Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Das bedeutet für alle Unternehmen Handlungsbedarf bei Verträgen, internen Abläufen und Datensicherheitsmaßnahmen. Insbesonders betrifft das ● das Führen eines Verarbeitungsverzeichnisses ● Informationsverpflichtungen/Datenschutzerklärungen gegenüber Mitarbeitern, Kunden und Geschäftspartnern ● Vertragliche Absicherung gegenüber Auftragsverarbeitern ● Risikoabschätzung ● Rechte der betroffenen Personen ● Dokumentation Es gilt die Datenschutz-Grundverordnung sowie zusätzlich das jeweils nationale Recht. Aufgrund Ihrer Angaben ergibt sich Folgendes: Für die Weitergabe an andere Verantwortliche oder die Weiterverarbeitung (=Zweckänderung) muss eine Einwilligung oder eine gesetzliche Grundlage vorliegen. In allen sonstigen Fällen muss die Weiterverarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben worden sind, zumindest vereinbar sein. Details dazu Um diese Vereinbarkeit festzustellen ist Folgendes zu berücksichtigen: ● jede Verbindung zwischen den ursprünglichen und neu beabsichtigten Zwecken ● der Zusammenhang, in dem die Daten erhoben wurden ● die Art der Daten (insbesondere ob sensible oder strafrechtlich relevante Daten vorliegen) ● mögliche Folgen der Weiterverarbeitung für betroffene Personen ● das Vorhandensein angemessener Garantien (z.B. Pseudonymisierung) Liegt eine solche Vereinbarkeit mit den ursprünglichen Zwecken vor, ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt als vereinbarer und rechtmäßiger Verarbeitungsvorgang. Beabsichtigt der Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, so muss er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen. Der Datenverkehr innerhalb der EU und mit Staaten mit angemessenem Datenschutzniveau bedarf keiner besonderen Genehmigung. WEITERE HINWEISE Rechte der betroffenen Person: Der Verantwortliche hat der betroffenen Person gegenüber umfangreiche Pflichten und sollte auf folgende Rechte der betroffenen Person vorbereitet sein: ● Auskunftsrecht ● Recht auf Berichtigung ● Recht auf Löschung ("Recht auf Vergessenwerden") ● Recht auf Einschränkung der Verarbeitung ● Recht auf Datenübertragbarkeit ● Widerspruchsrecht ● Benachrichtigung bei Datenschutzverletzungen Strafbestimmungen: Es sind Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes. MUSTERDOKUMENTE Die betroffen Person ist im Zeitpunkt der Datenerhebung in transparenter Weise über die sie betreffende Datenverarbeitung zu informieren. Gleiches gilt, wenn die personenbezogenen Daten über Dritte bezogen wurden. Zur Erstellung eines Musters nutzen Sie bitte unseren Online-Ratgeber Informationsverpflichtungen. Muster für Verarbeitungsverzeichnisse Muster für eine Einwilligungserklärung Muster für einen Vertrag zwischen Verantwortlichem und Auftragsverarbeiter Der Verantwortliche muss seine Datenverarbeitungen daraufhin prüfen, ob durch die Verarbeitung ein hohes Risiko für die betroffenen Personen zur Folge hat. Dies geschieht im Wege einer Risikoabschätzung (Art. 35 Abs. 1 DSGO). Verwenden Sie hierfür bitte unseren Online-Ratgeber Datenschutz-Folgenabschätzung. Eine umfassende Information zum Thema Datenschutz-Folgenabschätzung finden Sie in unserem Merkblatt zur Datenschutz-Folgenabschätzung.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

KONTAKTADRESSEN Aufsichtsbehörde für die Einhaltung datenschutzrechtlicher Bestimmungen in Österreich: Österreichische Datenschutzbehörde Barichgasse 40-42 1030 Wien Telefon: +43 1 52 152-0 E: dsb@dsb.gv.at W: http://www.dsb.gv.at/ Kontaktadresse rund um das Thema Datenschutzrecht: Wirtschaftskammer Salzburg Allgemeines Unternehmensrecht Julius-Raab-Platz 1 5027 Salzburg T +43 (0)662 8888-324 E rechtspolitik@wks.at W http://wko.at/sbg Disclaimer: Dieser Ratgeber ist auf Gewerbetreibende mit Sitz in Österreich zugeschnitten. Datenverarbeitungen im lebenswichtigen Interesse, in Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt sind daher nicht abgedeckt. Die Inhalte dieses Online-Ratgebers wurden mit größter Sorgfalt erstellt und werden laufend aktualisiert. Für die Richtigkeit, Vollständigkeit, Aktualität oder Qualität der