Datenschutz

Die neuen Datenschutzbestimmungen gelten für alle Unternehmen, die

  • in irgendeiner Art und Weise personenbezogene Daten verarbeiten (erheben, erfassen, speichern)(Auftragsverarbeiter) oder
  • über die Zwecke und Mittel der Verarbeitung solcher Daten entscheiden (Verantwortlicher).

Die Regelungen gelten unabhängig von der Größe des Unternehmens und daher sowohl für Ein-Personen-Unternehmen als auch für KMU und Großunternehmen.

Das Datenschutzrecht hat in Österreich eine lange Geschichte und wurde zuletzt durch die Datenschutz-Grundverordnung (DSGVO) der EU neu geregelt, die am 25. Mai 2018 in Kraft trat. Bis zu diesem Datum mussten Unternehmen alle Datenanwendungen an die neue Rechtslage anpassen. Durch diese EU-Verordnung wurde ein einheitliches Datenschutzrecht für alle EU-Mitgliedstaaten geschaffen. Als Verordnung sind diese Regelungen in allen EU-Mitgliedstaaten unmittelbar anwendbar. Die EU-Verordnung räumt den Gesetzgebern der einzelnen Mitgliedstaaten dennoch einen gewissen Regelungsspielraum ein.

  • Personenbezogene Daten
    Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (sogenannte "betroffene Person") beziehen. z.B.: Name, Adresse, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Kontonummer, Kfz-Kennzeichen, Interessen und Vorlieben etc., aber auch Fotos von Personen

  • Besondere Kategorie personenbezogener Daten
    Personenbezogene Daten, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Außerdem genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten und Daten zur sexuellen Orientierung einer natürlichen Person. Diese Daten unterliegen einem besonderen Schutz. z.B.: Fingerabdruck, Krankengeschichte
    Strafrechtsrelevante Daten dürfen nur unter sehr engen Voraussetzungen verarbeitet werden (z.B. unter behördlicher Aufsicht). Beispiele: Strafurteil, Waffenverbot

  • Verarbeitung
    Als Verarbeitung gilt jeder Umgang mit personenbezogenen Daten sowohl mit als auch ohne Hilfe automatisierter Verfahren. Verarbeitungsvorgänge sind z.B. das Erheben, Erfassen, Speichern, Verändern, Abfragen, Löschen oder Vernichten personenbezogener Daten. z.B. für die Verarbeitung: Erstellen und Warten einer Mitarbeiterdatenbank oder einer Kundendatei

  • Verantwortlicher
    Verantwortlicher ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.

  • Auftragsverarbeiter
    Als Auftragsverarbeiter gilt jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

  • Pseudonymisierung
    Der Begriff "Pseudonymisierung" steht für Datenverarbeitung in einer Weise, dass die personenbezogenen Daten ohne zusätzliche Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können. Die zusätzlichen Informationen müssen gesondert aufbewahrt werden und Maßnahmen unterliegen, die gewährleisten, dass die Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Beispiel: Namen von Kunden werden durch Zufallscodes ersetzt

Laut DSGVO ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn zumindest eine der folgenden Rechtsgrundlagen vorliegt:

  • Einwilligung
    Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden Daten gegeben. z.B.: Zustimmung zum Erhalt eines Newsletters
  • Erfüllung eines Vertrags
    Die Datenverarbeitung ist für das Erfüllen eines Vertrags mit der betroffenen Person oder zum Durchführen von vorvertraglichen Maßnahmen notwendig. z.B.: Kundendatenbank eines Unternehmens
  • Erfüllung einer rechtlichen Verpflichtung
    Die Datenverarbeitung ist notwendig, um eine rechtlichen Verpflichtung zu erfüllen, der der Verantwortliche unterliegt. z.B.: Arbeitsrechtliche Pflichten der Arbeitgeberin/des Arbeitgebers; Verpflichtungen einer Bank aufgrund des Bankwesengesetzes
  • Berechtigte Interessen des Verantwortlichen oder eines Dritten
    Eine Datenverarbeitung ist auch dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Datenverarbeiters erforderlich ist − außer die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (dies ist insbesondere bei Kindern anzunehmen). Es muss daher eine Interessenabwägung vorgenommen werden. z.B.: Einholung einer Bonitätsauskunft durch eine Bank

Die DSGVO sieht neben den genannten Rechtsgrundlagen noch weitere vor.

