FAQ – Fragen & Antworten zur DSGVO
- Wen betrifft die Datenschutzgrundverordnung?
Jede/n Unternehmer:in, unabhängig von der Unternehmensgröße, der/die personenbezogene Daten verarbeitet. Nur die Verarbeitung für ausschließlich private Zwecke unterliegt nicht der DSGVO.
- Was sind personenbezogene Daten?
Die DSGVO bezweckt den Schutz der so genannten „personenbezogenen Daten“ natürlicher Personen, d.h. aller Angaben, anhand derer man auf eine bestimmte Person schließen kann (z.B. Namen, Adresse, Bankdaten, Foto, E-Mail-Adresse, IP-Adresse). Als Unternehmer:innen verarbeiten auch Ziviltechniker:innen derartige Daten, z.B. im Rahmen einer Kunden- und Kundinnendatei oder der Personalverwaltung, durch den Empfang von E-Mails usw.
- Was sind „sensible“ Daten?
Das ist eine „besondere Kategorie von personenbezogenen Daten“, dh das sind besonders schutzwürdige Daten, wzB. sexuelle Orientierung, die Mitgliedschaft bei einer Gewerkschaft, religiöse Orientierung, Gesundheitsdaten.
Diese dürfen nur in besonderen Fällen verarbeitet werden, wzB wenn es für die Umsetzung arbeits- oder sozialrechtlicher Vorgaben notwendig ist, wzB bei der Religionsszugehörigkeit der Mitarbeiter:innen, damit diese gesetzliche Feiertage in Anspruch nehmen können.
- Was bedeutet „Verarbeiten“ / „Datenverarbeitung“?
Als Verarbeiten gilt jedes „Hantieren“ mit personenbezogenen Daten, zB. das Erfassen, Ordnen, Speichern, Übermitteln, Ablegen, Vernichten usw., unabhängig davon, ob dies mittels Computer oder in Papierform erfolgt. Auch das systematische Ablegen in einem Ordner oder einem Handakt stellt daher eine Datenverarbeitung dar.
- Was bedeuten die Begriffe Verantwortliche/r und Auftraggeber:in?
„Verantwortliche/r“ ist diejenige/derjenige, der über die Verarbeitung von personenbezogenen Daten entscheidet, wzB. das Unternehmen, das die Daten erhoben hat. Dieser ist auch für die Umsetzung der Vorgaben der DSGVO verantwortlich. Jeder/jede Ziviltechniker/in wird innerhalb seines/ihres eigenen Unternehmens Verantwortliche/r sein. „Auftragsverarbeiter:in“ ist derjenige, der schwerpunktmäßig personenbezogene Daten im Auftrag und auf Weisung des/der Verantwortlichen verarbeitet, wzB. EDV-Betreuer:innen.
- Was wird unter dem Begriff „Standardanwendung“ verstanden?
Unter einer Standardanwendung werden Programme wie bspw. Microsoft Office (Word, Excel, Access etc.) verstanden.
- Wer muss ein Verarbeitungsverzeichnis erstellen?
Ein Verarbeitungsverzeichnis ist sowohl vom/von der Verantwortlichen als auch vom/von der Auftragsverarbeiter:in zu erstellen. Bitte finden Sie oben entsprechende Muster.
- Verarbeitungsverzeichnis Verantwortliche/r:
Ab Mai 2018 sind keine DVR-Meldungen mehr erforderlich. Ziviltechniker:innen müssen vielmehr ein Verarbeitungsverzeichnis erstellen, in dem alle Datenanwendungen des Ziviltechniker:innenbüros aufgelistet sind. Dadurch erhalten Sie selbst einen Überblick und dient dies zur Dokumentation bzw. im Überprüfungsfall zur Vorlage gegenüber der Datenschutzbehörde. Bitte finden Sie unter den DSGVO Hilfestellungen der Bundeskammer ein entsprechendes Muster.
- Verarbeitungsverzeichnis Auftragsverarbeiter:in:
Wenn Ziviltechniker:innen Daten zur Bearbeitung für andere Personen (Auftraggeber:innen) übernommen haben, die sie nur auf Weisung, nicht in Eigenverantwortung und nur innerhalb des erteilten Auftrags verarbeiten, sind diese Datenanwendungen überdies in einem Verarbeitungsverzeichnis für Auftragsverarbeiter:innen zu dokumentieren. Bitte finden Sie unter den DSGVO Hilfestellungen der Bundeskammer ein entsprechendes Muster.
- Müssen alle bestehenden Kunden/Kundinnen darüber informiert werden, welche Daten im Ziviltechniker:innenbüro über sie gespeichert werden?
