Zum Inhalt springen
Top-Shot einer hölzernen Oberfläche, auf der aufgeklappte Laptops, Klemmbretter mit Papieren mit Statistiken, Tassen mit Flüssigkeiten, die Hände von Personen mit Smartphones sind. Darüber sind kleine Schlösser umgeben von Kreisen
© Summit Art Creations | stock.adobe.com

Rechtmäßigkeit im Sinne der DSGVO

Welche rechtliche Erlaubnis sich für Ihre Datenverarbeitung eignet

Lesedauer: 6 Minuten

Einen Moment bitte. Ladevorgang läuft ...
0:00
Audio konnte nicht geladen werden. Erneut versuchen
0:00
0:00
12.03.2026

Formen der rechtlichen Erlaubnis im Überblick

Um personenbezogene Daten zu verarbeiten, brauchen Sie eine rechtliche Erlaubnis. Die DSGVO unterscheidet zwischen folgenden Formen:

Hinweis
Wenn Sie diese Seite über Ihren PC oder Laptop besuchen, werfen Sie am besten einen Blick auf die Übersichtstabelle am Ende der Seite. Dort sehen Sie auf einen Blick, welche Form der rechtlichen Erlaubnis sich für welche Art von Daten eignet.

Rechtmäßige Verarbeitung von „normalen“ Daten 

Um personenbezogene Daten rechtmäßig verarbeiten zu können, benötigt Ihr Unternehmen eine rechtliche Erlaubnis. Laut DSGVO gibt es sechs Formen der rechtlichen Erlaubnis (auch „rechtliche Grundlage“ oder „Erlaubnistatbestand):

Hinweis
Auf welche Form der rechtlichen Erlaubnis Sie die Datenverarbeitung stützen können, hängt vom jeweiligen Verwendungszweck bzw. den konkreten Umständen ab.

Nur weil die Erlaubnis „Einwilligung“ zuerst genannt wird, ist sie nicht „besser“ als die Erlaubnis „berechtigte Interessen“. Damit Sie besser einschätzen können, welche Form der rechtlichen Erlaubnis für Ihre Zwecke am besten geeignet ist, haben wir für jede detaillierte Informationen und Praxistipps zusammengestellt.


Sonderfall: Öffentliche Daten

Öffentlich verfügbare Daten haben im Regelfall weniger Datenschutz als nicht-öffentliche Daten. 

Beispiele für öffentliche Daten

  • Einträge im Telefonbuch
  • Informationen aus Zeitungen, Fernsehen oder Radio
  • Inhalte auf frei zugänglichen Websites
  • Daten aus öffentlichen Registern (z. B. Firmenbuch, Grundbuch)

Sie dürfen nicht einfach davon ausgehen, dass es keine schutzwürdigen Interessen mehr gibt, nur weil Daten schon veröffentlicht sind. Dass Daten öffentlich sind, ist nicht allein ein Grund, sie zu verarbeiten. Verantwortliche benötigen auch hier eine rechtliche Erlaubnis.

Dabei ist auch zu berücksichtigen, für welchen Zweck die Daten öffentlich gemacht wurden. So ist es beispielsweise zulässig, dass eine Kaufinteressentin die Daten eines Grundstückseigentümers aus dem Grundbuch beschafft, um diesem zumindest einmalig ein Kaufangebot für das Grundstück zu schicken.

Sonderfall: Rechtmäßige Verarbeitung von sensiblen Daten

Die Verarbeitung von sensiblen Daten ist nur im Ausnahmefall erlaubt, da diese besondere Risiken für die betroffenen Personen birgt. Zur Frage, was sensible Daten sind, siehe $LINK BEGRIFFSBESTIMMUNGEN.

Die Verarbeitung sensibler Daten ist nur dann erlaubt, wenn eine der folgenden Ausnahmen vom Verarbeitungsverbot vorliegt:

Vorliegen einer ausdrücklichen Einwilligung

Die DSGVO spricht bei sensiblen Daten von einer ausdrücklichen Einwilligung. Wenn Sie sich an die Empfehlungen zur Einwilligung halten, ist diese im Regelfall ohnedies ausdrücklich.

Beispiel
Erfassung einer Liste mit Notfallkontakten im Betrieb. Dabei wird es den Mitarbeiter:innen freigestellt anzugeben, in welcher Beziehung sie zum angegebenen Kontakt stehen. Gibt Herr A einen Kontakt mit dem Zusatz „Ehemann“ an, ergibt sich daraus die sexuelle Orientierung.