Folgende Grundsätze müssen bei der Verarbeitung personenbezogener Daten immer beachtet werden:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    Personenbezogene Daten müssen auf rechtmäßige Weise, redlich und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
  • Zweckbindung
    Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Weiterverarbeitung der Daten ist nur auf eine Weise erlaubt, die mit diesen Zwecken zu vereinbaren ist.
  • Datensparsamkeit ("Datenminimierung")
    Personenbezogene Daten müssen dem Zweck angemessen und erheblich sein. Sie müssen auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
  • Richtigkeit
    Personenbezogene Daten müssen sachlich richtig und (erforderlichenfalls) auf dem neuesten Stand sein. Es müssen alle angemessenen Maßnahmen getroffen werden, damit unrichtige Daten unverzüglich gelöscht oder berichtigt werden.
  • Speicherbegrenzung
    Die Speicherdauer für personenbezogene Daten muss auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Um dies zu erfüllen, ist es ratsam, als Verantwortlicher Fristen für die Löschung oder regelmäßige Überprüfung der Daten vorzusehen.
  • Integrität und Vertraulichkeit
    Die Art und Weise, in der personenbezogene Daten verarbeitet werden, muss eine angemessene Sicherheit der Daten gewährleisten (einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, vor unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung).

Privacy by Design und Privacy by Default

"Privacy by Design" bedeutet "Datenschutz durch Technikgestaltung": Schon während der Planung von Datenverarbeitungsvorgängen sowie bei der Datenverarbeitung selbst müssen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um einen angemessenen Schutz der Daten sicherzustellen (z.B.: Pseudonymisierung, Verschlüsselung personenbezogener Daten).

"Privacy by Default" bedeutet "Datenschutz durch datenschutzfreundliche Voreinstellungen": Der Verantwortliche muss sicherstellen, dass durch Voreinstellungen von Systemen und Anwendungen grundsätzlich nur solche Daten, deren Verarbeitung für den jeweiligen Zweck auch wirklich erforderlich sind, verarbeitet werden. Diese Verpflichtung entspricht einem der wichtigsten Datenschutzgrundsätze der DSGVO, der "Datenminimierung" (z.B.: Reicht das Alter oder das Geburtsjahr einer Person für den Zweck der Datenverarbeitung aus, darf nicht auch das genaue Geburtsdatum verarbeitet werden).

Informationspflichten

Der Verantwortliche ist verpflichtet, betroffenen Personen, deren Daten er erhebt, bestimmte Informationen zukommen zu lassen (z.B.: Namen und Kontaktdaten des Verantwortlichen, Zwecke der Datenverarbeitung, Speicherdauer).

Welche Informationen im konkreten Fall erteilt werden müssen, lässt sich mittels des Online-Ratgebers "Datenschutz-Grundverordnung ( WKO)" herausfinden.

Erhebt der Verantwortliche die Daten bei der Person selbst, muss er die Informationen zum Zeitpunkt der Datenerhebung zur Verfügung stellen. Werden die Daten nicht bei der betroffenen Person erhoben, genügt grundsätzlich eine Information binnen angemessener Frist, zumindest aber innerhalb eines Monats ab Erlangung der Daten.

In der Praxis werden die Informationen häufig über Datenschutzbestimmungen oder Datenschutzerklärungen (Privacy Policies) erteilt.

Meldung von Datenschutzverletzungen

Kommt es zu einer Datenschutzverletzung, muss der Verantwortliche diese Verletzung sowohl der Datenschutzbehörde als auch (bei voraussichtlich hohem Risiko) der betroffenen Person melden. Die Meldung an die Datenschutzbehörde muss unverzüglich und möglichst binnen 72 Stunden ab Kenntnis der Verletzung geschehen. Die Meldung der Verletzung an die betroffene Person muss unverzüglich und in klarer und einfacher Sprache erfolgen. Wenn dem Auftragsverarbeiter eine Datenschutzverletzung bekannt wird, muss er sie unverzüglich dem Verantwortlichen melden.

