Diese Website soll Ziviltechniker:innen einen ersten Überblick verschaffen und ihnen dabei helfen, Verträge, interne Abläufe sowie Datensicherheitsmaßnahmen an die Anforderungen der Datenschutzgrundverordnung (DSGVO) anzupassen.

Allgemeines

Die DSGVO bezweckt den Schutz der so genannten personenbezogenen Daten, d.h. aller Angaben, anhand derer man direkt oder indirekt auf eine bestimmte Person schließen kann (z.B. Namen, Email-Adresse, Bankdaten, Foto, IP-Adresse…).
Als Unternehmer:innen verarbeiten auch Ziviltechniker:innen derartige Daten im Rahmen ihrer Geschäftstätigkeit (z.B. beim Anlegen einer Kundendatei oder der Abwicklung der Personalverwaltung, beim Empfang von Emails, beim Betrieb einer Unternehmenswebsite usw.) und gelten damit als Verantwortliche im Sinne der DSGVO. Auftragsverarbeiter:in hingegen ist, wer Daten im Auftrag einer/eines Verantwortlichen verarbeitet, wie z.B. ein/e Lohnverrechner:in oder Steuerberater:in.

Als Verarbeiten gilt jeder strukturierte Umgang mit personenbezogenen Daten, z.B. das Erfassen, Ordnen, Speichern, Übermitteln, Ablegen, Abgleichen, Bereitstellen, Vernichten usw., unabhängig davon, ob dies mittels Computer oder in Papierform erfolgt.

Als betroffene Person iSd DSGVO gilt, wessen personenbezogene Daten verarbeitet werden. Betroffenen Personen stehen bestimmte Rechte zu, aus denen sich für den/die Verantwortliche/n wiederum Pflichten ergeben können (Näheres dazu unten).

Analyse, Anpassung und Dokumentation betrieblicher Abläufe

Die DSGVO strebt an, dass Unternehmer:innen personenbezogene Daten nur insoweit verarbeiten sollen, als dies zur Ausübung ihrer Geschäftstätigkeit notwendig ist. Eine Verarbeitung solcher Daten ist nur in bestimmten Fällen zulässig, insbesondere zur Erfüllung einer rechtlichen Verpflichtung (z.B. Pflicht zur Speicherung von für die Urkundensammlung im Grundbuch vorgesehene Urkunden im Urkundenarchiv gemäß § 15 Abs 6 ZTG), zur Erfüllung eines Vertrages (z.B. des Ziviltechniker:innenvertrages), oder auf Basis einer Einwilligung oder von berechtigten Interessen des/der Verantwortlichen.

Weiters sollen Daten gelöscht werden, sobald sie nicht mehr benötigt werden. Die verwendeten Daten sollen richtig sein und es sollen angemessene Maßnahmen zur Datensicherheit ergriffen werden.

Ist dies in Ihrem Unternehmen der Fall?

Im ersten Schritt gilt es daher zu erheben, welche personenbezogenen Daten (wie z.B. Namen und Adressen von Kunden:innen und Mitarbeiter:innen) in Ihrem Unternehmen verarbeitet werden und auf Basis welcher Rechtsgrundlage (z.B. auf Basis des Ziviltechniker:innenvertrages oder der Bestimmungen des ZTG oder einer Einwilligung der betroffenen Person).

Weiters ist zu überprüfen, wie lange diese Daten in Ihrem Unternehmen gespeichert werden können: Fixe Aufbewahrungs- und Löschfristen sieht die DSGVO dazu nicht vor, Anhaltspunkte finden sich aber in anderen Rechtsgebieten, wie z.B. die 7-jährige Aufbewahrungsfrist gemäß § 132 BAO im Steuerrecht.

Auch ist zu hinterfragen, welche technischen und organisatorischen Maßnahmen (so genannte „TOMs“) zur Sicherung der in ihrem Unternehmen verarbeiteten Daten getroffen werden:
Verfügen Sie über ausreichend sichere Passwörter? Ist der Zugang zum Server ausreichend gesichert? Werden in angemessenen zeitlichen Abständen Sicherungskopien vorgenommen?
Bei der Überprüfung der Angemessenheit der unternehmensinternen Datensicherheitsmaßnahmen kann Sie eine/ein Ziviltechnikerin/Ziviltechniker für Informationstechnologie unterstützen!

