeit der Datenverarbeitung
fallen typischerweise in eine der folgenden Kategorien:
> Einschränkung der Arten der erhobenen Daten – zB bei einer Video-
überwachungsanlage sicherzustellen, dass der Pausenraum der Mitarbei-
ter nicht im Blickfeld der Kameras liegt oder die Verarbeitung auf pseu-
donyme Daten zu beschränken, statt reguläre personenbezogene Daten
zu verarbeiten;
> Einschränkung des Datenumfangs – zB durch Reduktion der Fre-

quenz der Datenerhebung (Protokollierung der Standortdaten nur ein
Mal pro Stunde statt alle 30 Sekunden);
> Einschränkung der Kategorien von Betroffenen – zB bei einer Whistle
blowing-Hotline nur Meldungen über Entscheidungsträger zuzulassen
(siehe Frage 83);
> Einschränkung der Anzahl von Betroffenen – zB für eine statistische
Untersuchung ein kleines statistisches Sample zu wählen;
> Einschränkung der Verarbeitungszwecke – zB die Daten einer Video-
überwachung nur im Fall eines begründeten Verdachts einer gerichtlich
strafbaren Handlung auszuwerten;
> Einschränkung des Kreises der Zugangsberechtigten – zB eine Aus-
wertung der Videoüberwachungsdaten nur durch Mitglieder der Sicher-
heitsabteilung zu gestatten oder eine Datenauswertung im Rahmen einer
internen Compliance-Untersuchung nur durch Personen zu gestatten,
die besonders geschult wurden;
> Einschränkung der Übermittlungsempfänger – zB die Kundendaten
nur mit einer statt mit allen Konzerngesellschaften zu teilen;
> Einschränkung der Speicherdauer – zB Beschränkung der Speicherung
der Daten einer Videoüberwachung auf 72 Stunden oder
> Maßnahmen zur Gewährleistung der Richtigkeit der Daten – zB bei
einer Whistleblowing-Hotline anonyme Meldungen entweder zu unter-
sagen oder zumindest nicht zu fördern, um die Wahrscheinlichkeit von
Falschmeldungen zu reduzieren.
76
Verlag Österreich
29. Ist eine Datenschutz-Folgenabschätzung eine einmalige

Angelegenheit?
Nein. Eine Datenschutz-Folgenabschätzung ist kein einmaliger Prozess,
sondern muss in regelmäßigen Abständen auf Vollständigkeit, Aktualität
und Wirksamkeit geprüft werden. Dabei sind sowohl die identifizierten Ri-
siken als auch die geplanten Risikominderungsmaßnahmen zu betrachten.
Auf diese Weise kann sichergestellt werden, dass der Verantwortliche recht-
zeitig auf technische und gesellschaftliche Entwicklungen sowie auf neue
Bedrohungen für die Betroffenen reagieren kann. Der Wiederholungszy-
klus hängt dabei im Wesentlichen vom Risiko für die Betroffenen ab, das
von der Verarbeitung ausgeht: Je höher dieses Risiko, desto häufiger sollte
die Datenschutz-Folgenabschätzung wiederholt bzw auf ihre Aktualität ge-
prüft werden.
Die Datenschutz-Folgenabschätzung muss freilich nicht in jedem Prüfzyk-
lus gänzlich neu erstellt werden. Vielmehr reicht es aus, die bestehenden
Folgenabschätzungen (insbesondere die Risikoanalyse) auf ihre Aktualität
zu prüfen und allenfalls zu aktualisieren. Dabei kann sich herausstellen, dass
weitere oder gänzlich neue Risikominderungsmaßnahmen ergriffen werden
müssen.
Unabhängig von einem festgelegten Prüfzyklus ist eine Überarbeitung der
Datenschutz-Folgenabschätzung auch immer dann erforderlich, wenn sich
aufgrund interner oder externer Umstände die Risikosituation der Verarbei-
tung verändert. Das ist vor allem dann der Fall, wenn die Zwecke oder Mit-
tel der Verarbeitung wesentlich geändert werden. In diesen Fällen handelt
es sich de facto um eine neue Verarbeitung, die eine Aktualisierung der Da-
tenschutz-Folgenabschätzung erfordert.
30. In welchen Fällen ist eine Konsultation mit der Datenschutz-

behörde durchzuführen?
Der Verantwortliche muss dann eine Konsultation mit der Datenschutzbe-
hörde durchführen, wenn die Datenschutz-Folgenabschätzung ergibt, dass
das Restrisiko unter Berücksichtigung aller Risikominderungsmaßnahmen
dennoch hoch ist.
Ein solches hohes Risiko wird grundsätzlich dann gegeben sein, wenn (i)
eine Datenschutz-Folgenabschätzung verpflichtend durchzuführen war, dh
nach erster Betrachtung ein hohes Risiko bejaht wurde (siehe Frage 23 f)
und (ii) keine nennenswerten Risikominderungsmaßnahmen implemen-
tiert werden können.
77
Verlag Österreich
Beispielsweise stellt eine Whistleblowing-Hotline nach erster Betrachtung

grundsätzlich ein hohes Risiko dar und erfordert daher eine Datenschutz-
Folgenabschätzung. Werden allerdings die in Fragen 80 ff dargestellten Ri-
sikominderungsmaßnahmen implementiert und bei der Folgenabschätzung
berücksichtigt, so gelangt man zu dem Ergebnis, dass das Restrisiko allen-
falls mittel ist. Eine Konsultation der Datenschutzbehörde ist in einem sol-
chen Fall daher nicht erforderlich.
Auch bei einer umfangreichen Videoüberwachung lässt sich das zunächst
hohe Risiko durch entsprechende Maßnahmen typischerweise derart redu-
zieren, dass im Ergebnis kein hohes Risiko gegeben ist und eine Konsultati-
on mit der Datenschutzbehörde daher unterbleiben kann.
Kommt eine Datenschutz-Folgenabschätzung jedoch zum Ergebnis, dass
das Restrisiko hoch ist, so hat der Verantwortliche die Datenschutzbehörde

vor Beginn der Verarbeitung zu konsultieren, indem er folgende Informati-
onen an sie übermittelt (zB per E-Mail an dsb@dsb.gv.at):
> insbesondere bei einer Verarbeitung innerhalb einer Unternehmens-
gruppe: Angaben zu den jeweiligen Zuständigkeiten des Verantwortli-
chen und der an der Verarbeitung beteiligten Auftragsverarbeiter;
> die Zwecke und die Mittel der beabsichtigten Verarbeitung;
> die zum Schutz der Rechte und Freiheiten der Betroffenen vorgesehenen
Risikominderungsmaßnahmen;
> sofern ein Datenschutzbeauftragter bestellt wurde: seine Kontaktda-
ten;
> eine Kopie der Datenschutz-Folgenabschätzung und
> alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
Kommt die Datenschutzbehörde zum Ergebnis, dass die Verarbeitung nicht
mit der DSGVO vereinbar ist, hat sie innerhalb einer Frist von acht Wo-
chen, welche sie um weitere sechs Wochen erstrecken kann, entweder eine
Empfehlung oder eine Weisung auszusprechen. Erachtet die Datenschutz-
behörde die Verarbeitung hingegen mit der DSGVO vereinbar, so ist keine
formelle Entscheidung der Behörde vorgesehen. Eine „Genehmigung“ mit
entsprechender Rechtssicherheit gibt es daher nicht.
78
Verlag Österreich
D. Datenschutzmitteilungen und
Betroffenenrechte
31. Muss die Verarbeitung gegenüber den Betroffenen

offengelegt werden?
Ja, Betroffene haben grundsätzlich das Recht, vom Verantwortlichen über
die Verarbeitung ihrer personenbezogenen Daten informiert zu werden
(siehe Schritt 8, Zwischenschritt D des Umsetzungsplans).
Diese Informationspflicht entfällt nur, wenn:

> der Betroffene bereits über die entsprechenden Informationen verfügt
(Art 13 Abs 4, Art 14 Abs 5 lit a DSGVO) – da der Betroffene kaum über
alle erforderlichen Informationen (vgl Schritt 8, Zwischenschritt D des
Umsetzungsplans) bereits verfügen wird, kommt diese Ausnahme nur
sehr selten zur Anwendung;
> die Daten nicht beim Betroffenen selbst erhoben werden (sondern von
einem Dritten an den Verantwortlichen übermittelt werden) und einer
der folgenden Fälle vorliegt (Art 14 Abs 5 DSGVO):
· die Erteilung der Informationen erweist sich als unmöglich oder
würde einen unverhältnismäßigen Aufwand erfordern – dies ist zB
häufig der Fall, wenn es sich um pseudonymisierte Daten handelt;
· die Verarbeitung der Daten durch den Verantwortlichen ist durch
nationales Recht oder EU-Recht ausdrücklich geregelt – dies ist
insbesondere für Datenverarbeitungen durch Behörden relevant
oder
· die Daten unterliegen einem gesetzlichen Berufsgeheimnis – so
müssen zB Anwälte, Notare, Steuerberater oder Wirtschaftsprüfer
keine Datenschutzmitteilung an jene Personen richten, deren Daten
sie von ihren Mandanten erhalten.
Der Umfang der Informationspflicht wird in Schritt 8, Zwischenschritt D
des Umsetzungsplans ausführlich dargestellt. Untenstehend ist ein entspre-
chendes Muster einer Datenschutzmitteilung abgedruckt:
79
Verlag Österreich
Muster einer Datenschutzmitteilung (zweisprachig)
Datenschutzmitteilung Data Protection Notice

Diese Mitteilung beschreibt, wie [Fir- This notice provides you with informa-
menwortlaut des Verantwortlichen], tion on how [company name of the cont-
[Anschrift des Verantwortlichen] („wir“) roller], [street address of the controller]
Ihre personenbezogenen Daten verar- („we“) will process your personal data.
beitet.
1. Zwecke der Datenverarbeitung 1.

Purposes for which we process your
data
Wir werden Ihre unter Punkt 2 genann- We will process your personal data set
ten personenbezogenen Daten zu fol- out in Point 2 below for the following
genden Zwecken verarbeiten: purposes:

[Beschreibung der Zwecke; zB: [description of the processing purposes;
a) zur Ausführung der von Ihnen ange- e.g.:
forderten Bestellungen; a) to fulfil your orders;
b) zur Bewertung Ihrer Bonität; b) to assess your creditworthiness;
c) zur Leistungsbeurteilung; c) to assess your performance;
d) zur Nachfolgeplanung]. d) to perform succession planning].
Diese Daten erheben wir [Beschreibung We collect this data from [description of
der Quelle, aus der die Daten stammen; the source of the data, e.g.: you automa
zB: von Ihnen selbst automatisch beim tically when you visit this website].
Besuch dieser Website].
Die Bereitstellung Ihrer personenbezo- The provision of personal data is volun-
genen Daten ist freiwillig. Allerdings tary. However, if you do not provide
[Beschreibung der Nachteile, wenn Da- your personal data [description of the
ten nicht bereitgestellt werden, zB: kön- disadvantages, e.g.: HR processes might
nen HR-Prozesse verspätet oder unmög- be delayed or impossible].
lich sein], wenn Sie Ihre personenbezo-
genen Daten nicht bereitstellen.
2. Verarbeitete Datenkategorien und 2. Processed data categories and legal

Rechtsgrundlagen der Verarbei- basis of the processing
tung
[Wenn Einwilligung als Rechtsgrundlage [If consent serves as a legal basis for the
dient:] processing:]
Wir verarbeiten folgende Ihrer perso- We process the following categories of
nenbezogenen Daten ausschließlich mit your personal data exclusively on the ba-
Ihrer Einwilligung gemäß Art 6 Abs 1 sis of your consent according to Article
lit a der Datenschutz-Grundverordnung 6(1)(a) of the General Data Protection
(„DSGVO“): [Liste der Datenkatego Regulation (“GDPR”): [list of data cate-
rien, welche auf Grund der Einwilligung gories that are processed on the legal ba-
verarbeitet werden]. sis of consent].
80
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
[Wenn überwiegendes berechtigtes Inte- [If the prevailing legitimate interest ser-
resse als Rechtsgrundlage dient:] ves as a legal basis for the processing:]
Wir verarbeiten folgende Ihrer perso- We process the following categories of
nenbezogene Daten auf der Grundlage your personal data on the basis of our
unseres überwiegenden berechtigten In- prevailing legitimate interest (Article
teresses (Art 6 Abs 1 lit f DSGVO), wel- 6(1)(f) GDPR) which is to achieve the
ches darin besteht, die oben unter Punkt 1 purposes [as applicable: a/b/c/d] set out
[je nach Anwendbarkeit: a/b/c/d] ge- under Point 1 above: [list of data catego-
nannten Zwecke zu erreichen: [Liste der ries that are processed on the basis of the
Datenkategorien, welche auf Grund des prevailing legitimate interest].
überwiegenden berechtigten Interesses
verarbeitet werden].
3. Übermittlung Ihrer personenbezo- 3. Transfer of your personal data

genen Daten
Zu den oben genannten Zwecken wer- For the purposes set out above, we will
den wir Ihre personenbezogenen Daten transfer your personal data to the fol-
an folgende Empfänger übermitteln [bit- lowing recipients [please delete points
te nicht Zutreffendes löschen]: that do not apply]:
• von uns eingesetzte IT-Dienstleister; • IT service providers that we use;
• Gesellschaften, die unserem Konzern • companies that are part of our corpo-
angehören (eine aktuelle Liste aller rate group (an up-to-date list of all
Konzerngesellschaften finden Sie un- group entities is available under
ter [URL]); [URL]);
• [andere Kategorie von Übermitt- • [other category of recipients];
lungsempfängern]; • [other recipient], [street address of re-
• [Firmenwortlaut eines anderen Über- cipient].
mittlungsempfängers], [Anschrift des
Übermittlungsempfängers].
[Wenn zutreffend:] Manche der oben [If applicable:] Some of the recipients
genannten Empfänger befinden sich au- referred to above are located in or pro-
ßerhalb Ihres Landes oder verarbeiten cess personal data outside of your
dort Ihre personenbezogenen Daten. country. The level of data protection in
Das Datenschutzniveau in anderen Län- another country may not be equivalent
dern entspricht unter Umständen nicht to that in your country. However, we
dem Ihres Landes. Wir übermitteln Ihre only transfer your personal data to
personenbezogenen Daten jedoch nur countries where the EU Commission
in Länder, für welche die EU-Kommis- has decided that they have an adequate
sion entschieden hat, dass sie über ein level of data protection or we take
angemessenes Datenschutzniveau verfü- measures to ensure that all recipients
gen oder wir setzen Maßnahmen, um provide an adequate level of data pro-
zu gewährleisten, dass alle Empfänger tection. We do this for example by en-
ein angemessenes Datenschutzniveau tering into appropriate data transfer
haben. Dazu schließen wir beispielswei- agreements based on Standard Contrac-
se Standardvertragsklauseln (2010/87/ tual Clauses (2010/87/EC and/or
EC und/ oder 2004/915/EC) ab. Diese 2004/915/EC). Such agreements are ac-
81
Verlag Österreich
sind auf Anfrage unter [E-Mail-Adresse, cessible upon request from [email ad-
unter der Kopie angefordert werden dress where copy can be requested].
kann] verfügbar.
4. Speicherdauer 4. Retention periods

Ihre personenbezogenen Daten werden Your personal data will only be kept for
von uns nur so lange aufbewahrt, wie as long as we reasonably consider neces-
dies vernünftigerweise von uns als nö- sary for achieving the purposes set out
tig erachtet wird, um die unter Punkt 1 under Point 1 above and as is permissible
genannten Zwecke zu erreichen und under applicable law. We will, in any
wie dies nach anwendbarem Recht zu- case, retain your personal data for as
lässig ist. Wir speichern Ihre personen- long as there are statutory retention ob-
bezogenen Daten jedenfalls solange ge- ligations or potential legal claims are not
setzliche Aufbewahrungspflichten be- yet time-barred.

stehen oder Verjährungsfristen potenti-
eller Rechtsansprüche noch nicht abge-
laufen sind.
5. Ihre Rechte im Zusammenhang 5. Your rights in connection with

mit personenbezogenen your personal data
Daten
Nach geltendem Recht sind Sie unter Under applicable law, you have, among
anderem berechtigt (unter den Voraus- others, the rights (under the conditions
setzungen anwendbaren Rechts), (i) zu set out in applicable law): (i) to check
überprüfen, ob und welche personen- whether and what kind of personal data
bezogenen Daten wir über Sie gespei- we hold about you and to request copies
chert haben und Kopien dieser Daten of such data, (ii) to request correction,
zu erhalten, (ii) die Berichtigung, Er- supplementation or deletion of your
gänzung, oder das Löschen Ihrer per- personal data that is inaccurate or pro-
sonenbezogenen Daten, die falsch sind cessed in non-compliance with applica-
oder nicht rechtskonform verarbeitet ble requirements, and (iii) to request us
werden, zu verlangen, (iii) von uns zu to restrict the processing of your per-
verlangen, die Verarbeitung Ihrer personal data, (iv) in certain circumstances,
sonenbezogenen Daten einzuschrän- to object for legitimate reasons to the
ken, (iv) unter bestimmten Umständen processing of your personal data or to
der Verarbeitung Ihrer personenbezo- revoke consent previously granted for
genen Daten zu widersprechen oder die the processing, (v) to request data porta-
für das Verarbeiten zuvor gegebene bility, (vi) to know the identities of third
Einwilligung zu widerrufen, (v) Daten- parties to which your personal data are
übertragbarkeit zu verlangen, (vi) die transferred, and (vii) to lodge a com-
Identität von Dritten, an welche Ihre plaint with the competent authority.
personenbezogenen Daten übermittelt
werden, zu kennen und (vii) bei der
zuständigen Behörde Beschwerde zu
erheben.
82
Verlag Österreich
6. Unsere Kontaktdaten 6. Our contact details

Sollten Sie zu der Verarbeitung Ihrer per- Please address your requests or ques
sonenbezogenen Daten Fragen oder An- tions concerning the processing of your
liegen haben, wenden Sie sich bitte an uns: personal data to:
[Firmenwortlaut des Verantwortlichen] [company name of the controller]
[Anschrift des Verantwortlichen] [street address of the controller]
[E-Mail-Adresse des Verantwortlichen] [email address of the controller]
[Wenn ein Datenschutzbeauftragter be- [If a data protection officer has been ap-
stellt wurde:] Alternativ können Sie sich pointed:] Alternatively, you may also
auch gerne an unseren Datenschutzbe- contact our data protection officer:
auftragten wenden:
Datenschutzbeauftragter der [Firmen- Data protection officer of [company
wortlaut des Verantwortlichen] name of controller]

[Anschrift des Datenschutzbeauftragten] [street address of the data protection of-
[E-Mail-Adresse des Datenschutzbeauf- ficer]
tragten] [email address of the data protection of-
ficer]
Zuletzt aktualisiert am [Datum]. Last updated on [date].
32. Wann und wie sind die Betroffenen zu informieren?

Grundsätzlich sind die Betroffenen spätestens zum Zeitpunkt der Erhebung
der Daten zu informieren. Für die Art der Information gilt, dass es ausrei-
chend ist, wenn die Datenschutzmitteilung den Betroffenen auf eine leicht
auffindbare Weise zugänglich gemacht wird.
Im Detail sieht die DSGVO vor, dass die Betroffenen zu folgendem Zeit-
punkt informiert werden müssen:
> wenn die Daten beim Betroffenen selbst erhoben werden: spätestens
zum Zeitpunkt der Erhebung (Art 13 Abs 1 DSGVO) – damit ist si-
chergestellt, dass der Betroffene bereits bei Bekanntgabe seiner Daten
über die Details der Verarbeitung durch den Verantwortlichen in Kennt-
nis ist;
> wenn die Daten nicht beim Betroffenen erhoben werden, sondern von
einem Dritten an den Verantwortlichen übermittelt werden: sobald
eines der folgenden Ereignisse eintritt (Art 14 Abs 3 DSGVO):
· Ablauf eines Monats ab Erlangung der Daten;
· es erfolgt eine Mitteilung an den Betroffenen unter Verwendung der
erlangten Daten oder
· die erlangten Daten werden gegenüber Dritten offengelegt (einem
anderen Verantwortlichen oder Auftragsverarbeiter).
83
Verlag Österreich
Bezüglich der Art der Informationserteilung sieht die DSGVO vor, dass der
Verantwortliche die erforderlichen Informationen in leicht zugänglicher
Form und in klarer und einfacher Sprache bereitstellen muss (Art 12 Abs 1
DSGVO). Dass die Betroffenen die Datenschutzmitteilung auch tatsächlich
lesen, ist nicht erforderlich und muss auch technisch nicht sichergestellt
werden (zB durch Anklicken einer Check-Box).
Ein Bereitstellen der Datenschutzmitteilung kann beispielsweise so erfol-
gen:
> wenn die Daten auf einer Website erhoben werden: durch Verlinkung
der Datenschutzmitteilung in der Fußzeile jeder Seite der Website;
> wenn Mitarbeiterdaten verarbeitet werden: durch (i) Aushang am
schwarzen Brett, (ii) Verlinkung an prominenter Stelle im Intranet, so-

fern dieses von allen Mitarbeitern regelmäßig verwendet wird oder (iii)
durch Aussendung der Datenschutzmitteilung an alle Mitarbeiter per
E-Mail;
> wenn personenbezogene Daten im Rahmen eines Telefongesprächs er-
hoben werden: durch Verweis auf eine online leicht zugängliche Daten-
schutzmitteilung, sofern zumindest die wesentlichsten Eckpunkte der
Verarbeitung unmittelbar im Gespräch offengelegt werden: (i) die Iden-
tität des Verantwortlichen, (ii) die Verarbeitungszwecke und (iii) die
Identität dritter Verantwortlicher, an welche die Daten übermittelt wer-
den sollen;
> wenn die Betroffenen gebeten werden, ein Formular auszufüllen: durch
Abdruck der Datenschutzmitteilung auf der Rückseite des Formulars,
sofern sich auf der Vorderseite ein Hinweis hierauf findet.
> wenn eine Videoüberwachung durchgeführt wird: durch (i) Aushang
eines Schilds, das sofort erkennbar auf die Videoüberwachung hinweist
(zB das in DIN 33450 definierte Piktogramm) und (ii) Aushang eines
Hinweises, der die Identität des Verantwortlichen offenlegt (§ 13 Abs 5
DSG) und erläutert, wie detaillierte Informationen zur Videoüberwa-
chung erlangt werden können (zB „Dieses Geschäft wird Videoüber-
wacht. Bei Fragen wenden Sie sich bitte an die Geschäftsleitung. ABC
GmbH“).
Die obigen Beispiele zeigen auch, dass in jenen Fällen, in denen die vollstän-
dige Offenlegung aufgrund faktischer Einschränkungen nicht oder nur mit
unverhältnismäßigem Aufwand möglich ist, die erforderliche Information
auch stufenweise erteilt werden kann: Im ersten Schritt sind die absolut not-
wendigen und möglichen Informationen zu erteilen und bekanntzugeben,
wo in einem zweiten Schritt weitergehende Angaben zur Verfügung stehen.
84
Verlag Österreich
33. Was ist vom Recht auf Auskunft umfasst?

Jeder Betroffene hat gegenüber dem Verantwortlichen ein Recht auf Aus-
kunft, welches drei Dinge umfasst (Art 15 DSGVO):
> das Recht, eine Bestätigung darüber zu erhalten, ob personenbezogene
Daten des Betroffenen verarbeitet werden – der Verantwortliche hat
daher gegebenenfalls auch eine Negativauskunft zu erteilen;
> das Recht, eine Kopie der personenbezogenen Daten zu erhalten – im
Unterschied zum Recht auf Datenübertragbarkeit (siehe Frage 36 f) sind
die Daten dem Betroffenen in einer für ihn (und nicht für einen Compu-
ter) verständlichen Form zu übermitteln; werden die Daten in Form ei-
nes Datenbankauszugs offengelegt, wird der Auskunft regelmäßig eine
entsprechende Erläuterung dieser Datensätze angeschlossen werden
müssen, um für den Betroffenen verständlich zu sein;

> das Recht, im Wesentlichen jene Informationen zu erhalten, die dem Be-
troffenen bereits mit der Datenschutzmitteilung hätten zugänglich ge-
macht werden sollen.
Das Recht auf Auskunft schafft daher für einen Betroffenen individuelle
Transparenz hinsichtlich der Verarbeitung seiner Daten beim Verantwortli-
chen.
Die Beantwortung eines Auskunftsbegehrens kann grundsätzlich in jeder
geeigneten Form erfolgen, wobei Folgendes zu berücksichtigen ist:
> Richtet der Betroffene das Auskunftsbegehren selbst elektronisch an den
Verantwortlichen (zB per E-Mail), muss das Begehren auch elektronisch
beantwortet werden, außer die betroffene Person stimmt einer Beant-
wortung in einer anderen Form zu (Art 15 Abs 3 DSGVO).
> Die Auskunft kann auch mündlich erteilt werden, wenn der Betroffene
dies verlangt und seine Identität entsprechend nachweist (Art 12 Abs 1
DSGVO; siehe auch Frage 35).
> Wurde die Auskunft brieflich begehrt, kann sie auch per Brief erteilt
werden.
> In praktischer Hinsicht sollten Verantwortliche, die die personenbezo-
genen Daten vieler Betroffener verarbeiten, nach Möglichkeit einen On-
line-Self-Service-Zugang einrichten, sodass Auskunftsbegehren auto-
matisiert beantwortet werden können und daher keinen Verwaltungs-
aufwand verursachen. Dies setzt allerdings wiederum eine Prüfung der
Identität der Betroffenen voraus (siehe Frage 35).
85
Verlag Österreich
34. Hat der Betroffene bei einem Auskunftsbegehren eine

Mitwirkungspflicht?
Ja, der Betroffene hat dann eine Mitwirkungspflicht, wenn der Verantwort-
liche eine so große Menge personenbezogener Daten verarbeitet, dass ihm
eine Auskunftserteilung ohne weitere Informationen oder Unterstützung
durch den Betroffenen nicht zumutbar wäre.
Konkret spricht die DSGVO davon, dass der Verantwortliche, wenn er
„eine große Menge von Informationen über die betroffene Person“ verar-
beitet, vom Betroffenen verlangen kann, dass er präzisiert, auf welche Infor-
mation oder Verarbeitungstätigkeit sich das Auskunftsersuchen bezieht (Er-
wägungsgrund 63 letzter Satz DSGVO).
Diese Mitwirkungspflicht entspricht im Kern der Mitwirkungspflicht des
Betroffenen nach alter Rechtslage (§ 26 Abs 3 DSG 2000), ist aber dahinge-
hend eingeschränkt, dass sie nur dann zur Anwendung kommt, wenn der
Verantwortliche eine große Menge von Daten über den Betroffenen verar-
beitet. Dies wird man im Ergebnis so verstehen dürfen, dass es nicht darauf
ankommt, ob der Verantwortliche genau über die auskunftswerbende Per-
son eine Vielzahl von Daten verarbeitet. Denn für diese Beurteilung müsste
er ja wiederum wissen, im Rahmen welcher Verarbeitungstätigkeiten er wie
viele Daten über diese Person verarbeitet. Vielmehr ist eine Mitwirkungs-
pflicht des Betroffenen dann anzunehmen, wenn der Verantwortliche ganz
allgemein eine große Menge von Daten über Betroffene verarbeitet und
dem Verantwortlichen eine unspezifizierte Suche in allen seinen Verarbei-
tungstätigkeiten unzumutbar wäre.
Führt der Verantwortliche hingegen nur einige wenige Verarbeitungstätig-
keiten durch, kann ihm eine eigenständige Suche nach zu beauskunftenden
Daten durchaus zugemutet werden. In solchen Fällen hat er kein Recht auf
Mitwirkung der auskunftswerbenden Person.
Trifft den Betroffenen eine Mitwirkungspflicht, so muss diese Mitwirkung
nicht notwendigerweise durch Benennung einzelner Verarbeitungstätigkei-
ten oder IT-Systeme erfolgen, sondern ist auch durch Beschreibung des Sach-
verhalts möglich, aufgrund dessen die auskunftswerbende Person Daten über
sich beim Verantwortlichen vermutet (zB Erhalt einer Werbe-E-Mail).
35. Muss eine Person ihre Identität nachweisen, um ihre

Betroffenenrechte geltend zu machen?
Ja, eine Person muss ihre Identität nachweisen, um ihre Betroffenenrechte
geltend zu machen. Anderenfalls könnte der Verantwortliche die Sicherheit
der personenbezogenen Daten nicht gewährleisten.
86
Verlag Österreich
Grundsätzlich sieht die DSGVO vor, dass der Verantwortliche zusätzliche

Informationen zur Überprüfung der Identität des Antragstellers anfordern
muss, wenn begründete Zweifel an seiner Identität bestehen (Art 12 Abs 6
DSGVO). Darüber hinaus ist der Verantwortliche dazu verpflichtet, ange-
messene Sicherheitsmaßnahmen zu implementieren (siehe Frage 86 f).
Würde ein Verantwortlicher Anfragen von Betroffenen ohne Prüfung ihrer
Identität beantworten, würde er alle drei Aspekte der Datensicherheit ge-
fährden:
> die Vertraulichkeit der personenbezogenen Daten, wenn Begehren auf
Auskunft oder Datenübertragbarkeit erfüllt werden;
> die Integrität der personenbezogenen Daten, wenn Begehren auf Rich-
tigstellung erfüllt werden und
> die Verfügbarkeit der personenbezogenen Daten, wenn Widersprüche

und Löschungsbegehren erfüllt werden.
Um Betroffenenanfragen unter Aufrechterhaltung der Sicherheit beantwor-
ten zu können, ist die in der Informationssicherheit gebräuchliche Differen-
zierung zwischen Identifikation und Authentifikation hilfreich:
> Identifikation ist jener Prozess, in dem jemand behauptet, eine be-
stimmte Identität zu haben (zB durch Eingabe eines bestimmten Benut-
zernamens).
> Authentifikation ist hingegen der Prozess der Überprüfung der Iden-
tität des Nutzers. Dies kann grundsätzlich durch Heranziehung folgen-
der Faktoren erfolgen: (i) etwas, das der Nutzer weiß (zB ein Passwort),
(ii) etwas, das er hat (zB einen Schlüssel oder eine Chip-Karte) und (iii)
etwas, das der Nutzer ist (dh biometrische Merkmale, wie ein Fingerab-
druck). Eine Kombination von zwei dieser drei Faktoren wird auch als
„Two-Factor-Authentication“ bezeichnet.
In der Praxis sind folgende Arten der Authentifikation üblich:
> Ein zuvor vereinbartes Passwort – zB zur Authentifikation auf einer
Online-Plattform oder bei einem Anruf in einem Call-Center. In den
meisten Fällen wird diese Form der Authentifikation als ausreichend an-
zusehen sein.
> Den Antragsteller aufzufordern, sein (elektronisches) Begehren mit ei-
ner qualifizierten elektronischen Signatur zu versehen (vgl Art 3 Z 12
eIDAS-VO), ist eine sehr starke Form der Authentifikation, die jeden-
falls ausreichend ist. Da die Erstellung einer solchen Signatur voraus-
setzt, dass der Nutzer sowohl (i) die Signaturerstellungseinheit (in der
Regel eine Chipkarte) des Betroffenen hat als auch (ii) den dazugehöri-
87
Verlag Österreich
gen PIN-Code kennt, handelt es sich um eine Form der Two-Factor-

Authentication. Eine solche Signatur lässt sich über die Website www.
signaturpruefung.gv.at leicht prüfen.
> Den Antragsteller aufzufordern, persönlich zu erscheinen und seinen
amtlichen Lichtbildausweis vorzulegen, ist ebenso eine sehr starke Au-
thentifikationsform. Da geprüft werden kann, ob (i) der Antragsteller
den Lichtbildausweis des Betroffenen hat und (ii) sein Gesicht mit jenem
übereinstimmt, das auf dem Ausweis abgebildet ist, handelt es sich auch
hier um eine Form der Two-Factor-Authentication, die jedenfalls aus-
reichend ist.
> Ist der Antragsteller ein Mitarbeiter und sendet er seine Anfrage von
seiner beruflichen E-Mail-Adresse aus, wird man jedenfalls bei nicht-
sensiblen Daten von einer hinreichenden Authentifikation ausgehen

können.
> Sofern der Verantwortliche das Geburtsdatum des Betroffenen gespei-
chert hat: Die Abfrage des Geburtsdatums beim Antragsteller. Kennt er
das Geburtsdatum, wird angenommen, dass es sich um den Betroffenen
handelt. Dies ist eine relativ schwache Form der Authentifikation, da
sie ein Identifikationsmerkmal (das Geburtsdatum) als Authentifikati-
onsmerkmal verwendet. Die Schwäche dieser Art der Authentifikation
äußert sich darin, dass (i) das Authentifikationsmerkmal (das Geburtsda-
tum) nicht geändert werden kann, sollte es kompromittiert werden und
(ii) die Qualität der Authentifikation abnimmt, umso weiter diese Art
der Authentifikation Verbreitung findet – umso größer die Verbreitung,
umso mehr Institutionen kennen das Geburtsdatum einer Person und
umso weniger kann man sich darauf verlassen, dass derjenige, der Name
und Geburtsdatum einer Person kennt, tatsächlich diese Person ist.
> Den Antragsteller aufzufordern, seinem Aufforderungsschreiben eine
Kopie eines amtlichen Lichtbildausweises beizulegen: Diese Art der
Authentifikation ist geringfügig stärker als die Abfrage des Geburtsda-
tums, da wesentlich weniger Institutionen über eine Kopie eines Licht-
bildausweises einer Person verfügen, als über ihr Geburtsdatum. Aller-
dings kann eine Ausweiskopie leicht gefälscht werden und bietet damit
im Ergebnis auch nur ein relativ niedriges Maß an Sicherheit.
> Wird nur das Recht auf Auskunft geltend gemacht und ist dem Verant-
wortlichen die Anschrift des Betroffenen bereits bekannt, besteht auch
die Möglichkeit, die begehrten Informationen an die bereits bekannte
Anschrift des Betroffenen per Brief zu übermitteln. Die Verletzung
der Vertraulichkeit der übermittelten Informationen würde vorausset-
zen, dass ein Dritter Zugang zum Postkasten des Betroffenen erlangt. In
Kombination mit der Abfrage des Geburtsdatums oder der Aufforde-
88
Verlag Österreich
rung zur Vorlage einer Kopie eines amtlichen Lichtbildausweises wird

diese Authentifikationsmethode selbst bei sensiblen Daten ausreichend
sein, zumal sie als schwache Form der Two-Factor-Authentication ge-
wertet werden kann.
Welche Art der Authentifikation durchgeführt wird, um die Identität des
Antragstellers zu überprüfen, sollte davon abhängig gemacht werden, wie
hoch das Risiko für die Betroffenen ist, wenn es zu unautorisierten Offen-
legungen, Änderungen oder Löschungen der Daten kommen sollte. Im All-
gemeinen gilt, dass bei sensiblen Daten eine Art der Two-Factor Authenti-
cation oder allenfalls eine Authentifikation anhand eines zuvor vereinbarten
Passwortes erforderlich sein wird.
36. Hat der Betroffene immer ein Recht auf Datenübertrag

barkeit?
Nein, ein Recht auf Datenübertragbarkeit besteht nur, wenn alle der folgen-
den vier Voraussetzungen erfüllt sind (Art 20 Abs 1):
> Das Recht wird gegenüber einem Verantwortlichen geltend gemacht.
Gegenüber einem Auftragsverarbeiter besteht kein Recht auf Daten-
übertragbarkeit.
> Die Daten wurden dem Verantwortlichen vom Betroffenen aktiv zur
Verfügung gestellt. Kein Recht auf Datenübertragbarkeit besteht somit
für Daten, die der Verantwortliche selbst erzeugt oder von Dritten erhal-
ten hat.
> Die Daten werden mithilfe automatisierter Verfahren verarbeitet. So-
mit besteht kein Recht auf Datenübertragbarkeit, wenn die Daten in ma-
nuellen Dateisystemen verarbeitet werden (zB Aktenordnern oder Kar-
teien).
> Die Verarbeitung der Daten erfolgt auf der Rechtsgrundlage der Ein-
willigung des Betroffenen oder der Notwendigkeit zur Erfüllung eines
mit dem Betroffenen geschlossenen Vertrags (siehe Schritt 8, Zwi-
schenschritt A des Umsetzungsplans). Daten, die vom Verantwortlichen
auf Basis anderer Rechtsgrundlagen verarbeitet werden, unterliegen da-
her nicht dem Recht auf Datenübertragbarkeit.
Folgende Beispiele illustrieren den engen Anwendungsbereich des Rechts
auf Datenübertragbarkeit:
> Im Arbeitsverhältnis: Das Recht auf Datenübertragbarkeit wird sich im
Arbeitsverhältnis im Wesentlichen auf die im Lebenslauf genannten Da-
ten und die vom Arbeitnehmer bekannt gegebene Bankverbindung be-
89
Verlag Österreich
schränken, weil nur die vom Arbeitnehmer bereitgestellten Daten erfasst

sind, deren Verarbeitung für die Vertragserfüllung notwendig sind (eine
Einwilligung kommt selten in Betracht – siehe Frage 68). Über den Ar-
beitnehmer erzeugte Daten (zB seine kollektivvertragliche Einstufung)
unterliegen hingegen genau so wenig dem Recht auf Datenübertragbar-
keit, wie die vom Arbeitnehmer bereitgestellten Daten, die auf der
Rechtsgrundlage eines überwiegenden berechtigten Interesses verarbei-
tet werden (zB vom Arbeitnehmer verfasste E-Mails).
> Eine Bank: Daten ausgehender manueller Überweisungen werden vom
Recht auf Datenübertragbarkeit grundsätzlich erfasst. Daten eingehen-
der Überweisungen wurden hingegen nicht vom Betroffenen „bereitge-
stellt“.
> Ein Mail-Service-Provider: Ein typischer Mail-Service-Provider bietet

seinen Kunden die Möglichkeit, E-Mails zu versenden und zu empfan-
gen, trifft allerdings keine Entscheidung über die Mittel und Zwecke der
Datenverarbeitung. Er ist daher Auftragsverarbeiter seiner Kunden und
kein Verantwortlicher. Das Recht auf Datenübertragbarkeit ist daher
nicht anwendbar.
> Ein Betreiber eines Social Networks: Nur die vom Nutzer selbst bereit-
gestellten Daten sind vom Recht auf Datenübertragbarkeit erfasst. Von
anderen Nutzern verfasste Nachrichten oder Fotos, auf denen der Nut-
zer von anderen Nutzern „ge-tagged“ wurde, sind hingegen nicht er-
fasst.
37. In welchem Format müssen Daten übergeben werden, wenn

der Betroffene Datenübertragbarkeit fordert?
Die personenbezogenen Daten sind in einem strukturierten, gängigen und
maschinenlesbaren Format zu übergeben. Soweit es bereits etablierte tech-
nische Standards gibt, sollten diese eingehalten werden.
Macht ein Betroffener beim Verantwortlichen sein Recht auf Datenüber-
tragbarkeit geltend, müssen die von diesem Recht umfassten Daten (siehe
Frage 36) in einem strukturierten, gängigen und maschinenlesbaren Format
an den Betroffenen herausgegeben werden. Der Betroffene ist daraufhin
berechtigt, die Daten ohne Einschränkungen (zB urheber- oder patentrecht-
licher Natur) an einen anderen Verantwortlichen weiterzugeben.
Der Betroffene kann allerdings auch fordern, dass die Daten direkt an einen
anderen, vom Betroffenen namhaft gemachten Verantwortlichen wei-
tergegeben werden – dies allerdings nur, soweit dies technisch machbar ist
(Art 20 Abs 2 DSGVO).
90
Verlag Österreich
In beiden Fällen müssen die Daten in einem strukturierten, gängigen und

maschinenlesbaren Format übermittelt werden. Beispiele hierfür sind:
> im Falle eines E-Mail-Accounts: mbox, Maildir oder Personal Storage
Table (PST);
> im Falle eines Online-Speicherdienstes, der es ermöglicht, Dateien in
Ordnerstrukturen zu speichern: ZIP, RAR oder TAR oder
> im Falle eines Fotos mit Metadaten: Exif (Exchangeable image file for-
mat).
Häufig gibt es unterschiedliche gängige Formate für Linux/UNIX einerseits
(zB Maildir) und für Windows andererseits (zB PST). In diesem Fall wäre es
zwar wohl nicht rechtlich zwingend, jedoch benutzerfreundlich, beide For-
mate anzubieten.
Gibt es kein etabliertes Datenformat für den konkreten Anwendungsfall,

sollten die Daten dennoch in einem strukturierten Dateiformat angeboten
werden. Hierfür eignet sich insbesondere die Extensible Markup Language
(XML) in Kombination mit einer Definition des XML-Schemas (dh der
konkreten Struktur der Daten).
Am Rande sei angemerkt, dass einer der Autoren in seinem früheren Leben
eine Software entwickelt hat, mit der Daten aus einer relationalen Daten-
bank in leicht zu definierende XML-Formate exportiert werden können
(siehe http://pear.php.net/‌package/‌XML_‌Query2XML).
Würde ein Verantwortlicher hingegen lediglich die Eingabemaske seines IT-
Systems mit den entsprechenden Daten als Screenshot in eine PDF-Datei
exportieren (sozusagen als Ausdruck), könnte diese Datei vom Empfänger
weder automatisiert weiterverarbeitet werden, noch wäre in dieser Datei
eindeutig definiert, welchen Datenfeldern welche Bedeutung zukommt.
38. Können Betroffene immer einen Widerspruch erheben?

