Beruflich Dokumente
Kultur Dokumente
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Lukas Feiler
Bernhard Horn
2018
Praxisliteratur
Verlag Österreich
RA Dr. Lukas Feiler, SSCP CIPP/E
leitet das IT-Team bei Baker McKenzie,
Fellow des Stanford-Vienna Transatlantic Technology Law Forums
Verlag Österreich
Vorwort
Verlag Österreich
Vorwort
VI
Verlag Österreich
Inhaltsverzeichnis
VII
Verlag Österreich
Inhaltsverzeichnis
VIII
Verlag Österreich
Inhaltsverzeichnis
werden?............................................................................................. 79
32. Wann und wie sind die Betroffenen zu informieren?.................... 83
33. Was ist vom Recht auf Auskunft umfasst?..................................... 85
34. Hat der Betroffene bei einem Auskunftsbegehren eine Mitwir-
kungspflicht?..................................................................................... 86
35. Muss eine Person ihre Identität nachweisen, um ihre Betrof-
fenenrechte geltend zu machen?...................................................... 86
36. Hat der Betroffene immer ein Recht auf Datenübertragbarkeit? 89
37. In welchem Format müssen Daten übergeben werden, wenn
der Betroffene Datenübertragbarkeit fordert?............................... 90
38. Können Betroffene immer einen Widerspruch erheben?.............. 91
39. Kann das Recht auf Vergessenwerden immer geltend gemacht
werden?............................................................................................. 93
40. Wie schnell muss man reagieren, wenn Betroffene ihre Rechte
geltend machen?................................................................................ 94
41. Haben auch juristische Personen Betroffenenrechte?................... 94
42. Sind bei Ausübung des Löschungsrechts auch Daten von
Backups zu löschen?......................................................................... 95
E. IP-Adressen, Cookies und Social Media Plugins................................. 97
43. Sind IP-Adressen personenbezogene Daten?................................ 97
44. Welche Daten dürfen wir am Webserver protokollieren?............. 98
45. Ist eine Einwilligung für Cookies erforderlich?............................ 99
46. Wie soll die Datenschutzmitteilung auf einer Website aussehen?. 99
47. Dürfen wir auf unserer Website Google Analytics verwenden?... 103
48. Ist es zulässig, auf der eigenen Website Social Media Plugins zu
verwenden?....................................................................................... 106
F. E-Mails..................................................................................................... 109
49. Wie lange sollen E-Mails aufbewahrt werden?............................... 109
IX
Verlag Österreich
Inhaltsverzeichnis
Verlag Österreich
Inhaltsverzeichnis
XI
Verlag Österreich
Inhaltsverzeichnis
97. Haftet der Leiter der öffentlichen Stelle für die öffentliche
Stelle?.................................................................................................. 175
98. Wie weit reicht der Schadenersatzanspruch der Betroffenen?....... 176
99. Wird es in Österreich Sammelklagen geben?................................... 177
100. Wie kann man vorsorgen, um sich in einem Schadenersatz-
prozess freibeweisen zu können?..................................................... 178
Datenschutzwörterbuch............................................................................. 181
Stichwortverzeichnis..................................................................................... 201
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
XII
Verlag Österreich
Verzeichnis der Muster
XIII
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Abkürzungsverzeichnis
Abs Absatz
Art Artikel
bzw beziehungsweise
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
dh das heißt
DSG 2000 Datenschutzgesetz 2000
DSG Datenschutzgesetz idF Datenschutz-Anpassungsgesetz 2018
DSGVO Verordnung (EU) 2016/679 des Europäischen Parlaments und
des Rates vom 27. April 2016 zum Schutz natürlicher Personen
bei der Verarbeitung personenbezogener Daten, zum freien Da-
tenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Da-
tenschutz-Grundverordnung)
eIDAS-VO Verordnung (EU) Nr. 910/2014 des Europäischen Parlaments
und des Rates vom 23. Juli 2014 über elektronische Identifizie-
rung und Vertrauensdienste für elektronische Transaktionen im
Binnenmarkt und zur Aufhebung der Richtlinie 1999/93/EG
etc et cetera
EU Europäische Union
EWR Europäischer Wirtschaftsraum
f folgende
ff fortfolgende
idF in der Fassung
iSv im Sinne von
iVm in Verbindung mit
IP Internet Protocol
LfNr Laufnummer
lit litera
Nr Nummer
sog sogenannt, -e, -er, -es
UAbs Unterabsatz
vgl vergleiche
Z Ziffer
zB zum Beispiel
XV
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Die praktische Umsetzung der DSGVO
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Die Datenschutz-Grundverordnung („DSGVO“) in einem Unternehmen,
einem ganzen Konzern oder einer Behörde umzusetzen, ist eine erhebliche
organisatorische, technische und juristische Herausforderung. Aufgrund
der zahlreichen und detaillierten Anforderungen der DSGVO ist es leicht,
den Überblick zu verlieren.
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Die praktische Umsetzung der DSGVO
Verlag Österreich
Die praktische Umsetzung der DSGVO
Verlag Österreich
Die praktische Umsetzung der DSGVO
Verlag Österreich
Die praktische Umsetzung der DSGVO
ob ein IT-System vom Unternehmen selbst betrieben wird (zB die unter-
nehmensinterne Buchhaltung) oder von einem Auftragsverarbeiter für das
Unternehmen betrieben wird (zB ein Cloud-Computing-Dienst).
Wichtigster Ansprechpartner für die Erhebung der genutzten IT-Systeme ist
typischerweise die IT-Abteilung des Unternehmens. Um den Informations-
austausch mit der IT-Abteilung sowie die Darstellung der gewonnenen In-
formationen besser zu strukturieren, empfiehlt sich eine Gliederung anhand
folgender drei Betroffenengruppen: Mitarbeiter, Kunden und Lieferanten.
Typische Verarbeitungstätigkeiten bezüglich Mitarbeiterdaten sind:
> Lohnverrechnung,
> E-Mail-System (zB Microsoft Exchange Server),
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Die praktische Umsetzung der DSGVO
Verlag Österreich
Die praktische Umsetzung der DSGVO
Verlag Österreich
Die praktische Umsetzung der DSGVO
fang für die öffentliche Hand tätig sind – politische Risiken. Sind diese
Risiken überschaubar, so ist in der Praxis häufig ein pragmatischer Com-
pliance-Ansatz zu empfehlen, der das Ziel verfolgt, die DSGVO-Com-
pliance-Risiken kosteneffizient zu minimieren aber nicht notwendiger-
weise alle zu eliminieren. Denn in manchen Fällen ist das tatsächliche
Compliance-Risiko so klein, dass die Kosten der in Betracht kommen-
den Compliance-Maßnahmen das Risiko um ein Vielfaches übersteigen
würden.
> Wer ist wofür zuständig? In kleineren Unternehmen kann es ausrei-
chend sein, alle Fragen der DSGVO-Compliance beim Datenschutzbe-
auftragten bzw -manager zu zentralisieren. Gibt es hingegen zB Tochter-
gesellschaften im Ausland, wird es erforderlich sein festzulegen, ob es
Ansprechpartner in Datenschutzfragen bei diesen Tochtergesellschaften
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
geben soll und wie diese bestellt werden. Die Datenschutzstrategie sollte
jedenfalls nicht die Namen von konkreten Personen nennen, sondern
sich vielmehr darauf beschränken, bestimmte Rollen bzw Positionen zu
definieren. Nur so kann vermieden werden, dass die Datenschutzstrate-
gie jedes Mal geändert werden muss, wenn ein mit Datenschutz befasster
Mitarbeiter seine Position verlässt.
Darüber hinaus sollte die Datenschutzstrategie des Unternehmens klar zum
Ausdruck bringen, dass sich das Unternehmen an die Grundsätze des Da-
tenschutzrechts hält, wie sie in der DSGVO festgeschrieben sind (vgl Art 5
DSGVO):
> Rechtmäßigkeit: Personenbezogene Daten müssen auf rechtmäßige
Weise verarbeitet werden, was bedeutet, dass eine Rechtsgrundlage für
die Verarbeitung vorhanden sein muss (vgl Schritt 8, Zwischenschritt B).
> Treu und Glauben: Die Verarbeitung personenbezogener Daten darf
nur nach Treu und Glauben erfolgen, was insbesondere bei der Durch-
führung von Interessensabwägungen zu berücksichtigen ist.
> Transparenz: Betroffene Personen müssen über die Verarbeitung ihrer
personenbezogenen Daten informiert werden.
> Zweckbindung: Erstens dürfen personenbezogene Daten nur erhoben
werden, wenn spätestens zum Zeitpunkt der Erhebung ein eindeutiger
und legitimer Zweck festgelegt wurde (Grundsatz der Zweckfestlegung).
Dies kann insbesondere durch eine Dokumentation der Verarbeitungs-
zwecke im Verzeichnis der Verarbeitungstätigkeiten (siehe Schritt 7) er-
folgen. Zweitens dürfen die erhobenen Daten – vorbehaltlich der Einwil-
ligung der betroffenen Person – nur zu Zwecken weiterverarbeitet wer-
den, welche mit den ursprünglich festgelegten Zwecken vereinbar sind
(Zweckbindung im engeren Sinn).
10
Verlag Österreich
Die praktische Umsetzung der DSGVO
11
Verlag Österreich
Die praktische Umsetzung der DSGVO
12
Verlag Österreich
Die praktische Umsetzung der DSGVO
13
Verlag Österreich
Die praktische Umsetzung der DSGVO
14
Verlag Österreich
Die praktische Umsetzung der DSGVO
15
Verlag Österreich
Die praktische Umsetzung der DSGVO
16
Verlag Österreich
Die praktische Umsetzung der DSGVO
schenschritt C unten).
17
Verlag Österreich
Die praktische Umsetzung der DSGVO
18
Verlag Österreich
Die praktische Umsetzung der DSGVO
> sofern die Daten nicht bei der betroffenen Person erhoben werden (zB
automatische Datenerhebung beim Besuch einer Website):
· die Kategorien der personenbezogenen Daten (zB „Ihre IP-Adres-
se, Name und Version Ihres Webbrowsers, ein Ihren Webbrowser
identifizierendes Cookie und welche Seiten Sie auf unserer Website
besuchen“) und
· soweit verfügbar: die Quelle, aus der die personenbezogenen Daten
stammen und ob es sich um eine öffentlich zugängliche Quelle han-
delt (zB „Diese Daten übermittelt uns Ihr Webbrowser beim Aufruf
unserer Website“);
> die Rechtsgrundlage der Datenverarbeitung (siehe Zwischenschritt A
oben) und abhängig von der Rechtsgrundlage folgende weitere Informa-
tionen:
· soweit die Verarbeitung auf Grundlage der Einwilligung der betroffe-
nen Person erfolgt: das Bestehen des Rechts, die Einwilligung jeder-
zeit zu widerrufen, sowie der Hinweis, dass durch den Widerruf der
Einwilligung die Rechtmäßigkeit der aufgrund der Einwilligung bis
zum Widerruf erfolgten Verarbeitung nicht berührt wird;
· soweit die Verarbeitung auf Grundlage eines überwiegenden berech-
tigten Interesses erfolgt: die Bezeichnung dieses überwiegenden be-
rechtigten Interesses – dies wird praktisch gesehen häufig dem Ver-
arbeitungszweck entsprechen;
> die Empfänger oder Kategorien von Empfängern (Verantwortliche
ebenso wie Auftragsverarbeiter; zB „alle Konzerngesellschaften des Un-
ternehmens“ oder „IT-Dienstleister“);
> Im Falle von Übermittlungen an Verantwortliche oder Auftragsverarbei-
ter in einem Nicht-EU/EWR-Staat: ob ein Angemessenheitsbeschluss
der Europäischen Kommission für das Drittland vorliegt und im Fall,
dass ein solcher nicht vorliegt, ein Verweis auf die Garantien, welche die
19
Verlag Österreich
Die praktische Umsetzung der DSGVO
derlich) und
> soweit eine automatisierte Entscheidungsfindung einschließlich Profi-
ling erfolgt, welche gegenüber den Betroffenen rechtliche Wirkung ent-
faltet oder sie in ähnlicher Weise erheblich beeinträchtigt: Der Umstand,
dass eine derartige Verarbeitung erfolgt, Informationen über die invol-
vierte Entscheidungslogik sowie die Tragweite und die angestrebten
Auswirkungen der Entscheidung.
Ein Muster einer Datenschutzmitteilung ist bei Frage 31 abgedruckt.
20
Verlag Österreich
Die praktische Umsetzung der DSGVO
21
Verlag Österreich
Die praktische Umsetzung der DSGVO
22
Verlag Österreich
Die praktische Umsetzung der DSGVO
die von Microsoft als ‚critical‘ eingestuft wurden, sind binnen 3 Ka-
lendertagen zu installieren.“). Größere Organisationen sollten auch
auf das Common Vulnerability Scoring System (CVSS) zurückgrei-
fen, welches insbesondere für die National Vulnerability Database
des U.S. National Institute of Standards and Technology (NIST) ein-
gesetzt wird (siehe auch Frage 90).
· Passwörter: Die Erfahrung zeigt, dass Nutzer regelmäßig sehr
schlechte (dh leicht erratbare) Passwörter wählen. Eine Unterneh-
mensrichtlinie sollte daher regeln, welche Passwortkomplexität für
welche Arten von Systemen erforderlich ist und zudem vorsehen,
dass die vorgeschriebene Passwortkomplexität nach Möglichkeit
auch automatisch geprüft wird, sodass Nutzer schlechte Passwörter
gar nicht wählen können.
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
23
Verlag Österreich
Die praktische Umsetzung der DSGVO
24
Verlag Österreich
Die praktische Umsetzung der DSGVO
25
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
A. Der Datenschutzbeauftragte
29
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
30
Verlag Österreich
Der Datenschutzbeauftragte
tern die Existenz und Funktion dieser Rolle bekannt sein, was gefördert
wird, wenn Datenschutz in der Organisation „ein Gesicht hat“.