Diese durchgeführte Analyse zur unternehmensinternen Datenverarbeitung haben Sie in der Folge in einem Verarbeitungsverzeichnis zu dokumentieren. Damit kann der Datenschutzbehörde im Anlassfall ein schneller Überblick über die unternehmensinternen Datenverarbeitungen geboten werden. Gleichzeitig kann die Erstellung dazu genutzt werden, den Umgang mit Daten im Rahmen der betrieblichen Abläufe zu verbessern:

• Muster-Verarbeitungsverzeichnis allgemein
• Muster-Verarbeitungsverzeichnis für Zivilingenieurinnen/Zivilingenieure für Vermessungswesen, inkl. Erläuterungen und Informationsblatt
• Beispiele für technische und organisatorische Maßnahmen (TOMs)

Verarbeitungsverzeichnis für Auftragsverarbeiter:innen

Die DSGVO schreibt vor, dass überdies ein eigenes, zusätzliches Verarbeitungsverzeichnis zu erstellen ist, sofern jemand personenbezogene Daten nicht eigenverantwortlich im Rahmen seiner/ihrer Unternehmenstätigkeit als Verantwortlicher/Verantwortliche verarbeitet, sondern im Auftrag eines/einer anderen Verantwortlichen. Im Regelfall werden Ziviltechniker:innen im Rahmen ihrer freiberuflichen Tätigkeit Daten selbstverantwortlich verarbeiten. In Einzelfällen kann aber auch die Verarbeitung als Auftragsverarbeiter:in vorliegen, beispielsweise wenn der Auftrag in der Wartung von IT-Daten oder einer Software besteht. In diesem Fall ist neben dem Verarbeitungsverzeichnis für den eigenen Unternehmensbetrieb (siehe den vorangehenden Punkt) auch ein Verarbeitungsverzeichnis für Auftragsverarbeiter:innen zu erstellen:

• Muster eines Verarbeitungsverzeichnisses für Ziviltechniker:innen, die Daten im Auftrag eines/einer anderen Verantwortlichen bearbeiten

Geheimhaltung durch Mitarbeiter:innen

Die DSGVO sieht vor, dass personenbezogene Daten vertraulich zu behandeln sind und nur von befugten Personen verarbeitet und genutzt werden dürfen. Auch Geschäfts- und Betriebsgeheimnisse müssen geschützt werden. Arbeitgeber:innen sind daher dazu verpflichtet, ihre Mitarbeiter:innen zur Geheimhaltung zu verpflichten und entsprechend zu unterweisen (vgl § 6 des österr. Datenschutzgesetzes):

• Muster zum Abschluss von Geheimhaltungsvereinbarungen mit Mitarbeiter:innen

Absicherung gegenüber Auftragnehmer:innen

Wenn Sie im Rahmen Ihrer unternehmerischen Tätigkeit eine externe Dienstleisterin/einen externen Dienstleister beauftragen und diese/dieser im Rahmen ihres/seines Auftrags (auch) personenbezogene Daten verarbeitet, müssen Sie einen gesonderten, so genannten Auftragsverarbeitungsvertrag abschließen. Dieser Vertrag regelt unter welchen Vorgaben und Sicherheitsmaßnahmen die Verarbeitung von personenbezogenen Daten erfolgen darf. Klassische Beispiele für einen Auftragsverarbeitung sind die Inanspruchnahme der Dienstleistung eines Steuerberaters, externen Buchhalters, EDV-Betreuers usw. Im Folgenden finden Sie ein Muster für einen Auftragsverarbeitungsvertrag:

• Muster einer Vereinbarung über eine Auftragsverarbeitung

Wahrung der Rechte betroffener Personen

Die DSGVO räumt betroffenen Personen, d.h. jenen Personen, deren personenbezogene Daten verarbeitet werden, verschiedene Rechte ein (vgl. Art. 15 bis 21 DSGVO). Aus diesen Rechten ergeben sich wiederum Pflichten für den Verantwortlichen/die Verantwortliche. Diesen hat der /die Verantwortliche in den meisten Fällen nur auf Antrag der betroffenen Person (z.B. beim Auskunfts- oder Löschbegehren) zu entsprechen, in anderen Fällen wie z.B. bei der Information über die Datenverarbeitungen hat der/die Verantwortliche von sich aus aktiv zu werden. Betroffenenrechte sind insbesondere:

• Recht auf Auskunft:

Demnach hat jeder das Recht zu erfahren, ob Verantwortliche (wie z.B. Behörden, Unternehmen usw.) personenbezogene Daten (wie z.B. Namen, Postadresse, Email-Adresse, IP-Adresse, Fotos, Kontodaten) zu seiner Person verarbeiten oder nicht. Um dieses Recht auszuüben zu können, muss die/der Betroffene ein Begehren an den/die Verantwortliche/n richten. Dieses kann grundsätzlich formlos erfolgen, die Datenschutzbehörde stellt dazu beispielsweise aber auch ein Musterformular zur Verfügung. Wenn begründete Zweifel an der Identität des/der Auskunftswerbers/Auskunftswerberin bestehen, kann der/die Verantwortliche einen Identitätsnachweis verlangen. Der/die Auskunftswerber/in hat in diesem Fall seine Identität nachzuweisen (z.B. durch Vorlage einer Ausweiskopie).

Wenn im Auskunftsbegehren nichts anderes angegeben ist, hat der/die Verantwortliche dieses grundsätzlich schriftlich binnen der Regelfrist von einem Monat zu beantworten und hat die Auskunftserteilung bestimmten, inhaltlichen Vorgaben zu entsprechen. Die Auskunft ist jedenfalls auch dann fristgerecht zu erteilen, wenn keine Daten des Auskunftswerbers bzw. der Auskunftswerberin verarbeitet werden („Negativauskunft“). Ein Muster für die Beantwortung finden Sie im Folgenden:

• Muster einer Auskunftserteilung
   
• Informationspflicht:

Der/die Verantwortliche hat der betroffenen Person unaufgefordert gewisse Informationen über die Datenverarbeitungen zur Verfügung zu stellen. Die Erteilung der Informationen kann schriftlich, elektronisch oder in einer anderen Form erfolgen, wobei die Erteilung einer schriftlichen Information zu Beweis- und Dokumentationszwecken empfohlen wird. Gängige Formen sind beispielsweise das Aushändigen einer Datenschutzerklärung in Papierform und/oder eine Beschilderung im Büro; eine Datenschutzerklärung auf der Webseite und Verlinkung auf die Datenschutzerklärung auf der Website in der Emailsignatur.

Werden die Daten bei der betroffenen Person selbst erhoben, ist diese unverzüglich über die Datenverarbeitung zu informieren. So kann die Datenschutzerklärung beispielsweise dem Vertrag zwischen Ziviltechniker:in und Auftraggeber:in als Anlage beigelegt werden. Bitte finde Sie dazu im Folgenden ein Muster:

• Datenschutzerklärung gegenüber Kund:innen (=Information gegenüber betroffenen Personen)

Jedenfalls wird empfohlen, eine Datenschutzerklärung auf der Unternehmenswebseite vorzusehen, in welcher über die Verarbeitung von Daten der Webseitenbesucher:innen informiert werden sollte (z.B. über die Anwendung von Cookies, die Speicherung von IP-Adressen, die Verwendung von Webanalysetools zur Erstellung von Zugriffstatistiken, über die Möglichkeit zur Anmeldung zu einem Newsletter usw.). Bitte finden Sie dazu im Folgenden ein Muster:

• Datenschutzerklärung für Websites

In die Datenschutzerklärung auf der Website kann selbstverständlich auch Informationen über die Verarbeitung personenbezogener Daten von Kunden/Kundinnen enthalten. Beachten Sie dazu das obige Muster Datenschutzerklärung gegenüber Kunden/Kundinnen.

• Recht auf Löschung (Art. 17 DSGVO):

Die/der Betroffene hat das Recht auf Löschung ihrer/seiner Daten in einem der folgenden Fälle:

1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
2. Die betroffene Person hat ihre Einwilligung zur Datenverarbeitung widerrufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung (wie z.B. Verarbeitung zur Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung).
3. Die betroffene Person legt gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.

Um dieses Recht auszuüben, muss der/die Betroffene ein Begehren an den Verantwortlichen /die Verantwortliche richten. Der/die Verantwortliche kann die Löschung aber in bestimmten Fällen verweigern:
Dies ist gemäß Art 17 Abs 3 DSGVO insbesondere dann möglich, wenn die Verarbeitung der Daten zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zur Erfüllung einer rechtlichen Verpflichtung weiterhin notwendig ist. Bitte finden Sie im Folgenden ein Memo zu möglichen Ausnahmen zugunsten von Ziviltechniker:innen aufgrund möglicher Haftungsansprüche und der Urkundsbestimmungen im Ziviltechnikergesetz:

• Memo betreffend der Ausnahmen vom Recht auf Löschung gem Art 17 DSGVO

1. Wen betrifft die Datenschutzgrundverordnung?
   Jede/n Unternehmer:in, unabhängig von der Unternehmensgröße, der/die personenbezogene Daten verarbeitet. Nur die Verarbeitung für ausschließlich private Zwecke unterliegt nicht der DSGVO.
    
