FAQ zur DSGVO im Tourismus und der Freizeitwirtschaft
Antworten auf die wichtigsten Fragen zum Datenschutz
Lesedauer: 15 Minuten
Die Sammlung branchenspezifische Fragen und Antworten zur Datenschutzgrundverordnung (DSGVO) umfassen folgende Fragenkomplexe:
A. Anwendungsbereich DSGVO – personenbezogene Daten, sensible Daten
- Gelten Kontaktdaten der Geschäftspartner (z. B. Durchwahl, Handynummer oder Email-Adresse des Sachbearbeiters oder des Angestellten) auch als personenbezogene Daten?
- Gilt die Datenschutzverordnung nur für digitale Daten oder auch für analoge (z. B. händisch beschriebene Kundenkarten)?
- Kann ich unter Berufung auf die DSGVO verhindern, dass mein Betrieb in einem Beurteilungsportal wie Holidaycheck genannt wird?
- Wenn meine Website bei Jimdo liegt: Muss ich selbst auch noch Informationen zum Datenschutz formulieren, obwohl Jimdo eine Datenschutzerklärung verwendet?
- Wir haben ein Online-Buchungstool und verarbeiten neben den allgemeinen Personendaten (Name, Adresse, Telefon, E-Mail, etc.) auch spezielle Informationen, die uns die Kunden mitteilen, damit die Verpflegung in den gebuchten Betrieben entsprechend angepasst werden kann (z. B. Laktoseintoleranz, Vegetarier, halal und dergleichen). Zählen diese Daten bereits zu "sensiblen" Daten?
- Wir erfassen im Rahmen von Personal-Training sensible Daten (z. B. Blutdruck, Größe, Gewicht, Ruhepuls). Was muss beachtet werden?
- Ist das Religionsbekenntnis ein sensibles Datum?
- Für Schwangere und Personen, die besondere medizinische Betreuung benötigen, sieht § 11 Abs 8 Pauschalreisegesetz eine Begünstigung vor, wenn der Reiseveranstalter mindestens 48 Stunden vorher von dem Umstand informiert wurde. Muss für die Weitergabe dieser Daten an den Reiseveranstalter eine Einwilligung des Reisenden eingeholt werden?
- Wenn ich von meinen Mitarbeitern das Religionsbekenntnis und die Gewerkschaftszugehörigkeit für die Lohnverrechnung abspeichere und verarbeite. Habe ich dann bereits sensible Daten? Was sind die Folgen?
Gelten Kontaktdaten der Geschäftspartner (z. B. Durchwahl, Handynummer oder Email-Adresse des Sachbearbeiters oder des Angestellten) auch als personenbezogene Daten?
Ja.
Gilt die Datenschutzverordnung nur für digitale Daten oder auch für analoge (z. B. händisch beschriebene Kundenkarten)?
Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird, z. B. alphabetisch geführte Ablagen.
Inwiefern betrifft der Datenschutz die Meldepflicht bei Gästen in der Hotellerie?Beim Ausfüllen des Gästeblattes werden personenbezogene Daten natürlicher Personen verarbeitet. Diese Datenanwendung unterliegt daher der DSGVO, unabhängig davon, ob die Gästeblätter aus Papier oder elektronisch geführt werden. Für die Verarbeitung dieser Daten besteht eine gesetzliche Verpflichtung, diese ist daher jedenfalls zulässig.
Kann ich unter Berufung auf die DSGVO verhindern, dass mein Betrieb in einem Beurteilungsportal wie Holidaycheck genannt wird?
Nein. Das Interesse der Konsumenten und des Portals an der Bewertung einer Dienstleistung wird in der Regel ein Geheimhaltungsinteresse des Betriebs überwiegen. Gegen eine sachlich nicht gerechtfertigte Kritik können Sie sich gegebenen Falls wegen Kreditschädigung oder übler Nachrede wehren.
Wenn meine Website bei jimdo liegt: Muss ich selbst auch noch Informationen zum Datenschutz formulieren, obwohl Jimdo eine Datenschutzerklärung verwendet?
Jimdo stellt nur die technische Infrastruktur für Ihren Webauftritt bereit. Inhaltlich sind Sie selbst für die Einhaltung des Datenschutzrechts verantwortlich. Somit müssen Sie auch selbst auf Ihrer Website und darüber hinaus eine Datenschutzerklärung zur Verfügung stellen, die der DSGVO und den von Ihnen im Einzelfall zu verantwortenden Datenverarbeitungen entspricht.
Wir haben ein Online-Buchungstool und verarbeiten neben den allgemeinen Personendaten (Name, Adresse, Telefon, E-Mail, etc.) auch spezielle Informationen, die uns die Kunden mitteilen, damit die Verpflegung in den gebuchten Betrieben entsprechend angepasst werden kann (z. B. Laktoseintoleranz, Vegetarier, Halal und dergleichen). Zählen diese Daten bereits zu "sensiblen" Daten?
Ernährungswünsche oder -gewohnheiten ohne zwingende Verbindung zu einem religiösen Bekenntnis sind nicht zwangsläufig immer auch sensiblen Daten:
"Halal" oder "kosher" können einen Rückschluss auf die Religion zulassen, Informationen über Allergien, Lebensmittelunverträglichkeiten und dergleichen sind gesundheitsbezogen. Im konkreten Fall empfehlen wir bereits im Rahmen des Buchungsprozesses für solche Wünsche die Einholung der ausdrücklichen Einwilligung des betroffenen Kunden.
Wir erfassen im Rahmen von Personal-Training sensible Daten (z. B. Blutdruck, Größe, Gewicht, Ruhepuls). Was muss beachtet werden?
Sie brauchen vorab eine wirksame Einwilligung der betroffenen Kunden.
Ist das Religionsbekenntnis ein sensibles Datum?
Ja.
Für Schwangere und Personen, die besondere medizinische Betreuung benötigen, sieht § 11 Abs 8 Pauschalreisegesetz eine Begünstigung vor, wenn der Reiseveranstalter mindestens 48 Stunden vorher von dem Umstand informiert wurde. Muss für die Weitergabe dieser Daten an den Reiseveranstalter eine Einwilligung des Reisenden eingeholt werden?
Das Verhältnis anderer Rechtsvorschriften zur DSGVO ist oft unklar. Vorsichtshalber wird die Einholung einer ausdrücklichen Einwilligung empfohlen.
Wenn ich von meinen Mitarbeitern das Religionsbekenntnis und die Gewerkschaftszugehörigkeit für die Lohnverrechnung abspeichere und verarbeite. Habe ich dann bereits sensible Daten? Was sind die Folgen?
Das sind sensible Daten. Für die Verarbeitung derartiger Daten brauchen Sie entweder eine ausdrückliche Einwilligung vom betroffenen Mitarbeiter oder das Erfordernis der Erfüllung gesetzlicher Verpflichtungen, insbesondere arbeits- und sozialrechtlicher Vorschriften.
Ersucht der Arbeitnehmer, den Gewerkschaftsbeitrag über die Lohnverrechnung abzurechnen, ist von einer Zustimmung zur Verarbeitung dieser Daten zu diesem Zweck auszugehen. Gleiches gilt, wenn das Religionsbekenntnis bekannt gegeben wird, um den Karfreitag als Feiertag im Sinne des Arbeitsruhegesetzes zu erhalten. Die Weiterverarbeitung dieser Daten zu Lohnverrechnungszwecken ist gesetzlich oder kollektivvertraglich geregelt.
B. Auftragsverarbeitung, Verwendung von Daten
- Müssen mit unseren Mitarbeitern und der externen Lohnverrechnung Vereinbarungen abgeschlossen werden, damit personenbezogene Daten übermittelt werden dürfen?
- Wer sind sonst noch typische Auftragsverarbeiter im Tourismus? Mit wem muss ich hier eine schriftliche Vereinbarung zur Auftragsverarbeitung treffen?
- Darf ich Anfragen von Gästen ungefragt an andere Vermieter weiterleiten, wenn mein Hotel ausgebucht ist?
Müssen mit unseren Mitarbeitern und der externen Lohnverrechnung Vereinbarungen abgeschlossen werden, damit personenbezogene Daten übermittelt werden dürfen?
Ihre Mitarbeiter sind darüber aufzuklären, dass Sie die Daten weitergeben, eine Zustimmung ist wegen des Interesses an einer ordnungsgemäßen Lohnverrechnung nicht erforderlich. Mit dem externen Lohnverrechnungspartner müssen Sie eine DSGVO-konforme Auftragsverarbeitervereinbarung abschließen.
Wer sind sonst noch typische Auftragsverarbeiter im Tourismus? Mit wem muss ich hier eine schriftliche Vereinbarung zur Auftragsverarbeitung treffen?
Neben der externen Lohnverrechnung und Buchhaltung sind dies alle Unternehmen, die für Sie als Auftragnehmer personenbezogene Daten verarbeiten, etwa Unternehmen, die für Sie den Newsletter- und E-Mail-Versand abwickeln.
Darf ich Anfragen von Gästen ungefragt an andere Vermieter weiterleiten, wenn mein Hotel ausgebucht ist?
Nein, hierfür bedarf es der nachweisbaren Einwilligung des Gastes.
C. Pflichten bei der Datenverarbeitung
- Stellen passwortgeschützte Zugänge zu Datenbanken, Firewalls und abgesperrte Büros ausreichende Schutzmaßnahmen dar?
Welche IT-Maßnahmen sind notwendig, um sensible Daten zu schützen?
Welcher Passwortschutz ist erforderlich?
Ist es erlaubt, dass auch ein IT-Administrator auf sensible Daten zugreifen kann? - Wann ist eine end-to-end Verschlüsselung im E-Mail Verkehr erforderlich?
- Wie muss ich Daten/Adressen sichern, die in Papierform festgehalten werden?
- Darf ich Gästen zum Geburtstag gratulieren, wenn ich das Geburtsdatum zur Erfüllung der gesetzlichen Meldepflicht (Gästeblatt) erhalten habe?
- Ich möchte Gäste-/Kundendaten und -wünsche (z. B. Hochzeitsdatum, Polsterwünsche, besondere Essenswünsche (Kosher, Allergien) für Werbezwecke oder den nächsten Besuch speichern. Darf ich das?
- Wenn ein Gast/Kunde per E-Mail ein Angebot für eine Reise einholt – benötige ich dann eine Einwilligung, damit ich seine E-Mail Adresse verwenden darf?
- Ist die Verarbeitung personenbezogener Daten von Kunden zur Versendung von Weihnachtspost zulässig?
- Die meisten ERP-Systeme (Warenwirtschaftssysteme) sind nicht in der Lage Kundendaten zu löschen, solange es noch Sub-Datensätze (Rechnungen usw.) gibt. Was mache ich, wenn ein Kunde auf Löschung besteht?
Stellen passwortgeschützte Zugänge zu Datenbanken, Firewalls und abgesperrte Büros ausreichende Schutzmaßnahmen dar?
Welche IT-Maßnahmen sind notwendig, um sensible Daten zu schützen?
Welcher Passwortschutz ist erforderlich?
Ist es erlaubt, dass auch ein IT-Administrator auf sensible Daten zugreifen kann?
Was im konkreten Einzelfall für die jeweils relevanten Datenkategorien ausreichend ist, ist nach dem Stand der Technik, den stattfindenden Datenverarbeitungen und damit verbundenen Risiken, aber auch nach Ihren finanziellen Möglichkeiten zu beurteilen. Eine entsprechend konfigurierte Firewall zählt allerdings zu den Basismaßnahmen der IT-Sicherheit. Einen sehr guten Überblick über den Stand der Technik und Marktüblichkeit können Sie sich unter www.it-safe.at verschaffen. Informationen dazu finden Sie auch im IT-Sicherheitshandbuch für KMU.
Grundsätzlich soll kein Mitarbeiter mehr Zugriffsrechte haben, als er für seine Tätigkeit braucht. Gibt es aber nachvollziehbare technische Gründe, warum der IT-Administrator Zugriff auch auf sensible Daten benötigt, wird dies im Regelfall auch erlaubt sein. Dies ist aber auf das Erforderliche zu beschränken und im Verarbeitungsverzeichnis zu dokumentieren. Das implementierte Organisationssystem muss sachlich ungerechtfertigte Zugriffe verhindern: Es ist kritisch zu hinterfragen, ob sich die Vergabe von Benutzerrechten an den organisatorischen Notwendigkeiten orientiert oder zu großzügig ist.
Wann ist eine end-to-end Verschlüsselung im E-Mail Verkehr erforderlich?
Die DSGVO verlangt nicht zwingend die Verschlüsselung, nennt diese aber im Rahmen der Datenschutzfolgenabschätzung als geeignete technische Maßnahme, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Die Verschlüsselung oder Pseudonymisierung erscheint insbesondere bei der Erfassung und Verarbeitung von Bankverbindungen, Kreditkartendaten, sensiblen Daten oder Daten über Straftaten sinnvoll.
Wie muss ich Daten/Adressen sichern, die in Papierform festgehalten werden?
Eine ausreichende Datensicherheit kann z. B. durch Nutzungsbeschränkung auf bestimmtes Personal, die Beschränkung von Zutritts- und Zugriffsberechtigungen zum Ablagesystem (Safe, versperrbare Kästen in Räumen mit Zugangssperren), geeignete Zutrittscodes und Passwörter, aber auch räumliche Trennungen erreicht werden.
Darf ich Gästen zum Geburtstag gratulieren, wenn ich das Geburtsdatum zur Erfüllung der gesetzlichen Meldepflicht (Gästeblatt) erhalten habe?
Das Geburtsdatum des Gastes ist ein personenbezogenes Datum, das gemäß einer gesetzlichen Verpflichtung erfasst, verarbeitet und an die Gemeinde übermittelt wird. Eine Verarbeitung ohne Einwilligung zur Direktwerbung kann durch berechtigte Interessen des Hotels gerechtfertigt sein, sofern nicht die Interessen des Gastes an der Geheimhaltung überwiegen. Das kann davon beeinflusst werden, wie oft die betroffene Person zu Gast ist und wie viel Zeit seit dem letzten Aufenthalt verstrichen ist. Es ist zu empfehlen, die Liste der Adressaten in regelmäßigen Abständen – z. B. jährlich – durchzusehen und zu bereinigen und die Gratulation in einem verschlossenen Kuvert zu versenden. Die regelmäßige Überprüfung entspricht auch dem Grundsatz der Datenrichtigkeit.
Ich möchte Gäste-/Kundendaten und -wünsche (z. B. Hochzeitsdatum, Polsterwünsche, besondere Essenswünsche (Kosher, Allergien) für Werbezwecke oder den nächsten Besuch speichern. Darf ich das?
Es ist derzeit unklar, wie lange derartige Daten gespeichert werden dürfen. Wenn seit dem letzten Besuch des Gastes mehr als ein Jahr vergangen ist, wird man von einer Löschpflicht ausgehen müssen, es sei denn, der Gast hat der längeren Speicherung ausdrücklich zugestimmt.
Außerdem ist zu prüfen, ob eine Einwilligung zur Versendung von Werbemails gemäß § 107 Telekommunikationsgesetz erforderlich ist, wenn Sie Werbung via elektronischer Nachrichten (E-Mail, SMS, WhatsApp,…) verschicken möchten oder telefonisch kontaktieren möchten.
Im Fall eines Erstkontakts ist für die telefonische oder elektronische Kontaktaufnahme zu Zwecken der Direktwerbung eine Zustimmung erforderlich. Bei bereits bestehenden Kunden kann per Mail Direktwerbung für ähnliche Produkte oder Dienstleistungen erfolgen. Der Kunde muss aber eine wirksame Möglichkeit zum Abbestellen des Mailversands haben. Liegt keine Einwilligung vor, können E-Mails an Kunden ohne Beschränkung der Empfängerzahl versendet werden, wenn sämtliche der folgenden fünf Voraussetzungen vorliegen:
- die E-Mail-Adresse des Kunden wird beim Verkauf einer Ware oder einer Dienstleistung erhoben und
- der Kunde erhält bei Erhebung der E-Mail-Adresse die Möglichkeit, den Empfang kostenfrei und problemlos abzulehnen und
- der Kunde erhält bei jeder Zusendung die Möglichkeit, den Empfang kostenfrei und problemlos abzulehnen und
- die Zusendung erfolgt zur Direktwerbung für eigene, ähnliche Produkte und
- der Kunde ist nicht in die sog „ECG-Liste“ (auch „Robinson-Liste“) eingetragen.
Weitere Informationen zum Thema E-Mails richtig versenden
Wenn ein Gast/Kunde per E-Mail ein Angebot für eine Reise einholt – benötige ich dann eine Einwilligung, damit ich seine E-Mail Adresse verwenden darf?
Für die Bearbeitung der Anfrage und die allfällige Buchung ist die Vertragsanbahnung und der Vertragsabschluss ein ausreichender Rechtsgrund.
Ist die Verarbeitung personenbezogener Daten von Kunden zur Versendung von Weihnachtspost zulässig?
Weihnachtspost gilt als Form der Direktwerbung. Analoge Werbung per Post ist zulässig, solange der Kunde nicht ausdrücklich widersprochen hat. Postalische Werbung ist datenschutzrechtlich bei einem aufrechten Kundenverhältnis aufgrund der berechtigten Interessen des Versenders zulässig. Für eine elektronische Nachricht ist zu prüfen, ob eine Einwilligung gemäß § 107 Telekommunikationsgesetz erforderlich ist (siehe oben).
Die meisten ERP-Systeme (Warenwirtschaftssysteme) sind nicht in der Lage Kundendaten zu löschen, solange es noch Sub-Datensätze (Rechnungen usw.) gibt. Was mache ich, wenn ein Kunde auf Löschung besteht?
Eine Verpflichtung zum Löschen besteht nicht, solange der Vertrag noch aufrecht ist (z. B. weil der Vertrag noch nicht vollständig erfüllt wurde, noch eine Rechnung offen ist, etc.) oder gesetzliche Aufbewahrungsfristen (z. B. Steuer 7 Jahre) maßgeblich sind und nur die für die Aufbewahrung wirklich notwendigen Daten gespeichert werden. Jedenfalls muss auf das Löschungsbegehren verordnungskonform reagiert und dem Kunden gegenüber begründet erklärt werden, warum die Daten noch nicht gelöscht werden können.
D. Rechtmäßigkeit der Datenverarbeitung
- Müssen wir dem Gast, der ein Zimmer bei uns bucht, bei der Erfassung seiner Daten (Name, Adresse, Telefonnummer etc.) unterschreiben lassen, dass er der Datenverarbeitung zustimmt?
- Muss für die Veröffentlichung von Fotos auf der Homepage, auf denen Gäste erkennbar sind, eine schriftliche Einverständniserklärung eingeholt werden?
- Muss ich vor jeder Kontaktaufnahme (telefonisch, postalisch, per Mail) mit dem Kunden zu Werbezwecken für die Datenverarbeitung eine gesonderte Einwilligung einholen?
- Wie geht man mit Daten eines Interessenten um, der eine herkömmliche Formularanfrage über eine Website an uns gerichtet hat, aber vielleicht nicht zum Kunden wird?
- Kann ich Lieferanten oder Kunden in einer laufenden Geschäftsbeziehung zum Geburtstag gratulieren?
Müssen wir dem Gast, der ein Zimmer bei uns bucht, bei der Erfassung seiner Daten (Name, Adresse, Telefonnummer etc.) unterschreiben lassen, dass er der Datenverarbeitung zustimmt?
Wenn Sie
- nur "nicht-sensible" Stammdaten erfassen und
- für die Abwicklung der Bestellung und
- damit die Erfüllung des vom Kunden gewünschten Vertrags brauchen und
- Sie zudem die Datenverarbeitung auch zeitlich auf diese Abwicklung beschränken,
dann ist keine gesonderte Einwilligung des Kunden erforderlich.
Beschränken Sie aber die Verarbeitung nicht auf den Umfang für den die Daten augenscheinlich erfasst worden sind oder verarbeiten sie die Daten zu ganz anderen Zwecken, die nicht kompatibel mit den Zwecken sind, für die die Daten vom Kunden preisgegeben worden sind, dann ist in aller Regel eine Einwilligung erforderlich.
Die Weiterverwendung und -verarbeitung für einen anderen Zweck kann zulässig sein, wenn die beiden Zwecke aus Sicht des Kunden logisch miteinander verknüpft sind. Das ist im Einzelfall zu prüfen.
Ebenso bedarf es einer Einwilligung, wenn die Verarbeitung zeitlich länger erfolgen soll, als dies im Rahmen der Vertragserfüllung erforderlich ist.
Allenfalls können Ihre berechtigten Interessen, die Interessen des Kunden überwiegen und dazu führen, dass Sie keine Einwilligung benötigen. Dies ist im Einzelfall zu prüfen.
Eine Einwilligung muss nicht schriftlich erfolgen, aber nachweisbar sein, z. B. durch Protokollierung der Aufklärung und Einwilligung am Rezeptionsschalter. Aus Gründen der leichteren Beweisbarkeit empfehlen wir dennoch die Einholung einer schriftlichen, gesetzeskonformen Einwilligung.
Beispiel: Check-In im Hotel, Reservierung oder Bestellung am Schalter.
Muss für die Veröffentlichung von Fotos auf der Homepage, auf denen Gäste erkennbar sind, eine schriftliche Einverständniserklärung eingeholt werden?
Hier sind Einwilligungen nach dem Datenschutz-, Urheberrecht und Persönlichkeitsrechten zu unterscheiden:
Eine datenschutzrechtliche Einwilligung kann grundsätzlich auch mündlich erteilt werden. Aus Beweisgründen empfiehlt sich allerdings entweder eine schriftliche Einwilligung oder jedenfalls die schriftliche Protokollierung der Einholung der mündlichen Einwilligung.
Ob die Veröffentlichung eines Fotos zusätzlich aus anderen Gründen (z. B. Persönlichkeitsrechte) zustimmungspflichtig ist, hängt von den Umständen des Einzelfalls und den berechtigten Interessen der abgebildeten Person ab. Für den Fall, dass eine Zustimmung eingeholt wird, empfehlen wir diese schriftlich einzuholen.
Muss ich vor jeder Kontaktaufnahme (telefonisch, postalisch, per Mail) mit dem Kunden zu Werbezwecken für die Datenverarbeitung eine gesonderte Einwilligung einholen?
Die für Postwerbung erforderliche Verarbeitung von Adressdaten ist in aller Regel durch die berechtigten Interessen des Unternehmers gedeckt. Der Kunde kann aber künftigen Zusendungen widersprechen.
Für Anrufe oder E-Mails gelten die Bestimmungen des Telekommunikationsgesetzes (§ 107). Im Fall eines Erstkontakts ist für die telefonische oder elektronische Kontaktaufnahme zu Zwecken der Direktwerbung eine Zustimmung erforderlich. Bei bereits bestehenden Kunden kann per Mail Direktwerbung für ähnliche Produkte oder Dienstleistungen erfolgen. Der Kunde muss aber eine wirksame Möglichkeit zum Abbestellen des Mailversands haben.
Liegt keine Einwilligung vor, können E-Mails an Kunden ohne Beschränkung der Empfängerzahl versendet werden, wenn sämtliche der folgenden fünf Voraussetzungen vorliegen:
- die E-Mail-Adresse des Kunden wird beim Verkauf einer Ware oder einer Dienstleistung erhoben und
- der Kunde erhält bei Erhebung der E-Mail-Adresse die Möglichkeit, den Empfang kostenfrei und problemlos abzulehnen und
- der Kunde erhält bei jeder Zusendung die Möglichkeit, den Empfang kostenfrei und problemlos abzulehnen und
- die Zusendung erfolgt zur Direktwerbung für eigene, ähnliche Produkte und
- der Kunde ist nicht in die sog "ECG-Liste" eingetragen.
Weitere Informationen zum Thema E-Mails richtig versenden
Wie geht man mit Daten eines Interessenten um, der eine herkömmliche Formularanfrage über eine Website an uns gerichtet hat, aber vielleicht nicht zum Kunden wird?
Wir empfehlen im Kontaktformular eine Opt-In Möglichkeit zu verwenden, mit der der Interessent zustimmt, dass die Daten bis auf Widerruf zum Versand und Erhalt elektronischer Werbung gespeichert und verarbeitet werden dürfen.
Berücksichtigen Sie auch die Kriterien des § 107 TKG in obiger Antwort.
Kann ich Lieferanten oder Kunden in einer laufenden Geschäftsbeziehung zum Geburtstag gratulieren?
Das Geburtsdatum einer Person ist ein personenbezogenes Datum, sodass seine Verarbeitung zu Werbezwecken einer tauglichen Rechtsgrundlage bedarf. Bei Personen, mit denen eine laufende Geschäftsbeziehung besteht, spricht viel dafür, dass Ihre berechtigten Interessen als Unternehmer die Gratulation (= Datenverarbeitung) zulassen. Zu berücksichtigen ist auch, dass die Glückwünsche so übermittelt werden, dass Sie nur den Jubilar erreichen, und nicht auch Dritte.
Sollten bereits wirksame Einwilligungen eingeholt worden sein, dann bleiben diese auch nach dem 25.5.2018 wirksam, sofern sie nicht widerrufen werden. Gleiches gilt für Zustimmungserklärungen zum E-Mail-Versand gemäß § 107 Telekommunikationsgesetz.
E. Pflichten des Verantwortlichen und seines Auftragsverarbeiters
- Kann ich als Geschäftsführer die Verantwortung für die Einhaltung der Datenschutzvorschriften an einen Mitarbeiter delegieren?
- Wie lange dürfen Bewerberdaten in Evidenz gehalten werden? Wie sieht es bei (Blind)bewerbungen bezüglich Archivierung/Speicherung aus, um beispielsweise später darauf zugreifen zu können? Wie geht man datenschutzkonform mit Initiativbewerbungen um?
- Gibt es die gesetzliche Pflicht, die Mitarbeiter nachweislich zu schulen?
Kann ich als Geschäftsführer die Verantwortung für die Einhaltung der Datenschutzvorschriften an einen Mitarbeiter delegieren?
Nach § 9 VStG haften alle Geschäftsführer für die Einhaltung der Verwaltungsgesetze, d.h. auch des DSG. Wurde für einen Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt, so kann neben der juristischen Person selbst nicht gleichzeitig ihr Vertreter bzw. der verantwortliche Beauftragte für denselben Verstoß bestraft werden darf.
Um zu vermeiden, dass im Fall einer Rechtsverletzung alle Geschäftsführer bestraft werden, sollte die Geschäftseinteilung vorsehen, dass nur einer der Geschäftsführer für Belange des Datenschutzes zuständig ist. Die Haftung des Geschäftsführers besteht unabhängig von der Bestellung eines Datenschutzbeauftragten oder eines Datenschutzkoordinators.
Jeder Einzelunternehmer und jede juristische Person muss ein gesondertes Verarbeitungsverzeichnis erstellen. Die Unternehmensbezeichnung muss der Firma entsprechen, um Verwechslungen zu verhindern.
Wie lange dürfen Bewerberdaten in Evidenz gehalten werden? Wie sieht es bei (Blind)bewerbungen bezüglich Archivierung/Speicherung aus, um beispielsweise später darauf zugreifen zu können? Wie geht man datenschutzkonform mit Initiativbewerbungen um?
Die Frist zur Geltendmachung von Ansprüchen nach §§ 15 Abs 1 und 29 GlBG wegen Diskriminierung bei Bewerbungen beträgt 6 Monate ab Ablehnung der Beförderung bzw. der Bewerbung. Sollte eine Evidenzhaltung danach geplant sein, muss das im Einzelfall mit einem "berechtigten Interesse" des Unternehmens begründet werden können oder man holt sich rechtzeitig die Einwilligung für die dauerhafte Evidenzhaltung ein.
Bei einer Initiativbewerbung/Blindbewerbung kann das Unternehmen/der Personalvermittler mit einer längeren Aufbewahrungsfrist argumentieren, da der Bewerber sich nicht für einen konkreten Posten bewirbt, sondern wohl (zumindest schlüssig) die Evidenzhaltung wünscht.
Gibt es die gesetzliche Pflicht, die Mitarbeiter nachweislich zu schulen?
Die Belehrung von Mitarbeitern über das Datengeheimnis wird in § 6 Abs 3 DSG angeordnet. Wie diese Belehrung auszusehen hat, bzw. welche Schulungsmaßnahmen sinnvoll sind, ergibt sich aus dem jeweiligen Unternehmen selbst. Tipps und Vergleiche können Sie sich unter www.it-safe.at holen!
Stand: 31.05.2019