FAQs

BetroffenenrechteVerfahren vor der DatenschutzbehördeData-Breach-VerfahrenRechtsauskünfteBesondere DatenkategorienFoto & VideoInternetGläubigerschutz & KreditauskunfteienDatenschutz & CookiesVerpflichtungen für UnternehmenEinzelfälle

Verpflichtungen für Unternehmen

Pflicht zur Benennung einer:eines Datenschutzbeauftragten

Unter gewissen Voraussetzungen ist eine Verantwortliche:r verpflichtet, gemäß Art. 37 ff DSGVO eine:n Datenschutzbeauftragte:n zu benennen.

Die:Der Datenschutzbeauftragte:r kann (zumindest im privaten Bereich) eine intern oder extern beschäftigte Person sein. Die:Der Datenschutzbeauftragte:r hat insbesondere Fachwissen im Bereich des Datenschutzrechts und der Datenpraxis aufzuweisen und ist mit entsprechenden Ressourcen zur Umsetzung seiner:ihrer Aufgaben auszustatten.

Die:Der Datenschutzbeauftragte:r hat insbesondere die Aufgabe, die:den Verantwortlichen und deren:dessen Beschäftigte hinsichtlich der datenschutzrechtlichen Vorgaben zu sensibilisieren und zu beraten. Darüber hinaus ist die:der Datenschutzbeauftragte in diverse Tätigkeiten einzubinden, wie etwa im Zusammenhang mit der Durchführung einer Datenschutz-Folgenabschätzung. Im Rahmen der Erfüllung ihrer:seiner Aufgaben ist die:der Datenschutzbeauftragte weisungsfrei und darf wegen iher:seiner Aufgabenerfüllung auch nicht abberufen oder benachteiligt werden.

Zusammengefasst kann die:der Datenschutzbeauftragte als Brücke zwischen Datenschutz und Vorstands- oder Geschäftsführungsebene gesehen werden.

Pflicht zur Benennung einer:eines Datenschutzbeauftragten
Ein:e Datenschutzbeauftragte:r ist gemäß 37 Abs. 1 DSGVO auf jeden Fall zu benennen, "wenn

  • "Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,

  • Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

  • Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht."

    Für den Fall einer Benennung veröffentlicht die:der Verantwortliche die Kontaktdaten der:des Datenschutzbeauftragten und teilt diese auch der Datenschutzbehörde mit. Der Datenschutzbehörde gegenüber ist darüber hinaus jedenfalls auch der Name der:der Datenschutzbeauftragten bekanntzugeben.

    Die Artikel-29-Datenschutzgruppe als Vorgängerin des europäischen Datenschutzausschusses (EDSA) hat Leitlinien in Bezug auf Datenschutzbeauftragte verfasst.

    Diese Leitlinien sind nicht verbindlich, aber als Hilfsmittel zur Beantwortung in diesem Zusammenhang allenfalls auftretender inhaltlicher Fragen geeignet.

    Leitlinien in Bezug auf Datenschutzbeauftragte (alle Sprachen) »

    Wenn seitens der:des Verantwortlichen ein:e Datenschutzbeauftragte:r im Sinne des Art. 37 DSGVO bestellt wurde, ist diese:r der Datenschutzbehörde gemäß Art. 37 Abs. 7 DSGVO zu melden.

    Meldung an die Datenschutzbehörde
    Datenschutzbeauftragte können der Datenschutzbehörde per E-Mail an dsb@dsb.gv.at oder per Brief an die „Österreichische Datenschutzbehörde, Barichgasse 40-42, 1030 Wien“ gemeldet werden.

    Darin sollten jedenfalls die Bezeichnung der:des Verantwortlichen sowie Name/Bezeichnung und Kontaktdaten der:des Datenschutzbeauftragten genannt werden.

    Diese Ausführungen gelten sinngemäß auch für Auftragsverarbeiter:innen gemäß Art. 4 Z 8 DSGVO.

Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung

Wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat, so hat dei.der Verantwortliche vorab eine Datenschutz-Folgenabschätzung durchzuführen.

Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:

  1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen

  2. Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten (Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten oder

  3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche


Die Datenschutz-Folgenabschätzung enthält zumindest Folgendes:

  1. Eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von der:dem Verantwortlichen verfolgten berechtigten Interessen

  2. Eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck

  3. Eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und

  4. Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die DSGVO eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird

    Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Abschätzung vorgenommen werden.


Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V)

Die Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgeabschätzung erforderlich ist (DSFA-V), ist eine Liste der Arten von Verarbeitungsvorgängen für die jedenfalls eine Datenschutz-Folgenabschätzung erforderlich ist (Art. 35 Abs. 4 DSGVO).

Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung
durchzuführen ist (DSFA-V) »
Erläuterungen zur DSFA-V »

Wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte ist die Datenschutzbehörde zu konsultieren, sofern die:der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Die Datenschutzbehörde kann schriftliche Empfehlungen aussprechen.

Wenn die Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, können die Verantwortlichen mit österreichischem Recht verpflichtet werden, die Datenschutzbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.

Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist - das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012 - kommt dies hingegen nicht in Betracht.

Die Details dazu finden Sie in der Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV)

Die Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV) ist eine Liste der Arten von Verarbeitungsvorgängen für die keine Datenschutz-Folgenabschätzung erforderlich ist (Art. 35 Abs. 5 DSGVO).

Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV) »
Erläuterungen zur DSFA-AV »

Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen.

Die Artikel-29-Datenschutzgruppe hat dazu Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt" verfasst. Leitlinien sind nicht verbindlich, aber als Hilfsmittel geeignet.

Leitlinien zur Datenschutz-Folgenabschätzung (alle Sprachen) »

Näheres zum Konsultationsverfahren »

Datenübermittlung & Standardvertragsklauseln

Wenn personenbezogene Daten von einer:einem im EWR-ansässigen Verantwortlichen oder Auftragsverarbeiter:in an eine:n Empfänger:in in einem Drittland oder an eine internationale Organisation (Art. 4 Z 26 DSGVO) weitergegeben werden sollen, muss eine der Bedingungen des Kapitels V der DSGVO erfüllt sein.

Wenn Sie sich einer Auftragsverarbeiterin bzw. eines Auftragsverarbeiters in einem Drittstaat bedienen, müssen Sie grundsätzlich eine Vereinbarung gemäß Art. 28 Abs. 3 DSGVO abschließen und darüber hinaus im Einklang mit Kapitel V DSGVO ein angemessenes Schutzniveau der übermittelten personenbezogenen Daten garantieren. Dies gilt auch bei allfälligen Weiterübermittlungsketten durch Ihre:Ihren Auftragsverarbeiter:in.

Der praktisch wichtigsten Instrumente sind - neben den von der Europäischen Kommission erlassenen Angemessenheitsbeschlüssen - die „Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates“.

Auf Basis dieser modularen Standardvertragsklauseln können Sie die Übermittlung von personenbezogenen Daten in einen Drittstaat gemäß Art. 46 Abs. 2 lit. c DSGVO vornehmen. Es kann jedoch erforderlich sein, dass neben der Verwendung von Standardvertragsklauseln zusätzliche Maßnahmen (EuGH 16. Juli 2020, C 311/18) getroffen werden müssen (bspw. auf technischer oder organisatorischer Ebene), um ein der Sache nach gleichwertiges Schutzniveau sicherzustellen (siehe dazu Europäischer Datenschutzausschuss, Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, abrufbar auf der Webseite des Europäischen Datenschutzausschusses). Die Sicherstellung eines der Sache nach gleichwertigen Schutzniveaus ist im Rahmen der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachzuweisen.

Webseite des Europäischen Datenschutzausschusses

Eine Liste der aktuell geltenden Angemessenheitsbeschlüsse ist abrufbar auf der Webseite der Europäischen Kommission.

Webseite der Europäischen Kommission

Top