Häufig gestellte Fragen zur DSGVO

Was sind Sensible Daten?

Sensible Daten sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung zur eindeutigen Identifizierung einer natürlichen Person hervorgehen. Beispiele sind: Iris-Scan, Krankengeschichte, Allergien, Religionsbekenntnis, Fingerprint-Sensoren.

Gilt die DSGVO auch B2B? 

Ja. B2B (business to business) oder B2C (business to consumer) macht keinen Unterschied. Nur die Daten über eine GmbH oder AG (Daten der juristischen Person, also z.B. Name der GmbH) gelten laut DSGVO nicht als personenbezogen.

Gilt die DSGVO nur für elektronische Datenverarbeitung...

...oder etwa auch für handschriftliche Aufzeichnungen? Sofern diese Aufzeichnungen in einem Dateisystem aufbewahrt werden, fällt auch der Papierakt darunter. Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmen Kriterien wie dem Alphabet geordnet ist. 

Was sind die Folgen...

... für die gemeinsame Datenverarbeitung zwischen Unternehmen, die rechtlich verbunden sind, wie Mutter-/Tochterunternehmen? Es handelt sich dabei um „gemeinsame Verantwortliche“, wenn sie gemeinsam die Zwecke und die Mittel der Verarbeitung festlegen. In diesem Fall ist in einer Vereinbarung festzuhalten, wer von ihnen welche gesetzliche Verpflichtung übernimmt (z.B. wer handhabt die Betroffenenrechte, wer kommt den Informationspflichten nach). Die Vereinbarung ist nicht nur für die interne Aufgabenverteilung, sondern auch im Hinblick auf etwaige Regressansprüche gegeneinander wichtig.

Muss ich personenbezogene Daten löschen...

...oder reicht die Einschränkung der Datenverarbeitung? Wenn ein Löschungsanspruch besteht, sind die Daten faktisch zu löschen. Eine Einschränkung reicht nicht aus.

Was passiert, wenn ein Kunde seine Löschung beantragt,...

...aber der Datensatz aufgrund der Aufbewahrungspflicht 7 Jahre aufbewahrt werden muss, wie eine Rechnung mit den Kundendaten? Bei der Geltendmachung des Löschungsrechts gibt es einige spezielle Ablehnungsgründe. Der Anspruch darf daher abgelehnt werden, wenn die Verarbeitung erforderlich ist, zum Beispiel zur Erfüllung einer rechtlichen Verpflichtung, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, notwendig macht. Dies muss der betroffenen Person jedoch auch begründet mitgeteilt werden.

Wenn ich eine Einwilligung brauche, wie muss diese aussehen?

Eine „schlichte“ Einwilligung kann mündlich, schriftlich (elektronisch) oder sogar schlüssig (Kopfnicken, sonstige bestätigende Handlung) abgegeben werden. Aus Beweisgründen empfiehlt sich natürlich eine schriftliche. Muster gibt es unter www.wko.at/datenschutzservice. Wenn sensible Daten verarbeitet werden, muss eine ausdrückliche Einwilligung eingeholt werden.

Dürfen IT-Leiter, Personalleiter und ähnliche zum Datenschutzbeauftragten bestellt sein?

Nein. Zum Datenschutzbeauftragten dürfen keine Personen ernannt werden, die eine Funktion haben, die mit den Aufgaben als Datenschutzbeauftragter kollidieren, wie etwa Leiter der IT-Abteilung oder der Rechtsabteilung.

Wie sieht der Umgang mit mobilen Applikationen aus?

Hier ist darauf zu achten, dass Apps oftmals auf Ihre Daten am Endgerät zugreifen. Die Frage ist, ob das wirklich notwendig ist und ob hier mit einem berechtigten Interesse argumentiert werden könnte. Weiters ist darauf zu achten, dass die Daten, auf die zugegriffen wird, weitergegeben werden, das heißt Sicherheitsmaßnahmen sind definitiv relevant. Wenn Sie sich nicht sicher sind, wie sicher Ihre App ist, sollten Sie sich fragen, ob Sie die App brauchen und ob es sicherere Alternativen gibt. Lesen Sie mehr auf it-safe.at und zu mobilen Applikationen.

Wie müssen Mitarbeiter belehrt werden?

Am besten so, dass diese über die Basics im Datenschutz und ihren Tätigkeitsbereich Bescheid wissen. Am wichtigsten ist, dass Mitarbeiter ein Bewusstsein für den Datenschutz bekommen und erkennen, wenn etwas datenschutzrelevant wird. Sie sollen wissen, wohin sie sich bei Fragen wenden können.

Darf ich nun keine Rechnungen mehr ausstellen,...

... Daten der Bank weitergeben, Überweisungen tätigen, und dergleichen? Doch, die DSGVO verhindert keine Tätigkeiten, sie gibt nur den Rahmen vor: Werden personenbezogene Daten verarbeitet, müssen die Verarbeitungsvorgänge im Verarbeitungsverzeichnis erfasst und die betroffenen Personen darüber informiert werden. Mehr zum Thema Rechnungen

So denken die Unternehmen

Im Herbst 2017 präsentierte die WKO eine Umfrage darüber, wie Datenschutz in heimischen Unternehmen gesehen wird.

Grundsätzlich wurde dabei festgestellt, dass 93 Prozent der befragten Unternehmen Datenschutz und den Schutz der Privatsphäre für ein wichtigtes Thema halten, 60 Prozent sogar für ein sehr wichtiges. Auch wenn damals nur 5 Prozent der Unternehmen ihren Betrieb bereits auf die neue DSGVO umgestellt hatten, so hatten doch immerhin schon 60 Prozent mit der Umstellung begonnen. Größere Betriebe gaben dabei an,  sich mit der Umstellung in den meisten Fällen leichter zu tun. 

Mehr als zwei Drittel aller Unternehmen zeigten sich an externer Unterstützung interessiert, mehr als die Hälfte besonders in rechtlichen Fragen. 

Sieben von zehn Unternehmen gaben darüber hinaus an, dass sie Veränderungen durch die Digitalisierung bemerken. Als eine Herausforderung empfanden Unternehmen sowohl das betreffende Know-how als auch die finanziellen Ressourcen. 63 Prozent der Befragten wünschten sich Hilfestellungen bei der Digitalisierung - wie sie etwa KMU DIGITAL anbietet.