2. Was sind personenbezogene Daten?
   Die DSGVO bezweckt den Schutz der so genannten „personenbezogenen Daten“ natürlicher Personen, d.h. aller Angaben, anhand derer man auf eine bestimmte Person schließen kann (z.B. Namen, Adresse, Bankdaten, Foto, E-Mail-Adresse, IP-Adresse). Als Unternehmer:innen verarbeiten auch Ziviltechniker:innen derartige Daten, z.B. im Rahmen einer Kunden- und Kundinnendatei oder der Personalverwaltung, durch den Empfang von E-Mails usw.
    
3. Was sind „sensible“ Daten?
   Das ist eine „besondere Kategorie von personenbezogenen Daten“, dh das sind besonders schutzwürdige Daten, wzB. sexuelle Orientierung, die Mitgliedschaft bei einer Gewerkschaft, religiöse Orientierung, Gesundheitsdaten.
   Diese dürfen nur in besonderen Fällen verarbeitet werden, wzB wenn es für die Umsetzung arbeits- oder sozialrechtlicher Vorgaben notwendig ist, wzB bei der Religionsszugehörigkeit der Mitarbeiter:innen, damit diese gesetzliche Feiertage in Anspruch nehmen können.
    
4. Was bedeutet „Verarbeiten“ / „Datenverarbeitung“?
   Als Verarbeiten gilt jedes „Hantieren“ mit personenbezogenen Daten, zB. das Erfassen, Ordnen, Speichern, Übermitteln, Ablegen, Vernichten usw., unabhängig davon, ob dies mittels Computer oder in Papierform erfolgt. Auch das systematische Ablegen in einem Ordner oder einem Handakt stellt daher eine Datenverarbeitung dar.
    
5. Was bedeuten die Begriffe Verantwortliche/r und Auftraggeber:in?
   „Verantwortliche/r“ ist diejenige/derjenige, der über die Verarbeitung von personenbezogenen Daten entscheidet, wzB. das Unternehmen, das die Daten erhoben hat. Dieser ist auch für die Umsetzung der Vorgaben der DSGVO verantwortlich. Jeder/jede Ziviltechniker/in wird innerhalb seines/ihres eigenen Unternehmens Verantwortliche/r sein. „Auftragsverarbeiter:in“ ist derjenige, der schwerpunktmäßig personenbezogene Daten im Auftrag und auf Weisung des/der Verantwortlichen verarbeitet, wzB. EDV-Betreuer:innen.
    
6. Was wird unter dem Begriff „Standardanwendung“ verstanden?
   Unter einer Standardanwendung werden Programme wie bspw. Microsoft Office (Word, Excel, Access etc.) verstanden.
    
7. Wer muss ein Verarbeitungsverzeichnis erstellen?
   Ein Verarbeitungsverzeichnis ist sowohl vom/von der Verantwortlichen als auch vom/von der Auftragsverarbeiter:in zu erstellen. Bitte finden Sie oben entsprechende Muster.
    
8. Verarbeitungsverzeichnis Verantwortliche/r:
   Ab Mai 2018 sind keine DVR-Meldungen mehr erforderlich. Ziviltechniker:innen müssen vielmehr ein Verarbeitungsverzeichnis erstellen, in dem alle Datenanwendungen des Ziviltechniker:innenbüros aufgelistet sind. Dadurch erhalten Sie selbst einen Überblick und dient dies zur Dokumentation bzw. im Überprüfungsfall zur Vorlage gegenüber der Datenschutzbehörde. Bitte finden Sie unter den DSGVO Hilfestellungen der Bundeskammer ein entsprechendes Muster.
    
9. Verarbeitungsverzeichnis Auftragsverarbeiter:in:
   Wenn Ziviltechniker:innen Daten zur Bearbeitung für andere Personen (Auftraggeber:innen) übernommen haben, die sie nur auf Weisung, nicht in Eigenverantwortung und nur innerhalb des erteilten Auftrags verarbeiten, sind diese Datenanwendungen überdies in einem Verarbeitungsverzeichnis für Auftragsverarbeiter:innen zu dokumentieren. Bitte finden Sie unter den DSGVO Hilfestellungen der Bundeskammer ein entsprechendes Muster.
    