Nein, ein Betroffener kann nur dann einen Widerspruch erheben, wenn sei-
ne personenbezogenen Daten (Art 21 DSGVO)
> auf der Rechtsgrundlage eines überwiegenden berechtigten Interesses
verarbeitet werden;
> auf gesetzlicher Grundlage zur Wahrnehmung einer Aufgabe im öffent-
lichen Interesse oder in Ausübung öffentlicher Gewalt verarbeitet
werden;
> zu Zwecken der Direktwerbung verarbeitet werden (zB E-Mail-News-
letter oder Telefonmarketing) oder
91
Verlag Österreich
> zu wissenschaftlichen oder historischen Forschungszwecken oder zu

statistischen Zwecken verarbeitet werden.
Wird ein Widerspruch gegen die Verarbeitung zu Zwecken der Direktwer-
bung erhoben, dürfen die Daten nicht mehr zu diesem Zweck verarbeitet
werden – es handelt sich daher um eine Opt-Out-Möglichkeit für Betroffe-
ne, die an keine weiteren Bedingungen geknüpft ist. Gibt es keine anderen
Verarbeitungszwecke, müssen die Daten gelöscht werden.
In allen anderen Fällen gilt grundsätzlich, dass ein Widerspruch dann be-
rechtigt ist und die Daten daher gelöscht werden müssen, wenn die Interes-
sen des Betroffenen gegenüber den Interessen des Verantwortlichen
überwiegen. Ob dies der Fall ist, muss der Verantwortliche zunächst selbst
prüfen, wobei er allerdings die Beweislast dafür trägt, dass seine Interessen
schwerer wiegen, als die Interessen des Betroffenen. Benötigt der Verant-
wortliche die Daten zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen, überwiegen stets die Interessen des Verantwortli-
chen.
In diesen Fällen hat der Widerspruch daher die Funktion, dem Betroffenen
die Darstellung seiner individuellen Situation zu ermöglichen und dann
eine Löschung seiner Daten zu erwirken, wenn der Verantwortliche zwar
im Allgemeinen aber nicht in Bezug auf den konkreten Betroffenen ein
überwiegendes berechtigtes Interesse an der Datenverarbeitung hat.
Beispielsweise kann sich der Betreiber einer Internet-Suchmaschine
grundsätzlich auf das überwiegende Informationsinteresse der Öffentlich-
keit berufen, um seine Suchmaschine anzubieten und auch die Suche nach
dem Namen einer Person zu ermöglichen. Bei einzelnen Ergebnissen einer
Suche nach einer Person kann es jedoch sein, dass dieses Informationsinter-
esse nicht (mehr) überwiegt, weil es sich zB um Informationen über lange in
der Vergangenheit liegende Fakten (zB ein Privatkonkurs vor zehn Jahren)
handelt (vgl EuGH 13.5.2014, C-131/12 – Google Spain). In diesem Fall ist
der Widerspruch berechtigt und der Betreiber der Internet-Suchmaschine
muss sicherstellen, dass dieses Suchergebnis bei einer Suche nach dem Na-
men des Betroffenen nicht mehr erscheint.
Erhebt hingegen ein Arbeitnehmer Widerspruch dagegen, dass seine Daten
zu Zwecken der Personalplanung an die Konzernmutter übermittelt wer-
den, so wird sein Arbeitgeber als Verantwortlicher leicht dartun können,
dass dem Arbeitgeber ein überwiegendes Interesse zukommt, weil eine ef-
fektive Personalplanung eine Voraussetzung für den wirtschaftlichen Erfolg
des Konzerns ist und voraussetzt, dass hierbei alle Arbeitnehmer einbezo-
gen werden. Der Widerspruch wäre in diesem Fall daher ohne Berechti-
gung.
92
Verlag Österreich
39. Kann das Recht auf Vergessenwerden immer geltend

gemacht werden?
Nein, das Recht auf Vergessenwerden (Löschung) kann nur geltend gemacht
werden, wenn der Verantwortliche keine Rechtsgrundlage (mehr) für die
Verarbeitung der Daten des Betroffenen hat.
Ein Recht auf Vergessenwerden besteht daher insbesondere dann, wenn die
Datenverarbeitung niemals rechtmäßig war, weil beispielsweise:
> die Daten ohne festgelegten Zweck erhoben wurden (zum Grundsatz
der Zweckbindung bzw Zweckfestlegung siehe Schritt 4 des Umset-
zungsplans),
> die Daten für den festgelegten Zweck nicht erforderlich sind (zum
Grundsatz der Datenminimierung siehe Schritt 4 des Umsetzungsplans)

oder
> die Daten ohne Rechtsgrundlage verarbeitet werden (vgl Schritt 8, Zwi-
schenschritt A des Umsetzungsplans), weil zB eine Einwilligung von
Anfang an unwirksam war (vgl Fragen 56 ff zur Einwilligung von Kun-
den und Frage 68 zur Einwilligung von Arbeitnehmern) oder der Ver-
antwortliche fälschlich ein überwiegendes berechtigtes Interesse ange-
nommen hat.
Das Recht auf Vergessenwerden besteht auch dann, wenn die Rechtswid-
rigkeit nachträglich eingetreten ist, weil beispielsweise:
> die Daten nicht gelöscht wurden, obwohl sie für den Zweck ihrer Ver-
arbeitung nicht mehr erforderlich sind (zum Grundsatz der Speicher-
begrenzung siehe Schritt 4 des Umsetzungsplans),
> die Daten trotz Inkompatibilität für einen anderen Zweck weiterver-
arbeitet werden (zum Grundsatz der Zweckbindung siehe Schritt 4 des
Umsetzungsplans) oder
> die Rechtsgrundlage für die Verarbeitung nachträglich entfällt, weil
beispielsweise eine Einwilligung widerrufen wurde, die betroffene Per-
son erfolgreich Widerspruch erhoben hat (siehe Frage 38) oder das be-
rechtigte Interesse des Verantwortlichen auf Verarbeitung zwischenzeit-
lich (aufgrund Zeitablaufs) nunmehr als geringer als das Interesse des
Betroffenen eingestuft werden muss.
Wird einem Löschbegehren nicht entsprochen, müssen dem Betroffenen
innerhalb der vorgesehenen Bearbeitungsfrist (siehe dazu Frage 40) die
Gründe für die Ablehnung mitgeteilt werden. Anderenfalls ist die Lö-
schung vorzunehmen und die betroffene Person davon in Kenntnis zu
setzen.
93
Verlag Österreich
Zudem müssen alle Empfänger, denen die gelöschten Daten offengelegt

wurden, von der Löschung in Kenntnis gesetzt werden und dem Betroffe-
nen diese Empfänger mitgeteilt werden (Art 19 DSGVO). Diese Verstän-
digung darf nur dann unterbleiben, wenn sie unmöglich oder mit einem un-
verhältnismäßigen Aufwand verbunden ist, zB weil Datenübermittlungen
zulässigerweise nicht protokolliert wurden.
40. Wie schnell muss man reagieren, wenn Betroffene ihre Rechte

geltend machen?
Machen Betroffene ihre Rechte auf Auskunft, Berichtigung, Löschung, Ein-
schränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch gel-
tend, müssen diese unverzüglich (dh ohne schuldhafte Verzögerung) aber
jedenfalls innerhalb eines Monats ab Zugang des Begehrens beim Verant-

wortlichen behandelt und beantwortet werden. Dies gilt unabhängig davon,
ob dem Begehren des Betroffenen entsprochen wird oder nicht.
Liegen spezielle Umstände vor, die eine vollständige Behandlung beim Ver-
antwortlichen innerhalb eines Monats unzumutbar machen, kann die Bear-
beitungsfrist um zwei Monate verlängert werden. In diesem Fall müssen
dem Betroffenen allerdings innerhalb des ersten Monats die Gründe für die
Fristverlängerung mitgeteilt werden (Art 12 Abs 3 DSGVO). Mögliche
Gründe wären:
> umfangreiche und komplexe Verarbeitungsvorgänge (veraltete und un-
nötig komplexe technische oder organisatorische Strukturen werden
hingegen kein hinreichender Grund sein),
> eine gehäufte Anzahl von Anfragen oder
> schwierige Rechtsfragen, die durch das Begehren des Betroffenen aufge-
worfen werden.
Bei der praktischen Einhaltung der Frist ist zu beachten, dass die erforderli-
chen Handlungen des Verantwortlichen (zB eine Löschung) innerhalb der
Fristen abgeschlossen sein müssen. Das Schreiben, mit dem der Betroffene
informiert wird, wie sein Begehren vom Verantwortlichen behandelt wurde,
muss ebenso innerhalb der Frist beim Betroffenen einlangen.
41. Haben auch juristische Personen Betroffenenrechte?

Ja, auch juristische Personen haben ein Recht auf Auskunft, Richtigstel-
lung und Löschung von Daten, die sich auf sie beziehen (§ 1 DSG). Die
DSGVO und ihre Geldbußbestimmung finden auf die Daten juristischer
Personen jedoch keine Anwendung.
94
Verlag Österreich
Hintergrund ist, dass die Verfassungsbestimmung des § 1 DSG 2000 bereits

seit der Stammfassung aus dem Jahr 1978 ein Grundrecht auf Datenschutz
für „jedermann“ und damit auch für juristische Personen vorsah. Die Bun-
desregierung hatte die Absicht, durch das Datenschutz-Anpassungsgesetz
2018 den Schutz von Daten juristischer Personen zu beseitigen, weshalb
auch das DSG 2000 in das „Bundesgesetz zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz –
DSG)“ umbenannt wurde. Im Nationalrat fand sich allerdings keine Zwei-
Drittel-Mehrheit für das Datenschutz-Anpassungsgesetz 2018, weshalb
Änderungen der Verfassungsbestimmungen des DSG 2000 nicht möglich
waren.
Das Ergebnis der verfehlten Zwei-Drittel-Mehrheit ist daher, dass juristi-
sche Personen nach § 1 DSG weiterhin ein Grundrecht auf Datenschutz
haben, die übrigen Bestimmungen des DSG und die DSGVO aber nur für
die Daten natürlicher Personen gelten.
Dieses Grundrecht auf Datenschutz bedeutet, dass juristische Personen
grundsätzlich das Recht haben auf (§ 1 Abs 3 DSG):
1. Auskunft darüber, wer welche Daten über sie verarbeitet, woher die Da-
ten stammen, und wozu sie verwendet werden, insbesondere auch, an
wen sie übermittelt werden;
2. Richtigstellung unrichtiger Daten;
3. Löschung unzulässigerweise verarbeiteter Daten.
Damit bleibt abzuwarten, ob dem Gesetzgeber bis zur Anwendbarkeit der
DSGVO am 25.5.2018 eine Anpassung der Verfassungsbestimmungen im
DSG gelingt. Für die weiteren Vorbereitungsarbeiten ist daher anzuraten,
juristische Personen im Hinblick auf das Grundrecht auf Datenschutz und
die damit verbundenen (verfassungsgesetzlichen) Betroffenenrechte nicht
gänzlich auszublenden. Da die DSGVO mit ihren Straf- und Schadenser-
satzbestimmungen für diese Rechte juristischer Personen nicht anwendbar
ist und auch nicht absehbar ist, ob § 1 DSG bis zur Anwendbarkeit der
DSGVO nicht doch noch saniert wird, sollte allerdings kein besonderer
Aufwand für die Betroffenenrechte juristischer Personen betrieben werden.
42. Sind bei Ausübung des Löschungsrechts auch Daten von

Backups zu löschen?
Nein, personenbezogene Daten des Betroffenen müssen bei Ausübung des
Löschungsrechts grundsätzlich nicht von Backups gelöscht werden. Dies
gilt, solange die Aufbewahrung der Backups zu Zwecken der Datensicher-
heit notwendig ist.
95
Verlag Österreich
Die DSGVO sieht zwar ein unbedingtes Löschungsrecht vor, wenn die per-
sonenbezogenen Daten des Betroffenen rechtswidrig verarbeitet werden
(zB wenn der Betroffene seine Einwilligung widerrufen hat und auch keine
sonstige Rechtsgrundlage für die Verarbeitung besteht; vgl Art 17 DSGVO).
Allerdings macht das österreichische Gesetz von der Möglichkeit Gebrauch,
das Recht auf Löschung einzuschränken (§ 4 Abs 2 DSG iVm Art 23
DSGVO): Sofern die sofortige Löschung aus wirtschaftlichen oder techni-
schen Gründen nicht möglich ist, kann sie hinausgeschoben werden.
Dies trifft insbesondere auf Backups zu, da eine Löschung einzelner Daten
aus einem Backup voraussetzen würde, dass zunächst alle Daten wiederher-
gestellt werden, aus der wiederhergestellten Gesamtdatenmenge die fragli-
chen Daten entfernt werden und dann die verbleibende Gesamtdatenmenge
wieder auf dem Backup-Speichermedium gesichert wird. Ein solcher Vor-

gang wäre für jede Sicherungskopie zu wiederholen. Dies würde nicht nur
einen sehr hohen wirtschaftlichen Aufwand verursachen, sondern auch die
Integrität der erzeugten Backups verletzen und ist insofern mit den Grund-
sätzen der IT-Sicherheit schwer vereinbar. Auch die Gesetzesmaterialien
nennen daher Backups explizit als Beispiel für die wirtschaftliche und tech-
nische Unmöglichkeit einer sofortigen Löschung.
Eine weitere Voraussetzung dafür, dass die Löschung hinausgeschoben wer-
den darf, ist allerdings, dass eine Einschränkung der Datenverarbeitung
erfolgt. Die Einschränkung der Datenverarbeitung bedeutet, dass die in den
Backups enthaltenen personenbezogenen Daten zwar weiter (in den Back-
ups) gespeichert bleiben dürfen, aber ansonsten von jeglicher regulären Ver-
arbeitung ausgeschlossen sein müssen. Sollte es notwendig werden, ein
Backup wiederherzustellen, muss daher unmittelbar nach der Wiederher-
stellung eine Löschung der fraglichen personenbezogenen Daten aus dem
Live-System erfolgen.
96
Verlag Österreich
E. IP-Adressen, Cookies und Social Media Plugins
43. Sind IP-Adressen personenbezogene Daten?

Ja, IP-Adressen sind grundsätzlich als personenbezogene Daten zu behan-
deln und dürfen daher nur gespeichert werden, wenn eine Rechtsgrundlage
hierfür vorhanden ist (siehe auch Schritt 8, Zwischenschritt A des Umset-
zungsplans).
Eine IP-Adresse wird jedem Computer zugewiesen, damit dieser in einem
Netzwerk unter Verwendung des Internet Protocol (IP) mit anderen Com-
putern kommunizieren kann.
Ob eine IP-Adresse ein personenbezogenes Datum darstellt, hängt davon
ab, ob es zumindest denkbar wäre, dass es dem Verantwortlichen gelingt, die
Identität des Betroffenen zu ermitteln. Im Einzelnen ist daher wie folgt zu
differenzieren:
> dynamische IP-Adressen, die von Internetzugangsanbietern an ihre Kun-
den zugewiesen wurden, sind personenbezogene Daten, da im Fall einer
Straftat, die unter Verwendung dieser IP-Adresse begangen wird, das Op-
fer eine Sachverhaltsdarstellung bei der Staatsanwaltschaft einbringen
könnte, die Staatsanwaltschaft den Inhaber der IP-Adresse ermitteln
könnte (§ 76a Abs 2 Z 1 Strafprozessordnung) und das Opfer über den
Weg der Akteneinsicht die Identität des Inhabers der IP-Adresse in Erfah-
rung bringen könnte (vgl EuGH 19.10.2016, C-582/14, Rn 47 f);
> statische IP-Adressen, die von einem Internetzugangsanbieter einer na-
türlichen Person zugewiesen wurden, sind aus den oben genannten
Gründen ebenso personenbezogene Daten;
> statische IP-Adressen, die einer juristischen Person zugewiesen wur-
den, sind grundsätzlich keine personenbezogenen Daten, da sie sich nur
auf eine juristische und keine natürliche Person beziehen. Ob eine stati-
sche Zuweisung erfolgt ist, lässt sich in manchen Fällen feststellen, indem
man in der weltweiten WHOIS-Datenbank nach einer statischen Zuwei-
sung der fraglichen IP-Adresse an ein bestimmtes Unternehmen sucht.
97
Verlag Österreich
Da viele statische Zuweisungen jedoch nicht in der WHOIS-Datenbank

vermerkt sind, gibt es keinen sicheren Weg, ohne Zuhilfenahme des Inter-
netzugangsanbieters zwischen den unterschiedlichen Arten von IP-Adres-
sen zu unterscheiden. Es kann somit automatisiert nicht mit Sicherheit fest-
gestellt werden, ob es sich bei einer IP-Adresse um ein personenbezogenes
Datum handelt. Man sollte praktisch gesprochen daher immer davon ausge-
hen, dass es sich bei IP-Adressen um personenbezogene Daten handelt.
44. Welche Daten dürfen wir am Webserver protokollieren?

Die in der Praxis übliche Protokollierung eines jeden HTTP-Requests mit
IP-Adresse, Datum und Uhrzeit, aufgerufener URL, dem Status-Code, der
Anzahl der übermittelten Bytes, der zuvor aufgerufenen URL („Referrer“)

und dem Namen und der Version des Webbrowsers ist datenschutzrechtlich
grundsätzlich zulässig.
Bei diesen Daten handelt es sich zwar um personenbezogene Daten, weil sie
einen Bezug zu einer IP-Adresse haben und diese als personenbezogenes
Datum anzusehen ist (siehe Frage 43). Die Erhebung dieser Daten ist jedoch
grundsätzlich vom überwiegenden berechtigten Interesse des Betreibers der
Website gedeckt. Denn der Betreiber der Website benötigt diese Daten, um
(i) im Falle einer Sicherheitsverletzung eine forensische Auswertung vor-
nehmen zu können und (ii) Nutzungsstatistiken erstellen zu können. Wei-
ters ist zu berücksichtigen, dass der Nutzer (über seinen Webbrowser) ins-
besondere die zuvor aufgerufene URL („Referrer“) sowie Name und Versi-
on des verwendeten Webbrowsers selbst an den Betreiber der Website über-
mittelt.
Da ein protokollierter Angriff auf den Webserver unter Umständen erst mit
erheblicher Verzögerung entdeckt wird, ist es auch gerechtfertigt, die Log-
Dateien für einen längeren Zeitraum aufzubewahren (zB drei Monate).
Werden die Daten nicht mehr zu Zwecken der IT-Sicherheit, sondern nur
mehr zum Zweck aufbewahrt, Nutzungsstatistiken zu erstellen, sollten al-
lerdings die protokollierten IP-Adressen dadurch anonymisiert werden,
dass der letzte Teil der IP-Adresse entfernt wird. IPv4-Adressen sollten
durch Entfernung der letzten acht Bit auf ein /24-Subnet (zB von 203.0.113.13
auf 203.0.113.0) und IPv6-Adressen durch Entfernung der letzten 64 Bit auf
ein /64-Subnet reduziert werden. Hierdurch ist sichergestellt, dass einzelne
Nutzer nicht mehr identifiziert werden können.
Über die vorgenommene Protokollierung sind Nutzer in der Datenschutz-
erklärung jedenfalls entsprechend zu informieren (siehe Frage 46).
98
Verlag Österreich
IP-Adressen, Cookies und Social Media Plugins
45. Ist eine Einwilligung für Cookies erforderlich?

Ja, allerdings gilt die Einwilligung nach österreichischem Recht grundsätz-
lich bereits dann als erteilt, wenn der Nutzer durch Handhabung seiner
Browser-Einstellungen das Setzen von Cookies zulässt. Eine separate
Einwilligungserklärung ist daher nicht erforderlich. Ein entsprechender
Hinweis auf die Verwendung von Cookies muss dennoch in der Daten-
schutzmitteilung der Website enthalten sein (siehe Frage 46).
Cookies sind kleine Textdateien, die von einer aufgerufenen Website an den
Browser des Nutzers übermittelt und von diesem auf dem Rechner des
Nutzers gespeichert werden.
Nach dem Telekommunikationsgesetz 2003 (TKG 2003) setzt die Speiche-
rung von Cookies die Einwilligung des Nutzers voraus, sofern es sich
nicht um Cookies handelt, die für die Funktionalität der Website absolut
notwendig sind (zB ein Cookie, das für die Dauer der Browser-Sitzung
vermerkt, dass sich der Nutzer erfolgreich authentifiziert hat; § 96 Abs 3
TKG 2003).
Den Gesetzesmaterialien ist zu entnehmen, dass eine Einwilligung auch
durch „Einstellungen eines Browsers“ ausgedrückt werden kann. Lässt ein
Nutzer das Setzen von Cookies zu, indem er seinen Browser entsprechend
konfiguriert hat, so darf dies nach österreichischem Recht daher als Einwil-
ligung gewertet werden. Eine ähnliche Einwilligungsregelung sieht im Üb-
rigen der Vorschlag der Europäischen Kommission für die neue EU e-Priva-
cy-Verordnung vor (Art 9 Abs 2 des Entwurfs der e-Privacy-Verordnung,
KOM(2017) 10 endg).
46. Wie soll die Datenschutzmitteilung auf einer Website

aussehen?
Jede Website muss eine Datenschutzerklärung enthalten, welche die Nutzer
informiert über:
> die Verarbeitung personenbezogener Daten, einschließlich der IP-Ad-
resse, auf der Website (siehe Frage 43) sowie
> die Verwendung von Cookies (vgl Frage 45).
Diese Datenschutzerklärung sollte von jeder Seite der Website aus leicht zu-
gänglich sein (zB durch den Link „Datenschutz“ oder „Datenschutzmittei-
lung“ in der Fußzeile jeder Seite der Website).
Untenstehend ist ein Muster für eine solche Datenschutzmitteilung abge-
druckt:
99
Verlag Österreich
Muster einer Website-Datenschutzmitteilung
Datenschutzmitteilung
Diese Website wird von [Firmenwortlaut des Verantwortlichen], [An-
schrift des Verantwortlichen] („wir“ bzw „uns“) betrieben. Diese Mittei-
lung beschreibt wie wir, als datenschutzrechtlich Verantwortlicher, Ihre
personenbezogenen Daten im Zusammenhang mit dieser Website verar-
beiten.
1. Welche Daten wir über Sie verarbeiten

Im Zuge Ihres Besuches dieser Website werden wir folgende Informatio-
nen erheben: Das Datum und die Uhrzeit des Aufrufs einer Seite auf un-
serer Website, Ihre IP-Adresse, Name und Version Ihres Web-Browsers,

die Webseite (URL), die Sie vor dem Aufruf dieser Website besucht ha-
ben, bestimmte Cookies (siehe Punkt 2 unten) und jene Informationen,
die Sie selbst durch [Beschreibung der Quelle, aus der die Daten stam-
men; zB: Ausfüllen des Kontaktformulars, Registrierung auf unserer Web-
site] zur Verfügung stellen.
Es besteht keine Verpflichtung, jene Daten, um deren Angabe wir Sie auf
unserer Website bitten, tatsächlich anzugeben. Wenn Sie dies jedoch nicht
tun, wird es Ihnen nicht möglich sein, alle Funktionen der Website zu
nutzen.
2. Cookies
Auf dieser Website werden sogenannte Cookies verwendet. Ein Cookie
ist eine kleine Datei, die auf Ihrem Computer gespeichert werden kann,
wenn Sie eine Website besuchen. Grundsätzlich werden Cookies verwen-
det, um Nutzern zusätzliche Funktionen auf einer Website zu bieten. Sie
können zum Beispiel verwendet werden, um Ihnen die Navigation auf
einer Website zu erleichtern, es Ihnen zu ermöglichen, eine Website dort
weiter zu verwenden, wo Sie sie verlassen haben und/oder Ihre Präferen-
zen und Einstellungen zu speichern, wenn Sie die Website wieder besu-
chen. Cookies können auf keine anderen Daten auf Ihrem Computer zu-
greifen, diese lesen oder verändern.
Die meisten der Cookies auf dieser Website sind sogenannte Session-
Cookies. Sie werden automatisch gelöscht, wenn Sie unsere Website wie-
der verlassen. Dauerhafte Cookies hingegen bleiben auf Ihrem Compu-
ter, bis Sie sie manuell in Ihrem Browser löschen. Wir verwenden solche
dauerhaften Cookies, um Sie wieder zu erkennen, wenn Sie unsere Web-
site das nächste Mal besuchen.
100
Verlag Österreich
Wenn Sie Cookies auf Ihrem Computer kontrollieren wollen, können Sie
ihre Browser-Einstellungen so wählen, dass Sie eine Benachrichtigung
bekommen, wenn eine Website Cookies speichern will. Sie können Coo-
kies auch blockieren oder löschen, wenn sie bereits auf Ihrem Computer
gespeichert wurden. Wenn Sie mehr darüber wissen möchten, wie Sie die-
se Schritte setzen können, benützen Sie bitte die „Hilfe“-Funktion in Ih-
rem Browser.
Beachten Sie bitte, dass das Blockieren oder Löschen von Cookies Ihre
Online-Erfahrung beeinträchtigen und Sie daran hindern könnte, diese
Website vollständig zu nutzen.
3. Zwecke der Datenverarbeitung

Wir werden Ihre personenbezogenen Daten zu folgenden Zwecken ver-

arbeiten:
> um Ihnen diese Website zur Verfügung zu stellen und um diese Web-
site weiter zu verbessern und zu entwickeln;
> um Nutzungsstatistiken erstellen zu können;
> um Angriffe auf unsere Website erkennen, verhindern und untersu-
chen zu können;
> [Wenn zutreffend:] um auf Ihre Anfragen zu antworten;
> [allenfalls andere Zwecke].
4. Rechtsgrundlagen der Verarbeitung

Die rechtliche Grundlage für die Verarbeitung Ihrer personenbezogenen
Daten ist unser überwiegendes berechtigtes Interesse (gemäß Art 6 Abs 1
lit f EU Datenschutz-Grundverordnung), welches darin besteht, die oben
unter Punkt 3 genannten Zwecke zu erreichen.
5. Übermittlung Ihrer personenbezogenen Daten

Zu den oben genannten Zwecken werden wir Ihre personenbezogenen
Daten an folgende Empfänger übermitteln:
> von uns eingesetzte IT-Dienstleister;
> [andere Kategorie von Übermittlungsempfängern];
[Wenn zutreffend:] Manche der oben genannten Empfänger befinden sich
außerhalb Ihres Landes oder verarbeiten dort Ihre personenbezogenen
Daten. Das Datenschutzniveau in anderen Ländern entspricht unter Um-
ständen nicht dem Ihres Landes. Wir übermitteln Ihre personenbezoge-
101
Verlag Österreich
nen Daten jedoch nur in Länder, für welche die EU-Kommission ent-
schieden hat, dass sie über ein angemessenes Datenschutzniveau verfügen
oder wir setzen Maßnahmen, um zu gewährleisten, dass alle Empfänger
ein angemessenes Datenschutzniveau haben. Dazu schließen wir bei-
spielsweise Standardvertragsklauseln (2010/87/EC und/oder 2004/915/
EC) ab. Diese sind auf Anfrage unter [E-Mail-Adresse unter der Kopie
angefordert werden kann] verfügbar.
6. Dauer der Speicherung

Wir werden Ihre Daten grundsätzlich für eine Dauer von drei Monaten
speichern. Eine längere Speicherung erfolgt nur, soweit dies erforderlich
ist, um festgestellte Angriffe auf unsere Website zu untersuchen.
[Im Falle einer Registrierungsmöglichkeit auf der Website:] Wenn Sie sich
auf unserer Website registrieren, werden wir Ihre Daten jedenfalls so lan-
ge speichern, so lange Ihr Account besteht und danach für nur so lange,
wie rechtliche Verpflichtungen dies vorsehen.
7. Ihre Rechte im Zusammenhang mit personenbezogenen Daten

Sie sind unter anderem berechtigt (unter den Voraussetzungen anwend-
baren Rechts), (i) zu überprüfen, ob und welche personenbezogenen
Daten wir über Sie gespeichert haben und Kopien dieser Daten zu er-
halten, (ii) die Berichtigung, Ergänzung oder das Löschen Ihrer perso-
nenbezogenen Daten, die falsch sind oder nicht rechtskonform verar-
beitet werden, zu verlangen, (iii) von uns zu verlangen, die Verarbeitung
Ihrer personenbezogenen Daten einzuschränken, und (iv) unter be-
stimmten Umständen der Verarbeitung Ihrer personenbezogenen Daten
zu widersprechen oder die für das Verarbeiten zuvor gegebene Einwil-
ligung zu widerrufen, (v) Datenübertragbarkeit zu verlangen, (vi) die
Identität von Dritten, an welche Ihre personenbezogenen Daten über-
mittelt werden, zu kennen und (vii) bei der zuständigen Behörde Be-
schwerde zu erheben.
8. Unsere Kontaktdaten
Sollten Sie zu der Verarbeitung Ihrer personenbezogenen Daten Fragen
oder Anliegen haben, wenden Sie sich bitte an uns:
[Firmenwortlaut des Verantwortlichen]
[Anschrift des Verantwortlichen]
[E-Mail-Adresse des Verantwortlichen]
102
Verlag Österreich
[Wenn ein Datenschutzbeauftragter bestellt wurde:] Alternativ können

Sie sich auch gerne an unseren Datenschutzbeauftragten wenden:
Datenschutzbeauftragter der [Firmenwortlaut des Verantwortlichen]
[Anschrift des Datenschutzbeauftragten]
[E-Mail-Adresse des Datenschutzbeauftragten]
Zuletzt aktualisiert am [Datum].
47. Dürfen wir auf unserer Website Google Analytics v

erwenden?
Ja, die Verwendung von Google Analytics ist zulässig, wobei grundsätzlich
(i) eine Anonymisierungs-Funktion von Google Analytics verwendet wer-
den sollte, (ii) Nutzern eine Opt-Out-Möglichkeit geboten werden sollte
und (iii) die Nutzer in der Datenschutzmitteilung der Website über die Ver-
wendung von Google Analytics informiert werden sollten.
Die Funktionsweise von Google Analytics besteht darin, dass bei jedem
Aufruf der Website die IP-Adresse des Nutzers sowie die Internet-Adres-
se (URL) der aufgerufenen Seite an Google übermittelt wird und Google
auf dieser Grundlage für den Betreiber der Website Zugriffsstatistiken
erstellt.
Dem Grundsatz Privacy by Design folgend, bietet Google Websitebetrei-
bern die Möglichkeit, Google Analytics so zu konfigurieren, dass Google die
IP-Adresse des Nutzers unmittelbar nach Erhalt sofort anonymisiert, bevor
sie in einen permanenten Speicher geschrieben wird. Dies erfolgt dadurch,
dass ein Teil der IP-Adresse entfernt wird (die letzten acht Bit bei einer
IPv4-Adresse bzw die letzten 80 Bit bei einer IPv6-Adresse). Wie man diese
Anonymisierungs-Funktion aktiviert, beschreibt Google in der Google
Analytics-Hilfe (siehe https://support.google.com/analytics/‌answer/‌29053
84‌?hl=de). Websitebetreiber sollten diese Anonymisierungs-Funktion je-
denfalls aktivieren.
Nutzer können durch das Setzen eines Cookies auch gänzlich aus der Ver-
wendung ihrer Daten im Rahmen von Google Analytics hinaus-optieren.
Auch diese Möglichkeit sollte den Nutzern angeboten werden (siehe https://
developers.google.com/analytics/devguides/collection/gajs/?hl=de‌#disable).
Eine weitere Möglichkeit besteht für Nutzer darin, ein von Google für alle
gängigen Browser angebotenes Add-on zur Deaktivierung von Google
Analytics zu installieren.
103
Verlag Österreich
Um Nutzer im erforderlichen Maß über die Verwendung von Google Ana-

lytics zu informieren, sollte untenstehender Text in die Datenschutzerklä-
rung der Website (siehe hierzu Frage 46) aufgenommen werden.
Muster einer Datenschutzmitteilung für Google Analytics (zweisprachig)
Datenschutzerklärung zu Google Analytics

Diese Website benutzt Google Analytics, einen Webanalysedienst von
Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043,
USA („Google“). Google Analytics verwendet sog „Cookies“, Textdatei-
en, die auf Ihrem Computer gespeichert werden und eine Analyse Ihrer
Nutzung der Website ermöglichen. Wir verarbeiten Ihre Daten auf
Grundlage unseres überwiegenden berechtigten Interesses, auf kostenef-

fiziente Weise eine leicht zu verwendende Website-Zugriffsstatistik zu
erstellen (Art 6 Abs 1 lit f Datenschutz-Grundverordnung).
Die durch das Cookie erzeugten Informationen über Ihre Nutzung die-
ser Website (einschließlich Ihrer IP-Adresse und die URLs der aufgeru-
fen Webseiten) werden an Server von Google in den USA übertragen und
dort gespeichert. Wir speichern keine Ihrer Daten, die in Zusammenhang
mit Google Analytics erhobenen werden.
Diese Website verwendet die von Google Analytics gebotene Möglich-
keit der IP-Anonymisierung. Ihre IP-Adresse wird daher von Google
gekürzt/anonymisiert, sobald Google Ihre IP-Adresse erhält. In unserem
Auftrag wird Google diese Informationen verwenden, um Ihre Nutzung
der Website auszuwerten, um Reports über die Websiteaktivitäten zu-
sammenzustellen und um weitere mit der Websitenutzung und der Inter-
netnutzung verbundene Dienstleistungen an uns zu erbringen. Die im
Rahmen von Google Analytics von Ihrem Browser übermittelte IP-Ad-
resse wird von Google nicht mit anderen Daten zusammengeführt.
Sie können die Speicherung der Cookies durch eine entsprechende Ein-
stellung Ihrer Browser-Software verhindern. Wir weisen Sie jedoch dar-
auf hin, dass Sie in diesem Fall unter Umständen nicht sämtliche Funkti-
onen dieser Website vollumfänglich nutzen können. Sie können darüber
hinaus verhindern, dass Google Ihre Daten in Zusammenhang mit Goog-
le Analytics erhebt, indem Sie das unter dem folgenden Link verfügbare
Browser-Plugin herunterladen und installieren: http://tools.google.
com/‌dlpage/‌gaoptout‌?hl=de.
Sie können die Erhebung Ihrer Daten durch Google Analytics auf dieser
Website auch verhindern, indem Sie auf untenstehenden Link klicken. Es
104
Verlag Österreich
wird ein Opt-Out-Cookie gesetzt, das die zukünftige Erfassung Ihrer

Daten beim Besuch dieser Website verhindert:
<a href=“javascript:gaOptout()“>Google Analytics deaktivieren</a>
[Anm: der dazugehörige JavaScript-Code findet sich auf https://develo-
pers.google.com/‌analytics/‌devguides/‌collection/‌gajs/?‌hl=de‌#disable]
Nähere Informationen zu den Nutzungsbedingungen von Google sowie
Googles Datenschutzerklärung finden Sie unter http://www.google.
com/‌analytics/‌terms/‌de.html bzw. unter https://www.google.at/‌intl/
at/‌policies/.
Untenstehend findet sich derselbe Text auf Englisch:

Privacy Statement for Google Analytics

This website uses Google Analytics, a web analytics service provided by
Google, Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043,
USA (“Google”). Google Analytics uses “cookies”, which are text files
placed on your computer, to help the website analyze how users use the
site. We process your data on the basis of our prevailing legitimate inte-
rest to cost-efficiently generate easy to use website access statistics (Artic-
le 6(1)(f) General Data Protection Regulation).
The information generated by the cookie about your use of the website
(including your IP address and the URLs of the accessed pages) will be
transmitted to and stored by Google on servers in the United States. We
do not store any of your personal data collected in connection with
Google Analytics.
This website uses an IP anonymization feature provided by Google Ana-
lytics. Your IP address will therefore be truncated/anonymized by Goog-
le as soon as it receives it. On our behalf, Google will use this information
for the purpose of evaluating your use of the website, compiling reports
on website activity for website operators and providing other services
relating to website activity and internet usage to us. Google will not asso-
ciate your IP address with any other data held by Google.
You may refuse the use of cookies by selecting the appropriate settings on
your browser. However, please note that if you do this, you may not be
able to use the full functionality of this website. Furthermore you can
prevent Google’s collection and use of your data by downloading and
installing the browser plug-in available under https://tools.google.com/
dlpage/gaoptout?hl=en-GB.
105
Verlag Österreich
You can also refuse the use of Google Analytics on this website by cli-
cking on the following link. An opt-out cookie will be set on the compu-
ter, which prevents the future collection of your data when visiting this
website:
<a href=“javascript:gaOptout()“>Disable Google Analytics</a>[Anm:
der dazugehörige JavaScript-Code findet sich auf https://developers.
google.com/‌analytics/‌devguides/‌collection/‌gajs/‌?hl=de‌#disable]
Further information concerning Google’s terms of use and privacy state-
ment can be found at http://www.google.com/‌analytics/‌terms/‌gb.html
or at https://www.google.at/‌intl/‌en_uk/‌policies/.
48. Ist es zulässig, auf der eigenen Website Social Media Plugins

zu verwenden?
Ja, die Verwendung von Social Media Plugins auf der eigenen Website ist
zulässig, wenn die Plugins per Default deaktiviert sind und in der Daten-
schutzmitteilung über die Verwendung der Plugins informiert wird.
Trifft man keine besonderen Vorkehrungen, übermitteln Social Media Plug-
ins, wie zB Like-Buttons von Facebook, Google+ oder Twitter, automatisch
personenbezogene Daten an den Betreiber des Social Media-Dienstes (zB
Facebook). Dies passiert, weil die Social Media Plugins auf der besuchten
Website dynamisch eingebunden werden und der Quellcode für die Social
Media Plugins durch den Webbrowser des Nutzers bereits beim Aufrufen
der besuchten Website in Echtzeit vom Server des Social Media-Dienstes
abgerufen wird. Mit diesem Abruf sendet der Nutzer (i) seine IP-Adresse,
(ii) die URL der besuchten Website und (iii) Cookies an den Social Media-
Dienst. Auf diesem Weg erhält der Social Media-Dienst personenbezogene
Daten über den Nutzer und seinen Besuch der Website selbst dann, wenn
der Nutzer die Social Media Plugins gar nicht verwendet.
Für eine solche Übermittlung personenbezogener Daten (wie insbesondere
der IP-Adresse; siehe Frage 43) an den Social Media-Dienst gibt es jedoch
keine Rechtsgrundlage.
Um Social Media Plugins rechtskonform einsetzen zu können, bietet sich
die in der Praxis übliche „Zwei-Klick-Lösung“ an:
> Zunächst sind die Social Media Plugins deaktiviert („ausgegraut“). Erst
durch den ersten Klick des Nutzers auf die Social Media Plugins auf der
besuchten Website werden sie aktiviert und der Quellcode der Social
Media Plugins von den Servern der Social Media-Dienste abgerufen.
106
Verlag Österreich
Dies wird als Einwilligung des Nutzers zur Übermittlung seiner perso-
nenbezogenen Daten an die entsprechenden Social Media-Dienste ange-
sehen.
> Will der Nutzer nun tatsächlich die Social Media Plugins verwenden,
muss er sie ein zweites Mal anklicken, um die entsprechenden Funktio-
nen der Social Media Plugins zu verwenden.
Entscheidend ist hierbei, dass ohne eine Handlung des Nutzers, die darauf
schließen lässt, dass er die Social Media Plugins tatsächlich verwenden
möchte, keine Datenübermittlung an die Social Media-Dienste erfolgt.
Eine mögliche Umsetzung einer Zwei-Klick-Lösung bietet der Verlag Heise
unter https://www.heise.de/ct/artikel‌/2-Klicks-fuer-mehr-Datenschutz-
1333879.html.
Zusätzlich zur Implementierung einer Zwei-Klick-Lösung sollte in der Da-

tenschutzerklärung über die Verwendung der entsprechenden Social Media
Plugins informiert werden.
107
Verlag Österreich
Verlag Österreich
F. E-Mails
49. Wie lange sollen E-Mails aufbewahrt werden?

