Zum Inhalt springen
Nahaufnahme der rechten Hand einer Person, die auf der Tastatur eines aufgeklappten Laptops ist. Über das Bild sind mehrere Schlösser gelegt. Um jedes Schloss ist ein Kreis oder ein Sechseck. Die Schlösser sind durch Linien miteinander verbunden
© Michael Traitov | stock.adobe.com

Vertragserfüllung als Basis zur Verarbeitung personenbezogener Daten

Wann Sie laut DSGVO Daten beim Erfüllen eines Vertrages verarbeiten dürfen

Lesedauer: 5 Minuten

Einen Moment bitte. Ladevorgang läuft ...
0:00
Audio konnte nicht geladen werden. Erneut versuchen
0:00
0:00
20.02.2026

Allgemeine Informationen zur Vertragserfüllung

Die Verarbeitung personenbezogener Daten im Rahmen der Vertragserfüllung ist rechtmäßig, wenn 

  • die betroffene Person eine Vertragspartei ist, oder 
  • vorvertragliche Maßnahmen erforderlich sind, die auf Anfrage der betroffenen Person erfolgen.

Die Datenverarbeitung muss für die Vertragserfüllung notwendig sein.

Beispiel
Damit das Unternehmen seinen Mitarbeitenden das monatliche Gehalt überweisen kann, benötigt es die Bankverbindung der Mitarbeitenden. Die Verarbeitung dieser Bankdaten erfolgt zur Erfüllung des Arbeitsvertrags.

Häufig gestellte Fragen und Antworten zur Vertragserfüllung

Was ist ein Vertrag?

Die DSGVO versteht unter Vertrag das gleiche wie das Zivilrecht: „zwei- oder mehrseitige Rechtsgeschäfte“. Damit sind die üblichen Verträge des Unternehmensalltags erfasst: Kaufverträge, Werkverträge, Pachtverträge, Mietverträge, Darlehensverträge.

Wann ist eine Datenverarbeitung für die Vertragserfüllung erforderlich oder auch nicht?

Bei fehlendem objektivem Zusammenhang zwischen Vertragsgegenstand und Datenverarbeitung kann die Notwendigkeit problematisch sein. Das kann schon die Datenkategorien betreffen, die der Verantwortliche zur Identifizierung der betroffenen Person erhebt.

Beispiel
Bei Bargeschäften des täglichen Lebens, wie z. B. Brotkauf beim Bäcker, ist es nicht notwendig, dass der Bäcker den Namen der Kund:innen kennt. Auch bei Käufen im Internet muss eine Identifizierung nicht immer erfolgen, z. B. wenn die Ware durch Download erworben wird.

Wie sich auch aus dem Grundsatz der $LINK Datenminimierung ergibt, sind nur jene Daten zu erheben, die der Verantwortliche zur Vertragserfüllung benötigt.

Beispiel
Wenn Unternehmerin A mit Kund:innen nie per E-Mail kommuniziert, ist die E-Mail-Adresse nicht relevant. Entsprechend darf die E-Mail-Adresse gar nicht erst abgefragt werden.

Hinweis
Das Geschlecht der Kund:innen ist für viele Verträge unerheblich, aber nicht immer.

Bietet beispielsweise eine Jugendherberge Zimmer oder eine Eisenbahngesellschaft Schlafwagen getrennt nach Geschlechtern, ist eine Erhebung des Geschlechts für die Vertragserfüllung notwendig. 

Die Notwendigkeit fehlt im Regelfall, wenn Datenverarbeitungen in den Vertrag aufgenommen werden, die kein wesentlicher Vertragsbestandteil sind, z. B. 

  • Marketing
  • Betrugsprävention
  • Weitergabe an Dritte zu Marktforschung/Analysezwecken
  • Weitergabe an Konzernunternehmen
  • Kundenzufriedenheitsumfragen

Das bedeutet nicht, dass diese Zwecke jedenfalls unzulässig sind. Weitere Infos dazu erhalten Sie im folgenden Abschnitt Eignet sich die Vertragserfüllung für die beabsichtigten Zwecke?.

Eignet sich die Vertragserfüllung für Ihre Zwecke?

Diese Form der rechtlichen Erlaubnis wird im Datenschutz streng ausgelegt. Sie dürfen nur solche Datenverarbeitungen darauf stützen, die für die Erfüllung des Vertrags tatsächlich erforderlich sind (siehe dazu Wann ist eine Datenverarbeitung für die Vertragserfüllung nicht erforderlich?).

Falls Sie zusätzliche Daten verarbeiten möchten, sollten Sie prüfen, ob Sie sich auf eine andere Form der rechtlichen Erlaubnis stützen können. 

