Datenschutzbehörde  Datenschutz Europa privacy service
 
Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
DSGVO Art 4-9, 15-21, 30, 32, 82, 83, 89; DSG §§ 12, 13
Datenschutzgrundsätze gemäß DSGVO - Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten - Verarbeitung nach Treu und Glauben - Keine Verarbeitung ohne Zweck - Verarbeitung für andere Zwecke erlaubt - Beispiel für vereinbare Weiterverarbeitung - Gebot der Determinierung, Transparenz und Datensicherheit - Einwilligung des Betroffenen und Widerrufsmöglichkeit - Zulässige Datenverarbeitungen ohne Einwilligung - Einwilligung durch Kinder - Einwilligung durch AGB - Zulässige Verarbeitung besonderer Kategorien personenbezogener Daten - Verarbeitung für Zwecke der Direkterhebung - Zulässigkeit des Profiling - Geldstrafe und Schadenersatz droht

Datenschutzgrundsätze gemäß DSGVO

In Art 5 Abs 1 Datenschutz- Grundverordnung (DSGVO) finden sich für die Verarbeitung personenbezogener Daten eine Vielzahl von allgemeinen Datenschutzgrundsätze.

- das Gebot der rechtmäßigen Verarbeitung         
- die Verarbeitung nach Treu und Glauben
- das Zweckbindungsgebot
- das Gebot der Datenminimierung
- das Gebot der sachlichen Richtigkeit und Aktualität
- den Grundsatz der zeitlichen Begrenzung der Datenverarbeitung in identifizierbarer Form (Speicherbegrenzung)
- Transparenzgebot
- das Gebot der Datensicherheit
- das Gebot der Integrität und Vertraulichkeit
- die Rechenschaftspflicht des Verantwortlichen für die Einhaltung aller vorgenannten Datenschutzgrundsätze (Nachweispflicht)

Verantwortliche sind daher verpflichtet diese Prinzipien einzuhalten (Art 5 Abs 2 DSGVO). Folglich müssen sie auch den Nachweis über die Einhaltung mitbringen (Rechenschaftspflicht). Das Führen eines Verzeichnisses der Verarbeitungstätigkeiten gemäß Art 30 DSGVO sollte als eine wesentliche Grundlage für die Nachweispflicht dienen.


Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten

Eine Datenverarbeitung darf nur nach dem Grundsatz der Rechtmäßigkeit erfolgen (Art 5 Abs 1 DSGVO). Das heißt, dass sich jede personenbezogene Datenverarbeitung zwingend auf eine Rechtsgrundlage gemäß Art 6 Abs 1 DSGVO stützt. Damit ist die Erhebung und Verarbeitung von persönlichen Daten zulässig, wenn eine entsprechende rechtliche Vorschrift sie erlaubt oder sie auf einer Einwilligung beruht.

Die DSGVO verlangt zumindest einen der folgenden Rechtsgrundlagen für die rechtmäßige Datenverarbeitung (Art 6 Abs 1 DSGVO):
(1) Der Betroffene hat seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.
(2) Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage des Betroffenen erfolgen.
(3) Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
(4) Die Verarbeitung schützt lebenswichtige Interessen des Betroffenen oder eines Dritten.
(5) Die Verarbeitung schützt überwiegende berechtigte Interessen des Kindes.
(6) Die Verarbeitung schützt berechtigte Interessen des Verantwortlichen oder eines Dritten.
(7) Die Verarbeitung dient öffentlichen Interessen.


Verarbeitung nach Treu und Glauben

Das Prinzip Treu und Glauben verpflichtet den Verantwortlichen primär die Interessen und Erwartungen des Betroffenen zu wahren. Beispielsweise liegt ein Verstoß gegen Treu und Glauben vor bei Verkauf von Kunden-, Bewerber-, Mitarbeiterdaten an einen Adressverlag.


Keine Verarbeitung ohne Zweck

Das Prinzip der Zweckbindung sieht Datenverarbeitungen nur für festgelegte, eindeutige und rechtmäßige Zwecke vor, beispielsweise Kundenverwaltung, Urlaubsverwaltung oder Rechnungswesen. Ziel dieser Regelung ist, dass im Zuge der Erhebung personenbezogener Daten der Zweck dieser Verarbeitung bereits feststeht. Folglich müssen die Betroffenen über die Zwecke informiert werden. Beispielsweise sollte der Betroffene bei der Angabe seiner Kontodaten darüber informiert werden, wofür die Daten erhoben und verarbeitet werden. Der Verantwortliche informiert den Betroffenen über die Übermittlung der Bankverbindung, um die Überweisung des Lohnes durchzuführen.

Im Falle einer Zweckentfremdung drohen gemäß Art 83 Abs 5 DSGVO Sanktionen aufgrund eines vorliegenden Datenschutzverstoßes.


Verarbeitung für andere Zwecke erlaubt

Gemäß DSGVO ist der Verantwortliche grundsätzlich an den Zweckbindungsgrundsatz gebunden.

