Datenschutzgrundverordnung (DSGVO)

Diese Website soll ZiviltechnikerInnen einen ersten Überblick verschaffen und Ihnen dabei helfen Verträge, interne Abläufe sowie Datensicherheitsmaßnahmen an die neuen Anforderungen anzupassen.

Natürlich kann im Rahmen eines derartigen Überblickes nicht jede Konstellation abgedeckt werden. Wenn Spezialkonstellationen bei Ihnen vorliegen (z.B. Webshop, Videoüberwachung), dann empfehlen wir Ihnen, einen ZT für Informationstechnologie zu konsultieren. Jedenfalls ist auch eine Überprüfung der unternehmensinternen Datensicherheitsmaßnahmen auf technischer Ebene anzuraten. 

Die Datenschutzgrundverordnung (DSGVO) tritt mit 25.5.2018 in Kraft. 

Die DSGVO bezweckt den Schutz der so genannten „personenbezogenen Daten“, d.h. aller Angaben, anhand derer man auf eine bestimmte Person schließen kann (z.B. Namen, Adresse, Bankdaten, Foto…). 

Als Unternehmer verarbeiten auch ZiviltechnikerInnen derartige Daten, z.B. im Rahmen einer Kundendatei oder der Personalverwaltung, durch Empfang von E-Mails usw. Als Verarbeiten gilt jedes „Hantieren“ mit personenbezogenen Daten, z.B. das Erfassen, Ordnen, Speichern, Übermitteln, Ablegen, Vernichten. usw., unabhängig davon, ob dies mittels Computer oder in Papierform erfolgt. 

Für ZiviltechnikerInnen wird die Datenschutzgrundverordnung folgende Mindestanforderungen auslösen:

Anpassung betrieblicher Abläufe

Die DSGVO strebt an, dass UnternehmerInnen personenbezogene Daten nur insoweit verwenden sollen, als dies zur Ausübung ihrer Geschäftstätigkeit notwendig ist. Eine Verarbeitung solcher Daten ist nur in bestimmten Fällen zulässig, insbesondere zur Erfüllung einer rechtlichen Verpflichtung, zur Erfüllung eines Vertrages, oder - wenn diese Fälle nicht vorliegen - auf Basis einer Einwilligung. (Näheres zur Einwilligung erfahren Sie auf der Website der WKO).

Daten sollen gelöscht werden, sobald sie nicht mehr benötigt werden. Die verwendeten Daten sollen richtig sein und es sollen angemessene Maßnahmen zur Datensicherheit ergriffen werden. 

Ist dies in Ihrem Unternehmen der Fall? 

Ganz besonders sensibel und vorsichtig sollte der Umgang mit Daten dort erfolgen, wo es zu Streitigkeiten kommen kann. Es ist damit zu rechnen, dass in Zukunft vermehrt angebliche oder wirkliche Verletzungen des Datenschutzes zum Anlass für Schadenersatzklagen genommen werden.

Darüber hinaus ist zu beachten, dass die Datenschutzbehörde umfassende Kontrollbefugnisse hat und Geldstrafen verhängen kann.

Ganz wesentlich ist daher, dass Sie alle Datensicherheitsmaßnahmen dokumentieren!

Dokumentationspflichten:

  • Erstellung eines Verarbeitungsverzeichnisses, womit der Datenschutzbehörde im Anlassfall ein schneller Überblick über die unternehmensinternen Datenverarbeitungen geboten werden kann. Gleichzeitig kann die Erstellung dazu genutzt werden, den Umgang mit Daten im Rahmen der betrieblichen Abläufe zu überprüfen. 
  • Wenn Sie Daten als Auftragsverarbeiter (Begriffserklärung siehe unten Frage Nr. 5) für Andere bearbeiten, dann stellen sich abweichende Anforderungen: Muster eines Verarbeitungsverzeichnisses für ZiviltechnikerInnen, die Daten für andere bearbeiten;

Absicherung gegenüber VertragspartnerInnen:

Wenn Sie Daten durch „AuftragsverarbeiterInnen“ (z.B. externer EDV BetreuerInnen, …) bearbeiten lassen, dann müssen Sie sich nach der DSGVO diesen gegenüber vertraglich absichern:

Rechte der betroffenen Person

Die Datenschutzgrundverordnung gibt Betroffenen verschiedene Rechte, z.B. das Recht auf Information und Auskunft, ob und welche Daten von Ihnen verarbeitet werden. 

Weitere Informationen

Weitere Informationen erhalten Sie z.B. auf den Seiten der Datenschutzbehörde, des Bundesministeriums für Digitalisierung und Wirtschaftsstandort, der WKO etc.