Als pragmatische Faustregel ist eine Aufbewahrung für 7 Jahre zu empfeh-
len. Hiermit wird grundsätzlich sowohl den gesetzlichen Aufbewahrungs-
pflichten als auch dem datenschutzrechtlichen Grundsatz der Speicherbe-

grenzung Genüge getan.
Nach dem Grundsatz der Speicherbegrenzung dürfen E-Mails nur solange
aufbewahrt werden, wie dies für die festgelegten Verarbeitungszwecke er-
forderlich ist. Damit stellt sich die Frage: Zu welchen Zwecken werden
E-Mails tatsächlich gespeichert?
Typischerweise speichert ein Unternehmen Mitarbeiter-E-Mails zu folgen-
den Zwecken:
> Die Erfüllung von Aufbewahrungspflichten: Das Unternehmensge-
setzbuch (UGB) sieht vor, dass Geschäftsbriefe für 7 Jahre aufbewahrt
werden müssen (§ 212 Abs 1 UGB). Externe E-Mail-Korrespondenz
sollte zu diesem Zweck jedenfalls 7 Jahre gespeichert werden.
> Zur Geltendmachung oder Verteidigung von Rechtsansprüchen: In ei-
nem Rechtsstreit mit einem Mitarbeiter oder einem Kunden können
E-Mails wertvolle Beweismittel sein. Da Schadenersatzansprüche grund-
sätzlich nach 3 Jahren ab Kenntnis von Schaden und Schädiger verjähren,
ist – unabhängig von der Aufbewahrungspflicht nach UGB – eine Auf-
bewahrung von E-Mail-Korrespondenz für 3 Jahre jedenfalls ratsam. Bei
Kundenverträgen mit einer langen Laufzeit sollten zudem alle E-Mails,
welche den Prozess der Vertragsverhandlung dokumentieren, bis zum
Ablauf von 3 Jahren nach Beendigung des Vertragsverhältnisses aufbe-
wahrt werden.
> Zur Steigerung der Effizienz betrieblicher Prozesse: Für viele Mitarbeiter
ist es hilfreich, bei der Erfüllung ihrer täglichen Aufgaben auf alte
E-Mail-Korrespondenz zurückgreifen zu können, die bereits ähnliche
Probleme behandelt hat. Dies kann es erforderlich machen, gewisse inter-
ne und externe E-Mail-Korrespondenz für einige Jahre aufzubewahren.
109
Verlag Österreich
Unternehmen, die sich als Ziel gesetzt haben, die DSGVO zu 100% zu er-
füllen (siehe Schritt 4 des Umsetzungsplans), sollten daher nicht alle E-Mails
gleich behandeln, sondern nach dem Inhalt der E-Mail eine differenzierte
Aufbewahrungsfrist festlegen. Da dies jedoch kaum praktikabel ist, emp-
fiehlt sich als pragmatische Faustregel alle E-Mails 7 Jahre aufzubewahren.
Zusätzlich sollten jene Mitarbeiter bzw Mitglieder der Geschäftsführung,
die mit Vertragsverhandlungen befasst sind, instruiert werden, dass sie
E-Mails, welche die Vertragsverhandlungen dokumentieren, separat spei-
chern und diese grundsätzlich bis zum Ablauf von 3 Jahren nach Beendi-
gung des Vertragsverhältnisses aufbewahren sollten.
50. Dürfen eingehende und ausgehende E-Mails gespiegelt

werden?
In manchen Unternehmen ist es üblich, dass eine Kopie aller ein- und aus-
gehenden E-Mails gewisser Mitarbeiter automatisch an ihren Vorgesetzten
übermittelt wird (so als ob der Vorgesetzte BCC gewesen wäre). Dies ist
sowohl strafrechtlich als auch datenschutzrechtlich und arbeitsrechtlich be-
denklich und sollte nur erfolgen wenn
> die E-Mail-Nutzung durch die konkreten Mitarbeiter besondere Risi-
ken für das Unternehmen bringt, die durch ein Vier-Augen-Prinzip re-
duziert werden sollen – zB wenn die fraglichen Mitarbeiter regelmäßig
per E-Mail Verträge mit Kunden ausverhandeln oder Geschäftsgeheim-
nisse mit ausgewählten Geschäftspartnern austauschen;
> den Mitarbeitern die Privatnutzung des beruflichen E-Mail-Accounts
untersagt wurde;
> die Mitarbeiter über die Spiegelung informiert wurden bzw in Betrie-
ben mit Betriebsrat eine Betriebsvereinbarung über die Spiegelung ge-
schlossen wurde und
> in der Signatur aller ausgehenden E-Mails ein Link auf eine Daten-
schutzmitteilung enthalten ist, die über die Spiegelung informiert.
Grundsätzlich ist eine solche Spiegelung von eingehenden und ausgehenden
E-Mails problematisch, da es eine gerichtliche Straftat darstellt, E-Mails,
die sich auf dem Übertragungsweg befinden, aufzuzeichnen, um sich vom
Inhalt der E-Mails Kenntnis zu verschaffen, obwohl man nicht befugt ist,
die E-Mail zu lesen (§ 120 Abs 2a Strafgesetzbuch). Während diese Befugnis
des Vorgesetzten bei beruflicher Korrespondenz durchaus gegeben ist, ist
dies bei privater Korrespondenz nicht der Fall. Um ein strafrechtliches
Risiko auszuschließen, sollte Mitarbeitern die Nutzung des beruflichen
110
Verlag Österreich
E-Mails
E-Mail-Accounts zu privaten Zwecken daher untersagt werden (vgl

Schritt 10 des Umsetzungsplans).
Mit der in Frage 69 beschriebenen Einwilligungslösung zu arbeiten, ist hin-
gegen nicht ausreichend, um das strafrechtliche Risiko hinreichend zu min-
dern. Denn hierdurch könnte nur die Einwilligung des Mitarbeiters einge-
holt werden, nicht hingegen die Einwilligung des Kommunikationspartners
des Mitarbeiters. Hinsichtlich der eingehenden privaten E-Mails wäre der
Vorgesetzte daher noch immer ein „Unbefugter“.
Unabhängig von den oben dargestellten strafrechtlichen Erwägungen gilt
aus datenschutzrechtlicher Sicht, dass ein überwiegendes berechtigtes In-
teresse erforderlich ist und daher eine E-Mail-Spiegelung grundsätzlich nur
bei ausgewählten Mitarbeitern erfolgen sollte, deren E-Mail-Nutzung be-
sondere Risiken mit sich bringt.

Darüber hinaus machen es der Grundsatz der Transparenz und die konkre-
ten Informationspflichten nach der DSGVO erforderlich, die externen
Kommunikationspartner der Mitarbeiter darüber zu informieren, dass eine
solche Spiegelung erfolgt und daher jede E-Mail, die sie einem Mitarbeiter
senden, auch an den Vorgesetzten des Mitarbeiters übermittelt wird. Um
diese Informationspflicht zu erfüllen, ist es nicht erforderlich, dass in der
E-Mail ein Text enthalten ist, der über die Spiegelung informiert. Allerdings
sollte ein Link in der E-Mail-Signatur enthalten sein, der auf eine Daten-
schutzmitteilung verweist, in der die Spiegelung hinreichend deutlich be-
schrieben wird. Den Mitarbeitern sollte die Datenschutzmitteilung ebenso
zur Kenntnis gebracht werden.
Aus arbeitsrechtlicher Sicht ist in Betrieben mit Betriebsrat eine Betriebsver-
einbarung erforderlich, da die Spiegelung der E-Mails über die Ermittlung von
allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgeht
und auch nicht zur Erfüllung von arbeitsrechtlichen Pflichten erforderlich ist
(§ 96a Abs 1 Z 1 Arbeitsverfassungsgesetz; siehe allgemein Frage 62).
Die Implementierung einer Spiegelung ein- und ausgehender E-Mails sollte
daher wohl überlegt und geplant werden, widrigenfalls nicht nur erhebliche
datenschutzrechtliche und arbeitsrechtliche, sondern sogar strafrechtliche
Risiken bestehen.
51. Darf man auf den E-Mail-Account eines Mitarbeiters zugrei-

fen, der auf Urlaub ist oder das Unternehmen verlassen hat?
Ja, auf den E-Mail-Account eines Mitarbeiters zuzugreifen, der auf Urlaub
ist oder aus dem Unternehmen ausgeschieden ist, ist zulässig, sofern folgen-
de Voraussetzungen erfüllt sind:
111
Verlag Österreich
> der Zugriff ist im konkreten Fall aus betrieblichen Gründen notwendig
(zB weil eine Korrespondenz dringend benötigt wird und der auf Urlaub
befindliche Mitarbeiter nicht erreicht werden kann);
> den Mitarbeitern wurde die Privatnutzung des beruflichen E-Mail-
Accounts untersagt und
> die Mitarbeiter wurden über die Möglichkeit des Zugriffs informiert
bzw in Betrieben mit Betriebsrat wurde eine Betriebsvereinbarung über
den Zugriff abgeschlossen.
Diese Voraussetzungen haben folgenden Hintergrund: Würde die Privat-
nutzung des beruflichen E-Mail-Accounts nicht untersagt, so würde jeder
E-Mail-Account potentiell auch sensible Daten enthalten (zB Korrespon-
denz über Politik mit Freunden, über die Gesundheit mit einem Arzt oder
über das Sexualleben mit einem Partner). Für die Verarbeitung dieser sensib-
len Daten würde es jedoch an einer Rechtsgrundlage fehlen, weshalb die
Privatnutzung zu untersagen ist. Bleibt das Privatnutzungsverbot nicht bloß
theoretischer Natur, sondern werden Verstöße dagegen auch sanktioniert,
so darf der Arbeitgeber in der Tat davon ausgehen, dass die E-Mail-Ac-
counts keine sensiblen Daten enthalten. Ob sie im Einzelfall tatsächlich frei
von sensiblen Daten sind, ist dann rechtlich unerheblich.
Die Verarbeitung nicht-sensibler Daten im Rahmen der Einsichtnahme in
E-Mail-Accounts lässt sich grundsätzlich auf die Rechtsgrundlage des über-
wiegenden berechtigten Interesses stützen (Art 6 Abs 1 lit f DSGVO).
Denn die Einsichtnahme während eines Urlaubs oder nach Ausscheiden aus
dem Unternehmen stellt typischerweise eine betriebliche Notwendigkeit
dar.
Die Pflicht, die Mitarbeiter über die Möglichkeit des Zugriffs zu informie-
ren, resultiert daraus, dass Betroffene stets über die Zwecke der Verarbei-
tung ihrer Daten zu informieren sind (Art 13 Abs 1 lit c, Art 14 Abs 1 lit c
DSGVO).
Gibt es einen Betriebsrat, so ist über die Möglichkeit des Zugriffs eine Be-
triebsvereinbarung abzuschließen, da ein solcher Zugriff auf Arbeitnehmer-
E-Mails über die Ermittlung von allgemeinen Angaben zur Person und
fachlichen Voraussetzungen hinausgeht und auch nicht zur Erfüllung von
arbeitsrechtlichen Pflichten erforderlich ist (§ 96a Abs 1 Z 1 Arbeitsverfas-
sungsgesetz; vgl allgemein Frage 62).
112
Verlag Österreich
G. Kundendatenschutz
52. Ich habe nur Geschäftskunden – gilt die DSGVO überhaupt?

Ja, weil zwar die Daten über die Geschäftskunden (juristische Personen)
meist nicht der DSGVO unterliegen, sehr wohl aber die Daten über die
Kontaktpersonen bei den Geschäftskunden.
Personenbezogene Daten werden in der DSGVO als Informationen defi-

niert, die sich auf eine bestimmte oder bestimmbare natürliche Person be-
ziehen. Daten, die nur einen Bezug zu einer juristischen Person haben (zB
Umsatz, der mit einem bestimmten Geschäftskunden erzielt wurde), sind
daher keine personenbezogenen Daten nach der DSGVO.
Dies gilt mit folgender Einschränkung: Wenn der Firmenwortlaut der juris-
tischen Person eine oder mehrere natürliche Personen bezeichnet (zB bei
der Ein-Mann-GmbH, die nach dem Gesellschafter-Geschäftsführer be-
nannt ist), haben alle Daten, die einen Bezug auf die juristische Person ha-
ben, automatisch auch einen Bezug auf die dahinterstehende natürliche Per-
son und gelten daher als personenbezogene Daten (vgl EuGH 9.11.2010,
C-92/09 und C-93/09 – Schecke, Rn 53).
Außerdem ist zu berücksichtigen, dass Daten, die sich auf juristische Perso-
nen beziehen, grundsätzlich weiterhin vom Grundrecht auf Datenschutz
nach § 1 DSG geschützt sind (Stand: November 2017). Dies ist darauf zu-
rückzuführen, dass die Bundesregierung mit der Einführung des Daten-
schutz-Anpassungsgesetzes 2018 den Schutz von Daten juristischer Perso-
nen gänzlich abschaffen wollte, aber keine Zwei-Drittel-Mehrheit im Parla-
ment dafür finden konnte, welche für eine Einschränkung des Grundrechts
erforderlich gewesen wäre. Der Anwendungsbereich des Datenschutz-An-
passungsgesetz 2018 bleibt dennoch auf Daten natürlicher Personen be-
schränkt. Dies ergibt sich insbesondere daraus, dass das Datenschutz-An-
passungsgesetz 2018 den Titel des bisherigen DSG 2000 in „Bundesgesetz
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten (Datenschutzgesetz – DSG)“ geändert hat.
113
Verlag Österreich
Für Daten juristischer Personen gilt daher nur § 1 DSG, nicht hingegen die
Bestimmungen der DSGVO oder des Datenschutz-Anpassungsgeset-
zes 2018.
Daten juristischer Personen sind nur dann vom Grundrecht nach § 1 DSG
geschützt, wenn die juristische Person ein schutzwürdiges Interesse an den
Daten hat, was nach dem Gesetz ausgeschlossen ist, wenn die Daten ohne-
dies allgemein verfügbar sind (zB Daten auf der Website der juristischen
Person oder aus den Gelben Seiten). § 1 DSG gewährt juristischen Personen
folgende Rechte:
> einen Anspruch auf Geheimhaltung – Daten juristischer Personen dür-
fen dennoch verwendet werden, wenn (i) die juristische Person zuge-
stimmt hat, (ii) ein überwiegendes berechtigtes Interesse des Verantwort-
lichen oder eines Dritten besteht oder (iii) eine gesetzliche Ermächtigung
oder Verpflichtung zur Datenverwendung gegeben ist;
> ein Recht auf Auskunft darüber, wer welche Daten über die juristische
Person verarbeitet, woher die Daten stammen und wozu sie verwendet
werden, insbesondere auch, an wen sie übermittelt werden;
> ein Recht auf Richtigstellung unrichtiger Daten;
> ein Recht auf Löschung unzulässigerweise verarbeiteter Daten – auch
hier ist wieder darauf abzustellen, ob (i) die juristische Person zuge-
stimmt hat, (ii) ein überwiegendes berechtigtes Interesse des Verantwort-
lichen oder eines Dritten besteht oder (iii) eine gesetzliche Ermächtigung
oder Verpflichtung zur Datenverwendung gegeben ist.
Im Fall der Verletzung der Rechte einer juristischen Person kann diese ihre
Rechte lediglich am Zivilrechtsweg einklagen. Eine Geldbuße kann jedoch
nicht verhängt werden, da die Datenschutzbehörde für den Schutz perso-
nenbezogener Daten juristischer Personen gar nicht zuständig ist.
Der Schutz personenbezogener Daten juristischer Personen wird daher
weiterhin totes Recht bleiben und Unternehmen werden gut beraten sein,
sich auf den Schutz personenbezogener Daten natürlicher Personen zu fo-
kussieren.
53. Müssen Kunden in die Verarbeitung ihrer Daten einwilligen?

Nein, in vielen Fällen ist gar keine Einwilligung der Kunden erforderlich, da
es für die Verarbeitung der Kundendaten eine alternative Rechtsgrundlage
gibt (zu den Rechtsgrundlagen vgl bereits ausführlich Schritt 8, Zwischen-
schritt A des Umsetzungsplanes):
114
Verlag Österreich
Kundendatenschutz
− die Erforderlichkeit für die Erfüllung eines Vertrages, der mit dem Be-
troffenen geschlossen wurde – müssen die Daten des Kunden verarbeitet
werden, um den mit ihm geschlossenen Vertrag zu erfüllen, so stellt dies
eine hinreichende Rechtsgrundlage dar (zB die Verarbeitung der Liefer-
anschrift, um dem Kunden die bestellte Ware zuzusenden);
− die Erforderlichkeit für die Erfüllung einer gesetzlichen Verpflichtung
des Verantwortlichen – zB die Aufbewahrung von Geschäftsbriefen für
7 Jahre (vgl Frage 49) oder
− überwiegende berechtigte Interessen des Verantwortlichen – ein über-
wiegendes berechtigtes Interesse besteht insbesondere, wenn (1) der Ver-
antwortliche Kontaktdaten der Kunden zu Zwecken des Direktmarke-
tings verarbeiten will (zB zur Zusendung von Marketing-E-Mails) und
die Voraussetzungen der Existing Business Relationship Exception vor-

liegen (siehe Frage 54) oder (2) der Verantwortliche im B2B-Bereich tätig
ist (vgl Schritt 3, Zwischenschritt C des Umsetzungsplans) und die per-
sonenbezogenen Daten der Kontaktpersonen, die bei den Kunden tätig
sind, im Rahmen eines regulären Customer Relationship Management
(CRM) Systems verarbeitet.
Ohne eine Einwilligung zu operieren, hat den strategischen Vorteil, dass (1)
die Rechtsgrundlage für die Datenverarbeitung durch einen Betroffenen
nicht willkürlich (durch Widerruf der Einwilligung) zerstört werden kann
und (2) die neuen Beschränkungen der DSGVO für Einwilligungen unbe-
achtet bleiben können (siehe Fragen 60 und 61 zum Koppelungsverbot, Fra-
ge 59 zur Einwilligung durch Kinder und Frage 57 zur separaten Einwilli-
gung bei unzusammenhängenden Verarbeitungszwecken).
Allerdings darf nicht vernachlässigt werden, dass bei manchen Datenverar-
beitungen keine andere Rechtsgrundlage als eine Einwilligung der Betroffe-
nen in Betracht kommt. Dies ist insbesondere der Fall, wenn es um die Ver-
arbeitung sensibler Daten oder um jene Arten des Profilings geht, die recht-
liche Folgen für die Betroffenen haben oder diese ähnlich schwerwiegend
beeinträchtigen (siehe Frage 55).
54. Ist eine Einwilligung für einen E-Mail-Newsletter erforderlich?

Eine Einwilligung zum Empfang eines Newsletters ist nur erforderlich,
wenn der Empfänger kein Kunde des Unternehmens ist.
Grundsätzlich gilt, dass sowohl Werbe-E-Mails als auch sonstige E-Mails,
die an mehr als 50 Empfänger adressiert sind, nur nach vorheriger Einwilli-
gung der Empfänger gesendet werden dürfen.
115
Verlag Österreich
Eine solche Einwilligung kann am besten durch ein sog Double-Opt-In-

Verfahren eingeholt werden:
> Erstens muss der Nutzer seine E-Mail-Adresse auf der Website angeben
und einwilligen, dass diese für die Zusendung von Werbung verwendet
wird. Eine solche Einwilligungserklärung könnte wie folgt lauten, wobei
die Checkbox per Default nicht angehakt sein darf:
Muster einer Einwilligungserklärung für Werbe-E-Mails
 E-Mail-Newsletter abonnieren. Ihre Zustimmung zur Zusen-

dung des Newsletters können Sie jederzeit widerrufen. Durch den
Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund
der Einwilligung bis zum Widerruf erfolgten Datenverarbeitung
nicht berührt.
Die Hinweise darauf, dass die Einwilligung jederzeit widerrufen werden

kann, sowie darauf, dass der Widerruf keinen rückwirkenden Effekt hat,
sind nach der DSGVO Voraussetzung für eine wirksame Einwilligung
(Art 7 Abs 3 DSGVO). Alternativ können diese Hinweise freilich in eine
Datenschutzerklärung aufgenommen werden, die dem Nutzer vor Ab-
gabe der Einwilligung (zB durch einen Link im Registrierungsprozess)
zugänglich gemacht wird.
> Zweitens wird an den Nutzer eine Bestätigungs-E-Mail an die angegebe-
ne E-Mail-Adresse gesendet. Nur wenn der Nutzer den in der E-Mail
enthaltenen Bestätigungs-Link klickt, wird die E-Mail-Adresse auf den
Newsletter gesetzt. Hierdurch ist sichergestellt, dass der Nutzer, der die
E-Mail-Adresse auf der Website bekannt gegeben hat und seine Einwil-
ligung erklärt hat, auch tatsächlich der Inhaber der E-Mail-Adresse ist.
Als Ausnahme hiervon ist eine Zusendung ohne Einwilligung zulässig,
wenn („Existing Business Relationship Exception“):
> der Absender die Kontaktinformation von seinem Kunden erhalten
hat (zB weil der Kunde die E-Mail-Adresse im Rahmen der Bestellung
angegeben hat);
> die Nachricht zur Direktwerbung für eigene ähnliche Produkte oder
Dienstleistungen erfolgt (zB wenn der Kunde Sportschuhe gekauft hat
und nun Werbung für andere Bekleidung oder Sportartikel erhält, nicht
hingegen, wenn er Werbung für ein Auto erhalten würde);
> dem Empfänger bei der Erhebung seiner E-Mail-Adresse und in jeder
Werbe-E-Mail eine kostenlose Opt-Out-Möglichkeit geboten wird und
> der Empfänger die Zusendung nicht von vornherein durch Eintragung
in eine von einer Behörde (RTR) geführten Liste abgelehnt hat (siehe
116
Verlag Österreich
Kundendatenschutz
https://www.rtr.at/de/tk/TKKS_ECGEintrag) – ob dies der Fall ist,

kann automatisch geprüft werden (siehe https://www.rtr.at/de/tk/
TKKS_ECGListe).
55. Was ist bei Kunden-Profiling zu beachten?

Profiling unterliegt nach der DSGVO nur dann besonderen, zusätzlichen
Beschränkungen, wenn das Profiling gegenüber den Betroffenen rechtliche
Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt
(Art 22 Abs 1 DSGVO).
Der Begriff des Profiling ist in der DSGVO relativ weit definiert als jede Art
der automatisierten Verarbeitung personenbezogener Daten zu dem Zweck,
bestimmte persönliche Aspekte der Betroffenen zu bewerten, insbesondere

um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit,
persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthalts-
ort oder Ortswechsel der Betroffenen zu analysieren oder vorherzusagen.
Nahezu alle Formen der personalisierten Werbung oder der personalisierten
Preisgestaltung stellen daher ein Profiling im Sinne der DSGVO dar, sofern
diese Prozesse automatisiert werden.
Besondere Beschränkungen gelten für Profiling, wenn:
> das Profiling rechtliche Wirkungen für die Betroffenen entfaltet; dies ist
zB der Fall, wenn eine Versicherung auf Grundlage des errechneten Risi-
kos des Versicherten automatisch über eine Vertragskündigung entschei-
det; oder
> das Profiling die Betroffenen in ähnlicher Weise erheblich beeinträch-
tigt; dies ist zB der Fall bei einer automatischen Ablehnung eines On-
line-Kreditantrags oder einem Online-Einstellungsverfahren ohne jegli-
ches menschliches Eingreifen (vgl Erwägungsgrund 71 Satz 1 DSGVO).
Liegt eine solche schwere Form des Profilings vor, so gelten folgende Ein-
schränkungen:
> Das Profiling ist nur zulässig, wenn einer der folgenden Rechtsgrundla-
gen gegeben ist:
· das Profiling ist für den Abschluss oder die Erfüllung eines Ver-
trags zwischen dem Betroffenen und dem Verantwortlichen erfor-
derlich – dies wäre zB der Fall, wenn nach dem KFZ-Versicherungs-
vertrag, der mit dem Betroffenen geschlossen wurde, die Versiche-
rungsprämie an die Risikogeneigtheit des Fahrstils anzupassen ist – je
sicherer jemand fährt, desto geringer soll die Prämie werden;
117
Verlag Österreich
· das Profiling basiert auf einer gesetzlichen Ermächtigung oder Ver-

pflichtung – eine solche ist in der österreichischen Rechtsordnung
nicht ersichtlich; oder
· der Betroffene hat seine ausdrückliche Einwilligung erteilt.
> Sofern das Profiling nicht auf eine gesetzliche Ermächtigung oder Ver-
pflichtung gestützt werden kann, sind dem Betroffenen folgende Rechte
zu gewähren:
· das Recht auf Erwirkung des Eingreifens einer Person seitens des
Verantwortlichen – dh es muss eine manuelle Prüfung des Profiling
auf Antrag des Betroffenen erfolgen;
· das Recht auf Darlegung des eigenen Standpunkts – dh der Betrof-
fene muss die Möglichkeit haben, mit zusätzlichen Informationen
zum Ergebnis des Profiling Stellung zu nehmen;
· das Recht auf Anfechtung der Entscheidung – dh die Auswirkun-

gen des Profiling müssen rückgängig gemacht werden können (zB die
Vertragskündigung wird zurückgenommen).
> Die Betroffenen sind zum Zeitpunkt der Erhebung der Daten, die für das
Profiling verwendet werden (Art 13 Abs 2 lit f und Art 14 Abs 2 lit g
DSGVO), darüber zu informieren
· dass ein Profiling erfolgt;
· welche Entscheidungslogik dem Profiling zugrunde liegt und
· welche Tragweite und welche angestrebten Auswirkungen das Profi-
ling für die Betroffenen hat.
> Erfolgt im Rahmen des Profiling eine systematische und umfassende Be-
wertung persönlicher Aspekte, so ist jedenfalls eine Datenschutz-Fol-
genabschätzung durchzuführen (Art 35 Abs 3 lit a DSGVO).
Entfaltet das Profiling gegenüber den Betroffenen keine rechtliche Wirkung
und beeinträchtigt es die Betroffenen auch nicht in ähnlicher Weise, so gel-
ten die oben dargestellten Voraussetzungen nicht. Nach den allgemeinen
Regeln der DSGVO kann der Betroffene aber einen Widerspruch gegen das
Profiling erheben, wenn
> das Profiling zu Zwecken der Direktwerbung erfolgt (Art 21 Abs 2
DSGVO) oder
> sich das Profiling auf die Rechtsgrundlage des überwiegenden berechtig-
ten Interesses stützt (Art 21 Abs 1 DSGVO).
118
Verlag Österreich
Kundendatenschutz
56. Ist eine Einwilligungserklärung in AGB zulässig?

Ja, Einwilligungserklärungen dürfen auch in AGB aufgenommen werden.
Allerdings ist auf Folgendes zu achten (vgl Art 7 Abs 2 DSGVO):
> Die Einwilligungserklärung darf nicht in den AGB „versteckt“ wer-
den, dh sie muss unter einer selbsterklärenden Überschrift platziert
werden – zB „Datenschutz“ oder „Einwilligung in die Verarbeitung Ih-
rer Daten“. Die Einwilligungserklärung unter einer Überschrift wie
„Sonstige Bestimmungen“ zu platzieren, wäre hingegen nicht ausrei-
chend.
> Die Einwilligungserklärung muss in klarer und einfacher Sprache ver-
fasst sein – dh nicht in Juristendeutsch gespickt mit Fachausdrücken und
Schachtelsätzen.
> Das Koppelungsverbot ist zu beachten (siehe Frage 60) bzw muss allen-
falls eine Umgehungsstrategie entwickelt werden (siehe Frage 61).
> Soll die Einwilligung mehrere Verarbeitungstätigkeiten umfassen, die
nichts miteinander zu tun haben, muss es möglich sein, für diese separat
einzuwilligen bzw die Einwilligung separat zu verweigern (zB durch
mehrere Checkboxen; siehe ausführlich Frage 57).
57. Sind separate Einwilligungen für unterschiedliche

Verarbeitungszwecke erforderlich?
Nein, separate Einwilligungen sind jedoch für unterschiedliche „Verarbei-
tungsvorgänge“ erforderlich, sofern sie nichts miteinander zu tun haben.
Dies bedeutet, dass beispielsweise für (1) eine Verarbeitung zu eigenen Mar-
ketingzwecken und (2) zum Verkauf der Daten an beliebige Dritte separate
Einwilligungen (zB in Form von separaten Checkboxes) eingeholt werden
müssen.
Der rechtliche Hintergrund ist, dass nach der DSGVO eine Einwilligung
dann nicht frei (und daher ungültig) ist, wenn zu verschiedenen Verarbei-
tungsvorgängen nicht gesondert eine Einwilligung erteilt werden kann, ob-
wohl dies im Einzelfall angebracht ist (Erwägungsgrund 43 letzter Satz
DSGVO).
„Angebracht“ ist es dann, separate Einwilligungen für unterschiedliche Ver-
arbeitungsvorgänge einzuholen, wenn diese nichts miteinander zu tun ha-
ben. Da es schlussendlich um die Freiwilligkeit der Einwilligung geht, sollte
dies aus Betroffenensicht beurteilt werden. Die untenstehende Tabelle nennt
einige Beispiele:
119
Verlag Österreich
Verarbeitungs Verarbeitungs Separate Einwilligung

tätigkeit 1 tätigkeit 2 erforderlich?
Profiling zum Zweck Zusendung von Nein, weil beide Verar-

der personalisierten personalisierten beitungstätigkeiten auch
E-Mail-Werbung Werbe-E-Mails aus Betroffenensicht
zusammenhängen.
Verwendung der Zusendung von Ja, weil die Verbesserung
Nutzer-Daten zu Werbe-E-Mails der Website aus Betroffe-
Zwecken der Verbes- nensicht nichts mit der
serung der Website Zusendung von E-Mails
zu tun hat.
Verwendung der Übermittlung an Nein, weil beide Verar-

Nutzer-Daten zu einen Hosting-Provi- beitungstätigkeiten
Zwecken der Verbes- der (Auftragsverar- unmittelbar mit dem
serung der Website beiter) zwecks (verbesserten) Funktio-
Hosting der Website nieren der Website
verknüpft sind.
E-Mail-Marketing E-Mail-Marketing Nein, sofern die Kon-
durch den Verant- durch andere Kon- zerngesellschaften
wortlichen zerngesellschaften des dieselben Waren und
Verantwortlichen Dienstleistungen anbie-
ten. Bietet hingegen eine
Konzerngesellschaft zB
Haushaltsgeräte und die
andere Versicherungen
an, so wären wohl
separate Einwilligungen
für die jeweiligen
Gesellschaften einzu
holen.
Speicherung der Übermittlung der Nein, weil beide Verar-
Daten abgelehnter Daten abgelehnter beitungstätigkeiten auch
Bewerber zu dem Bewerber an andere aus Betroffenensicht
Zweck, sie über neue Konzerngesellschaf- zusammenhängen.
offene Stellen beim ten, damit diese die
Verantwortlichen Bewerber über offene
informieren zu Stellen informieren
können können
120
Verlag Österreich
Kundendatenschutz
58. Gelten alte Einwilligungen, die vor Geltungsbeginn der

DSGVO erteilt wurden, fort?
Ja, alte (wirksame) Einwilligungen, die noch vor dem Geltungsbeginn der
DSGVO am 25. Mai 2018 eingeholt wurden, gelten nach der DSGVO in fast
allen Fällen fort.
Zwar sieht die DSGVO eine Fortgeltung nur dann vor, wenn die Einwilli-
gungen bereits den Anforderungen der DSGVO entsprochen haben (Erwä-
gungsgrund 171 Satz 3 DSGVO). Die von der österreichischen Rechtspre-
chung bereits nach dem DSG 2000 gestellten Anforderungen an eine wirk-
same Zustimmung waren allerdings so streng, dass in fast allen Fällen eine
Fortgeltung der Einwilligungen problemlos ist.
In Einzelfällen könnte eine Fortgeltung dann problematisch sein, wenn

> die alten Einwilligungen im Konflikt mit dem neuen Koppelungsverbot
stehen (siehe Fragen 60 und 61) oder
> in den alten Einwilligungserklärungen unzusammenhängende Verarbei-
tungsvorgänge nach dem Grundsatz „alles oder nichts“ gebündelt wur-
den (siehe Frage 57).
59. Ab welchem Alter ist eine Einwilligung von Minderjährigen

wirksam?
Kinder können grundsätzlich ab dem Alter von 14 Jahren selbst eine
wirksame Einwilligung erteilen. Davor können nur die Erziehungsberech-
tigten für das Kind einwilligen.
Die DSGVO sieht in Bezug auf Online-Dienste (Dienste der Informations-
gesellschaft) für Einwilligungen eine Altersschwelle von 16 Jahren vor, er-
möglicht es aber den EU-Mitgliedstaaten, die Altersschwelle auf bis zu
13 Jahre zu reduzieren. In Österreich wurde die Altersschwelle in Bezug
auf Online-Dienste auf 14 Jahre herabgesetzt (§ 4 Abs 4 DSG).
Da weder die DSGVO noch das DSG eine Altersschwelle für die „Offline-
Welt“ vorsehen, wird man die Wertung des Gesetzgebers, die dieser für die
Online-Welt getroffen hat, verallgemeinern und unmittelbar auf die „Off-
line-Welt“ übertragen können. Es gilt daher nach österreichischem Recht
allgemein eine Altersschwelle von 14 Jahren.
International tätige Unternehmen sollten weiters berücksichtigen, dass an-
dere EU-Mitgliedstaaten abweichende Altersschwellen einführen können
(13, 14, 15 oder 16 Jahre). Klagt beispielsweise ein ausländischer Betroffener
in seinem Wohnsitzstaat, wäre es durchaus denkbar, dass das ausländische
121
Verlag Österreich
Gericht das ausländische Recht und damit eine andere Altersschwelle an-
wendet. Will ein international tätiges Unternehmen auf Nummer sicher ge-
hen, müsste es daher 16 Jahre als Altersschwelle anwenden.
Insbesondere für Online-Dienste stellen sich im Zusammenhang mit der
Einwilligung von Kindern folgende Fragen:
> Wie soll der Anbieter das Alter des Nutzers überprüfen? Dies ist in der
DSGVO nicht geregelt, allerdings ist davon auszugehen, dass es ausrei-
chend ist, wenn (i) der Online-Dienst nicht auf Kinder ausgerichtet ist,
die noch nicht einwilligungsfähig sind und (ii) der Verantwortliche auch
keine Kenntnis davon hat, dass die Daten solcher Kinder verarbeitet
werden. Praktisch gesprochen sollten Anbieter von Online-Diensten da-
her im Rahmen eines Nutzer-Registrierungsprozesses das Geburtsda-
tum der Nutzer abfragen – gibt der Nutzer ein Geburtsdatum an, aus
dem sich ergibt, dass der Nutzer zumindest 14 Jahre alt ist, so wird sich
der Anbieter hierauf auch verlassen dürfen (sofern die Website nicht auf
Kinder unter 14 Jahre ausgerichtet ist).
> Wie kann die Einwilligung des Erziehungsberechtigten eingeholt
werden? Dies stellt sich in der Praxis als besonders schwer dar, weil es
kein öffentliches Register gibt, aus dem ersichtlich wäre, wer wessen Er-
ziehungsberechtigter ist. Da nach der DSGVO allerdings nur „unter Be-
rücksichtigung der verfügbaren Technik angemessene Anstrengungen“
unternommen werden müssen (Art 8 Abs 2 DSGVO), wäre es durchaus
denkbar, dass es ausreicht, zu prüfen, ob eine volljährige Person namens
des Kindes einwilligt (dh die Erziehungsberechtigung nicht zu prüfen).
Zu diesem Zweck könnten Online-Services verwendet werden, bei de-
nen der mutmaßliche Erziehungsberechtigte einen amtlichen Lichtbild-
ausweis mit Geburtsdatum in die Web-Cam halten muss und dieser dann
auf seine Authentizität geprüft wird.
60. Darf man das Angebot von Waren und Dienstleistungen von

der Erteilung einer Einwilligung abhängig machen?
(Koppelungsverbot)
Betroffenen Waren oder Dienstleistungen unter der Bedingung anzubieten,
dass sie in die Verarbeitung ihrer Daten einwilligen, ist grundsätzlich unzu-
lässig, weil der Betroffene keine „freie“ Entscheidung über die Erteilung der
Einwilligung treffen kann (Art 7 Abs 4 DSGVO). Die Einwilligung ist damit
unwirksam und die Datenverarbeitung mangels Rechtsgrundlage unzulässig.
Das Verbot, die Waren- bzw Dienstleistungserbringung dieserart an eine
Einwilligung zu koppeln, wird auch als „Koppelungsverbot“ bezeichnet.
122
Verlag Österreich
Kundendatenschutz
Beispielsweise wäre es unzulässig, ein Online-Spiel unter der Bedingung an-

zubieten, dass die Nutzer vorab einwilligen, dass ihre Kontaktdaten zu
Zwecken des Direktmarketings verwendet werden.
Ebenso unzulässig wäre es, wenn Betroffene nur dann an einem Gewinn-
spiel teilnehmen können, wenn sie sich zuerst für einen Newsletter regis
trieren.
Die DSGVO selbst nennt vom Koppelungsverbot nur eine Ausnahme:
Wenn die Einwilligung nur Datenverarbeitungen erfasst, die ohnedies für
die Erfüllung des Vertrages notwendig sind, den der Betroffene mit dem
Verantwortlichen geschlossen hat. In diesem Fall ist jedoch gar keine Ein-
willigung erforderlich, da die Notwendigkeit zur Vertragserfüllung als
Rechtsgrundlage ausreicht.
Es ist auch darauf hinzuweisen, dass es nicht zulässig ist, die Datenverarbei-
tung „künstlich“ zum Vertragsinhalt zu machen, um so dem Koppelungs-
verbot zu entgehen. Die AGB eines Online-Spiels so zu modifizieren, dass
sich der Verantwortliche verpflichtet, dem User wöchentlich Direktmarke-
tinginformationen per E-Mail zukommen zu lassen und dann zu behaupten,
diese Datenverarbeitung sei zur Vertragserfüllung notwendig, wäre eine un-
zulässige Umgehung des Einwilligungserfordernisses und des Koppelungs-
verbots.
Das Koppelungsverbot wird daher zu Recht als erhebliches Risiko für viele
datenbasierte Geschäftsmodelle und digitale Marketinginitiativen wahrge-
nommen. Die folgende Frage 61 beantwortet, wie das Koppelungsverbot
umgangen werden kann.
61. Wie umgeht man das Koppelungsverbot?

