Ihre Pflichten als Verantwortliche:r

Die Grundsätze gemäß Art. 5 DSGVO bilden die Eckpfeiler des Datenschutzrechts und sind von der:den Verantwortlichen bei jeder Datenverarbeitung einzuhalten:

• Rechtmäßigkeit (hierzu sogleich näher), Verarbeitung nach Treu und Glauben, Transparenz


• Zweckbindung


• Datenminimierung


• Richtigkeit


• Speicherbegrenzung


• Integrität und Vertraulichkeit

Eine Datenverarbeitung darf nur durchgeführt werden, sofern diese rechtmäßig ist. Ein:e Verantwortliche:r hat daher zu gewährleisten, dass jede Datenverarbeitung nur unter den in Art. 6 DSGVO genannten Bedingungen (auch bekannt als „Erlaubnistatbestände“) durchgeführt wird.

Beispiel: Ein Unternehmen will einen Werbe-Newsletter an betroffene Personen verschicken. Hierzu holt das Unternehmen eine Einwilligung jener Personen ein, die sich ausdrücklich für den Newsletter entscheiden. Da die Einwilligung als Erlaubnistatbestand in Art. 6 Abs. 1 lit. a DSGVO angeführt wird, erweist sich die Datenverarbeitung (zumindest bis zum allfälligen Widerruf der Einwilligung) als rechtmäßig.

Sofern besondere Kategorien personenbezogener Daten („sensible Daten“) gemäß Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO verarbeitet werden, sind die dort enthaltenen Bestimmungen zusätzlich zu Art. 6 DSGVO zu beachten.

Die datenschutzrechtlichen Betroffenenrechte in Kapitel III der DSGVO gewähren betroffenen Personen die Kontrolle über ihre personenbezogenen Daten. Hierzu zählt etwa (aber nicht nur) das Recht auf Auskunft, das Recht auf Berichtigung oder das Recht auf Löschung.

Die Betroffenenrechte müssen immer von der:dem jeweiligen Verantwortlichen erfüllt werden. Mit anderen Worten: Aus Sicht der:des Verantwortlichen handelt es sich bei den Betroffenenrechten um Verpflichtungen, die einzuhalten sind. Besondere Bedeutung kommen den Vorgaben von Art. 12 DSGVO zu. Diese Norm regelt, welche Vorgaben bei der Erfüllung von Betroffenenrechten zu beachten sind.

Datenschutz durch Technikgestaltung (Englisch: „privacy by design“) bedeutet, dass Datenschutz nicht nur bei der eigentlichen Verarbeitung, sondern schon bei der Entwicklung oder Auswahl von Technologien berücksichtigt wird. Systeme und Prozesse müssen so gestaltet werden, dass der Schutz personenbezogener Daten von Anfang an eingebaut ist.

Beispiel: Ein Unternehmen entwickelt eine Messaging App. Bereits bei der Planung der App wird überlegt, welche technischen und organisatorischen Maßnahmen umgesetzt werden können, um den Schutz personenbezogener Daten bzw. der Privatsphäre zu gewährleisten.

Datenschutz durch datenschutzfreundliche Voreinstellungen (Englisch: „privacy by default“) bedeutet, dass die Standardeinstellungen von Systemen und Anwendungen so gestaltet sind, dass sie den größtmöglichen Schutz für personenbezogene Daten bieten.

Beispiel: Die Einstellung eines Webbrowsers ist standardmäßig so konfiguriert, dass dieser Tracker blockiert, die das Online-Verhalten der Nutzer verfolgen.

Die Vorgaben für Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind in Art. 25 DSGVO normiert. Der EDSA hat Leitlinien veröffentlicht, die bei der Umsetzung dieser Vorgaben als Hilfe herangezogen werden können.

Die:Der Verantwortliche hat (im Regelfall) gemäß Art. 30 Abs. 1 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen.

In Kapitel IV der DSGVO sind unterschiedliche Pflichten für Verantwortliche normiert, die als Maßnahmen zur Compliance zusammengefasst werden können.
Zu diesen zählen:

• Abschluss einer Vereinbarung, sofern eine gemeinsame Verantwortlichkeit zwischen zumindest zwei Organisationen vorliegt (Art. 26 DSGVO)


• Abschluss einer Vereinbarung („Auftragsverarbeitervereinbarung“), sofern ein:e Auftragsverarbeiter:in herangezogen wird Art. 28 DSGVO)


• Führen eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)


• Zusammenarbeit mit der Aufsichtsbehörde, sofern diese Anfragen stellt (Art. 31 DSGVO)


• Belehrung der Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses (§ 6 Abs. 3 DSG)

Jede:r Verantwortliche hat gemäß Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen (TOMs) zu treffen, um ein dem (Verarbeitungs-) Risiko angemessenes Schutzniveau zu gewährleisten. Die DSGVO folgt an dieser Stelle dem sogenannten risikobasierten Ansatz. Vereinfacht ausgedrückt gilt: Je höher das Risiko, desto umfangreicher müssen die Datensicherheitsmaßnahmen sein.

Beispiel: Ein Bäcker, der lediglich E-Mail-Adressen zum Versand von Werbung für Backwaren verarbeitet, hat deutlich weniger Datensicherheitsmaßnahmen umzusetzen als ein großes Krankenhaus.

Konkret sind bei der Beurteilung, welche TOMs zu treffen sind, der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. In der DSGVO werden u.a. die folgenden Maßnahmen (beispielhaft) angeführt:

• Die Pseudonymisierung und Verschlüsselung personenbezogener Daten


• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen


• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen


• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

Zusammengefasst sind im ersten Schritt die mit der Datenverarbeitung verbundenen Risiken zu beurteilen und im zweiten Schritt geeignete technische und organisatorische Maßnahmen (TOMs) umzusetzen, die diese Risiken adressieren. Darüber hinaus ist zu beachten, dass die Datensicherheitsmaßnahmen regelmäßig auf ihre Wirksamkeit überprüft und ggf. verbessert werden müssen.

Die Agentur der Europäischen Union für Cybersicherheit (European Union Agency for Cybersecurity, ENISA) stellt ein Tool zur Verfügung, mit dessen Hilfe die Risikobewertung online durchgeführt werden kann. Das Tool ist insbesondere für kleine und mittlere Unternehmen (KMUs) geeignet. Nach Abschluss der Risikobewertung werden konkrete TOMs zur Umsetzung vorgeschlagen.

Sofern eine Verletzung des Schutzes personenbezogener Daten gemäß Art. 4 Z 12 DSGVO („Data Breach“) voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, hat gemäß Art. 33 DSGVO eine Meldung an die Datenschutzbehörde über diesen Data Breach zu erfolgen.

Die Meldung ist unverzüglich und möglichst binnen 72 Stunden, nachdem der Data Breach bekannt wurde, durchzuführen. Erfolgt die Meldung nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Für die Meldung stellt die Datenschutzbehörde unverbindliche Formulare zur Verfügung:

Online-Formular Data Breach »
PDF-Formular Data Breach »

Führt dieser Data Breach zu einem hohen Risiko, hat zusätzlich zur Meldung an die Datenschutzbehörde im Regelfall gemäß Art. 34 DSGVO eine Benachrichtigung der betroffenen Personen über diesen Data Breach zu erfolgen.

Der EDSA hat Leitlinien veröffentlicht, die bei der Beurteilung der Frage, ob anlässlich eines Data Breach eine Melde- und Benachrichtigungspflicht vorliegt, herangezogen werden können.

Bei der Verarbeitung personenbezogener Daten ist grundsätzlich keine vorherige Genehmigung oder Meldung an die Datenschutzbehörde erforderlich. Insbesondere wurde das ehemalige Datenverarbeitungsregister (DVR) mit der DSGVO abgeschafft.

Allerdings sieht Art. 35 DSGVO vor, dass unter gewissen Voraussetzungen eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Der Sinn und Zweck einer DSFA besteht darin, die Risiken und Auswirkungen einer Datenverarbeitung auf die Rechte und Freiheiten betroffener Personen zu bewerten und geeignete Maßnahmen zu ergreifen, um diese Risiken zu minimieren.

Gemäß Art. 35 Abs. 3 DSGVO ist eine DSFA insbesondere in folgenden Fällen erforderlich:

• Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;


• umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder


• systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Bei der Frage, ob eine DSFA durchzuführen ist, sind auf nationaler Ebene auch die folgenden Verordnungen der Datenschutzbehörde zu beachten:

Verordnung der Datenschutzbehörde über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V): Die DSFA-V ist eine Liste der Arten von Verarbeitungsvorgängen, für die jedenfalls eine Datenschutz-Folgenabschätzung erforderlich ist (Art. 35 Abs. 4 DSGVO).
DSFA-V »

Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV): Die DSFA-AV ist eine Liste der Arten von Verarbeitungsvorgängen, für die keine Datenschutz-Folgenabschätzung erforderlich ist (Art. 35 Abs. 5 DSGVO).
DSFA-AV »

Der EDSA hat Leitlinien veröffentlicht, die bei der Durchführung einer DSFA als Hilfe herangezogen werden können.

In § 1 Abs. 1 DSG ist das verfassungsmäßig gewährleistete Recht auf Geheimhaltung verankert. Demnach haben Sie einen Anspruch auf Geheimhaltung der Sie betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

Vom Schutzbereich des Rechts auf Geheimhaltung sind alle Verarbeitungsformen umfasst.

Das Grundrecht auf Datenschutz besteht auch bei Geltung der DSGVO. Zur Auslegung des Rechts auf Geheimhaltung werden die Regelungen der DSGVO und die darin verankerten Grundsätze von der Datenschutzbehörde herangezogen.

Damit eine Verarbeitung personenbezogener Daten zulässig ist, muss zum einen zumindest eine der in Art. 6 Abs. 1 DSGVO angeführten Bedingungen bzw. Erlaubnistatbestände erfüllt sein (wie beispielsweise ein berechtigtes Interesse oder eine Einwilligung vorliegen), und müssen zum anderen die in Art. 5 Abs. 1 DSGVO aufgestellten Grundsätze für die Verarbeitung eingehalten werden.

Verstöße gegen § 1 Abs. 1 DSG können sehr verschieden gelagert sein (vgl. etwa „Einzelfälle“). Darunter könnten etwa Datenverarbeitungen durch Videokameras fallen oder die Offenlegung von Daten an unberechtigte Dritte.

Geht aus einer DSFA (siehe den Punkt „Datenschutz-Folgenabschätzung“) hervor, dass die Datenverarbeitung ein hohes Risiko zur Folge hätte, sofern die:der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, hat die:der Verantwortliche gemäß Art. 36 DSGVO die Datenschutzbehörde zu konsultieren.
Diesfalls kann es in Folge zum Konsultationsverfahren kommen
Im Rahmen eines solchen Verfahrens kann die Datenschutzbehörde der:dem Verantwortlichen innerhalb einer Frist von bis zu Acht Wochen (welche ggf. um sechs Wochen verlangt werden kann) schriftliche Empfehlungen hinsichtlich der geplanten Datenverarbeitung erteilen. Möglich ist auch, dass die Datenverarbeitung untersagt wird, sofern diese nach Ansicht der Datenschutzbehörde nicht in Einklang mit der DSGVO zu bringen ist. Die Frist beginnt erst zu laufen, nachdem der Datenschutzbehörde alle für die Zwecke der Konsultation erforderlichen Informationen zur Verfügung stehen.
Im Rahmen der Konsultation der Datenschutzbehörde hat die:der Verantwortliche zumindest die folgenden Informationen zur Verfügung zu stellen:

• Gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten der:des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter:innen insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen


• Die Zwecke und die Mittel der beabsichtigten Verarbeitung


• Die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß dieser Verordnung vorgesehenen Maßnahmen und Garantien


• Gegebenenfalls die Kontaktdaten der:des Datenschutzbeauftragten


• Die Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO und


• Alle sonstigen von der Aufsichtsbehörde angeforderten Informationen

Der EDSA hat Leitlinien veröffentlicht, die bei der Durchführung einer DSFA als Hilfe herangezogen werden können

Unter gewissen Voraussetzungen ist ein:e Verantwortliche:r verpflichtet, gemäß Art. 37 ff DSGVO eine:n Datenschutzbeauftragte:n zu benennen.

Die:Der Datenschutzbeauftragt:e kann eine intern oder eine extern beschäftigte Person sein.

Die:Der Datenschutzbeauftragte hat insbesondere Fachwissen im Bereich des Datenschutzrechts und der Datenpraxis aufzuweisen und ist mit entsprechenden Ressourcen zur Umsetzung hrer:seiner Aufgaben auszustatten.

Die:Der Datenschutzbeauftragte hat insbesondere die Aufgabe, die:den Verantwortliche:n und ihre:seine Beschäftigten hinsichtlich der datenschutzrechtlichen Vorgaben zu sensibilisieren und zu beraten. Darüber hinaus ist die:der Datenschutzbeauftragte in diverse Tätigkeiten einzubinden, wie etwa im Zusammenhang mit der Durchführung einer DSFA (siehe den Punkt „Datenschutz-Folgenabschätzung“). Im Rahmen der Erfüllung ihrer:seiner Aufgaben ist die::der Datenschutzbeauftragte weisungsfrei und darf wegen ihrer:seiner Aufgabenerfüllung auch nicht abberufen oder benachteiligt werden.

Zusammengefasst kann die:der Datenschutzbeauftragte als Brücke zwischen Datenschutz und Vorstands- oder Geschäftsführungsebene gesehen werden.