Link zur DSGVO

Link zum Datenschutz-Anpassungsgesetz 2018

FAQ – Fragen & Antworten zur DSGVO

 

1. Wen betrifft die Datenschutzgrundverordnung?
Jede/n UnternehmerIn, unabhängig von der Unternehmensgröße, der/die regelmäßig personenbezogene Daten verarbeitet. Nur die Verarbeitung für ausschließlich private Zwecke unterliegt nicht der DSGVO.

2. Was sind personenbezogene Daten?
Die DSGVO bezweckt den Schutz der so genannten „personenbezogenen Daten“ natürlicher Personen, d.h. aller Angaben, anhand derer man auf eine bestimmte Person schließen kann (z.B. Namen, Adresse, Bankdaten, Foto, E-Mail-Adresse, IP-Adresse). 

Als UnternehmerInnen verarbeiten auch ZiviltechnikerInnen derartige Daten, z.B. im Rahmen einer Kundendatei (insbesondere Mitarbeiter der Unternehmen) oder der Personalverwaltung, durch Empfang von E-Mails usw. 

3. Was sind „sensible“ Daten?
Das ist eine „besondere Kategorie von personenbezogenen Daten“, dh das sind besonders schutzwürdige Daten, wzB. sexuelle Orientierung, die Mitgliedschaft bei einer Gewerkschaft, religiöse Orientierung, Gesundheitsdaten. 

Diese dürfen nur in besonderen Fällen verarbeitet werden, wzB wenn es für die Umsetzung arbeits- oder sozialrechtlicher Vorgaben notwendig ist, wzB Erhebung der Religion der MitarbeiterInnen, damit diese gesetzliche Feiertage in Anspruch nehmen können. 

4. Was bedeutet „Verarbeiten“ / „Datenverarbeitung“?
Als Verarbeiten gilt jedes „Hantieren“ mit personenbezogenen Daten, zB. das Erfassen, Ordnen, Speichern, Übermitteln, Ablegen, Vernichten usw., unabhängig davon, ob dies mittels Computer oder in Papierform erfolgt. Auch das systematische Ablegen in einem Ordner oder einem Handakt stellt daher eine Datenverarbeitung dar. 

5. Was bedeuten die Begriffe Verantwortlicher und Auftraggeber?
„Verantwortlicher“ ist derjenige, der über die Verarbeitung von personenbezogenen Daten entscheidet, wzB. das Unternehmen, das die Daten erhoben hat. Dieser ist auch für die Umsetzung der Vorgaben der DSGVO verantwortlich. Jeder ZT wird innerhalb seines eigenen Unternehmens Verantwortlicher sein.

„Auftragsverarbeiter“ ist derjenige, der schwerpunktmäßig personenbezogene Daten im Auftrag und auf Weisung des Verantwortlichen verarbeitet, wzB. EDV-Betreuer.

6. Was wird unter dem Begriff „Standardanwendung“ verstanden? 
Unter einer Standardanwendung werden Programme wie bspw. Microsoft Office (Word, Excel, Access etc.) verstanden.

7. Wer muss ein Verarbeitungsverzeichnis erstellen?
Ein Verarbeitungsverzeichnis ist sowohl vom Verantwortlichen als auch vom Auftragsverarbeiter zu erstellen:

8. Verarbeitungsverzeichnis Verantwortlicher:
Ab Mai 2018 sind keine DVR-Meldungen mehr erforderlich. Die Datenanwendungen haben stattdessen in einem Verarbeitungsverzeichnis angeführt zu werden. Es sind sowohl bestehende, gemeldete, als auch neu hinzukommende Datenanwendungen zu erfassen. 

ZiviltechnikerInnen sollten ein Verarbeitungsverzeichnis erstellen, in dem alle Datenanwendungen des Ziviltechnikerbüros aufgelistet sind. Dadurch erhalten Sie selbst einen Überblick und dient dies zur Dokumentation bzw. im Überprüfungsfall zur Vorlage gegenüber der Datenschutzbehörde. Link zum Muster "Verarbeitungsverzeichnis Verantwortlicher">>

9. Verarbeitungsverzeichnis Auftragsverarbeiter:
Wenn ZT Daten zur Bearbeitung für andere Personen/Auftraggeber übernommen haben, die sie nur auf Weisung, nicht in Eigenverantwortung und nur innerhalb des erteilten Auftrags verarbeiten, sind diese Datenanwendungen überdies in einem Verarbeitungsverzeichnis für Auftragsverarbeiter zu dokumentieren.  Link zum Muster "Verarbeitungsverzeichnis Auftragsverarbeiter">>

10. Müssen alle bestehenden Kunden darüber informiert werden, welche Daten im Ziviltechnikerbüro über sie gespeichert werden? 
Nein, das nachträgliche Aushändigen einer Information ist nicht erforderlich. 

