Datenschutzrecht
Schutz persönlicher Daten im digitalen und analogen Bereich.
Wie soll ein Verarbeitungsverzeichnis ausschauen und was gehört dort eingetragen?
Das Verarbeitungsverzeichnis muss folgende Informationen enthalten: Den Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien der personenbezogenen…
Brauche ich nur ein Verarbeitungsverzeichnis oder noch andere schriftliche Unterlagen/Nachweise?
Diese Frage ist so generalisiert nicht zu beantworten. Es kommt auf die folgenden Punkte an: Falls Sie personenbezogene Daten an…
Müssen Aktivitäten (zB Newsletter „X“ am „Y“ etc.) im Verarbeitungsverzeichnis aufgezeichnet werden?
Nein, das Verarbeitungsverzeichnis soll einen allgemeinen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierfür ist der Verarbeitungszweck (zB Marketing…
Müssen Hacker-Abwehr Daten (zB IP Adressen bei DDOS-Attacken) im Verarbeitungsverzeichnis protokolliert werden?
Auch eine IP-Adresse ist ein personenbezogenes Datum und unterliegt daher der DSGVO. Dass die IP-Adresse gespeichert wird ist daher im…
Eine Ausnahme von der Verzeichnisführung im Verarbeitungsverzeichnis besteht, wenn „die Verarbeitung nur gelegentlich erfolgt“. Was ist „gelegentlich“?
Der Begriff „gelegentlich“ ist in der DSGVO nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit…
Soll man die IT Dokumentation in die Dokumentation im Verarbeitungsverzeichnis aufnehmen?
Im Verarbeitungsverzeichnis müssen allgemein die technisch-organisatorischen Maßnahmen beschrieben werden, die den Schutz der personenbezogenen Daten gewährleisten.
Muss man im Verarbeitungsverzeichnis auch den Ordner anführen, in dem die Rechnung von dem Kunden aufbewahrt wird mit Name Adresse etc.?
Nein! Das Verarbeitungsverzeichnis soll lediglich einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierbei ist es nicht notwendig, dass…
Müssen Auftragsverarbeiter den Prozess des Verarbeitungsverzeichnisses auch dokumentieren oder reicht die Dokumentation im datenverarbeitenden Unternehmen?
Nein, auch der Auftragsverarbeiter muss ein Verzeichnis führen. Dieses unterscheidet sich jedoch im Umfang vom Verarbeitungsverzeichnis des Verantwortlichen, da der…
Müssen in einem EPU beide Verarbeitungsverzeichnisse (für Verantwortliche + Auftragsverarbeiter) von derselben Person geführt werden?
Ja, jedes Unternehmen kann für unterschiedliche personenbezogene Daten gleichzeitig Verantwortlicher und Auftragsverarbeiter sein. Ich bin beispielsweise als IT-Dienstleister Verantwortlicher im…
Kann man das Datenanwendungsverzeichnis für mehrere Firmen gemeinsam erstellen?
Grundsätzlich ist jedes Unternehmen verpflichtet ein eigenes Verarbeitungsverzeichnis zu führen. Sind die Datenverarbeitungen jedoch in den Unternehmen zum Teil ident,…
Die einzigen personenbezogenen Daten sind die der Mitarbeiter. Müssen wir trotzdem ein Verarbeitungsverzeichnis erstellen?
Ja, denn auch die personenbezogenen Daten von Mitarbeitern werden durch die DSGVO geschützt. Darüber hinaus werden nach der derzeitigen Rechtslage…
Wie oft muss das Verarbeitungsverzeichnis aktualisiert werden oder nur muss es nur einmal erstellt werden?
Sollte sich in der Datenverarbeitung in Ihrem Unternehmen nichts ändern – beispielsweise keine neuen Datenverarbeitungen, Datenkategorien oder Empfänger hinzukommen -,…
Muss mein Outlooksystem, welches Kundendaten (Name, Tel, Anschrift) automatisch auf Handys synchronisiert, im Verarbeitungsverzeichnis verzeichnet werden?
Der genaue Vorgang ist nicht im Verarbeitungsverzeichnis anzugeben. Im Verarbeitungsverzeichnis müssen jedoch unter anderem die Kategorien von Empfängern (Auftragsverarbeiter und…
Muss ich über jedes Mail mit Kundendaten ein Verarbeitungsverzeichnis-Protokoll verfassen?
Nein, es ist nicht jede einzelne tatsächlich durchgeführte Datenverarbeitung anzugeben. Das Verarbeitungsverzeichnis dient lediglich als Überblick über die im Unternehmen…
Muss ich ein eigenes Verarbeitungsverzeichnis für Deutschland führen?
Nein. Aufgrund des Territorialitätsprinzips gilt für Unternehmen, die eine Niederlassung in Österreich haben das österreichische Datenschutzgesetz sowie die DSGVO. Ein…
Gibt es für die Dokumentation des Verarbeitungsverzeichnisses eine Formvorschrift?
Das Verarbeitungsverzeichnis ist schriftlich zu führen. Die DSGVO lässt auch ein elektronisches Verarbeitungsverzeichnis zu. Abgesehen davon sind in der DSGVO…
Muss das Datenverarbeitungsverzeichnis öffentlich gemacht werden, oder reicht es dieses „griffbereit“ zu haben?
Nein, das Verarbeitungsverzeichnis ist ein bloß „internes“ Dokument, das lediglich der Datenschutzbehörde vorgewiesen werden muss, wenn diese danach fragt.
Datenverarbeitungsverzeichnis und die Weitergabe von Daten an Steuerberater/Rechtsanwalt (Buchhaltung, Steuerabwicklung, etc)
Im Verarbeitungsverzeichnis sind unter anderem die Kategorien von Empfängern (Auftragsverarbeiter, andere Verantwortliche, sonstige Empfänger) anzugeben. Der Steuerberater wäre daher unter…
Muss ich alle Quellen aufzeichnen woher ich Firmendaten (zB UST-ID Nummern) habe?
Im Verarbeitungsverzeichnis sind nicht alle Datenquellen aufzuzeichnen, allerdings muss im Rahmen der Informationspflichten bzw beim Auskunftsersuchen über die Herkunft der…
Confirmed Opt-in
Confirmed Opt-in ist eine alternative Anmeldemethode für Newsletter Confirmed Opt-in ist eine Variante des Newsletter-Anmeldeverfahrens, die ähnlich dem Double Opt-in…
Ist fehlendes Double Opt-in ein DSGVO-Verstoß im Newsletter Marketing?
Das Double Opt-in-Verfahren ist in der Datenschutz-Grundverordnung (DSGVO) für die Newsletter-Anmeldung neuer Abonnent:innen nicht explizit vorgeschrieben. Dennoch könnte das Nichtverwenden…
Single Opt-in
Das Single Opt-in, auch einfaches Opt-in genannt, ermöglicht es Interessent:innen, sich durch Eingabe ihrer E-Mail-Adresse in ein Formular auf der…
Double Opt-in im Newsletter-Marketing
Beim Double-Opt-in, einer Methode aus dem Bereich E-Mail-Marketing speziell für Newsletter, muss ein Nutzer, der sich in einen E-Mail-Verteiler einträgt,…
Newsletter-Versand an Bestandskunden: Konformität mit der DSGVO
Im E-Mail-Marketing garantiert das Double Opt-in Verfahren, dass eine ausdrückliche Zustimmung aller Abonnenten für den Empfang von Newslettern vorliegt. Dies…
Muss ich als Auftragsverbeiter (IT-Dienstleister) pro Kunde ein Verfahrensverzeichnis führen oder reicht eines, wo ich die Datenzwecke, -kategorien, -typen allgemein erfasse?
Grundsätzlich muss zumindest pro Verantwortlichen ein eigenes Stammblatt geführt werden. Es gibt Meinungen in der Literatur, die bei Auftragsverarbeitern im Massengeschäft (Cloud…
Wer braucht einen EU-Vertreter für Datenschutz?
Unternehmer aus Staaten außerhalb der EU/ des EWR benötigen oft nach Art 27 DSGVO einen Vertreter in der Union. Doch…
Data Breach: Was tun bei einer Datenpanne?
Viele Unternehmen treffen erst Vorkehrungen, wenn der Data Breach bereits passiert ist. Dabei sollte bereits bevor eine Datenschutzverletzung im Raum…
Verteilung von Event-Einladungen: Was darf ich, was darf ich nicht?
Mit manchen Event-Einladungen möchten Event-Manager eine breite Öffentlichkeit ansprechen. Um möglichst viele Einladungen zu versenden, würde es sich auf den…
Dürfen Website-Betreiber Google Analytics noch verwenden?
Viele Unternehmer nutzen unterschiedliche Tools der Google Ireland Ltd bzw der Google LLC („Google“) zur Analyse und Optimierung des Userverhaltens…
Automatisierte Entscheidung im Einzelfall – Anforderungen an datenschutzrechtliche Transparenz
Eine Bank in Deutschland bekam von der zuständigen Datenschutzbehörde eine Strafe in Höhe von EUR 300.000 auferlegt. Hintergrund war die…
Urlaub und Workation – Was bedeutet das für den Datenschutz?
Die Urlaubssaison steht vor der Tür. Mit auf Reisen geht heutzutage oft nicht nur das Diensthandy, sondern auch gleich das…
Löschung eines konkreten Empfängers aus einem Newsletterverteiler protokollieren
Wie protokolliere ich die Löschung eines konkreten Empfängers aus einem Newsletterverteiler, ohne die Daten in der Protokollierung zu nennen (dort…
Dokumentationspflicht im Verarbeitungsverzeichnis in Bezug auf elektronisch erfasste Dokumente
Wie funktioniert die Dokumentationspflicht im Verarbeitungsverzeichnis in Bezug auf elektronisch erfasste Dokumente (Geschäftsbriefe, Protokolle, etc.), die Texte und Daten beliebiger…
Ich notiere Gesundheitsdaten von Patienten schriftlich auf Papier – wie soll das Datenverarbeitungsverzeichnis aussehen?
Ich notiere Gesundheitsdaten, Namen, Adressen und Telefonnummer von Patienten schriftlich auf Papier, nur die Buchhaltung und Rechnungen laufen über den…
Aus Datenbank Excelliste mit personenbezogenen Daten – Was ist zu beachten?
Diese Datenverarbeitung ist im Verarbeitungsverzeichnis anzuführen. Hierbei sind der Zweck der Verarbeitung, die Kategorien der betroffenen Personen und die Kategorien…
Informed Consent
Grundlage aller medizinischen Entscheidungen, Basis für den „Behandlungsvertrag“ Kompetenz: Patient muss urteilsfähig sein und die Tragweite seiner Entscheidung erkennen: Freiwilligkeit…
Der Europäische Datenschutzbeauftragte
Das Amt des Europäischen Datenschutzbeauftragten wurde 2001 geschaffen. Der Datenschutzbeauftragte hat sicherzustellen, dass alle Organe und Einrichtungen der Gemeinschaft bei…
Auskunft
Im österreichischen Recht hat der Begriff "Auskunft" eine vielfältige Bedeutung in verschiedenen rechtlichen Zusammenhängen. Hier sind einige der zentralen Aspekte:…
Auskunftei
(= Detektei), gewerbliche Auskunftserteilung über persönliche Angelegenheiten od. Vermögensverhältnisse.
Auskunftsanspruch
Im österreichischen Recht bezieht sich der Begriff "Auskunftsanspruch" auf das Recht einer Person, von einer anderen Person oder Institution Informationen…
Ärztliche Schweigepflicht
Die ärztliche Schweigepflicht in Österreich ist ein wesentlicher Bestandteil des Gesundheitsrechts und dient dem Schutz der Privatsphäre der Patienten. Sie…
Berechtigtes Interesse
Im österreichischen Recht ist der Begriff des "berechtigten Interesses" nicht so stark formalisiert wie in Deutschland, er taucht jedoch in…
Betroffener
Im österreichischen Recht wird der Begriff "Betroffener" vor allem im Datenschutzrecht verwendet. Gemäß der Datenschutz-Grundverordnung (DSGVO), die auch in Österreich…
Ausweiskontrolle
Von einer Ausweiskontrolle spricht man, wenn der Personalausweise einer Person zur Feststellung ihrer Identität oder anderer auf dem Ausweis vermerkter…
Datensicherheit
Mit Datensicherheit bezeichnet man den Zweig der Datenverarbeitung der sich mit der Bewahrung von Daten vor Beeinträchtigungen, d.h. mit Fragen…
Datengeheimnis
Im österreichischen Recht bezieht sich der Begriff "Datengeheimnis" konkret auf den Schutz personenbezogener Daten. Im Datenschutzrecht wird dieser Schutz durch…
Identitätsstreit
Im österreichischen Recht ist der Begriff "Identitätsstreit" nicht als eigenständiger Begriff kodifiziert oder spezifisch festgelegt. Stattdessen kann er sich auf…
Privatsphäre
Im österreichischen Recht wird der Begriff "Privatsphäre" vor allem im Zusammenhang mit dem allgemeinen Persönlichkeitsrecht und dem Schutz der personenbezogenen…
Pseudonymisierte Daten
Im österreichischen Recht wird der Begriff "pseudonymisierte Daten" nicht explizit in den Gesetzestexten wie in der Datenschutz-Grundverordnung (DSGVO) behandelt, die…
Verarbeitungsklausel
Datenschutzgesetz
Vorbeugende Maßnahmen
Muss ich als Personaler jeden Bewerber in das Verarbeitungsverzeichnis schreiben?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen…
Wie protokolliert man alle Daten im Verarbeitungsverzeichnis?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen…
Weitere Rechtsgebiete
Erfahren Sie, wie juristische Auslegungsmethoden und Argumentationstechniken effektiv angewandt werden.