Eine Datenschutzverletzung ist eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt (z.B.: Verlust eines Datenträgers, auf dem Kundendaten gespeichert sind; Hackerangriff)

Datenschutzbeauftragter

Unternehmen sind verpflichtet einen eigenen Datenschutzbeauftragten zu erstellen, wenn die Kerntätigkeit des Unternehmens

  • eine umfangreiche regelmäßige und systematische Überwachung von Personen (z.B. Berufsdetektive, Marktforschungsunternehmen, Adresshändler) oder
  • eine umfangreiche Verarbeitung "sensibler Daten" (z.B. Krankenhäuser) oder von Daten über strafrechtliche Verurteilungen oder Straftaten umfasst.

Liegt keiner dieser Fälle vor, können der Verantwortliche oder der Auftragsverarbeiter auch freiwillig einen Datenschutzbeauftragten benennen.

Aufgaben des Datenschutzbeauftragten sind u.a. die Unterrichtung und Beratung des Unternehmens und der Beschäftigten sowie die Überwachung der Einhaltung der Datenschutzvorschriften.

Datenschutz-Folgenabschätzung

Die Datenschutzbehörde hat eine Verordnung erlassen, in der jene Datenverarbeitungen angeführt sind, die von der Pflicht zur Datenschutz-Folgenabschätzung ausgenommen sind (sogenannte "white list").

Gehen Vorgänge der Datenverarbeitung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen einher, muss der Verantwortliche noch vor der Verarbeitung eine sogenannte "Datenschutz-Folgenabschätzung" durchführen (z.B.: umfangreiche Verarbeitung von Gesundheitsdaten oder von Daten über strafrechtliche Verurteilungen und Straftaten). Besteht voraussichtlich kein hohes Risiko, kann eine Datenschutz-Folgenabschätzung unterbleiben.

Ergibt die Datenschutz-Folgenabschätzung, dass die Verarbeitung ein hohes Risiko zur Folge hätte, muss der Verantwortliche grundsätzlich noch vor der Verarbeitung die Datenschutzbehörde konsultieren.

Darüber hinaus haben  Verantwortliche sowie Auftragsverarbeiter ein Verzeichnis all ihrer Datenverarbeitungstätigkeiten zu führen (Verzeichnis von Verarbeitungstätigkeiten oder auch Datenverarbeitungsverzeichnis).

Verantwortliche sowie Auftragsverarbeiter müssen ein Verzeichnis all ihrer Datenverarbeitungstätigkeiten führen (Datenverarbeitungsverzeichnis). Das Verzeichnis muss schriftlich geführt und laufend aktualisiert werden. Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen.

Verantwortliche

Das Datenverarbeitungsverzeichnis eines Verantwortlichen betrifft sämtliche Verarbeitungstätigkeiten, die in seiner Zuständigkeit liegen. Das Verzeichnis muss Folgendes enthalten:

  • Namen und Kontaktdaten
    • Des Verantwortlichen
    • Der etwaigen Vertretung des Verantwortlichen
    • Eines etwaigen Datenschutzbeauftragten
  • Zwecke jeder einzelnen Datenverarbeitung
  • Kategorien betroffener Personen (z.B. Kunden)
  • Kategorien verarbeiteter Daten (z.B. Adressdaten)
  • Kategorien von Empfängerinnen/Empfängern, gegenüber denen die personenbezogenen Daten offengelegt wurden oder noch offengelegt werden, einschließlich Empfängerinnen/Empfänger in Drittstaaten (z.B. USA) oder internationalen Organisationen
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an einen Drittstaat oder an eine internationale Organisation, einschließlich der Angabe des Drittstaates oder der internationalen Organisation
  • Nach Möglichkeit: Aufbewahrungsdauer der verschiedenen Datenkategorien
  • Nach Möglichkeit: Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten (z.B. Verschlüsselung der Daten)

Auftragsverarbeiter

Das Datenverarbeitungsverzeichnis eines Auftragsverarbeiters betrifft sämtliche Verarbeitungstätigkeiten, die im Auftrag eines Verantwortlichen durchgeführt werden. Das Verzeichnis muss Folgendes enthalten:

  • Namen und Kontaktdaten
    • Der Auftragsverarbeiter
    • Der Verantwortlichen, in deren Auftrag der Auftragsverarbeiter tätig ist
    • Der etwaigen Vertretung des Verantwortlichen oder des Auftragsverarbeiters
    • Eines etwaigen Datenschutzbeauftragten
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden
  • Gegebenenfalls Übermittlungen von personenbezogenen Daten an einen Drittstaat (z.B. USA) oder an eine internationale Organisation, einschließlich der Angabe des Drittstaates oder der internationalen Organisation
  • Nach Möglichkeit: Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten (z.B. Verschlüsselung der Daten)

Zusammenarbeit mit der Datenschutzbehörde

Verantwortliche und Auftragsverarbeiter sind verpflichtet, bei der Erfüllung ihrer Aufgaben mit der Datenschutzbehörde zusammenzuarbeiten. Auf Anfrage müssen sie der Behörde die Datenverarbeitungsverzeichnisse vorlegen.

Weitere Informationen

Die Verarbeitung personenbezogener Daten ist nur dann zulässig, wenn sie sich auf eine der in der Datenschutz-Grundverordnung (DSGVO) genannten Rechtsgrundlagen stützt. Eine in der Praxis häufig vorkommende Rechtsgrundlage ist die Einwilligung der betroffenen Person zu der Verarbeitung der sie betreffenden Daten (z.B.: Zustimmung zum Erhalt eines Newsletters).

Eine datenschutzrechtliche Einwilligung ist unter folgenden Voraussetzungen zulässig:

  • Freiwilligkeit
    Die betroffene Person muss freiwillig, d.h. ohne Zwang und aufgrund freier Entscheidung, in die Verarbeitung ihrer Daten einwilligen. Ein Verstoß gegen dieses Prinzip liegt z.B. dann vor, wenn ein Vertragsabschluss vom Einwilligen zu Werbezusendung abhängig gemacht wird (sogenanntes "Koppelungsverbot").
  • Form
    Eine Einwilligung kann schriftlich, mündlich, elektronisch oder auch konkludent erfolgen. Bloßes Stillschweigen ohne zusätzliche Zeichen gilt nicht als Einwilligung. Für das Verarbeiten "sensibler Daten" ist eine ausdrückliche Einwilligungserklärung notwendig. z.B.: Anklicken eines Kästchens zu einer vorformulierten Einwilligungserklärung auf einer Website
    ACHTUNG: Die Einwilligung muss aktiv erfolgen. Ist ein Kästchen bereits vorangeklickt, liegt keine gültige Einwilligung vor!
  • Umfassende Information
    Die betroffene Person (z.B. der Empfänger eines Newsletters) muss im Zuge der Abgabe der Einwilligungserklärung folgende Informationen erhalten:
    • Daten, die verarbeitet werden (z.B. Name, Geburtsdatum, Adresse)
    • Zweck der Datenverarbeitung (z.B. Übermittlung eines monatlichen Newsletters mit dem Inhalt XY per E-Mail); ACHTUNG: Wenn die Verarbeitung mehreren Zwecken dient, sollte für jeden dieser Verarbeitungszwecke eine eigene Einwilligung gegeben werden!
    • Etwaige dritte Datenempfänger (z.B. Unternehmen das die Newslettersoftware betreibt)
    • Recht der betroffenen Person, die Einwilligung jederzeit zu widerrufen
  • Verständlichkeit, leichte Zugänglichkeit, klare und einfache Sprache
    Eine vorformulierte Einwilligungserklärung muss in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung gestellt werden.

Aus Beweisgründen ist es ratsam, entweder schriftliche oder auf andere Art nachweisbare Einwilligungserklärungen einzuholen.

Einwilligungserklärungen in AGB

Allgemeine Geschäftsbedingungen (AGB) enthalten üblicherweise viele verschiedene Bestimmungen, unter anderem z.B. zu Lieferbedingungen, Gewährleistungsrechten von Kunden etc. Es wird empfohlen, (vorformulierte) Einwilligungserklärungen nicht in AGB zu integrieren. Stattdessen sollten zusätzlich zu den AGB separate Einwilligungen der betroffenen Personen eingeholt werden. Der Grund dafür ist, dass eine in AGB enthaltene Einwilligungserklärung gegen das Prinzip der Freiwilligkeit verstoßen könnte (Koppelungsverbot).

