Suchen
Generic filters
Ratgeber
News
Store
Anwälte

Kategorie: Datenschutzrecht

Wie protokolliere ich die Löschung eines konkreten Empfängers aus einem Newsletterverteiler, ohne die Daten in der Protokollierung zu nennen (dort zu speichern)? Und was ist mit Sicherungsbackups, in denen die Daten (noch lange) enthalten sein werden?

Im Verarbeitungsverzeichnis ist lediglich die vorgesehene Frist für die Löschung zu protokollieren. Jeder einzelne Löschvorgang muss nicht verzeichnet werden. Das österreichische Datenschutzgesetz hat für den Fall, dass die Löschung aus Backups aus wirtschaftlichen oder technischen Gründen nicht unverzüglich erfolgen kann, festgelegt, dass die Löschung auch zu einem späteren Zeitpunkt vorgenommen werden kann. Die Verarbeitung der …

Wie protokolliere ich die Löschung eines konkreten Empfängers aus einem Newsletterverteiler, ohne die Daten in der Protokollierung zu nennen (dort zu speichern)? Und was ist mit Sicherungsbackups, in denen die Daten (noch lange) enthalten sein werden? Read More »

Ich notiere Gesundheitsdaten, Namen, Adressen und Telefonnummer von Patienten schriftlich auf Papier, nur die Buchhaltung und Rechnungen laufen über den PC. Wie soll das Datenverarbeitungsverzeichnis aussehen?

Hierbei sind mehrere Punkte zu beachten: Die DSGVO findet auch auf die analoge Verarbeitung personenbezogener Daten Anwendung, wenn diese einer Ordnung unterliegen. Wenn die Kundenkarten daher beispielsweise alphabetisch, geographisch oder nach dem Datum des erstmaligen Kontaktes geordnet sind, unterliegen sie der DSGVO. Lediglich Akten in Papierform, die nicht nach bestimmten Kriterien geordnet werden, unterliegen nicht …

Ich notiere Gesundheitsdaten, Namen, Adressen und Telefonnummer von Patienten schriftlich auf Papier, nur die Buchhaltung und Rechnungen laufen über den PC. Wie soll das Datenverarbeitungsverzeichnis aussehen? Read More »

Datenverarbeitungsverzeichnis und die Weitergabe von Daten an Steuerberater/Rechtsanwalt (Buchhaltung, Steuerabwicklung, etc)

Im Verarbeitungsverzeichnis sind unter anderem die Kategorien von Empfängern (Auftragsverarbeiter, andere Verantwortliche, sonstige Empfänger) anzugeben. Der Steuerberater wäre daher unter diesem Punkt anzugeben. Das Verarbeitungsverzeichnis soll einen allgemeinen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Jeder Unternehmer sollte sich zuerst überlegen, zu welchen Zwecken er Daten verarbeitet. Anschließend sollten für jeden Zweck die Kategorien …

Datenverarbeitungsverzeichnis und die Weitergabe von Daten an Steuerberater/Rechtsanwalt (Buchhaltung, Steuerabwicklung, etc) Read More »

Muss ich als Auftragsverbeiter (IT-Dienstleister) pro Kunde ein Verfahrensverzeichnis führen oder reicht eines, wo ich die Datenzwecke, -kategorien, -typen allgemein erfasse?

Grundsätzlich muss zumindest pro Verantwortlichen ein eigenes Stammblatt geführt werden. Es gibt Meinungen in der Literatur, die bei Auftragsverarbeitern im Massengeschäft (Cloud Service-Provider, Hosting-Anbieter, Software-as-a-Service-Plattformen) an dieser Stelle die Angaben auf die bloße Kategorie von Verantwortlichen beschränken, um das Verzeichnis handhabbar zu erhalten. Sofern eine Anfrage der Aufsichtsbehörde nach dem Verzeichnis der Verarbeitungstätigkeit eingeht, sollte dieser Punkt …

Muss ich als Auftragsverbeiter (IT-Dienstleister) pro Kunde ein Verfahrensverzeichnis führen oder reicht eines, wo ich die Datenzwecke, -kategorien, -typen allgemein erfasse? Read More »

Muss ich ein eigenes Verarbeitungsverzeichnis für Deutschland führen?

Nein. Aufgrund des Territorialitätsprinzips gilt für Unternehmen, die eine Niederlassung in Österreich haben das österreichische Datenschutzgesetz sowie die DSGVO. Ein Verarbeitungsverzeichnis muss in Ihrem Fall nur am Ort Ihrer Niederlassung – also in Österreich – geführt werden.

