Hilfestellungen zur Umsetzung der Vorgaben der Datenschutzgrundverordnung

Diese Website soll Ziviltechniker:innen einen ersten Überblick verschaffen und ihnen dabei helfen, Verträge, interne Abläufe sowie Datensicherheitsmaßnahmen an die Anforderungen der Datenschutzgrundverordnung (DSGVO) anzupassen.


Allgemeines

Die DSGVO bezweckt den Schutz der so genannten personenbezogenen Daten, d.h. aller Angaben, anhand derer man direkt oder indirekt auf eine bestimmte Person schließen kann (z.B. Namen, Email-Adresse, Bankdaten, Foto, IP-Adresse…).
Als Unternehmer:innen verarbeiten auch Ziviltechniker:innen derartige Daten im Rahmen ihrer Geschäftstätigkeit (z.B. beim Anlegen einer Kundendatei oder der Abwicklung der Personalverwaltung, beim Empfang von Emails, beim Betrieb einer Unternehmenswebsite usw.) und gelten damit als Verantwortliche im Sinne der DSGVO. Auftragsverarbeiter:in hingegen ist, wer Daten im Auftrag einer/eines Verantwortlichen verarbeitet, wie z.B. ein/e Lohnverrechner:in oder Steuerberater:in.

Als Verarbeiten gilt jeder strukturierte Umgang mit personenbezogenen Daten, z.B. das Erfassen, Ordnen, Speichern, Übermitteln, Ablegen, Abgleichen, Bereitstellen, Vernichten usw., unabhängig davon, ob dies mittels Computer oder in Papierform erfolgt.

Als betroffene Person iSd DSGVO gilt, wessen personenbezogene Daten verarbeitet werden. Betroffenen Personen stehen bestimmte Rechte zu, aus denen sich für den/die Verantwortliche/n wiederum Pflichten ergeben können (Näheres dazu unten).


Analyse, Anpassung und Dokumentation betrieblicher Abläufe

Die DSGVO strebt an, dass Unternehmer:innen personenbezogene Daten nur insoweit verarbeiten sollen, als dies zur Ausübung ihrer Geschäftstätigkeit notwendig ist. Eine Verarbeitung solcher Daten ist nur in bestimmten Fällen zulässig, insbesondere zur Erfüllung einer rechtlichen Verpflichtung (z.B. Pflicht zur Speicherung von für die Urkundensammlung im Grundbuch vorgesehene Urkunden im Urkundenarchiv gemäß § 15 Abs 6 ZTG), zur Erfüllung eines Vertrages (z.B. des Ziviltechniker:innenvertrages), oder auf Basis einer Einwilligung oder von berechtigten Interessen des/der Verantwortlichen.

Weiters sollen Daten gelöscht werden, sobald sie nicht mehr benötigt werden. Die verwendeten Daten sollen richtig sein und es sollen angemessene Maßnahmen zur Datensicherheit ergriffen werden.


Ist dies in Ihrem Unternehmen der Fall?

Im ersten Schritt gilt es daher zu erheben, welche personenbezogenen Daten (wie z.B. Namen und Adressen von Kunden:innen und Mitarbeiter:innen) in Ihrem Unternehmen verarbeitet werden und auf Basis welcher Rechtsgrundlage (z.B. auf Basis des Ziviltechniker:innenvertrages oder der Bestimmungen des ZTG oder einer Einwilligung der betroffenen Person).

Weiters ist zu überprüfen, wie lange diese Daten in Ihrem Unternehmen gespeichert werden können: Fixe Aufbewahrungs- und Löschfristen sieht die DSGVO dazu nicht vor, Anhaltspunkte finden sich aber in anderen Rechtsgebieten, wie z.B. die 7-jährige Aufbewahrungsfrist gemäß § 132 BAO im Steuerrecht.

Auch ist zu hinterfragen, welche technischen und organisatorischen Maßnahmen (so genannte „TOMs“) zur Sicherung der in ihrem Unternehmen verarbeiteten Daten getroffen werden:
Verfügen Sie über ausreichend sichere Passwörter? Ist der Zugang zum Server ausreichend gesichert? Werden in angemessenen zeitlichen Abständen Sicherungskopien vorgenommen?
Bei der Überprüfung der Angemessenheit der unternehmensinternen Datensicherheitsmaßnahmen kann Sie eine/ein Ziviltechnikerin/Ziviltechniker für Informationstechnologie unterstützen!