Durch eine Bestellung vor dem 25. Mai 2018 ist es der bestellten Person
möglich, sich bis zu diesem Datum in der Rolle als Datenschutzbeauftragter
zu etablieren und für eine entsprechende Bekanntheit innerhalb der Organi-
sation zu sorgen.
31
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
32
Verlag Österreich
Der Datenschutzbeauftragte
33
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
34
Verlag Österreich
Der Datenschutzbeauftragte
35
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Erlass möglich;
· bei entschuldbarer Fehlleistung (sehr leichter Fahrlässigkeit): kein
Schadenersatz.
> Haftung eines externen Datenschutzbeauftragten: Ein externer Da-
tenschutzbeauftragter haftet gegenüber der Organisation ohne gesetzli-
che Haftungsbeschränkung.
In beiden Fällen ist es jedoch möglich, die Haftung des Datenschutzbeauf-
tragten vertraglich zu beschränken. Abhängig von der Höhe des Entgelts
des Datenschutzbeauftragten wäre eine Beschränkung der Haftung auf zB
das dreifache Monatsentgelt denkbar. Auch der Ausschluss der Haftung für
leichte Fahrlässigkeit wäre aus Sicht des Datenschutzbeauftragten zu erwä-
gen.
36
Verlag Österreich
Der Datenschutzbeauftragte
ledigen.
Genau vor dieser Konsequenz möchte die DSGVO den Datenschutzbeauf-
tragten aber schützen, um ihm eine unvoreingenommene und unbeeinflusste
Tätigkeit zu ermöglichen. Daher kann der Datenschutzbeauftragte aufgrund
einer ordnungsgemäßen Erfüllung seiner Pflichten nicht gekündigt oder
abberufen werden. Freilich hindert diese Bestimmung die Organisationslei-
tung aber nicht daran, den Datenschutzbeauftragten nach regulärem Ablauf
seiner Funktionsperiode nicht wieder zu bestellen (vgl Frage 11).
Der Datenschutzbeauftragte kann selbstverständlich aber dann abberufen
werden, wenn er seine Aufgaben nach der DSGVO nicht ordnungsge-
mäß erfüllt. Dabei kommt es nicht darauf an, ob der Datenschutzbeauftrag-
te nicht willens oder nicht fähig ist, die Anforderungen an diese Rolle zu
erfüllen. Unterlässt der Datenschutzbeauftragte seine Beratungs-, Schu-
lungs- und Kontrollpflichten (Art 39 Abs 1 und 2 DSGVO) oder steht er
der Datenschutzbehörde (Art 39 Abs 1 lit d DSGVO) oder den Betroffenen
(Art 38 Abs 4 DSGVO) nicht hinreichend als Anlaufstelle zur Verfügung,
ist eine Abbestellung möglich. Eine ordnungsgemäße Erfüllung kann bei-
spielsweise auch dadurch gefährdet sein, dass der Datenschutzbeauftragte
seinen regelmäßigen Weiterbildungspflichten nicht nachkommt (Art 37
Abs 5 DSGVO) und daher seine Eignung als Datenschutzbeauftragter ver-
liert. Eine Abberufung wird aber auch dann möglich sein, wenn den Daten-
schutzbeauftragten kein Verschulden daran trifft, dass er seine Eignung für
die Erfüllung dieser Rolle verliert. Beispielsweise könnte der Datenschutz-
beauftragte unverschuldet länger abwesend sein (zB durch Krankheit oder
Unfall) und daher als Datenschutzbeauftragter nicht zur Verfügung stehen.
In solchen Fällen muss die Organisation sehr wohl die Möglichkeit haben,
eine andere Person zum Datenschutzbeauftragten zu bestellen, weil die Ab-
berufung in solchen Fällen nicht wegen der Erfüllung, sondern gerade der
37
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
mals nicht einfach sein, dass eine tatsächliche (und nicht bloß subjektiv
wahrgenommene) Schlechterstellung aufgrund der Wahrnehmung der Rolle
des Datenschutzbeauftragten erfolgt.
38
Verlag Österreich
Der Datenschutzbeauftragte
39
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
der Umfang und die Komplexität der Verarbeitungen, der Schutzbedarf der
verarbeiteten Daten oder eine allfällige Verantwortlichkeit für mehrere Be-
hörden oder Unternehmen einer Gruppe (Art 37 Abs 2 und 3 DSGVO)
berücksichtigt werden. Ein kleines Detektivbüro stellt andere Anforderun-
gen an die Rolle des Datenschutzbeauftragten als ein multinationaler Kon-
zern.
Grundsätzlich liegt es in der Verantwortlichkeit der Organisationsleitung,
dass der Datenschutzbeauftragte über ausreichend zeitliche Ressourcen ver-
fügt (Art 38 Abs 2 DSGVO). Der Datenschutzbeauftragte sollte aber auch
von sich aus aktiv darauf hinwirken, ausreichend zeitliche Ressourcen zur
Verfügung zu haben. Kann ein mit weiteren Aufgaben betrauter Daten-
schutzbeauftragter aufgrund einer zu hohen Gesamtauslastung nicht mehr
alle seine Aufgaben wahrnehmen, gehen die Aufgaben als Datenschutzbe-
auftragter vor.
Ein externer Datenschutzbeauftragter ist freilich selbst dafür verantwort-
lich, für alle von ihm betreuten Organisationen die erforderlichen zeitlichen
Ressourcen zu haben. Allenfalls müsste er neue Aufträge ablehnen.
40
Verlag Österreich
Der Datenschutzbeauftragte
41
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
42
Verlag Österreich
Der Datenschutzbeauftragte
Funktionsperiode in Betracht.
Die DSGVO macht keine explizite Vorgabe, wie lange die Funktionsperio-
de des Datenschutzbeauftragten sein muss. Eine Befristung macht allerdings
durchaus Sinn, um sich bei Bedarf ohne Konflikt vom Datenschutzbeauf-
tragten (in dieser Funktion) trennen zu können. Denn wenn zB die Qualität
der Beratungsleistung des Datenschutzbeauftragten nicht zufriedenstellend
ist, weil immer nur Probleme identifiziert aber niemals Lösungen vorge-
schlagen werden, wäre eine Kündigung bzw Abbestellung des Datenschutz-
beauftragten mit erheblichen Risiken verbunden (vgl Frage 6).
Andererseits sollte man sich nicht dem Vorwurf aussetzen, den Kündi-
gungsschutz des Datenschutzbeauftragten (siehe Frage 6) zu umgehen,
indem man die Funktionsperiode zu kurz bemisst.
Muss der Datenschutzbeauftragte immer damit rechnen, aufgrund seiner
Beratungstätigkeiten in unmittelbarer Folge nicht wieder bestellt zu wer-
den, wird er ihr nicht in der dafür erforderlichen Unabhängigkeit nachkom-
men können, was auch zum Nachteil der Organisation sein kann. Eine
praktisch sinnvolle Funktionsperiode bei einer erstmaligen Bestellung einer
Person zum Datenschutzbeauftragten wäre daher eine Dauer von zwei bis
drei Jahren. Hierdurch ist die Unabhängigkeit des Datenschutzbeauftragten
hinreichend gewährleistet, die Organisation aber nicht zu lange an den kon-
kreten Datenschutzbeauftragten gebunden. Bei einer Wiederbestellung ei-
nes bereits erprobten Datenschutzbeauftragten sind die Risiken für die Or-
ganisation geringer, weshalb auch eine längere Befristung (zB fünf Jahre)
oder eine unbefristete Bestellung in Betracht kommen.
43
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
44
Verlag Österreich
Der Datenschutzbeauftragte
45
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
B. Das Verzeichnis der Verarbeitungstätigkeiten
47
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Das trifft bei allen Kunden- oder Lieferantenkarteien oder sortierten Ak-
tenordnern zu. Dass ein Unternehmen keine Liste mit (zumindest bestimm-
ten umsatzstarken) Kunden führt, ist in der Praxis sehr selten.
Im Ergebnis werden daher nur Einzelunternehmer, die keinen Computer
für ihre Arbeit verwenden und keine Kunden- oder Lieferantenkartei füh-
ren (zB ein Tischler oder Schuster), von der Führung eines Verzeichnisses
der Verarbeitungstätigkeiten befreit sein.
48
Verlag Österreich
Das Verzeichnis der Verarbeitungstätigkeiten
onalen Organisation;
> Aufbewahrungsfristen der verschiedenen Datenkategorien: wie lange
die Daten der einzelnen Datenkategorien aufbewahrt werden, bis sie ge-
löscht werden; ist eine exakte Angabe (zB „drei Jahre ab Beendigung des
Vertragsverhältnisses“) nicht möglich, können auch die Kriterien für die
Festlegung der Aufbewahrungsdauer genannt werden (zB „bis zum Ab-
lauf der gesetzlichen Aufbewahrungspflichten“);
> Allgemeine Beschreibung der implementierten technischen und organi-
satorischen Datensicherheitsmaßnahmen (wenn möglich): Dafür emp-
fiehlt sich die (einmalige) Ablage der Richtlinie zur Informationssicher-
heit (vgl Schritt 10 des Umsetzungsplans) im Verzeichnis der Verarbei-
tungstätigkeiten. Nur wenn für bestimmte Verarbeitungstätigkeiten spe-
zielle Datensicherheitsmaßnahmen implementiert wurden, sollten diese
individuell dokumentiert werden.
Die meisten dieser Informationen müssen in der Datenschutzmitteilung
auch gegenüber den Betroffenen offengelegt werden (siehe Schritt 8, Zwi-
schenschritt D des Umsetzungsplans).
Untenstehend ist ein Muster eines minimalistisch gestalteten Verzeichnisses
der Verarbeitungstätigkeiten abgedruckt:
> In Abschnitt 1 sind allgemeine Informationen über die Organisation ein-
zutragen.
> Die Tabelle in Abschnitt 2 ist für jede Verarbeitungstätigkeit zu reprodu-
zieren, die die Organisation als Verantwortlicher ausübt.
> Die Tabelle in Abschnitt 3 ist für jede Verarbeitungstätigkeit zu reprodu-
zieren, die die Organisation als Auftragsverarbeiter ausübt.
49
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
50
Verlag Österreich
Das Verzeichnis der Verarbeitungstätigkeiten
3. Verarbeitungszwecke
Liste der Verarbeitungszwecke, zB Erfüllung eines mit dem Kunden ge-
schlossenen Vertrages.
4. Kategorien Betroffener
Liste der Kategorien betroffener Personen, zB Arbeitnehmer, Kunden.
5. Datenkategorien
Datenkategorie Speicherdauer
zB Name zB bis drei Jahre nach Vertragsbe-
endigung
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
… …
6. Kategorien von Empfängern (Verantwortliche und Auftragsverar-
beiter)
Kategorie von Typ (Verantwortli- Land (sofern außer-
Empfängern cher oder Auftrags- halb des EWR)
verarbeiter)
zB IT-Dienstleister zB Auftragsverar zB EWR
beiter
zB Konzerngesell- zB Verantwortlicher zB EWR, USA,
schaften Kanada
… … …
7. Beschreibung der technischen und organisatorischen Sicherheits-
maßnahmen
…
51
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
3. Datenübermittlungen an Sub-Auftragsverarbeiter
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Der Vollständigkeit halber ist darauf hinzuweisen, dass das oben abgedruck-
te Muster zwei Konstellationen nicht erfasst, die freilich für die allermeis-
ten österreichischen Organisationen ohnedies nicht relevant sind:
> Sollte die Organisation nicht in der EU niedergelassen sein, müsste sie
einen inländischen Vertreter bestellen (Art 27 DSGVO) und dessen
Kontaktdaten ebenso im Verzeichnis der Verarbeitungstätigkeiten doku-
mentieren. Dies sieht das Muster nicht vor.
> Höchst seltene und im Übrigen gegenüber der Datenschutzbehörde
meldepflichtige Datenübermittlungen in Drittländer wären ebenso im
Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Dies be-
trifft allerdings nur Übermittlungen, die (i) nicht wiederholt erfolgen,
(ii) nur eine begrenzte Zahl von Personen betreffen, (iii) von zwingenden
berechtigten Interessen des Verantwortlichen gedeckt sind und (iv)
52
Verlag Österreich
Das Verzeichnis der Verarbeitungstätigkeiten
53
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
DSGVO). Eine elektronische Führung ist freilich auch ihm gestattet (siehe
Frage 20).
Ein Muster eines Verzeichnisses der Verarbeitungstätigkeiten, das auch für
Verarbeitungstätigkeiten konzipiert ist, die als Auftragsverarbeiter durchge-
führt werden, ist bei Frage 15 abgedruckt.
54
Verlag Österreich
Das Verzeichnis der Verarbeitungstätigkeiten
55
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
durch die Pflicht zur Führung des internen Verzeichnisses der Verarbei-
tungstätigkeiten ersetzt. Bis zu diesem Zeitpunkt müssen Datenanwen-
dungen grundsätzlich auch weiterhin beim DVR gemeldet werden. Ab
25. Mai 2018 muss dann, den Regelungen der DSGVO entsprechend, das
interne Verzeichnis der Verarbeitungstätigkeiten vorhanden sein und der
Datenschutzbehörde auf Anfrage herausgegeben werden; das DVR wird
obsolet. Es empfiehlt sich daher, bereits jetzt schon parallel zu den DVR-
Meldungen das Verzeichnis der Verarbeitungstätigkeiten aufzubauen. Die
zu dokumentierenden Informationen decken sich ohnedies weitgehend.
Bestehende (aktuelle, vollständige und gut gepflegte) DVR-Meldungen
sind eine sehr gute Ausgangsbasis für die Erfassung der Verarbeitungstä-
tigkeiten im Verzeichnis der Verarbeitungstätigkeiten. Aus diesem Grund
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
56
Verlag Österreich
Das Verzeichnis der Verarbeitungstätigkeiten
sehr eng mit den für die Verarbeitungstätigkeit zuständigen Personen in der
jeweiligen Fachabteilung zusammenarbeiten, wodurch es für ihn keinen we-
sentlichen Mehraufwand bedeuten wird, für die geordnete Ablage der Ver-
arbeitungsdokumentation im Verzeichnis der Verarbeitungstätigkeiten zu
sorgen.