Wie funktioniert die Dokumentationspflicht im Verarbeitungsverzeichnis in Bezug auf elektronisch erfasste Dokumente (Geschäftsbriefe, Protokolle, etc.), die Texte und Daten beliebiger Art enthalten können?

Im Verarbeitungsverzeichnis sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung anzugeben. Es ist jedoch weder anzugeben, wo die …

Wie funktioniert die Dokumentationspflicht im Verarbeitungsverzeichnis in Bezug auf elektronisch erfasste Dokumente (Geschäftsbriefe, Protokolle, etc.), die Texte und Daten beliebiger Art enthalten können? Read More »

Muss mein Outlooksystem, welches Kundendaten (Name, Tel, Anschrift) automatisch auf Handys synchronisiert, im Verarbeitungsverzeichnis verzeichnet werden?

Der genaue Vorgang ist nicht im Verarbeitungsverzeichnis anzugeben. Im Verarbeitungsverzeichnis müssen jedoch unter anderem die Kategorien von Empfängern (Auftragsverarbeiter und sonstige Empfänger der Daten) genannt werden. Hierbei dient Outlook als Auftragsverarbeiter (es verarbeitet die personenbezogenen Daten in Ihrem Auftrag). Dies ist im Verarbeitungsverzeichnis anzuführen.

Die einzigen personenbezogenen Daten sind die der Mitarbeiter. Müssen wir trotzdem ein Verarbeitungsverzeichnis erstellen?

Ja, denn auch die personenbezogenen Daten von Mitarbeitern werden durch die DSGVO geschützt. Darüber hinaus werden nach der derzeitigen Rechtslage in Österreich auch juristische Personen durch die DSGVO geschützt. Diese Situation ist nicht gewollt, allerdings aufgrund einer fehlenden Zweidrittelmehrheit im Nationalrat entstanden. Es bleibt abzuwarten, ob dieser Punkt bis zum 25. Mai 2018 bereinigt werden …

Die einzigen personenbezogenen Daten sind die der Mitarbeiter. Müssen wir trotzdem ein Verarbeitungsverzeichnis erstellen? Read More »

Aus meiner Datenbank generiere ich eine Excelliste mit personenbezogenen Daten, um z.B. einen oder mehrere Gesichtspunkte genauer zu analysieren. Was muss ich aus datenschutzrechtlicher Sicht bzgl. dieser Excel Datei tun/dokumentieren?

Diese Datenverarbeitung ist im Verarbeitungsverzeichnis anzuführen. Hierbei sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen Daten, die Kategorien von Empfängern, gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland, die vorgesehene Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung anzugeben.

15. Müssen in einem EPU beide Verarbeitungsverzeichnisse (für Verantwortliche + Auftragsverarbeiter) von derselben Person geführt werden?

Ja, jedes Unternehmen kann für unterschiedliche personenbezogene Daten gleichzeitig Verantwortlicher und Auftragsverarbeiter sein. Ich bin beispielsweise als IT-Dienstleister Verantwortlicher im Sinne der DSGVO für die personenbezogenen Daten meiner eigenen Kunden/Auftraggeber. Programmiere ich einen Webshop und habe zur Wartung Zugriff auf die Bestelldaten, so verarbeite ich für meinen Kunden personenbezogene Daten seiner Kunden. Im Hinblick auf …

15. Müssen in einem EPU beide Verarbeitungsverzeichnisse (für Verantwortliche + Auftragsverarbeiter) von derselben Person geführt werden? Read More »

Muss ich als Personaler jeden Bewerber in das Verarbeitungsverzeichnis schreiben?

Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen im Unternehmen vorhandenen Daten darstellen, sondern der Datenschutzbehörde einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Aus diesem Grund enthält das Verfahrensverzeichnis auch nur die Kategorien der personenbezogenen Daten (nicht „Max Mustermann, 01.01.1980,…“, sondern …

Muss ich als Personaler jeden Bewerber in das Verarbeitungsverzeichnis schreiben? Read More »

9. Wie protokolliert man alle Daten im Verarbeitungsverzeichnis?

Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen im Unternehmen vorhandenen Daten darstellen, sondern der Datenschutzbehörde einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Aus diesem Grund enthält das Verfahrensverzeichnis auch nur die Kategorien der personenbezogenen Daten (nicht „Max Mustermann, 01.01.1980,…“, sondern …

9. Wie protokolliert man alle Daten im Verarbeitungsverzeichnis? Read More »