Rechtmäßige Datenverarbeitung und Grundsätze für die Verarbeitung – Datenschutz
Rechtmäßige Datenverarbeitung
Laut Datenschutz-Grundverordnung (DSGVO) ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn zumindest eine der folgenden Rechtsgrundlagen vorliegt:
- Einwilligung
Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden Daten gegeben.
Beispiel: Zustimmung zum Erhalt eines Newsletters
Ausführliche Informationen zum Thema "Einwilligung in die Datenverarbeitung" finden sich auf USP.gv.at. - Erfüllung eines Vertrags
Die Datenverarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich.
Beispiel: Kundendatenbank eines Unternehmens - Erfüllung einer rechtlichen Verpflichtung
Die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Beispiele: Arbeitsrechtliche Pflichten des Arbeitgebers; Verpflichtungen einer Bank aufgrund des Bankwesengesetzes - Berechtigte Interessen des Verantwortlichen oder eines Dritten
Eine Datenverarbeitung ist auch dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Datenverarbeiters erforderlich ist − außer die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (dies ist insbesondere bei Kindern anzunehmen). Es muss daher eine Interessenabwägung vorgenommen werden.
Beispiel: Einholung einer Bonitätsauskunft durch eine Bank
Hinweis
Die DSGVO sieht neben den genannten Rechtsgrundlagen noch weitere vor.
Grundsätze für die Datenverarbeitung
Folgende Grundsätze müssen bei der Verarbeitung personenbezogener Daten immer beachtet werden:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
Zweckbindung
Eine Erhebung von Daten darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen. Eine Weiterverarbeitung der Daten ist nur in einer mit diesen Zwecken zu vereinbarenden Weise erlaubt.
Datensparsamkeit ("Datenminimierung")
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sein. Darüber hinaus verlangt die DSGVO, dass sie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind.
Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es müssen alle angemessenen Maßnahmen getroffen werden, damit unrichtige Daten unverzüglich gelöscht oder berichtigt werden.
Speicherbegrenzung
Die Speicherfrist für personenbezogene Daten muss auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Um dies zu erfüllen, ist es ratsam, als Verantwortlicher Fristen für die Löschung oder regelmäßige Überprüfung der Daten vorzusehen.
Integrität und Vertraulichkeit
Die Art und Weise, in der personenbezogene Daten verarbeitet werden, muss eine angemessene Sicherheit der Daten gewährleisten (einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, vor unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung).
Online-Ratgeber und -Rechner
- Datenschutz-Grundverordnung (DSGVO)
- Informationsverpflichtungen nach der Datenschutz-Grundverordnung (→ WKO)
Weiterführende Links
- EU-Datenschutz-Grundverordnung (DSGVO): Grundsätze und Rechtmäßigkeit der Verarbeitung (→ WKO)
- EU-Datenschutz-Grundverordnung − DSGVO (→ WKO)
- Checkliste zur DSGVO (→ WKO)
Rechtsgrundlagen
- Datenschutz-Grundverordnung (DSGVO)
- Datenschutzgesetz (DSG)
Zum besseren Verständnis und zur leichteren Lesbarkeit gilt in diesem Text bei allen personenbezogenen Bezeichnungen die gewählte Form für beide Geschlechter.
Für den Inhalt verantwortlich: USP-Redaktion