Für die Organisationsleitung hat eine solche Delegation der Zuständigkeit
den Vorteil, dass sie regelmäßig sichergehen kann, dass die Verarbeitungsdo-
kumentation den Vorgaben der DSGVO entspricht und der Datenschutzbe-
hörde auf Anfrage vollständig herausgegeben werden kann. Die Beauftra-
gung des Datenschutzbeauftragten mit der Führung des Verzeichnisses der
Verarbeitungstätigkeiten kann daher als eine wirksame Maßnahme angese-
hen werden, die den Verantwortlichen bzw Auftragsverarbeiter bei der Er-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
57
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
keit, die Einträge zum Verzeichnis der Verarbeitungstätigkeiten als eine Art
Check-Liste zu gestalten, in der nicht nur datenschutzrelevante Aspekte der
Verarbeitungstätigkeit, sondern auch die Erfüllung bestimmter datenschutz-
gesetzlicher Verpflichtungen dokumentiert abgearbeitet werden können
(siehe Frage 17).
Ist es allerdings erforderlich, dass standort- oder sogar länderübergreifend
mehrere Personen gleichzeitig und mit unterschiedlichen Berechtigungen
auf das Verzeichnis zugreifen können, empfiehlt sich die Verwendung von
Spezialsoftware. Bei der Auswahl von Spezialsoftware könnten folgende
Kriterien berücksichtigt werden:
> Mehrsprachigkeit der Benutzeroberfläche, wenn die Software auch
von ausländischen Tochtergesellschaften benutzt werden soll;
> Zugriffskontrollmanagement für mehrere Nutzer auf Ebene der ein-
zelnen juristischen Person oder der Verarbeitungstätigkeit;
> Möglichkeit der Abbildung der Konzernstruktur und der konzernwei-
ten Zuständigkeiten (zB dass eine Person als Datenschutzbeauftragter
für zwei Gesellschaften bestellt ist);
> Möglichkeit der Abbildung von Arbeitsabläufen (zB eine Person macht
einen Entwurf eines Eintrags im Verzeichnis, den eine andere noch frei-
geben muss);
> Möglichkeit, Verarbeitungstätigkeiten konzernweit oder für gewisse
Konzernsparten einheitlich zu definieren und einheitlich zu ändern;
> Abbildung von Veränderungen über die Zeit hinweg – im Idealfall ist
es ersichtlich, wann was im Verzeichnis dokumentiert bzw geändert
wurde;
> Möglichkeit, mehr als das Minimum zu dokumentieren (vgl Frage 17);
58
Verlag Österreich
Das Verzeichnis der Verarbeitungstätigkeiten
> Exportfunktionalität:
· in gängige Office-Formate (Microsoft Word oder PDF) und in ein
maschinenlesbares Format (zB XML), um den Anbieterwechsel zu
erleichtern;
· wenn mehr als das Minimum dokumentiert werden kann (vgl Fra-
ge 17): die Möglichkeit, den Datenexport auf dieses Minimum zu
beschränken, um gegenüber der Datenschutzbehörde nicht mehr als
notwendig offenlegen zu müssen;
> Kosten und
> Vertrauenswürdigkeit und Zuverlässigkeit des Anbieters.
Den Autoren bekannte Softwaretools sind (ohne Anspruch auf Vollständig-
keit oder qualitative Bewertung):
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
59
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
ben werden, ist ungewiss. Selbst wenn dies nicht der Fall sein sollte, wird
allerdings eine ad hoc vorgenommene Übersetzung ausreichend sein.
Insbesondere in Konzernen wird es in Zukunft nicht selten vorkommen,
dass die Einträge zum Verzeichnis der Verarbeitungstätigkeiten für alle
gruppenweit im Einsatz befindlichen IT-Services von einer Konzerngesell-
schaft für alle Gesellschaften innerhalb des EWR zentral verfasst und den
Tochtergesellschaften zur Aufnahme in ihr eigenes lokales Verzeichnis zur
Verfügung gestellt werden. So muss nicht jede Konzerngesellschaft ihren
eigenen Eintrag zum Verzeichnis erstellen. Auch hierfür wird die Zurverfü-
gungstellung in englischer Sprache zukünftig wohl die Regel sein.
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
60
Verlag Österreich
C. Datenschutz-Folgenabschätzungen
61
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
62
Verlag Österreich
Datenschutz-Folgenabschätzungen
> die Verarbeitungstätigkeit ist (i) detailliert gesetzlich geregelt und (ii)
wurde im Gesetzgebungsverfahren bereits einer allgemeinen Daten-
schutz-Folgenabschätzung unterzogen. Da die DSGVO keine konkre-
ten Vorgaben für eine solche allgemeine Folgenabschätzung vorsieht,
kann diese insbesondere vorliegen, wenn:
· in einem nationalen Gesetzgebungsverfahren in den Gesetzesmateri-
alien eine datenschutzrechtliche Interessensabwägung dokumentiert
ist (zB in den erläuternden Bemerkungen einer Regierungsvorlage
oder in einem Bericht eines Ausschusses des Nationalrats);
· die Datenschutzbehörde in einem nationalen Gesetzgebungsverfah-
ren eine Stellungnahme abgegeben hat (siehe www.dsb.gv.at/geset
zesbegutachtungen);
· der Datenschutzrat in einem nationalen Gesetzgebungsverfahren
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
63
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
64
Verlag Österreich
Datenschutz-Folgenabschätzungen
außer in den Fällen, die die DSGVO selbst nennt (siehe Frage 23), ein hohes
Risiko gegeben ist und daher eine Datenschutz-Folgenabschätzung erfor-
derlich ist. Diese ist leider eine eher komplizierte und vage Faustregel.
Nach dieser Faustregel ist grundsätzlich dann eine Datenschutz-Folgenab-
schätzung erforderlich, wenn mindestens zwei der folgenden neun Krite-
rien für eine Verarbeitungstätigkeit erfüllt sind (vgl die Guideline der Arti-
kel-29-Datenschutzgruppe zu „Data Protection Impact Assessment“, WP
248 rev.01):
1. jegliche Art des Profiling, auch wenn dieses gegenüber den Betroffenen
keine rechtliche Wirkung entfaltet und sie auch nicht in ähnlicher Weise
erheblich beeinträchtigt (zB Bonitätsbewertungen oder Marketing-Pro-
file auf Grundlage des Surf-Verhaltens);
2. Vorliegen einer vollständig automatisierten Einzelentscheidungsfin-
dung, die gegenüber den Betroffenen rechtliche Wirkung entfaltet oder
sie in ähnlicher Weise erheblich beeinträchtigt (zB automatisierte Ableh-
nung eines Kredit- oder Versicherungsantrags);
3. die Verarbeitung hat den Zweck, betroffene Personen zu beobachten, zu
überwachen oder zu kontrollieren (zB ein Online-Werbenetzwerk, das
das Online-Verhalten von Nutzern über mehrere Websites hinweg über-
wacht);
4. es werden sensible Daten, strafrechtlich relevante Daten, Kommuni-
kationsdaten, Standortdaten oder Finanzdaten (die einen Betrug im
Zahlungsverkehr ermöglichen) verarbeitet, welche nicht öffentlich ver-
fügbar sind;
5. die Verarbeitung ist hinsichtlich der Anzahl der betroffenen Personen,
des Umfangs der verarbeiteten Daten, der Dauer der Verarbeitung und/
oder ihrer geografischen Ausdehnung groß angelegt;
65
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
6. die verarbeiteten Daten stammen aus zwei oder mehr internen oder ex-
ternen Quellen (interne Verarbeitungstätigkeiten mit verschiedenen
Zwecken oder mehrere Verantwortliche) und die Kombination der Da-
ten aus diesen Datenquellen geht über die vernünftigen Erwartungen
der Betroffenen hinaus;
7. es werden Daten über besonders verwundbare Personengruppen ver-
arbeitet: zB Kinder, Arbeitnehmer (richtigerweise nur wenn es keinen
Betriebsrat gibt; siehe unten), psychisch Kranke, Patienten, geistig Be-
nachteiligte);
8. es kommen neue Technologien zum Einsatz;
9. die Verarbeitung ist geeignet, Betroffene an der Ausübung eines Rechts,
am Abschluss eines Vertrags oder an der Inanspruchnahme einer Dienst-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
66
Verlag Österreich
Datenschutz-Folgenabschätzungen
67
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
ken für die Betroffenen kann es hilfreich sein, Risiken in folgende Kom-
ponenten zu untergliedern:
· Schutzobjekte (engl Assets; zB sensible Daten oder reguläre perso-
nenbezogene Daten);
· Bedrohungen (engl Threats; zB Schadsoftware oder eine zweckwid-
rige Verwendung der Daten);
· Bedrohungsquellen (engl Threat Agents; zB die eigenen Mitarbeiter,
unternehmensfremde Personen oder Naturgewalten);
· bestehende Schwachstellen (engl Vulnerabilities; zB Sicherheits
lücken in Software) und
· bereits implementierte Sicherheitsmaßnahmen (engl Security Con-
trols; zB eine Firewall).
Risiken sind dabei beispielsweise, dass der Zweckbindungs- oder Daten-
minimierungsgrundsatz verletzt wird, dass Daten ohne Rechtsgrundlage
verarbeitet oder an Dritte übermittelt werden, dass Daten ungewollt von
Dritten abgegriffen oder eingesehen werden, dass Daten ungewollt zer-
stört werden (zB durch Krypto-Trojaner), dass den betroffenen Perso-
nen keine oder nur unzureichende Datenschutzinformationen erteilt
werden oder dass Betroffenenrechte nicht, nicht rechtskonform, nicht
fristgerecht oder nicht vollständig erfüllt werden (können).
Im Anschluss ist eine Bewertung dieser Risiken vorzunehmen. Hierbei
ist es hilfreich, Risiken zu betrachten als mathematisches Produkt von
· Eintrittswahrscheinlichkeit und
· potentiellen (materiellen oder immateriellen) Schäden für die Be-
troffenen (es ist hierbei immer auf die Betroffenensicht abzustellen).
Diese Bewertung kann quantitativ durch Schätzung eines möglichen
Schadensbetrags für die Betroffenen (zB EUR 1.000) oder qualitativ in
Form einer Bewertungsskala (zB niedrig, mittel, hoch) erfolgen.
68
Verlag Österreich
Datenschutz-Folgenabschätzungen
Bei der Bewertung der Risiken ist es häufig auch hilfreich, danach zu
differenzieren, welche Auswirkungen eintreten würden, wenn sich das
Risiko materialisiert:
· Verletzung der Vertraulichkeit: Die Daten werden für Unbefugte
zugänglich.
· Verletzung der Integrität: Die Daten werden unautorisiert verändert.
· Verletzung der Verfügbarkeit: Die Daten werden unautorisiert ge-
löscht.
· Verletzung der Rechtmäßigkeit: Die Daten werden rechtswidrig
verwendet – dies kann auch ohne Verletzung von Vertraulichkeit, In-
tegrität oder Verfügbarkeit erfolgen, zB wenn ein Mitarbeiter, der
grundsätzlich autorisiert ist, auf die Daten zuzugreifen, diese in Ver-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
69
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Folgenabschätzung abgedruckt:
Datenschutz-Folgenabschätzung
Inhalt
I. Allgemeine Information zur Organisation
II. Beschreibung der Verarbeitungstätigkeit
III. Prüfung der Rechtmäßigkeit
IV. Involvierung des Datenschutzbeauftragten und der Betroffenen
V. Risiken für die Betroffenen
70
Verlag Österreich
Datenschutz-Folgenabschätzungen
71
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
72
Verlag Österreich
Datenschutz-Folgenabschätzungen
In welcher Form wurde der Da- Entweder (i) Hinweis, dass kein
tenschutzbeauftragte involviert? Datenschutzbeauftragter bestellt
wurde oder (ii) Beschreibung der
Involvierung des Datenschutzbe-
auftragten sowie gegebenenfalls
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
73
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
74
Verlag Österreich
Datenschutz-Folgenabschätzungen
75
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
76
Verlag Österreich
Datenschutz-Folgenabschätzungen
prüft werden.
Die Datenschutz-Folgenabschätzung muss freilich nicht in jedem Prüfzyk-
lus gänzlich neu erstellt werden. Vielmehr reicht es aus, die bestehenden
Folgenabschätzungen (insbesondere die Risikoanalyse) auf ihre Aktualität
zu prüfen und allenfalls zu aktualisieren. Dabei kann sich herausstellen, dass
weitere oder gänzlich neue Risikominderungsmaßnahmen ergriffen werden
müssen.
Unabhängig von einem festgelegten Prüfzyklus ist eine Überarbeitung der
Datenschutz-Folgenabschätzung auch immer dann erforderlich, wenn sich
aufgrund interner oder externer Umstände die Risikosituation der Verarbei-
tung verändert. Das ist vor allem dann der Fall, wenn die Zwecke oder Mit-
tel der Verarbeitung wesentlich geändert werden. In diesen Fällen handelt
es sich de facto um eine neue Verarbeitung, die eine Aktualisierung der Da-
tenschutz-Folgenabschätzung erfordert.
77
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
78
Verlag Österreich
D. Datenschutzmitteilungen und
Betroffenenrechte
offengelegt werden?
Ja, Betroffene haben grundsätzlich das Recht, vom Verantwortlichen über
die Verarbeitung ihrer personenbezogenen Daten informiert zu werden
(siehe Schritt 8, Zwischenschritt D des Umsetzungsplans).
79
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
80
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
[Wenn überwiegendes berechtigtes Inte- [If the prevailing legitimate interest ser-
resse als Rechtsgrundlage dient:] ves as a legal basis for the processing:]
Wir verarbeiten folgende Ihrer perso- We process the following categories of
nenbezogene Daten auf der Grundlage your personal data on the basis of our
unseres überwiegenden berechtigten In- prevailing legitimate interest (Article
teresses (Art 6 Abs 1 lit f DSGVO), wel- 6(1)(f) GDPR) which is to achieve the
ches darin besteht, die oben unter Punkt 1 purposes [as applicable: a/b/c/d] set out
[je nach Anwendbarkeit: a/b/c/d] ge- under Point 1 above: [list of data catego-
nannten Zwecke zu erreichen: [Liste der ries that are processed on the basis of the
Datenkategorien, welche auf Grund des prevailing legitimate interest].
