th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Verarbeitung von Daten und datenschutzrechtliche Zustimmungserklärung

Ist eine Zustimmungserklärung für die Verarbeitung immer erforderlich?

Diese Ausführungen beziehen sich ausschließlich auf "nicht-sensible Daten“. Darunter versteht man solche Daten, die sich nicht auf die Rasse und ethnische Herkunft, die politische Meinung, die Gewerkschaftszugehörigkeit, die religiöse oder philosophische Überzeugung, die Gesundheit oder auch das Sexualleben einer natürlichen Person beziehen.

Eine Datenverarbeitung ist nach den Bestimmungen des Datenschutzgesetzes nur zulässig, soweit Zweck und Inhalt der Datenanwendung von den gesetzlichen Zuständigkeiten oder rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sind und die schutzwürdigen Geheimhaltungsinteressen der Betroffene nicht verletzt werden (§ 7 Abs 1 Datenschutzgesetz 2000 – DSG 2000). Weiters darf eine Datenverarbeitung nur nach dem Grundsatz von Treu und Glauben und auf rechtmäßige Weise erfolgen und die Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt werden. Zusätzlich ist es Voraussetzung, dass der durch die Datenverarbeitung verursachte Eingriff in das Grundrecht auf Datenschutz nur im erforderlichen Ausmaß und mit den gelindesten zur Verfügung stehenden Mitteln erfolgt (Verhältnismäßigkeitsgrundsatz).

Achtung!
Dieses Merkblatt bezieht sich nur auf die Voraussetzungen der zulässigen Datenverarbeitung, nicht aber auf die Voraussetzung für eine Übermittlung an Dritte! Unter "Datenverarbeitung“ versteht man das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benutzen, Überlassen, Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten durch den Auftraggeber oder Dienstleister mit Ausnahme des Übermittelns von Daten.

Jeder Auftraggeber muss sich vor der ersten Datenverarbeitung überlegen, welche Daten er von welchen Personengruppen verarbeiten will und für welche Zwecke. Nach dem DSG 2000 dürfen Daten nämlich nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt werden und nur nach Treu und Glauben und auf rechtmäßige Weise verwendet werden. So ist zB die Verarbeitung von Daten für den Zweck der Durchführung krimineller Machenschaften selbstverständlich unzulässig. Rechtmäßig wäre aber die Datenverarbeitung zB für den Zweck der Personalverwaltung oder Buchhaltung.

Damit die Datenverarbeitung aber nicht "ausufert“, zieht das DSG 2000 Grenzen ein:
Die Datenverarbeitung muss von den rechtlichen Befugnissen des jeweiligen Auftraggebers gedeckt sein und die Daten müssen für den Zweck der Datenanwendung wesentlich sein. Zusätzlich muss die Datenverarbeitung dem Verhältnismäßigkeitsgrundsatz entsprechen (siehe oben).  
 

Als "rechtliche Befugnisse“ kommen zB in Betracht:

  • Die jeweilige Gewerbeberechtigung
  • Die jeweilige Konzession nach bestimmten Materiengesetzen (zB Bankkonzession, Konzession nach dem Telekommunikationsgesetz, etc.)
  • Der Gesellschaftsvertrag
  • Die Vereinsstatuten
Diese "rechtlichen Befugnisse“ stecken die Grenzen der zulässigen Datenverarbeitung ab.
Beispiel:
Ein Unternehmen, welches eine Gewebeberechtigung für den Handel von Lebensmitteln hat, möchte Kundendaten speichern, damit es die Aufträge seiner Kunden besser verarbeiten kann. Der Zweck "Auftragsabwicklung mit den Kunden“ ist sicherlich als rechtmäßig zu betrachten. Für die "Auftragsabwicklung mit den Kunden des Lebensmittelhändlers“ hat das Handelsunternehmen auch eine rechtliche Befugnis, nämlich die entsprechende Gewerbeberechtigung.

Möchte das Handelsunternehmen die gespeicherten Kundendaten aber auch dazu verwenden, dass diese für die Abwicklung von Finanzdienstleistungen herangezogen werden, so wäre diese Form der Datenverarbeitung u.a. schon deshalb unzulässig, da das Handelsunternehmen dafür keine "rechtliche Befugnis“(Gewerbeberechtigung) hat.

Zusätzlich zu den obigen Voraussetzungen dürfen mit der Datenverarbeitung nicht die schutzwürdigen Geheimhaltungsinteressen der Betroffenen verletzt werden. 

Schutzwürdige Geheimhaltungsinteressen der Betroffenen

Eine Datenverarbeitung verletzt bei Vorliegen einer der nachfolgenden Voraussetzungen nicht die schutzwürdigen Geheimhaltungsinteressen des Betroffenen:

  1. Wenn eine ausdrückliche gesetzliche Ermächtigung oder Verpflichtung zur Verwendung der Daten besteht: So besteht zB für Adressverlage und Direktmarketingunternehmen in der Gewerbeordnung die ausdrückliche gesetzliche Ermächtigung, gewisse Daten aus einer Kunden- und Interessentendatei eines Dritten zu ermitteln

  2. Wenn lebenswichtige Interessen des Betroffenen die Verwendung von Daten erfordern: dies ist bei Notfallsituationen der Fall (zB Autounfall), bei denen der Betroffene zB bewusstlos ist und das Krankenhaus gewisse Daten zur richtigen Behandlung ermitteln muss.