Es gibt in der Tat einige Möglichkeiten, das in Frage 60 dargestellte Koppe-
lungsverbot zu umgehen:
> Eine andere Rechtsgrundlage finden: Kann die Datenverarbeitung auf
eine andere Rechtsgrundlage als die Einwilligung der Betroffenen ge-
stützt werden, ist die Einholung einer Einwilligung überflüssig und das
Koppelungsverbot hinfällig. Will beispielsweise ein Betreiber eines On-
line-Shops seinen Kunden einen Newsletter zusenden, so ist hierfür gar
keine Einwilligung erforderlich – siehe Frage 54.
> Eine alternative Bezugsmöglichkeit schaffen (Entkoppelung): Das
Koppelungsverbot kann auch dadurch umgangen werden, dass – neben
der Erteilung einer Einwilligung – eine Alternative geschaffen wird, die
angeboten Waren bzw Dienstleistungen zu erhalten.
123
Verlag Österreich
· Erstens kann diese Alternative darin bestehen, dass der Betroffene

(statt eine Einwilligung zu erteilen), ein (zusätzliches) Entgelt leis-
tet. Beispielsweise gibt es viele Online-Dienste, die bisher auf das Ge-
schäftsmodell personenbezogene Werbung setzen, dh den Online-
Dienst „gratis“ anbieten und – gestützt auf eine Einwilligung in den
Nutzungsbedingungen – von Dritten Geld dafür erhalten, personen-
bezogene Werbung auf dem Online-Dienst zu schalten. Um in dieser
Konstellation eine alternative Bezugsmöglichkeit zu schaffen, könnte
der Online-Dienst in zwei Varianten angeboten werden: (1) wie bis-
her als „Gratis“-Dienst, sofern der Nutzer eine Einwilligung erteilt
und (2) als Bezahldienst ohne personenbezogene Werbung und daher
auch ohne datenschutzrechtliche Einwilligung.
· Zweitens kann eine alternative Bezugsmöglichkeit geschaffen wer-
den, die so selten von Betroffenen in Anspruch genommen wird,

dass das Geschäftsmodell insgesamt nicht beeinträchtigt wird. Ist bei-
spielsweise die Teilnahme an einem Online-Gewinnspiel bisher nur
möglich, wenn der Teilnehmer in die Zusendung von Werbe-E-Mails
einwilligt, so könnte die alternative (einwilligungsfreie) Teilnahme-
möglichkeit geschaffen werden, einen Brief an die Geschäftsanschrift
des Unternehmens mit der Bitte um Teilnahme zu senden. Eine Ein-
willigung ist damit nicht mehr „notwendig“, um am Gewinnspiel
teilzunehmen und das Koppelungsverbot daher nicht verletzt. Der
Vollständigkeit halber ist darauf hinzuweisen, dass das Online-Ge-
winnspiel unter keinen Umständen in einer „Bezahl-Variante“ ange-
boten werden darf, weil dies das Glücksspielmonopol nach dem
Glücksspielgesetz verletzen würde.
Steht keine andere Rechtsgrundlage als eine Einwilligung zur Verfügung
und ist auch eine Entkoppelung nicht möglich, so bleibt nur noch zu argu-
mentieren, dass für die Frage der Erforderlichkeit auch wirtschaftliche Kri-
terien herangezogen werden können. Ist beispielsweise der Verkauf perso-
nenbezogener Werbung die einzige Einnahmequelle eines Online-Dienstes
und setzt diese personenbezogene Werbung die Einwilligung der Nutzer
voraus, so ist die Einwilligung jedenfalls in wirtschaftlicher Hinsicht „erfor-
derlich“, um die Dienstleistung erbringen zu können. Ob diese Argumenta-
tionslinie erfolgreich sein wird, ist jedoch ungewiss.
124
Verlag Österreich
H. Mitarbeiterdatenschutz
62. Von welchen IT-Systemen muss der Betriebsrat informiert

werden?
Der Betriebsrat ist grundsätzlich über alle IT-Systeme zu informieren, mit

denen Arbeitnehmerdaten verarbeitet werden.
Denn nach dem Arbeitsverfassungsgesetz (ArbVG) hat der Arbeitgeber den
Betriebsrat nicht nur darüber zu informieren, (i) welche Arten von perso-
nenbezogenen Arbeitnehmerdaten er automationsunterstützt aufzeichnet
und (ii) welche Übermittlungen an andere Verantwortliche er vorsieht, son-
dern auch (iii) welche Verarbeitungen er vornimmt (§ 91 Abs 2 ArbVG).
Bei der Information des Betriebsrats sind folgende praktische Aspekte zu
berücksichtigen:
− Inhalt der Information: Die Information an den Betriebsrat sollte aus-
reichend sein, damit dieser beurteilen kann, ob (i) eine Betriebsvereinba-
rung erforderlich ist und, (ii) wenn sie streng genommen erforderlich ist,
der Betriebsrat den Abschluss einer Betriebsvereinbarung fordern soll
(siehe Frage 63). Dies umfasst – wie es das Arbeitsverfassungsgesetz auch
vorsieht – jedenfalls eine Liste der verarbeiteten Datenkategorien sowie
eine Liste der Verantwortlichen, an welche die Daten übermittelt werden
(zB andere Konzerngesellschaften). Zusätzlich sollten die Verarbeitungs-
zwecke genannt werden und das IT-System in technischer Hinsicht kurz
beschrieben werden.
− Zeitpunkt der Information: Der Betriebsrat sollte informiert werden,
bevor die betroffenen Arbeitnehmer informiert werden. Ansonsten be-
steht die Gefahr, dass sich der Betriebsrat „überrumpelt“ fühlt und der
Einführung des IT-Systems zusätzliche Hindernisse in den Weg legt.
− Art der Informationserteilung: Der Betriebsrat kann auch auf infor-
melle Weise informiert werden, zB mit einer schlichten E-Mail. Aller-
dings sollte beweisbar sein, dass die Informationserteilung erfolgt ist (zB
sollte eine Kopie der versendeten E-Mail aufbewahrt werden).
125
Verlag Österreich
63. In welchen Fällen ist eine Betriebsvereinbarung erforderlich?

Sofern es einen Betriebsrat gibt, ist eine Betriebsvereinbarung für ein IT-
System erforderlich, wenn die Verarbeitung der Mitarbeiterdaten darüber
hinausgeht
> allgemeine Angaben zur Person und fachliche Voraussetzungen zu
erheben und
> Pflichten zu erfüllen, die sich aus dem Gesetz, einem Kollektivvertrag oder
einem Arbeitsvertrag ergeben (§ 96a Abs 1 Z 1 Arbeitsverfassungsgesetz).
Dies bedeutet, dass grundsätzlich jede Mitarbeiterdatenverarbeitung, die
über das gesetzlich notwendige Maß hinausgeht, eine Betriebsvereinbarung
erfordert. Insbesondere die Erhebung von Daten zur Leistungsbeurteilung
oder die Übermittlung von Mitarbeiterdaten an andere Konzerngesellschaf-

ten, die selbst als Verantwortliche fungieren, setzt daher eine Betriebsverein-
barung voraus.
Im Einzelnen kann danach unterschieden werden, ob bei Weigerung des Be-
triebsrats, eine Betriebsvereinbarung abzuschließen, eine Schlichtungsstel-
le angerufen werden kann. Dies ist bei datenschutzrechtlichen Betriebsver-
einbarungen grundsätzlich möglich, außer bei
> Personalfragebögen, die darüber hinausgehen, allgemeine Angaben zur
Person und Angaben über die fachlichen Voraussetzungen zu erheben
(§ 96 Abs 1 Z 2 Arbeitsverfassungsgesetz) und
> Kontrollmaßnahmen, welche die Menschenwürde berühren (§ 96 Abs 1
Z 3 Arbeitsverfassungsgesetz), wie insbesondere eine Videoüberwa-
chungsanalage oder ein Whistleblowing-System.
Insgesamt sind die Anforderungen des Arbeitsverfassungsgesetzes nicht
mehr zeitgemäß, da praktisch jedes IT-System von einer Betriebsvereinba-
rung gedeckt sein müsste. In der Praxis behilft man sich durch folgende
pragmatische Ansätze:
> Betriebsvereinbarungen nur dann abzuschließen, wenn der Betriebsrat
dies fordert – dieser sehr pragmatische Ansatz trägt dem Grundsatz „Wo
kein Kläger, da kein Richter“ Rechnung. Er sollte allerdings nur dann
gewählt werden, wenn der Betriebsrat ordnungsgemäß über alle IT-Sys-
temen informiert wird. Denn sich darauf zu verlassen, dass ein neues
System dem Betriebsrat „schon nicht auffallen wird“, wäre keine verläss-
liche Herangehensweise.
> Nach einem risikobasierten Ansatz sicherzustellen, dass zumindest be-
sonders kritische Verarbeitungstätigkeiten von einer Betriebsvereinba-
rung gedeckt sind. Dies gilt beispielsweise für Whistleblowing-Systeme,
126
Verlag Österreich
Mitarbeiterdatenschutz
da ansonsten im Falle einer Meldung eines Rechtsverstoßes der beschul-

digte Mitarbeiter über ein relativ starkes Druckmittel (eine Anzeige bei
der Datenschutzbehörde) verfügen würde.
> Nicht auf einzelne IT-Systeme abzustellen, sondern auf die verarbeite-
ten Datenkategorien und Verarbeitungszwecke – so sind beispielswei-
se Betriebsvereinbarungen zum Thema „Personaldatenverwaltung“
durchaus üblich, die eine Reihe von (namentlich nicht im Detail genann-
ten) IT-Systemen erfassen. Dies hat auch den erheblichen Vorteil, die Be-
triebsvereinbarung nicht jedes Mal neu verhandeln zu müssen, wenn ein
bestehendes IT-System bei gleichbleibender Funktionalität durch ein
anderes IT-System ersetzt wird.
64. Droht eine Geldbuße, wenn eine Betriebsvereinbarung fehlt?

Ja, streng genommen können die in der DSGVO vorgesehen Geldbußen
(siehe Frage 94) verhängt werden, wenn eine Betriebsvereinbarung nicht ab-
geschlossen wird, obwohl sie erforderlich ist (siehe Frage 63).
Denn einer der Grundsätze der DSGVO besagt, dass personenbezogene
Daten nur zu legitimen Zwecken verarbeitet werden dürfen (Art 5 Abs 1
lit b DSGVO). Hierunter versteht die Datenschutzbehörde einen Bezug auf
die gesamte österreichische Rechtsordnung, weshalb insbesondere alle ar-
beitsrechtlichen Vorschriften bei der Verarbeitung personenbezogener Da-
ten einzuhalten sind.
Fehlt eine Betriebsvereinbarung und wurden daher arbeitsrechtliche Vor-
schriften verletzt, so ist der Zweck der Datenverarbeitung nicht mehr legi-
tim und die DSGVO daher verletzt.
Die Praxis zeigt allerdings, dass es kaum ein Unternehmen gibt, das über alle
erforderlichen Betriebsvereinbarungen verfügt. Insbesondere in internatio-
nalen Konzernen wäre dies auch nahezu unmöglich – viel zu häufig werden
neue IT-Systeme eingeführt oder geändert.
Wählt man einen pragmatischen, risikobasierten Ansatz (vgl Schritt 4 des
Umsetzungsplans), so empfiehlt es sich daher wie in Frage 63 beschrieben
vorzugehen.
65. Was ist notwendiger Inhalt einer Betriebsvereinbarung?

Eine datenschutzrechtliche Betriebsvereinbarung sollte jedenfalls Folgendes
enthalten:
> Eine Liste der Datenkategorien: Welche Arbeitnehmerdaten werden
verarbeitet?
127
Verlag Österreich
> Eine Liste der Verarbeitungszwecke: Zu welchen Zwecken werden die

Daten verarbeitet?
> Eine Liste der Empfänger, welche die Daten als Verantwortliche erhal-
ten (zB alle Konzerngesellschaften).
Untenstehend ist ein Muster einer datenschutzrechtlichen Betriebsverein-
barung abgedruckt.
Muster einer datenschutzrechtlichen Betriebsvereinbarung
Betriebsvereinbarung gemäß § 96a Abs 1 Z 1 ArbVG über die

Verarbeitung von Arbeitnehmerdaten
Diese Betriebsvereinbarung wird geschlossen zwischen
> [Firmenwortlaut], [Firmenbuch-Nummer], [Anschrift] („Betriebsin-

haber“) und
> dem Betriebsrat der [Firmenwortlaut], [Anschrift] („Betriebsrat“).
Diese Betriebsvereinbarung gilt für alle vom Betriebsrat vertretenen Ar-
beitnehmerinnen und Arbeitnehmer.
Der Betriebsinhaber beabsichtigt, das in Anlage 1 beschriebene IT-Sys-
tem (im Folgenden „IT-System“) einzuführen. Unter Verwendung des
IT-Systems wird der Betriebsinhaber die in Anlage 2 genannten Katego-
rien von Arbeitnehmerdaten (im Folgenden „Arbeitnehmerdaten“) zu
folgenden Zwecken verarbeiten:
> [Liste der Verarbeitungszwecke].
Unter Verwendung des IT-Systems wird der Betriebsinhaber die Arbeit-
nehmerdaten zu den oben genannten Zwecken auch an folgende Verant-
wortliche übermitteln:
> [Liste der Übermittlungsempfänger, welche die Arbeitnehmerdaten
als Verantwortliche erhalten].
Mit Inkrafttreten dieser Betriebsvereinbarung wird der Betriebsinhaber
die oben beschriebene Verarbeitung von Arbeitnehmerdaten aufnehmen.
Diese Betriebsvereinbarung wird für unbestimmte Dauer abgeschlossen.
___________________ ____________________________
Ort, Datum im Namen des Betriebsinhabers
___________________ ____________________________
Ort, Datum im Namen des Betriebsrats
Anlage 1: Beschreibung des IT-Systems
Anlage 2: Liste der Datenkategorien
128
Verlag Österreich
Über diesen Mindestinhalt hinaus kann in eine Betriebsvereinbarung auch

der Inhalt einer Datenschutzmitteilung aufgenommen werden. Dies hätte
einerseits den Vorteil, dass mit Abschluss und Aushang der Betriebsverein-
barung (vgl § 30 Abs 1 Arbeitsverfassungsgesetz) keine separate Daten-
schutzmitteilung erforderlich ist. Andererseits hat diese „Zwei Fliegen mit
einer Klappe“-Strategie den erheblichen Nachteil, dass bei jeder noch so
kleinen Änderung des Verarbeitungsprozesses (zB Austausch eines IT-Sub-
Dienstleisters) die Betriebsvereinbarung angepasst werden muss.
66.
Darf der Betriebsrat in alle Mitarbeiterdaten Einsicht nehmen?
Nein, ohne Einwilligung der betroffenen Mitarbeiter darf der Betriebsrat
lediglich in jene Mitarbeiterdaten Einsicht nehmen, deren Erhebung und

Verarbeitung für das Unternehmen verpflichtend sind (zB Lohnverrech-
nung einschließlich der Bezüge der Mitarbeiter und die zur Berechnung
dieser Bezüge erforderlichen Informationen). Insbesondere die Einsicht in
die (elektronische) Personalakte eines Mitarbeiters setzt die Einwilligung
des Mitarbeiters voraus.
In rechtlicher Hinsicht ist der Betriebsrat kein Organ des Unternehmens,
sondern ein Organ der Belegschaft, welches eingeschränkte Rechtspersön-
lichkeit hat. Da die Belegschaft (durch den Betriebsrat) entscheidet, welche
Daten sie zu welchen Zwecken verarbeitet, ist sie selbst Verantwortlicher
und im Verhältnis zum Unternehmen ein Dritter.
Jede Übermittlung von personenbezogenen Daten vom Unternehmen an
den Betriebsrat erfordert daher eine eigene Rechtsgrundlage und kann nicht
als lediglich unternehmensinterne Datenverwendung behandelt werden.
Eine solche eingeschränkte Rechtsgrundlage bietet das Arbeitsverfassungs-
gesetz (ArbVG), welches vorsieht, dass der Betriebsrat berechtigt ist, in alle
die Arbeitnehmer betreffenden Aufzeichnungen Einsicht zu nehmen, deren
Führung durch Rechtsvorschriften vorgesehen ist – dh alle Mitarbeiterda-
ten, zu deren Erhebung das Unternehmen verpflichtet ist (§ 89 Z 1 ArbVG).
Dies gilt insbesondere für Aufzeichnungen über die Bezüge der Arbeitneh-
mer und die zur Berechnung dieser Bezüge erforderlichen Informationen.
Zu berücksichtigen ist allerdings, dass das Gesetz nur von einem Recht auf
„Einsichtnahme“ spricht. Der Betriebsrat ist daher nicht berechtigt, eine
Kopie der Daten oder einen dauerhaften Zugang zu den relevanten Syste-
men zu erhalten.
Für alle anderen Mitarbeiterdaten gilt, dass eine Einsichtnahme durch den
Betriebsrat grundsätzlich die Einwilligung des betroffenen Mitarbeiters vo-
129
Verlag Österreich
raussetzt. Insbesondere für Personalakten stellt dies das Gesetz ausdrück-

lich klar (§ 89 Z 4 ArbVG).
67. Wie lange dürfen Mitarbeiterdaten aufbewahrt werden?

Mitarbeiterdaten dürfen grundsätzlich nur so lange aufbewahrt werden, wie
es eine gesetzliche Aufbewahrungspflicht gibt, sie zur Geltendmachung
oder Verteidigung von Rechtsansprüchen erforderlich sind oder (bei nicht-
sensiblen Mitarbeiterdaten) ein überwiegendes berechtigtes Interesse ge-
geben ist.
Im Einzelnen gilt Folgendes:
> Für Daten der Lohnverrechnung gilt grundsätzlich eine 7-jährige steuer-
rechtliche (und sozialversicherungsrechtliche) Aufbewahrungspflicht.
> Soweit Daten zur Geltendmachung oder Verteidigung von Rechtsan-
sprüchen erforderlich sind und die einschlägigen Verjährungsfristen
noch nicht abgelaufen sind, dürfen die Daten (auch sensible Daten) auf-
bewahrt werden. Dass derartige Rechtsansprüche bereits erhoben wur-
den oder auch nur absehbar sind, ist nicht erforderlich.
> Im Übrigen wird bei den meisten sonstigen Mitarbeiterdaten grundsätz-
lich ein überwiegendes berechtigtes Interesse für eine Dauer von drei
Jahren nach Beendigung des Dienstverhältnisses gegeben sein, weil eini-
ge Ansprüche nicht schon nach sechs Monaten, sondern erst nach drei
Jahren verjähren und darüber hinaus das Unternehmen für gewöhnlich
ein Interesse daran hat, Mitarbeiter, die innerhalb weniger Jahre in das
Unternehmen zurückkehren, aufgrund ihrer bisherigen Leistungen im
Unternehmen richtig einordnen zu können.
> E-Mails müssen bzw dürfen grundsätzlich sieben Jahre aufbewahrt wer-
den (siehe im Detail Frage 49).
Unternehmen, die sicherstellen wollen, dass Mitarbeiterdaten keinesfalls
länger als zulässig gespeichert bleiben, werden ein Löschkonzept entwi-
ckeln und automatisieren müssen. Die große praktische Herausforderung
besteht hierbei darin, (i) exakt zu definieren, welche Datenkategorien zur
Erfüllung welcher Aufbewahrungspflichten bzw zur Abwehr welcher po-
tentieller Rechtsansprüche erforderlich sind, (ii) fehlerfrei zu ermitteln,
wann die Verjährungsfristen dieser Rechtsansprüche jeweils enden und (iii)
Änderungen der Rechtslage hinsichtlich Aufbewahrungspflichten und Ver-
jährungsfristen unverzüglich in das automatisierte Löschkonzept zu integ-
rieren. Die Praxis zeigt, dass dies insbesondere für international tätige Un-
ternehmen, die mit den Aufbewahrungspflichten und Verjährungsfristen
130
Verlag Österreich
zahlreicher Rechtsordnungen konfrontiert sind, eine nur sehr schwer zu

meisternde Aufgabe ist.
68. Ist eine Mitarbeitereinwilligung wirksam?

Nein, in den meisten Fällen ist eine datenschutzrechtliche Einwilligung von
Mitarbeitern unwirksam, weil sie nicht „freiwillig“ ist.
Eine Einwilligung ist dann freiwillig im Sinne der DSGVO, wenn der Be-
troffene die Einwilligung verweigern oder widerrufen kann, ohne Nachteile
befürchten zu müssen (Erwägungsgrund 42 letzter Satz DSGVO). Derarti-
ge Nachteile stehen allerdings für Mitarbeiter typischerweise im Raum,
wenn zB Mitarbeiter gebeten werden, in die Übermittlung ihrer Daten an
die Konzernmutter einzuwilligen (eine Verweigerung könnte naheliegender

Weise die Karriere im Konzern beeinträchtigen) oder in die Verwendung
eines Leistungsbeurteilungssystems einzuwilligen (eine Verweigerung wäre
für eine Beförderung wohl nicht förderlich).
Tatsächlich ist eine Mitarbeitereinwilligung in den meisten Fällen auch we-
der hilfreich noch notwendig. Nicht hilfreich, weil sie ohnedies jederzeit
widerrufen werden kann und nicht notwendig, weil die Verarbeitung der
Mitarbeiterdaten ohnedies auf das überwiegende berechtigte Interesse des
Verantwortlichen (Art 6 Abs 1 lit f DSGVO) bzw bei sensiblen Daten auf
eine Betriebsvereinbarung (Art 9 Abs 2 lit b DSGVO) gestützt werden
kann.
Lediglich in jenen Fällen, in denen (i) sensible Daten der Mitarbeiter verar-
beitet werden sollen, (ii) es aber keinen Betriebsrat gibt und (iii) auch eine
gesetzliche Ermächtigung oder Verpflichtung als Rechtsgrundlage ausschei-
det (Art 9 Abs 2 lit b und g DSGVO), kann eine Einwilligung der Mitarbei-
ter eine adäquate Rechtsgrundlage sein – Freiwilligkeit vorausgesetzt. Ein
Beispiel hierfür enthält Frage 69.
69. Ist die Überwachung des Internetverkehrs der Mitarbeiter

zulässig? Einschließlich Aufbrechen der
SSL/TLS-Verschlüsselung?
Ja, die Überwachung des Internetverkehrs der Mitarbeiter ist unter gewis-
sen Voraussetzungen zulässig, wenn dies aus einem gewichtigen Grund er-
folgt, wie zB Schadsoftware zu erkennen bzw zu blockieren (Intrusion-De-
tection bzw Intrusion-Prevention) oder den Abfluss von Geschäftsgeheim-
nissen zu verhindern (Data Leakage/Extrusion Prevention). Dies gilt sogar
131
Verlag Österreich
für das „Aufbrechen“ verschlüsselter Protokolle, wie Secure Sockets Layer

(SSL) bzw Transport Layer Security (TLS).
Im Einzelnen ist danach zu unterscheiden, ob den Mitarbeitern auch die
Privatnutzung des Internetzugangs gestattet wird. Wenn nein, so lässt sich
die Überwachung des Internetverkehrs zu den oben genannten Zwecken
grundsätzlich auf ein überwiegendes berechtigtes Interesse des Verantwort-
lichen stützen. Ist die Privatnutzung hingegen gestattet, so handelt es sich
beim Internetverkehr – zumindest teilweise – potentiell um sensible Daten
(zB Aufruf von Websites politischer Parteien oder Ärzten). Derartige sen-
sible Daten können im Ergebnis nur auf Grundlage einer Betriebsvereinba-
rung oder einer ausdrücklichen Einwilligung der Mitarbeiter verarbeitet
werden.
Gibt es einen Betriebsrat, ist der Abschluss einer Betriebsvereinbarung ar-

beitsrechtlich ohnedies zwingend – und zwar unabhängig davon, ob die Pri-
vatnutzung des Internetzugangs gestattet ist (siehe Frage 63). Bei Bestehen
eines Betriebsrats ist daher Einvernehmen mit diesem herzustellen.
Gibt es keinen Betriebsrat und soll die Privatnutzung des Internetzu-
gangs ermöglicht werden, so muss wie folgt vorgegangen werden, um eine
freiwillige und damit wirksame Einwilligung der Mitarbeiter zu erhalten:
> die Privatnutzung des Internetzugangs ist grundsätzlich zu untersa-
gen;
> sie darf nur jenen Mitarbeitern gestattet werden, die in die Überwachung
ihres privaten Internetverkehrs ausdrücklich einwilligen und dies auch
nur so lange, wie diese Einwilligung nicht widerrufen wird.
Hiermit wird sichergestellt, dass die Verweigerung der Einwilligung zu kei-
nen Nachteilen für den Mitarbeiter führt (es bleibt beim allgemeinen Verbot
der Privatnutzung). Eine dieserart erteilte Einwilligung ist daher freiwillig
und wirksam.
Darauf hinzuweisen ist, dass die Einwilligung nur die Überwachung des
privaten Internetverkehrs abdecken kann. Denn hinsichtlich des beruflichen
Internetverkehrs kommt eine Einwilligung mangels Freiheit der Entschei-
dung nicht in Betracht (kein Mitarbeiter kann ohne Nachteile auf die beruf-
liche Nutzung des Internets verzichten). Für den beruflichen Internetver-
kehr bleibt es damit bei der Rechtsgrundlage des überwiegenden berechtig-
ten Interesses.
Das oben Gesagte gilt auch für das Aufbrechen der SSL/TLS-Verschlüsse-
lung. Denn ein immer größerer Teil des Internetverkehrs wird verschlüsselt,
sodass eine effektive Prüfung der Inhalte ohne Aufbrechen der Verschlüsse-
132
Verlag Österreich
lung gar nicht möglich wäre. Ein solches Aufbrechen der Verschlüsselung
erfolgt dadurch, dass ein speziell konfiguriertes Gerät im Netzwerk des Un-
ternehmens sich in der Mitte der logischen Verbindung zwischen dem PC
des Mitarbeiters und dem Server im Internet platziert und gegenüber dem
PC vorgibt, der Server zu sein bzw gegenüber dem Server vorgibt, der PC
zu sein (dh gleichsam einen sog „Man-in-the-Middle Attack“ durchführt).
Werden die Mitarbeiter entsprechend über die Tatsache und Funktionsweise
des Aufbrechens der SSL/TLS-Verschlüsselung informiert, so lässt sich die-
se durch ein überwiegendes berechtigtes Interesse des Unternehmens recht-
fertigen. Wird eine Betriebsvereinbarung abgeschlossen oder die Einwilli-
gung der Mitarbeiter eingeholt, so müssen die Betriebsvereinbarung bzw die
Einwilligung ausdrücklich auch das Aufbrechen der SSL/TLS-Verschlüsse-
lung umfassen.
Die rechtlichen Anforderungen für die Überwachung des Internetverkehrs

der Mitarbeiter aus gewichtigen Gründen, wie zur Blockierung von Schad-
software oder zur Verhinderung des Abflusses von Geschäftsgeheimnissen,
lassen sich wie folgt zusammenfassen, wobei „BR“ den Betriebsrat und
„BV“ die Betriebsvereinbarung bezeichnet:
Wenn BR vorhanden Wenn kein BR vorhanden
Überwachung BV erforderlich Einwilligung weder mög-

des beruflichen (überwiegendes lich noch notwendig
Internetverkehrs berechtigtes Interesse (überwiegendes berechtig-
als Rechtsgrundlage) tes Interesse als Rechts-
grundlage)
Sofern auch BV erforderlich Privatnutzung muss
Privatnutzung (fungiert auch als grundsätzlich untersagt
des Internets datenschutzrechtliche werden
gestattet Rechtsgrundlage) Gestattung nur bei aus-
drücklicher Einwilligung in
Überwachung des privaten
Internetverkehrs durch den
jeweiligen Mitarbeiter
133
Verlag Österreich
Verlag Österreich
I. Outsourcing
70. Muss der Verantwortliche mit jedem Dienstleister einen

Vertrag abschließen? Wie muss dieser aussehen?
Ja, es muss mit jedem Dienstleister eine Auftragsverarbeitervereinbarung

abgeschlossen werden, sofern der Dienstleister (i) potentiell Zugang zu
personenbezogenen Daten hat (siehe Frage 71) und (ii) die Daten aus-
schließlich auf Anweisung des Verantwortlichen und zu Zwecken des Ver-
antwortlichen verarbeitet. Denn nur in diesen Fällen ist der Dienstleister ein
Auftragsverarbeiter im Sinne der DSGVO.
In der Tat gibt es „Dienstleister“, welche die Daten eigenmächtig verarbei-
ten und daher keine Auftragsverarbeiter im Sinne der DSGVO sind und mit
denen daher auch keine Auftragsverarbeitervereinbarung zu schließen ist.
Als Beispiele wären grundsätzlich Rechtsanwälte, Steuerberater und Wirt-
schaftsprüfer zu nennen, deren Standesrecht ihnen eine autonome Entschei-
dungsverantwortung zuweist.
Ist der Dienstleister aber ein Auftragsverarbeiter im Sinne der DSGVO, so
muss mit diesem eine Auftragsverarbeitervereinbarung abgeschlossen wer-
den. Untenstehend ist ein zweisprachiges (minimalistisch gehaltenes) Mus-
ter abgedruckt.
Muster einer Auftragsverarbeitervereinbarung (zweisprachig)
Auftragsverarbeitervereinbarung Data Processing Agreement
Diese Vereinbarung („Vereinbarung“) This agreement (“Agreement”) is

wird abgeschlossen zwischen concluded by and between
− [Firmenwortlaut des Verantwortli- − [controller company name], [control-
chen], [Anschrift des Verantwortli- ler address] (referred to as “Control-
chen] (im Folgenden „Verantwortli- ler”) and
cher“) und
− [Firmenwortlaut des Auftragsverar- − [processor company name], [processor
beiters], [Anschrift des Auftragsver- address] (referred to as “Processor”).
135
Verlag Österreich
arbeiters] (im Folgenden „Auftrags-

verarbeiter“)
Der Auftragsverarbeiter hat sich ver- The Processor undertakes to perform,
pflichtet, die in Anhang 1 beschriebenen on behalf of the Controller, the data pro-
Datenverarbeitungen gegenüber dem cessing operations described in Appen-
Verantwortlichen zu erbringen. Für die dix 1. For the purpose of this Agree-
Zwecke dieser Vereinbarung gelten die ment, the terms of the General Data Pro-
Begriffsdefinitionen der Datenschutz- tection Regulation (Regulation (EU)
Grundverordnung (Verordnung (EU) 2016/679) shall apply.
2016/679).
1. Weisungsrecht. Der Auftragsverar- 1. Right to Instruction. The Processor
beiter verarbeitet personenbezogene shall process the personal data only
Daten nur auf dokumentierte Wei- on documented instructions from the
sung des Verantwortlichen — auch in Controller, including with regard to
Bezug auf die Übermittlung perso- transfers of personal data to a third

nenbezogener Daten an ein Drittland country or an international organiza-
oder eine internationale Organisation tion, unless required to do so by Un-
— sofern er nicht durch das Recht der ion or Member State law to which the
Union oder der Mitgliedstaaten, dem Processor is subject; in such a case,
der Auftragsverarbeiter unterliegt, the Processor shall inform the Con
hierzu verpflichtet ist; in einem sol- troller of that legal requirement be-
chen Fall teilt der Auftragsverarbeiter fore processing, unless that law pro-
dem Verantwortlichen diese rechtli- hibits such information on important
chen Anforderungen vor der Verar- grounds of public interest. The Pro-
beitung mit, sofern das betreffende cessor shall immediately inform the
Recht eine solche Mitteilung nicht Controller if, in its opinion, an in-
wegen eines wichtigen öffentlichen struction infringes applicable data
Interesses verbietet. protection law.
2. Vertraulichkeit. Der Auftragsverar- 2. Confidentiality. The Processor shall
beiter gewährleistet, dass sich die zur ensure that persons authorized to
Verarbeitung der personenbezogenen process the personal data have com-
Daten befugten Personen zur Ver- mitted themselves to confidentiality
traulichkeit verpflichtet haben oder or are under an appropriate statutory
einer angemessenen gesetzlichen Ver- obligation of confidentiality.
schwiegenheitspflicht unterliegen.
3. Datensicherheit. Der Auftragsverar- 3. Data Security. The Processor war-
beiter erklärt rechtsverbindlich, dass rants that is has implemented suffici-
er ausreichende Sicherheitsmaßnah- ent security measures to prevent the
men ergriffen hat, um zu verhindern, unlawful use of the personal data or
dass Daten ordnungswidrig verwen- the accessibility for unauthorized
det oder Dritten unbefugt zugänglich third parties. Moreover, the Processor
werden. Außerdem erklärt der Auf- warrants that it takes all measures re-
tragsverarbeiter, dass er alle gemäß quired pursuant to Article 32 of the
Artikel 32 Datenschutz-Grundver- General Data Protection Regulation,
ordnung erforderlichen Maßnahmen once applicable.
ergreift, sobald diese anwendbar ist.
136
Verlag Österreich
Outsourcing
4. Sub-Auftragsverarbeitung. Der Auf- 4. Sub-Processing. The Processor shall

tragsverarbeiter informiert den Ver- inform the Controller of any inten-
antwortlichen über jede beabsichtigte ded changes concerning the addition
Änderung in Bezug auf die Hinzuzie- or replacement of other processors or
hung oder die Ersetzung anderer sub-processors (hereinafter collec-
Auftragsverarbeiter oder Sub-Auf- tively “Sub-Processors”), thereby
tragsverarbeiter (im Folgenden zu- giving the Controller the opportunity
sammen „Sub-Auftragsverarbeiter“), to object to such changes. Where the
wodurch der Verantwortliche die Processor engages another Sub-Pro-
Möglichkeit erhält, gegen derartige cessor for carrying out specific pro-
Änderungen Einspruch zu erheben. cessing activities on behalf of the
Nimmt der Auftragsverarbeiter einen Controller, the same data protection
anderen Sub-Auftragsverarbeiter in obligations as set out in this Agree-
Anspruch, um bestimmte Verarbei- ment shall be imposed on that Sub-
tungstätigkeiten im Namen des Ver- Processor by way of a contract, in

antwortlichen auszuführen, so wer- particular providing sufficient guar-
den diesem Sub-Auftragsverarbeiter antees to implement appropriate
im Wege eines Vertrags dieselben Da- technical and organizational meas-
tenschutzpflichten auferlegt, wobei ures in such a manner that the pro-
insbesondere hinreichende Garantien cessing will meet the requirements of
dafür geboten werden müssen, dass applicable data protection law. Where
die geeigneten technischen und orga- that Sub-Processor fails to fulfil its
nisatorischen Maßnahmen so durch- data protection obligations, the Pro-
geführt werden, dass die Verarbeitung cessor shall remain fully liable to the
entsprechend den Anforderungen des Controller for the performance of
anwendbaren Datenschutzrechts er- that Sub-Processor’s obligations.
folgt. Kommt der Sub-Auftragsverar-
beiter seinen Datenschutzpflichten
nicht nach, so haftet der Auftragsver-
arbeiter gegenüber dem Verantwort-
lichen für die Einhaltung der Pflich-
ten des Sub-Auftragsverarbeiters.
5. Unterstützung. Soweit dies möglich 5. Assistance. The Processor shall assist

ist, unterstützt der Auftragsverarbei- the Controller by appropriate techni-
ter den Verantwortlichen durch ge- cal and organizational measures, in-
eignete technische und organisatori- sofar as this is possible, for the fulfil-
sche Maßnahmen bei der Erfüllung ment of the Controller’s obligation to
der Pflichten des Verantwortlichen respond to requests for exercising the
bei Anträgen auf Wahrnehmung der data subject’s rights under applicable
Betroffenenrechte gemäß dem an- data protection law, including Chap-
wendbaren Datenschutzrecht, ein- ter III of the General Data Protection
schließlich Kapitel III der Daten- Regulation, once applicable. More-
schutz-Grundverordnung, sobald over, the Processor shall assist the
diese anwendbar ist. Darüber hinaus Controller in ensuring compliance
unterstützt der Auftragsverarbeiter with the Controller’s obligations un-
den Verantwortlichen bei der Einhal- der applicable data protection law,
137
Verlag Österreich
tung seiner Pflichten gemäß dem an- including Articles 32 to 36 of the

wendbaren Datenschutzrecht, ein- General Data Protection Regulation,
schließlich Artikel 32 bis 36 Daten- once applicable.
schutz-Grundverordnung, sobald die-
se anwendbar ist.
6. Rückgabe von personenbezogenen 6. Return of Personal Data. The Proces-

Daten. Nach Wahl des Verantwortli- sor shall, at the choice of the Control-
chen löscht der Auftragsverarbeiter ler, delete or return all the personal
nach Abschluss der Erbringung der data to the Controller after the end of
Verarbeitungsleistungen alle perso- the provision of services relating to
nenbezogenen Daten oder gibt diese processing, and delete existing copies
zurück, sofern nicht nach dem Uni- unless applicable Union or EU Mem-
onsrecht oder dem Recht der Mit- ber State law requires storage of the
gliedstaaten eine Verpflichtung zur personal data.