Ein:e Datenschutzbeauftragte:r ist gemäß 37 Abs. 1 DSGVO auf jeden Fall zu benennen, wenn

• Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln


• Die Kerntätigkeit der:des Verantwortlichen oder der Auftragsverarbeiterin bzw. des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder


• Die Kerntätigkeit der:des Verantwortlichen oder der Auftragsverarbeiterin bzw. des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. Die:Der Verantwortliche oder die:der Auftragsverarbeiter:in veröffentlicht die Kontaktdaten der:des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit

Für den Fall einer Benennung veröffentlicht die:der Verantwortliche die Kontaktdaten der:des Datenschutzbeauftragten und teilt diese auch der Datenschutzbehörde mit.

Die Benennung der:des Datenschutzbeauftragen kann der Datenschutzbehörde hier mitgeteilt werden:

Für den Fall, dass personenbezogene Daten an Drittländer oder internationale Organisationen übermittelt werden, sind – zusätzlich zu den oben beschriebenen Pflichten – die Vorgaben von Kapitel V der DSGVO zu beachten. Unter „Drittländer“ sind alle Staaten zu verstehen, bei denen es sich nicht um EU-Mitgliedstaaten oder EFTA-Staaten (Island, Liechtenstein, Norwegen) handelt.

Werden personenbezogene Daten an Drittländer oder internationale Organisationen übermittelt, so muss dies immer auf Grundlage eines der folgenden Transferinstrumente erfolgen:

• Angemessenheitsbeschluss (Art. 45 DSGVO);

Liste der Kommission »


• Geeignete Garantien (insbesondere verbindliche interne Datenschutzvorschriften oder Standarddatenschutzklauseln, Art. 46 DSGVO);


• Ausnahmen für bestimmte Fälle (Art. 49 DSGVO).

Der EDSA hat Empfehlungen veröffentlicht, die bei der Prüfung der Vorgaben des internationalen Datenverkehrs als Hilfe herangezogen werden können

DieDer Verantwortliche muss die Einhaltung der zuvor aufgezählten Pflichten gemäß Art. 5 Abs. 2 und Art. 24 DSGVO – jedenfalls im Streitfall – nachweisen können. Die DSGVO nennt dies Rechenschaftspflicht, der Europäische Gerichtshof spricht in diesem Zusammenhang auch von einer Beweislast der:des Verantwortlichen.

Beispiel 1: Ein:e Verantwortliche:r stützt sich für den Versand eines E-Mail-Newsletters auf die Einwilligung einer betroffenen Person. Erhebt die betroffene Person in Folge Beschwerde an die Datenschutzbehörde und bringt vor, dass sie gar keine Einwilligung abgegeben hat, so hat die:der Verantwortliche das Einholen der Einwilligung im Zweifel nachzuweisen.

Beispiel 2: Die Datenschutzbehörde führt eine Datenschutzüberprüfung (amtswegiges Prüfverfahren) gegen eine Organisation. Prüfgegenstand ist die Sicherheit der Verarbeitung. Im Rahmen der Datenschutzüberprüfung hat die:der Verantwortliche auf Anfrage der Datenschutzbehörde die gemäß Art. 32 DSGVO getroffenen technischen und organisatorischen Maßnahmen nachzuweisen. Werden keine Nachweise erbracht, kann sich das negativ auf das Ergebnis der Datenschutzüberprüfung auswirken.

Im Fall eines Verstoßes gegen die oben angeführten Pflichten kann u.a. gemäß Art. 83 DSGVO eine Geldbuße gegen die:den Verantwortliche;n verhängt werden.

Die Höhe der Geldbuße beträgt bei Verstößen bis zu 10 Millionen Euro oder im Falle eines Unternehmens bis zu 2% des weltweit erzielten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Bei bestimmten schwerwiegenden Verstößen beträgt die Höhe der Geldbuße bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes. Ob und in welcher Höhe eine Geldbuße verhängt wird, ist immer eine Einzelfallbeurteilung.

Darüber hinaus können betroffene Personen gemäß Art. 82 DSGVO auch Schadenersatz gegen die:den Verantwortliche:n einklagen. Zu beachten ist, dass für Schadenersatzklagen nicht die Datenschutzbehörde, sondern die Zivilgerichte zuständig sind.

Achtung: Zieht ein:e Verantwortliche:r eine:n Auftragsverarbeiter:in heran und verursacht diese:r Auftragsverarbeiter:in einen Verstoß gegen die DSGVO, so ist dieses Verhalten nach Judikatur des Europäischen Gerichtshofs so zu qualifizieren, als hätte die:der Verantwortliche den Verstoß begangen. Partner wie Auftragsverarbeiter:innen sollten daher immer sorgfältig ausgewählt werden.