Diese durchgeführte Analyse zur unternehmensinternen Datenverarbeitung haben Sie in der Folge in einem Verarbeitungsverzeichnis zu dokumentieren. Damit kann der Datenschutzbehörde im Anlassfall ein schneller Überblick über die unternehmensinternen Datenverarbeitungen geboten werden. Gleichzeitig kann die Erstellung dazu genutzt werden, den Umgang mit Daten im Rahmen der betrieblichen Abläufe zu verbessern:

 

Verarbeitungsverzeichnis für Auftragsverarbeiter:innen

Die DSGVO schreibt vor, dass überdies ein eigenes, zusätzliches Verarbeitungsverzeichnis zu erstellen ist, sofern jemand personenbezogene Daten nicht eigenverantwortlich im Rahmen seiner/ihrer Unternehmenstätigkeit als Verantwortlicher/Verantwortliche verarbeitet, sondern im Auftrag eines/einer anderen Verantwortlichen. Im Regelfall werden Ziviltechniker:innen im Rahmen ihrer freiberuflichen Tätigkeit Daten selbstverantwortlich verarbeiten. In Einzelfällen kann aber auch die Verarbeitung als Auftragsverarbeiter:in vorliegen, beispielsweise wenn der Auftrag in der Wartung von IT-Daten oder einer Software besteht. In diesem Fall ist neben dem Verarbeitungsverzeichnis für den eigenen Unternehmensbetrieb (siehe den vorangehenden Punkt) auch ein Verarbeitungsverzeichnis für Auftragsverarbeiter:innen zu erstellen:


Geheimhaltung durch Mitarbeiter:innen

Die DSGVO sieht vor, dass personenbezogene Daten vertraulich zu behandeln sind und nur von befugten Personen verarbeitet und genutzt werden dürfen. Auch Geschäfts- und Betriebsgeheimnisse müssen geschützt werden. Arbeitgeber:innen sind daher dazu verpflichtet, ihre Mitarbeiter:innen zur Geheimhaltung zu verpflichten und entsprechend zu unterweisen (vgl § 6 des österr. Datenschutzgesetzes):


Absicherung gegenüber Auftragnehmer:innen

Wenn Sie im Rahmen Ihrer unternehmerischen Tätigkeit eine externe Dienstleisterin/einen externen Dienstleister beauftragen und diese/dieser im Rahmen ihres/seines Auftrags (auch) personenbezogene Daten verarbeitet, müssen Sie einen gesonderten, so genannten Auftragsverarbeitungsvertrag abschließen. Dieser Vertrag regelt unter welchen Vorgaben und Sicherheitsmaßnahmen die Verarbeitung von personenbezogenen Daten erfolgen darf. Klassische Beispiele für einen Auftragsverarbeitung sind die Inanspruchnahme der Dienstleistung eines Steuerberaters, externen Buchhalters, EDV-Betreuers usw. Im Folgenden finden Sie ein Muster für einen Auftragsverarbeitungsvertrag:


Wahrung der Rechte betroffener Personen

Die DSGVO räumt betroffenen Personen, d.h. jenen Personen, deren personenbezogene Daten verarbeitet werden, verschiedene Rechte ein (vgl. Art. 15 bis 21 DSGVO). Aus diesen Rechten ergeben sich wiederum Pflichten für den Verantwortlichen/die Verantwortliche. Diesen hat der /die Verantwortliche in den meisten Fällen nur auf Antrag der betroffenen Person (z.B. beim Auskunfts- oder Löschbegehren) zu entsprechen, in anderen Fällen wie z.B. bei der Information über die Datenverarbeitungen hat der/die Verantwortliche von sich aus aktiv zu werden. Betroffenenrechte sind insbesondere:

  • Recht auf Auskunft:

Demnach hat jeder das Recht zu erfahren, ob Verantwortliche (wie z.B. Behörden, Unternehmen usw.) personenbezogene Daten (wie z.B. Namen, Postadresse, Email-Adresse, IP-Adresse, Fotos, Kontodaten) zu seiner Person verarbeiten oder nicht. Um dieses Recht auszuüben zu können, muss die/der Betroffene ein Begehren an den/die Verantwortliche/n richten. Dieses kann grundsätzlich formlos erfolgen, die Datenschutzbehörde stellt dazu beispielsweise aber auch ein Musterformular zur Verfügung. Wenn begründete Zweifel an der Identität des/der Auskunftswerbers/Auskunftswerberin bestehen, kann der/die Verantwortliche einen Identitätsnachweis verlangen. Der/die Auskunftswerber/in hat in diesem Fall seine Identität nachzuweisen (z.B. durch Vorlage einer Ausweiskopie).

Wenn im Auskunftsbegehren nichts anderes angegeben ist, hat der/die Verantwortliche dieses grundsätzlich schriftlich binnen der Regelfrist von einem Monat zu beantworten und hat die Auskunftserteilung bestimmten, inhaltlichen Vorgaben zu entsprechen. Die Auskunft ist jedenfalls auch dann fristgerecht zu erteilen, wenn keine Daten des Auskunftswerbers bzw. der Auskunftswerberin verarbeitet werden („Negativauskunft“). Ein Muster für die Beantwortung finden Sie im Folgenden:

  

  • Informationspflicht:

Der/die Verantwortliche hat der betroffenen Person unaufgefordert gewisse Informationen über die Datenverarbeitungen zur Verfügung zu stellen. Die Erteilung der Informationen kann schriftlich, elektronisch oder in einer anderen Form erfolgen, wobei die Erteilung einer schriftlichen Information zu Beweis- und Dokumentationszwecken empfohlen wird. Gängige Formen sind beispielsweise das Aushändigen einer Datenschutzerklärung in Papierform und/oder eine Beschilderung im Büro; eine Datenschutzerklärung auf der Webseite und Verlinkung auf die Datenschutzerklärung auf der Website in der Emailsignatur.

Werden die Daten bei der betroffenen Person selbst erhoben, ist diese unverzüglich über die Datenverarbeitung zu informieren. So kann die Datenschutzerklärung beispielsweise dem Vertrag zwischen Ziviltechniker:in und Auftraggeber:in als Anlage beigelegt werden. Bitte finde Sie dazu im Folgenden ein Muster:

Jedenfalls wird empfohlen, eine Datenschutzerklärung auf der Unternehmenswebseite vorzusehen, in welcher über die Verarbeitung von Daten der Webseitenbesucher:innen informiert werden sollte (z.B. über die Anwendung von Cookies, die Speicherung von IP-Adressen, die Verwendung von Webanalysetools zur Erstellung von Zugriffstatistiken, über die Möglichkeit zur Anmeldung zu einem Newsletter usw.). Bitte finden Sie dazu im Folgenden ein Muster:

In die Datenschutzerklärung auf der Website kann selbstverständlich auch Informationen über die Verarbeitung personenbezogener Daten von Kunden/Kundinnen enthalten. Beachten Sie dazu das obige Muster Datenschutzerklärung gegenüber Kunden/Kundinnen.

  • Recht auf Löschung (Art. 17 DSGVO):

Die/der Betroffene hat das Recht auf Löschung ihrer/seiner Daten in einem der folgenden Fälle:

  1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Die betroffene Person hat ihre Einwilligung zur Datenverarbeitung widerrufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung (wie z.B. Verarbeitung zur Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung).
  3. Die betroffene Person legt gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.

Um dieses Recht auszuüben, muss der/die Betroffene ein Begehren an den Verantwortlichen /die Verantwortliche richten. Der/die Verantwortliche kann die Löschung aber in bestimmten Fällen verweigern:
Dies ist gemäß Art 17 Abs 3 DSGVO insbesondere dann möglich, wenn die Verarbeitung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Erfüllung einer rechtlichen Verpflichtung weiterhin notwendig ist. Bitte finden Sie im Folgenden ein Memo zu möglichen Ausnahmen zugunsten von Ziviltechniker:innen aufgrund möglicher Haftungsansprüche und der Urkundsbestimmungen im Ziviltechnikergesetz: