Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für Ihre Pflichten als Verantwortliche:r

1. Allgemein

Mit der EU-Datenschutz-Grundverordnung (DSGVO) und dem österreichischen Datenschutzgesetz (DSG) kamen einige betriebliche und organisatorische Änderungen auf österreichische Unternehmen zu. Diese gelten seit dem 25. Mai 2018 für jeglichen betrieblichen Umgang mit personenbezogenen Daten, das sind alle Informationen, welche direkt oder indirekt einen Bezug zu einer Person herstellen können (zB Name, Adresse, Geburtsdatum, genetische Daten, Gesundheitsdaten,…).

Auch Begriffsbestimmungen haben sich geändert, u.a. wird der Begriff des/der datenschutzrechtlichen Auftraggebers/Auftraggeberin auf „Verantwortliche:r“.

Sie sind als Bilanzbuchhalter:in, Buchhalter:in oder Personalverrechner:in „Verantwortliche:r“ gemäß Art 4 Z 7 DSGVO für Ihr eigenes Unternehmen und die Daten, die Sie im Rahmen Ihrer Tätigkeit als Bilanzbuchhalter:in, Buchhalter:in und Personalverrechner:in für andere Unternehmen verarbeiten (also auch als externe:r Dienstleister:in!).

Beispiel für Datenverarbeitung als Verantwortliche:r: Erstellung Ihrer eigenen Kundendatei, Aufnahme von Daten zur Erstellung einer Rechnung, Führung Ihrer eigenen Mitarbeiter:innendatenbank. Aber auch: Durchführung einer Lohnverrechnung für eine:n Auftraggeber:in, Erstellung einer Bilanz für eine:n Auftraggeber:in.

2. Rechtsgrundlage

Grundsätzlich dürfen personenbezogene Daten nur verarbeitet werden, wenn dies auf eine gültige Rechtsgrundlage gestützt wird (z.B. auf eine Einwilligung des/der Betroffenen). Besonders „sensible“ Daten benötigen dafür eine Rechtsgrundlage gemäß Artikel 9 DSGVO (z.B. Gesundheitsdaten, Religionsdaten, etc.). Die Verarbeitung sonstiger allgemeiner Daten muss demgegenüber auf eine Rechtsgrundlage gemäß Artikel 6 DSGVO gestützt werden. Hinsichtlich der Frage, welche konkrete Rechtsgrundlage herangezogen werden kann, sind folgende Fälle zu unterscheiden:

• Bei Vertragsverhältnissen mit einem/einer Auftraggeber:in, der dabei jeweils selbst die datenschutzrechtlich betroffene Person ist (z.B. Vertrag mit einem/einer Arbeitnehmer:in selbst über dessen eigene Arbeitnehmerveranlagung): Hinsichtlich „sensibler“ Daten benötigen Sie hier in der Regel eine Einwilligung der betroffenen Person. Sonstige Daten dürfen auch ohne Einwilligung des/der Betroffenen verarbeitet werden, z.B. wenn dies zur Erfüllung eines Vertrags notwendig ist (z.B. zur Durchführung der Arbeitnehmerveranlagung). Hier finden Sie nähere Informationen und eine entsprechende Muster-Datenschutzinformation und -Einwilligungserklärung.
• Bei Vertragsverhältnissen mit einem/einer Auftraggeber:in, bei denen die datenschutzrechtlich betroffenen Personen selbst nicht Vertragsparteien sind (z.B. die Durchführung einer Personalverrechnung für ein Unternehmen: die Arbeitnehmer:nnen sind zwar von der Datenverarbeitung betroffen, aber selbst nicht Vertragspartei): Hinsichtlich „sensibler“ Daten benötigen Sie in der Regel keine Einwilligung, sondern können die Datenverarbeitung auf ein „erhebliches öffentliches Interesse“ stützen (Artikel 9 Abs. 2 lit g DSGVO). Hinsichtlich sonstiger Daten benötigen Sie in der Regel ebenfalls keine Einwilligung, sondern können die Datenverarbeitung auf „berechtigte Interessen“ stützen (Artikel 6 Abs. 1 lit f DSGVO). Nähere Informationen hierzu, insbesondere auch zu den vorzunehmenden Interessenabwägungen finden Sie in unseren FAQ zum Datenschutz für Bilanzbuchhaltungsberufe.

3. Datensicherheit

Als Verantwortliche:r müssen Sie für geeignete technische und organisatorische Maßnahmen garantieren, die eine Verarbeitung im Einklang mit den Anforderungen dieser Verordnung sicherstellen und den Schutz der Rechte der betroffenen Person gewährleisten. Sie sind daher als Verantwortliche:r verpflichtet, Datensicherheitsmaßnahmen zu implementieren, hier sind folgende Maßnahmen in der DSGVO selbst ausgewiesen:

• die Pseudonymisierung und Verschlüsselung personenbezogener Daten (z.B. Passwortsicherungen von Dateien): „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.
• die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (z.B. Zutritts-/Zugangskontrollen, Zugriffsbeschränkungen). Dazu gehört auch, dass unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten („Auftragsprinzip“);
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (z.B. Backup-Programme);
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Selbstevaluierungsprozesse).

3.2. Privacy by design / privacy by default

Zum Schutz der personenbezogenen Daten haben Sie ua auch die Grundsätze des Datenschutzes durch Technik (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) zu berücksichtigen und geeignete interne Strategien festzulegen sowie entsprechende Maßnahmen zu setzen.

• Datenschutz durch Technik: Sowohl bei der Planung als auch bei der Datenverarbeitung selbst haben Sie geeignete technische und organisatorische Maßnahmen zu berücksichtigen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen (z.B. Pseudonymisierung).
• Datenschutzfreundliche Voreinstellungen: Sie haben geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch entsprechende Voreinstellungen grundsätzlich nur solche personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
• Die Einhaltung eines genehmigten Zertifizierungsverfahrens kann als Faktor herangezogen werden, um die Erfüllung der genannten Maßnahmen nachzuweisen.

Tipp: Welche Datensicherheitsmaßnahmen konkret im Betrieb sinnvoll / empfehlenswert sind, finden Sie unter http://www.it-safe.at/. Hier sind insbesondere der Onlineratgeber und die Handbücher (KMU und Mitarbeiter) empfehlenswert.

4. Weniger Meldeverpflichtungen – mehr Selbstverantwortung im Betrieb

4.1. Verarbeitungsverzeichnis

Das Datenverarbeitungsregister (DVR) und die DVR-Nummer wurden durch die DSGVO aufgelöst. Stattdessen müssen Sie Verzeichnisse über die Verarbeitung von Daten führen. Diese Verzeichnisse sind schriftlich zu führen, wobei dies auch in einem elektronischen Format erfolgen kann. Im Verarbeitungsverzeichnis sind unter anderem die Kategorien von Empfängerinnen und Empfängern (Auftragsverarbeiter:innen, andere Verantwortliche, sonstige Empfänger:innen) anzugeben. Die Steuerberaterin und der Steuerberater wären daher unter diesem Punkt anzugeben.

Der Umfang der Dokumentationspflicht ist für Sie als Verantwortliche:r umfassender als für den/die Auftragsverarbeiter:in, siehe Muster:

• EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher
• Anwendungsbeispiel für Verantwortlichen

Sie sind verpflichtet, bei der Erfüllung Ihrer Aufgaben mit der Aufsichtsbehörde zusammenzuarbeiten. Auf Anfrage sind die Verzeichnisse der Behörde vorzulegen. Anhand dieser Verzeichnisse ist es für die Aufsichtsbehörde möglich, die betreffenden Verarbeitungsvorgänge zu kontrollieren.

4.2. Risikoanalyse & Datenschutzfolgenabschätzung

Sie müssen Risikoanalysen der Datenanwendungen durchführen. Eine genaue Anleitung dieser Analysen.

5. Datenschutzbeauftragte:r

Es ist ein:e Datenschutzbeauftragte:r verpflichtend zu bestellen, wenn die Kerntätigkeit des Unternehmens eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht.

In der Regel benötigen Berufsausübende der bilanzbuchhaltungsberufe keinen Datenschutzbeauftragten.

6. Auftragsverarbeitervertrag

Sie müssen mit Ihrem/Ihrer Auftragsverarbeiter:in schriftlich einen Vertrag abschließen, wobei elektronisch auch als schriftlich gilt. Der Vertrag kann auf Standardvertragsklauseln beruhen, welche entweder die Europäische Kommission oder die Aufsichtsbehörde festlegen kann und hat Folgendes zu beinhalten:

• Bindung an den/die Verantwortliche:n,
• Gegenstand und Dauer der Verarbeitung,
• Art und Zweck der Verarbeitung,
• die Art der personenbezogenen Daten,
• die Kategorien betroffener Personen und
• die Pflichten und Rechte des/der Verantwortlichen.

Tipp: Verwenden Sie unser Muster auf wko.at!

Ihr:e Auftragsverarbeiter:in und eine diesem/dieser unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten nur auf Ihre Weisung verarbeiten, es sei denn, dass Ihr:e Auftragsverarbeiter:innen aufgrund einer gesetzlichen Vorschrift zur Verarbeitung verpflichtet sind. Mitarbeiter:innen sind entsprechend zu belehren (vgl auch: EU-Datenschutz-Grundverordnung (DSGVO): Verpflichtungserklärung zum Datengeheimnis und zur Wahrung von Geschäfts- und Betriebsgeheimnissen). 

7. Informationspflichten 

Als Verantwortliche:r sind Sie dazu verpflichtet, die Betroffenen im Voraus über die Details Ihrer Datenverarbeitungen zu informieren (siehe Artikel 13 und 14 DSGVO).

Da die Erfüllung dieser Informationspflicht für viele Berufsberechtige aber oftmals mit einem unverhältnismäßigen Aufwand verbunden wäre (Sie müssten gegebenenfalls jeweils alle Arbeitnehmer:innen, Lieferant:innen und Geschäftspartner:innen sämtlicher Ihrer Kund:innen informieren), sind die Berufsberechtigten regelmäßig von dieser Informationspflicht befreit (siehe Artikel 14 Abs. 5 lit b DSGVO).

Es ist jedoch dringend anzuraten, nicht gänzlich auf die Datenschutzerklärung zu verzichten, sondern eine allgemein formulierte und allgemein zugängliche zB über die Unternehmenswebseite parat zu halten. Vergessen Sie auch nicht auf die Informationspflichten gegenüber allfälligen Mitarbeiter:innen.

Weitere Informationen hierzu finden Sie unter § 7 der Verhaltensregeln sowie auf der Webseite der WKO.

8. Sonstige Betroffenenrechte

Als Verantwortliche:r müssen Sie den von einer Datenanwendung betroffenen Personen (Betroffene) Rechte gewährleisten:

• Informationspflicht (siehe Punkt 8.)
• Auskunftsrecht
• Recht auf Berichtigung
• Recht auf Löschung ("Recht auf Vergessenwerden")
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht

Abgesehen von den Informationspflichten ist innerhalb von 4 Wochen auf Betroffenenanfragen zu reagieren. Diese Frist kann um weitere zwei Monate verlängert werden (die Frist kann daher insgesamt drei Monate betragen), wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist. Der/Die Verantwortliche muss die betroffene Person aber innerhalb eines Monats nach Eingang der Anfrage über eine Fristverlängerung unterrichten, das zusammen mit den Gründen für die Verzögerung.

Tipp: Versuchen Sie standardisierte, rasche Abläufe (zB eine Person „kümmert“ sich um die Anfrage, im Verarbeitungsverzeichnis werden Wegweiser mit abgespeichert, um eine schnelle Auffindbarkeit von Daten zu ermöglichen,…) für die Gewährleistung dieser Rechte im Betrieb zu implementieren, um zeit- und ressourcensparend vorgehen zu können!

9. Aufbewahrungsfristen

Gemäß dem Grundsatz der „Datenminimierung“ müssen Datenverarbeitungen auf jenes Maß eingeschränkt werden, das für die Erfüllung des jeweiligen Zwecks erforderlich ist (siehe Artikel 5 Abs. 1 lit c DSGVO). Das bedeutet, dass die Verarbeitung und Speicherung von Daten nur so lange und in dem Umfang erlaubt ist, wie es unbedingt erforderlich ist.

Im konkreten Fall müssen Berufsberechtige die Speicherdauer in Entsprechung des Datenminimierungsgrundsatzes eigenständig und eigenverantwortlich festlegen. Regelmäßig sind die Berufsberechtigten, die von Unternehmen mit der Bearbeitung und Aufbewahrung von Dokumenten beauftragt werden, in Erfüllung ihres Mandats zur eigenverantwortlichen Verarbeitung und Speicherung von Daten verpflichtet, wie beispielsweise:

• gem. § 52c BiBuG für eine Dauer von 5 Jahren, sofern andere Vorschriften keine längere Aufbewahrungsfrist erfordern,
• gem. § 132 BAO für eine Dauer von 7 Jahren, wobei die Frist mit Ablauf des Kalenderjahres zu laufen beginnt,
• gem. § 207 BAO für eine Dauer von 10 Jahren, wobei die Frist mit Ablauf des Kalenderjahres beginnt, in dem die Abgabenverkürzung geendet hat (gem. § 209 BAO verlängert sich diese Verjährungsfrist, wenn nach außen erkennbare Amtshandlungen zur Geltendmachung des Abgabenanspruches oder zur Feststellung des Abgabepflichtigen unternommen werden, um deren Dauer),
• gem. § 11 Abs. 2 letzter Satz UStG für eine Dauer von 7 Jahren,
• gem. § 18 Abs. 10 UStG für eine Dauer von 22 Jahren,
• gem. § 212 UGB für eine Dauer von 7 Jahren, wobei die Frist mit Ablauf des Kalenderjahres zu laufen beginnt (davon umfasst sind auch „Geschäftsbriefe“, also etwa geschäftliche E-Mail-Korrespondenz),
• gem. § 41a ASVG für die in der BAO normierten Aufbewahrungsfristen,
• gem. GlBG für eine Dauer von 7 Monaten, die zur Abwehr von etwaigen Rechtsansprüchen wegen Diskriminierung erforderlich sind.

Darüber hinaus müssen Daten solange aufbewahrt werden, wie sie für ein drohendes oder anhängiges gerichtliches oder behördliches Verfahren, in dem der/die Unternehmer:in oder der Berufsberechtigte Parteistellung hat, von Bedeutung sind (z.B. bei einer Außenprüfung gem. §§ 147 ff BAO oder bei Beschwerdeverfahren gegen Bescheide gem. § 92 BAO).

Unzulässig sind pauschale, nicht näher begründete Aufbewahrungsfristen (wie z.B. „30 Jahre Speicherdauer gemäß allgemeiner Verjährungsfrist nach dem Allgemeinen Bürgerlichen Gesetzbuch“). Gewählte Speicherdauern müssen im Einzelfall durch einen konkreten Anspruch dargelegt werden können. Weitere Informationen zu Speicherfristen finden Sie in den Verhaltensregeln. 

10. Haftung

Betroffene Personen haben neben verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfen auch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche im Falle einer Rechtsverletzung durch die Verantwortliche und den Verantwortlichen (zB Ansprüche auf Schadenersatz).

Betroffene Personen können auf materiellen oder immateriellen Schadenersatz klagen. Jeder an einer Verarbeitung Beteiligte haftet für den Schaden, der durch eine unrechtmäßige Verarbeitung verursacht wurde. Die Haftung entfällt, wenn die fehlende Verantwortung für den Umstand, durch den der Schaden eingetreten ist, nachgewiesen werden kann.

11. Geldstrafen

Es drohen Verwaltungsstrafen bis zu einer Maximalhöhe von EUR 20 Mio bzw 4% des weltweiten Konzernumsatzes des vorangegangenen Geschäftsjahres, je nach dem, was höher ist.

Stand: 01.01.2025