SmartKontoauszug LogoSmartKontoauszug
← Blog

DSGVO und Datenschutz bei der Verarbeitung von Kontoauszügen in Österreich

Was die DSGVO für die Verarbeitung von Kontoauszügen in Österreich bedeutet. Anforderungen, Pflichten und wie SmartKontoauszug DSGVO-konform arbeitet.

DSGVO und Datenschutz bei der Verarbeitung von Kontoauszügen in Österreich

Kontoauszüge enthalten hochsensible Finanzdaten: Kontostände, Transaktionsdetails, Zahlungspartner und IBAN-Nummern. Wer diese Daten digital verarbeitet – sei es durch Umwandlung, Speicherung oder Weitergabe – muss die Anforderungen der Datenschutz-Grundverordnung (DSGVO) kennen und einhalten.

Die DSGVO im Überblick

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in der gesamten EU – und damit auch in Österreich – unmittelbar anwendbar. In Österreich wird sie durch das Datenschutzgesetz (DSG 2018) ergänzt, das nationale Konkretisierungen enthält.

Die wichtigsten Grundsätze

GrundsatzBedeutung für Kontoauszüge
RechtmäßigkeitVerarbeitung nur mit Rechtsgrundlage (z.B. Einwilligung, Vertrag)
ZweckbindungDaten nur für den angegebenen Zweck verwenden
DatenminimierungNur notwendige Daten verarbeiten
RichtigkeitDaten müssen korrekt und aktuell sein
SpeicherbegrenzungDaten nur so lange speichern wie nötig
Integrität und VertraulichkeitAngemessene Sicherheit der Daten gewährleisten
RechenschaftspflichtNachweis der Einhaltung aller Grundsätze

Die österreichische Datenschutzbehörde (DSB)

In Österreich ist die Datenschutzbehörde (DSB) die zuständige Aufsichtsbehörde für den Datenschutz. Sie überwacht die Einhaltung der DSGVO und des DSG 2018 und nimmt Beschwerden von Betroffenen entgegen.

AspektDetails
AufsichtsbehördeÖsterreichische Datenschutzbehörde (DSB)
RechtsgrundlageDSGVO + DSG 2018
BußgelderBis zu EUR 20 Mio. oder 4% des weltweiten Jahresumsatzes
BeschwerderechtJede betroffene Person kann Beschwerde bei der DSB einreichen
Websitedsb.gv.at

Was sind „besonders schützenswerte Personendaten"?

Die DSGVO definiert bestimmte Datenkategorien als besonders schützenswert (Art. 9 DSGVO). Finanzdaten fallen zwar nicht explizit in diese Kategorie, gelten aber aufgrund ihrer Sensibilität als besonders schutzwürdig. Kontoauszüge enthalten:

  • Persönliche Identifikationsdaten: Name, IBAN, Kontonummer
  • Finanzielle Transaktionsdaten: Beträge, Zahlungspartner, Verwendungszwecke
  • Verhaltensprofile: Aus Transaktionsmustern lassen sich Rückschlüsse auf Lebensstil, Gesundheit, politische Haltung etc. ziehen

DSGVO-Anforderungen an die Verarbeitung von Kontoauszügen

1. Rechtsgrundlage und Zweckbindung

Kontoauszugsdaten dürfen nur für den angegebenen Zweck verarbeitet werden. Bei SmartKontoauszug ist der Zweck klar definiert: Umwandlung von PDF-Kontoauszügen in strukturierte Formate (CSV, Excel). Eine Weiterverwendung der Daten für andere Zwecke findet nicht statt.

2. Datenminimierung

Es dürfen nur die Daten erhoben und verarbeitet werden, die für den Zweck tatsächlich erforderlich sind. SmartKontoauszug verarbeitet ausschließlich die im PDF enthaltenen Transaktionsdaten – keine zusätzlichen persönlichen Informationen.