10. Müssen alle bestehenden Kunden/Kundinnen darüber informiert werden, welche Daten im Ziviltechniker:innenbüro über sie gespeichert werden?
    Es besteht die Pflicht des/der Ziviltechnikers/in, den Kunden/Kundinnen unaufgefordert Informationen über die Datenverarbeitung zukommen zu lassen. Das erfolgt in der Regel im Rahmen einer so genannten Datenschutzerklärung. Bitte finden Sie unter den DSGVO Hilfestellungen der Bundeskammer ein entsprechendes Muster. Kunden/Kundinnen können konkrete Informationen zur Verarbeitung ihrer personenbezogenen Daten jedoch auch jederzeit erfragen. In diesem Fall haben Verantwortliche ihnen binnen einem Monat Auskunft zu erteilen. Bitte finden Sie unter den DSVO Hilfestellungen der Bundeskammer ein entsprechendes Muster zur Auskunftserteilung.
     
11. Kann man ein Löschungsbegehren einer betroffenen Person auch verweigern?
    Ein Löschungsanspruch besteht u.a. dann nicht, wenn die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung weiterhin notwendig ist, wzB. zur Einhaltung der siebenjährigen Aufbewahrungsverpflichtung aufgrund steuerrechtlicher Vorgaben (§ 7 BAO). Darüber hinaus besteht kein Löschungsanspruch, wenn die Datenverarbeitung zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen weiterhin notwendig ist, wzB. bei anhängigen Rechtsstreitigkeiten. Bitte finden Sie nähere Informationen zum Recht auf Löschung in den DSGVO Hilfestellungen der Bundeskammer.
     
12. Muss ab Inkrafttreten der DSGVO von allen Kunden/Kundinnen eine Einwilligung zur Datenverarbeitung eingeholt werden?
    Nein. Erfolgt die Verarbeitung von Kunden-/Kundinnendaten im Rahmen der Vertragsabwicklung oder aufgrund einer gesetzlichen Verpflichtung, ist die Einholung einer zusätzlichen Einwilligung nicht notwendig.
     
13. Ist die Einholung einer Einwilligung zur Datenverarbeitung von Personen erforderlich, die keine Kunden/Kundinnen des/der Ziviltechnikers/Ziviltechnikerin sind, deren Daten der/die Ziviltechniker/in aber im Rahmen zur Auftragsabwicklung, zB. zur Ladung zu einer Grenzverhandlung oder Wasserrechtsverhandlung, benötigt?
    Nein, da es sich dabei um eine Datenverarbeitung handelt, die zur Erfüllung rechtlicher Verpflichtungen erforderlich sind und diese jedenfalls auch im berechtigten Interesse des/der Auftraggebers/Auftraggeberin liegen.
     
14. Brauche ich für den Versand eines Newsletters eine Einwilligungserklärung?
    Für die Zusendung von Massen- und Werbe-E-Mails gelten Sondervorschriften und ist in der Regel eine Einwilligung erforderlich. Welche E-Mails Sie mit oder ohne Einwilligung versenden dürfen, können Sie den Ausführungen auf der Homepage der WKO entnehmen.
     
15. Ein/e Kunde/Kundin bzw. ein/e Mitarbeiter/in hat um die Löschung seiner/ihrer Daten angefragt. Was ist zu tun?
    Es ist zu prüfen, ob die Daten im Ziviltechniker:innenbüro überhaupt noch benötigt werden. Wenn nicht, ist der einfachste Zugang, diese unverzüglich zu löschen und den Betroffenen über die Löschung zu verständigen. Über die Löschung sollten auch jene verständigt werden, an die die Daten einmal zur Bearbeitung übermittelt wurden (wzB. Steuerberater:innen). Die Daten sind überdies unverzüglich zu löschen, wenn der/die Betroffene seine/ihre Einwilligung widerrufen hat (zB zum Erhalt eines Newsletters) oder einer Datenverarbeitung widersprochen hat. Werden die Daten jedoch zur Erfüllung einer rechtlichen Verpflichtung (zB. 7 Jahre Aufbewahrung von Buchhaltungsunterlagen) oder zur Geltendmachung von Rechtsansprüchen (zB. bei der Gefahr der Geltendmachung von Haftungsansprüchen) weiterhin benötigt, kann das Löschungsbegehren auch verweigert werden. Bitte finden Sie in den DSGVO Hilfestellungen der Bundeskammer nähere Ausführungen zum Recht auf Löschung sowie ein Memo zu den Ausnahmen vom Recht auf Löschung.
     