überwiegenden berechtigten Interesses
verarbeitet werden].
genen Daten
Zu den oben genannten Zwecken wer- For the purposes set out above, we will
den wir Ihre personenbezogenen Daten transfer your personal data to the fol-
an folgende Empfänger übermitteln [bit- lowing recipients [please delete points
te nicht Zutreffendes löschen]: that do not apply]:
• von uns eingesetzte IT-Dienstleister; • IT service providers that we use;
• Gesellschaften, die unserem Konzern • companies that are part of our corpo-
angehören (eine aktuelle Liste aller rate group (an up-to-date list of all
Konzerngesellschaften finden Sie un- group entities is available under
ter [URL]); [URL]);
• [andere Kategorie von Übermitt- • [other category of recipients];
lungsempfängern]; • [other recipient], [street address of re-
• [Firmenwortlaut eines anderen Über- cipient].
mittlungsempfängers], [Anschrift des
Übermittlungsempfängers].
[Wenn zutreffend:] Manche der oben [If applicable:] Some of the recipients
genannten Empfänger befinden sich au- referred to above are located in or pro-
ßerhalb Ihres Landes oder verarbeiten cess personal data outside of your
dort Ihre personenbezogenen Daten. country. The level of data protection in
Das Datenschutzniveau in anderen Län- another country may not be equivalent
dern entspricht unter Umständen nicht to that in your country. However, we
dem Ihres Landes. Wir übermitteln Ihre only transfer your personal data to
personenbezogenen Daten jedoch nur countries where the EU Commission
in Länder, für welche die EU-Kommis- has decided that they have an adequate
sion entschieden hat, dass sie über ein level of data protection or we take
angemessenes Datenschutzniveau verfü- measures to ensure that all recipients
gen oder wir setzen Maßnahmen, um provide an adequate level of data pro-
zu gewährleisten, dass alle Empfänger tection. We do this for example by en-
ein angemessenes Datenschutzniveau tering into appropriate data transfer
haben. Dazu schließen wir beispielswei- agreements based on Standard Contrac-
se Standardvertragsklauseln (2010/87/ tual Clauses (2010/87/EC and/or
EC und/ oder 2004/915/EC) ab. Diese 2004/915/EC). Such agreements are ac-
81
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
sind auf Anfrage unter [E-Mail-Adresse, cessible upon request from [email ad-
unter der Kopie angefordert werden dress where copy can be requested].
kann] verfügbar.
82
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
83
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Bezüglich der Art der Informationserteilung sieht die DSGVO vor, dass der
Verantwortliche die erforderlichen Informationen in leicht zugänglicher
Form und in klarer und einfacher Sprache bereitstellen muss (Art 12 Abs 1
DSGVO). Dass die Betroffenen die Datenschutzmitteilung auch tatsächlich
lesen, ist nicht erforderlich und muss auch technisch nicht sichergestellt
werden (zB durch Anklicken einer Check-Box).
Ein Bereitstellen der Datenschutzmitteilung kann beispielsweise so erfol-
gen:
> wenn die Daten auf einer Website erhoben werden: durch Verlinkung
der Datenschutzmitteilung in der Fußzeile jeder Seite der Website;
> wenn Mitarbeiterdaten verarbeitet werden: durch (i) Aushang am
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
84
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
85
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Betroffenen nach alter Rechtslage (§ 26 Abs 3 DSG 2000), ist aber dahinge-
hend eingeschränkt, dass sie nur dann zur Anwendung kommt, wenn der
Verantwortliche eine große Menge von Daten über den Betroffenen verar-
beitet. Dies wird man im Ergebnis so verstehen dürfen, dass es nicht darauf
ankommt, ob der Verantwortliche genau über die auskunftswerbende Per-
son eine Vielzahl von Daten verarbeitet. Denn für diese Beurteilung müsste
er ja wiederum wissen, im Rahmen welcher Verarbeitungstätigkeiten er wie
viele Daten über diese Person verarbeitet. Vielmehr ist eine Mitwirkungs-
pflicht des Betroffenen dann anzunehmen, wenn der Verantwortliche ganz
allgemein eine große Menge von Daten über Betroffene verarbeitet und
dem Verantwortlichen eine unspezifizierte Suche in allen seinen Verarbei-
tungstätigkeiten unzumutbar wäre.
Führt der Verantwortliche hingegen nur einige wenige Verarbeitungstätig-
keiten durch, kann ihm eine eigenständige Suche nach zu beauskunftenden
Daten durchaus zugemutet werden. In solchen Fällen hat er kein Recht auf
Mitwirkung der auskunftswerbenden Person.
Trifft den Betroffenen eine Mitwirkungspflicht, so muss diese Mitwirkung
nicht notwendigerweise durch Benennung einzelner Verarbeitungstätigkei-
ten oder IT-Systeme erfolgen, sondern ist auch durch Beschreibung des Sach-
verhalts möglich, aufgrund dessen die auskunftswerbende Person Daten über
sich beim Verantwortlichen vermutet (zB Erhalt einer Werbe-E-Mail).
86
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
87
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
88
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
89
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
90
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
91
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
schwerer wiegen, als die Interessen des Betroffenen. Benötigt der Verant-
wortliche die Daten zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen, überwiegen stets die Interessen des Verantwortli-
chen.
In diesen Fällen hat der Widerspruch daher die Funktion, dem Betroffenen
die Darstellung seiner individuellen Situation zu ermöglichen und dann
eine Löschung seiner Daten zu erwirken, wenn der Verantwortliche zwar
im Allgemeinen aber nicht in Bezug auf den konkreten Betroffenen ein
überwiegendes berechtigtes Interesse an der Datenverarbeitung hat.
Beispielsweise kann sich der Betreiber einer Internet-Suchmaschine
grundsätzlich auf das überwiegende Informationsinteresse der Öffentlich-
keit berufen, um seine Suchmaschine anzubieten und auch die Suche nach
dem Namen einer Person zu ermöglichen. Bei einzelnen Ergebnissen einer
Suche nach einer Person kann es jedoch sein, dass dieses Informationsinter-
esse nicht (mehr) überwiegt, weil es sich zB um Informationen über lange in
der Vergangenheit liegende Fakten (zB ein Privatkonkurs vor zehn Jahren)
handelt (vgl EuGH 13.5.2014, C-131/12 – Google Spain). In diesem Fall ist
der Widerspruch berechtigt und der Betreiber der Internet-Suchmaschine
muss sicherstellen, dass dieses Suchergebnis bei einer Suche nach dem Na-
men des Betroffenen nicht mehr erscheint.
Erhebt hingegen ein Arbeitnehmer Widerspruch dagegen, dass seine Daten
zu Zwecken der Personalplanung an die Konzernmutter übermittelt wer-
den, so wird sein Arbeitgeber als Verantwortlicher leicht dartun können,
dass dem Arbeitgeber ein überwiegendes Interesse zukommt, weil eine ef-
fektive Personalplanung eine Voraussetzung für den wirtschaftlichen Erfolg
des Konzerns ist und voraussetzt, dass hierbei alle Arbeitnehmer einbezo-
gen werden. Der Widerspruch wäre in diesem Fall daher ohne Berechti-
gung.
92
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
93
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
94
Verlag Österreich
Datenschutzmitteilungen und Betroffenenrechte
sche Personen nach § 1 DSG weiterhin ein Grundrecht auf Datenschutz
haben, die übrigen Bestimmungen des DSG und die DSGVO aber nur für
die Daten natürlicher Personen gelten.
Dieses Grundrecht auf Datenschutz bedeutet, dass juristische Personen
grundsätzlich das Recht haben auf (§ 1 Abs 3 DSG):
1. Auskunft darüber, wer welche Daten über sie verarbeitet, woher die Da-
ten stammen, und wozu sie verwendet werden, insbesondere auch, an
wen sie übermittelt werden;
2. Richtigstellung unrichtiger Daten;
3. Löschung unzulässigerweise verarbeiteter Daten.
Damit bleibt abzuwarten, ob dem Gesetzgeber bis zur Anwendbarkeit der
DSGVO am 25.5.2018 eine Anpassung der Verfassungsbestimmungen im
DSG gelingt. Für die weiteren Vorbereitungsarbeiten ist daher anzuraten,
juristische Personen im Hinblick auf das Grundrecht auf Datenschutz und
die damit verbundenen (verfassungsgesetzlichen) Betroffenenrechte nicht
gänzlich auszublenden. Da die DSGVO mit ihren Straf- und Schadenser-
satzbestimmungen für diese Rechte juristischer Personen nicht anwendbar
ist und auch nicht absehbar ist, ob § 1 DSG bis zur Anwendbarkeit der
DSGVO nicht doch noch saniert wird, sollte allerdings kein besonderer
Aufwand für die Betroffenenrechte juristischer Personen betrieben werden.
95
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Die DSGVO sieht zwar ein unbedingtes Löschungsrecht vor, wenn die per-
sonenbezogenen Daten des Betroffenen rechtswidrig verarbeitet werden
(zB wenn der Betroffene seine Einwilligung widerrufen hat und auch keine
sonstige Rechtsgrundlage für die Verarbeitung besteht; vgl Art 17 DSGVO).
Allerdings macht das österreichische Gesetz von der Möglichkeit Gebrauch,
das Recht auf Löschung einzuschränken (§ 4 Abs 2 DSG iVm Art 23
DSGVO): Sofern die sofortige Löschung aus wirtschaftlichen oder techni-
schen Gründen nicht möglich ist, kann sie hinausgeschoben werden.
Dies trifft insbesondere auf Backups zu, da eine Löschung einzelner Daten
aus einem Backup voraussetzen würde, dass zunächst alle Daten wiederher-
gestellt werden, aus der wiederhergestellten Gesamtdatenmenge die fragli-
chen Daten entfernt werden und dann die verbleibende Gesamtdatenmenge
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
96
Verlag Österreich
E. IP-Adressen, Cookies und Social Media Plugins
deln und dürfen daher nur gespeichert werden, wenn eine Rechtsgrundlage
hierfür vorhanden ist (siehe auch Schritt 8, Zwischenschritt A des Umset-
zungsplans).
Eine IP-Adresse wird jedem Computer zugewiesen, damit dieser in einem
Netzwerk unter Verwendung des Internet Protocol (IP) mit anderen Com-
putern kommunizieren kann.
Ob eine IP-Adresse ein personenbezogenes Datum darstellt, hängt davon
ab, ob es zumindest denkbar wäre, dass es dem Verantwortlichen gelingt, die
Identität des Betroffenen zu ermitteln. Im Einzelnen ist daher wie folgt zu
differenzieren:
> dynamische IP-Adressen, die von Internetzugangsanbietern an ihre Kun-
den zugewiesen wurden, sind personenbezogene Daten, da im Fall einer
Straftat, die unter Verwendung dieser IP-Adresse begangen wird, das Op-
fer eine Sachverhaltsdarstellung bei der Staatsanwaltschaft einbringen
könnte, die Staatsanwaltschaft den Inhaber der IP-Adresse ermitteln
könnte (§ 76a Abs 2 Z 1 Strafprozessordnung) und das Opfer über den
Weg der Akteneinsicht die Identität des Inhabers der IP-Adresse in Erfah-
rung bringen könnte (vgl EuGH 19.10.2016, C-582/14, Rn 47 f);
> statische IP-Adressen, die von einem Internetzugangsanbieter einer na-
türlichen Person zugewiesen wurden, sind aus den oben genannten
Gründen ebenso personenbezogene Daten;
> statische IP-Adressen, die einer juristischen Person zugewiesen wur-
den, sind grundsätzlich keine personenbezogenen Daten, da sie sich nur
auf eine juristische und keine natürliche Person beziehen. Ob eine stati-
sche Zuweisung erfolgt ist, lässt sich in manchen Fällen feststellen, indem
man in der weltweiten WHOIS-Datenbank nach einer statischen Zuwei-
sung der fraglichen IP-Adresse an ein bestimmtes Unternehmen sucht.
97
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
98
Verlag Österreich
IP-Adressen, Cookies und Social Media Plugins
rung von Cookies die Einwilligung des Nutzers voraus, sofern es sich
nicht um Cookies handelt, die für die Funktionalität der Website absolut
notwendig sind (zB ein Cookie, das für die Dauer der Browser-Sitzung
vermerkt, dass sich der Nutzer erfolgreich authentifiziert hat; § 96 Abs 3
TKG 2003).
Den Gesetzesmaterialien ist zu entnehmen, dass eine Einwilligung auch
durch „Einstellungen eines Browsers“ ausgedrückt werden kann. Lässt ein
Nutzer das Setzen von Cookies zu, indem er seinen Browser entsprechend
konfiguriert hat, so darf dies nach österreichischem Recht daher als Einwil-
ligung gewertet werden. Eine ähnliche Einwilligungsregelung sieht im Üb-
rigen der Vorschlag der Europäischen Kommission für die neue EU e-Priva-
cy-Verordnung vor (Art 9 Abs 2 des Entwurfs der e-Privacy-Verordnung,
KOM(2017) 10 endg).
99
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Datenschutzmitteilung
Diese Website wird von [Firmenwortlaut des Verantwortlichen], [An-
schrift des Verantwortlichen] („wir“ bzw „uns“) betrieben. Diese Mittei-
lung beschreibt wie wir, als datenschutzrechtlich Verantwortlicher, Ihre
personenbezogenen Daten im Zusammenhang mit dieser Website verar-
beiten.