Vertragserfüllung im Gesundheits- und Sozialbereich

Bei den sensiblen Daten schränkt die DSGVO die Datenverarbeitung zur Vertragserfüllung auf den Gesundheits- und Sozialbereich ein. Das bedeutet, dass ein Vertrag zur Leistungserbringung zwischen Betroffenem und einem Angehörigen eines Gesundheitsberufs geschlossen werden muss, der einem gesetzlichen Berufsgeheimnis unterliegt.

Beispiele
Ärzt:innen, Zahnärzt:innen, Sanitäter:innen, Hebammen, Psycholog:innen, Psychotherapeut:innen, medizinische Heilmasseur:innen.

Überdies ist eine Verarbeitung auf dieser Grundlage nur für folgende Zwecke erlaubt:

  • Gesundheitsvorsorge
  • für die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich
  • Arbeitsmedizin
  • für die Beurteilung der Arbeitsfähigkeit des Mitarbeiters/der Mitarbeiterin
  • für die medizinische Diagnostik

Beispiel
Eine Heilmasseurin verarbeitet Gesundheitsdaten ihrer Patient:innen (z. B. Angaben zu Muskelverspannungen, ärztliche Befunde, Therapiepläne), um eine individuell angepasste Massagebehandlung durchzuführen.

Die Verarbeitung erfolgt zur Erbringung einer Gesundheitsdienstleistung im Rahmen der therapeutischen Versorgung, die Heilmasseurin unterliegt einer Verschwiegenheitspflicht. Die Datenverarbeitung ist daher auf dieser rechtlichen Grundlage zulässig.

Rechtliche Grundlage

Die DSGVO sieht vor, dass auch rechtliche Grundlagen, welche die Verarbeitung sensibler Daten erlauben, nur in bestimmten Bereichen oder zu bestimmten Zwecken erlassen werden dürfen, wie insbesondere das Arbeitsrecht und die soziale Sicherheit. Kollektivverträge und Betriebsvereinbarungen zählen ebenfalls als rechtliche Grundlage. Weitere Bereiche bzw. Zwecke sind: erhebliche öffentliche Interessen, individuelle Versorgung im Gesundheits- und Sozialbereich, öffentliche Gesundheit sowie öffentliche Archiv-, Forschungs- und statistische Zwecke.

Typischerweise werden im Arbeitsverhältnis folgende sensiblen Datenkategorien auf Grundlage des Arbeitsrechts verarbeitet: Krankenstände (inklusive Kuraufenthalte), Gewerkschaftszugehörigkeit, Status als begünstigter Behinderter, Eignung oder Nichteignung einer nach gesetzlich verpflichtenden (Einstellungs-)Untersuchung (z. B. § 49 und § 50 Arbeitnehmerschutzgesetz).

Beispiel
Die Brandschutzbeauftragte ersucht die Personalabteilung um Übermittlung einer Liste jener Beschäftigten, die im Fluchtfall auf besondere Unterstützungsleistungen angewiesen sind. Dabei wird es sich vor allem um begünstigte Behinderte mit Mobilitäts- oder Wahrnehmungseinschränkungen handeln.

Berechtigte Interessen (Rechtsansprüche, Tendenzbetriebe, selbst veröffentliche Daten, lebenswichtige Interessen)

Die DSGVO anerkennt nur ganz wenige Fälle, wo die Verarbeitung sensibler Daten wegen berechtigter Interessen des Verantwortlichen zulässig ist: 

  • Wenn es um die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen geht. Diese Rechtsansprüche dürfen aber nicht rein theoretisch sein, also z. B. muss ein Verfahren bereits konkret absehbar sein.
  • Datenverarbeitung durch eine politische, weltanschauliche, religiöse oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht („Tendenzbetriebe“) im Rahmen ihrer rechtmäßigen Tätigkeit auf der Grundlage geeigneter Garantien, also z. B. Religionsgemeinschaften, caritative Vereine mit Anbindung an eine Kirche, Gewerkschaften oder politische Parteien.
  • Die personenbezogenen Daten wurden durch die betroffene Person offensichtlich selbst öffentlich gemacht. Weiterführende Details zur Verarbeitung öffentlicher Daten finden Sie auf unserer Infoseite $LINK.
  • Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person, wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben.