16. Wie lange können Daten von Stellenbewerbern/Stellenbewerberinnen in Evidenz gehalten werden?
    Zumindest sechs Monate, weil innerhalb dieser Frist bei Stellenausschreibungen Ansprüche auf Basis des Gleichbehandlungsgesetzes geltend gemacht werden könnten. Für eine längere Evidenzhaltung ist eine Einwilligungserklärung des Bewerbers/der Bewerberin erforderlich.
     
17. Was muss aufgrund der Vorgaben der DSGVO auf technischer Ebene überprüft/angepasst werden?
    Nach der ersten Analyse zur Frage, welche personenbezogenen Daten basierend auf welcher Rechtsgrundlage im Unternehmen verarbeitet werden, ist insbesondere zur prüfen, ob ausreichend technische und organisatorische Maßnahmen zur Gewährleistung der Datensicherheit getroffen worden sind. Nähere Informationen zur Analyse, Anpassung und Dokumentation betrieblicher Abläufe sowie eine beispielhafte Aufzählung möglicher technisch und organisatorischer Maßnahmen zur Gewährung der Datensicherheit finden Sie in den DSGVO Hilfestellungen der Bundeskammer.
     
18. Wann nimmt die Datenschutzbehörde eine Überprüfung vor und wie läuft eine solche ab?
    Die Datenschutzbehörde ist zwar berechtigt, Überprüfungen auch ohne besonderen Anlassfall vorzunehmen. Es ist jedoch davon auszugehen, dass Überprüfungen eher in jenen Fällen erfolgen werden, in denen auch eine Beschwerde wegen der Verletzungen datenschutzrechtlicher Bestimmungen von einer betroffenen Person eingebracht wird bzw. allfällige Missstände behauptet werden. Eine Überprüfung durch die Datenschutzbehörde wird in der Regel etwa zwei Tage im Vorhinein angekündigt und wird ähnlich einer Steuerprüfung durchgeführt. In diesem Fall muss das Verarbeitungsverzeichnis bereitgehalten werden! Im Übrigen soll die Datenschutzbehörde von Gesetzes wegen bei erstmaligen Verstößen primär verwarnen. Von einer Bestrafung ist daher erst bei wiederholten Verstößen und unter Anwendung so genannter „gelinderer Mittel“ auszugehen. Eine ordnungsgemäße Analyse und Dokumentation der Datenverarbeitungen im Unternehmen (siehe oben) mindert jedenfalls die Gefahr von Sanktionen durch die Datenschutzbehörde.
     
19. Müssen Datenanwendungen an die Datenschutzbehörde gemeldet und in das Datenschutzregister aufgenommen werden?
    Nein, stattdessen ist ein Verarbeitungsverzeichnis zu erstellen (siehe oben).
     
20. Wann muss ein „Verzeichnis von Verarbeitungstätigkeiten“ von einem/einer Ziviltechniker/in erstellt werden?
    Ein Verarbeitungsverzeichnis muss unabhängig von der Unternehmensgröße jede/r Ziviltechniker/in erstellen, weil im Ziviltechniker:innenbüro regelmäßig personenbezogene Daten verarbeitet werden. Dieses dient zur Dokumentation und im Überprüfungsfall zur Vorlage an die Datenschutzbehörde (siehe oben).
     
21. Müssen Ziviltechniker:innen eine/n Datenschutzbeauftragte/n bestellen?
    Eine Verpflichtung zur Bestellung einer Datenschutzbeauftragten/eines Datenschutzbeauftragten besteht, wenn die Kerntätigkeit (= Haupttätigkeit) in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (wie z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive) oder die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten). Eine Verpflichtung zur Bestellung einer Datenschutzbeauftragten/eines Datenschutzbeauftragten wird für Ziviltechniker:innen daher in aller Regel nicht gegeben sein.
     