3. Datensicherheit (Art. 32 DSGVO)

Die DSGVO verlangt angemessene technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten. Dazu gehören:

  • Verschlüsselung bei der Übertragung und Speicherung
  • Zugriffskontrollen
  • Regelmäßige Sicherheitsüberprüfungen
  • Protokollierung von Datenzugriffen

4. Informationspflicht (Art. 13/14 DSGVO)

Betroffene Personen müssen über die Datenverarbeitung informiert werden. Dies umfasst:

  • Welche Daten erhoben werden
  • Zu welchem Zweck die Verarbeitung erfolgt
  • Wie lange die Daten gespeichert werden
  • An wen die Daten weitergegeben werden
  • Welche Rechte die betroffene Person hat

5. Löschpflicht (Art. 17 DSGVO – Recht auf Vergessenwerden)

Personenbezogene Daten müssen gelöscht werden, sobald sie für den Verarbeitungszweck nicht mehr benötigt werden oder die betroffene Person die Löschung verlangt.

Wie SmartKontoauszug die DSGVO umsetzt

SmartKontoauszug wurde von Grund auf mit Datenschutz im Mittelpunkt entwickelt – „Privacy by Design", wie es die DSGVO in Art. 25 verlangt.

Technische Maßnahmen

MaßnahmeUmsetzung
VerschlüsselungTLS 1.3 für alle Datenübertragungen
PDF-LöschungOriginal-PDFs werden unmittelbar nach der Extraktion gelöscht
Daten-LöschungExtrahierte Transaktionsdaten werden nach 7 Tagen automatisch entfernt
ZugriffsschutzNur der Kontoinhaber hat Zugriff auf seine extrahierten Daten
Keine WeitergabeBankdaten werden nicht an Dritte weitergegeben
ServerstandortVerarbeitung auf Servern in Deutschland (EU)

Organisatorische Maßnahmen

  • Keine Profilbildung: SmartKontoauszug analysiert keine Transaktionsmuster und erstellt keine Nutzerprofile
  • Keine Werbenutzung: Bankdaten werden nicht für Werbezwecke verwendet
  • Transparente Datenschutzerklärung: Alle Verarbeitungsschritte sind in der Datenschutzerklärung dokumentiert
  • EU-Recht: Für SmartKontoauszug gilt die DSGVO in vollem Umfang

Worauf Sie als Nutzer achten sollten

Bei der Umwandlung von Kontoauszügen

  1. Sichere Verbindung prüfen: Achten Sie auf HTTPS (Schloss-Symbol im Browser) bei der Übertragung Ihrer Bankdaten
  2. Anbieter prüfen: Wählen Sie einen Anbieter, der transparent über seine Datenschutzmaßnahmen informiert
  3. Daten lokal sichern: Speichern Sie die exportierten Dateien an einem sicheren Ort auf Ihrem Gerät
  4. Geteilte Geräte: Laden Sie keine Kontoauszüge an öffentlichen oder geteilten Computern hoch

Bei der Weitergabe an Dritte

Wenn Sie konvertierte Kontoauszüge an Ihren Steuerberater, Buchhalter oder Geschäftspartner weitergeben:

  • Nutzen Sie verschlüsselte Kanäle (z.B. verschlüsselte E-Mails, sichere Cloud-Speicher)
  • Senden Sie Bankdaten nicht als unverschlüsselten E-Mail-Anhang
  • Informieren Sie den Empfänger über den vertraulichen Charakter der Daten
  • Löschen Sie lokale Kopien, wenn sie nicht mehr benötigt werden

Für Steuerberater und Buchhalter

Als Steuerberater verarbeiten Sie Kontoauszüge im Auftrag Ihrer Klienten. Die DSGVO verlangt:

  • Einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO mit Ihren Klienten
  • Die Einhaltung der gleichen Datenschutzstandards wie der Auftraggeber
  • Die Löschung der Daten nach Abschluss des Auftrags (sofern keine Aufbewahrungspflicht besteht)

Weitere Tipps für Steuerberater finden Sie im Artikel Kontoauszüge automatisieren für Steuerberater und Buchhalter.