Speicherung der personenbezogenen
Daten besteht.
7. Überprüfung. Der Auftragsverarbei- 7. Audit. The Processor shall make

ter stellt dem Verantwortlichen alle available to the Controller all infor-
erforderlichen Informationen zum mation necessary to demonstrate
Nachweis der Einhaltung der in die- compliance with the obligations laid
sem Vertrag niedergelegten Pflichten down in this agreement and allow for
zur Verfügung und ermöglicht Über- and contribute to audits, including
prüfungen, einschließlich Inspektio- inspections, conducted by the Con-
nen, die von dem Verantwortlichen troller or another auditor mandated
oder einem anderen von diesem be- by the Controller.
auftragen Prüfer durchgeführt wer-
den.
In the name of the Controller/ In the name of the Processor/

im Namen des Verantwortlichen im Namen des Auftragsverarbeiters
...................................................... .......................................................
Place and date/Ort und Datum: Place and date/Ort und Datum:
...................................................... ......................................................
138
Verlag Österreich
Outsourcing
Anhang 1 Appendix 1
Betroffene Personen Data subjects

Die übermittelten personenbezogenen The personal data transferred concern
Daten betreffen folgende Kategorien be- the following categories of data subjects:
troffener Personen:
.................................................................... ....................................................................
.................................................................... ....................................................................
Kategorien von Daten Categories of data

Daten gehören zu folgenden Datenkate- the following categories of data:
gorien (bitte genau angeben):

.................................................................... ....................................................................
.................................................................... ....................................................................
Kategorien von sensiblen Daten Special categories of data

(falls zutreffend) (if appropriate)
Daten umfassen folgende sensible Da- the following special categories of data:
ten:
.................................................................... ....................................................................
.................................................................... ....................................................................
Gegenstand der Verarbeitung und Subject-matter of the processing and

Verarbeitungsmaßnahmen processing operations
Die übermittelten personenbezogenen The personal data transferred will be
Daten werden folgenden grundlegenden subject to the following basic processing
Verarbeitungsmaßnahmen unterzogen: operations:
.................................................................... ....................................................................
.................................................................... ....................................................................
Verarbeitungszwecke Processing purposes

Die übermittelten personenbezogenen The personal data transferred will be
Daten werden zu folgenden Zwecken processed by the Processor for the fol-
des Verantwortlichen verarbeitet: lowing purposes of the Controller:
.................................................................... ....................................................................
.................................................................... ....................................................................
139
Verlag Österreich
71. Der Dienstleister versichert, dass er ohnedies nie auf die

Daten zugreifen wird – reicht das?
Nein, sofern der Dienstleiser lediglich die potentielle technische Möglich-
keit hat, auf die personenbezogenen Daten zuzugreifen, ist er ein Auftrags-
verarbeiter im Sinne der DSGVO und der Verantwortliche muss mit ihm
eine Auftragsverarbeitervereinbarung abschließen (siehe Frage 70). Die blo-
ße Zusicherung des Auftragsverarbeiters, von einer Zugriffsmöglichkeit
keinen Gebrauch zu machen, ändert hieran nichts.
Manchmal argumentieren Auftragsverarbeiter, dass keine Auftragsverarbei-
tervereinbarung notwendig sei, weil die Daten ohnedies verschlüsselt über-
tragen und gespeichert würden. Hierbei ist zu berücksichtigen, dass jegli-
che Entschlüsselung (oder selbst die Möglichkeit derselben) im Einflussbe-
reich des Auftragsverarbeiters die Notwendigkeit einer Auftragsverarbei-

tervereinbarung begründet.
Werden die personenbezogenen Daten zB von einem Cloud-Service-Provi-
der zwar am Übertragungsweg und bei Speicherung in der Cloud („encryp-
tion at rest“) verschlüsselt, so würde es grundsätzlich dennoch zu einer Ent-
schlüsselung in der Sphäre des Providers kommen, nämlich im Arbeitsspei-
cher des Servers des Providers. Auch in diesen Fällen bleibt der Provider
daher ein Auftragsverarbeiter. Selbst wenn der Arbeitsspeicher verschlüsselt
wäre, käme es jedenfalls beim Laden der Daten in den Zwischenspeicher der
CPU (Cache) zu einer Entschlüsselung.
72. Darf sich ein Auftragsverarbeiter vertraglich vorbehalten,

Sub-Auftragsverarbeiter einzusetzen?
Nein, ein Auftragsverarbeiter darf Sub-Auftragsverarbeiter grundsätzlich
nur mit Genehmigung des Verantwortlichen einsetzen.
Eine solche Genehmigung kann auf zwei Arten erteilt werden:
> Konkrete Genehmigung im Einzelfall: Der Verantwortliche genehmigt
einen oder mehrere konkrete Sub-Auftragsverarbeiter.
> Generalgenehmigung mit Widerspruchsmöglichkeit im Einzelfall:
Hat der Verantwortliche eine allgemeine schriftliche Genehmigung zum
Einsatz von Sub-Auftragsverarbeitern erteilt, so hat der Auftragsverar-
beiter den Verantwortlichen zumindest über die beabsichtigte Hinzuzie-
hung/Ersetzung eines Sub-Auftragsverarbeiters vorab zu informieren,
sodass der Verantwortliche dem Einsatz des neuen Auftragsverarbeiters
widersprechen kann.
140
Verlag Österreich
Outsourcing
In der Praxis sehen viele Auftragsverarbeiter in ihren Vertragsmustern vor,

dass im Falle eines Widerspruchs des Verantwortlichen gegen einen neuen
Sub-Auftragsverarbeiter der Auftragsverarbeiter das Recht hat, den Vertrag
mit dem Verantwortlichen innerhalb einer relativ kurzen Frist zu kündigen.
Derartige Klauseln werden grundsätzlich nur zulässig sein, soweit dem Ver-
antwortlichen tatsächlich noch eine Entscheidungsfreiheit bezüglich des
vorgeschlagenen Sub-Auftragsverarbeiters bleibt. Dies wäre zB fraglich,
wenn der Auftragsverarbeiter den Vertrag im Falle eins Widerspruchs inner-
halb von 14 Tagen kündigen könnte, eine Migration zu einem anderen IT-
Dienstleister aber mehrere Monate in Anspruch nehmen würde.
73. Darf man einen Auftragsverarbeiter mit Sitz in den USA

einsetzen?
Ja, allerdings grundsätzlich nur, wenn entweder (i) der Auftragsverarbeiter
über eine Privacy-Shield-Zertifizierung verfügt oder (ii) man als Verant-
wortlicher mit dem Auftragsverarbeiter in den USA Standardvertrags-
klauseln abschließt (siehe allgemein zu internationalen Datenübermittlun-
gen Schritt 8, Zwischenschritt C des Umsetzungsplans).
Der verfassungsrechtliche und gesetzliche Datenschutz ist in den USA nur
sehr schwach ausgestaltet und weit vom Niveau des Datenschutzes in der
EU entfernt. Um den USA dennoch ein angemessenes Datenschutzniveau
attestieren zu können und damit den Datentransfer zwischen der EU und
den USA zu erleichtern, hat die Europäische Kommission bereits im Jahr
2000 eine Entscheidung erlassen, wonach US-Unternehmen im Ergebnis
dann von einem angemessenen Datenschutzniveau profitieren, wenn sie
sich im Wege einer Selbstzertifizierung zur Einhaltung der Grundsätze des
Datenschutzes der EU verpflichten. Diese unter dem Stichwort „Safe Har-
bor“ bekannte Entscheidung wurde im Jahr 2015 vom Europäischen Ge-
richtshof wegen Verletzung des Grundrechts auf Datenschutz für nichtig
erklärt (EuGH 6.10.2015, C-362/14). Nach Ansicht des EuGH hatte sich
die Europäische Kommission in der Begründung der Safe Harbor-Entschei-
dung nicht hinreichend mit der US-amerikanischen Rechtslage auseinander-
gesetzt.
Die Kritikpunkte des EuGH zumindest teilweise aufgreifend, hat die Euro-
päische Kommission eine neue Angemessenheitsentscheidung für die USA
erlassen, das sog „Privacy Shield“. Dieses sieht – ebenso wie dies Safe Har-
bor bereits tat – vor, dass US-Unternehmen im Wege einer Selbstzertifizie-
rung die Einhaltung gewisser Grundsätze des Datenschutzrechts der EU
bestätigen können. Tut dies ein US-Unternehmen, so gilt für dieses Unter-
nehmen auch nach der DSGVO ein angemessenes Datenschutzniveau.
141
Verlag Österreich
Ob ein US-Unternehmen über eine Zertifizierung nach dem Privacy Shield

verfügt, kann online unter https://www.privacyshield.gov/list von jeder-
mann geprüft werden.
Verfügt das US-Unternehmen über keine Privacy Shield-Zertifizierung, so
ist es grundsätzlich notwendig, mit dem US-Unternehmen, das als
Auftragsverarbeiter eingesetzt werden soll, sog Standardvertragsklauseln
abzuschließen. Hierbei handelt es sich um ein von der Europäischen
Kommission entworfenes und offiziell verabschiedetes Vertragsmuster

(2010/87/EU), welches unter http://ec.europa.eu/justice/data-protection/
international-transfers/‌‌transfer/‌‌index_‌‌en.htm online verfügbar ist.
Selbst wenn das US-Unternehmen über eine Privacy Shield-Zertifizierung
verfügt, ist es ratsam, dennoch Standardvertragsklauseln abzuschließen,
weil die rechtliche Zukunft des Privacy Shields relativ ungewiss ist. Insbe-
sondere verweist die Europäische Kommission zur Rechtfertigung des Pri-
vacy Shields auf verschiedene US Presidential Policy Directives, die den
Handlungsspielraum der US-Geheimdienste beschränken. Das sind aller-
dings keine Gesetze, sondern nur Weisungen des US-Präsidenten, somit
eine Art Selbstbeschränkung der US-Exekutive. Dies ist mit einem Gesetz
deshalb nicht vergleichbar, weil der aktuelle oder nächste US-Präsident die-
se Weisungen jederzeit ändern könnte und diese Änderung zudem auch im
Geheimen erfolgen kann. So hatte zB Barack Obama (zumindest) 19 gehei-
me Presidential Policy Directives erlassen.
Der Vollständigkeit halber ist darauf hinzuweisen, dass weder eine Privacy
Shield-Zertifizierung noch Standardvertragsklauseln notwendig sind, wenn
die Betroffenen ausdrücklich in den Einsatz des US-amerikanischen Auf-
tragsverarbeiters einwilligen. Dies ist jedoch selten eine praktikable Lösung,
weil die Betroffenen ihre Einwilligung jederzeit widerrufen können.
74. Sind Abweichungen von den Standardvertragsklauseln

zulässig oder sogar notwendig?
Es sind gewisse Anpassungen notwendig, um die bereits mehrere Jahre
alten Standardvertragsklauseln für Auftragsverarbeiter mit der DSGVO in
Einklang zu bringen.
Die von der Europäischen Kommission veröffentlichten Standardvertrags-
klauseln haben die Funktion, bei Datenübermittlungen in Nicht-EU/EWR-
Staaten das inadäquate Datenschutzniveau im Nicht-EU/EWR-Staat zu
kompensieren. Die Europäische Kommission hat hierbei einerseits Stan-
dardvertragsklauseln für Datenübermittlungen an Verantwortliche und an-
dererseits für Datenübermittlungen an Auftragsverarbeiter veröffentlicht.
142
Verlag Österreich
Outsourcing
Die von der Europäischen Kommission im Jahr 2010 veröffentlichten Stan-

dardvertragsklauseln für Datenübermittlungen an Auftragsverarbeiter
(2010/87/EU) entsprechen nicht den Anforderungen, welche die DSGVO
für Auftragsverarbeitervereinbarungen vorsieht (Art 28 DSGVO). Aus die-
sem Grund sind die Standardvertragsklauseln für Auftragsverarbeiter durch
eine Zusatzvereinbarung an die DSGVO anzupassen. Da Standardvertrags-
klauseln meist in englischer Sprache abgeschlossen werden, ist auch das
Muster der untenstehenden Zusatzvereinbarung auf Englisch:
Muster eines DSGVO-Zusatzes für Standardvertragsklauseln
Addendum to the Standard Contractual Clauses for Processors

In order to satisfy the requirements for the commissioning of processors
pursuant to Article 28 of the Regulation (EU) 2016/679 (General Data

Protection Regulation, “GDPR”) the following amendments apply to the
Standard Contractual Clauses (hereinafter also referred to as “Data Pro-
cessing Agreement” or “DPA”):
a. Instructions: The Data Importer will process the personal data only on
behalf of the Data Exporter and in compliance with its instructions and
the DPA, including with regard to transfers of personal data to a third
country or an international organization, unless required to do so by
Union or Member State law to which the Data Importer is subject; in
such a case, the Data Importer shall inform the Data Exporter of that
legal requirement before processing, unless that law prohibits such in-
formation on important grounds of public interest. Instructions shall
generally be given in writing, unless the urgency or other specific cir-
cumstances require another (e.g., oral, electronic) form. Instructions in
another form than in writing or in electronic form shall be documented
in appropriate form. The Data Importer shall immediately inform the
Data Exporter if, in its opinion, an instruction infringes the GDPR or
other Union or Member State data protection provisions.
b. Confidentiality: The Data Importer ensures that persons authorized to
process the personal data have committed themselves to confidentiality
or are under an appropriate statutory obligation of confidentiality.
c. Security Measures: The Data Importer ensures that it takes and com-
plies with all security measures required pursuant to Art. 32 GDPR.
d. Subprocessors: For the commissioning of subprocessors by the Data
Importer, in addition to clause 11 of the Standard Contractual Clauses
2010/87/EU, the Data Importer shall comply with the requirements set
forth in Art. 28 (2) and (4) GDPR.
143
Verlag Österreich
e. Response to Data Subject requests: Taking into account the nature of

the processing, the Data Importer shall assist the Data Exporter by ap-
propriate technical and organizational measures, insofar as this is possi-
ble, for the fulfilment of the Data Exporter’s obligation to respond to
requests for exercising the data subject’s rights under the GDPR.
f. Assistance to the Data Exporter: If so requested by the Data Exporter,
the Data Importer shall provide required assistance to the Data Expor-
ter in ensuring its compliance with obligations pursuant to Articles 32
to 36 GDPR taking into account the nature of processing and the infor-
mation available to the Data Importer.
g. Return and further use of data after end of contract: After the end of the
provision of services relating to the commissioned processing of perso-
nal data under this DPA, the Data Importer, at the choice of the Data
Exporter, shall delete or return all the personal data to the Data Expor-
ter and shall delete existing copies thereof unless Union or Member
State law requires storage of the personal data.
h. Monitoring by the Data Exporter: The Data Importer shall make
available to the Data Exporter all information necessary to demonstrate
compliance with the obligations laid down in this DPA. The Data Ex-
porter shall have the right to control, by appropriate means, the Data
Importer’s compliance with its data protection obligations annually
and at any time occasion-based, such controls being limited to informa-
tion and data processing systems that are relevant to the Services. For
these purposes, the Data Exporter shall also have the right to carry out
on-site audits, conducted by the Data Exporter or another auditor
mandated by the Data Exporter, during regular business hours without
disrupting the Data Importer’s business operations and in accordance
with the Data Importer’s security policies, and after a reasonable prior
notice. The Data Importer shall tolerate such audits and shall render all
necessary support.
In the name of the Data Exporter In the name of the Data Importer
......................................................... ........................................................
Place and date Place and date

......................................................... ........................................................
144
Verlag Österreich
Outsourcing
75. Haftet ein IT-Dienstleister, wenn er rechtswidrige

Anweisungen seiner Kunden befolgt?
Eine datenschutzrechtliche Haftung besteht für einen Auftragsverarbeiter
(IT-Dienstleister) bei Befolgung rechtswidriger Anweisungen des Verant-
wortlichen (Kunden) nur dann, wenn der Auftragsverarbeiter (i) die Anwei-
sung befolgt, obwohl er sie für rechtswidrig erachtet, und (ii) den Verant-
wortlichen nicht vor der Rechtswidrigkeit der Anweisung warnt. Den Auf-
tragsverarbeiter trifft daher eine datenschutzrechtliche Warnpflicht bei
rechtswidrigen Weisungen.
Allerdings muss ein Auftragsverarbeiter über keine besondere Rechtskennt-
nis verfügen oder gar externen Rechtsrat einholen, um Anweisungen auf
ihre Rechtmäßigkeit zu überprüfen. Ebenso wenig trifft einen Auftragsver-
arbeiter eine Pflicht zur aktiven Nachforschung, um zusätzliche Informati-

onen zu erheben, die für die Beurteilung der Rechtmäßigkeit einer Weisung
erforderlich wären.
Erhält ein IT-Dienstleister beispielsweise von seinem Kunden (dem Verant-
wortlichen) die Weisung, den E-Mail-Account eines Mitarbeiters, der einer
Straftat verdächtigt wird, nach bestimmten Stichworten zu durchsuchen, so
muss der Auftragsverarbeiter nicht nachfragen, ob es einen Betriebsrat gibt
und bejahendenfalls, ob eine Betriebsvereinbarung abgeschlossen wurde,
welche die Durchsuchung von E-Mail-Accounts autorisiert (vgl Frage 84).
Erhält ein IT-Dienstleister hingegen die Anweisung, Sicherheitsupdates auf
einem mit dem Internet verbundenen Server nicht mehr einzuspielen, weil
dies die Systemstabilität gefährden könnte („Never touch a running sys-
tem“), so wäre der IT-Dienstleister verpflichtet, den Verantwortlichen da
rauf hinzuweisen, dass die zeitnahe Installation von Sicherheitsupdates not-
wendig ist, um ein angemessenes Sicherheitsniveau im Sinne der DSGVO
aufrecht zu erhalten.
145
Verlag Österreich
Verlag Österreich
J. Fotos und Videoüberwachung
76. Zu welchen Zwecken dürfen Foto- oder Videoaufnahmen

gemacht werden?
Foto- oder Videoaufnahmen („Bildaufnahmen“) dürfen gemacht werden,
wenn (§ 12 DSG):

> sie im lebenswichtigen Interesse einer Person erforderlich sind – dies ist
im Ergebnis nur im medizinischen Bereich relevant (zB Röntgenaufnah-
men eines bewusstlosen Patienten);
> die betroffene Person eingewilligt hat;
> eine gesetzliche Pflicht oder Ermächtigung besteht;
> überwiegende berechtigte Interessen des Verantwortlichen oder eines
Dritten bestehen und die Verhältnismäßigkeit gewahrt wird – dies ist zB
der Fall bei
· der Überwachung des eigenen Einfamilienhauses und des dazuge-
hörigen eigenen Grundstücks zum Schutz von Personen oder Sachen
(§ 12 Abs 3 Z 1 DSG);
· die Überwachung öffentlich zugänglicher Orte, die dem Hausrecht
des Verantwortlichen unterliegen, zum Schutz von Personen oder
Sachen (zB die Überwachung eines Geschäfts durch den Geschäfts-
inhaber, die Überwachung in der Wiener U-Bahn durch die Wiener
Linien oder die Überwachung des Empfangsbereichs eines Unter-
nehmens durch den Unternehmensinhaber; § 12 Abs 3 Z 1 DSG)
oder
· Freizeitkameras, dh Bildaufnahmen aus privatem Dokumentations-
interesse ohne die identifizierende Erfassung unbeteiligter Personen
(zB durch Gesichtserkennungssoftware) oder die gezielte Erfassung
von Objekten, die sich zur mittelbaren Identifizierung solcher Perso-
nen eignen (zB Überwachung des Wohnungseingangs des Nachbarn;
§ 12 Abs 3 Z 1 DSG).
Diese oben genannten drei Fälle eines überwiegenden berechtigten Interes-
ses werden vom DSG ausdrücklich genannt. Darüber hinaus sind aber auch
147
Verlag Österreich
andere Fälle leicht denkbar – zB die Überwachung der Ein- und Ausgänge
eines Warenlagers, bei dem es zu Warenschwund gekommen ist oder dieser
der Lebenserfahrung nach zu erwarten ist.
Bei allen Bildaufnahmen ist zu beachten, dass die sonstigen Bestimmungen
der DSGVO (zB die Pflicht, eine Datenschutzmitteilung verfügbar zu ma-
chen; siehe Frage 32) und des österreichischen Arbeitsrechts (zB die
Pflicht, eine Betriebsvereinbarung abzuschließen; siehe Frage 79) eingehal-
ten werden müssen.
Weiters sieht das DSG bestimmte Fälle vor, in denen Bildaufnahmen jeden-
falls unzulässig sind (§ 12 Abs 4 DSG):
> Bildaufnahmen im höchstpersönlichen Lebensbereich ohne aus-
drückliche Einwilligung der betroffenen Person: Videoaufzeichnungen

im höchstpersönlichen Lebensbereich von Personen (zB Sanitäranlagen,
Toiletten, Hotelzimmer oder Garderoben) sind grundsätzlich unzuläs-
sig, sofern die Betroffenen nicht ihre ausdrückliche Einwilligung ertei-
len. Dabei ist an Fälle zu denken, in denen Betroffene beispielsweise in
Filmprojekten mitwirken und die Bildaufnahmen im verhältnismäßigen
Rahmen und mit Einwilligung der Betroffenen erfolgen. Im Rahmen von
Arbeitsverhältnissen sind Videoaufzeichnungen im höchstpersönlichen
Lebensbereich jedenfalls unzulässig, weil die Betroffenen keine wirksa-
me Einwilligung erteilen können (siehe Frage 68).
> Bildaufnahmen zum Zweck der Kontrolle von Arbeitnehmern: Vi-
deoaufzeichnungen dürfen nicht zur Kontrolle von Arbeitnehmern er-
stellt werden. Dieses Verbot betrifft aber nur die unmittelbare Überwa-
chung von Arbeitsplätzen in der Form, dass das Verhalten der Mitarbei-
ter durchgehend (oder zumindest über einen längeren Zeitraum hinweg)
aufgezeichnet wird. Nicht von diesem Verbot erfasst sind hingegen Vi-
deoaufzeichnungen, die Arbeitnehmer nur sporadisch erfassen und da-
her nicht dazu geeignet sind, sie zu kontrollieren (zB Überwachungska-
meras im Eingangsbereich oder in Aufzügen).
> Digitaler Abgleich mehrerer Bildaufnahmen: Aufzeichnungen aus
einer Videoüberwachung dürfen nicht automatisiert mit anderen Bild-
aufzeichnungen abgeglichen werden (zB Abgleich von Videoaufzeich-
nungen mit im System gespeicherten Fotos von Arbeitnehmern). Die-
ses Verbot spielt in der betrieblichen Praxis eine eher untergeordnete
Rolle.
> Auswertung von Bildaufnahmen im Hinblick auf sensible Daten: Aus
dieser Bestimmung ergibt sich ein Verbot der Gesichtserkennung, weil in
solchen Fällen biometrische Daten zur eindeutigen Identifizierung einer
natürlichen Person verwendet würden.
148
Verlag Österreich
Fotos und Videoüberwachung
> Anlasslose Bildaufnahmen: Eine anlasslose Anfertigung von Bildauf-

nahmen zum Zweck ihrer potenziellen Verwendung in Rechtsstreitig-
keiten ist wegen der Verletzung des Zweckbindungsgrundsatzes (siehe
Schritt 4 des Umsetzungsplans) unzulässig.
77. Wie lange dürfen Foto- und Videoaufnahmen gespeichert

werden?
Grundsätzlich dürfen Foto- und Videoaufnahmen („Bildaufnahmen“) nur
72 Stunden aufbewahrt werden. Eine längere Speicherung ist nur zulässig,
wenn sie für den Verarbeitungszweck erforderlich ist, verhältnismäßig ist
und gesondert protokolliert und begründet wird (§ 13 Abs 3 DSG). Dies gilt
nicht für Freizeitaufnahmen, welche keiner Speicherfrist unterliegen (§ 13

Abs 4 DSG).
Videoaufnahmen wird man jedenfalls dann länger als 72 Stunden aufbewah-
ren dürfen, wenn das Ende der 72-Stunden-Frist auf einen Samstag, Sonn-
tag, gesetzlichen Feiertag, Karfreitag oder den 24. Dezember fällt. In die-
sen Fällen wird man die Videoaufnahmen bis zum nächsten Tag, der nicht
einer der vorgenannten Tage ist, aufbewahren dürfen (so ausdrücklich nach
alter Rechtslage § 50b Abs 2 DSG 2000 iVm § 33 Abs 2 Allgemeines Verwal-
tungsverfahrensgesetz).
Eine längere Speicherung ist außerdem dann zulässig, wenn innerhalb der
regulären Speicherfrist festgestellt wird, dass die Bildaufnahme eine strafba-
re Handlung dokumentiert (zB einen Diebstahl in einem Geschäft). Darü-
ber hinaus wird eine grundsätzlich längere Aufbewahrungsfrist dann ge-
rechtfertigt sein, wenn die Bildaufnahme zum Zweck der Aufklärung von
Straftaten erfolgt, aber typischerweise derartige Straftaten erst nach zB fünf
Tagen entdeckt werden (zB weil der Lagerstand im Warenlager nur alle fünf
Tage kontrolliert wird).
78. Wann dürfen Aufzeichnungen einer Videoüberwachung

ausgewertet werden?
Aufzeichnungen einer Videoüberwachung zum Schutz von Personen oder
Sachen (zB die Videoüberwachung der Geschäftsräumlichkeiten) dürfen
grundsätzlich nur dann ausgewertet werden, wenn der begründete Verdacht
besteht, dass es zu einem Angriff auf diese Personen oder Sachen gekommen
ist (zB Verdacht eines Diebstahls). Es ist daher nicht zulässig, Aufzeichnun-
gen aus Videoüberwachungen ohne besonderen Grund durchzusehen oder
auszuwerten.
149
Verlag Österreich
Eine Auswertung darf zudem nur dann erfolgen, wenn der für die Auswer-
tung ausschlaggebende Anlassfall vom Zweck der Videoüberwachung er-
fasst ist. Anlassfälle, die nicht im Zusammenhang mit dem ursprünglich fest-
gelegten Zweck der Videoüberwachung stehen, rechtfertigen eine Auswer-
tung von Aufzeichnungen nicht (zum Grundsatz der Zweckbindung siehe
Schritt 4 des Umsetzungsplans). Der Verantwortliche muss dafür sorgen,
dass der Zugang zu Bildaufnahmen und ihre nachträgliche Veränderung
durch Unbefugte ausgeschlossen ist (§ 13 Abs 1 DSG).
79. Ist eine Betriebsvereinbarung oder die Zustimmung der

Arbeitnehmer für eine Videoüberwachung notwendig?
Ja, eine Betriebsvereinbarung oder – wenn es keinen Betriebsrat gibt – eine

Zustimmung der Arbeitnehmer ist für eine Videoüberwachung erforderlich,
wenn die Arbeitnehmer von der Überwachung betroffen sind.
Bei einer Videoüberwachung handelt es sich um ein technisches System zur
Kontrolle von Arbeitnehmerinnen und Arbeitnehmern, das die Menschen-
würde berührt. Daher muss für solche Systeme nach dem Arbeitsverfas-
sungsgesetz (ArbVG) zwingend eine Betriebsvereinbarung abgeschlossen
werden (§ 96 Abs 1 Z 3 ArbVG). Für die Eigenschaft als Kontrollsystem ist
es bereits ausreichend, wenn eine Kontrolle von Arbeitnehmern (theore-
tisch) möglich ist. Dass diese tatsächlich erfolgt oder beabsichtigt ist, ist für
die Einstufung einer Videoüberwachung als Kontrollsystem irrelevant. In
der Regel werden zumindest Eingänge von Gebäuden videoüberwacht, wo-
durch der Dienstgeber (zumindest theoretisch) die Möglichkeit hat, Arbeit-
nehmer dabei zu beobachten (und damit zu kontrollieren), wann sie das
Gebäude betreten und verlassen.
Eine Videoüberwachung, die die Menschenwürde überhaupt verletzt, ist je-
denfalls unzulässig (zB Bildaufnahmen im höchstpersönlichen Lebensbe-
reich von Arbeitnehmern). Diese Unzulässigkeit kann auch durch den Ab-
schluss einer Betriebsvereinbarung nicht beseitigt werden.
Hat eine Organisation keinen Betriebsrat, muss nach dem Arbeitsvertrags-
rechts-Anpassungsgesetz (AVRAG) die individuelle Zustimmung aller Ar-
beitnehmer eingeholt werden (§ 10 AVRAG). Da es sich hierbei um eine
arbeitsrechtliche und keine datenschutzrechtliche Zustimmung handelt,
kann die Widerruflichkeit beschränkt werden, sofern die Zustimmung
schriftlich (dh mit Unterschrift des Arbeitnehmers) erfolgt. Untenstehend
ist ein Muster einer solchen Zustimmungserklärung für eine Überwachung
in einem Geschäftslokal abgedruckt:
150
Verlag Österreich
Fotos und Videoüberwachung
Muster einer Zustimmungserklärung für Videoüberwachung in einem

Geschäftslokal
Zustimmung zum Einsatz von Videokameras

[Firmenwortlaut des Unternehmens], [Anschrift] („wir“) beabsichtigen, im
Geschäft in [Anschrift] zum Zweck des vorbeugenden Schutzes von Perso-
nen und Sachen Videokameras anzubringen und einzusetzen, deren Blick-
feld den Großteil der Verkaufsflächen abdeckt.
Ausdrücklich festgehalten wird, dass die Videokameras nicht dazu dienen,
die Leistungen und das Verhalten der Arbeitnehmer zu kontrollieren.
Da die Videokameras allerdings abstrakt dazu geeignet wären, Arbeitneh-
mer bei der Ausübung ihrer arbeitsvertraglichen Tätigkeit zu kontrollie-
ren, ist der Einsatz der Videokameras nur mit Zustimmung der Arbeitneh-
mer zulässig.
Festgehalten wird, dass die Aufzeichnungen der Videoüberwachung nach
72 Stunden gelöscht werden. Fällt das Ende dieser 72-stündigen Frist auf
einen Samstag, Sonntag, gesetzlichen Feiertag, Karfreitag oder 24. Dezem-
ber, so ist der nächste Tag, der nicht einer der vorgenannten Tage ist, als
letzter Tag der Frist anzusehen. Eine über diese Zeit hinaus dauernde Auf-
bewahrung findet nur dann statt, soweit dies zu Beweissicherungszwecken
im Falle strafbarer Handlungen erforderlich ist.
Durch Ihre Unterschrift erteilen Sie uns Ihre Zustimmung zur Videoüber-
wachung in der oben beschriebenen Weise. Diese Zustimmungserklärung
ist für eine Dauer von 10 Jahren unwiderruflich.
______________________ ________________________________
Ort, Datum [Name des Arbeitnehmers]
151
Verlag Österreich
Verlag Österreich
K. Whistleblowing und interne Compliance-
Untersuchungen
80. Ist eine Betriebsvereinbarung für eine Whistleblowing-

Hotline notwendig?
Nach der Verwaltungspraxis der Datenschutzbehörde stellt eine Whistle
blowing-Hotline eine Kontrollmaßnahme dar, welche die Menschenwürde
berührt und daher nach dem Arbeitsverfassungsgesetz (ArbVG) eine Be-
triebsvereinbarung voraussetzt (§ 96 Abs 1 Z 3 ArbVG).
Eine solche Betriebsvereinbarung verweist häufig auf eine Whistleblowing-
Policy, welche die Whistleblowing-Hotline im Detail regelt. Diese Whistle
blowing-Policy sollte insbesondere folgende Punkte enthalten:
> An welche Stelle im Unternehmen/Konzern geht die Meldung? (zB
den Leiter der Compliance-Abteilung bei der Konzernmutter)
> Welche Arten von Rechtsverstößen sind zu melden? (siehe auch Fra-
ge 81)
> Wie ist die Meldung zu erstatten? (zB über eine Telefon-Hotline oder
eine bestimmte Website)
> Über welche Personen darf eine Meldung erstattet werden? (siehe Fra-
ge 83)
> Sind anonyme Whistleblowing-Meldungen zulässig? Nach der Ver-
waltungspraxis der Datenschutzbehörde können anonyme Meldungen
durchaus gestattet werden, solange diese nicht gefördert werden.
> Sollen auch unternehmensfremde Personen eine Meldung erstatten
können? Die Datenschutzbehörde gestattet grundsätzlich auch Whistle
blowing-Hotlines, die unternehmensfremden Personen (zB Kunden
oder Lieferanten) offen stehen.
> Wie lange werden Whistleblowing-Meldungen aufbewahrt? Nach der
Verwaltungspraxis der Datenschutzbehörde gilt, dass eingehende Mel-
dungen grundsätzlich nach Ablauf von zwei Monaten nach Beendigung
der Untersuchung gelöscht werden müssen. Eine darüber hinausgehende
153
Verlag Österreich
Aufbewahrung ist nur zulässig, wenn und solange die Meldung für die
Durchführung eines Gerichts- oder Verwaltungsverfahrens oder für dis-
ziplinäre Maßnahmen erforderlich ist.
> Muss der Betriebsrat bei einer Compliance-Untersuchung eingebun-
den werden? Dies ist rechtlich nicht zwingend notwendig. Aus Arbeit-
gebersicht ist eine Einbindung des Betriebsrats durchaus riskant, weil
Betriebsräte häufig geneigt sind, den verdächtigen Mitarbeiter zu infor-
mieren, es aber Fälle gibt, in denen der verdächtige Mitarbeiter nichts
von der laufenden Untersuchung erfahren soll, um keine Beweismittel
vernichten oder Zeugen beeinflussen zu können. Im Übrigen ist zu be-
rücksichtigen, dass der Betriebsrat ein Organ der Belegschaft ist und eine
Einbindung des Betriebsrats daher eine Datenübermittlung an einen
dritten Verantwortlichen darstellt (vgl Frage 66). Um diese Datenüber-
mittlung rechtfertigen zu können, muss die Art der Einbindung des Be-
triebsrats in der Betriebsvereinbarung genau geregelt werden.
> Wann dürfen E-Mails verdächtiger Mitarbeiter ausgewertet werden?
Es empfiehlt sich, klar zu definieren, wann eine Auswertung von E-Mails
erfolgen darf – zB sobald ein begründeter Verdacht gegen einen Mitar-
beiter besteht, dass dieser eine gerichtlich strafbare Handlung begangen
hat (siehe im Detail Frage 84).
> In welchem Umfang wird das Recht auf Auskunft eingeschränkt? Er-
fährt der verdächtige Mitarbeiter von der Whistleblowing-Meldung, so
kann es sein, dass er sein Recht auf Auskunft geltend macht. Die Policy
sollte regeln, unter welchen Umständen eine Auskunft verweigert wer-
den kann (zB soweit dies eine laufende Compliance-Untersuchung ge-
fährdet).
81. Welche Arten von Rechtsverstößen können über eine

Whistleblowing-Hotline gemeldet werden?
Rechtsgrundlage für den Betrieb einer Whistleblowing-Hotline ist grund-
sätzlich das überwiegende berechtigte Interesse des Verantwortlichen
(Art 10 DSGVO iVm § 4 Abs 3 Z 2 DSG). Ob das Interesse des Verantwort-
lichen tatsächlich überwiegt, hängt daher insbesondere von der Art des
Rechtsverstoßes ab.
Beispielsweise wäre es unzulässig, eine Whistleblowing-Hotline einzurich-
ten, damit Mitarbeiter die Verletzung des Dress-Codes durch andere Mitar-
beiter melden können. Umgekehrt hat die Artikel 29-Datenschutzgruppe
klargestellt, dass die Einrichtung einer Whistleblowing-Hotline jedenfalls
für die Meldung von Verstößen in den Bereichen Rechnungslegung, interne
154
Verlag Österreich
Whistleblowing und interne Compliance-Untersuchungen
Rechnungslegungskontrollen, Fragen der Wirtschaftsprüfung, Bekämpfung

von Korruption sowie Banken- und Finanzkriminalität zulässig ist.
Die Datenschutzbehörde hat in ihrer Verwaltungspraxis sogar folgende teil-
weise darüber hinausgehende Compliance-Bereiche für zulässig befunden:
> Rechnungslegung
> Fragen der Wirtschaftsprüfung
> Kartellrecht
> Interessenskonflikte
> Umweltrecht
> Exportkontrollrecht
> Lebensmittel-, Arzneimittel- und Medizinprodukterecht (sofern für den
Verantwortlichen relevant)
> Banken- und Finanzkriminalität
> Produktsicherheits- und Produkthaftungsrecht (sofern für den Verant-
wortlichen relevant)
> Vergaberecht
> Politische Spenden
> Insiderhandel und Kapitalmarktrecht
> Diebstahl, Veruntreuung, Untreue, Bestechung, Anfütterung und Kick-
backs
> Verletzung von Geschäftsgeheimnissen
> Mitarbeitersicherheit und -belästigung
> Datenschutzverletzungen
> Diskriminierung
82. Es gibt keinen Betriebsrat: Müssen die Mitarbeiter der

Whistleblowing-Hotline zustimmen?
Ja, weil eine Whistleblowing-Hotline nach der Verwaltungspraxis der Da-
tenschutzbehörde ein Kontrollsystem darstellt, das die Menschenwürde be-
rührt. In betriebsratslosen Betrieben ist daher nach dem Arbeitsvertrags-
rechts-Anpassungsgesetz (AVRAG) die arbeitsrechtliche Zustimmung
eines jeden Arbeitnehmers (einschließlich leitender Angestellter) erforder-
lich (§ 10 Abs 1 AVRAG).
Eine solche Zustimmung kann grundsätzlich jederzeit widerrufen werden.
Dies bedeutet, dass ein Mitarbeiter, der befürchtet, demnächst gemeldet zu
155
Verlag Österreich
werden, seine Zustimmung widerrufen könnte und damit jede Meldung über
seine Person einen Datenschutzverstoß darstellen würde. Um dies zu verhin-
dern, ist es erforderlich, die Wirksamkeit der Zustimmung durch eine schrift-
liche (dh unterschriebene) Vereinbarung zu befristen (§ 10 Abs 2 AVRAG).
Durch die Möglichkeit, den Widerruf der arbeitsrechtlichen Zustimmung zu
beschränken, unterscheidet sich diese von einer datenschutzrechtlichen Ein-
willigung, deren Widerruflichkeit nicht beschränkt werden kann.
Untenstehend ist ein Muster für eine solche Zustimmungserklärung abge-
druckt:
Muster einer Zustimmungserklärung für eine Whistleblowing-Hotline
Arbeitsrechtliche Zustimmung zur Whistleblowing-Richtlinie

Ich erkläre hiermit gemäß § 10 Arbeitsvertragsrechts-Anpassungsgesetz

(AVRAG) gegenüber meinem Dienstgeber, [Firmenwortlaut], meine Zu-
stimmung zu der in der beiliegenden Whistleblowing-Richtlinie beschrie-
benen Verwendung meiner personenbezogenen Daten. Diese Zustimmung
ist für eine Dauer von zehn Jahren unwiderruflich.
__________ ______________________ ___________________________

Ort/Datum Name des Arbeitnehmers Unterschrift des Arbeitnehmers
83. Über welche Personen darf eine Whistleblowing-Meldung

erstattet werden?
Wird die Meldung an die Konzernmutter weitergeleitet, dürfen nur über
Manager (Entscheidungsträger) Meldungen erstattet werden. Wird die
Meldung hingegen lediglich an Personen weitergeleitet, die beim selben Ar-
beitgeber wie der Verdächtige beschäftigt sind, bestehen keine Einschrän-
kungen.
Der Grund für diese Differenzierung liegt darin, dass die Rechtsgrundlage
für die Whistleblowing-Hotline das überwiegende berechtigte Interesse des
Arbeitgebers ist (Art 10 DSGVO iVm § 4 Abs 3 Z 2 DSG) und auch eine
Übermittlung der Whistleblowing-Meldung an die Konzernmutter daher
von einem solchen überwiegenden berechtigten Interesse des Arbeitgebers
gedeckt sein muss.
Dies ist nach der Verwaltungspraxis der Datenschutzbehörde allerdings nur
dann der Fall, wenn nicht davon auszugehen ist, dass die Konzerntochter
eine unabhängige Untersuchung der Meldung vornehmen kann, weil der
156
Verlag Österreich
Whistleblowing und interne Compliance-Untersuchungen
Verdächtige eine zu hohe Position in der Hierarchie der Tochtergesellschaft

innehat – dh weil er ein Entscheidungsträger ist.
Wird beispielsweise in einer österreichischen Unternehmensgruppe beste-
hend aus der Muttergesellschaft M und den Tochtergesellschaften T1 und
T2 eine Whistleblowing-Hotline eingeführt, bei der alle Meldungen an den
Compliance-Beauftragten bei M übermittelt werden, ergeben sich folgende
Einschränkungen:
> Whistleblowing-Policy von M: Keine Restriktionen.
> Whistleblowing-Policies von T1 und T2: Es dürfen jeweils nur Verstöße
von Entscheidungsträgern von T1 bzw T2 gemeldet werden. Verstöße
von sonstigen Mitarbeitern von T1 und T2 sind an das jeweilige lokale
Management von T1 bzw T2 auf informellem Weg zu melden.
84. Wann darf man E-Mails verdächtiger Mitarbeiter auswerten?