Sonderfall: Rechtmäßige Verarbeitung von strafrechtlich relevanten Daten

Als strafrechtlich relevant gelten laut österreichischem Datenschutzgesetz personenbezogene Daten aus den folgenden Bereichen:

  • gerichtlich oder verwaltungsbehördlich strafbare Handlungen
  • gerichtlich oder verwaltungsbehördlich strafbare Unterlassungen
  • Verdacht der Begehung von Straftaten
  • strafrechtliche Verurteilungen
  • vorbeugende Maßnahmen

Bei der Verarbeitung dieser Daten muss eine der folgenden Voraussetzungen vorliegen:

  • ausdrückliche gesetzliche Ermächtigung
  • Verpflichtung zur Verarbeitung
  • bestehende gesetzliche Sorgfaltspflicht
  • berechtigtes Interesse des Verantwortlichen oder eines Dritten
    • die Interessen der betroffenen Person müssen gewahrt werden
    • die Interessen, Grundrechte und Grundfreiheiten der betroffenen Person am Schutz der personenbezogenen Daten dürfen nicht überwiegen

Beispiele

  • Aufzeichnungen über Strafzettel, welche den jeweiligen Außendienstmitarbeitenden mit Dienstfahrzeug weiterverrechnet werden
  • Strafregisterbescheinigung mit Vorstrafen
  • Aufzeichnung der Videoüberwachungsanlage, auf der man Tat und Täter erkennt

Zusammenfassende Darstellung zu rechtlicher Erlaubnis und Datenart

Die unten angeführte Tabelle zeigt, welche Form der rechtlichen Erlaubnis sich für welche Datenart eignet.

Hinweis
Bitte beachten Sie, dass sich die Darstellung der Tabelle besser für die Desktop-Ansicht eignet.
Rechtliche Erlaubnis / Datenart Normale Daten Sensible Daten Strafrechtlich relevante Daten
EinwilligungEinwilligungNur wenn ausdrücklichNicht möglich
VertragserfüllungVertragserfüllungNur im medizinischen und sozialen Bereich, sonst: ausdrückliche EinwilligungNicht möglich
Rechtliche GrundlageRechtliche Verpflichtung Wenn nein: Berechtigte InteressenNur wenn die rechtliche Grundlage bestimmten öffentlichen Interessen dient Ausdrückliche gesetzliche Verpflichtung oder Ermächtigung, gesetzliche Sorgfaltspflichten
Lebenswichtige InteressenLebenswichtige InteressenNur wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu gebenNicht möglich
Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher GewaltAufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt→ rechtliche Grundlage→ rechtliche Grundlage
Berechtigte InteressenBerechtigte InteressenNur möglich bei Verteidigung von Rechtsansprüchen und in Tendenzbetrieben Berechtigte Interessen

Quelle: Bearbeitete Fassung einer Tabelle aus Knyrim, Praxishandbuch Datenschutzrecht (4. Auflage). Verwendung mit freundlicher Bewilligung des MANZ Verlags.

Zum Nachschlagen: Gesetzliche Bestimmungen zur Rechtmäßigkeit

Kontakt für Rückfragen

Wenn Sie weitere Fragen zu „Rechtmäßigkeit im Sinne der DSGVO“ haben, wenden Sie sich bitte an dsgvo4kmu@wko.at. Wir sind gerne für Sie da.

Weitere interessante Artikel
  • Nahaufnahme der rechten Hand einer Person, die auf der Tastatur eines aufgeklappten Laptops ist. Über das Bild sind mehrere Schlösser gelegt. Um jedes Schloss ist ein Kreis oder ein Sechseck. Die Schlösser sind durch Linien miteinander verbunden
    Vertragserfüllung als Basis zur Verarbeitung personenbezogener Daten
    Weiterlesen
  • Grafik eines dunklen Hintergrunds, auf dem vertikal mehrere helle Quadrate sind. In jedem Quadrat ist ein Haken
    Einwilligung als Basis zur Verarbeitung personenbezogener Daten
    Weiterlesen
  • Zwei Monitore hängen nebeneinander. Auf beiden sind unterschiedliche Zahlen und Kurven dargestellt. Unter den Bildschirmen ist eine Ablage mit einer Verbandsrolle sowie übereinander gestapelte, weiße Tücher
    Lebenswichtige Interessen als Basis zur Verarbeitung personenbezogener Daten
    Weiterlesen