Österreichisches DSG 2018 – Ergänzungen zur DSGVO

Das österreichische Datenschutzgesetz (DSG 2018) enthält einige nationale Besonderheiten:

AspektRegelung
BildverarbeitungBesondere Bestimmungen für Videoüberwachung (§ 12 DSG)
ForschungsprivilegErleichterungen für wissenschaftliche Forschung (§ 7 DSG)
Strafrechtlicher Schutz§ 63 DSG: Datenverarbeitung in Schädigungsabsicht ist strafbar
VerwaltungsstrafenGeldbußen bis EUR 50.000 für bestimmte nationale Verstöße
Alter der EinwilligungAb 14 Jahren können Minderjährige selbst einwilligen (§ 4 Abs. 4 DSG)

Für die Verarbeitung von Kontoauszügen sind vor allem die allgemeinen DSGVO-Regelungen relevant. Das DSG 2018 ergänzt diese ohne wesentliche Abweichungen in diesem Bereich.

Aufbewahrungspflichten in Österreich

Unabhängig vom Datenschutz gelten in Österreich gesetzliche Aufbewahrungspflichten für Geschäftsunterlagen:

  • 7 Jahre: Bücher und Aufzeichnungen, Belege (§ 132 BAO – Bundesabgabenordnung)
  • 7 Jahre: Buchungsbelege und Geschäftskorrespondenz
  • Kontoauszüge: Gelten als Buchungsbelege und müssen entsprechend aufbewahrt werden
  • 22 Jahre: Bei Grundstücken im Zusammenhang mit Vorsteuerabzug

Das bedeutet: Auch wenn die DSGVO die Löschung nicht mehr benötigter Daten verlangt, bestehen steuerliche Aufbewahrungspflichten, die Vorrang haben. Bewahren Sie konvertierte Kontoauszüge für Ihre Buchhaltung sicher auf.

Häufige Fragen

Ist die Umwandlung von Kontoauszügen DSGVO-konform?

Ja, sofern der Anbieter angemessene Datenschutzmaßnahmen umsetzt. SmartKontoauszug erfüllt alle Anforderungen der DSGVO: Verschlüsselung, Datenminimierung, automatische Löschung und transparente Informationspflicht.

Darf mein Steuerberater meine Kontoauszüge digital verarbeiten?

Ja, im Rahmen des Auftragsverhältnisses. Der Steuerberater muss die DSGVO-Anforderungen einhalten und einen Auftragsverarbeitungsvertrag (AVV) haben. Die digitale Verarbeitung ist sogar sicherer als der Versand von Papier-Kontoauszügen per Post.

Was passiert bei einer Datenschutzverletzung?

Die DSGVO verlangt, dass Datenschutzverletzungen der Datenschutzbehörde (DSB) innerhalb von 72 Stunden gemeldet werden, wenn ein Risiko für die betroffenen Personen besteht. SmartKontoauszug minimiert das Risiko durch automatische Datenlöschung nach 7 Tagen.

Werden meine Bankdaten an Dritte weitergegeben?

Nein. SmartKontoauszug gibt keine Bankdaten an Dritte weiter. Die Verarbeitung dient ausschließlich der Konvertierung – die Daten gehören Ihnen.

Wo werden meine Daten verarbeitet?

Die Verarbeitung erfolgt auf Servern in Deutschland (EU). Alle Daten werden verschlüsselt übertragen und nach der Verarbeitung bzw. nach 7 Tagen automatisch gelöscht.

Fazit

Die DSGVO stellt klare Anforderungen an die Verarbeitung personenbezogener Daten – und Kontoauszüge enthalten besonders sensible Informationen. SmartKontoauszug wurde von Anfang an mit „Privacy by Design" entwickelt und erfüllt alle DSGVO-Anforderungen: verschlüsselte Übertragung, automatische Löschung, Datenminimierung und vollständige Transparenz.

Ob als Privatperson, KMU oder Steuerberater – Sie können Ihre Kontoauszüge sicher umwandeln, ohne Kompromisse beim Datenschutz einzugehen.

Jetzt Kontoauszug sicher umwandeln