2. Cookies
Auf dieser Website werden sogenannte Cookies verwendet. Ein Cookie
ist eine kleine Datei, die auf Ihrem Computer gespeichert werden kann,
wenn Sie eine Website besuchen. Grundsätzlich werden Cookies verwen-
det, um Nutzern zusätzliche Funktionen auf einer Website zu bieten. Sie
können zum Beispiel verwendet werden, um Ihnen die Navigation auf
einer Website zu erleichtern, es Ihnen zu ermöglichen, eine Website dort
weiter zu verwenden, wo Sie sie verlassen haben und/oder Ihre Präferen-
zen und Einstellungen zu speichern, wenn Sie die Website wieder besu-
chen. Cookies können auf keine anderen Daten auf Ihrem Computer zu-
greifen, diese lesen oder verändern.
Die meisten der Cookies auf dieser Website sind sogenannte Session-
Cookies. Sie werden automatisch gelöscht, wenn Sie unsere Website wie-
der verlassen. Dauerhafte Cookies hingegen bleiben auf Ihrem Compu-
ter, bis Sie sie manuell in Ihrem Browser löschen. Wir verwenden solche
dauerhaften Cookies, um Sie wieder zu erkennen, wenn Sie unsere Web-
site das nächste Mal besuchen.
100
Verlag Österreich
IP-Adressen, Cookies und Social Media Plugins
Wenn Sie Cookies auf Ihrem Computer kontrollieren wollen, können Sie
ihre Browser-Einstellungen so wählen, dass Sie eine Benachrichtigung
bekommen, wenn eine Website Cookies speichern will. Sie können Coo-
kies auch blockieren oder löschen, wenn sie bereits auf Ihrem Computer
gespeichert wurden. Wenn Sie mehr darüber wissen möchten, wie Sie die-
se Schritte setzen können, benützen Sie bitte die „Hilfe“-Funktion in Ih-
rem Browser.
Beachten Sie bitte, dass das Blockieren oder Löschen von Cookies Ihre
Online-Erfahrung beeinträchtigen und Sie daran hindern könnte, diese
Website vollständig zu nutzen.
101
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
nen Daten jedoch nur in Länder, für welche die EU-Kommission ent-
schieden hat, dass sie über ein angemessenes Datenschutzniveau verfügen
oder wir setzen Maßnahmen, um zu gewährleisten, dass alle Empfänger
ein angemessenes Datenschutzniveau haben. Dazu schließen wir bei-
spielsweise Standardvertragsklauseln (2010/87/EC und/oder 2004/915/
EC) ab. Diese sind auf Anfrage unter [E-Mail-Adresse unter der Kopie
angefordert werden kann] verfügbar.
[Im Falle einer Registrierungsmöglichkeit auf der Website:] Wenn Sie sich
auf unserer Website registrieren, werden wir Ihre Daten jedenfalls so lan-
ge speichern, so lange Ihr Account besteht und danach für nur so lange,
wie rechtliche Verpflichtungen dies vorsehen.
8. Unsere Kontaktdaten
Sollten Sie zu der Verarbeitung Ihrer personenbezogenen Daten Fragen
oder Anliegen haben, wenden Sie sich bitte an uns:
[Firmenwortlaut des Verantwortlichen]
[Anschrift des Verantwortlichen]
[E-Mail-Adresse des Verantwortlichen]
102
Verlag Österreich
IP-Adressen, Cookies und Social Media Plugins
Ja, die Verwendung von Google Analytics ist zulässig, wobei grundsätzlich
(i) eine Anonymisierungs-Funktion von Google Analytics verwendet wer-
den sollte, (ii) Nutzern eine Opt-Out-Möglichkeit geboten werden sollte
und (iii) die Nutzer in der Datenschutzmitteilung der Website über die Ver-
wendung von Google Analytics informiert werden sollten.
Die Funktionsweise von Google Analytics besteht darin, dass bei jedem
Aufruf der Website die IP-Adresse des Nutzers sowie die Internet-Adres-
se (URL) der aufgerufenen Seite an Google übermittelt wird und Google
auf dieser Grundlage für den Betreiber der Website Zugriffsstatistiken
erstellt.
Dem Grundsatz Privacy by Design folgend, bietet Google Websitebetrei-
bern die Möglichkeit, Google Analytics so zu konfigurieren, dass Google die
IP-Adresse des Nutzers unmittelbar nach Erhalt sofort anonymisiert, bevor
sie in einen permanenten Speicher geschrieben wird. Dies erfolgt dadurch,
dass ein Teil der IP-Adresse entfernt wird (die letzten acht Bit bei einer
IPv4-Adresse bzw die letzten 80 Bit bei einer IPv6-Adresse). Wie man diese
Anonymisierungs-Funktion aktiviert, beschreibt Google in der Google
Analytics-Hilfe (siehe https://support.google.com/analytics/answer/29053
84?hl=de). Websitebetreiber sollten diese Anonymisierungs-Funktion je-
denfalls aktivieren.
Nutzer können durch das Setzen eines Cookies auch gänzlich aus der Ver-
wendung ihrer Daten im Rahmen von Google Analytics hinaus-optieren.
Auch diese Möglichkeit sollte den Nutzern angeboten werden (siehe https://
developers.google.com/analytics/devguides/collection/gajs/?hl=de#disable).
Eine weitere Möglichkeit besteht für Nutzer darin, ein von Google für alle
gängigen Browser angebotenes Add-on zur Deaktivierung von Google
Analytics zu installieren.
103
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
104
Verlag Österreich
IP-Adressen, Cookies und Social Media Plugins
105
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
You can also refuse the use of Google Analytics on this website by cli-
cking on the following link. An opt-out cookie will be set on the compu-
ter, which prevents the future collection of your data when visiting this
website:
<a href=“javascript:gaOptout()“>Disable Google Analytics</a>[Anm:
der dazugehörige JavaScript-Code findet sich auf https://developers.
google.com/analytics/devguides/collection/gajs/?hl=de#disable]
Further information concerning Google’s terms of use and privacy state-
ment can be found at http://www.google.com/analytics/terms/gb.html
or at https://www.google.at/intl/en_uk/policies/.
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
106
Verlag Österreich
IP-Adressen, Cookies und Social Media Plugins
Dies wird als Einwilligung des Nutzers zur Übermittlung seiner perso-
nenbezogenen Daten an die entsprechenden Social Media-Dienste ange-
sehen.
> Will der Nutzer nun tatsächlich die Social Media Plugins verwenden,
muss er sie ein zweites Mal anklicken, um die entsprechenden Funktio-
nen der Social Media Plugins zu verwenden.
Entscheidend ist hierbei, dass ohne eine Handlung des Nutzers, die darauf
schließen lässt, dass er die Social Media Plugins tatsächlich verwenden
möchte, keine Datenübermittlung an die Social Media-Dienste erfolgt.
Eine mögliche Umsetzung einer Zwei-Klick-Lösung bietet der Verlag Heise
unter https://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-
1333879.html.
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
107
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
F. E-Mails
109
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Unternehmen, die sich als Ziel gesetzt haben, die DSGVO zu 100% zu er-
füllen (siehe Schritt 4 des Umsetzungsplans), sollten daher nicht alle E-Mails
gleich behandeln, sondern nach dem Inhalt der E-Mail eine differenzierte
Aufbewahrungsfrist festlegen. Da dies jedoch kaum praktikabel ist, emp-
fiehlt sich als pragmatische Faustregel alle E-Mails 7 Jahre aufzubewahren.
Zusätzlich sollten jene Mitarbeiter bzw Mitglieder der Geschäftsführung,
die mit Vertragsverhandlungen befasst sind, instruiert werden, dass sie
E-Mails, welche die Vertragsverhandlungen dokumentieren, separat spei-
chern und diese grundsätzlich bis zum Ablauf von 3 Jahren nach Beendi-
gung des Vertragsverhältnisses aufbewahren sollten.
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
110
Verlag Österreich
E-Mails
111
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
> der Zugriff ist im konkreten Fall aus betrieblichen Gründen notwendig
(zB weil eine Korrespondenz dringend benötigt wird und der auf Urlaub
befindliche Mitarbeiter nicht erreicht werden kann);
> den Mitarbeitern wurde die Privatnutzung des beruflichen E-Mail-
Accounts untersagt und
> die Mitarbeiter wurden über die Möglichkeit des Zugriffs informiert
bzw in Betrieben mit Betriebsrat wurde eine Betriebsvereinbarung über
den Zugriff abgeschlossen.
Diese Voraussetzungen haben folgenden Hintergrund: Würde die Privat-
nutzung des beruflichen E-Mail-Accounts nicht untersagt, so würde jeder
E-Mail-Account potentiell auch sensible Daten enthalten (zB Korrespon-
denz über Politik mit Freunden, über die Gesundheit mit einem Arzt oder
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
über das Sexualleben mit einem Partner). Für die Verarbeitung dieser sensib-
len Daten würde es jedoch an einer Rechtsgrundlage fehlen, weshalb die
Privatnutzung zu untersagen ist. Bleibt das Privatnutzungsverbot nicht bloß
theoretischer Natur, sondern werden Verstöße dagegen auch sanktioniert,
so darf der Arbeitgeber in der Tat davon ausgehen, dass die E-Mail-Ac-
counts keine sensiblen Daten enthalten. Ob sie im Einzelfall tatsächlich frei
von sensiblen Daten sind, ist dann rechtlich unerheblich.
Die Verarbeitung nicht-sensibler Daten im Rahmen der Einsichtnahme in
E-Mail-Accounts lässt sich grundsätzlich auf die Rechtsgrundlage des über-
wiegenden berechtigten Interesses stützen (Art 6 Abs 1 lit f DSGVO).
Denn die Einsichtnahme während eines Urlaubs oder nach Ausscheiden aus
dem Unternehmen stellt typischerweise eine betriebliche Notwendigkeit
dar.
Die Pflicht, die Mitarbeiter über die Möglichkeit des Zugriffs zu informie-
ren, resultiert daraus, dass Betroffene stets über die Zwecke der Verarbei-
tung ihrer Daten zu informieren sind (Art 13 Abs 1 lit c, Art 14 Abs 1 lit c
DSGVO).
Gibt es einen Betriebsrat, so ist über die Möglichkeit des Zugriffs eine Be-
triebsvereinbarung abzuschließen, da ein solcher Zugriff auf Arbeitnehmer-
E-Mails über die Ermittlung von allgemeinen Angaben zur Person und
fachlichen Voraussetzungen hinausgeht und auch nicht zur Erfüllung von
arbeitsrechtlichen Pflichten erforderlich ist (§ 96a Abs 1 Z 1 Arbeitsverfas-
sungsgesetz; vgl allgemein Frage 62).
112
Verlag Österreich
G. Kundendatenschutz
meist nicht der DSGVO unterliegen, sehr wohl aber die Daten über die
Kontaktpersonen bei den Geschäftskunden.
Dies gilt mit folgender Einschränkung: Wenn der Firmenwortlaut der juris-
tischen Person eine oder mehrere natürliche Personen bezeichnet (zB bei
der Ein-Mann-GmbH, die nach dem Gesellschafter-Geschäftsführer be-
nannt ist), haben alle Daten, die einen Bezug auf die juristische Person ha-
ben, automatisch auch einen Bezug auf die dahinterstehende natürliche Per-
son und gelten daher als personenbezogene Daten (vgl EuGH 9.11.2010,
C-92/09 und C-93/09 – Schecke, Rn 53).
Außerdem ist zu berücksichtigen, dass Daten, die sich auf juristische Perso-
nen beziehen, grundsätzlich weiterhin vom Grundrecht auf Datenschutz
nach § 1 DSG geschützt sind (Stand: November 2017). Dies ist darauf zu-
rückzuführen, dass die Bundesregierung mit der Einführung des Daten-
schutz-Anpassungsgesetzes 2018 den Schutz von Daten juristischer Perso-
nen gänzlich abschaffen wollte, aber keine Zwei-Drittel-Mehrheit im Parla-
ment dafür finden konnte, welche für eine Einschränkung des Grundrechts
erforderlich gewesen wäre. Der Anwendungsbereich des Datenschutz-An-
passungsgesetz 2018 bleibt dennoch auf Daten natürlicher Personen be-
schränkt. Dies ergibt sich insbesondere daraus, dass das Datenschutz-An-
passungsgesetz 2018 den Titel des bisherigen DSG 2000 in „Bundesgesetz
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener
Daten (Datenschutzgesetz – DSG)“ geändert hat.
113
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Für Daten juristischer Personen gilt daher nur § 1 DSG, nicht hingegen die
Bestimmungen der DSGVO oder des Datenschutz-Anpassungsgeset-
zes 2018.
Daten juristischer Personen sind nur dann vom Grundrecht nach § 1 DSG
geschützt, wenn die juristische Person ein schutzwürdiges Interesse an den
Daten hat, was nach dem Gesetz ausgeschlossen ist, wenn die Daten ohne-
dies allgemein verfügbar sind (zB Daten auf der Website der juristischen
Person oder aus den Gelben Seiten). § 1 DSG gewährt juristischen Personen
folgende Rechte:
> einen Anspruch auf Geheimhaltung – Daten juristischer Personen dür-
fen dennoch verwendet werden, wenn (i) die juristische Person zuge-
stimmt hat, (ii) ein überwiegendes berechtigtes Interesse des Verantwort-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
lichen oder eines Dritten besteht oder (iii) eine gesetzliche Ermächtigung
oder Verpflichtung zur Datenverwendung gegeben ist;
> ein Recht auf Auskunft darüber, wer welche Daten über die juristische
Person verarbeitet, woher die Daten stammen und wozu sie verwendet
werden, insbesondere auch, an wen sie übermittelt werden;
> ein Recht auf Richtigstellung unrichtiger Daten;
> ein Recht auf Löschung unzulässigerweise verarbeiteter Daten – auch
hier ist wieder darauf abzustellen, ob (i) die juristische Person zuge-
stimmt hat, (ii) ein überwiegendes berechtigtes Interesse des Verantwort-
lichen oder eines Dritten besteht oder (iii) eine gesetzliche Ermächtigung
oder Verpflichtung zur Datenverwendung gegeben ist.
Im Fall der Verletzung der Rechte einer juristischen Person kann diese ihre
Rechte lediglich am Zivilrechtsweg einklagen. Eine Geldbuße kann jedoch
nicht verhängt werden, da die Datenschutzbehörde für den Schutz perso-
nenbezogener Daten juristischer Personen gar nicht zuständig ist.