Die DSGVO sieht aber im Art 6 Abs 4 bestimmte Voraussetzungen für eine zulässige Weiterverarbeitung von personenbezogenen Daten auch zu neuen Zwecken als jenen, für welche sie ursprünglich erhoben wurden, vor. Der neue Zweck ist anhand der im Art 6 Abs 4 DSGVO beispielhaft aufgezählten Kriterien zu prüfen:
- jede Verbindung zwischen den Zwecken
- der Zusammenhang der Erhebung der Daten, insbesondere hinsichtlich des Verhältnisses zwischen der betroffenen Person und dem Verantwortlichen
- die Art der personenbezogenen Daten
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die Betroffenen
- vorhandene Verschlüsselungen oder Pseudonymisierung der Daten

Ist der neue Zweck mit dem ursprünglichen Zweck vereinbar, dürfen Verantwortliche durch diese besondere Regelung Weiterverarbeitungen ohne eine gesonderte, neue Rechtsgrundlage durchführen.


Beispiel für vereinbare Weiterverarbeitung

Ein Autohändler/Verantwortlicher verkauft und liefert seinem Kunden/Betroffenen einen Neuwagen. Im Zuge dessen erhebt und verarbeitet er personenbezogene Daten seines Kunden zu Zwecken der Kundenverwaltung und der Erfüllung des Kaufgeschäftes (ursprüngliche Zwecke). Ferner beabsichtig der Autohändler die Adressdaten seines Kunden auch zu Marketingzwecken (neuer Zweck) zu verarbeiten.


Gebot der Determinierung, Transparenz und Datensicherheit

Gemäß dem Grundsatz der Datenminimierung müssen personenbezogene Daten dem Zweck nach angemessen (verhältnismäßig) und auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Der Grundsatz der Transparenz soll eine verdeckte/versteckte Verarbeitung von personenbezogen Daten verhindern. Daher sollten Betroffenen über die Erhebung und Verarbeitung von ihren Daten und über ihre Betroffenenrechte (Art 15 bis 21 DSGVO) umfassend auf Basis des Transparenzgebotes informiert werden. Diese Informationen müssen in leicht zugänglicher Art und Weise und in einer klaren und verständlichen Sprache abgefasst sein.

Datenverarbeitungen müssen in einer Art und Weise erfolgen, so dass die angemessene Sicherheit der personenbezogenen Daten gegeben ist, einschließlich des Schutzes vor unbefugter/unrechtmäßiger Verarbeitungen, sowie vor Datenverlust. Verantwortliche sind verpflichtet dafür geeignete technische und organisatorische Maßnahmen gemäß Art 32 DSGVO zu treffen.


Einwilligung des Betroffenen und Widerrufsmöglichkeit

Der Betroffene muss über den Umfang der Daten, die verarbeitet werden sollen, sowie den Zweck, zu dem sie verarbeitet werden, ausreichend informiert werden (das Gebot der Verarbeitung nach Treu und Glauben sowie das Transparenzgebot). Eine Einwilligung ist nur dann verordnungskonform, sofern eine freiwillige Einwilligungserklärung des Betroffenen vorliegt. Jede Form von Druck, Zwang oder Verpflichtung führt deshalb zur Unwirksamkeit der Einwilligung. Daher sieht die DSGVO für die Einwilligung eigene Bedingungen vor (Art 7 DSGVO). Die Einwilligung kann im Sinne des Art 4 Zif 11 DSGVO mündlich, schriftlich oder in elektronischer Form erfolgen. Es besteht die Nachweispflicht der Einwilligung durch den Verantwortlichen.

Der Betroffene hat jederzeit das Recht die Einwilligung zu widderrufen (Art 7, 21 DSGVO). Bei Widerspruch ist der Verantwortliche verpflichtet sicher zu stellen, dass keine weitere Nutzung und Verarbeitung der Daten erfolgt, sofern keine schutzwürdigen Gründe seinerseits für die Verarbeitung vorliegen (Gebot der Richtigkeit, Aktualität und Speicherbegrenzung der Datenverarbeitung).

Der Verantwortliche darf den Abschluss eines Vertrages oder die Erbringung einer Leistung von der Abgabe der Einverständniserklärung abhängig machen (Art 7 Abs 4 DSGVO). Betroffene müssen von sich aus, aktiv eine eindeutige Handlung zur Einwilligung zum Ausdruck bringen, so die DSGVO. Infolge dessen müssen Betroffene in Form einer manuellen Eingabe ihre Einwilligung tätigen und Verantwortliche dürfen daher keine einseitigen Vorentscheidungen treffen.


Zulässige Datenverarbeitungen ohne Einwilligung

Gemäß Art 6 DSGVO gibt es bestimmte Vorraussetzungen, unter denen eine Datenverarbeitung ohne Einwilligung zulässig ist, beispielsweise zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen. Eine Verarbeitung von Daten ist auch zur Wahrung berechtigter Interessen des Verantwortlichen erlaubt, wenn die Interessen der Betroffenen nicht überwiegen oder zur Erfüllung einer rechtlichen Verpflichtung.


