Rechtmäßige Datenverarbeitung und Grundsätze für die Verarbeitung – Datenschutz

Rechtmäßige Datenverarbeitung

Laut Datenschutz-Grundverordnung (DSGVO) ist eine Verarbeitung personenbezogener Daten nur zulässig, wenn zumindest eine der folgenden Rechtsgrundlagen vorliegt:

  • Einwilligung
    Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden Daten gegeben.
    Beispiel: Zustimmung zum Erhalt eines Newsletters
    Ausführliche Informationen zum Thema "Einwilligung in die Datenverarbeitung" finden sich auf USP.gv.at.
  • Erfüllung eines Vertrags
    Die Datenverarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person erforderlich.
    Beispiel: Kundendatenbank eines Unternehmens
  • Erfüllung einer rechtlichen Verpflichtung
    Die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
    Beispiele: Arbeitsrechtliche Pflichten des Arbeitgebers; Verpflichtungen einer Bank aufgrund des Bankwesengesetzes
  • Berechtigte Interessen des Verantwortlichen oder eines Dritten
    Eine Datenverarbeitung ist auch dann rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Datenverarbeiters erforderlich ist − außer die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person überwiegen (dies ist insbesondere bei Kindern anzunehmen). Es muss daher eine Interessenabwägung vorgenommen werden.
    Beispiel: Einholung einer Bonitätsauskunft durch eine Bank

Hinweis

Die DSGVO sieht neben den genannten Rechtsgrundlagen noch weitere vor.

Grundsätze für die Datenverarbeitung

Folgende Grundsätze müssen bei der Verarbeitung personenbezogener Daten immer beachtet werden:

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Zweckbindung

Eine Erhebung von Daten darf nur für festgelegte, eindeutige und legitime Zwecke erfolgen. Eine Weiterverarbeitung der Daten ist nur in einer mit diesen Zwecken zu vereinbarenden Weise erlaubt.

Datensparsamkeit ("Datenminimierung")

Personenbezogene Daten müssen dem Zweck angemessen und erheblich sein. Darüber hinaus verlangt die DSGVO, dass sie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sind.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es müssen alle angemessenen Maßnahmen getroffen werden, damit unrichtige Daten unverzüglich gelöscht oder berichtigt werden.

Speicherbegrenzung

Die Speicherfrist für personenbezogene Daten muss auf das unbedingt erforderliche Mindestmaß beschränkt bleiben. Um dies zu erfüllen, ist es ratsam, als Verantwortlicher Fristen für die Löschung oder regelmäßige Überprüfung der Daten vorzusehen.

Integrität und Vertraulichkeit

Die Art und Weise, in der personenbezogene Daten verarbeitet werden, muss eine angemessene Sicherheit der Daten gewährleisten (einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, vor unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung).

Online-Ratgeber und -Rechner

Weiterführende Links

Rechtsgrundlagen

Zum besseren Verständnis und zur leichteren Lesbarkeit gilt in diesem Text bei allen personenbezogenen Bezeichnungen die gewählte Form für beide Geschlechter.

Letzte Aktualisierung: 27. März 2023

Für den Inhalt verantwortlich: USP-Redaktion