Eine Auswertung von E-Mails eines Mitarbeiters im Rahmen einer Compli-
ance-Untersuchung ist nur zulässig, wenn ein begründeter Verdacht gegen
den konkreten Mitarbeiter vorliegt. Enthält der E-Mail-Account auch pri-
vate E-Mails, dürfen diese nur ausgewertet werden, wenn dies zur Verfol-
gung von Rechtsansprüchen (insbesondere gegen den Mitarbeiter) oder
zur Rechtsverteidigung des Unternehmens selbst (zB in einem Strafverfah-
ren oder einem Zivilprozess) notwendig ist. Weiters ist grundsätzlich auch
eine Betriebsvereinbarung erforderlich (sofern es einen Betriebsrat gibt).
Der Grund für diese Einschränkungen ist erstens, dass die Rechtsgrundlage
für die Auswertung von E-Mails grundsätzlich das überwiegende berech-
tigte Interesse des Arbeitgebers ist (Art 10 DSGVO iVm § 4 Abs 3 Z 2
DSG) – eine Einwilligung kommt hingegen nicht in Betracht (siehe Fra-
ge 68). Ein solches überwiegendes berechtigtes Interesse wird allerdings nur
dann zu bejahen sein, wenn ein begründeter Verdacht gegen den konkreten
Mitarbeiter vorliegt.
Darüber hinaus ist zu berücksichtigen, ob der Arbeitgeber die Privatnutzung
des beruflichen E-Mail-Accounts gestattet hat. Ist dies der Fall, so muss davon
ausgegangen werden, dass der E-Mail-Account auch private E-Mails mit sen-
siblen Daten enthält (zB Daten über die sexuelle Orientierung oder den Ge-
sundheitszustand des Mitarbeiters). Diese Daten können jedoch nicht auf
Grundlage eines überwiegenden berechtigten Interesses verarbeitet werden
(vgl Art 9 DSGVO). Als Rechtsgrundlage kommt hingegen in Betracht, dass die
Auswertung sämtlicher E-Mails zur Geltendmachung, Ausübung oder Vertei-
digung von Rechtsansprüchen erforderlich ist (Art 9 Abs 2 lit f DSGVO).
157
Verlag Österreich
Schließlich setzt die Auswertung von Mitarbeiter-E-Mails im Zusammen-

hang mit Whistleblowing-Meldungen grundsätzlich auch eine Betriebsver-
einbarung voraus (§ 96a Abs 1 Z 1 Arbeitsverfassungsgesetz; vgl allgemein
Frage 63). Die Notwendigkeit einer Betriebsvereinbarung entfällt nur dann,
wenn die Auswertung nicht unter Verwendung eines eigenen IT-Systems
erfolgt, sondern ad hoc zB unter Verwendung des regulären E-Mail-Clients
(zB Microsoft Outlook).
85. Können datenschutzrechtswidrig erlangte Beweise verwertet

werden?
Grundsätzlich gilt, dass auch rechtswidrig erlangte Beweise in österrei-
chischen Gerichtsverfahren verwertet werden können. Allerdings kann

die Vorlage eines rechtswidrig erlangten Beweises bei Gericht eine Daten-
schutzverletzung darstellen. Bei privaten Mitarbeiter-E-Mails ist zudem
besondere Vorsicht geboten, da ihre Vorlage bei Gericht eine gerichtliche
Straftat darstellen kann.
Wurden Daten unter Verletzung des Datenschutzrechts erlangt, stellt grund-
sätzlich auch ihre Übermittlung an das Gericht eine Datenschutzverletzung
dar, weil die Rechtswidrigkeit den Daten gleichsam anhaftet. Dies bedeutet
insbesondere, dass es dem betroffenen Mitarbeiter möglich ist, eine einst-
weilige Verfügung gegen die Vorlage der rechtswidrig erlangten Daten zu
erwirken. Jede Zuwiderhandlung könnte dann nicht nur mit einer Geldbuße
nach der DSGVO (siehe Frage 94), sondern auch mit einer Geldstrafe wegen
Verstoßes gegen die einstweilige Verfügung geahndet werden.
Darüber hinaus ist bei E-Mails und anderen elektronischen Nachrichten
(zB Facebook-Messages) zu beachten, dass es eine gerichtliche Straftat dar-
stellt, derartige Nachrichten, wenn sie nicht für einen selbst bestimmt wa-
ren, einer anderen Person zugänglich zu machen, für welche die Nachrich-
ten ebenso wenig bestimmt waren (§ 120 Abs 2a Strafgesetzbuch). Private
elektronische Nachrichten von Mitarbeitern sind – auch dann wenn sie ei-
nen Compliance-Verstoß dokumentieren – weder für den Arbeitgeber noch
für ein Gericht „bestimmt“. Legt der Arbeitgeber den Ausdruck einer sol-
chen E-Mail bei Gericht vor, macht er sich daher strafbar – und zwar unab-
hängig davon, ob die sonstigen datenschutzrechtlichen Voraussetzungen
eingehalten wurden.
Eine zulässige Umgehung des Straftatbestandes besteht nach herrschender
Ansicht darin, nicht die Nachricht selbst (dh einen Ausdruck) vorzulegen,
sondern einen Zeugen zu benennen, der darüber aussagen kann, welchen
Inhalt die Nachricht hatte.
158
Verlag Österreich
L. Datensicherheit & Sicherheitsverletzungen
86. Wie sicher ist sicher genug?

Nach der DSGVO haben sowohl Verantwortliche als auch Auftragsverar-
beiter ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Wie

hoch dieses Risiko ist – und wieviel daher für die Sicherheit der Daten zu
investieren ist – hängt insbesondere von den Kategorien der verarbeiteten
Daten und den Verarbeitungszwecken ab. So wird beispielsweise ein Patien-
tendatenverwaltungssystem ein wesentlich höheres Sicherheitsniveau erfor-
dern als ein Newsletter-System.
Welche der drei Aspekte der Datensicherheit – Vertraulichkeit, Verfügbar-
keit und Integrität – allenfalls besonders zu schützen sind, hängt ebenso
vom Einzelfall ab. Bereits veröffentlichte Daten werden beispielsweise in
ihrer Vertraulichkeit nicht besonders zu schützen sein.
Um im Einzelfall zu prüfen, ob das Sicherheitsniveau tatsächlich ausrei-
chend ist, wäre daher eine detaillierte Risikoanalyse erforderlich. Um
diese objektiv und überprüfbar zu gestalten, wäre statt einer qualitativen
Risikobewertung (anhand von Begriffen wie niedrig, mittel und hoch) eine
quantitative Risikobewertung (anhand konkreter Wertbeträge in Euro)
erforderlich. Da es allerdings keine anerkannten Methoden für die quan-
titative Bewertung datenschutzrechtlicher Risiken gibt, sind im Einzelfall
durchgeführte quantitative datensicherheitsrechtliche Risikoanalysen eher
selten.
In der Praxis orientiert man sich eher an Best Practices (zB dass Passwörter
mindestens acht Zeichen lang sein müssen und aus Kleinbuchstaben, Groß-
buchstaben, Zahlen und Sonderzeichen bestehen müssen) oder technischen
Standards (siehe Frage 87).
Hierbei sollte jedoch nicht vernachlässigt werden, dass die Tatsache, dass
alle anderen vergleichbaren Unternehmen auch nicht mehr Sicherheit bie-
ten, noch lange nicht bedeutet, dass dieses Sicherheitsniveau tatsächlich aus-
reichend ist.
159
Verlag Österreich
Jedenfalls sollte das Thema Datensicherheit vom Datenschutzmanager nicht

alleinig der IT- oder Sicherheitsabteilung überlassen werden. Als absolutes
Minimum sollte eine oberflächliche Prüfung des Sicherheitskonzepts er-
folgen (siehe Frage 89).
Ob das implementierte Sicherheitsniveau tatsächlich ausreichend war, stellt
sich in vielen Fällen erst im Nachhinein heraus, dh wenn es bereits zu
einer Sicherheitsverletzung gekommen ist. Obwohl eine Sicherheitsverlet-
zung als solche noch nicht bedeutet, dass das Sicherheitsniveau nicht aus-
reichend gewesen wäre – 100%ige Sicherheit ist schließlich weder technisch
möglich noch von der DSGVO gefordert – kann sie für die Datenschutz-
behörde Anlass dafür sein, das Sicherheitsniveau zu überprüfen. Auch im
Fall eines Schadenersatzprozesses infolge einer Sicherheitsverletzung wäre
das gegebene Sicherheitsniveau eines der zentralen Verfahrensthemen.

Um einer solchen Prüfung nach einer Sicherheitsverletzung standzuhalten,
ist es essentiell, die implementierten Sicherheitsmaßnahmen vorab angemes-
sen zu dokumentieren (siehe auch Frage 100).
87. An welchen technischen Sicherheitsstandards kann man sich

orientieren?
Folgende allgemeine Standards zur IT- und Informationssicherheit haben
sich in der Praxis bewährt und können jedenfalls als Richtschnur für die
Implementierung eigener angemessener Sicherheitsmaßnahmen dienen:
> ISO/IEC 27001 („Information technology – Security techniques – In-
formation security management systems – Requirements“) beschreibt
die Anforderungen an ein Informationssicherheits-Managementsystem
(siehe ausführlich Frage 88). Insbesondere für Auftragsverarbeiter ist
eine Zertifizierung nach ISO/IEC 27001 ein bewährtes Mittel, um auch
gegenüber Kunden ein angemessenes Datensicherheitsniveau zu be-
scheinigen.
> ISO/IEC 27002 („Information technology – Security techniques – Code
of practice for information security controls“) enthält einen Katalog von
Sicherheitsmaßnahmen, die aufbauend auf ISO/IEC 27001 implemen-
tiert werden können. Eine Zertifizierung nach ISO/IEC 27002 ist aller-
dings nicht möglich.
> Das Österreichische Informationssicherheitshandbuch baut auf ISO/
IEC 27001 auf und enthält wesentlich detailliertere Empfehlungen. Es
wurde vom österreichischen Bundeskanzleramt gemeinsam mit dem
Zentrum für sichere Informationstechnologie Austria (A-SIT) und dem
160
Verlag Österreich
Datensicherheit & Sicherheitsverletzungen
schweizer Informatikstrategieorgan des Bundes (ISB) erstellt (siehe

https://www.sicherheitshandbuch‌.gv.at).
> Die „Critical Security Controls for Effective Cyber Defense“ des Cen-
ter for Internet Security (CIS) wurden ursprünglich von Unternehmen
der US-Verteidigungsindustrie und von US-Regierungsbehörden ein-
schließlich der National Security Agency entworfen und bieten eine pri-
orisierte Liste der 20 wichtigsten Sicherheitsmaßnahmen (siehe https://
www.cisecurity.org/critical-controls).
> Die IT-Grundschutz-Kataloge des deutschen Bundesamts für Sicher-
heit in der Informationstechnik (BSI) bieten umfangreiche Kataloge und
Standards (siehe https://www.bsi.bund.de/‌DE/‌Themen/‌ITGrundschutz/‌
grundschutz.html).
> Der Payment Card Industry Data Security Standard (PCI-DSS) wur-
de von der Kreditkartenindustrie entwickelt, um Händler, die Kreditkar-
tendaten verarbeiten, zur Gewährleistung eines gewissen Sicherheitsni-
veaus zu verpflichten. Der Zielrichtung von PCI-DSS (oft auch einfach
als „PCI“ bezeichnet) entsprechend, befassen sich Teile des Standards
nur mit Kreditkartendaten („Cardholder Data“), jedoch nicht mit perso-
nenbezogenen Daten im Allgemeinen. Wendet man die auf Kreditkar-
tendaten bezogenen Bestimmungen in PCI-DSS auch auf sonstige perso-
nenbezogene Daten an, kann PCI-DSS insbesondere für KMUs ein
wertvolles Werkzeug sein, um ein angemessenes Datenschutzniveau zu
erreichen.
Ist man auf der Suche nach technischen Standards zu speziellen technischen
Fragen, sollten die Websites folgender Organisationen konsultiert werden:
> Das US National Institute of Standards and Technology (NIST) ist
eine Einrichtung des US Department of Commerce und veröffentlicht
fortlaufend auf seiner Website hoch qualitative IT-Sicherheitsstandards,
insbesondere um US-Bundesbehörden detaillierte Handlungsempfeh-
lungen für die Einhaltung des US Federal Information Security Manage-
ment Act zu geben (siehe http://csrc.nist.gov/‌publications/‌PubsSPs.html).
> Die European Union Agency for Network and Information Security
(ENISA) veröffentlicht regelmäßig sicherheitstechnische Empfehlun-
gen. Im Unterschied zu den Veröffentlichungen der NIST variiert die
Qualität der ENISA-Veröffentlichungen jedoch erheblich.
> Das deutsche Bundesamt für Sicherheit in der Informationstechnik
(BSI) bietet auf seiner Website neben den IT-Grundschutz-Katalogen
eine Vielzahl von Informationen rund um das Thema IT-Sicherheit
(https://www.bsi.bund.de).
161
Verlag Österreich
88. Ist eine Zertifizierung nach ISO 27001 erforderlich? Was sagt

sie aus?
Nein, eine Zertifizierung nach ISO/IEC 27001 ist nach der DSGVO nicht
erforderlich. Verfügt ein Auftragsverarbeiter allerdings über eine solche
Zertifizierung, so ist dies ein sehr gutes Indiz dafür, dass der Auftragsver-
arbeiter geeignete technische und organisatorische Sicherheitsmaßnah-
men implementiert hat. Verantwortliche sollten eine ISO/IEC 27001-Zer-
tifizierung bei der Auswahl eines Auftragsverarbeiters daher jedenfalls posi-
tiv berücksichtigen.
Der Standard ISO/IEC 27001 („Information technology – Security tech-
niques – Information security management systems – Requirements“) be-
schreibt die Anforderungen an ein Informationssicherheits-Management-
system („ISMS“). Eine Zertifizierung nach ISO/IEC 27001 bestätigt daher,

dass Managementstrukturen und dokumentierte Prozesse zum Schutz der
Vertraulichkeit, Verfügbarkeit und Integrität von Informationen (ein-
schließlich personenbezogener Daten) vorhanden sind.
Eine solche Zertifizierung sagt allerdings relativ wenig darüber aus, welche
technischen Maßnahmen tatsächlich umgesetzt werden – werden zB kriti-
sche Sicherheitsupdates innerhalb weniger Tage eingespielt? Dies würde bei
einer Zertifizierungsprüfung nach ISO/IEC 27001 mit hoher Wahrschein-
lichkeit nicht geprüft werden. Vielmehr würde sich die Prüfung darauf be-
schränken, zu verifizieren, ob es einen dokumentierten Prozess für das Ein-
spielen von Sicherheitsupdates gibt.
Darüber hinaus ist bei einer Zertifizierung nach ISO/IEC 27001 darauf zu
achten, dass alle personenbezogenen Daten auch als schutzwürdige Werte
(„Assets“) der Organisation behandelt und in den Anwendungsbereich des
ISMS einbezogen werden.
Wenn ein Auftragsverarbeiter behauptet, eine ISO/IEC 27001-Zertifizie-
rung zu besitzen, sollte man zudem um eine Kopie der Zertifizierungsur-
kunde fragen. Anhand dieser sollten unbedingt folgende Fragen geprüft
werden:
> Wann erfolgte die Zertifizierung? Je länger diese in der Vergangenheit
liegt, desto geringer ist die Aussagekraft der Zertifizierung.
> Welchen Umfang hat die Zertifizierung? Konkret sollte geprüft wer-
den, ob alle Organisationseinheiten des Auftragsverarbeiters, die in die
Erbringung der Dienstleistung involviert sind, von der Zertifizierung
erfasst sind. In der Vergangenheit gab es Fälle, in denen der Betreiber
eines Rechenzentrums lediglich sein Call-Center nach ISO/IEC 27001
162
Verlag Österreich
zertifizieren ließ, um dann zu behaupten, eine ISO/IEC 27001-Zertifi-

zierung zu besitzen.
89. Wie kann man ein Sicherheitskonzept leicht überprüfen?

Eine einfache Weise, ein Konzept für die Sicherheit personenbezogener Da-
ten zu überprüfen, besteht darin, die unterschiedlichen Sicherheitsmaßnah-
men anhand ihrer Art und ihrer Wirkungsweise einzuteilen.
Es können folgende Arten von Sicherheitsmaßnahmen unterschieden wer-
den:
> Technische Maßnahmen: Dies sind Sicherheitsmaßnahmen, die in Form
von Computer-Hardware oder Software implementiert sind, zB eine

Firewall oder eine Anti-Viren-Software.
> Organisatorische Maßnahmen: Dies sind Sicherheitsmaßnahmen, die
in Form von Organisationsstrukturen oder Unternehmensabläufen im-
plementiert werden, wie zB ein Vier-Augen-Prinzip für bestimmte Tä-
tigkeiten oder ein definierter Patch-Management-Prozess.
> Physische Maßnahmen: Dies sind Sicherheitsmaßnahmen, die den phy-
sischen Zugang zu Daten sichern, zB ein Wachhund oder ein simples
Vorhängeschloss.
Nach der Wirkungsweise können Sicherheitsmaßnahmen wie folgt unter-
schieden werden:
> Präventive Maßnahmen bewirken, dass sich das Sicherheitsrisiko gar
nicht verwirklichen kann. Sie verhindern somit, dass Angriffe Erfolg ha-
ben (zB eine Firewall oder die Entscheidung, bestimmte Datenkategori-
en gar nicht zu erheben, womit das Risiko ihrer Kompromittierung eli-
miniert ist).
> Detektive Maßnahmen bewirken, dass Angriffe – insbesondere solche,
die erfolgreich sind – erkannt werden (zB ein Network Intrusion Detec-
tion System wie Snort oder ein System zur Erkennung von Serverausfäl-
len wie Nagios).
> Reaktive Maßnahmen bewirken, dass im Falle eines erkannten erfolg-
reichen Angriffs Gegenmaßnahmen eingeleitet werden, welche die Aus-
wirkungen des Angriffs mindern (zB eine Incident Response Policy oder
ein Prozess zur Datensicherung und -wiederherstellung).
> Abschreckende Maßnahmen bewirken, dass Angreifern die Motivation
genommen wird, den Angriff überhaupt auszuführen (zB eine Diszipli-
narrichtlinie für Mitarbeiter).
163
Verlag Österreich
Da präventive Maßnahmen niemals zu 100% effektiv sein werden, kommt

detektiven und reaktiven Maßnahmen eine besonders wichtige Bedeutung
zu.
Ein Sicherheitskonzept sollte alle oben beschriebenen Arten von Sicher-
heitsmaßnahmen enthalten und jede der oben beschriebenen Wirkungen
haben. Ob dies der Fall ist, kann dadurch überprüft werden, dass alle Sicher-
heitsmaßnahmen in untenstehende Matrix eingetragen werden. Bleiben ein-
zelne Zellen der Matrix leer, sollte dies näher geprüft bzw gerechtfertigt
werden. Zur leichteren Verständlichkeit der Matrix enthält diese bereits bei-
spielhafte Sicherheitsmaßnahmen.
Technisch Organisatorisch Physisch

Präventiv Firewall Vier-Augen-Prinzip Stahltür

Detektiv Intrusion Detection Verpflichtende Brandmelder
System Durchsicht der
Logfiles
Reaktiv Backup & Restore Incident Response Feueralarm
Policy
Abschreckend Warnmeldung Disziplinarordnung Wachhund
90. Was sind die gefährlichsten Sicherheitslücken?

Sicherheitslücken können – ähnlich wie Sicherheitsmaßnahmen (siehe Fra-
ge 89) – in technische, organisatorische und physische Sicherheitslücken un-
terschieden werden. Für technische Sicherheitslücken gibt es fundierte In-
formationsquellen sowohl zu den gefährlichsten Arten von Sicherheits
lücken als auch zu einzelnen konkreten Sicherheitslücken in einem be-
stimmten Softwareprodukt.
Die gefährlichsten Arten von Sicherheitslücken zu kennen, ist hilfreich, um
> durch gezielte Qualitätsmanagementmaßnahmen bei der Soft-
wareentwicklung die größten Fehler zu vermeiden – zB durch Schulun-
gen der eigenen Entwickler und Richtlinien für eine sichere Program-
mierung;
> in Softwareentwicklungsverträgen mit externen Dienstleistern das Vor-
liegen derartiger Sicherheitslücken durch Kündigungs-, Gewährleis-
tungs-, Garantie- oder Haftungsklauseln abzudecken.
164
Verlag Österreich
Eine exzellente Grundlage hierfür sind die „CWE/SANS Top 25 Most Dan-
gerous Software Errors“. Diese Liste enthält die häufigsten und gefährlichs-
ten Sicherheitslücken und wurde vom US-amerikanischen SANS Institute
gemeinsam mit dem Common Weakness Enumeration (CWE) Projekt der
MITRE Corporation entwickelt (siehe http://cwe.mitre.org/top25/). Die
Top 5 sind:
Nr Name Beschreibung
1. SQL Injection Es ist möglich, Befehle in eine Datenbank

einzuschleusen.
2. OS Command Es ist möglich, Befehle auf Ebene des
Injection Betriebssystems einzuschleusen.

3. Klassische Buffer Es ist möglich, Bereiche des Arbeitsspei-
Overflows chers mit beliebigen Daten zu überschrei-
ben, die dann ausgeführt werden.
4. Cross-Site Scripting Es ist möglich, Code in eine Website
einzuschleusen, der dann im Webbrowser
anderer User ausgeführt wird.
5. Fehlende Authentifi Kritische Funktionen einer Anwendung
kation für kritische sind ohne Authentifizierung zugänglich.
Funktionen
Zu einzelnen Sicherheitslücken in konkreten Softwareprodukten gibt es

ebenso zahlreiche öffentlich verfügbare Informationen. Im Auftrag des US
Department of Homeland Security wird jeder öffentlich bekannt werden-
den Softwaresicherheitslücke eine Common Vulnerabilities and Exposures
(CVE) Nummer zugewiesen (zB CVE-2014-0160 für Heartbleed im Jahr
2014). In der National Vulnerability Database des US National Institute of
Standards and Technology (NIST) lassen sich zahlreiche Informationen zu
jeder öffentlich bekannt gewordenen Softwaresicherheitslücke finden (siehe
https://nvd.nist.gov).
Die Gefährlichkeit einer konkreten Sicherheitslücke wird in vielen Fällen
vom Software-Hersteller bei Veröffentlichung des Sicherheitsupdates ange-
geben. Eine meist objektivere Bewertung ist der National Vulnerability Da-
tabase zu entnehmen, welche hierzu auf einen öffentlichen Standard zur
Bewertung der Gefährlichkeit von Sicherheitslücken zurückgreift, das
Common Vulnerability Scoring System (CVSS). CVSS kann von Unter-
nehmen auch eingesetzt werden, um individuellere Bewertungen einer Si-
165
Verlag Österreich
cherheitslücke unter Berücksichtigung unternehmensspezifischer Faktoren

vorzunehmen.
Um eine angemessene Datensicherheit im Sinne der DSGVO zu gewährleis-
ten, sollte jedes Unternehmen einen Vulnerability-Management-Prozess
implementieren, der insbesondere sicherstellt, dass kritische Sicherheitslü-
cken innerhalb kürzester Zeit geschlossen werden – sei es durch die Instal-
lation eines verfügbaren Sicherheitsupdates oder durch einen „Worka-
round“ (zB die Deaktivierung des betroffenen Features). Für kritische Si-
cherheitslücken, die hoch riskante Datenverarbeitungstätigkeiten betreffen,
wird sogar eine Reaktion innerhalb weniger Stunden zu fordern sein (vgl
Die Erpresser-Schadsoftware WannaCry zeigte im Mai 2017, dass viele Un-
ternehmen noch keine angemessenen Vulnerability-Management-Prozesse

implementiert haben – die Schadsoftware nutzte eine Sicherheitslücke aus,
für die Microsoft bereits zwei Monate davor ein Sicherheitsupdate bereit
gestellt hatte.
91. Sind Penetrationstests zwingend erforderlich?

Nein, Penetrationstests – dh zu versuchen, seine eigenen Systeme zu hacken
– sind nicht zwingend erforderlich und in vielen Fällen tatsächlich auch
nicht zweckmäßig.
Die DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zwar
dazu, „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Eva-
luierung der Wirksamkeit der technischen und organisatorischen [Sicher-
heits-]Maßnahmen“ einzuführen (Art 32 Abs 1 lit d DSGVO). Allerdings
gibt es wesentlich effektivere und effizientere Überprüfungs-, Bewer-
tungs- und Evaluierungsverfahren als einen Penetrationstest.
Denn im Kern liefert ein Penetrationstest lediglich die Information, ob der
konkret beauftragte Penetrationstester gut genug war, in der vorgegebenen
Zeit eine Sicherheitslücke zu finden. Da es allerdings 100%ige Sicherheit
ohnedies nicht gibt und jedes System von versierten Angreifern mit hinrei-
chenden zeitlichen, personellen und finanziellen Ressourcen kompromit-
tiert werden kann, ist das Ergebnis eines solchen Tests nur beschränkt aus-
sagekräftig.
Statt einen Penetrationstest durchzuführen wäre es zB in vielen Fällen wert-
voller zu überprüfen, ob (i) es einen angemessenen Vulnerability-Manage-
ment-Prozess gibt und (ii) wie schnell Sicherheitsupdates unterschiedlicher
Kritikalität auf den verschiedenen Geräten tatsächlich installiert werden.
166
Verlag Österreich
Dessen ungeachtet kann es wertvoll sein, einen Penetrationstest durchzu-

führen, um das eigene Management davon zu überzeugen, dass ein höhe-
res Budget für Datensicherheit erforderlich ist. Zu glauben, dass die Sys-
teme sicher bzw unsicher sind, je nachdem ob der Penetrationstester er-
folgreich war, wäre aber aus den oben genannten Gründen ein schwerer
Fehler.
Entscheidet man sich (insbesondere aus unternehmenspolitischen Gründen)
zur Durchführung eines Penetrationstests, so sollte besonderes Augenmerk
darauf gerichtet werden, dass eine entsprechende vertragliche Grundlage
mit dem beauftragten Penetrationstester geschaffen wird, die folgende
Komponenten enthalten sollte:
> eine Auftragsverarbeitervereinbarung (siehe Frage 70);
> eine Regelung zu den Rahmenbedingungen des Penetrationstests, die

sicherstellt, dass durch die Penetrationstests die personenbezogenen Da-
ten keinem zusätzlichen Risiko ausgesetzt werden (zB keine Ausnüt-
zung von Sicherheitslücken, die das System zum Absturz bringen);
> eine konkrete Spezifizierung der anzugreifenden Systeme und eine Be-
stätigung seitens des Verantwortlichen, dass (i) er der alleinige Verant-
wortliche aller im System gespeicherten personenbezogenen Daten ist
und (ii) er der alleinige Verfügungsbefugte über die Systeme und alle Tei-
le derselben ist;
> eine Regelung zur Haftung, sollte es bei den Penetrationstests dennoch
zu Schäden kommen.
92. Wann muss die Datenschutzbehörde und wann müssen die

Betroffenen von einer Sicherheitsverletzung informiert
werden?
Der Verantwortliche hat die Datenschutzbehörde von allen Sicherheitsver-
letzungen zu informieren, die Auswirkungen auf die Betroffenen haben
können, und muss die Betroffenen informieren, wenn für sie ein hohes Risi-
ko besteht.
Eine Informationspflicht besteht für den Verantwortlichen nach der
DSGVO nur, wenn er von einer „Verletzung des Schutzes personenbezoge-
ner Daten“ Kenntnis erlangt. Dies ist nach der DSGVO „eine Verletzung
der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung,
zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von be-
ziehungsweise zum unbefugten Zugang zu personenbezogenen Daten
führt“ (Art 4 Nr 12 DSGVO).
167
Verlag Österreich
Mit dieser Definition wird erstens klargestellt, dass nicht nur vorsätzliche
Angriffe, sondern auch zufällige Ereignisse erfasst sind. Zweitens ergibt sich
aus der Definition, dass auf folgende aus der Informationssicherheit be-
kannte Trias abzustellen ist:
> Vertraulichkeit – die DSGVO spricht von einer „unbefugten Offenlegung“
bzw von einem „unbefugten Zugang zu personenbezogenen Daten“;
> Integrität – die DSGVO spricht von einer (unbefugten) „Veränderung“
der personenbezogenen Daten;
> Verfügbarkeit – die DSGVO spricht von der „Vernichtung“ bzw dem
„Verlust“ der personenbezogenen Daten und macht damit deutlich, dass
nur eine dauerhafte Kompromittierung der Verfügbarkeit erfasst ist;
ein bloß vorübergehender Verlust der Verfügbarkeit (zB ein vorüberge-
hender Serverausfall) stellt hingegen keine „Verletzung des Schutzes per-

sonenbezogener Daten“ dar.
Erlangt der Verantwortliche Kenntnis davon, dass die Vertraulichkeit, Inte-
grität oder Verfügbarkeit personenbezogener Daten verletzt wurde, gelten
folgende Informationspflichten:
Information der Daten- Information der

schutzbehörde Betroffenen
Auslöser der Kenntnis von der Verlet- Kenntnis von der Verletzung
Informa zung des Schutzes perso- des Schutzes personenbezo-
tionspflicht nenbezogener Daten, gener Daten, sofern für die
sofern für die Betroffenen Betroffenen ein hohes Risiko
jegliches Risiko besteht besteht (siehe unten)
Frist unverzüglich (dh ohne unverzüglich (dh ohne
schuldhafte Verzögerung) schuldhafte Verzögerung) ab
aber jedenfalls binnen Kenntnis
72 Stunden ab Kenntnis
Umfang der > Art der Sicherheitsverlet- > Art der Sicherheitsverlet-
Information zung zung
> Name und Kontaktdaten > Name und Kontaktdaten
des Datenschutzbeauf- des Datenschutzbeauftrag-
tragten oder sonstigen ten oder sonstigen Anlauf-
Anlaufstelle stelle
> ergriffene oder vorge- > ergriffene oder vorgeschla-
schlagene reaktive gene reaktive Maßnahmen
Maßnahmen
168
Verlag Österreich
Information der Daten- Information der

schutzbehörde Betroffenen
> wahrscheinliche Folgen > wahrscheinliche Folgen

> Kategorien und Anzahl > Empfehlungen zur Minde-
der Betroffenen rung der Folgen
> Kategorien und Anzahl
der Datensätze
Modalität per E-Mail per Brief, E-Mail oder sonsti-
der Informa- ger elektronischer Nachricht,
tion sofern kein unverhältnismäßi-
ger Aufwand entsteht – an-
sonsten öffentliche Bekannt-

machung (zB auf der Startsei-
te der Website, sofern diese
regelmäßig von den Betroffe-
nen besucht wird)
Bei der Frage, ob eine Sicherheitsverletzung ein hohes Risiko begründet

und daher die Betroffenen zu informieren sind, kann grundsätzlich darauf
abgestellt werden, ob für die Verarbeitungstätigkeit eine Datenschutz-Fol-
genabschätzung durchzuführen war (siehe Frage 23 f). Weiters sollte grund-
sätzlich von einem hohen Risiko ausgegangen werden, wenn Benutzerna-
men und Passwörter oder sensible Daten kompromittiert wurden.
Die folgende Tabelle enthält einige Praxisbeispiele zu Sicherheitsverletzun-

gen:
Ereignis Informationspflicht?
Laptop (ohne Festplattenverschlüs- Es liegt eine Verletzung der Vertrau-

selung) mit Kundendaten im Zug lichkeit vor („unbefugter Zugang“).
vergessen Die Datenschutzbehörde ist grund-
sätzlich zu informieren, die Betroffe-
nen nur, wenn aufgrund der konkre-
ten Daten ein hohes Risiko besteht.
E-Mail zur Mahnung eines Kunden Es liegt eine Verletzung der Ver-
versehentlich an Geschäftspartner traulichkeit vor. Die Datenschutz-
anstatt an den Kunden gesendet behörde ist grundsätzlich zu infor-
mieren, der Betroffene nur, wenn
169
Verlag Österreich
Ereignis Informationspflicht?
aus der E-Mail sensible Daten er-

sichtlich waren und daher ein hohes
Risiko vorliegt.
Einige Mitarbeiter-PCs werden Obwohl die PCs mit Schadsoftware

durch Schadsoftware kompromit- befallen sind, wurde weder die Ver-
tiert, die es – soweit bekannt – nicht traulichkeit noch die Verfügbarkeit
auf die Daten abgesehen hat, die auf oder die Integrität der Daten ver-
den PCs gespeichert sind, sondern letzt. Eine Information der Daten-
nur dazu verwendet wird, Spam-E- schutzbehörde oder der Betroffenen
Mails an Dritte zu versenden. ist daher nicht erforderlich.
Eine Sicherheitslücke in Standard- Der Verantwortliche hat keine

software wird öffentlich bekannt, Kenntnis davon, dass es tatsächlich
die es jedermann ermöglicht, über zu einer Verletzung der Vertraulich-
das Internet auf die gesamte Kun- keit, Verfügbarkeit oder Integrität
dendatenbank zuzugreifen. Die Si- gekommen ist. Eine Informations-
cherheitslücke wird innerhalb von pflicht besteht daher nicht.
24 Stunden durch ein Sicherheitsup-
date geschlossen. Ob in der Zwi-
schenzeit ein unautorisierter Zugriff
auf die Kundendatenbank erfolgt
ist, kann nicht festgestellt werden.
Erpresser-Schadsoftware ver- Es liegt eine Verletzung der Verfüg-

schlüsselt alle Kundendaten (keine barkeit der Daten vor (eine Wieder-
Backups vorhanden) herstellung liegt nicht mehr im Er-
messen des Unternehmens). Die
Datenschutzbehörde ist allerdings
nur zu informieren, wenn der Da-
tenverlust negative Auswirkungen
für die Betroffenen haben kann, die
Betroffenen nur dann, wenn ein ho-
hes Risiko vorliegt.
Erpresser-Schadsoftware ver- Da Backups vorhanden sind und je-

schlüsselt alle Kundendaten (Back- derzeit wiederhergestellt werden
ups vorhanden) können, sind die Daten weder ver-
loren noch vernichtet. Eine Infor-
mationspflicht besteht daher nicht.
170
Verlag Österreich
93. In welcher Form sind Sicherheitsverletzungen zu

dokumentieren?
Nach der DSGVO hat der Verantwortliche (nicht jedoch der Auftragsverar-
beiter) jede „Verletzung des Schutzes personenbezogener Daten“ (vgl Fra-
ge 92) zu dokumentieren, und zwar auch dann, wenn die Verletzung zu kei-
nem Risiko für die Betroffenen geführt hat (Art 33 Abs 5 DSGVO). Hierbei
hat er insbesondere alle Fakten in Zusammenhang mit der Sicherheitsverlet-
zung, die Auswirkungen und die ergriffenen Abhilfemaßnahmen zu erfassen.
Untenstehend ist ein Muster für eine solche Dokumentation abgedruckt:
Muster eines Verzeichnisses von Verletzungen des Schutzes personenbezoge-

ner Daten
Verletzungen des Schutzes personenbezogener Daten
Verletzung Nr [Fortlaufende Nr]

Erster Verdacht auf Verletzung [Datum], [Uhrzeit]
Kenntniserlangung von der [Datum], [Uhrzeit]
Verletzung
Zeitpunkt der Information der [Datum und Uhrzeit bzw N/A]
Datenschutzbehörde
Kopie des Schreibens an die [Attachment bzw N/A]
Datenschutzbehörde
An der Untersuchung der [Namen/Funktionen]
Verletzung beteiligte Mitarbeiter
An der Untersuchung der [Firmenwortlaut, Anschrift]
Verletzung beteiligte externe
Dienstleister
Art der Verletzung [Beschreibung; zB Verletzung der
Vertraulichkeit der in der Kunden-
datenbank gespeicherten Kunden-
und Mitarbeiterdaten durch Aus-
nützung der damals öffentlich noch
nicht bekannten Sicherheitslücke
CVE-2018-… in der verwendeten
Webserver-Software Apache HTTP
Server]
171
Verlag Österreich
Forensischer Bericht [Attachment]

Eingeholter Rat des Daten- [Attachment bzw N/A, wenn kein
schutzbeauftragten Datenschutzbeauftragter bestellt ist]
Ergriffene reaktive Maßnahmen [Beschreibung der reaktiven Maß-
nahmen; zB Migration der Kun-
dendatenbank von einem über das
Internet zugänglichen Server auf
einen Server im Intranet – Außen-
dienstmitarbeiter erhalten nur noch
über VPN Zugang]
Bewertung des Risikos für die [keines/niedrig/mittel/hoch]
Betroffenen
Wahrscheinliche Folgen [Beschreibung der Folgen für die
Betroffenen; zB Da der Verant-
wortliche Unterhaltungselektronik
vertreibt und keine Bankkontoda-
ten, Kreditkarten oder Passwörter
betroffen sind, sind keine nennens-
werten Folgen für Betroffene zu be-
fürchten und das Risiko für die Be-
troffenen daher niedrig]
Kategorien und Anzahl der Betroffenen- Anzahl
Betroffenen kategorie
[zB Kunden] [zB 34.432]
Kategorien und Anzahl der Datensatz- Anzahl

Datensätze kategorie
[zB Kauftrans- [zB 1,2 Millio-
aktionen] nen]
[zB Kunden- [zB 34.432]
stammdaten-
sätze (Name,
Kontaktdaten,
Lieferadresse)]
172
Verlag Österreich
M. Geldbußen und Haftung
94. Wie hoch können die Geldbußen für Datenschutzverstöße

sein?
Die DSGVO sieht grundsätzlich Strafrahmen von bis zu 20 Millionen Euro

oder im Fall eines Unternehmens bis zu 4% des gesamten weltweit erziel-
ten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor, je nachdem,
welcher der Beträge höher ist (Art 83 Abs 5 und 6 DSGVO). Für „leichtere“
Verstöße gegen die DSGVO ist die Höchststrafe halb so hoch.
Wie hoch die Geldbuße tatsächlich ausfällt, wird insbesondere von folgen-
den Faktoren abhängen (Art 83 Abs 2 DSGVO):
> Art, Schwere und Dauer des Verstoßes – hierbei wird die Datenschutz-
behörde insbesondere berücksichtigen:
· Umfang und Zweck der Datenverarbeitung,
· die Zahl der Betroffenen und
· das Ausmaß des von den Betroffenen erlittenen Schadens;
> ob der Verantwortliche bzw Auftragsverarbeiter vorsätzlich oder bloß
fahrlässig gehandelt hat;
> vom Verantwortlichen bzw Auftragsverarbeiter ergriffene Maßnahmen
zur Minderung des Schadens für die Betroffenen;
> ob der Verantwortliche bzw Auftragsverarbeiter angemessene techni-
sche und organisatorische Maßnahmen ergriffen hatte, um einen sol-
chen Verstoß zu verhindern;
> ob es sich beim Verantwortlichen bzw Auftragsverarbeiter um einen
Wiederholungstäter handelt;
> in welchem Umfang der Verantwortliche bzw Auftragsverarbeiter mit
der Datenschutzbehörde zusammengearbeitet hat, um die nachteiligen
Auswirkungen des Verstoßes zu mindern;
> die Kategorien personenbezogener Daten, die von dem Verstoß betrof-
fen sind – sollten sensible oder strafrechtlich relevante Daten betroffen
sein, wird dies einen Erschwerungsgrund darstellen;
173
Verlag Österreich
> ob der Verantwortliche bzw Auftragsverarbeiter die Behörde selbst über

den Verstoß informiert hat („Selbstanzeige“);
> ob der Verantwortliche bzw Auftragsverarbeiter gegen einen Bescheid
verstoßen hat, den die Datenschutzbehörde in derselben Sache bereits
gegen ihn erlassen hat;
> ob der Verantwortliche bzw Auftragsverarbeiter behördlich genehmigte
Verhaltensregeln oder genehmigte Zertifizierungsverfahren eingehalten
hat und
> durch den Verstoß erlangte finanzielle Vorteile.
95. Wann haftet das Management, wann das Unternehmen für

Geldbußen?
Über die juristische Person (dh das Unternehmen) kann bei einer Verlet-
zung der DSGVO eine Geldbuße nur verhängt werden, wenn einer der bei-
den folgenden Fälle vorliegt (§ 30 Abs 1 und 2 DSG):
1) der Verstoß wurde durch eine Person begangen, die eine Führungsposi-
tion innerhalb des Unternehmens hat; eine solche Führungsposition
kann sich ergeben aus:
· der Befugnis zur Vertretung der juristischen Person (zB Geschäfts-
führer oder Prokurist),
· der Befugnis, Entscheidungen im Namen der juristischen Person zu
treffen, oder
· einer Kontrollbefugnis innerhalb der juristischen Person;
2) mangelnde Überwachung oder Kontrolle durch eine oben genannte
Person hat die Begehung des Verstoßes durch einen Mitarbeiter ermög-
licht.
Alternativ kann die Datenschutzbehörde die Geldbuße unmittelbar ge-
genüber Mitgliedern der Geschäftsleitung verhängen (zu Behördenleitern
siehe Frage 97). Dies ist lediglich dann nicht möglich, wenn das Unterneh-
men nach dem Verwaltungsstrafgesetz (VStG) einen für Datenschutzrecht
verantwortlichen Beauftragten bestellt hat (§ 9 VStG).
Der (vom Datenschutzbeauftragten strikt zu trennende) verantwortliche
Beauftragte nach § 9 VStG kann ein Mitglied der Geschäftsleitung oder –
für bestimmte räumlich oder sachlich abgegrenzte Bereiche des Unterneh-
mens – auch ein regulärer Mitarbeiter sein. Eine Bestellung zum verant-
wortlichen Beauftragten setzt allerdings voraus, dass der Mitarbeiter eine
entsprechende organisationsinterne Anordnungsbefugnis im Umfang seiner
Verantwortlichkeit hat und seiner Bestellung zustimmt, weshalb die Bestel-
174
Verlag Österreich
Geldbußen und Haftung
lung schriftlich mit Datum und Gegenzeichnung der bestellten Person er-
folgen sollte.
Die Datenschutzbehörde kann davon absehen, gegen Mitglieder der Ge-
schäftsleitung bzw gegen einen verantwortlichen Beauftragten Geldbußen
zu verhängen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe
gegen die juristische Person (das Unternehmen) verhängt wird (§ 30 Abs 3
DSG).
96. Haftet die Konzernmutter für die Tochter?