Einwilligung durch Kinder

Die DSGVO sieht für die Wirksamkeit von Einwilligung von Kindern und Jugendlichen grundsätzlich eine Altersgrenze von 16 Jahren vor. Gemäß Art 8 Abs 2 DSGVO dürfen EU-Mitgliedstaaten eine andere (niedrige) Altersgrenze bestimmen. Österreichische Kinder und Jugendliche dürfen ab dem vollendeten 14. Lebensjahr eine datenschutzrechtliche Einwilligungserklärung abgeben (§ 4 Abs 4 DSG).

Die Einwilligung eines Kindes hängt also von einer bestimmten Altersgrenze ab. Richtet sich beispielsweise ein Online-Spiel direkt an Kinder ist die gesetzliche Altersgrenze für die Wirksamkeit von Einwilligungen in die Datenverarbeitung zu befolgen. Für Kinder unter 14 Jahren ist die Einwilligung der Erziehungsberechtigten zwingend erforderlich (Art 8 Abs 4 DSGVO).

Verantwortliche müssen bei Erhebungen von Daten sicherstellen, dass vor Verarbeitung von Daten das Alter des Betroffenen geprüft wurde, um die Verarbeitung auf rechtmäßige Weise durchführen zu können.


Einwilligung durch AGB

Die datenschutzrechtliche Einwilligung hat in verständlicher und leicht zugänglicher Form und in klarer und einfacher Sprache zu erfolgen (Art 7 Abs 2 DSGVO). Folglich muss die Einwilligungserklärung immer dann besonders hervorgehoben werden, wenn es von den anderen Regelungsgegenständen der AGB klar unterschieden werden sollte.


Zulässige Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien von Daten gemäß Art 9 Abs 1 DSGVO ist grundsätzlich untersagt und nur aus Gründen im Art 9 Abs 2 DSGVO aufgezählten Ausnahmefällen erlaubt. Daher begründet das berechtigte Interesse des Verantwortlichen (Art 6 Abs 1 DSGVO) alleine keine Rechtfertigung für die Datenverarbeitung besonderer Kategorien.
Zu den Daten besonderer Kategorien zählen beispielsweise Gesundheitsdaten, Daten zum Sexualleben oder genetische und biometrische Daten (Art 9 DSGVO).


Verarbeitung für Zwecke der Direkterhebung

Die Verarbeitung für Zwecke der Direkterhebung erfolgt grundsätzlich aufgrund berechtigtem Interesse des Verantwortlichen (Art 6 Abs 1 DSGVO), ohne dass es einer Einwilligung des Betroffenen bedarf. Bei Widerspruch durch den Betroffenen hat der Verantwortliche eine Datenverarbeitung zu unterlassen (Art 21 Abs 2 DSGVO).


Zulässigkeit des Profiling

Profiling für Zwecke der Direkterhebung ist gerechtfertigt durch das berechtigte Interesse des Verantwortlichen und durch die gesetzliche Verpflichtung (Art 6 Abs 1 DSGVO). Gesetzliche Regelungen sind beispielsweise im § 39 BWG oder im § 7 Verbraucherkreditgesetz enthalten. Der Betroffene hat ein Widerspruchsrecht gemäß Art 21 DSGVO gegen die Verarbeitung in Form des Profiling, einschließlich der Direkterhebung.


Geldstrafe und Schadenersatz droht

Verstöße gegen die Datenschutz-Grundsätze und die unrechtmäßige Datenverarbeitung personenbezogener Daten können eine Geldstrafe von bis zu 20 Mio. Euro oder bei Unternehmen von bis zu 4 % des letzten weltweiten Jahresumsatzes verhängt werden (Art 83 Abs 5 DSGVO). Die Datenschutzbehörde ist für die Verhängung der Geldstrafe zuständig. Weiters können Betroffene bei materiellen oder immateriellen Schäden Schadenersatz geltend machen (Art 82 DSGVO). Die Zivilgerichte (NICHT die Datenschutzbehörde) sind zuständig für Schadenersatzklagen.

mehr --> Crashkurs: Datenschutz gemäß DSGVO und DSG
mehr --> Registrierung Intensivseminar 4. September 2018
mehr --> Was ist eine gültige Einwilligung (Zustimmung) gemäß DSGVO?
mehr --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung?
mehr --> Zulässigkeit einer Datenverarbeitung - Beispiel Studentenkartei
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter
mehr --> http://ftp.freenet.at/privacy/ds-at/dsg2018-aktuell.pdf
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
andere --> https://onetoone.de/de/artikel/der-dsgvo-albtraum-brief-ein-kunde-will-seine-daten
andere --> https://www.linkedin.com/pulse/der-dsgvo-albtraum-brief-ein-kunde-seine-daten-ro...

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungsservice angeboten. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixabay, Shutterstock, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2025 Information gemäß DSGVO webmaster