Es besteht die Pflicht des/der Ziviltechnikers/in, den Kunden/Kundinnen unaufgefordert Informationen über die Datenverarbeitung zukommen zu lassen. Das erfolgt in der Regel im Rahmen einer so genannten Datenschutzerklärung. Bitte finden Sie unter den DSGVO Hilfestellungen der Bundeskammer ein entsprechendes Muster. Kunden/Kundinnen können konkrete Informationen zur Verarbeitung ihrer personenbezogenen Daten jedoch auch jederzeit erfragen. In diesem Fall haben Verantwortliche ihnen binnen einem Monat Auskunft zu erteilen. Bitte finden Sie unter den DSVO Hilfestellungen der Bundeskammer ein entsprechendes Muster zur Auskunftserteilung.
- Kann man ein Löschungsbegehren einer betroffenen Person auch verweigern?
Ein Löschungsanspruch besteht u.a. dann nicht, wenn die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung weiterhin notwendig ist, wzB. zur Einhaltung der siebenjährigen Aufbewahrungsverpflichtung aufgrund steuerrechtlicher Vorgaben (§ 7 BAO). Darüber hinaus besteht kein Löschungsanspruch, wenn die Datenverarbeitung zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen weiterhin notwendig ist, wzB. bei anhängigen Rechtsstreitigkeiten. Bitte finden Sie nähere Informationen zum Recht auf Löschung in den DSGVO Hilfestellungen der Bundeskammer.
- Muss ab Inkrafttreten der DSGVO von allen Kunden/Kundinnen eine Einwilligung zur Datenverarbeitung eingeholt werden?
Nein. Erfolgt die Verarbeitung von Kunden-/Kundinnendaten im Rahmen der Vertragsabwicklung oder aufgrund einer gesetzlichen Verpflichtung, ist die Einholung einer zusätzlichen Einwilligung nicht notwendig.
- Ist die Einholung einer Einwilligung zur Datenverarbeitung von Personen erforderlich, die keine Kunden/Kundinnen des/der Ziviltechnikers/Ziviltechnikerin sind, deren Daten der/die Ziviltechniker/in aber im Rahmen zur Auftragsabwicklung, zB. zur Ladung zu einer Grenzverhandlung oder Wasserrechtsverhandlung, benötigt?
Nein, da es sich dabei um eine Datenverarbeitung handelt, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind und diese jedenfalls auch im berechtigten Interesse des/der Auftraggebers/Auftraggeberin liegen.
- Brauche ich für den Versand eines Newsletters eine Einwilligungserklärung?
Für die Zusendung von Massen- und Werbe-E-Mails gelten Sondervorschriften und ist in der Regel eine Einwilligung erforderlich. Welche E-Mails Sie mit oder ohne Einwilligung versenden dürfen, können Sie den Ausführungen auf der Homepage der WKO entnehmen.
- Ein/e Kunde/Kundin bzw. ein/e Mitarbeiter/in hat um die Löschung seiner/ihrer Daten angefragt. Was ist zu tun?
Es ist zu prüfen, ob die Daten im Ziviltechniker:innenbüro überhaupt noch benötigt werden. Wenn nicht, ist der einfachste Zugang, diese unverzüglich zu löschen und den Betroffenen über die Löschung zu verständigen. Über die Löschung sollten auch jene verständigt werden, an die die Daten einmal zur Bearbeitung übermittelt wurden (wzB. Steuerberater:innen). Die Daten sind überdies unverzüglich zu löschen, wenn der/die Betroffene seine/ihre Einwilligung widerrufen hat (zB zum Erhalt eines Newsletters) oder einer Datenverarbeitung widersprochen hat. Werden die Daten jedoch zur Erfüllung einer rechtlichen Verpflichtung (zB. 7 Jahre Aufbewahrung von Buchhaltungsunterlagen) oder zur Geltendmachung von Rechtsansprüchen (zB. bei der Gefahr der Geltendmachung von Haftungsansprüchen) weiterhin benötigt, kann das Löschungsbegehren auch verweigert werden. Bitte finden Sie in den DSGVO Hilfestellungen der Bundeskammer nähere Ausführungen zum Recht auf Löschung sowie ein Memo zu den Ausnahmen vom Recht auf Löschung.
- Wie lange können Daten von Stellenbewerbern/Stellenbewerberinnen in Evidenz gehalten werden?
Zumindest sechs Monate, weil innerhalb dieser Frist bei Stellenausschreibungen Ansprüche auf Basis des Gleichbehandlungsgesetzes geltend gemacht werden könnten. Für eine längere Evidenzhaltung ist eine Einwilligungserklärung des Bewerbers/der Bewerberin erforderlich.
- Was muss aufgrund der Vorgaben der DSGVO auf technischer Ebene überprüft/angepasst werden?