Ja, Geldbußen wegen Datenschutzverletzungen einer Tochtergesellschaft
können grundsätzlich auch gegenüber der Konzernmutter verhängt wer-
den. Bemessungsgrundlage für die Geldbuße (2% bzw 4% des Umsatzes)

ist hierbei der Umsatz des gesamten Konzerns.
Die DSGVO spricht davon, dass die Geldbußen über das „Unternehmen“
verhängt werden können und verweist hierzu auf den Unternehmensbegriff
des EU-Kartellrechts (Erwägungsgrund 150 Satz 3 DSGVO). Es ist daher
von folgenden rechtlichen Konsequenzen auszugehen:
> Bei der Bemessung der Geldbuße ist auf die wirtschaftliche Einheit ab-
zustellen, selbst wenn diese aus mehreren juristischen Personen besteht.
Es ist daher grundsätzlich der gesamte Konzernumsatz maßgeblich.
> Wie im EU-Kartellrecht auch, wird eine Geldbuße wegen Verstößen der
Tochtergesellschaft grundsätzlich auch gegenüber der Konzernmut-
tergesellschaft verhängt werden können. Dies deshalb, weil die kontrol-
lierende Gesellschaft nach dem EU-Kartellrecht grundsätzlich für die
kontrollierte Gesellschaft haftet und eine solche Kontrolle bei einer
100%igen Tochtergesellschaft – bis zum Beweis des Gegenteils – vermu-
tet wird.
Praktisch gesprochen sind Datenschutzverstöße insbesondere im internati-
onalen Konzern daher keine „lokalen“ Themen, sondern immer Konzern-
Themen.
97. Haftet der Leiter der öffentlichen Stelle für die öffentliche

Stelle?
Ja, über den Leiter einer öffentlichen Stelle oder Behörde kann grundsätz-
lich dann eine Geldbuße verhängt werden, wenn die öffentliche Stelle oder
Behörde im Rahmen der Privatwirtschaftsverwaltung eine Verletzung der
DSGVO begeht.
175
Verlag Österreich
Die DSGVO und das DSG sehen zwar vor, dass über Behörden und öf-
fentliche Stellen keine Geldbußen verhängt werden können (Art 83 Abs 7
DSGVO; § 30 Abs 5 DSG). Allerdings ist es zumindest nach dem Wortlaut
des DSG sehr wohl möglich, über die vertretungsbefugten Organe der öf-
fentlichen Stelle oder Behörde eine Geldbuße zu verhängen.
Denn nach dem DSG ist nur dann von der Verhängung einer Geldbuße
über die vertretungsbefugten Organe einer juristischen Person abzuse-
hen, wenn für den fraglichen Verstoß bereits eine Verwaltungsstrafe gegen
die juristische Person verhängt wird (§ 30 Abs 3 DSG). Nach der Rechtspre-
chung sind auch Behörden „juristische Personen“ im Sinne des österrei-
chischen Verwaltungsstrafrechts, soweit sie im Bereich der Privatwirt-
schaftsverwaltung tätig werden (VwGH 25.3.2004, 2001/07/0135). Ihre ver-
tretungsbefugten Organe (zB der Bürgermeister einer Gemeinde; vgl

VwGH 26.2.2014, 2013/04/0065) haften daher für sie nach § 9 des Verwal-
tungsstrafgesetzes (VStG).
Soweit öffentliche Stellen oder Behörden daher nicht in Vollziehung der
Gesetze handeln, ist es sehr wohl denkbar, dass über ihre vertretungsbefug-
ten Organe eine Geldbuße nach der DSGVO verhängt wird.
98. Wie weit reicht der Schadenersatzanspruch der Betroffenen?

Betroffene haben das Recht, den Ersatz sowohl materieller als auch immate-
rieller Schäden zu begehren, die sie durch einen Verstoß gegen die DSGVO
erleiden.
Materieller Schaden bezeichnet jede Minderung des Vermögens des Betrof-
fenen einschließlich des entgangenen Gewinns. Bleibt beispielsweise die Be-
werbung für eine Arbeitsstelle erfolglos oder wird dem Ersuchen um eine
Gehaltserhöhung nicht entsprochen, weil zuvor Daten des Betroffenen bei
einer Dating-Plattform kompromittiert und im Internet veröffentlicht wur-
den, so wäre ein Anspruch auf Ersatz des materiellen Schadens (des entgan-
genen Gewinns) gegen den Betreiber der Dating-Plattform denkbar.
Bei materiellen Schäden liegt in der Praxis für den Betroffenen die große
Herausforderung darin, zu beweisen, dass der materielle Schaden tatsäch-
lich durch die Datenschutzverletzung verursacht wurde, dh im obigen Bei-
spiel, dass der Betroffene sehr wohl die Arbeitsstelle bzw die Gehaltserhö-
hung bekommen hätte, wenn es nicht zur Veröffentlichung der sensiblen
Daten gekommen wäre. Da dieser Beweis sehr schwer zu erbringen ist,
kommt dem Recht auf Ersatz des immateriellen Schadens besondere Bedeu-
tung zu.
176
Verlag Österreich
Immaterieller Schaden bezeichnet die emotional-seelische Beeinträchti-

gung, die Betroffene durch die Datenschutzverletzung erleiden und setzt –
im Unterschied zur alten Rechtslage – nicht voraus, dass es für den Betrof-
fenen zu einer Bloßstellung oder einer ähnlich schweren Beeinträchtigung
kommt.
Der DSGVO ist zu entnehmen, dass insbesondere folgende Umstände zu
immateriellen (oder materiellen) Schäden führen, deren Ersatz begehrt wer-
den kann:
> Diskriminierung,
> Identitätsdiebstahl oder -betrug,
> Rufschädigung,
> der Verlust von personenbezogenen Daten, die einem Berufsgeheimnis

unterliegen (zB Daten, die der ärztlichen Verschwiegenheitspflicht un-
terliegen),
> die unbefugte Aufhebung der Pseudonymisierung,
> erhebliche gesellschaftliche Nachteile für die Betroffenen,
> die rechtswidrige Verarbeitung sensibler oder strafrechtlich relevanter
Daten,
> die rechtswidrige Durchführung von Profiling oder
> wenn personenbezogene Daten schutzbedürftiger natürlicher Personen,
insbesondere Daten von Kindern, rechtswidrig verarbeitet werden.
99. Wird es in Österreich Sammelklagen geben?

Ja, es ist wahrscheinlich, dass es in Österreich zu Sammelklagen kommen
wird, mit denen tausende Betroffene ihre Schadenersatzansprüche gebün-
delt einklagen.
Konkret sieht die DSGVO vor, dass sich Betroffene von einer Einrichtung,
Organisation oder Vereinigung (im Folgenden „NGO“) bei der Geltend-
machung ihrer Ansprüche vertreten lassen können, wenn diese NGO (vgl
Art 80 Abs 1 DSGVO)
> keine Gewinnerzielungsabsicht hat,
> ordnungsgemäß nach dem Recht eines EU-Mitgliedstaats gegründet ist,
> im Bereich des Datenschutzes für Betroffene tätig ist und wenn
> ihre satzungsmäßigen Ziele im öffentlichen Interesse liegen.
Diese Vertretungsbefugnis von Datenschutz-NGOs umfasst nach der
DSGVO nur dann das Recht auf Schadensersatz, wenn dies im nationalen
177
Verlag Österreich
Recht vorgesehen ist. Da der österreichische Gesetzgeber von dieser Mög-

lichkeit Gebrauch gemacht hat (vgl § 28 DSG), werden Datenschutz-NGOs
in Österreich auch Schadenersatzansprüche für Betroffene geltend machen
können, was effektiv den Weg zu Sammelklagen öffnet.
Kommt es beispielsweise infolge einer Sicherheitsverletzung bei einem Un-
ternehmen dazu, dass die E-Mail-Adressen und Passwörter von 600.000 Be-
troffenen kompromittiert werden und entscheidet sich auch nur ein Fünftel
der Betroffenen dazu, eine Datenschutz-NGO mit der Geltendmachung
von Schadenersatzansprüchen zu beauftragen, so könnte die Datenschutz-
NGO die Ansprüche von 120.000 Betroffenen einklagen. Begehrt zB jeder
Betroffene 100 Euro für den Ersatz seines immateriellen Schadens, würde
der eingeklagte Betrag 12 Millionen Euro betragen.
Für Unternehmen, die personenbezogene Daten von einer großen Anzahl

von Betroffenen verarbeiten, sind Sammelklagen daher eines der strategisch
bedeutendsten Datenschutzrisiken.
100. Wie kann man vorsorgen, um sich in einem Schadenersatz-

prozess freibeweisen zu können?
Die DSGVO sieht vor, dass eine schadenersatzrechtliche Haftung entfällt,
wenn es dem Beklagten gelingt, nachzuweisen, dass er „in keinerlei Hin-
sicht für den Umstand, durch den der Schaden eingetreten ist, verant-
wortlich ist“ (Art 82 Abs 3 DSGVO). Der Beklagte muss daher nachwei-
sen, dass ihn kein Verschulden trifft, dh dass er alle zumutbaren, von der
DSGVO geforderten Maßnahmen im Vorfeld unternommen hat.
Zu diesen Maßnahmen zählen
> angemessene technische und organisatorische Maßnahmen, um die
Rechtmäßigkeit der Datenverarbeitung sicherzustellen (Art 24 DSGVO)
und
> angemessene technische und organisatorische Maßnahmen, um die Si-
cherheit der Daten zu gewährleisten (Art 32 DSGVO).
Um nachweisen zu können, dass diese Maßnahmen tatsächlich implemen-
tiert wurden, ist es entscheidend, dass diese im Detail dokumentiert wer-
den. Dem datenschutzrechtlichen Grundsatz der Rechenschaftspflicht (vgl
Schritt 4 des Umsetzungsplans) entsprechend ist es daher nicht ausreichend,
die notwendigen Maßnahmen nur zu implementieren, vielmehr muss man
auch dokumentieren, dass man sie implementiert hat.
Wird beispielsweise die Länge der Unternehmenszugehörigkeit eines Mitar-
beiters von der Personalabteilung in einer Datenbank falsch eingegeben
178
Verlag Österreich
(Verletzung des Grundsatzes der Richtigkeit der Daten gemäß Art 5 Abs 1
lit d DSGVO) und wird der Mitarbeiter daher für eine Beförderung nicht in
Betracht gezogen, so könnte dies grundsätzlich eine Schadenersatzpflicht
des Unternehmens begründen.
Gelingt es dem Unternehmen allerdings anhand entsprechender Dokumen-
tation nachzuweisen, dass alle Mitarbeiter der Personalabteilung angemes-
sen geschult wurden sowie angemessene technische Maßnahmen zur Erken-
nung und Verhinderung von Eingabefehlern implementiert wurden, wird
sich das Unternehmen im Ergebnis freibeweisen können.
179
Verlag Österreich
Verlag Österreich
Datenschutzwörterbuch
Verlag Österreich
Verlag Österreich
Anonymisierung – Ein technischer, meist automatisierter Prozess, mit dem
personenbezogene Daten so verändert werden, dass sie von niemandem
mehr einer konkreten Person zugeordnet werden können.
Artikel 29-Datenschutzgruppe – Ein nach Art 29 der Datenschutz-Richt-
linie gegründeter loser Zusammenschluss der Datenschutzbehörden aller
EU-Mitgliedstaaten. Die Artikel 29-Datenschutzgruppe veröffentlicht

Stellungnahmen und Leitlinien, die zwar nicht bindend sind, an welchen
sich die nationalen Datenschutzbehörden aber stark orientieren, zumal
sie an der Verfassung mitgewirkt haben. Mit Geltungsbeginn der
DSGVO am 25. Mai 2018 wird die Artikel 29-Datenschutzgruppe in den
Europäischen Datenschutzausschuss übergehen.
Aufsichtsbehörde – In jedem EU-Mitgliedstaat ist (mindestens) eine Auf-
sichtsbehörde eingerichtet, welche die DSGVO im jeweiligen Mitglied-
staat vollzieht. In Österreich ist dies die Datenschutzbehörde (siehe
https://www.dsb.gv.at).
Auftraggeber – Siehe Verantwortlicher.
Auftragsverarbeiter – Jemand, der personenbezogene Daten im Auftrag
und auf Weisung eines Verantwortlichen verarbeitet. Der Auftragsverar-
beiter entscheidet nicht über Mittel und Zwecke der Datenverarbeitung.
Auftragsverarbeitervereinbarung – Eine zwischen einem Verantwortli-
chen und einem Auftragsverarbeiter abzuschließende Vereinbarung. Die
Vereinbarung muss geschlossen werden, bevor der Auftragsverarbeiter
mit der Verarbeitung beginnt und Zugang zu personenbezogenen Daten
erhält. Zum notwendigen Inhalt der Vereinbarung siehe Frage 70.
Ausschuss – Siehe Europäischer Datenschutzausschuss.
Authentifikation – Siehe Authentifizierung.
Authentifizierung – Der Prozess der Überprüfung einer von einem Nutzer
behaupteten Identität im Rahmen eines Systems der Zugriffskontrolle.
Autorisierung – Der Prozess der Vergabe bestimmter Zugriffsrechte an ei-
nen bestimmten Nutzer im Rahmen eines Systems der Zugriffskontrolle;
zu unterscheiden von der Authentifizierung.
183
Verlag Österreich
B2B – Kurzform für „Business to Business“ und bezeichnet die Geschäfts-

beziehung zwischen zwei Unternehmen; das Gegenteil ist B2C.
B2C – Kurzform für „Business to Consumer“ und bezeichnet die Ge-
schäftsbeziehung zwischen einem Unternehmen und einem Konsumen-
ten; das Gegenteil ist B2B.
BCR – Siehe Binding Corporate Rules.
besondere Kategorien personenbezogener Daten – Siehe sensible Daten.
betroffene Person – Jene Person, auf die sich die personenbezogenen Daten
beziehen. Nach der DSGVO können nur natürliche Personen betroffene
Personen sein. Zum Schutz juristischer Personen, siehe Frage 41.
Betroffener – Siehe betroffene Person.
Binding Corporate Rules – Es handelt sich um ein Instrument zur Absi-

cherung konzerninterner Datenübermittlungen in Nicht-EU/EWR-
Mitgliedstaaten (vgl Art 4 Nr 20 und Art 47 DSGVO) und daher – so-
weit es konzerninterne Datenübermittlungen angeht – um eine Alterna-
tive zu Standardvertragsklauseln. Binding Corporate Rules können ge-
schlossen werden innerhalb (i) einer Unternehmensgruppe oder (ii) der-
selben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätig-
keit ausüben. Binding Corporate Rules setzten (im Unterschied zu
Standardvertragsklauseln) die vorherige Genehmigung durch die feder-
führende Aufsichtsbehörde voraus und sind daher eher unpopulär.
biometrische Daten – Daten zu den physischen, physiologischen oder ver-
haltenstypischen Merkmalen einer natürlichen Person, zB ein Fingerab-
druck, ein Scan eines Auges, oder das Foto eines Gesichts. Biometrische
Daten sind nur dann sensible Daten, wenn sie zur eindeutigen Identifi-
zierung einer natürlichen Person verwendet werden (zB in einem Ge-
sichtserkennungssystem, aber nicht in einem Fotoalbum).
C2C – Siehe Controller-to-Controller.
C2P – Siehe Controller-to-Processor.
CIPM – Certified Information Privacy Manager; eine Zertifizierung der
IAPP im Bereich des Datenschutzmanagements.
CIPP – Certified Information Privacy Professional; ein Zertifikat der IAPP
im Bereich Datenschutzrecht. Je nach Jurisdiktion kann das Zertifikat als
CIPP/A (Asien), CIPP/C (Kanada), CIPP/E (Europe), CIPP/G (USA,
Regierung) oder CIPP/US (USA, Privatwirtschaft) erworben werden.
Cloud Computing – Die Bereitstellung von IT-Ressourcen (Speicherplatz,
Rechenkapazitäten, Laufzeitumgebungen, Anwendungssoftware) über
184
Verlag Österreich
das Internet. Cloud Computing ist gekennzeichnet durch (1) Selbstzuwei-

sung von Leistungen aus der Cloud durch den Kunden („on-demand self-
service“); (2) leichte Zugänglichkeit über das Internet; (3) Ressourcen-
Pooling; (4) schnelle Skalierbarkeit der verwendeten Ressourcen (in der
Regel durch wenige Maus-Klicks) und (5) eine messbare Diensterbrin-
gung. Servicemodelle des Cloud Computing sind IaaS, PaaS und SaaS.
Co-controller – Siehe Gemeinsam Verantwortliche.
Consent – Siehe Einwilligung.
Controller – Siehe Verantwortlicher.
Controller-to-Controller – Eine Übermittlung von personenbezogenen
Daten von einem Verantwortlichen an einen anderen Verantwortlichen.
Eine C2C-Vereinbarung ist nur notwendig, wenn der Übermittlungs-

empfänger seinen Sitz in einem Nicht-EU/EWR-Staat hat, der kein an-
gemessenes Datenschutzniveau bietet.
Controller-to-Processor – Eine Übermittlung von personenbezogenen Da-
ten von einem Verantwortlichen an einen Auftragsverarbeiter. Jede C2P-
Übermittlung muss von einer Auftragsverarbeitervereinbarung gedeckt
sein.
Cookies – Kleine Textdateien, die von einer aufgerufenen Website an den
Browser des Nutzers übermittelt und von diesem auf dem Rechner des
Nutzers gespeichert werden. Bei jedem neuerlichen Aufruf der Website
werden die Cookies automatisch vom Browser an die Website übermit-
telt.
CRM – Siehe Customer Relationship Management.
Customer Relationship Management – Die systematische Gestaltung und
Erfassung aller Beziehungen und Interaktionen eines Unternehmens mit
bestehenden und potenziellen Kunden. CRM-Systeme dienen der tech-
nischen Abwicklung aller Prozesse der Kundenpflege eines Unterneh-
mens. Ein bekanntes (Cloud-basiertes) CRM-System ist SalesForce.com.
Data Breach – Ein Vorfall, durch den die Vertraulichkeit, Integrität oder
Verfügbarkeit personenbezogener Daten verletzt wird. Siehe Frage 92.
Data Breach Notification – Die verpflichtende Information der Daten-
schutzbehörde und der Betroffenen über einen Data Breach. Siehe Fra-
ge 92 zur Informationspflicht und zum Umfang der zu erteilenden In-
formation.
Data Localization Requirement – Siehe Data Residency Requirement.
185
Verlag Österreich
Data Mapping – Der Prozess der Erhebung aller Informationen, die für das
Verzeichnis der Verarbeitungstätigkeiten erforderlich sind (siehe
Data Processing Agreement – Siehe Auftragsverarbeitervereinbarung.
Data Protection Authority – Siehe Aufsichtsbehörde.
Data Residency Requirement – In manchen Staaten (zB Russland) beste-

hende Pflicht, personenbezogene Daten der Staatsbürger nur im Inland
zu speichern. Derartige Pflichten gibt es weder nach der DSGVO noch
nach österreichischem Recht; sie dienen primär dazu, sicherzustellen,
dass die personenbezogenen Daten dem Zugriff der Staatsmacht nicht
entzogen werden.
Data Subject – Siehe betroffene Person.
Data Transfer Agreement – Wird typischerweise für Vereinbarungen ver-

wendet, die sowohl Übermittlungen im Verhältnis C2P als auch C2P ab-
decken.
Datei – Nach alter Rechtslage verwendeter Begriff für Dateisystem.
Dateisystem – Eine strukturierte Sammlung personenbezogener Daten, die

nach bestimmten Kriterien zugänglich sind (zB ein Karteikartensystem,
in welchem die Karteikarten aller Kunden nach dem jeweiligen Namen
der Kunden sortiert sind). Dateisysteme unterliegen der DSGVO, ob-
wohl es sich um keine automationsunterstützte (dh elektronische) Da-
tenverarbeitung handelt.
Datenanwendung – Nach alter Rechtslage verwendeter Begriff für Verar-

beitungstätigkeit.
Datenexporteur – So wird bei internationalen Datenübermittlungen häufig

derjenige bezeichnet, von dem die Datenübermittlung ausgeht.
Datenimporteur – So wird bei internationalen Datenübermittlungen häufig

der Übermittlungsempfänger bezeichnet.
Datenkategorie – Eine Kategorie personenbezogener Daten, wie zB Name

oder Anschrift. Datenkategorien sollten allgemeiner beschrieben werden
als Datenelemente. ZB wird eine Anschrift häufig derart gespeichert,
dass sie in die Datenelemente Straße, Hausnummer, Türnummer, Post-
leitzahl, Gemeinde und Land zerlegt wird. Aus Gründen der Effizienz
sollten nicht diese Datenelemente, sondern schlicht „Anschrift“ als Da-
tenkategorie erfasst werden.
186
Verlag Österreich
Datenminimierung – Der Grundsatz, dass nicht mehr personenbezogene

Daten erhoben und verarbeitet werden dürfen, als für den Verarbei-
tungszweck notwendig ist.
Datenschutzbeauftragter – Eine Person, die ein Verantwortlicher oder
Auftragsverarbeiter bestellt (bzw in manchen Fällen bestellen muss), um
den Verantwortlichen bzw Auftragsverarbeiter bei der Einhaltung der
DSGVO zu unterstützen (Beratungs- und Kontrollorgan).
Datenschutzbehörde – Die in Österreich mit der Vollziehung der DSGVO
betraute Behörde (siehe https://www.dsb.gv.at).
Datenschutzerklärung – Siehe Datenschutzmitteilung.
Datenschutz-Folgenabschätzung – Ein Prozess, mit dem die Risiken eines
Verarbeitungsvorgangs (zB eines Whistleblowing-Systems) für die Be-

troffenen beurteilt werden. Datenschutz-Folgenabschätzungen sind
vom Verantwortlichen vor Beginn der Datenverarbeitung durchzufüh-
ren, wenn die Verarbeitung nach vorläufiger Beurteilung ein hohes Risi-
ko für die Betroffenen darstellt.
Datenschutz-Grundverordnung – Verordnung (EU) 2016/679 des Euro-
päischen Parlaments und des Rates vom 27. April 2016. Als EU-Verord-
nung gilt sie unmittelbar in allen EU-Mitgliedstaaten und genießt An-
wendungsvorrang gegenüber abweichendem nationalen Recht. Die
DSGVO räumt den EU-Mitgliedstaaten durch sog Öffnungsklauseln
jedoch ausdrücklich gewisse Regelungsspielräume ein, die zB in Öster-
reich durch das Datenschutz-Anpassungsgesetz 2018 genutzt wurden.
Datenschutzinformation – Siehe Datenschutzmitteilung.
Datenschutz-Managementsystem – Das Konzept oder die Summe aller
Strategien, mit denen sichergestellt wird, dass alle Vorgaben der DSGVO
innerhalb der gesamten Organisation eingehalten werden.
Datenschutzmitteilung – Die verpflichtende Mitteilung eines Verantwort-
lichen an betroffene Personen, mit welcher eine umfassende Information
über die Datenverarbeitung erfolgt (siehe Schritt 8, Zwischenschritt D
des Umsetzungsplans).
Datenschutzrichtlinie – Die EU-Richtlinie 95/46/EG. Sie wurde in Öster-
reich im DSG 2000 umgesetzt und wird ab 25. Mai 2018 von der DSGVO
abgelöst.
Datensicherheit – Siehe Sicherheit.
Datenübermittlung – Siehe Übermittlung.
187
Verlag Österreich
Dienst der Informationsgesellschaft – Online-Dienste einschließlich In-

ternetzugangsdienste. Die rechtliche Definition lautet: „jede in der Regel
gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf
eines Empfängers erbrachte Dienstleistung“ (Art 1 Nr 1 lit b Richtlinie
(EU) 2015/1535).
Dienstleister – Nach der alten Rechtslage verwendeter Begriff für Auftrags-
verarbeiter.
Dienstleistervereinbarung – Nach der alten Rechtslage verwendeter Be-
griff für Auftragsverarbeitervereinbarung.
Direktmarketing – Siehe Direktwerbung.
Direktwerbung – Werbung, die sich an konkrete Betroffene richtet – zB an
eine konkrete Person adressierte postalische Werbung, E-Mail-Werbung

oder Werbe-Anrufe, nicht hingegen (personalisierte) Bannerwerbung
auf einer Website.
DPA – Siehe Data Processing Agreement oder Data Protection Authority.
DPO – Abkürzung für Data Protection Officer, siehe Datenschutzbeauf-
tragter.
Dritter – Im Verhältnis zu einem konkreten Verantwortlichen jeder, außer
der Betroffene, der Auftragsverarbeiter des Verantwortlichen oder der
Verantwortliche selbst. Dem Dritten kommt selbst meist die Rolle eines
Verantwortlichen zu.
Drittland – Staaten, die nicht der EU oder dem EWR angehören.
DSGVO – Siehe Datenschutz-Grundverordnung.
DSMS – Siehe Datenschutz-Managementsystem.
Einwilligung – Eine von der betroffenen Person freiwillig für den bestimm-
ten Fall, in informierter Weise und unmissverständlich abgegebene Er-
klärung, dass sie mit einer bestimmten Datenverarbeitung einverstanden
ist. Eine Einwilligung ist eine von mehreren möglichen Rechtsgrundla-
gen für die Verarbeitung personenbezogener Daten (siehe Schritt 8, Zwi-
schenschritt A des Umsetzungsplans).
Enterprise Resource Planning – Unternehmerische Planung von Ressour-
cen wie Kapital, Personal, Betriebsmittel, Material, Informations- und
Kommunikationstechnik und IT-Systemen. Hierfür wird meist ein sog
ERP-System eingesetzt. Komponenten eines ERP-Systems sind insbe-
sondere Human Capital Management, Customer Relationship Manage-
ment und Supply Chain Management.
188
Verlag Österreich
ERP – Siehe Enterprise Resource Planning.

EU – Die Europäische Union, bestehend aus 28 (bzw ab Brexit 27) Mit-
gliedstaaten.
EU Model Clauses – Siehe Standardvertragsklauseln.
Europäischer Datenschutzausschuss – EU-Behörde zur Koordination der
nationalen Aufsichtsbehörden, welche mit 25. Mai 2018 die Artikel
29-Datenschutzgruppe ersetzt. Sie wird zu Fragen der Auslegung der
DSGVO Leitlinien erlassen können, welche für die Aufsichtsbehörden
bindend sein werden. Der Europäische Datenschutzausschuss besteht
aus den Leitern der nationalen Aufsichtsbehörden und dem Europäischen
Datenschutzbeauftragten.
Europäischer Datenschutzbeauftragter – Eine EU-Behörde, deren Auf-

gabe es ist, die Einhaltung des Datenschutzrechts durch EU-Organe und
-Einrichtungen zu kontrollieren sowie diese bei Fragen des Daten-
schutzrechts zu beraten.
Europäisches Datenschutz-Gütesiegel – Siehe EuroPriSe.
European Privacy Seal – Siehe EuroPriSe.
EuroPriSe – Ein in Europa weit verbreitetes Datenschutz-Gütesiegel für
IT-Produkte und IT-basierte Dienste.
EWR – Der Europäische Wirtschaftsraum, bestehend aus den Mitgliedstaa-
ten der EU sowie Island, Liechtenstein und Norwegen.
federführende Aufsichtsbehörde – Jene Aufsichtsbehörde eines EU-Mit-
gliedstaates, bei der die primäre Zuständigkeit für einen bestimmten Fall
liegt (vgl Art 56 DSGVO).
Firewall – Eine Netzwerkkomponente, die unautorisierten Netzwerkver-
kehr zwischen unterschiedlichen Computer-Netzen oder Computersys-
temen blockiert.
GDPR – Englisch für DSGVO.
gemeinsam Verantwortliche – Mehrere Verantwortliche, die gemeinsam
die Zwecke und Mittel zur Verarbeitung von personenbezogenen Daten
festlegen. Sie müssen in einem Vertrag vereinbaren, wer welchen Ver-
pflichtungen nach der DSGVO nachzukommen hat.
genetische Daten – Personenbezogene Daten über die genetischen Eigen-
schaften einer Person, die aus der Analyse einer biologischen Probe ge-
wonnen werden.
189
Verlag Österreich
Gesundheitsdaten – Personenbezogene Daten, die sich auf den körperli-

chen oder geistigen Gesundheitszustand einer betroffenen Person bezie-
hen.
HCM – Siehe Human Capital Management.
HIPAA – Der US-amerikanische Health Insurance Portability and Accoun-
tability Act, welcher strenge Datenschutz- und Datensicherheitsmaß-
nahmen für Gesundheitsdaten vorsieht.
HRIS – Siehe Human Resources Information System.
Human Capital Management – Personalverwaltung, einschließlich der
systematischen Steuerung der Entwicklung, Qualifikationen und Evalu-
ierung der Mitarbeiter eines Unternehmens sowie Lohnverrechnung und
Zeiterfassung. Verbreitete Human Capital Management (HCM) Systeme

sind zB SAP SuccessFactors oder Workday.
Human Resources Information System – Auch als Human Capital Ma-
nagement (HCM) System bezeichnet.
IaaS – Infrastructure as a Service; eine Art des Cloud Computing, bei der der
Anbieter lediglich die Infrastruktur (insbesondere Speicherplatz und Re-
chenkapazität) in Form von virtualisierter Hardware bereitstellt.
IAPP – International Association of Privacy Professionals; ein privater Ver-
ein, der eine Plattform für den Austausch von Experten und Praktikern
im Bereich des Datenschutzes bietet. Die IAPP bietet weiters unter-
schiedliche Zertifizierungen für Datenschutz-Praktiker an (zB CIPM
oder CIPP).
IGDTA – Siehe Intra-Group Data Transfer Agreement.
indirekt personenbezogene Daten – Nach alter Rechtslage verwendeter
Begriff für personenbezogene Daten, bei welchen die Identität der Be-
troffenen vom Verantwortlichen mit rechtlich zulässigen Mitteln nicht
festgestellt werden kann. Vergleichbar mit pseudonymen Daten nach der
DSGVO.
Informationssicherheits-Managementsystem – Ein Managementsystem
zur Gewährleistung der Informationssicherheit, zB nach ISO/IEC 27001
(siehe Frage 88).
Informationsverbundsystem – Nach alter Rechtslage verwendeter Begriff
für die gemeinsame Verarbeitung von personenbezogenen Daten durch
mehrere Verantwortliche, wobei jeder Verantwortliche auch auf die Da-
ten der anderen Verantwortlichen Zugriff hat. Vergleichbar mit dem
Konzept der gemeinsam Verantwortlichen nach der DSGVO.
190
Verlag Österreich
Integrität und Vertraulichkeit – Der Grundsatz, dass angemessene techni-

sche und organisatorische Maßnahmen implementiert werden müssen,
um die Sicherheit und die Rechtmäßigkeit der Datenverarbeitung zu ge-
währleisten.
Intra-Group Data Transfer Agreement – Ein zwischen mehreren Gesell-
schaften desselben Konzerns abgeschlossenes Data Transfer Agreement.
Es hat häufig die Funktion, die konzerninternen internationalen Daten-
übermittlungen rechtlich abzusichern.
IP-Adresse – Eine Adresse, die jedem Computer zugewiesen wird, der mit
einem Computer-Netzwerk verbunden ist. Die Zuweisung einer IP-
Adresse ist Voraussetzung dafür, dass ein Computer unter Verwendung
des Internet Protocol (IP) mit anderen Computern kommunizieren
kann. IP-Adressen sind grundsätzlich als personenbezogene Daten zu

behandeln (siehe Frage 43).
ISMS – Siehe Informationssicherheits-Managementsystem.
juristische Person – Ein Gebilde, dem die Rechtsordnung Rechtspersön-
lichkeit (dh die Fähigkeit Träger von Rechten und Pflichten zu sein) zu-
weist. ZB eine Gesellschaft wie eine GmbH oder eine Gebietskörper-
schaft, wie die Gemeinde Wien. Handelt es sich bei einer juristischen
Person um eine Gesellschaft, die ein Unternehmen betreibt, wird die ju-
ristische Person und das Unternehmen häufig gleichgesetzt.
Kind – Eine Person vor Vollendung des 18. Lebensjahres. Kinder vor Voll-
endung des 14. Lebensjahres können selbst keine wirksame Einwilligung
abgeben (siehe Frage 59).
Konsultation – Der Verantwortliche hat die Datenschutzbehörde zu kon-
sultieren, wenn eine Datenschutz-Folgenabschätzung ergibt, dass eine
bestimmte Datenverarbeitung ein hohes Risiko für die Betroffenen dar-
stellt und er keine hinreichenden Risikominderungsmaßnahmen ergreift.
Eine Genehmigung der Datenschutzbehörde ist allerdings nicht erfor-
derlich.
Konzern – Siehe Unternehmensgruppe.
Koppelungsverbot – Eine Einwilligung von Betroffenen ist dann unfrei und
damit unwirksam, wenn sie Voraussetzung für den Bezug von Waren
oder Dienstleistungen ist (an diese „gekoppelt“ ist), aber darüber hinaus-
geht, was für die Lieferung der Waren bzw Erbringung der Dienstleis-
tungen erforderlich ist (siehe Frage 60 f).
Model Clauses – Siehe Standardvertragsklauseln.
191
Verlag Österreich
natürliche Person – Ein lebender Mensch.

Niederlassung – Eine Tochtergesellschaft oder Zweigniederlassung. Die
DSGVO setzt lediglich eine effektive und tatsächliche Ausübung einer
Tätigkeit durch eine feste Einrichtung voraus, unabhängig davon, ob die-
se eine eigene Rechtspersönlichkeit hat (Erwägungsgrund 22 DSGVO).
Notice – Siehe Datenschutzmitteilung.
Öffnungsklauseln – Bestimmungen in der DSGVO, die es den EU-Mit-
gliedstaaten ermöglichen (bzw in manchen Fällen die Mitgliedstaaten
verpflichten), einzelne Fragen des Datenschutzrechts auf nationaler Ebe-
ne zu regeln. Die DSGVO enthält 69 Öffnungsklauseln.
Outsourcing – Auslagerung bestimmter Prozesse oder Tätigkeiten (zB Be-
trieb eines Servers) an ein anderes Unternehmen. Werden im Rahmen

solcher ausgelagerten Dienstleistungen vom Dienstleister personenbezo-
gene Daten verarbeitet, so handelt er meist als Auftragsverarbeiter, da er
über Zwecke und Mittel der Verarbeitung nicht selbst entscheidet, son-
dern diese nur auf Anweisung des Verantwortlichen erfolgt. Ein Out-
sourcing erfordert daher häufig eine Auftragsverarbeitervereinbarung.
P2P – Siehe Processor-to-Processor.
PaaS – Platform as a Service; eine Art des Cloud Computing, bei der der
Anbieter neben der Infrastruktur (siehe IaaS) auch die Laufzeitumge-
bung für Anwendungssoftware bereitstellt. Die Anwendungssoftware
muss der Kunde selbst beisteuern. Ein Beispiel wäre ein Java Application
Server, auf welchem der Kunde selbst entwickelte Java-Applikationen
laufen lassen kann.
Payment Card Industry Data Security Standard – Ein technischer Stan-
dard zur Wahrung der Sicherheit von Kreditkartendaten. Unternehmen,
die Kreditkartendaten verarbeiten, müssen sich gegenüber Kreditkarten-
gesellschaften meist verpflichten, diesen Standard einzuhalten. Wendet
man den Standard nicht nur auf Kreditkartendaten, sondern auf alle per-
sonenbezogenen Daten an, kann er eine gute Grundlage für die Gewähr-
leistung eines angemessenen Datensicherheitsniveaus sein, wie es von
der DSGVO gefordert wird (siehe Frage 87).
PCI – Umgangssprachliche Bezeichnung des Payment Card Industry Data
Security Standard (PCI DSS).
personenbezogene Daten – Informationen, die sich auf eine bestimmte
oder bestimmbare natürliche Person beziehen. Zu Daten, die sich auf ju-
ristische Person beziehen, siehe Frage 41.
192
Verlag Österreich
PIA – Privacy Impact Assessment. Siehe Datenschutz-Folgenabschätzung.