Bestehende KundInnen oder auch ehemalige MitarbeiterInnen können diese Informationen jedoch jederzeit erfragen. In diesem Fall haben Verantwortliche ihnen binnen 1 Monat Auskunft zu erteilen. Ein Muster für eine solche Auskunftserteilung kann auf der Homepage der Bundeskammer heruntergeladen werden: Link zum Muster Auskunftserteilung >>

Sind vom Auskunftsersuchen Geschäfts- oder Betriebsgeheimnisse des Ziviltechnikerbüros oder eines Kunden des Ziviltechnikerbüros betroffen, kann die Auskunftserteilung verweigert werden.

11. Kann man ein Löschungsbegehren einer betroffenen Person auch verweigern?
Ein Löschungsanspruch besteht u.a. dann nicht, wenn die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung weiterhin notwendig ist, wzB. zur Einhaltung der siebenjährigen Aufbewahrungsverpflichtung aufgrund steuerrechtlicher Vorgaben (§ 7 BAO). Darüber hinaus besteht kein Löschungsanspruch, wenn die Datenverarbeitung zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen weiterhin notwendig ist, wzB. bei anhängigen Rechtsstreitigkeiten.

12. Muss ab Inkrafttreten der DSGVO von allen Kunden eine Einwilligung zur Datenverarbeitung eingeholt werden?
Nein. Erfolgt die Verarbeitung von Kundendaten im Rahmen der Vertragsabwicklung oder aufgrund einer gesetzlichen Verpflichtung, ist die Einholung einer zusätzlichen Einwilligung nicht notwendig. 

13. Ist die Einholung einer Einwilligung zur Datenverarbeitung von Personen erforderlich, die keine Kunden des ZT sind, deren Daten der ZT aber im Rahmen zur Auftragsabwicklung, zB. zur Ladung zu einer Grenzverhandlung oder Wasserrechtsverhandlung, benötigt? 
Nein, da es sich dabei um eine Datenverarbeitung handelt, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind und diese jedenfalls auch im berechtigten Interesse des Auftraggebers liegen. 

14. Brauche ich für den Versand eines Newsletters eine Einwilligungserklärung?
Für die Zusendung von Massen- und Werbe-E-Mails gelten Sondervorschriften und ist in der Regel eine Einwilligung erforderlich. Welche E-Mails Sie mit oder ohne Einwilligung versenden dürfen, können Sie den Ausführungen auf der Homepage der WKÖ entnehmen.

15. Ein Kunde/Mitarbeiter hat um die Löschung seiner Daten angefragt. Was ist zu tun?
Es ist prüfen, ob die Daten im Ziviltechnikerbüro überhaupt noch benötigt werden. Wenn nicht, ist der einfachste Zugang, diese unverzüglich zu löschen und den Betroffenen über die Löschung zu verständigen. Über die Löschung sollten auch jene verständigt werden, an die die Daten einmal zur Bearbeitung übermittelt wurden (wzB. Steuerberater).

Die Daten sind überdies unverzüglich zu löschen, wenn der/die Betroffene seine/ihre Einwilligung widerrufen hat (zB zum Erhalt eines Newsletters) oder einer Datenverarbeitung widersprochen hat. 

Werden die Daten jedoch zur Erfüllung einer rechtlichen Verpflichtung (zB. 7 Jahre Aufbewahrung von Buchhaltungsunterlagen) oder zur Geltendmachung von Rechtsansprüchen (zB. bei der Gefahr der Geltendmachung von Haftungsansprüchen) weiterhin benötigt, kann das Löschungsbegehren auch verweigert werden.

16. Wie lange können Daten von Stellenbewerbern in Evidenz gehalten werden?
Zumindest sechs Monate, weil innerhalb dieser Frist bei Stellenausschreibungen Ansprüche auf Basis des Gleichbehandlungsgesetzes geltend gemacht werden könnten. Für eine längere Evidenzhaltung ist eine Einwilligungserklärung des Bewerbers erforderlich. 