bereitgestellten Informationen und Musterunterlagen sowie auch für weiterführende Links können wir jedoch keine Gewähr übernehmen. Insbesondere erfolgte die Reihung der im Infoblatt auf Basis der Eingaben der Nutzer empfohlen Verfahrensarten ausschließlich nach subjektiven Kriterien und hat keine darüber hinausgehende allgemeingültige Bedeutung. Haftungsansprüche gegen Personen, die Inhalte zu diesem Online-Ratgeber bereit gestellt haben, sind daher ausgeschlossen. Wir behalten uns ausdrücklich vor, Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen und übernehmen daher keine Gewähr und Haftung für die dauerhafte Verfügbarkeit der dargebotenen Informationen und Musterunterlagen. Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter. Datum 24.07.2023Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Das bedeutet für alle Unternehmen Handlungsbedarf bei Verträgen, internen Abläufen und Datensicherheitsmaßnahmen. Insbesonders betrifft das ● das Führen eines Verarbeitungsverzeichnisses ● Informationsverpflichtungen/Datenschutzerklärungen gegenüber Mitarbeitern, Kunden und Geschäftspartnern ● Vertragliche Absicherung gegenüber Auftragsverarbeitern ● Risikoabschätzung ● Rechte der betroffenen Personen ● Dokumentation Es gilt die Datenschutz-Grundverordnung sowie zusätzlich das jeweils nationale Recht. Aufgrund Ihrer Angaben ergibt sich Folgendes: Für die Weitergabe an andere Verantwortliche oder die Weiterverarbeitung (=Zweckänderung) muss eine Einwilligung oder eine gesetzliche Grundlage vorliegen. In allen sonstigen Fällen muss die Weiterverarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben worden sind, zumindest vereinbar sein. Details dazu Um diese Vereinbarkeit festzustellen ist Folgendes zu berücksichtigen: ● jede Verbindung zwischen den ursprünglichen und neu beabsichtigten Zwecken ● der Zusammenhang, in dem die Daten erhoben wurden ● die Art der Daten (insbesondere ob sensible oder strafrechtlich relevante Daten vorliegen) ● mögliche Folgen der Weiterverarbeitung für betroffene Personen ● das Vorhandensein angemessener Garantien (z.B. Pseudonymisierung) Liegt eine solche Vereinbarkeit mit den ursprünglichen Zwecken vor, ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten. Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt als vereinbarer und rechtmäßiger Verarbeitungsvorgang. Beabsichtigt der Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, so muss er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen. Der Datenverkehr innerhalb der EU und mit Staaten mit angemessenem Datenschutzniveau bedarf keiner besonderen Genehmigung. WEITERE HINWEISE Rechte der betroffenen Person: Der Verantwortliche hat der betroffenen Person gegenüber umfangreiche Pflichten und sollte auf folgende Rechte der betroffenen Person vorbereitet sein: ● Auskunftsrecht ● Recht auf Berichtigung ● Recht auf Löschung ("Recht auf Vergessenwerden") ● Recht auf Einschränkung der Verarbeitung ● Recht auf Datenübertragbarkeit ● Widerspruchsrecht ● Benachrichtigung bei Datenschutzverletzungen Strafbestimmungen: Es sind Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes. MUSTERDOKUMENTE Die betroffen Person ist im Zeitpunkt der Datenerhebung in transparenter Weise über die sie betreffende Datenverarbeitung zu informieren. Gleiches gilt, wenn die personenbezogenen Daten über Dritte bezogen wurden. Zur Erstellung eines Musters nutzen Sie bitte unseren Online-Ratgeber Informationsverpflichtungen. Muster für Verarbeitungsverzeichnisse Muster für eine Einwilligungserklärung Muster für einen Vertrag zwischen Verantwortlichem und Auftragsverarbeiter Der Verantwortliche muss seine Datenverarbeitungen daraufhin prüfen, ob durch die Verarbeitung ein hohes Risiko für die betroffenen Personen zur Folge hat. Dies geschieht im Wege einer Risikoabschätzung (Art. 35 Abs. 1 DSGO). Verwenden Sie hierfür bitte unseren Online-Ratgeber Datenschutz-Folgenabschätzung. Eine umfassende Information zum Thema Datenschutz-Folgenabschätzung finden Sie in unserem Merkblatt zur Datenschutz-Folgenabschätzung.

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Datum 24.07.2023