PII – Personally Identifiable Information, ein in den USA häufig verwende-
ter Begriff für personenbezogene Daten.
PoA – Power of Attorney, englisch für Vollmacht. Eine Vollmacht ermäch-
tigt den Bevollmächtigten, im Namen des Vollmachtgebers zu handeln
und daher unmittelbar für den Vollmachtgeber Rechte und Pflichten zu
begründen. Ungeachtet des englischen Begriffs können (und werden)
Vollmachten nicht nur einem Rechtsanwalt (Attorney) eingeräumt. Ins-
besondere in Konzernen ist es üblich, dass für bestimmte Angelegenhei-
ten eine Konzerngesellschaft von einer anderen bevollmächtigt wird.
Privacy by Default – Die Pflicht des Verantwortlichen, datenschutzfreund-
liche Grundeinstellungen („Default-Einstellungen“) vorzusehen.

Privacy by Design – Die Pflicht des Verantwortlichen, datenschutzrechtli-
che Anforderungen bereits bei der Gestaltung (dem „Design“) einer Ver-
arbeitungstätigkeit frühzeitig zu berücksichtigen und die Einhaltung der
DSGVO durch entsprechende technische und organisatorische Maßnah-
men sicherzustellen (Art 25 Abs 1 DSGVO).
Privacy Impact Assessment – Siehe Datenschutz-Folgenabschätzung.
Privacy Notice – Siehe Datenschutzmitteilung.
Privacy Policy – Ein häufig verwendeter Begriff für Datenschutzmitteilung.
Richtigerweise bezeichnet der Begriff Privacy Policy allerdings eine un-
ternehmensinterne Richtlinie (zB eine Unternehmensrichtlinie zur Da-
tenschutzstrategie, siehe Schritt 4 des Umsetzungsplans). Die korrekte
Bezeichnung für eine Datenschutzmitteilung wäre im Englischen Priva-
cy Notice.
Privacy Shield – Eine Entscheidung der Europäischen Kommission, die
US-Unternehmen, die sich zur Einhaltung gewisser Grundsätze des EU-
Datenschutzrechts verpflichtet haben, ein angemessenes Datenschutzni-
veau zubilligt. Unternehmen, die über eine Selbstzertifizierung nach
dem Privacy Shield verfügen (siehe https://www.privacyshield.gov/list),
können bei internationalen Datenübermittlungen im Ergebnis rechtlich
so behandelt werden, als ob sie ihren Sitz in der EU hätten. Es müssen
daher insbesondere keine Standardvertragsklauseln abgeschlossen wer-
den (siehe Frage 73).
Processor – Siehe Auftragsverarbeiter.
Processor-to-Processor – Eine Übermittlung von personenbezogenen Da-
ten von einem Auftragsverarbeiter an einen Sub-Auftragsverarbeiter.
193
Verlag Österreich
Jede P2P-Übermittlung muss von einer Sub-Auftragsverarbeiterverein-

barung gedeckt sein.
Profiling – Automatisierte Bewertung oder Vorhersage persönlicher As-
pekte von Betroffenen, wie zB Arbeitsleistung, wirtschaftliche Lage, Ge-
sundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten,
Aufenthaltsort oder Ortswechsel.
pseudonyme Daten – Personenbezogene Daten, die einer Pseudonymisie-
rung unterzogen wurden.
Pseudonymisierung – Ein Vorgang, bei dem personenbezogene Daten so
verarbeitet werden, dass diese ohne die Hinzuziehung zusätzlicher In-
formationen keinem bestimmten Betroffenen mehr zugeordnet werden
können. Durch technische und organisatorische Maßnahmen muss si-

chergestellt werden, dass jene Personen, die auf die pseudonymen Daten
Zugriff haben, keinen Zugriff auf jene Daten haben, mit denen die Pseu-
donymisierung aufgehoben werden könnte – ansonsten ist die Pseudo-
nymisierung unwirksam.
PSI – Siehe Public Sector Information.
Public Sector Information – Informationen, die nach dem Informations-
weiterverwendungsgesetz von öffentlichen Stellen erworben werden
können.
Rechtmäßigkeit (Grundsatz) – Personenbezogene Daten dürfen nur verar-
beitet werden, wenn für die Verarbeitung eine Rechtsgrundlage besteht
(siehe Schritt 8, Zwischenschritt A des Umsetzungsplans). Kann keine
Rechtsgrundlage identifiziert werden, bleibt es bei der Unzulässigkeit
der Datenverarbeitung (Verbotsprinzip).
Richtigkeit – Der Grundsatz, dass personenbezogene Daten sachlich richtig
und, wenn dies für den Verarbeitungszweck erforderlich ist, auf dem
neuesten Stand sein müssen.
SaaS – Software as a Service; eine Art des Cloud Computing, bei der der
Anbieter nicht nur die Infrastruktur (siehe IaaS) und die Laufzeitumge-
bung (siehe PaaS), sondern auch die Anwendungssoftware bereit stellt
(zB SalesForce.com als SaaS-Lösung für CRM).
Safe Harbor – Ein Beschluss der Europäischen Kommission, durch den es
Unternehmen ermöglicht wurde, personenbezogene Daten von einem
EU-Mitgliedstaat in die USA zu übermitteln. Der Beschluss wurde 2015
vom Europäischen Gerichtshof für ungültig erklärt und wurde von der
Nachfolgeregelung, dem Privacy Shield, ersetzt (siehe Frage 73).
194
Verlag Österreich
SCCs – Siehe Standardvertragsklauseln.

SCM – Siehe Supply Chain Management.
Security Breach – Siehe Data Breach (sofern personenbezogene Daten be-
troffen sind).
sensible Daten – Personenbezogene Daten, aus denen die rassische und eth-
nische Herkunft, politische Meinungen, religiöse oder weltanschauliche
Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, so-
wie genetische Daten, biometrische Daten (soweit sie zur eindeutigen
Identifizierung einer natürlichen Person verarbeitet werden), Gesund-
heitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Sicherheit – Die Gewährleistung der Vertraulichkeit, Integrität und Verfüg-
barkeit von Informationen.

Speicherbegrenzung – Der Grundsatz, dass personenbezogene Daten nur
solange gespeichert werden dürfen, wie dies für den festgelegten Verar-
beitungszweck erforderlich ist.
Speicherdauer – Die Dauer der Aufbewahrung personenbezogener Daten.
Die maximal zulässige Speicherdauer ergibt sich aus dem Grundsatz der
Speicherbegrenzung.
Standard Contractual Clauses – Siehe Standardvertragsklauseln.
Standarddatenschutzklauseln – Siehe Standardvertragsklauseln.
Standardvertragsklauseln – Standardvertragsklauseln sind von der Euro-
päischen Kommission veröffentlichte Vertragsmuster, die verwendet
werden können, um Datenübermittlungen von einem EU/EWR-Mit-
gliedstaat in einen Nicht-EU/EWR-Mitgliedstaat abzusichern. Abge-
schlossen werden sie zwischen dem Datenimporteur und dem Datenex-
porteur. Derzeit (Stand Oktober 2017) gibt es nur Standardvertrags
klauseln im Verhältnis C2P und C2C, nicht jedoch P2P (siehe http://
ec.europa.eu/‌justice/‌data-protection/‌international-transfers/transfer/
index_en.htm).
strafrechtlich relevante Daten – Personenbezogene Daten über strafrecht-
liche Verurteilungen und Straftaten (einschließlich des begründeten Ver-
dachts der Begehung einer Straftat) oder damit zusammenhängende Si-
cherungsmaßregeln (zB Unterbringung in einer Anstalt für geistig ab-
norme Rechtsbrecher).
Sub-Auftragsverarbeiter – Ein Auftragsverarbeiter, der nicht direkt vom
Verantwortlichen, sondern von einem anderen Auftragsverarbeiter be-
auftragt wird. Damit ein Auftragsverarbeiter einen Sub-Auftragsverar-
195
Verlag Österreich
beiter einsetzen darf, ist die Zustimmung des Verantwortlichen erforder-

lich. Im Verhältnis zwischen dem Auftragsverarbeiter und dem Sub-Auf-
tragsverarbeiter muss eine Sub-Auftragsverarbeitervereinbarung ge-
schlossen werden.
Sub-Auftragsverarbeitervereinbarung – Eine Auftragsverarbeiterverein-
barung zwischen einem Auftragsverarbeiter und einem Sub-Auftrags-
verarbeiter.
Supply Chain Management – Englisch für Beschaffungswesen. Dieses
wird meist durch eigene IT-Systeme, sog SCM-Systeme, wie Oracle
SCM verwaltet.
Tätigkeit der Verarbeitung – Siehe Verarbeitungstätigkeit.
Technische und organisatorische Maßnahmen – (i) Maßnahmen zur Ge-

währleistung der Sicherheit – dh der Vertraulichkeit, Integrität und Ver-
fügbarkeit – von personenbezogenen Daten (zB eine Firewall oder ein
Zugriffskontrollsystem); (ii) Maßnahmen zur Gewährleistung der
Rechtmäßigkeit der Datenverarbeitung, zB dass personenbezogene Da-
ten nicht länger als notwendig gespeichert werden (automatisiertes
Löschkonzept) oder nicht für andere Zwecke verarbeitet werden kön-
nen, als für welche sie ursprünglich erhoben wurden.
TOMs – Siehe technische und organisatorische Maßnahmen.
Transparenz – Der Grundsatz, dass personenbezogene Daten in einer für
den Betroffenen nachvollziehbaren Weise verarbeitet werden müssen.
Dies wird durch die Pflicht des Verantwortlichen konkretisiert, den Be-
troffenen eine Datenschutzmitteilung zugänglich zu machen.
Treu und Glauben – Der Grundsatz, das personenbezogene Daten nur ver-
arbeitet werden dürfen, wenn die Verhältnismäßigkeit gewahrt wird.
Dies ist insbesondere bei der Prüfung eines überwiegenden berechtigten
Interesses zu berücksichtigen (siehe Schritt 8, Zwischenschritt A des
Umsetzungsplans).
Two-Factor Authentication – Eine Art der Authentifizierung, bei welcher
zwei Faktoren zur Überprüfung der Identität des Nutzers verwendet
werden: (i) etwas, dass der Nutzer weiß (zB ein Passwort), (ii) etwas,
dass er hat (zB einen Schlüssel oder eine Chip-Karte) und (iii) etwas, dass
der Nutzer ist (dh biometrische Merkmale, wie ein Fingerabdruck).
Two-Factor Authentication ist wesentlich sicherer als One-Factor Au-
thentication (zB nur eine Passwortabfrage).
Überlassen – Nach alter Rechtslage verwendeter Begriff für den Daten-
transfer von einem Verantwortlichen an seinen Auftragsverarbeiter. Die
196
Verlag Österreich
DSGVO kennt diesen Begriff nicht mehr und spricht auch in diesem Fall
von einer Übermittlung.
Übermittlung – Jede Weitergabe oder Offenlegung von personenbezogenen

Daten an einen anderen (einen Dritten). Abhängig von den datenschutz-
rechtlichen Rollen des Übermittelnden und des Übermittlungsempfän-
gers kann ein C2C-, C2P- oder P2P-Transfer vorliegen.
Übermittlungsempfänger – Der Empfänger einer Übermittlung. Es kann

sich hierbei um einen Verantwortlichen, Auftragsverarbeiter oder Sub-
Auftragsverarbeiter handeln.
Unter-Auftragsverarbeiter – Siehe Sub-Auftragsverarbeiter.

Unternehmen – (i) Nach der DSGVO eine natürliche Person oder juristi-
sche Person, die eine wirtschaftliche Tätigkeit ausübt (Art 4 Nr 18
DSGVO). (ii) Nach österreichischem Recht ist ein Unternehmen eine
auf Dauer angelegte Organisation selbständiger wirtschaftlicher Tätig-
keit, welche von einer natürlichen Person oder einer juristischen Person
(Unternehmer) betrieben wird. Rechtspersönlichkeit (dh die Fähigkeit,
Träger von Rechten und Pflichten zu sein) kommt hierbei nur dem Un-
ternehmer, nicht dem Unternehmen zu. Dem Unternehmer gehört das
Unternehmen. Die Begriffe Unternehmer und Unternehmen werden
auch in der österreichischen juristischen Umgangssprache häufig gleich-
gesetzt.
Unternehmensgruppe – Eine Gruppe von Unternehmen im Sinne der

DSGVO, die aus einem herrschenden Unternehmen und den von diesem
abhängigen bzw beherrschten Unternehmen besteht. Eine Unterneh-
mensgruppe wird häufig auch als Konzern bezeichnet.
Verantwortlicher – Jene (typischerweise juristische) Person, die über die

Zwecke und Mittel der Verarbeitung der personenbezogenen Daten ent-
scheidet. Der Verantwortliche ist der Hauptfokuspunkt der datenschutz-
rechtlichen Regulierung. Alle Arbeitnehmer eines Verantwortlichen
werden unmittelbar diesem zugerechnet.
Verarbeiten – Jegliche Handhabung von personenbezogenen Daten, ein-

schließlich das Erheben, das Erfassen, die Organisation, das Ordnen, die
Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfra-
gen, die Verwendung, die Offenlegung, die Verbreitung, der Abgleich,
die Einschränkung, das Löschen oder die Vernichtung von Daten. Im
Ergebnis gibt es nichts, das man mit personenbezogenen Daten tun kann,
das kein Verarbeiten wäre.
197
Verlag Österreich
Verarbeitungstätigkeit – Eine Summe von zusammenhängenden Verarbei-

tungszwecken, Datenkategorien und Übermittlungsempfängern – zB ein
CRM-System oder ein SCM-System. Es muss hierbei nicht notwendi-
gerweise auf das technische System abgestellt werden – zB kann ein
Newsletter-System und ein separates CRM-System auch unter der Ver-
arbeitungstätigkeit „Kundenbeziehungsmanagement“ zusammengefasst
werden. Ebenso ist es durchaus üblich, die Personalaktenverwaltung und
die Lohnverrechnung unter „Personalverwaltung“ zusammenzufassen.
Verarbeitungsverzeichnis – Siehe Verzeichnis der Verarbeitungstätigkei-
ten.
Verarbeitungsvorgang – Siehe Verarbeitungstätigkeit.
Verarbeitungszweck – Jener Zweck, zu dem die Verarbeitung der personen-

bezogenen Daten erfolgt. In praktischer Hinsicht lässt sich der Verarbei-
tungszweck am besten dadurch fassen, dass man versucht, den Ge-
schäftsprozess in Kurzform zu beschreiben, für den die Daten verarbei-
tet werden. In der Regel dient eine Verarbeitung nicht nur einem, son-
dern mehreren Verarbeitungszwecken.
verbindliche interne Datenschutzvorschriften – Siehe Binding Corporate
Rules.
Verbotsprinzip – Jegliche Verarbeitung personenbezogener Daten ist ver-
boten, außer sie ist von einer Rechtsgrundlage gedeckt (siehe auch den
Grundsatz der Rechtmäßigkeit).
Verletzung des Schutzes personenbezogener Daten – Siehe Data Breach.
Vertreter – Wenn die DSGVO diesen Begriff verwendet, meint sie keinen
Rechtsanwalt, sondern jemanden, den ein Unternehmen bestellen muss,
das keine Niederlassung in der EU hat, aber dennoch der DSGVO unter-
liegt (Art 27 DSGVO). Der Vertreter hat primär die Funktion, dass die
Datenschutzbehörde Bescheide gegen das Unternehmen leicht beim Ver-
treter zustellen kann (eine Zustellung eines Strafbescheides in einem
Drittland scheitert häufig aus rechtlichen oder faktischen Gründen).
Verzeichnis der Verarbeitungstätigkeiten – Das von jedem Verantwortli-
chen und jedem Auftragsverarbeiter zu führende Verzeichnis über alle
Verarbeitungstätigkeiten (siehe Fragen 14 ff).
Zugriffskontrolle – Ein Prozess, mit welchem der Zugriff auf personenbe-
zogenen Daten eingeschränkt und kontrolliert wird. Dieser Prozess be-
steht typischerweise aus (i) Identifizierung (der Nutzer behauptet, eine
bestimmte Identität zu haben, zB durch Eingabe eines Benutzernamens),
198
Verlag Österreich
(ii) Authentifizierung (die Behauptung des Nutzers wird überprüft, zB

anhand eines Passworts) und (iii) Autorisierung (dem authentifizierten
Nutzer werden bestimmte Zugriffsrechte zugewiesen, zB durch Zu-
griffsrechte in einem Betriebssystem auf Ebene des Dateisystems).
Zustimmung – Nach alter Rechtslage verwendeter Begriff für Einwilli-
gung.
Zweck – Siehe Verarbeitungszweck.
Zweckänderung – Eine Änderung der Verarbeitungszwecke. Diese ist nach
dem Grundsatz der Zweckbindung nur zulässig, wenn (i) die Betroffe-
nen einwilligen oder (ii) die neuen Zwecke mit den ursprünglich festge-
legten Zwecken vereinbar sind (vgl Art 6 Abs 4 DSGVO).
Zweckbindung – Der Grundsatz, dass (i) spätestens zum Zeitpunkt der Er-
hebung von personenbezogenen Daten festzulegen ist, zu welchen Zwe-
cken die Daten verarbeitet werden (Grundsatz der Zweckfestlegung)
und (ii) die Daten in weiterer Folge nur zu solchen Zwecken verarbeitet
werden dürfen, die mit den ursprünglich festgelegten Zwecken vereinbar
sind (Zweckbindung im engeren Sinn).
199
Verlag Österreich
Verlag Österreich
Stichwortverzeichnis
A Ausschuss siehe Europäischer Daten-

Abhilfemaßnahmen 69 schutzausschuss
AGB siehe Geschäftsbedingungen, allge- Authentifikation 165, 183
meine Arten 87
Amtssprache 59 Authentifikation des Betroffenen 87
Anonymisierung 183 Autorisierung 183
IP-Adresse 98 Awareness Raising 24
Artikel 29-Datenschutzgruppe 183
Audit 24 B
Aufbewahrungsdauer B2B 8, 184
Bildaufnahmen 149 B2C 8, 184
E-Mails 109 Backup
Mitarbeiterdaten 130 Anspruch auf Löschung 95
Aufbrechen einer Verschlüsselung 131 Beauftragter, verantwortlicher 35
Aufsichtsbehörde 183 Behörde 31
Aufsichtsbehörde, federführende 189 Betriebsrat
Auftraggeber siehe Verantwortlicher Einsichtsrechte 129
Auftragsverarbeiter Informationspflicht 125
Datenzugriff, potentieller 140 Betriebsvereinbarung 20, 126
Haftung 145 als Rechtsgrundlage 16
in USA 141 Geldbuße bei Fehlen 127
Rolle bei Datenschutz-Folgen- Mindestinhalt 127
abschätzung 75 Muster 128
Sub-Auftragsverarbeiter siehe Videoüberwachung 150
Sub-Auftragsverarbeiter Whistleblowing 153
Warnpflicht 145 Betroffenenrechte 25, 79
Auftragsverarbeitervereinbarung 17, Fristen 94
135, 183 Identitätsnachweis 86
Muster 135 juristischer Personen 94
Auskunft Betroffener 184
Form 85 Beweislast 178
Mitwirkungspflicht des Betroffe- Beweisverwertungsverbot 158
nen 86 Bildaufnahmen
mündlich 85 Arbeitnehmerkontrolle 148
Umfang 85 Arbeitnehmerzustimmung 150
Auslagerung siehe Outsourcing Aufbewahrungsdauer 149
201
Verlag Österreich
Auswertung 149 Datenimporteur 186

Betriebsvereinbarung 150 Datenkategorie 186
Datenschutzmitteilung 84 Datenminimierung 11, 187
Zulässigkeit 147 Datenschutzbeauftragter 187
Binding Corporate Rules 18, 184 Abberufung 32
BSI siehe Bundesamt für Sicherheit in Abteilungsleiter 41
der Informationstechnik Anlaufstelle für Datenschutz-
Buffer Overflows 165 behörde 34
Bundesamt für Sicherheit in der Aufgaben 4
Informationstechnik 161 Ausbildung 38
Beauftragter, verantwortlicher 35
C Benachteiligung 32, 38
Cloud Computing 184 Beratungspflicht 33
Co-controller 185 Berichterstattung 32
Common Vulnerability Scoring System Bestellungspflicht 29

165 Datenschutz-Folgenabschätzung 34,
Compliance-Ansatz 9 74
Compliance-Untersuchung einer Behörde 31
Beweisverwertungsverbot 158 einer öffentlichen Stelle 31
E-Mail-Auswertung 157 Ernennung 4
Controller 185 Fachwissen 38
Controller-to-Controller 185 Fähigkeiten 38
Controller-to-Processor 185 Funktionsperiode 43
Cookies 185 Haftung 35
Einwilligung 99 Interessenkonflikt 33
Cross-Site Scripting 165 Kündigungsschutz 36, 43
Pflichten 33
D Pflichtverletzung 37
Data Breach Notification 167, 185 Ressourcen 33
Data Localization Requirement 185 Stellung 32
Data Mapping 186 Teilzeit 40
Datei 186 Überwachungspflicht 33
Dateisystem 186 Unabhängigkeit 41
Daten, besondere Kategorien personen- Veröffentlichung des Namens 42
bezogener siehe Daten, sensible Verschwiegenheitspflicht 34
Daten, biometrische 184 Verzeichnis der Verarbeitungstätig-
Daten, genetische 189 keiten 56
Daten, indirekt personenbezogene 190 Vier-Augen-Prinzip 40
Daten, personenbezogene 192 Weisungsfreiheit 32
Daten, pseudonyme 194 Zusammenarbeit mit Datenschutz-
Daten, sensible 21, 29, 62, 173, 177, 195 behörde 34
Rechtsgrundlage 16 Datenschutzbeauftragter, externer 44
Daten, strafrechtlich relevante 21, 29, Vor- und Nachteile 44
62, 173, 177, 195 Datenschutzbehörde 187
Daten, veröffentlichte 16 Konsultation 77, 191
Datenanwendung 186 Datenschutzerklärung siehe Daten-
Datenexporteur 186 schutzmitteilung
202
Verlag Österreich
Datenschutz-Folgenabschätzung 21, Datenübertragbarkeit

187 Anwendungsbereich 89
Abhilfemaßnahmen siehe Abhilfe- Format 90
maßnahmen im Arbeitsverhältnis 89
Aktualisierung 77 Dienst der Informationsgesellschaft 188
Auftragsverarbeiter 75 Dienstleister 188
Ausnahmen 62 Dienstnehmerhaftpflichtgesetz 36
Beispiele 63 Digitalisierung 9
Datenschutzbeauftragter 34, 74 Direktwerbung 188
Durchführung 67 Widerspruch 91
Faustregel der Artikel-29-Daten- Double-Opt-In 116
schutzgruppe 65 Drittland 17, 19, 188
für alte Datenanwendungen 66 DVR-Online 55
Liste, schwarze 62
Liste, weiße 62
E
Mindestinhalt 61
Muster 70 Einfamilienhaus 147
Profiling 62, 118 Einschränkung der Verarbeitung 96
Restrisiko 69 Einwilligung 15, 188
Risiken behandeln 69 AGB 119
Risiken bewerten 68 E-Mail-Newsletter 115
Risiken identifizieren 68 Fortgeltung alter 121
Risiko, hohes 62 für unterschiedliche Verarbeitungs-
Risikominderungsmaßnahmen 75 vorgänge 119
Standpunkt der Betroffenen 74 Kind 121
Verantwortlichkeit für Durchfüh- Koppelungsverbot siehe Koppe-
rung 74 lungsverbot
Verpflichtung zur Durchführung 62 Kunden 114
Wiederholung 77 Mitarbeiter 131
Datenschutzinformation siehe Daten- Einwilligung, freie 122
schutzmitteilung Einwilligung, separate 119
Datenschutzmanager 5 Einzelunternehmer 47
Datenschutzmitteilung 187 E-Mail-Account
Ausnahmen 79 Zugriff nach Ausscheiden 111
für Website 99 Zugriff während Urlaub 111
Inhalt 18 E-Mail-Newsletter
Modus 84 Einwilligung 115
Muster, allgemeines 79 E-Mails
Muster für Website 99 Aufbewahrungsdauer 109
telefonisch 84 Auswertung bei Compliance-Unter-
Videoüberwachung 84 suchung 157
Zeitpunkt 83 Fehladressierung als Sicherheitsver-
Datenschutzniveau, angemessenes 17 letzung 169
Datenschutzstrategie siehe Strategie Spiegelung 110
Datenschutzvorschriften, verbindliche Verschlüsselung 23
interne siehe Binding Corporate ENISA 161
Rules Entscheidungsträger 156
Datenübermittlung siehe Übermittlung Erpresser-Schadsoftware 170
203
Verlag Österreich
Europäischer Datenschutzausschuss 189 Informationssicherheitshandbuch, öster-

Europäischer Datenschutzbeauftragter reichisches 160
189 Informationsverbundsystem 190
Europäisches Datenschutz-Gütesiegel Integrität 69, 168
189 Integrität und Vertraulichkeit 11
EuroPriSe 189 Interesse, lebenswichtiges 15
Interesse, öffentliches 15
F Interesse, überwiegendes berechtigtes
Forschungszwecke 92 15
Freizeitkamera 147 Widerspruch 91
IP-Adresse 191
G als personenbezogenes Datum 97
Anonymisierung 98
Gefällt-mir-Button siehe Social Media IP-Adresse, dynamische 97
Plugins
IP-Adresse, statische 97
Geldbuße ISO 27001 160
Haftung der Konzernmutter 175 Aussagekraft einer Zertifizierung
Haftung des Leiters der öffentlichen 162
Stelle 175 ISO 27002 160
Haftung des Managements 174 IT-Grundschutz 161
Haftung des Unternehmens 174 IT-Systeme, typische 6
Höhe 173 IT-Tools für Datenschutz-Compliance
Geschäftsbedingungen, allgemeine 11
Einwilligung 119
Geschäftskunden 113
Gesundheitsdaten 190 K
Google Analytics Kerntätigkeit 6, 30
Anonymisierungs-Funktion 103 Kind 191
Zulässigkeit 103 Einwilligung 121
Grundrecht 95, 113 Konsultation 77, 191
Grundsätze des Datenschutzrechts 10 Kontrollmaßnahmen 126
Bildaufnahme 148
H Konzernstruktur 7, 9
Haftung Koppelungsverbot 122, 191
der Konzernmutter 175 Umgehung 123
des Auftragsverarbeiters 145 Kündigungsschutz 36
des Datenschutzbeauftragten 35
des Leiters der öffentlichen Stelle L
175 Laptop
des Managements 174 Verlust als Sicherheitsverletzung 169
Haupttätigkeit 30 Like-Button siehe Social Media Plugins
Hausrecht 147 Liste, schwarze 62
Liste, weiße 62
I Löschkonzept 130
Informationsmaßnahmen 24 Löschung
Informationspflicht siehe Datenschutz- Backups 95
mitteilung Voraussetzungen 93
204
Verlag Österreich
M R
Malware siehe Schadsoftware Ransomware siehe Erpresser-Schadsoft-
Management ware
Berichterstattung 25 Rechenschaftspflicht 11
Haftung 4 Rechtmäßigkeit 10, 14, 69, 194
Unterstützung 3, 24 Rechtsgrundlage
Maßnahmen, technische und organisato- Daten, nicht-sensible 15
rische 196 Daten, sensible 16
Minderjähriger siehe Kind Referrer 98
Mitwirkungspflicht des Betroffenen 86 Restrisiko 69
Richtigkeit 11, 194
N Richtlinie siehe Unternehmensrichtlinie
National Vulnerability Database 165 Risiken
Nebentätigkeit 30 behandeln 69
Newsletter siehe E-Mail-Newsletter bewerten 68

Niederlassung 192 identifizieren 68
NIST 161 Risiko, hohes
Notfallplan 22 Datenschutz-Folgenabschätzung 21,
62
O Sicherheitsverletzung 169
Risikominderungsmaßnahmen 75
Öffnungsklausel 192
Outsourcing 135, 192 S
P Safe Harbor 141, 194

Sammelklage 177
Passwort 23 Schaden, immaterieller 177
PCI DSS 161, 192 Schaden, materieller 176
Penetrationstest 166 Schadenersatzanspruch 176
Person, betroffene 184 Schadenersatzprozess
Person, juristische 191 Beweislast 178
Betroffenenrechte 94 Schadsoftware 170
Personalfragebogen 126 Schulung 24, 25
Policy siehe Unternehmensrichtlinie durch Datenschutzbeauftragten 33
Privacy by Default 193 Sicherheit
Privacy by Design 193 Incident Response siehe Sicherheits-
Privacy Impact Assessment siehe verletzung
Datenschutz-Folgenabschätzung Schutzniveau, erforderliches 159
Privacy Shield 141, 193 Unternehmensrichtlinie 22
Processor-to-Processor 193 Sicherheitskonzept
Profiling 117, 194 Überprüfung 163
Datenschutz-Folgenabschätzung 62, Sicherheitslücke 164, 170
118 Sicherheitsmaßnahme 20
Pseudonymisierung 194 Sicherheitsmaßnahme, abschreckende
Public Sector Information 194 163
Sicherheitsmaßnahme, detektive 163
Q Sicherheitsmaßnahme, organisatorische
Query2XML 91 163
205
Verlag Österreich
Sicherheitsmaßnahme, physische 163 Untersuchung siehe Compliance-Unter-

Sicherheitsmaßnahme, präventive 163 suchung
Sicherheitsmaßnahme, reaktive 163 Updates 22
Sicherheitsmaßnahme, technische 163
V
Sicherheitsstandards 160
Sicherheitsupdates siehe Updates Verantwortliche, gemeinsam 189
Sicherheitsverletzung 22, 25 Verantwortlicher 197
Beispiele 169 Verarbeiten 197
Dokumentationspflicht 171 Verarbeitung
Informationspflicht 167 gelegentliche 47
Sicherungen siehe Backups umfangreiche 29, 62
Social Media Plugins 106 Verarbeitungstätigkeit 198
Softwareupdates siehe Updates Verarbeitungsvorgang 198
Speicherbegrenzung 11, 195 Verarbeitungszweck 198
Speicherdauer siehe Aufbewahrungs Verbotsprinzip 198
dauer Verfügbarkeit 69, 168

SQL Injection 165 Vergessenwerden siehe Löschung
Standardvertragsklauseln 17, 141, 195 Verletzung des Schutzes personenbezo-
DSGVO-Anpassungen 142 gener Daten siehe Sicherheitsverlet-
Stelle, öffentliche 31 zung
Haftung 175 Verpflichtung, gesetzliche 15
Strafe siehe Geldbuße Verschlüsselung 23
Strategie 9 Aufbrechen 131
Sub-Auftragsverarbeiter 140, 195 Verschulden 178
Sub-Auftragsverarbeitervereinbarung Vertrageserfüllung 15
196 Vertraulichkeit 69, 168
Suchmaschine 92 Vertreter, inländischer 52, 198
Verzeichnis der Verarbeitungstätigkeiten
T auf Englisch 59
Ausnahme bei weniger als
Telefon
250 Mitarbeiter 47
Datenschutzmitteilung 84
Datenschutzbeauftragter 56
Transparenz 10, 196
DVR-Online 55
Treu und Glauben 10, 196
elektronisch 57
Two-Factor-Authentication 88, 196
Erstellung 14
für Auftragsverarbeiter 53
U Informationserhebung für 13
Überlassen 196 Inhalt, optionaler 54
Übermittlung 197 Inhalt, verpflichtender 48
Übermittlung, internationale 17, 141 Muster 49
Überwachung, systematische umfang- Spezialsoftware 57
reiche 62 Videoüberwachung siehe Bildaufnahmen
Unterauftragsverarbeiter siehe Sub- Vulnerability-Management 166
Auftragsverarbeiter
Unternehmensrichtlinie 22 W
zur Datenschutzstrategie 22 Warnpflicht 145
zur Informationssicherheit 22 Webserver
zur IT-Nutzung 23 Protokollierung 98
206
Verlag Österreich
Website Z
Datenschutzmitteilung 99 Zugriffskontrolle 198
Werbe-E-Mails siehe E-Mail-Newsletter Zustimmung siehe Einwilligung
Whistleblowing Zweckänderung 199
Betriebsvereinbarung 153 Zweckbindung 10, 199
Entscheidungsträger 156 Zwei-Phasen-Authentifizierung siehe
Rechtsverstöße 154 Two-Factor-Authentication
Zustimmung der Mitarbeiter 155 Zwischenfall siehe Sicherheitsverletzung
Widerspruch
Suchmaschine 92
Voraussetzungen 91
207
Verlag Österreich
Verlag Österreich

Feiler, Lukas Umsetzung Der DSGVO in Der Praxis (E Bib)

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Feiler, Lukas Umsetzung Der DSGVO in Der Praxis (E Bib)

Hochgeladen von

Copyright:

Verfügbare Formate

Lizenziert für Wirtschaftsuniversität Wien am 08.09.

2022 um 13:35 Uhr

Umsetzung der DSGVO

Fragen, Antworten, Muster

Mag. Dipl.-Ing. Dr. Bernhard Horn, CIPP/E

Das Werk ist urheberrechtlich geschützt.

Produkthaftung: Sämtliche Angaben in diesem Fachbuch/wissenschaftlichen Werk erfol-

© 2018 Verlag Österreich GmbH, Wien

Satz: Grafik & Design Claudia Gruber-Feigelmüller, 3580 Horn, Österreich

Gedruckt auf säurefreiem, chlorfrei gebleichtem Papier

Bibliografische Information der Deutschen Nationalbibliothek

ISBN 978-3-7046-7859-1 Verlag Österreich

Die 99 Artikel und 173 Erwägungsgründe der Datenschutz-Grundverord-

die DSGVO in einem Unternehmen oder einer Behörde umzusetzen, kann

als pragmatische, praxistaugliche Empfehlungen, Handlungsanweisungen

jederzeit nachschlagen kann. In diesem Wörterbuch werden Praxisbegriffe

Verzeichnis der Muster................................................................................. XIII

Die praktische Umsetzung der DSGVO.................................................. 1

100 Praxisfragen und Antworten zur DSGVO...................................... 27

4. Welche Pflichten hat der Datenschutzbeauftragte?........................ 33

12. Kann auch ein Externer als Datenschutzbeauftragter ­fungieren?. 44

25. Muss eine Datenschutz-Folgenabschätzung auch für alte

50. Dürfen eingehende und ausgehende E-Mails gespiegelt werden?. 110

59. Ab welchem Alter ist eine Einwilligung von Minderjährigen

75. Haftet ein IT-Dienstleister, wenn er rechtswidrige ­Anweisungen

80. Ist eine Betriebsvereinbarung für eine Whistleblowing-­Hotline

Muster eines minimalistischen Verzeichnisses der Verarbeitungs-

Muster einer Datenschutzmitteilung (zweisprachig)................................. 80

Im folgenden Kapitel wird daher ein strukturierter und pragmatischer

Schritt 1: Unterstützung aus dem Management sichern

bußen hinzuweisen, für die das Management in vielen Fällen persönlich

Schritt 2: Datenschutzbeauftragten bzw -manager ernennen und

der Datenschutzbeauftragte sehr beschränkte Aufgaben im Bereich der Da-

Aufgaben des Datenschutzbeauftragten

Um in Organisationen, in denen ein Datenschutzbeauftragter zu bestellen

tragter und/oder ein Datenschutzmanager bestellt wird, sollten folgende

> er fungiert als Anlaufstelle für betroffene Personen und

tieren zu können) oder

Schritt 3: Ersten Überblick verschaffen

A. Welche Arten von IT-Systemen nutzt das Unternehmen?

> Berechtigungssystem (zB Active Directory),

B. Wie sieht die gesellschaftsrechtliche Struktur des Unternehmens aus?

Informationen über die gesellschaftsrechtliche Struktur sind deshalb not-

und Anschrift sowie (2) ein Diagramm, welches die Beteiligungsverhältnisse

C. Welche Geschäftssparten hat das Unternehmen?

Schritt 4: Ziele des Datenschutzmanagements in einer Unterneh-

beeinflussen, ob das Unternehmen eine eher defensive oder offensive

> Datenminimierung: Art und Umfang der verarbeiteten Daten müssen

schen oder zu anonymisieren. Mit dem Grundsatz der Speicherbegren-

Schritt 5: Passende IT-Tools für das Datenschutz-Management

Tools zum Einsatz kommen, die insbesondere folgende Voraussetzungen

(zB wenn eine Person als Datenschutzbeauftragter für zwei Gesellschaf-

Schritt 6: Informationen über alle Datenverarbeitungsprozesse

Variante 1: Das Unternehmen ist hinsichtlich einer Verarbeitungstätigkeit

> Welche Datenkategorien werden verarbeitet?

Variante 2: Das Unternehmen ist hinsichtlich einer Verarbeitungstätigkeit

> Welche Kategorien von Verarbeitungen werden für welche Verantwort-

Schritt 7: Verzeichnis der Verarbeitungstätigkeiten erstellen

Schritt 8: Rechtmäßigkeit der Verarbeitungstätigkeiten absichern

A. Rechtsgrundlage für die Verarbeitung identifizieren

sung, um die Rechtmäßigkeit abzusichern;

anonymen Meldung von Verletzungen der Kleidervorschrift einzurich-

rechts (zB Erfassung der Krankheitstage);

12. Kann auch ein Externer als Datenschutzbeauftragter fungieren?. 44

25. Muss eine Datenschutz-Folgenabschätzung auch für alte

50. Dürfen eingehende und ausgehende E-Mails gespiegelt werden?. 110

59. Ab welchem Alter ist eine Einwilligung von Minderjährigen

75. Haftet ein IT-Dienstleister, wenn er rechtswidrige Anweisungen

80. Ist eine Betriebsvereinbarung für eine Whistleblowing-Hotline

Schritt 2: Datenschutzbeauftragten bzw -manager ernennen und

Schritt 4: Ziele des Datenschutzmanagements in einer Unterneh-

Schritt 5: Passende IT-Tools für das Datenschutz-Management

Schritt 6: Informationen über alle Datenverarbeitungsprozesse

Schritt 10: Datenschutzrelevante Unternehmensrichtlinien

Schritt 11: Konzept für unternehmensinterne Informationsmaß-

1. Wann muss eine Organisation einen Datenschutzbeauftragten

2. Wann ist eine Organisation eine „Behörde oder öffentliche

3. Welche Stellung hat der Datenschutzbeauftragte in der

7. Welche Ausbildung und Fähigkeiten muss ein Datenschutz

8. Kann ein Datenschutzbeauftragter auch andere Aufgaben

9. Kann der Leiter der IT-Abteilung als Datenschutzbeauftragter

10. Muss der Name des Datenschutzbeauftragten veröffentlicht

11. Wie lange ist die Funktionsperiode eines Datenschutz

12. Kann auch ein Externer als Datenschutzbeauftragter

13. Welche Vor- und Nachteile hat ein externer Datenschutz

14. Ein Unternehmen hat weniger als 250 Mitarbeiter –

15. Was muss im Verzeichnis der Verarbeitungstätigkeiten