Die Übermittlung von personenbezogenen Daten stellt eine Datenverarbeitung dar wie das Erheben, das Speichern oder das Auswerten von Daten dar.
Wie jede andere Datenverarbeitung darf auch die Übermittlung von Daten nur auf Basis einer bestimmten Rechtsgrundlage stattfinden ("Wann dürfen meine Daten verarbeitet werden?"). Nur weil die Daten rechtmäßig erhoben wurden, dürfen Daten nicht auch einfach an andere Personen übermittelt werden. Jede Datenverarbeitung (Erhebung, Speicherung, Übermittlung) muss für sich allein beurteilt werden.
Beispiel: Beate bucht im Reisebüro einen Pauschalurlaub in Ägypten. Das Reisebüro leitet die Daten von Beate an die Fluglinie und das Hotel in Ägypten weiter. Die Übermittlung der personenbezogenen Daten von Beate an die Fluglinie und das Hotel in Ägypten ist rechtmäßig, weil die Datenübermittlung für die Erfüllung des Vertrages erforderlich ist. Die Übermittlung der personenbezogenen Daten an unbeteiligte Dritte wie einer Reisestornoversicherung hingegen wäre ohne entsprechende Einwilligung von Beate nicht zulässig.
Die Empfänger:innen von personenbezogenen Daten werden selbst zu Verantwortlichen und müssen die Datenschutzregeln beachten, sofern diese die Daten bewusst speichern. Die Empfänger:innen dürfen die personenbezogenen Daten also selbst nur dann verarbeiten, wenn sie sich selbst auf eine Rechtsgrundlage stützen können.
Beispiel: Die Arbeitgeberin Alma übermittelt aufgrund ihrer arbeitsrechtlichen Verpflichtung personenbezogene Daten des Arbeitnehmers Thomas an die Finanzbehörden weiter. Die Finanzbehörde wird mit dem Empfang selbst zum Verantwortlichen hinsichtlich der personenbezogenen Daten von Thomas, denn diese verarbeitet die personenbezogenen Daten zur Berechnung von Thomas Steuerpflicht.
Einen speziellen Fall der Datenübermittlung stellt das Weitergeben von personenbezogenen Daten an einen sogenannten Auftragsverarbeiter dar. Dieser wird als „verlängerter Arm“ des Verantwortlichen tätig. Ein Auftragsverarbeiter darf die personenbezogenen Daten nur im Rahmen des Auftrags des Verantwortlichen verarbeiten. Wie ein Auftragsverarbeiter diese Daten verarbeiten darf, ist in einer Vereinbarung mit dem Verantwortlichen festgelegt. Verarbeitet ein Auftragsverarbeiter die Daten für eigene Zwecke, wird dieser selbst zum Verantwortlichen. Personenbezogene Daten an einen Auftragsverarbeiter weiterzugeben, ist grundsätzlich zulässig. Dafür braucht es keine gesonderte Einwilligung. Die betroffene Person muss allerdings über den Einsatz von Auftragsverarbeitern informiert werden.
Beispiel: Der Verantwortliche speichert personenbezogene Daten bei einem Cloud-Anbieter. Der Cloud-Anbieter ist als Auftragsverarbeiter anzusehen, weil er die personenbezogenen Daten nur im Auftrag des Verantwortlichen speichert.Wenn der Cloud-Anbieter, die bei ihm gespeicherten Daten für Werbezwecke analysiert, wäre er nicht mehr als Auftragsverarbeiter, sondern würde selbst zum Verantwortlicher. Die personenbezogenen Daten dürfen dann nur aufgrund einer eigenen Rechtsgrundlage verarbeitet werden.
Werden personenbezogene Daten an Empfänger:innen übermittelt, die ihren Sitz in einem anderen Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) haben, gelten dieselben Voraussetzungen wie bei einer Datenübermittlung innerhalb Österreichs. Die Datenübermittlung in einen Drittstaat, also Empfänger:innen mit Sitz außerhalb der EWR, darf hingegen nur in ganz bestimmten Fällen vorgenommen werden:
Abgesehen davon darf eine Übermittlung an ein Drittland nur dann erfolgen, wenn
Weitere Fragen und Antworten?
Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?
Letzte Änderung: 02.08.2024