Der Schutz personenbezogener Daten juristischer Personen wird daher
weiterhin totes Recht bleiben und Unternehmen werden gut beraten sein,
sich auf den Schutz personenbezogener Daten natürlicher Personen zu fo-
kussieren.
114
Verlag Österreich
Kundendatenschutz
− die Erforderlichkeit für die Erfüllung eines Vertrages, der mit dem Be-
troffenen geschlossen wurde – müssen die Daten des Kunden verarbeitet
werden, um den mit ihm geschlossenen Vertrag zu erfüllen, so stellt dies
eine hinreichende Rechtsgrundlage dar (zB die Verarbeitung der Liefer-
anschrift, um dem Kunden die bestellte Ware zuzusenden);
− die Erforderlichkeit für die Erfüllung einer gesetzlichen Verpflichtung
des Verantwortlichen – zB die Aufbewahrung von Geschäftsbriefen für
7 Jahre (vgl Frage 49) oder
− überwiegende berechtigte Interessen des Verantwortlichen – ein über-
wiegendes berechtigtes Interesse besteht insbesondere, wenn (1) der Ver-
antwortliche Kontaktdaten der Kunden zu Zwecken des Direktmarke-
tings verarbeiten will (zB zur Zusendung von Marketing-E-Mails) und
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
115
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
nicht berührt.
116
Verlag Österreich
Kundendatenschutz
117
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
118
Verlag Österreich
Kundendatenschutz
> Das Koppelungsverbot ist zu beachten (siehe Frage 60) bzw muss allen-
falls eine Umgehungsstrategie entwickelt werden (siehe Frage 61).
> Soll die Einwilligung mehrere Verarbeitungstätigkeiten umfassen, die
nichts miteinander zu tun haben, muss es möglich sein, für diese separat
einzuwilligen bzw die Einwilligung separat zu verweigern (zB durch
mehrere Checkboxen; siehe ausführlich Frage 57).
119
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
120
Verlag Österreich
Kundendatenschutz
121
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Gericht das ausländische Recht und damit eine andere Altersschwelle an-
wendet. Will ein international tätiges Unternehmen auf Nummer sicher ge-
hen, müsste es daher 16 Jahre als Altersschwelle anwenden.
Insbesondere für Online-Dienste stellen sich im Zusammenhang mit der
Einwilligung von Kindern folgende Fragen:
> Wie soll der Anbieter das Alter des Nutzers überprüfen? Dies ist in der
DSGVO nicht geregelt, allerdings ist davon auszugehen, dass es ausrei-
chend ist, wenn (i) der Online-Dienst nicht auf Kinder ausgerichtet ist,
die noch nicht einwilligungsfähig sind und (ii) der Verantwortliche auch
keine Kenntnis davon hat, dass die Daten solcher Kinder verarbeitet
werden. Praktisch gesprochen sollten Anbieter von Online-Diensten da-
her im Rahmen eines Nutzer-Registrierungsprozesses das Geburtsda-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
tum der Nutzer abfragen – gibt der Nutzer ein Geburtsdatum an, aus
dem sich ergibt, dass der Nutzer zumindest 14 Jahre alt ist, so wird sich
der Anbieter hierauf auch verlassen dürfen (sofern die Website nicht auf
Kinder unter 14 Jahre ausgerichtet ist).
> Wie kann die Einwilligung des Erziehungsberechtigten eingeholt
werden? Dies stellt sich in der Praxis als besonders schwer dar, weil es
kein öffentliches Register gibt, aus dem ersichtlich wäre, wer wessen Er-
ziehungsberechtigter ist. Da nach der DSGVO allerdings nur „unter Be-
rücksichtigung der verfügbaren Technik angemessene Anstrengungen“
unternommen werden müssen (Art 8 Abs 2 DSGVO), wäre es durchaus
denkbar, dass es ausreicht, zu prüfen, ob eine volljährige Person namens
des Kindes einwilligt (dh die Erziehungsberechtigung nicht zu prüfen).
Zu diesem Zweck könnten Online-Services verwendet werden, bei de-
nen der mutmaßliche Erziehungsberechtigte einen amtlichen Lichtbild-
ausweis mit Geburtsdatum in die Web-Cam halten muss und dieser dann
auf seine Authentizität geprüft wird.
122
Verlag Österreich
Kundendatenschutz
Es ist auch darauf hinzuweisen, dass es nicht zulässig ist, die Datenverarbei-
tung „künstlich“ zum Vertragsinhalt zu machen, um so dem Koppelungs-
verbot zu entgehen. Die AGB eines Online-Spiels so zu modifizieren, dass
sich der Verantwortliche verpflichtet, dem User wöchentlich Direktmarke-
tinginformationen per E-Mail zukommen zu lassen und dann zu behaupten,
diese Datenverarbeitung sei zur Vertragserfüllung notwendig, wäre eine un-
zulässige Umgehung des Einwilligungserfordernisses und des Koppelungs-
verbots.
Das Koppelungsverbot wird daher zu Recht als erhebliches Risiko für viele
datenbasierte Geschäftsmodelle und digitale Marketinginitiativen wahrge-
nommen. Die folgende Frage 61 beantwortet, wie das Koppelungsverbot
umgangen werden kann.
123
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
124
Verlag Österreich
H. Mitarbeiterdatenschutz
125
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
126
Verlag Österreich
Mitarbeiterdatenschutz
127
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
128
Verlag Österreich
Mitarbeiterdatenschutz
66.
Darf der Betriebsrat in alle Mitarbeiterdaten Einsicht nehmen?
Nein, ohne Einwilligung der betroffenen Mitarbeiter darf der Betriebsrat
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
129
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
> Für Daten der Lohnverrechnung gilt grundsätzlich eine 7-jährige steuer-
rechtliche (und sozialversicherungsrechtliche) Aufbewahrungspflicht.
> Soweit Daten zur Geltendmachung oder Verteidigung von Rechtsan-
sprüchen erforderlich sind und die einschlägigen Verjährungsfristen
noch nicht abgelaufen sind, dürfen die Daten (auch sensible Daten) auf-
bewahrt werden. Dass derartige Rechtsansprüche bereits erhoben wur-
den oder auch nur absehbar sind, ist nicht erforderlich.
> Im Übrigen wird bei den meisten sonstigen Mitarbeiterdaten grundsätz-
lich ein überwiegendes berechtigtes Interesse für eine Dauer von drei
Jahren nach Beendigung des Dienstverhältnisses gegeben sein, weil eini-
ge Ansprüche nicht schon nach sechs Monaten, sondern erst nach drei
Jahren verjähren und darüber hinaus das Unternehmen für gewöhnlich
ein Interesse daran hat, Mitarbeiter, die innerhalb weniger Jahre in das
Unternehmen zurückkehren, aufgrund ihrer bisherigen Leistungen im
Unternehmen richtig einordnen zu können.
> E-Mails müssen bzw dürfen grundsätzlich sieben Jahre aufbewahrt wer-
den (siehe im Detail Frage 49).
Unternehmen, die sicherstellen wollen, dass Mitarbeiterdaten keinesfalls
länger als zulässig gespeichert bleiben, werden ein Löschkonzept entwi-
ckeln und automatisieren müssen. Die große praktische Herausforderung
besteht hierbei darin, (i) exakt zu definieren, welche Datenkategorien zur
Erfüllung welcher Aufbewahrungspflichten bzw zur Abwehr welcher po-
tentieller Rechtsansprüche erforderlich sind, (ii) fehlerfrei zu ermitteln,
wann die Verjährungsfristen dieser Rechtsansprüche jeweils enden und (iii)
Änderungen der Rechtslage hinsichtlich Aufbewahrungspflichten und Ver-
jährungsfristen unverzüglich in das automatisierte Löschkonzept zu integ-
rieren. Die Praxis zeigt, dass dies insbesondere für international tätige Un-
ternehmen, die mit den Aufbewahrungspflichten und Verjährungsfristen
130
Verlag Österreich
Mitarbeiterdatenschutz
131
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
132
Verlag Österreich
Mitarbeiterdatenschutz
lung gar nicht möglich wäre. Ein solches Aufbrechen der Verschlüsselung
erfolgt dadurch, dass ein speziell konfiguriertes Gerät im Netzwerk des Un-
ternehmens sich in der Mitte der logischen Verbindung zwischen dem PC
des Mitarbeiters und dem Server im Internet platziert und gegenüber dem
PC vorgibt, der Server zu sein bzw gegenüber dem Server vorgibt, der PC
zu sein (dh gleichsam einen sog „Man-in-the-Middle Attack“ durchführt).
Werden die Mitarbeiter entsprechend über die Tatsache und Funktionsweise
des Aufbrechens der SSL/TLS-Verschlüsselung informiert, so lässt sich die-
se durch ein überwiegendes berechtigtes Interesse des Unternehmens recht-
fertigen. Wird eine Betriebsvereinbarung abgeschlossen oder die Einwilli-
gung der Mitarbeiter eingeholt, so müssen die Betriebsvereinbarung bzw die
Einwilligung ausdrücklich auch das Aufbrechen der SSL/TLS-Verschlüsse-
lung umfassen.
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
133
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
I. Outsourcing
135
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
136
Verlag Österreich
Outsourcing
137
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
...................................................... .......................................................
Place and date/Ort und Datum: Place and date/Ort und Datum:
...................................................... ......................................................
138
Verlag Österreich
Outsourcing
Anhang 1 Appendix 1
139
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
140
Verlag Österreich
Outsourcing
einsetzen?
Ja, allerdings grundsätzlich nur, wenn entweder (i) der Auftragsverarbeiter
über eine Privacy-Shield-Zertifizierung verfügt oder (ii) man als Verant-
wortlicher mit dem Auftragsverarbeiter in den USA Standardvertrags-
klauseln abschließt (siehe allgemein zu internationalen Datenübermittlun-
gen Schritt 8, Zwischenschritt C des Umsetzungsplans).
Der verfassungsrechtliche und gesetzliche Datenschutz ist in den USA nur
sehr schwach ausgestaltet und weit vom Niveau des Datenschutzes in der
EU entfernt. Um den USA dennoch ein angemessenes Datenschutzniveau
attestieren zu können und damit den Datentransfer zwischen der EU und
den USA zu erleichtern, hat die Europäische Kommission bereits im Jahr
2000 eine Entscheidung erlassen, wonach US-Unternehmen im Ergebnis
dann von einem angemessenen Datenschutzniveau profitieren, wenn sie
sich im Wege einer Selbstzertifizierung zur Einhaltung der Grundsätze des
Datenschutzes der EU verpflichten. Diese unter dem Stichwort „Safe Har-
bor“ bekannte Entscheidung wurde im Jahr 2015 vom Europäischen Ge-
richtshof wegen Verletzung des Grundrechts auf Datenschutz für nichtig
erklärt (EuGH 6.10.2015, C-362/14). Nach Ansicht des EuGH hatte sich
die Europäische Kommission in der Begründung der Safe Harbor-Entschei-
dung nicht hinreichend mit der US-amerikanischen Rechtslage auseinander-
gesetzt.
Die Kritikpunkte des EuGH zumindest teilweise aufgreifend, hat die Euro-
päische Kommission eine neue Angemessenheitsentscheidung für die USA
erlassen, das sog „Privacy Shield“. Dieses sieht – ebenso wie dies Safe Har-
bor bereits tat – vor, dass US-Unternehmen im Wege einer Selbstzertifizie-
rung die Einhaltung gewisser Grundsätze des Datenschutzrechts der EU
bestätigen können. Tut dies ein US-Unternehmen, so gilt für dieses Unter-
nehmen auch nach der DSGVO ein angemessenes Datenschutzniveau.
141
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
weil die rechtliche Zukunft des Privacy Shields relativ ungewiss ist. Insbe-
sondere verweist die Europäische Kommission zur Rechtfertigung des Pri-
vacy Shields auf verschiedene US Presidential Policy Directives, die den
Handlungsspielraum der US-Geheimdienste beschränken. Das sind aller-
dings keine Gesetze, sondern nur Weisungen des US-Präsidenten, somit
eine Art Selbstbeschränkung der US-Exekutive. Dies ist mit einem Gesetz
deshalb nicht vergleichbar, weil der aktuelle oder nächste US-Präsident die-
se Weisungen jederzeit ändern könnte und diese Änderung zudem auch im
Geheimen erfolgen kann. So hatte zB Barack Obama (zumindest) 19 gehei-
me Presidential Policy Directives erlassen.
Der Vollständigkeit halber ist darauf hinzuweisen, dass weder eine Privacy
Shield-Zertifizierung noch Standardvertragsklauseln notwendig sind, wenn
die Betroffenen ausdrücklich in den Einsatz des US-amerikanischen Auf-
tragsverarbeiters einwilligen. Dies ist jedoch selten eine praktikable Lösung,
weil die Betroffenen ihre Einwilligung jederzeit widerrufen können.
142
Verlag Österreich
Outsourcing
143
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
nal data under this DPA, the Data Importer, at the choice of the Data
Exporter, shall delete or return all the personal data to the Data Expor-
ter and shall delete existing copies thereof unless Union or Member
State law requires storage of the personal data.
h. Monitoring by the Data Exporter: The Data Importer shall make
available to the Data Exporter all information necessary to demonstrate
compliance with the obligations laid down in this DPA. The Data Ex-
porter shall have the right to control, by appropriate means, the Data
Importer’s compliance with its data protection obligations annually
and at any time occasion-based, such controls being limited to informa-
tion and data processing systems that are relevant to the Services. For
these purposes, the Data Exporter shall also have the right to carry out
on-site audits, conducted by the Data Exporter or another auditor
mandated by the Data Exporter, during regular business hours without
disrupting the Data Importer’s business operations and in accordance
with the Data Importer’s security policies, and after a reasonable prior
notice. The Data Importer shall tolerate such audits and shall render all
necessary support.
In the name of the Data Exporter In the name of the Data Importer
......................................................... ........................................................
144
Verlag Österreich
Outsourcing
145
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
J. Fotos und Videoüberwachung
147
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
andere Fälle leicht denkbar – zB die Überwachung der Ein- und Ausgänge
eines Warenlagers, bei dem es zu Warenschwund gekommen ist oder dieser
der Lebenserfahrung nach zu erwarten ist.
Bei allen Bildaufnahmen ist zu beachten, dass die sonstigen Bestimmungen
der DSGVO (zB die Pflicht, eine Datenschutzmitteilung verfügbar zu ma-
chen; siehe Frage 32) und des österreichischen Arbeitsrechts (zB die
Pflicht, eine Betriebsvereinbarung abzuschließen; siehe Frage 79) eingehal-
ten werden müssen.
Weiters sieht das DSG bestimmte Fälle vor, in denen Bildaufnahmen jeden-
falls unzulässig sind (§ 12 Abs 4 DSG):
> Bildaufnahmen im höchstpersönlichen Lebensbereich ohne aus-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
148
Verlag Österreich
Fotos und Videoüberwachung
149
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Eine Auswertung darf zudem nur dann erfolgen, wenn der für die Auswer-
tung ausschlaggebende Anlassfall vom Zweck der Videoüberwachung er-
fasst ist. Anlassfälle, die nicht im Zusammenhang mit dem ursprünglich fest-
gelegten Zweck der Videoüberwachung stehen, rechtfertigen eine Auswer-
tung von Aufzeichnungen nicht (zum Grundsatz der Zweckbindung siehe
Schritt 4 des Umsetzungsplans). Der Verantwortliche muss dafür sorgen,
dass der Zugang zu Bildaufnahmen und ihre nachträgliche Veränderung
durch Unbefugte ausgeschlossen ist (§ 13 Abs 1 DSG).
150
Verlag Österreich
Fotos und Videoüberwachung
ren, ist der Einsatz der Videokameras nur mit Zustimmung der Arbeitneh-
mer zulässig.
Festgehalten wird, dass die Aufzeichnungen der Videoüberwachung nach
72 Stunden gelöscht werden. Fällt das Ende dieser 72-stündigen Frist auf
einen Samstag, Sonntag, gesetzlichen Feiertag, Karfreitag oder 24. Dezem-
ber, so ist der nächste Tag, der nicht einer der vorgenannten Tage ist, als
letzter Tag der Frist anzusehen. Eine über diese Zeit hinaus dauernde Auf-
bewahrung findet nur dann statt, soweit dies zu Beweissicherungszwecken
im Falle strafbarer Handlungen erforderlich ist.
Durch Ihre Unterschrift erteilen Sie uns Ihre Zustimmung zur Videoüber-
wachung in der oben beschriebenen Weise. Diese Zustimmungserklärung
ist für eine Dauer von 10 Jahren unwiderruflich.
______________________ ________________________________
Ort, Datum [Name des Arbeitnehmers]
151
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
K. Whistleblowing und interne Compliance-
Untersuchungen
Hotline notwendig?
Nach der Verwaltungspraxis der Datenschutzbehörde stellt eine Whistle
blowing-Hotline eine Kontrollmaßnahme dar, welche die Menschenwürde
berührt und daher nach dem Arbeitsverfassungsgesetz (ArbVG) eine Be-
triebsvereinbarung voraussetzt (§ 96 Abs 1 Z 3 ArbVG).
Eine solche Betriebsvereinbarung verweist häufig auf eine Whistleblowing-
Policy, welche die Whistleblowing-Hotline im Detail regelt. Diese Whistle
blowing-Policy sollte insbesondere folgende Punkte enthalten:
> An welche Stelle im Unternehmen/Konzern geht die Meldung? (zB
den Leiter der Compliance-Abteilung bei der Konzernmutter)
> Welche Arten von Rechtsverstößen sind zu melden? (siehe auch Fra-
ge 81)
> Wie ist die Meldung zu erstatten? (zB über eine Telefon-Hotline oder
eine bestimmte Website)
> Über welche Personen darf eine Meldung erstattet werden? (siehe Fra-
ge 83)
> Sind anonyme Whistleblowing-Meldungen zulässig? Nach der Ver-
waltungspraxis der Datenschutzbehörde können anonyme Meldungen
durchaus gestattet werden, solange diese nicht gefördert werden.
> Sollen auch unternehmensfremde Personen eine Meldung erstatten
können? Die Datenschutzbehörde gestattet grundsätzlich auch Whistle
blowing-Hotlines, die unternehmensfremden Personen (zB Kunden
oder Lieferanten) offen stehen.
> Wie lange werden Whistleblowing-Meldungen aufbewahrt? Nach der
Verwaltungspraxis der Datenschutzbehörde gilt, dass eingehende Mel-
dungen grundsätzlich nach Ablauf von zwei Monaten nach Beendigung
der Untersuchung gelöscht werden müssen. Eine darüber hinausgehende
153
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Aufbewahrung ist nur zulässig, wenn und solange die Meldung für die
Durchführung eines Gerichts- oder Verwaltungsverfahrens oder für dis-
ziplinäre Maßnahmen erforderlich ist.
> Muss der Betriebsrat bei einer Compliance-Untersuchung eingebun-
den werden? Dies ist rechtlich nicht zwingend notwendig. Aus Arbeit-
gebersicht ist eine Einbindung des Betriebsrats durchaus riskant, weil
Betriebsräte häufig geneigt sind, den verdächtigen Mitarbeiter zu infor-
mieren, es aber Fälle gibt, in denen der verdächtige Mitarbeiter nichts
von der laufenden Untersuchung erfahren soll, um keine Beweismittel
vernichten oder Zeugen beeinflussen zu können. Im Übrigen ist zu be-
rücksichtigen, dass der Betriebsrat ein Organ der Belegschaft ist und eine
Einbindung des Betriebsrats daher eine Datenübermittlung an einen
dritten Verantwortlichen darstellt (vgl Frage 66). Um diese Datenüber-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
mittlung rechtfertigen zu können, muss die Art der Einbindung des Be-
triebsrats in der Betriebsvereinbarung genau geregelt werden.
> Wann dürfen E-Mails verdächtiger Mitarbeiter ausgewertet werden?
Es empfiehlt sich, klar zu definieren, wann eine Auswertung von E-Mails
erfolgen darf – zB sobald ein begründeter Verdacht gegen einen Mitar-
beiter besteht, dass dieser eine gerichtlich strafbare Handlung begangen
hat (siehe im Detail Frage 84).
> In welchem Umfang wird das Recht auf Auskunft eingeschränkt? Er-
fährt der verdächtige Mitarbeiter von der Whistleblowing-Meldung, so
kann es sein, dass er sein Recht auf Auskunft geltend macht. Die Policy
sollte regeln, unter welchen Umständen eine Auskunft verweigert wer-
den kann (zB soweit dies eine laufende Compliance-Untersuchung ge-
fährdet).
154
Verlag Österreich
Whistleblowing und interne Compliance-Untersuchungen
Verantwortlichen relevant)
> Banken- und Finanzkriminalität
> Produktsicherheits- und Produkthaftungsrecht (sofern für den Verant-
wortlichen relevant)
> Vergaberecht
> Politische Spenden
> Insiderhandel und Kapitalmarktrecht
> Diebstahl, Veruntreuung, Untreue, Bestechung, Anfütterung und Kick-
backs
> Verletzung von Geschäftsgeheimnissen
> Mitarbeitersicherheit und -belästigung
> Datenschutzverletzungen
> Diskriminierung
155
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
werden, seine Zustimmung widerrufen könnte und damit jede Meldung über
seine Person einen Datenschutzverstoß darstellen würde. Um dies zu verhin-
dern, ist es erforderlich, die Wirksamkeit der Zustimmung durch eine schrift-
liche (dh unterschriebene) Vereinbarung zu befristen (§ 10 Abs 2 AVRAG).
Durch die Möglichkeit, den Widerruf der arbeitsrechtlichen Zustimmung zu
beschränken, unterscheidet sich diese von einer datenschutzrechtlichen Ein-
willigung, deren Widerruflichkeit nicht beschränkt werden kann.
Untenstehend ist ein Muster für eine solche Zustimmungserklärung abge-
druckt:
156
Verlag Österreich
Whistleblowing und interne Compliance-Untersuchungen
157
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
158
Verlag Österreich
L. Datensicherheit & Sicherheitsverletzungen
159
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
160
Verlag Österreich
Datensicherheit & Sicherheitsverletzungen
> Der Payment Card Industry Data Security Standard (PCI-DSS) wur-
de von der Kreditkartenindustrie entwickelt, um Händler, die Kreditkar-
tendaten verarbeiten, zur Gewährleistung eines gewissen Sicherheitsni-
veaus zu verpflichten. Der Zielrichtung von PCI-DSS (oft auch einfach
als „PCI“ bezeichnet) entsprechend, befassen sich Teile des Standards
nur mit Kreditkartendaten („Cardholder Data“), jedoch nicht mit perso-
nenbezogenen Daten im Allgemeinen. Wendet man die auf Kreditkar-
tendaten bezogenen Bestimmungen in PCI-DSS auch auf sonstige perso-
nenbezogene Daten an, kann PCI-DSS insbesondere für KMUs ein
wertvolles Werkzeug sein, um ein angemessenes Datenschutzniveau zu
erreichen.
Ist man auf der Suche nach technischen Standards zu speziellen technischen
Fragen, sollten die Websites folgender Organisationen konsultiert werden:
> Das US National Institute of Standards and Technology (NIST) ist
eine Einrichtung des US Department of Commerce und veröffentlicht
fortlaufend auf seiner Website hoch qualitative IT-Sicherheitsstandards,
insbesondere um US-Bundesbehörden detaillierte Handlungsempfeh-
lungen für die Einhaltung des US Federal Information Security Manage-
ment Act zu geben (siehe http://csrc.nist.gov/publications/PubsSPs.html).
> Die European Union Agency for Network and Information Security
(ENISA) veröffentlicht regelmäßig sicherheitstechnische Empfehlun-
gen. Im Unterschied zu den Veröffentlichungen der NIST variiert die
Qualität der ENISA-Veröffentlichungen jedoch erheblich.
> Das deutsche Bundesamt für Sicherheit in der Informationstechnik
(BSI) bietet auf seiner Website neben den IT-Grundschutz-Katalogen
eine Vielzahl von Informationen rund um das Thema IT-Sicherheit
(https://www.bsi.bund.de).
161
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
162
Verlag Österreich
Datensicherheit & Sicherheitsverletzungen
163
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
164
Verlag Österreich
Datensicherheit & Sicherheitsverletzungen
Eine exzellente Grundlage hierfür sind die „CWE/SANS Top 25 Most Dan-
gerous Software Errors“. Diese Liste enthält die häufigsten und gefährlichs-
ten Sicherheitslücken und wurde vom US-amerikanischen SANS Institute
gemeinsam mit dem Common Weakness Enumeration (CWE) Projekt der
MITRE Corporation entwickelt (siehe http://cwe.mitre.org/top25/). Die
Top 5 sind:
Nr Name Beschreibung
165
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
166
Verlag Österreich
Datensicherheit & Sicherheitsverletzungen
167
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Mit dieser Definition wird erstens klargestellt, dass nicht nur vorsätzliche
Angriffe, sondern auch zufällige Ereignisse erfasst sind. Zweitens ergibt sich
aus der Definition, dass auf folgende aus der Informationssicherheit be-
kannte Trias abzustellen ist:
> Vertraulichkeit – die DSGVO spricht von einer „unbefugten Offenlegung“
bzw von einem „unbefugten Zugang zu personenbezogenen Daten“;
> Integrität – die DSGVO spricht von einer (unbefugten) „Veränderung“
der personenbezogenen Daten;
> Verfügbarkeit – die DSGVO spricht von der „Vernichtung“ bzw dem
„Verlust“ der personenbezogenen Daten und macht damit deutlich, dass
nur eine dauerhafte Kompromittierung der Verfügbarkeit erfasst ist;
ein bloß vorübergehender Verlust der Verfügbarkeit (zB ein vorüberge-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Auslöser der Kenntnis von der Verlet- Kenntnis von der Verletzung
Informa zung des Schutzes perso- des Schutzes personenbezo-
tionspflicht nenbezogener Daten, gener Daten, sofern für die
sofern für die Betroffenen Betroffenen ein hohes Risiko
jegliches Risiko besteht besteht (siehe unten)
Frist unverzüglich (dh ohne unverzüglich (dh ohne
schuldhafte Verzögerung) schuldhafte Verzögerung) ab
aber jedenfalls binnen Kenntnis
72 Stunden ab Kenntnis
Umfang der > Art der Sicherheitsverlet- > Art der Sicherheitsverlet-
Information zung zung
> Name und Kontaktdaten > Name und Kontaktdaten
des Datenschutzbeauf- des Datenschutzbeauftrag-
tragten oder sonstigen ten oder sonstigen Anlauf-
Anlaufstelle stelle
> ergriffene oder vorge- > ergriffene oder vorgeschla-
schlagene reaktive gene reaktive Maßnahmen
Maßnahmen
168
Verlag Österreich
Datensicherheit & Sicherheitsverletzungen
Ereignis Informationspflicht?
169
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Ereignis Informationspflicht?
170
Verlag Österreich
Datensicherheit & Sicherheitsverletzungen
171
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Betroffenen
Wahrscheinliche Folgen [Beschreibung der Folgen für die
Betroffenen; zB Da der Verant-
wortliche Unterhaltungselektronik
vertreibt und keine Bankkontoda-
ten, Kreditkarten oder Passwörter
betroffen sind, sind keine nennens-
werten Folgen für Betroffene zu be-
fürchten und das Risiko für die Be-
troffenen daher niedrig]
Kategorien und Anzahl der Betroffenen- Anzahl
Betroffenen kategorie
[zB Kunden] [zB 34.432]
172
Verlag Österreich
M. Geldbußen und Haftung
173
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Geldbußen?