Nach der ersten Analyse zur Frage, welche personenbezogenen Daten basierend auf welcher Rechtsgrundlage im Unternehmen verarbeitet werden, ist insbesondere zur prüfen, ob ausreichend technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit getroffen worden sind. Nähere Informationen zur Analyse, Anpassung und Dokumentation betrieblicher Abläufe sowie eine beispielhafte Aufzählung möglicher technisch und organisatorischer Maßnahmen zur Gewährung der Datensicherheit finden Sie in den DSGVO Hilfestellungen der Bundeskammer.
- Wann nimmt die Datenschutzbehörde eine Überprüfung vor und wie läuft eine solche ab?
Die Datenschutzbehörde ist zwar berechtigt, Überprüfungen auch ohne besonderen Anlassfall vorzunehmen. Es ist jedoch davon auszugehen, dass Überprüfungen eher in jenen Fällen erfolgen werden, in denen auch eine Beschwerde wegen der Verletzungen datenschutzrechtlicher Bestimmungen von einer betroffenen Person eingebracht wird bzw. allfällige Missstände behauptet werden. Eine Überprüfung durch die Datenschutzbehörde wird in der Regel etwa zwei Tage im Vorhinein angekündigt und wird ähnlich einer Steuerprüfung durchgeführt. In diesem Fall muss das Verarbeitungsverzeichnis bereitgehalten werden! Im Übrigen soll die Datenschutzbehörde von Gesetzes wegen bei erstmaligen Verstößen primär verwarnen. Von einer Bestrafung ist daher erst bei wiederholten Verstößen und unter Anwendung so genannter „gelinderer Mittel“ auszugehen. Eine ordnungsgemäße Analyse und Dokumentation der Datenverarbeitungen im Unternehmen (siehe oben) mindert jedenfalls die Gefahr von Sanktionen durch die Datenschutzbehörde.
- Müssen Datenanwendungen an die Datenschutzbehörde gemeldet und in das Datenschutzregister aufgenommen werden?
Nein, stattdessen ist ein Verarbeitungsverzeichnis zu erstellen (siehe oben).
- Wann muss ein „Verzeichnis von Verarbeitungstätigkeiten“ von einem/einer Ziviltechniker/in erstellt werden?
Ein Verarbeitungsverzeichnis muss unabhängig von der Unternehmensgröße jede/r Ziviltechniker/in erstellen, weil im Ziviltechniker:innenbüro regelmäßig personenbezogene Daten verarbeitet werden. Dieses dient zur Dokumentation und im Überprüfungsfall zur Vorlage an die Datenschutzbehörde (siehe oben).
- Müssen Ziviltechniker:innen eine/n Datenschutzbeauftragte/n bestellen?
Eine Verpflichtung zur Bestellung einer Datenschutzbeauftragten/eines Datenschutzbeauftragten besteht, wenn die Kerntätigkeit (= Haupttätigkeit) in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (wie z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive) oder die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten). Eine Verpflichtung zur Bestellung einer Datenschutzbeauftragten/eines Datenschutzbeauftragten wird für Ziviltechniker:innen daher in aller Regel nicht gegeben sein.
- Wie lange dürfen Daten im Ziviltechniker:innenbüro aufbewahrt werden bzw. wann müssen sie gelöscht werden?
Die DSGVO strebt an, dass Unternehmer:innen personenbezogene Daten nur insoweit verwenden sollen, als dies zur Ausübung ihrer Geschäftstätigkeit notwendig ist. Daten sollen daher gelöscht werden, sobald sie nicht mehr benötigt werden. Diese müssen aber zumindest solange aufbewahrt werden, als dies in anderen gesetzlichen Bestimmungen vorgesehen ist, wzB. im Steuerrecht, wo eine 7-jähre Aufbewahrungsfrist für Buchhaltungsunterlagen vorgesehen ist. Darüber hinaus können Daten bis zur Beendigung der Geschäftsbeziehung bzw. eines Rechtsstreits aufbewahrt werden und bis zum Ablauf von Gewährleistungs- und Garantiefristen sowie der Verjährungsfristen für den Fall der Geltendmachung von Schadenersatzansprüchen gegebenenfalls auch dreißig Jahre. Eine detaillierte Auflistung branchenspezifischer Fristen ist auch auf der Homepage der WKO zu finden.
- Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung ist eine besondere Risikoanalyse, die ein Unternehmen nur in bestimmten Fällen vornehmen muss, wzB. im Falle einer umfangreichen Verarbeitung von Gesundheitsdaten oder bei der Durchführung von Profiling oder Auswertungen im Zusammenhang mit der Kreditwürdigkeit etc. Die üblichen Datenverarbeitungen eines Ziviltechniker:innenbüros werden eine solche in der Regel nicht erforderlich machen.
Ergänzende FAQ´s aus den Seminaren „Fit für die EU-DSGVO“ des Ziviltechniker:innen-Forums, Graz