FAQs zur Datenschutz-Grundverordnung für Bilanzbuchhalter:innen, Buchalter:innen, Personalverrechner:innen

1. Benötige ich als Bilanzbuchhalter:in/Buchhalter:in/ Personalverrechner:in nach BiBuG eine:n Datenschutz­be­auftragte:n?

Als Bilanzbuchhalter:in/Buchhalter:in/Personalverrechner:in werden Sie in der Regel keine:n Datenschutzbeauftragte:n benötigen. Mehr dazu. 

2. Muss ich, wenn ich mit mehreren Buchhaltungen und Jahresabschlüsse von Kund:innen mache, eine:n Datenschutzbeauftragte:n haben?

In einem solchen Fall benötigt man keine:n Datenschutzbeauftragte:n.

3. Benötigt man als Bilanzbuchhalter:in/Buchhalter:in eine:n Datenschutzbeauftragte:n, wenn man durch die Buchhaltung eines Arztes Zugang zu den Patient:innenhonoraren hat?

Da vertreten wird, dass ein einzelner Arzt/eine einzelne Ärztin keine:n Datenschutzbeauftragte:n benötigt, da bei ihm die umfangreiche Verarbeitung nicht vorliegt, wird dies wohl ebenso für Bilanzbuchhaltungsberufe gelten.

4. Fallen auch die Daten der Mitarbeiter:innen, die man bei einer neuen Anstellung benötigt (Adresse, Kontodaten, SVNr. der Mitarbeiter:in etc) unter personenbezogene Daten?

Ja. Die Verordnung regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die aufgezählten Daten sind personenbezogene Daten und unterliegen daher der DSGVO.

5. Wenn ich für ein ausländisches Unternehmen arbeite und mit Daten auf einem Schweizer Server arbeite (es geht um Buchhaltung, Ressourcenbestand und andere Daten rund um das Unternehmen) - Bin ich als Einzelunternehmer verpflichtet mich um den Datenschutz zu kümmern oder müssen es die Dienstleister:innen in der Schweiz oder das eigentliche Unternehmen aus Asien?

Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines/einer Verantwortlichen oder eines Auftragsverarbeiters/einer Auftragsverarbeiterin in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet. In diesem Fall müssen Sie sogar zusätzlich prüfen, ob das Land, in dem der Server steht, auch ein angemessenes Datenschutzniveau aufweist. Für die Schweiz ist das der Fall. Näheres zum Prüfschema siehe EU-Datenschutz-Grundverordnung (DSGVO): Prüfschema internationaler Datenverkehr - WKO.

6. Kann ich mich darauf verlassen, dass alle Anbieter:innen, die Cloudservices in Österreich anbieten (Apple. Evernote, Microsoft), sich an die DSGVO halten müssen und ich diese Services daher nutzen darf?

Es sollten sich alle Anbieter in der EU an die DSGVO halten. Sie müssen mit Ihren Dienstleister:innen (Auftragsverarbeiter:innen) schriftlich einen Vertrag abschließen, in welchem u.a. auch gewährleistet ist, dass der/die Anbieter:in die Bestimmungen einhält und Datensicherheitsmaßnahmen implementiert hat. Diese Verträge werden bei großen Dienstleistern üblicherweise im Rahmen der Nutzungsbedingungen oder AGB angeboten.

7. Muss ich als Bilanzbuchhalter:in/­Buchhalter:in/­Personalverrechner:in gewährleisten, dass Mitarbeiter:innen nicht mittels USB Stick illegal Daten absaugen können? Also die Möglichkeit generell sperren?

Ja. Sie sind verpflichtet, dafür zu sorgen, dass Datenschutz eingehalten werden. Jedenfalls sollten die Mitarbeiter:innen in Datenschutz- und Datensicherheitsbasics geschult sein und Sie sollten sie über das Datengeheimnis entsprechend aufklären. Manche Unternehmen unterbinden die Möglichkeit USB-Sticks zu verwenden, dies ist aber rechtlich nicht verpflichtend (und oftmals abseits von einer vollständigen Sperre schwer zu überprüfen). Überdies finden Mitarbeiter:innen mit kriminellen Absichten zweifellos auch andere Methoden um Daten „abzusaugen“. Hier hilft nur eine entsprechende Sorgfalt bei der Personalauswahl und entsprechende Schulungsmaßnahmen und entsprechende Rechtevergabe (wer darf was).

8. Ich bin ein EPU und verarbeite normale personenbezogene Daten (gespeicherte Aufträge, Adressen...). Frage: Genügt es diese Daten mit einer Verschlüsselungssoftware zu schützen? 

Es ist sicher ein guter Schritt, er hilft Ihnen allerdings nichts im Hinblick auf Beschädigungen oder Datenverlust. Datensicherung ist auch ein sehr wesentliches Thema. Einen sehr guten Überblick über den Stand der Technik und Marktüblichkeit können Sie sich unter http://www.it-safe.at/ verschaffen. Weitere Informationen dazu finden Sie im IT-Sicherheitshandbuch für KMU . 

9. Wie wird das Risiko bewertet, dass Kund:innen- bzw. Buchhaltungsdaten - wie bei so vielen (Home-)Office - offen bzw. in einem unversperrten Schrank stehen (kein Kund:innenverkehr)?

Stichwort Einbruch aber auch generell. Wobei: Ein versperrter Schrank wohl mehr Aufmerksamkeit auf sich ziehen würde. Sie müssen dafür Sorge tragen, dass kein:e Unbefugte:r (zB Putzfrau, ev. auch Familienmitglieder, Besuch, etc.) an die Daten gelangt. Auch für Einbruch, Feuer oder Wasserschaden ist Vorsorge zu tragen. Vergessen Sie auch nicht auf die Datensicherung (räumlich getrennt von den ursprünglichen Daten). Ein versperrter Schrank kann zB der Einsicht durch Unbefugte (Besucher:innen, Reinigungspersonal) entgegenwirken. Einen sehr guten Überblick über den Stand der Technik und Marktüblichkeit können Sie sich unter http://www.it-safe.at/ verschaffen.

10. Darf mein:e Bilanzbuchhalter:in/Buchhalter:in/­Personalverrechner:in meinen Buchhaltungs/Personalakt überhaupt noch per E-Mail versenden?

Unverschlüsselte e-mails bieten keine Datensicherheit und können von Unbefugten leicht „mitgelesen“ werden. Unbedingt anzuraten ist daher die Verschlüsselung bei der Handhabe mit heiklen Daten wie Bankverbindungen, Kreditkartendaten usw, aber natürlich auch bei der Handhabe mit sensiblen oder strafrechtlich relevanten Daten. Es empfiehlt sich, heikle Dokumente über gesicherte Plattformen zu verschicken oder diese mit Passwort zu sichern.

11. Wie muss ich Daten/ Adressen sichern, die in schriftlicher Form festgehalten werden?

Schriftlich meint hier wohl auf Papier. Versperrbare Schränke, Zutrittsberechtigungen, Zugriffsberechtigungen etc. wären hier anzudenken. Denken Sie dabei auch im eigenen Interesse an Datensicherung und daran, diese räumlich getrennt (zB zur Vorsorge bei Feuer) aufzubewahren. Einen sehr guten Überblick über den Stand der Technik und Marktüblichkeit können Sie sich unter http://www.it-safe.at/ verschaffen.

12. Wenn ich von Kund:innen gefragt werde, ob wir uns an die neue Verordnung halten, gibt es Musterbriefe, die man versenden kann, in denen man bestätigt, dass man sich an die Gesetze hält?

Es gibt ein Muster zum Auskunftsersuchen. Einen Musterbrief für die Bestätigung der Einhaltung der DSGVO haben wir nicht formuliert.

13. Was ist bei der Personalverwaltung intern zu beachten?

Auch die Datenverarbeitung personenbezogener Daten von Mitarbeiter:innen fällt unter die DSGVO. Es sollte hier geprüft werden, auf welcher Grundlage Daten verarbeitet werden (gesetzliche Verpflichtung, für die Dienstvertragserfüllung notwendig, Einwilligung?). Diese Verarbeitung ist genauso wie jede andere im Verarbeitungsverzeichnis auszuweisen.

14. Muss ein:e Bilanzbuchhalter:in, Buchhalter:in oder Personalverrechner:in das Einverständnis zur Datenspeicherung vom/von der jeweiligen Mitarbeiter;in des Auftraggebers/der Auftraggeberin einholen?

Grundsätzlich dürfen personenbezogene Daten nur verarbeitet werden, wenn dies auf eine gültige Rechtsgrundlage gestützt wird (z.B. auf eine Einwilligung des/der Betroffenen). Besonders „sensible“ Daten benötigen dafür eine Rechtsgrundlage gemäß Artikel 9 DSGVO (z.B. Gesundheitsdaten, Religionsdaten, etc.). Die Verarbeitung sonstiger allgemeiner Daten muss demgegenüber auf eine Rechtsgrundlage gemäß Artikel 6 DSGVO gestützt werden. Hinsichtlich der Frage, welche konkrete Rechtsgrundlage herangezogen werden kann, sind folgende Fälle zu unterscheiden:

• Bei Vertragsverhältnissen mit einem/einer Auftraggeber:in, der/die dabei jeweils selbst die datenschutzrechtlich betroffene Person ist (z.B. Vertrag mit einem/einer Arbeitnehmer:in selbst über dessen eigene Arbeitnehmerveranlagung): Hinsichtlich „sensibler“ Daten benötigen Sie hier in der Regel eine Einwilligung der betroffenen Person. Sonstige Daten dürfen auch ohne Einwilligung des/der Betroffenen verarbeitet werden, z.B. wenn dies zur Erfüllung eines Vertrags notwendig ist (z.B. zur Durchführung der Arbeitnehmerveranlagung). Hier finden Sie nähere Informationen und eine entsprechende Muster-Datenschutzinformation und -Einwilligungserklärung.
• Bei Vertragsverhältnissen mit einem/einer Auftraggeber:in, bei denen die datenschutzrechtlich betroffenen Personen selbst nicht Vertragsparteien sind (z.B. die Durchführung einer Personalverrechnung für ein Unternehmen: die Arbeitnehmer:nnen sind zwar von der Datenverarbeitung betroffen, aber selbst nicht Vertragspartei): Hinsichtlich „sensibler“ Daten benötigen Sie in der Regel keine Einwilligung, sondern können die Datenverarbeitung auf ein „erhebliches öffentliches Interesse“ stützen (Artikel 9 Abs. 2 lit g DSGVO). Hinsichtlich sonstiger Daten benötigen Sie in der Regel ebenfalls keine Einwilligung, sondern können die Datenverarbeitung auf „berechtigte Interessen“ stützen (Artikel 6 Abs. 1 lit f DSGVO). Nähere Informationen hierzu, insbesondere auch zu den vorzunehmenden Interessenabwägungen finden Sie in unseren „FAQ“-Datenschutz-Verhaltensregeln.

15. Gibt es Ausnahmen beim Schutz von Mitarbeiter:innen­daten?

Ausnahmen iSv Ausnahmen von der DSGVO bestehen nur dann, wenn Daten anonymisiert verarbeitet werden, dh kein Personenbezug zum/zur konkreten Mitarbeiter:in herstellbar ist. 

16. Wenn ich von meinen Mitarbeiter:innen das Religionsbekenntnis und die Gewerkschaftszugehörigkeit für die Lohnverrechnung abspeichere und verarbeite, habe ich dann bereits sensible Daten? Was sind die Folgen?

Ja, das sind sensible Daten. Für die Verarbeitung derartiger Daten brauchen Sie entweder eine ausdrückliche Einwilligung vom/von der betroffenen Mitarbeiter:in oder das Erfordernis der Erfüllung gesetzlicher Verpflichtungen. Ersucht etwa der/die Arbeitnehmer:in den Gewerkschaftsbeitrag über die Lohnverrechnung abzurechnen, sollten Sie von ihm eine entsprechende Einwilligung einholen. Gleiches gilt, wenn der/die Arbeitnehmer:in bspw sein Religionsbekenntnis „Evangelisch“ bekanntgibt, um den Karfreitag als Feiertag iSd Arbeitsruhegesetzes zu erhalten.

17. Bewerberunterlagen werden von Personalunternehmen geschickt - ist die Verschlüsselung hier nötig?

Wie Daten an Sie geschickt werden, ist Aufgabe des jeweiligen Senders. Bei Ihnen sollten im Unternehmen ausreichend Sicherheitsmaßnahmen getroffen werden, um diese Daten gegen Zugriff von Unbefugten, Beschädigung oder Veränderung zu schützen. Sinnvoll ist die Verschlüsselung jedenfalls bei der Handhabe mit heiklen Daten wie Bankverbindungen, Kreditkartendaten usw, aber natürlich auch bei der Handhabe mit sensiblen oder strafrechtlich relevanten Daten.

18. Personenbezogene Daten betreffen ja auch Daten von Mitarbeiter:innen. Reicht es aus, wenn ich z.B. im Anstellungsvertrag darauf hinweise, "dass Daten elektronisch verarbeitet werden" und der/die Mitarbeiter:in mit dem Vertrag dem zustimmt?

Nein, da die Einwilligung sehr pauschal abgeholt wird und nicht auf konkrete Datenarten, Zwecke der Verarbeitung etc verwiesen wird. Viele der Verarbeitungsvorgänge im Zusammenhang mit Mitarbeiter:innendaten werden Ihnen durch Arbeits- und Sozialrecht bzw Kollektivverträge vorgegeben, sind somit „zur Erfüllung einer rechtlichen Verpflichtung erforderlich“ und rechtmäßig.

19. Wir nutzen intern Fahrzeugtracking. Die Daten werden im Betrieb gespeichert. Es ist dadurch nachvollziehbar wann ein:e Mitarbeiter:in mit seinem/ihrem Fahrzeug wo war. Fallen diese Daten unter "sensible" Daten?

Es sind personenbezogene Daten, allerdings keine sensiblen Datensätze.