Bestehende Einwilligungserklärungen

Wenn bestehende Einwilligungserklärungen (nach dem "alten", bis 24. Mai 2018 geltenden Datenschutzrecht) auch noch ab 25. Mai 2018 datenschutzkonform sind, d.h. der neuen Rechtslage entsprechen, sind sie weiterhin gültig. Wenn dies jedoch nicht der Fall ist, müssen die bisher verwendeten Einwilligungserklärungen angepasst werden. Das heißt, es müssen neue Zustimmungserklärungen der betroffenen Personen eingeholt werden (z.B.: Wenn eine Person bei Abgabe der Einwilligungserklärung nicht über ihr jederzeitiges Widerrufsrecht informiert wurde, muss von ihr eine neue Zustimmung zur Datenverarbeitung eingeholt werden).

Die DSGVO legt verschiedene Rechte betroffener Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten fest. Der Verantwortliche muss geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Im Folgenden werden die Rechte von Betroffenen in ihren Grundzügen dargestellt. Grundsätzlich sind diese Begehren kostenlos, mit Ausnahme der Auskunft, sofern die betroffene Person nicht mehr als eine Datenkopie verlangt.

Recht auf Auskunft

Jeder Betroffene kann vom Verantwortlichen Auskunft darüber verlangen, ob, und wenn ja, welche ihn betreffende personenbezogene Daten verarbeitet werden. Das ist jederzeit und ohne Begründung möglich.

Der Verantwortliche muss im Zuge des Auskunftserteilens Kopien der verarbeiteten Daten zur Verfügung stellen (z.B. E-Mails, Auszüge aus Datenbanken etc.). Informieren muss er unter anderem über die Verarbeitungszwecke, die Kategorien der verarbeiteten Daten, die Empfänger der Daten, sowie, wenn möglich, die geplante Speicherdauer.

Recht auf Berichtigung

Die betroffene Person kann vom Verantwortlichen die unverzügliche Berichtigung und/oder die Vervollständigung der sie betreffenden Daten verlangen (z.B.: falsche Wohnadresse).

Recht auf Löschung ("Recht auf Vergessenwerden")

Die betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden Daten zu verlangen. Der Verantwortliche muss die Löschung unverzüglich durchführen, wenn einer der folgenden Gründe vorliegt:

  • Die Daten sind nicht mehr erforderlich
  • Die betroffene Person hat ihre Einwilligung widerrufen
  • Die betroffene Person hat Widerspruch gegen die Verarbeitung eingelegt
  • Die Daten wurden unrechtmäßig verarbeitet
  • Die Löschung der Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich

Die Löschung wird durch einen formlosen Antrag verlangt. Sie ist grundsätzlich kostenlos.

Ausführliche Informationen zum Thema "Recht auf Löschung bei Google, Bing, Yahoo etc." finden sich auf oesterreich.gv.at.

Weitere Rechte

Neben den genannten – in der Praxis wichtigsten – Rechten von Betroffenen sieht die DSGVO weitere Rechte vor:

  • Recht auf Einschränkung der Datenverarbeitung
  • Recht auf Datenübertragbarkeit
  • Recht auf Widerspruch gegen die Verarbeitung der Daten

Fristen für den Verantwortlichen

Macht eine betroffene Person von einem der oben genannten Antragsrechte Gebrauch, muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang der Anfrage antworten. Diese Frist kann vom Unternehmen um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen notwendig ist.

Beschwerde bei der Datenschutzbehörde

Im Falle einer behaupteten Rechtsverletzung kann jede betroffene Person innerhalb eines Jahres ab Kenntnis von dem Ereignis eine Beschwerde bei der Datenschutzbehörde einbringen. Das Bundesverwaltungsgericht entscheidet über Beschwerden gegen Bescheide der Datenschutzbehörde. Auch im Falle der Verletzung der Entscheidungspflicht der Datenschutzbehörde (Säumnis) ist das Bundesverwaltungsgericht zuständig.

Online-Ratgeber und -Rechner

Weiterführende Links

Rechtsgrundlagen

Letzte Aktualisierung: 27. März 2023

Für den Inhalt verantwortlich: USP-Redaktion