22. Wie lange dürfen Daten im Ziviltechniker:innenbüro aufbewahrt werden bzw. wann müssen sie gelöscht werden?
    Die DSGVO strebt an, dass Unternehmer:innen personenbezogene Daten nur insoweit verwenden sollen, als dies zur Ausübung ihrer Geschäftstätigkeit notwendig ist. Daten sollen daher gelöscht werden, sobald sie nicht mehr benötigt werden. Diese müssen aber zumindest solange aufbewahrt werden, als dies in anderen gesetzlichen Bestimmungen vorgesehen ist, wzB. im Steuerrecht, wo eine 7-jähre Aufbewahrungsfrist für Buchhaltungsunterlagen vorgesehen ist. Darüber hinaus können Daten bis zur Beendigung der Geschäftsbeziehung bzw. eines Rechtsstreits aufbewahrt werden und bis zum Ablauf von Gewährleistungs- und Garantiefristen sowie der Verjährungsfristen für den Fall der Geltendmachung von Schadenersatzansprüchen gegebenenfalls auch dreißig Jahre. Eine detaillierte Auflistung branchenspezifischer Fristen ist auch auf der Homepage der WKO zu finden.
     
23. Was ist eine Datenschutz-Folgenabschätzung?
    Eine Datenschutz-Folgenabschätzung ist eine besondere Risikoanalyse, die ein Unternehmen nur in bestimmten Fällen vornehmen muss, wzB. im Falle einer umfangreichen Verarbeitung von Gesundheitsdaten oder bei der Durchführung von Profiling oder Auswertungen im Zusammenhang mit der Kreditwürdigkeit etc. Die üblichen Datenverarbeitungen eines Ziviltechniker:innenbüros werden eine solche in der Regel nicht erforderlich machen.
    
    Ergänzende FAQ´s aus den Seminaren „Fit für die EU-DSGVO“ des Ziviltechniker:innen-Forums, Graz

Regelungen zur Cybersicherheit in der EU - NIS-2-Richtlinie und NISG 2026
Im Dezember 2025 wurde das NISG 2026 (Netz- und Informationssystemsicherheitsgesetz 2026) kundgemacht, mit welchem die Vorgaben der NIS-2-Richtlinie auf nationaler Ebene umgesetzt wurden. Das Gesetz tritt mit 1. Oktober 2026 in Kraft und ersetzt ab diesem Zeitpunkt das derzeit noch geltende NISG 2018 zur Gänze. Damit gelten ab 1. Oktober 2026 für Unternehmen und Einrichtungen ab mittlerer Größe aus 18 festgelegten gesellschaftlich relevanten Sektoren verpflichtende Sicherheitsmaßnahmen und Meldepflichten bei Sicherheitsvorfällen. Auch maßgebend ist die Gewährleistung der Sicherheit der Lieferkette, sodass in Folge auch Dienstleister:innen und Lieferant:innen betroffener Einrichtungen vertraglich zu Risikomanagementmaßnahmen verpflichtet werden.

Für Unternehmen gilt: Nun sind auch die grundlegenden Vorgaben zur Cybersicherheit auf nationaler Ebene bekannt. Es ist daher wichtig, sich zeitgerecht entsprechend vorzubereiten, da die Implementierung der Maßnahmen abhängig vom Reifegrad der Cybersicherheit des Unternehmens einiges an Zeit in Anspruch nehmen kann.

Ab wann gilt was? - Fristen und Pflichten für wesentliche und wichtige Einrichtungen im Überblick:

Anwendungsbereich:
Der Anwendungsbereich des NISG 2026 erstreckt sich auf Einrichtungen, die kumulativ zwei Kriterien erfüllen: 

• die Ausübung einer Tätigkeit in einem der in Anlage 1 oder 2 genannten NIS-Sektoren sowie 

• das Erreichen der Größenschwelle für mittlere Unternehmen.

Betroffen sind daher beispielsweise große und mittlere Unternehmen aus folgenden Sektoren (Prüfung anhand Anlage 1 und Anlage 2, Spalte 3): Energie, Trink-/Abwasser, Gesundheitswesen, Post, Lebensmittel, Forschung etc.

Ob eine Einrichtung als mittleres oder großes Unternehmen eingestuft wird, hängt von drei Faktoren ab: der Beschäftigtenanzahl, dem erzielten Jahresumsatz sowie der Bilanzsumme des Geschäftsjahres.

Betroffen sind große Unternehmen

• mit mindestens 250 Beschäftigten oder über 50 Mio. Euro Jahresumsatz und über 43 Mio. Euro Jahresbilanzsumme 

und mittlere Unternehmen:

• die nicht als großes Unternehmen einzuordnen sind und
• deren Belegschaft mindestens 50 Beschäftigte umfasst oder
• deren Jahresumsatz UND die Jahresbilanzsumme jeweils über 10 Millionen Euro liegen.