20. Gibt es Vorschriften zur Archivierung der Personaldaten?

Es gibt einige Vorschriften im Arbeitsrecht, wie lange Daten aufbewahrt werden müssen (zB Dienstzeugnisses nach § 1163 iVm § 1478 ABGB: 30 Jahre). Wie Daten archiviert werden, gibt das Gesetz allerdings nicht vor.

21. Was kann/muss im Dienstvertrag datenschutzrechtlich berücksichtigt werden? Zustimmung zur Datenverarbeitung? Widerrufsrecht bzw Löschungsrecht (im Ausmaß der gesetzlichen Frist?)?

In dieser Generalität nicht zu beantworten. Die wesentlichen Punkte der Datenverarbeitung, zB zu Zwecken der Personalverrechnung, sind gesetzlich legitimiert und bedürfen keiner weiteren Zustimmung. Die allenfalls notwendigen Zustimmungserklärungen hängen von der Situation im Einzelfall ab.

22. Ich bin eine HR Mitarbeiterin und arbeite mit allen Personaldaten (ua. Bankdaten etc) und gebe diese an ein externes Lohnbüro weiter, was muss ich hierbei beachten?

Sie müssen keinen Auftragsverarbeitungsvertrag abschließen, da Externe im Rahmen Ihrer Tätigkeit als Bilanzbuchhalter:in, Buchhalter:in und Personalverrechner:in selbst Verantwortliche sind.

23. Ich bin ein externes Lohnbüro und erhalte Mitarbeiterdaten eines Auftraggebers aus der EU zur Bearbeitung und Erledigung von verschiedenen Aufgaben. Was muss ich beachten?

Sie müssen keinen Auftragsverarbeitungsvertrag abschließen, da Externe im Rahmen Ihrer Tätigkeit als Bilanzbuchhalter:in, Buchhalter:in und Personalverrechner:in selbst Verantwortliche sind. Ihr Auftraggeber ist in diesem Fall jedoch in der Regel dazu verpflichtet, die Betroffenen über Ihr externes Lohnbüro als Datenempfänger zu informieren (Artikel 13 Abs. 1 lit e DSGVO).

24. Muss ich die Mitarbeiter:innendaten (Lohnzettel, Lebensläufe, Zeugnisse u.ä.) speziell schützen?

Es sind keine speziellen Datenschutzmaßnahmen im Arbeitsrecht vorgeschrieben. Bei heiklen, aber v.a. sensiblen Daten wäre aber natürlich das Augenmerk auf die Sicherheit der Daten zu erhöhen.

25. Müssen Arbeitsverträge von Mitarbeiter:innen auch datenschutzrechtliche Einwilligungen enthalten?

Hier ist je nach konkretem Fall zu unterscheiden. Die Datenverarbeitungen könnten z.B. zur Vertragserfüllung, aufgrund einer Einwilligung oder aufgrund eines sonstigen berechtigten Interesses erlaubt sein. Bei Einwilligungen ist insbesondere darauf zu achten, dass diese auch tatsächlich freiwillig abgegeben werden und nicht gegen das sogenannte „Kopplungsverbot“ verstoßen. Detaillierte Informationen hierzu finden Sie in diesen Datenschutz-FAQ für Mitarbeiterdaten.

26. Wir haben als Unternehmer natürlich Kontakt mit Mitarbeiter:innen von Kund:innen. Müssen wir mit jedem/jeder Mitarbeiter:in des Kunden/der Kundin Vereinbarungen treffen, dass seine/ihre Daten bei uns gespeichert werden (Mail, etc), oder reicht eine Vereinbarung mit dem Kunden/der Kundin, welcher sie auf seine Mitarbeiter:in überbindet?

Es reicht eine Vereinbarung mit Ihrem Kunden/Ihrer Kundin.

27. Zählen Gehaltsangaben zu den "sensiblen Daten"?

Nein.

28. Gibt es die gesetzliche Pflicht, die Mitarbeiter:innen nachweislich zu schulen?

Die Belehrung von Mitarbeiter:innen über das Datengeheimnis ist in § 6 des österreichischen Datenschutz-Anpassungsgesetzes konkret angesprochen. Wie diese Belehrung auszusehen hat, bzw welche Schulungsmaßnahmen sinnvoll sind, ergibt sich aus dem jeweiligen Unternehmen selbst. Tipps und Vergleiche können Sie sich unter www.it-safe.at holen! Wir empfehlen auch, sich das Mitarbeiter-Handbuch auf www.it-safe.at zumindest herunter zu laden und den Mitarbeitern zur Verfügung zu stellen. Auch interne Regelungen wären sinnvoll (zB private Internetnutzung, wohin soll sich der/die Mitarbeiter:in mit datenschutzrechtlichen Fragen wenden, usw).