Der Gebrauch von Cookies erlaubt uns Ihre Erfahrungen auf dieser Website zu optimieren. Wir verwenden Cookies zu Statistikzwecken und zur Qualitätssicherung. Durch Fortfahren auf unserer Website stimmen Sie dieser Verwendung zu. Erfahren Sie mehr

Pflichten von Unternehmen – Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) beinhaltet verschiedene Pflichten für datenverarbeitende Unternehmen. Die wichtigsten Pflichten werden nachfolgend in ihren Grundzügen dargestellt.

Datenverarbeitungsverzeichnis

Verantwortliche sowie Auftragsverarbeiter müssen ein Verzeichnis all ihrer Datenverarbeitungstätigkeiten führen (Datenverarbeitungsverzeichnis). Das Datenverarbeitungsverzeichnis muss laufend aktualisiert werden. Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen.

Ausführliche Informationen zum Thema "Verzeichnis von Verarbeitungstätigkeiten" finden sich auf USP.gv.at.

Privacy by Design/Privacy by Default

"Privacy by Design" bedeutet "Datenschutz durch Technikgestaltung": Schon während der Planung von Datenverarbeitungsvorgängen sowie bei der Datenverarbeitung selbst müssen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um einen angemessenen Schutz der Daten sicherzustellen.

Beispiel: Pseudonymisierung, Verschlüsselung personenbezogener Daten

"Privacy by Default" bedeutet "Datenschutz durch datenschutzfreundliche Voreinstellungen": Der Verantwortliche muss sicherstellen, dass durch Voreinstellung grundsätzlich nur solche Daten, deren Verarbeitung für den jeweiligen Zweck auch wirklich erforderlich ist, verarbeitet werden. Diese Verpflichtung entspricht einem der wichtigsten Datenschutzgrundsätze der DSGVO, der "Datenminimierung".

Beispiel: Reicht das Alter oder das Geburtsjahr einer Person für den Zweck der Datenverarbeitung aus, darf nicht auch das genaue Geburtsdatum verarbeitet werden.

Informationspflichten

Der Verantwortliche ist verpflichtet, betroffenen Personen, deren Daten er erhebt, bestimmte Informationen zukommen zu lassen.

Beispiele: Namen und Kontaktdaten des Verantwortlichen, Zwecke der Datenverarbeitung, Speicherdauer

Erhebt der Verantwortliche die Daten bei der Person selbst, muss er die Informationen zum Zeitpunkt der Erhebung der Daten zur Verfügung stellen. Werden die Daten nicht bei der betroffenen Person erhoben, genügt grundsätzlich eine Informationserteilung binnen angemessener Frist, spätestens jedoch innerhalb eines Monats ab Erlangung der Daten.

In der Praxis werden die Informationen häufig über Datenschutzbestimmungen oder Datenschutzerklärungen (Privacy Policies) erteilt.

Welche Informationen im konkreten Fall erteilt werden müssen, lässt sich mittels des am Ende dieser Seite verlinkten Online-Ratgebers "Datenschutz-Grundverordnung" herausfinden.

Meldung von Datenschutzverletzungen

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, ist der Verantwortliche grundsätzlich verpflichtet, diese Verletzung sowohl der Datenschutzbehörde als auch (bei voraussichtlich hohem Risiko) der betroffenen Person zu melden.

Eine solche Datenschutzverletzung wird definiert als eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt.

Beispiele: Verlust eines Datenträgers, auf dem Kundendaten gespeichert sind; Hackerangriff

Wenn dem Auftragsverarbeiter eine Datenschutzverletzung bekannt wird, muss er diese dem Verantwortlichen unverzüglich melden.

Die Meldung der Datenschutzverletzung durch den Verantwortlichen an die Datenschutzbehörde muss unverzüglich und möglichst binnen 72 Stunden ab Kenntnis der Verletzung erfolgen.

Die Meldung der Verletzung an die betroffene Person muss unverzüglich und in klarer und einfacher Sprache erfolgen.

Ausführliche Muster für Meldungen an die Datenschutzbehörde bzw. betroffene Personensind am Ende dieser Seite abrufbar.

Datenschutzbeauftragter

In folgenden Fällen besteht eine Verpflichtung für Unternehmen, einen eigenen Datenschutzbeauftragten zu bestellen:

  • Kerntätigkeit des Unternehmens ist:

    • Eine umfangreiche regelmäßige und systematische Überwachung von Personen (z.B. Berufsdetektive) oder
    • Eine umfangreiche Verarbeitung "sensibler Daten" (z.B. Krankenhäuser) oder von Daten über strafrechtliche Verurteilungen oder Straftaten

Liegt keiner dieser Fälle vor, können der Verantwortliche oder der Auftragsverarbeiter auch freiwillig einen Datenschutzbeauftragten benennen.

Aufgaben des Datenschutzbeauftragten sind u.a. die Unterrichtung und Beratung des Unternehmens und der Beschäftigten sowie die Überwachung der Einhaltung der Datenschutzvorschriften.

Datenschutz-Folgenabschätzung

Info HINWEIS

Die Datenschutzbehörde hat eine Verordnung erlassen, in der jene Datenverarbeitungen angeführt sind, die von der Pflicht zur Datenschutz-Folgenabschätzung ausgenommen sind (sogenannte "white list" – siehe Link ganz unten).

Gehen Vorgänge der Datenverarbeitung voraussichtlich mit einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen einher, muss der Verantwortliche noch vor der Verarbeitung eine sogenannte "Datenschutz-Folgenabschätzung" durchführen. Besteht voraussichtlich kein solches hohes Risiko, kann eine Datenschutz-Folgenabschätzung unterbleiben.

Beispiel für Pflicht zur Datenschutz-Folgenabschätzung: Umfangreiche Verarbeitung von Gesundheitsdaten oder von Daten über strafrechtliche Verurteilungen und Straftaten

Ergibt die Datenschutz-Folgenabschätzung, dass die Verarbeitung ein hohes Risiko zur Folge hätte, muss der Verantwortliche grundsätzlich noch vor der Verarbeitung die Datenschutzbehörde konsultieren.

Online-Ratgeber und -Rechner

Rechtsgrundlagen

Zum besseren Verständnis und zur leichteren Lesbarkeit gilt in diesem Text bei allen personenbezogenen Bezeichnungen die gewählte Form für beide Geschlechter.

Services zu diesem Thema

Inhaltlicher Stand: 12.04.2019
Abgenommen durch: USP-Redaktion
Transparente Grafik zwecks Webanalyse