Können Sie die Vertragserfüllung als rechtliche Erlaubnis für die Verarbeitung von Daten Dritter nutzen?

Die rechtliche Erlaubnis "Vertragserfüllung" kann grundsätzlich nicht für die Verarbeitung von Daten Dritter genutzt werden, die nicht Vertragspartei sind. Für solche Datenverarbeitungen müssen alternative Grundlagen herangezogen werden - hierbei kommt insbesondere das berechtigte Interesse in Betracht.

Können sich Sub-Unternehmer auf die Vertragserfüllung berufen?

Ja. Sofern der Sub-Unternehmer nicht ohnedies $LINK Auftragsverarbeiter, sondern selbständiger Verantwortlicher ist, gilt Folgendes: 

Verantwortlicher 1 hat mit der betroffenen Person einen Vertrag geschlossen. Zwecks Durchführung des Vertrags beauftragt Verantwortlicher 1 den Verantwortlichen 2. Verantwortlicher 2 kann sich für die notwendigen Datenverarbeitungen auf den Vertrag zwischen Verantwortlichen 1 und Betroffenen stützen.

Beispiele

  •  Damit ein Versandhandelsunternehmen (= Verantwortlicher 1) dem Kunden (= betroffene Person) eine bestellte Ware zusenden kann, muss es die vom Kunden angegebenen Daten verarbeiten, und dabei u. a. an ein Transportunternehmen (= Verantwortlicher 2) weitergeben.
  • Eine Hausverwaltung beauftragt einen selbständigen Handwerker mit der Reparatur eines Wasserschadens in einer Mietwohnung. Hierfür gibt die Hausverwaltung die Kontaktdaten des betroffenen Mieters an den Handwerker weiter. Der Handwerker ist in der Regel kein Auftragsverarbeiter, sondern Verantwortlicher und kann sich für die Verarbeitung der Kontaktdaten auf den Mietvertrag berufen.

Dürfen Sie die Daten verarbeiten, bevor Sie einen Vertrag schließen?

Ja, weil die Erlaubnis „Vertragserfüllung“ auch für „vorvertragliche Maßnahmen“ gilt, sofern sie von der betroffenen Person ausgelöst wurden.

Beispiele

  •  Frau A bewirbt sich bei Unternehmen B. Für den Bewerbungsprozess (Sichtung der Daten, Auswahl, Einladung zum Erstgespräch) darf das Unternehmen die Daten von Frau A verarbeiten.
  • Ein Kfz-Besitzer vereinbart telefonisch einen Besichtigungstermin für sein schadhaftes Fahrzeug bei einer Kfz-Werkstatt. Dabei nimmt der Sachbearbeiter die relevanten Daten auf (Kontakt, KFZ-Type, Schadensbeschreibung) und trägt sie der diensthabenden KFZ-Technikerin in ihren elektronischen Kalender ein. 

Dürfen Sie den Vertrag auch nach seiner Beendigung weiterhin als rechtliche Erlaubnis heranziehen? 

Auch nach der eigentlichen Vertragsabwicklung kann die Speicherung von Daten zu Gewährleistungszwecken, für die Erfüllung nachvertraglicher Pflichten oder für allfällige Ansprüche (Verzugszinsen, Schadenersatzansprüche) erforderlich sein. Die Datenverarbeitung nach Vertragsbeendigung kann für diese Verarbeitungszwecke weiterhin auf den Vertrag als rechtliche Erlaubnis gestützt werden. 

Zum Nachschlagen: Gesetzliche Bestimmungen zur Vertragserfüllung

Kontakt für Rückfragen

Wenn Sie weitere Fragen zu „Vertragserfüllung als Basis zur Verarbeitung personenbezogener Daten“ haben, wenden Sie sich bitte an dsgvo4kmu@wko.at. Wir sind gerne für Sie da.

Weitere interessante Artikel
  • Eine Person mit Handschuhen steht unter einem über ihr fixierten Auto. Die Person hält in der rechten Hand eine Taschenlampe und blickt auf den Unterboden des Autos. Im Hintergrund stehen weitere Autos im Raum
    Öffentliche Interessen als Basis zur Verarbeitung personenbezogener Daten
    Weiterlesen
  • Zwei Monitore hängen nebeneinander. Auf beiden sind unterschiedliche Zahlen und Kurven dargestellt. Unter den Bildschirmen ist eine Ablage mit einer Verbandsrolle sowie übereinander gestapelte, weiße Tücher
    Lebenswichtige Interessen als Basis zur Verarbeitung personenbezogener Daten
    Weiterlesen