17. Was muss auf technischer Ebene überprüft/angepasst werden?
Es sollten die notwendigen technischen oder organisatorischen Maßnahmen zur Gewährleistung der Datensicherheit getroffen werden. Eine nähere Beschreibung dazu finden Sie im Muster „Verarbeitungsverzeichnis“ Link zum Muster "Verarbeitungsverzeichnis Verantwortlicher">>

18. Wann nimmt die Datenschutzbehörde eine Überprüfung vor und wie läuft eine solche ab?Es ist davon auszugehen, dass eine Überprüfung eines Ziviltechnikerbüros in der Regel nach vorheriger Anzeige eines Datenmissbrauchs durch einen beispielsweise verärgerten Kunden oder ehemaligen Mitarbeiter erfolgen wird. Ganz besonders sensibel und vorsichtig sollte der Umgang mit Daten daher dort erfolgen, wo es zu Streitigkeiten kommen kann.

Eine Überprüfung durch die Datenschutzbehörde wird in der Regel etwa zwei Tage im Vorhinein angekündigt und wird ähnlich einer Steuerprüfung durchgeführt. In diesem Fall muss das Verarbeitungsverzeichnis bereitgehalten werden. Im Übrigen soll die Datenschutzbehörde von Gesetzes wegen bei erstmaligen Verstößen primär verwarnen. Von einer Bestrafung ist daher erst bei wiederholten Verstößen und unter Anwendung so genannter „gelinderer Mittel“ auszugehen. Ein ordnungsgemäß geführtes Verarbeitungsverzeichnis (siehe oben) mindert jedenfalls die Gefahr von Sanktionen durch die Datenschutzbehörde.

19. Müssen Datenanwendungen weiterhin an die Datenschutzbehörde gemeldet und in das Datenschutzregister aufgenommen werden?
Nein, stattdessen ist ein Verarbeitungsverzeichnis zu erstellen (siehe oben). 

20. Wann muss ein „Verzeichnis von Verarbeitungstätigkeiten“ von einem/einer Ziviltechniker/in erstellt werden?
Ein Verarbeitungsverzeichnis muss unabhängig von der Unternehmensgröße jede/r ZT erstellen, weil im Ziviltechnikerbüro regelmäßig personenbezogene Daten verarbeitet werden. Dieses dient zur Dokumentation und im Überprüfungsfall zur Vorlage an die Datenschutzbehörde (siehe oben). 

21. Müssen ZT eine/n Datenschutzbeauftragte/n bestellen?
In der Regel nein. 

22. Wie lange dürfen Daten im Ziviltechnikerbüro aufbewahrt werden bzw. wann müssen sie gelöscht werden? 
Die DSGVO strebt an, dass UnternehmerInnen personenbezogene Daten nur insoweit verwenden sollen, als dies zur Ausübung ihrer Geschäftstätigkeit notwendig ist. Daten sollen daher gelöscht werden, sobald sie nicht mehr benötigt werden. 

Diese müssen aber zumindest solange aufbewahrt werden, als dies in anderen gesetzlichen Bestimmungen vorgesehen ist, wzB. im Steuerrecht, wo eine 7-jähre Aufbewahrungsfrist für Buchhaltungsunterlagen vorgesehen ist. 

Darüber hinaus können Daten bis zur Beendigung der Geschäftsbeziehung bzw. eines Rechtsstreits aufbewahrt werden und bis zum Ablauf von Gewährleistungs- und Garantiefristen sowie der Verjährungsfristen für den Fall der Geltendmachung von Schadenersatzansprüchen gegebenenfalls auch dreißig Jahre. 

Nähere Informationen zu den Aufbewahrungsfristen sind im Muster „Verarbeitungsverzeichnis“ unter der Rubrik „Aufbewahrungs- und Löschfristen“ enthalten. Link zum Muster "Verarbeitungsverzeichnis Verantwortlicher">>

Eine detaillierte Auflistung branchenspezifischer Fristen ist auch auf der Homepage der WKÖ zu finden.

23. Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung ist eine besondere Risikoanalyse, die ein Unternehmen nur in bestimmten Fällen vornehmen muss, wzB. im Falle einer umfangreichen Verarbeitung von Gesundheitsdaten oder bei der Durchführung von Profiling oder Auswertungen im Zusammenhang mit der Kreditwürdigkeit etc. Die üblichen Datenverarbeitungen eines Ziviltechnikerbüros werden eine solche in der Regel nicht erforderlich machen.

 

 

Ergänzende FAQ´s aus den Seminaren „Fit für die EU-DSGVO“ des Ziviltechniker-Forums, Graz

 

Zur Unterstützung bei weiteren Fragen zur DSGVO haben wir eine Hotline eingerichtet: Diese steht Ihnen

  • im Juni 2018: Mo bis Fr (ausgenommen Feiertage) jeweils von 9:00 bis 14:00 Uhr,
  • im Juli, August & September 2018: Mo und Di jeweils von 9:00 bis 14:00 Uhr

kostenfrei unter der Nummer 0800-180081 zur Verfügung.