Ing. Walter Wratschko – Der Scout im Dienste Ihrer Daten!


„Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.“
§1 S 1 österreichisches Datenschutzgesetz (DSG)

Es ist mir ein persönliches Anliegen, Ihnen ein verständlicher Scout durch den Dschungel der Vielzahl an nationalen und europaweiten Datenschutz-relevanten Verordnungen zu sein.

Dabei lege ich den Fokus auf jene Bereiche der Datenschutzgesetze, welche für Ihr Unternehmen wirksam sind.

Jene UnternehmerInnen, welche nicht nur den Gesetzen genüge tun wollen, sondern das Optimum aus Ihren Daten-Schätzen herausholen wollen, finden in mir auch einen kompetenten Navigator zur digitalen Exzellenz.

DSGVO-Box

9 + 1 =

Machen Sie jetzt den DSGVO-Check!

Sie haben sich bereits mit der DSGVO, der Datenschutzgrundverordnung, beschäftigt? Sie haben schon Einiges umgesetzt, trotzdem sind noch Fragen offen? Sie möchten sichergehen, dass Sie die Dokumentationspflichten für personenbezogene Daten erfüllen?

Machen Sie jetzt den DSGVO-Check und stellen Sie sicher, dass im Fall der Prüfung durch die Aufsichtsbehörde Ihre Rechtskonformität garantiert ist.

Nutzen Sie die DSGVO-Box für Ihre Anfrage!

Ihre persönlichen Daten werden einzig für Ihre Anfrage bearbeitet. Es erfolgt keine Datenspeicherung. Sie stimmen durch Bekanntgabe Ihrer Daten dieser Bearbeitung ausdrücklich zu und können dies jederzeit durch ein Mail an der@dsgvo-scout.at widerrufen!

Die wichtigsten Fragen zur DSGVO

Ist jeder IT-Betreuer automatisch Auftragsverarbeiter?

Wenn der IT-Betreuer ein externes Unternehmen ist und Ihre personenbezogenen Daten verarbeitet (Wartung, Support,…), dann ja. Er muss von Ihnen als Verantwortlicher beauftragt werden (Vertrag nicht vergessen, Muster finden Sie hier). Beispiel IT-Dienstleistungen vor Ort an Endgeräten des Verantwortlichen: Maßgeblich ist, ob eine beauftragte Tätigkeit „im Zusammenhang mit personenbezogenen Daten“ steht oder nicht. Keine Verarbeitung liegt vor, wenn bloß eine theoretische Möglichkeit zum Zugriff auf Daten besteht und der Zugriff auch vertraglich ausgeschlossen wurde. Keine Auftragsverarbeitung besteht insbesondere dann, wenn Auftragsgegenstand bloß die Erhaltung und Weiterentwicklung von Funktionalitäten von Anwendungen ist, ohne dass dafür die Verarbeitung von personenbezogenen Daten erforderlich ist oder damit einhergeht. Gleiches gilt auch bei IT-Dienstleistungen mittels Fernwartung (Remote Support, Screen Sharing, etc).

Was muss ich konkret als Kleinunternehmen tun, der normale Kundendaten von Kunden speichert?

Sie müssen auch als kleiner Händler ALLE Vorgaben der DSGVO beachten. Beginnen sollten Sie einmal mit einer Art „Dateninventur“, schauen Sie sich an, wo und wie Sie überall im Betrieb personenbezogene Daten verarbeiten. Das Anlegen und permanente Aktualisieren von VdV (Verzeichnis der Datenverarbeitungen) und TOM’s (Liste der technischen und organisatorischen zur Datensicherheit und zum Datenschutz) ist für JEDEN Unternehmer obligatorisch.

Welche betrieblichen Änderungen kommen auf uns zu?

Das Verarbeitungsverzeichnis ist völlig neu, ebenso die eigenständige Risikoanalyse, die Datenschutz-Folgenabschätzung, der Datenschutzbeauftragte in manchen Fällen, es gibt neue Regelungen bei den Rechten betroffenener Personen und der Meldepflichten von Datenschutzverletzungen, usw.

Gelten die Vorschriften nur für elektronische Datenverarbeitung oder z.B. auch für handschriftliche Aufzeichnungen?

Sofern diese Aufzeichnungen in einem Dateisystem aufbewahrt werden, fällt auch der Papierakt darunter. Dateisystem ist eine strukturierte Sammlung personenbezogener Daten, die nach bestimmen Kriterien geordnet ist (zB alphabetisch, chronologisch,…).

Wie sind Visitenkarten handzuhaben?

Visitenkarten sind dann, wenn Sie diese elektronisch abspeichern oder in einer gewissen Ordnung aufbewahren, ebenfalls von der DSGVO erfasst.

Was ist mit den Online-Aktivitäten?

Also zum Beispiel dem Händler, der Sozial Media-Werbung macht, AdWords schaltet und Verkäufe über den Online-Shop umsetzt? Auch Sie verarbeiten personenbezogene Daten, dass heisst die Bestimmungen der DSGVO sind für Sie anwendbar. Auf Websites kommen allerdings auch andere Bestimmungen aus anderen Rechtsgebieten  zur Anwendung, Näheres hierzu finden Sie in meiner Checkliste zu „rechtskonformen Webseite in Zeiten der DSGVO“

Was muss ein KMU mit den personenbezogenen Daten tun?

Abspeichern? Einreichen bei Behörden? Nichts dergleichen. Sie tun das, was Sie aufgrund Ihrer Vertragsbeziehung mit dem jeweils Betroffenen vereinbart haben, wozu Sie gesetzlich verpflichtet sind oÄ. Sie arbeiten tagtäglich mit personenbezogenen Daten (zB Rechnungsausstellung an einen Kunden). All diese Vorgänge sind in Zukunft zu protokollieren. Das Protokoll (= Verarbeitungsverzeichnis), ist allerdings nirgends zu veröffentlichen, es muss nur der Behörde bei einer allfälligen Prüfung offen gelegt werden.

Sind Telekommunikationsunternehmen Auftragsverarbeiter?

Telekom-Unternehmen sind wie Access Provider idR keine Auftragsverarbeiter.

Benötige ich als Unternehmer eine Vereinbarung zur Auftragsdatenverarbeitung mit meinem Steuerberatungsbüro?

Nein – nach nach einer aktuellen Aussendung der KSW (Kammer der Steuerberater und Wirtschaftsprüfer) gibt es eine rechtskräftige Entscheidung von Anfang 2018, in der die Datenschutzbehörde festhält, dass dem  Wirtschaftstreuhänder die Stellung eines datenschutzrechtlichen Auftraggebers („Verantwortlichen“) zukommt. Dies trifft auch dann zu, wenn der Wirtschaftstreuhänder „nur“ als Lohnabrechner für Sie tätig ist. Eine Vereinbarung zur Auftragsdatenverarbeitung ist somit nicht notwendig. Nähere Informationen finden Sie hier!