Über die juristische Person (dh das Unternehmen) kann bei einer Verlet-
zung der DSGVO eine Geldbuße nur verhängt werden, wenn einer der bei-
den folgenden Fälle vorliegt (§ 30 Abs 1 und 2 DSG):
1) der Verstoß wurde durch eine Person begangen, die eine Führungsposi-
tion innerhalb des Unternehmens hat; eine solche Führungsposition
kann sich ergeben aus:
· der Befugnis zur Vertretung der juristischen Person (zB Geschäfts-
führer oder Prokurist),
· der Befugnis, Entscheidungen im Namen der juristischen Person zu
treffen, oder
· einer Kontrollbefugnis innerhalb der juristischen Person;
2) mangelnde Überwachung oder Kontrolle durch eine oben genannte
Person hat die Begehung des Verstoßes durch einen Mitarbeiter ermög-
licht.
Alternativ kann die Datenschutzbehörde die Geldbuße unmittelbar ge-
genüber Mitgliedern der Geschäftsleitung verhängen (zu Behördenleitern
siehe Frage 97). Dies ist lediglich dann nicht möglich, wenn das Unterneh-
men nach dem Verwaltungsstrafgesetz (VStG) einen für Datenschutzrecht
verantwortlichen Beauftragten bestellt hat (§ 9 VStG).
Der (vom Datenschutzbeauftragten strikt zu trennende) verantwortliche
Beauftragte nach § 9 VStG kann ein Mitglied der Geschäftsleitung oder –
für bestimmte räumlich oder sachlich abgegrenzte Bereiche des Unterneh-
mens – auch ein regulärer Mitarbeiter sein. Eine Bestellung zum verant-
wortlichen Beauftragten setzt allerdings voraus, dass der Mitarbeiter eine
entsprechende organisationsinterne Anordnungsbefugnis im Umfang seiner
Verantwortlichkeit hat und seiner Bestellung zustimmt, weshalb die Bestel-
174
Verlag Österreich
Geldbußen und Haftung
lung schriftlich mit Datum und Gegenzeichnung der bestellten Person er-
folgen sollte.
Die Datenschutzbehörde kann davon absehen, gegen Mitglieder der Ge-
schäftsleitung bzw gegen einen verantwortlichen Beauftragten Geldbußen
zu verhängen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe
gegen die juristische Person (das Unternehmen) verhängt wird (§ 30 Abs 3
DSG).
175
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
Die DSGVO und das DSG sehen zwar vor, dass über Behörden und öf-
fentliche Stellen keine Geldbußen verhängt werden können (Art 83 Abs 7
DSGVO; § 30 Abs 5 DSG). Allerdings ist es zumindest nach dem Wortlaut
des DSG sehr wohl möglich, über die vertretungsbefugten Organe der öf-
fentlichen Stelle oder Behörde eine Geldbuße zu verhängen.
Denn nach dem DSG ist nur dann von der Verhängung einer Geldbuße
über die vertretungsbefugten Organe einer juristischen Person abzuse-
hen, wenn für den fraglichen Verstoß bereits eine Verwaltungsstrafe gegen
die juristische Person verhängt wird (§ 30 Abs 3 DSG). Nach der Rechtspre-
chung sind auch Behörden „juristische Personen“ im Sinne des österrei-
chischen Verwaltungsstrafrechts, soweit sie im Bereich der Privatwirt-
schaftsverwaltung tätig werden (VwGH 25.3.2004, 2001/07/0135). Ihre ver-
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
176
Verlag Österreich
Geldbußen und Haftung
177
Verlag Österreich
100 Praxisfragen und Antworten zur DSGVO
178
Verlag Österreich
Geldbußen und Haftung
(Verletzung des Grundsatzes der Richtigkeit der Daten gemäß Art 5 Abs 1
lit d DSGVO) und wird der Mitarbeiter daher für eine Beförderung nicht in
Betracht gezogen, so könnte dies grundsätzlich eine Schadenersatzpflicht
des Unternehmens begründen.
Gelingt es dem Unternehmen allerdings anhand entsprechender Dokumen-
tation nachzuweisen, dass alle Mitarbeiter der Personalabteilung angemes-
sen geschult wurden sowie angemessene technische Maßnahmen zur Erken-
nung und Verhinderung von Eingabefehlern implementiert wurden, wird
sich das Unternehmen im Ergebnis freibeweisen können.
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
179
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Datenschutzwörterbuch
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Anonymisierung – Ein technischer, meist automatisierter Prozess, mit dem
personenbezogene Daten so verändert werden, dass sie von niemandem
mehr einer konkreten Person zugeordnet werden können.
Artikel 29-Datenschutzgruppe – Ein nach Art 29 der Datenschutz-Richt-
linie gegründeter loser Zusammenschluss der Datenschutzbehörden aller
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
183
Verlag Österreich
Datenschutzwörterbuch
184
Verlag Österreich
Datenschutzwörterbuch
185
Verlag Österreich
Datenschutzwörterbuch
Data Mapping – Der Prozess der Erhebung aller Informationen, die für das
Verzeichnis der Verarbeitungstätigkeiten erforderlich sind (siehe
Schritt 6 des Umsetzungsplans).
186
Verlag Österreich
Datenschutzwörterbuch
187
Verlag Österreich
Datenschutzwörterbuch
188
Verlag Österreich
Datenschutzwörterbuch
189
Verlag Österreich
Datenschutzwörterbuch
190
Verlag Österreich
Datenschutzwörterbuch
191
Verlag Österreich
Datenschutzwörterbuch
192
Verlag Österreich
Datenschutzwörterbuch
193
Verlag Österreich
Datenschutzwörterbuch
194
Verlag Österreich
Datenschutzwörterbuch
195
Verlag Österreich
Datenschutzwörterbuch
196
Verlag Österreich
Datenschutzwörterbuch
DSGVO kennt diesen Begriff nicht mehr und spricht auch in diesem Fall
von einer Übermittlung.
Unternehmen – (i) Nach der DSGVO eine natürliche Person oder juristi-
sche Person, die eine wirtschaftliche Tätigkeit ausübt (Art 4 Nr 18
DSGVO). (ii) Nach österreichischem Recht ist ein Unternehmen eine
auf Dauer angelegte Organisation selbständiger wirtschaftlicher Tätig-
keit, welche von einer natürlichen Person oder einer juristischen Person
(Unternehmer) betrieben wird. Rechtspersönlichkeit (dh die Fähigkeit,
Träger von Rechten und Pflichten zu sein) kommt hierbei nur dem Un-
ternehmer, nicht dem Unternehmen zu. Dem Unternehmer gehört das
Unternehmen. Die Begriffe Unternehmer und Unternehmen werden
auch in der österreichischen juristischen Umgangssprache häufig gleich-
gesetzt.
197
Verlag Österreich
Datenschutzwörterbuch
198
Verlag Österreich
Datenschutzwörterbuch
Zweckbindung – Der Grundsatz, dass (i) spätestens zum Zeitpunkt der Er-
hebung von personenbezogenen Daten festzulegen ist, zu welchen Zwe-
cken die Daten verarbeitet werden (Grundsatz der Zweckfestlegung)
und (ii) die Daten in weiterer Folge nur zu solchen Zwecken verarbeitet
werden dürfen, die mit den ursprünglich festgelegten Zwecken vereinbar
sind (Zweckbindung im engeren Sinn).
199
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich
Stichwortverzeichnis
meine Arten 87
Amtssprache 59 Authentifikation des Betroffenen 87
Anonymisierung 183 Autorisierung 183
IP-Adresse 98 Awareness Raising 24
Artikel 29-Datenschutzgruppe 183
Audit 24 B
Aufbewahrungsdauer B2B 8, 184
Bildaufnahmen 149 B2C 8, 184
E-Mails 109 Backup
Mitarbeiterdaten 130 Anspruch auf Löschung 95
Aufbrechen einer Verschlüsselung 131 Beauftragter, verantwortlicher 35
Aufsichtsbehörde 183 Behörde 31
Aufsichtsbehörde, federführende 189 Betriebsrat
Auftraggeber siehe Verantwortlicher Einsichtsrechte 129
Auftragsverarbeiter Informationspflicht 125
Datenzugriff, potentieller 140 Betriebsvereinbarung 20, 126
Haftung 145 als Rechtsgrundlage 16
in USA 141 Geldbuße bei Fehlen 127
Rolle bei Datenschutz-Folgen- Mindestinhalt 127
abschätzung 75 Muster 128
Sub-Auftragsverarbeiter siehe Videoüberwachung 150
Sub-Auftragsverarbeiter Whistleblowing 153
Warnpflicht 145 Betroffenenrechte 25, 79
Auftragsverarbeitervereinbarung 17, Fristen 94
135, 183 Identitätsnachweis 86
Muster 135 juristischer Personen 94
Auskunft Betroffener 184
Form 85 Beweislast 178
Mitwirkungspflicht des Betroffe- Beweisverwertungsverbot 158
nen 86 Bildaufnahmen
mündlich 85 Arbeitnehmerkontrolle 148
Umfang 85 Arbeitnehmerzustimmung 150
Auslagerung siehe Outsourcing Aufbewahrungsdauer 149
201
Verlag Österreich
Stichwortverzeichnis
202
Verlag Österreich
Stichwortverzeichnis
E
Mindestinhalt 61
Muster 70 Einfamilienhaus 147
Profiling 62, 118 Einschränkung der Verarbeitung 96
Restrisiko 69 Einwilligung 15, 188
Risiken behandeln 69 AGB 119
Risiken bewerten 68 E-Mail-Newsletter 115
Risiken identifizieren 68 Fortgeltung alter 121
Risiko, hohes 62 für unterschiedliche Verarbeitungs-
Risikominderungsmaßnahmen 75 vorgänge 119
Standpunkt der Betroffenen 74 Kind 121
Verantwortlichkeit für Durchfüh- Koppelungsverbot siehe Koppe-
rung 74 lungsverbot
Verpflichtung zur Durchführung 62 Kunden 114
Wiederholung 77 Mitarbeiter 131
Datenschutzinformation siehe Daten- Einwilligung, freie 122
schutzmitteilung Einwilligung, separate 119
Datenschutzmanager 5 Einzelunternehmer 47
Datenschutzmitteilung 187 E-Mail-Account
Ausnahmen 79 Zugriff nach Ausscheiden 111
für Website 99 Zugriff während Urlaub 111
Inhalt 18 E-Mail-Newsletter
Modus 84 Einwilligung 115
Muster, allgemeines 79 E-Mails
Muster für Website 99 Aufbewahrungsdauer 109
telefonisch 84 Auswertung bei Compliance-Unter-
Videoüberwachung 84 suchung 157
Zeitpunkt 83 Fehladressierung als Sicherheitsver-
Datenschutzniveau, angemessenes 17 letzung 169
Datenschutzstrategie siehe Strategie Spiegelung 110
Datenschutzvorschriften, verbindliche Verschlüsselung 23
interne siehe Binding Corporate ENISA 161
Rules Entscheidungsträger 156
Datenübermittlung siehe Übermittlung Erpresser-Schadsoftware 170
203
Verlag Österreich
Stichwortverzeichnis
IP-Adresse, statische 97
Geldbuße ISO 27001 160
Haftung der Konzernmutter 175 Aussagekraft einer Zertifizierung
Haftung des Leiters der öffentlichen 162
Stelle 175 ISO 27002 160
Haftung des Managements 174 IT-Grundschutz 161
Haftung des Unternehmens 174 IT-Systeme, typische 6
Höhe 173 IT-Tools für Datenschutz-Compliance
Geschäftsbedingungen, allgemeine 11
Einwilligung 119
Geschäftskunden 113
Gesundheitsdaten 190 K
Google Analytics Kerntätigkeit 6, 30
Anonymisierungs-Funktion 103 Kind 191
Zulässigkeit 103 Einwilligung 121
Grundrecht 95, 113 Konsultation 77, 191
Grundsätze des Datenschutzrechts 10 Kontrollmaßnahmen 126
Bildaufnahme 148
H Konzernstruktur 7, 9
Haftung Koppelungsverbot 122, 191
der Konzernmutter 175 Umgehung 123
des Auftragsverarbeiters 145 Kündigungsschutz 36
des Datenschutzbeauftragten 35
des Leiters der öffentlichen Stelle L
175 Laptop
des Managements 174 Verlust als Sicherheitsverletzung 169
Haupttätigkeit 30 Like-Button siehe Social Media Plugins
Hausrecht 147 Liste, schwarze 62
Liste, weiße 62
I Löschkonzept 130
Informationsmaßnahmen 24 Löschung
Informationspflicht siehe Datenschutz- Backups 95
mitteilung Voraussetzungen 93
204
Verlag Österreich
Stichwortverzeichnis
M R
Malware siehe Schadsoftware Ransomware siehe Erpresser-Schadsoft-
Management ware
Berichterstattung 25 Rechenschaftspflicht 11
Haftung 4 Rechtmäßigkeit 10, 14, 69, 194
Unterstützung 3, 24 Rechtsgrundlage
Maßnahmen, technische und organisato- Daten, nicht-sensible 15
rische 196 Daten, sensible 16
Minderjähriger siehe Kind Referrer 98
Mitwirkungspflicht des Betroffenen 86 Restrisiko 69
Richtigkeit 11, 194
N Richtlinie siehe Unternehmensrichtlinie
National Vulnerability Database 165 Risiken
Nebentätigkeit 30 behandeln 69
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
205
Verlag Österreich
Stichwortverzeichnis
206
Verlag Österreich
Stichwortverzeichnis
Website Z
Datenschutzmitteilung 99 Zugriffskontrolle 198
Werbe-E-Mails siehe E-Mail-Newsletter Zustimmung siehe Einwilligung
Whistleblowing Zweckänderung 199
Betriebsvereinbarung 153 Zweckbindung 10, 199
Entscheidungsträger 156 Zwei-Phasen-Authentifizierung siehe
Rechtsverstöße 154 Two-Factor-Authentication
Zustimmung der Mitarbeiter 155 Zwischenfall siehe Sicherheitsverletzung
Widerspruch
Suchmaschine 92
Voraussetzungen 91
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
207
Verlag Österreich
Lizenziert für Wirtschaftsuniversität Wien am 08.09.2022 um 13:35 Uhr
Verlag Österreich