  3. Wenn Daten verarbeitet werden sollen, die bereits zulässigerweise veröffentlicht wurden: zB Grundbuchs- oder Firmenbuchdaten.

  4. Wenn es sich bei den zu verarbeitenden Daten um anonyme, also nicht personenbezogene Daten handelt: Dies ist dann der Fall, wenn aus den Datenarten die Identität des Betroffenen überhaupt nicht feststellbar ist.

  5. Wenn aufgrund einer Interessenabwägung die überwiegenden berechtigten Interessen des Auftraggebers oder eines Dritten die Verwendung von Daten erfordern: Das DSG 2000 selbst sieht zu diesem Punkt zB vor, dass zur Erfüllung vertraglicher Verpflichtungen zwischen dem Auftraggeber und einem Betroffenen die Datenverwendung (daher auch die Datenverarbeitung) erforderlich ist; in diesem Fall besitzt der Auftraggeber ein überwiegendes berechtigtes Interesse für die Datenverarbeitung, sodass keine Zustimmung des Betroffenen zur Daten­verarbeitung erforderlich ist.

  6. Erst dann, wenn keine der obigen Bestimmungen [a) bis e)] zur Anwendung gelangen, ist eine Zustimmungserklärung der Betroffenen erforderlich, damit die Datenverarbeitung keine schutzwürdigen Geheimhaltungsinteressen verletzt. 

Die Zustimmungserklärung

In formeller Hinsicht muss die Zustimmungserklärung folgende Kriterien erfüllen:

  • Sie muss gültig, insbesondere ohne physischen oder psychischen Zwang (zB Drohung) vom Betroffenen abgegeben worden sein).
Tipp:
Aus Beweisgründen ist es ratsam die Zustimmungserklärung möglichst schriftlich einzuholen (auch wenn das DSG 2000 für die Verarbeitung nicht-sensibler Daten nicht mehr unbedingt Schriftlichkeit verlangt).
  • Die Zustimmungserklärung muss eine Willenserklärung sein, das heißt eine vom Betroffenen bewusst abgegebene Erklärung, in der er sich mit der Datenverarbeitung einverstanden erklärt.
  • Der Betroffene muss "in Kenntnis der Sachlage“ seine Zustimmungserklärung abgeben, die sich auf einen bestimmten Zweck beziehen muss. Damit der Betroffene "in Kenntnis der Sachlage“ eine Zustimmungserklärung abgeben kann, muss diese einen "transparenten“ Inhalt aufweisen, das heißt der Betroffene muss genau wissen, welche Datenarten für welche Zwecke verarbeitet werden sollen. Damit eine Zustimmungserklärung nicht wegen Intransparenz nichtig und damit unwirksam wird, muss der oben angeführte Inhalt der Zustimmungserklärung möglichst genau umschrieben werden (das heißt genaue Angaben über die zu verarbeitenden Daten, genaue Zweckangabe).
    Sollte die Zustimmungserklärung auch eine Übermittlung von Daten an Dritte umfassen, so müssen auch die zu übermittelnden Datenarten, der Übermittlungsempfänger und der Übermittlungszweck in der Zustimmungserklärung angeführt werden. 

Zu berücksichtigen ist, dass eine einmal abgegebene Zustimmungserklärung jederzeit auch widerrufbar ist. Der Widerruf bewirkt die Unzulässigkeit der weiteren Verwendung der Daten.

Tipp:
Bevor eine Zustimmungserklärung eingeholt wird, sollte man überprüfen, ob nicht eine oben unter a) bis e) genannte Ausnahme auf den jeweiligen Fall anzuwenden ist. Wenn dies nicht zutrifft, so muss eine Zustimmungserklärung eingeholt werden. Diese kann sinngemäß wie folgt lauten (ist aber im Bedarfsfall auf den konkreten Sachverhalt anzupassen):

"Ich stimme zu, dass folgende meiner persönlichen Daten, nämlich ... (die Datenarten genau aufzählen, zB "Name, Adresse, ...“) zum Zweck der ... (genaue Zweckangabe) verarbeitet werden.“

(Achtung! Soll auch eine Übermittlung von Daten an Dritte von der Zustimmungserklärung erfasst sein, so müssen auch die zu übermittelnden Datenarten, die Übermittlungsempfänger und der Übermittlungszweck konkret angeführt werden).

Nach der Rechtsprechung des OGH zu einer Zustimmungsklausel zur Datenübermittlung muss auch auf die Möglichkeit, die Zustimmung jederzeit zu widerrufen, hingewiesen werden. 


Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.