Kleine Unternehmen – also Betriebe mit weniger als 50 Mitarbeitenden und einem Jahresumsatz bzw. einer Bilanzsumme von höchstens 10 Mio. Euro – sind grundsätzlich vom NISG 2026 ausgenommen.

Bestimmte Unternehmen fallen jedoch - unabhängig von ihrer Größe – trotzdem in den Anwendungsbereich:

• Vertrauensdiensteanbieter:innen
• Anbieter:innen von öffentlichen elektronischen Kommunikationsnetzen oder -diensten
• DNS-Diensteanbieter:innen sowie TLD-Namenregister (exklusive Root-Nameserver-Betreiber)
• Alleinanbieter:innen von Diensten, die für kritische gesellschaftliche oder wirtschaftliche Aktivitäten in einem Mitgliedstaat unerlässlich sind.

Wichtig für die Lieferkette: Auch nicht direkt betroffene Lieferant:innen und Dienstleister:innen müssen Sicherheitsvorkehrungen treffen, wenn ihre Kund:innen unter das NISG 2026 fallen (siehe unten).

Als wesentliche Einrichtungen gelten große Unternehmen aus den Sektoren mit hoher Kritikalität lautAnlage 1des Gesetzes, zB. Energie, Verkehr, Gesundheit, Trink-/Abwasser, etc. Mittlere Unternehmen dieser Sektoren gelten als wichtige Einrichtungen. 

Als wichtige Einrichtungen gelten große und mittlere Unternehmen aus den sonstigen kritischen Sektoren laut Anlage 2, zB. Post, Lebensmittel, Digitale Dienste, Forschung etc. 

Sowohl wesentliche als auch wichtige Einrichtungen haben die geforderten Sicherheitsmaßnahmen umzusetzen. Bei der Aufsicht und den Sanktionen etc. gibt es jedoch Unterschiede (vgl. §§ 29 ff NISG 2026). 

Was bedeutet Sicherheit der Lieferkette?
Wesentliche und wichtige Einrichtungen müssen die Sicherheit der Lieferkette einschließlich sicherheitsbezogener Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren (Dienste-)Anbieter:innen beachten.

Dabei sind die spezifischen Schwachstellen der einzelnen unmittelbaren Anbieter:innen und Diensteanbieter:innen sowie die Gesamtqualität der Produkte und der Cybersicherheitspraxis ihrer Anbieter:innen und Diensteanbieter:innen, einschließlich der Sicherheit ihrer Entwicklungsprozesse, zu berücksichtigen und entsprechende Sicherheitsmaßnahmen zu treffen. 

Dienstleister:innen oder Lieferant:innen eines NIS2-betroffenen Unternehmens können indirekt betroffen sein. Wenn Sie Dienstleister:in eines betroffenen Unternehmens sind, empfehlen wir Ihnen, so rasch als möglich mit dem jeweiligen Unternehmen das Gespräch zu suchen. Gegebenenfalls wird das betroffene Unternehmen mit Ihnen vertraglich festlegen wollen, welche Sicherheitsvorgaben – abhängig vom jeweiligen Risiko – von Ihnen zu erfüllen sein werden. Sicherheitsnachweise können auf verschiedene Weise erfolgen (z.B. Zertifizierungen, Ratings, Audits, individuelle Nachweise der Compliance und Sicherheitsanforderungen). Bei der Überprüfung der unternehmensinternen Sicherheitsmaßnahmen kann Sie beispielsweise auch ein:e Ziviltechniker:in für Informationstechnologie unterstützen! 

Da die NIS2 Bestimmungen insbesondere auch große und mittlere gewerblich tätige Unternehmungen betreffen könnten, kann es als Dienstleister:in eines solchen Unternehmens auch sinnvoll sein, die weiterführenden Informationen der Wirtschaftskammer zu studieren:

• https://www.wko.at/it-sicherheit/sicherheit-lieferkette-nis2
• https://www.wko.at/it-sicherheit/basismassnahmen-informationssicherheit-unternehmen

Zusätzliche Informationen finden Sie unter https://www.nis.gv.at/fragen-und-antworten/nis-2-richtlinie/allgemeine-informationen-zu-nis-2.html 

Stand: Jänner 2026