Dürfen meine Daten weitergegeben werden?

  • Die Übermittlung von Daten ist eine Datenverarbeitung, die eine Rechtsgrundlage erfordert.
  • Die Weitergabe von Daten an einen Gehilfen (Auftragsverarbeiter) erfordert normalerweise keine Einwilligung.
  • Die Übermittlung an Empfänger:innen außerhalb des Europäischen Wirtschaftsraums steht unter weiteren Einschränkungen.

Die Übermittlung von personenbezogenen Daten stellt eine Datenverarbeitung dar wie das Erheben, das Speichern oder das Auswerten von Daten dar.

Datenübermittlung

Wie jede andere Datenverarbeitung darf auch die Übermittlung von Daten nur auf Basis einer bestimmten Rechtsgrundlage stattfinden ("Wann dürfen meine Daten verarbeitet werden?"). Nur weil die Daten rechtmäßig erhoben wurden, dürfen Daten nicht auch einfach an andere Personen übermittelt werden. Jede Datenverarbeitung (Erhebung, Speicherung, Übermittlung) muss für sich allein beurteilt werden. 

Beispiel: Beate bucht im Reisebüro einen Pauschalurlaub in Ägypten. Das Reisebüro leitet die Daten von Beate an die Fluglinie und das Hotel in Ägypten weiter. Die Übermittlung der personenbezogenen Daten von Beate an die Fluglinie und das Hotel in Ägypten ist rechtmäßig, weil die Datenübermittlung für die Erfüllung des Vertrages erforderlich ist. Die Übermittlung der personenbezogenen Daten an unbeteiligte Dritte wie einer Reisestornoversicherung hingegen wäre ohne entsprechende Einwilligung von Beate nicht zulässig.

Die Empfänger:innen von personenbezogenen Daten werden selbst zu Verantwortlichen und müssen die Datenschutzregeln beachten, sofern diese die Daten bewusst speichern. Die Empfänger:innen dürfen die personenbezogenen Daten also selbst nur dann verarbeiten, wenn sie sich selbst auf eine Rechtsgrundlage stützen können.

Beispiel: Die Arbeitgeberin Alma übermittelt aufgrund ihrer arbeitsrechtlichen Verpflichtung personenbezogene Daten des Arbeitnehmers Thomas an die Finanzbehörden weiter. Die Finanzbehörde wird mit dem Empfang selbst zum Verantwortlichen hinsichtlich der personenbezogenen Daten von Thomas, denn diese verarbeitet die personenbezogenen Daten zur Berechnung von Thomas Steuerpflicht.

Weitergabe an Auftragsverarbeiter

Einen speziellen Fall der Datenübermittlung stellt das Weitergeben von personenbezogenen Daten an einen sogenannten Auftragsverarbeiter dar. Dieser wird als „verlängerter Arm“ des Verantwortlichen tätig. Ein Auftragsverarbeiter darf die personenbezogenen Daten nur im Rahmen des Auftrags des Verantwortlichen verarbeiten. Wie ein Auftragsverarbeiter diese Daten verarbeiten darf, ist in einer Vereinbarung mit dem Verantwortlichen festgelegt. Verarbeitet ein Auftragsverarbeiter die Daten für eigene Zwecke, wird dieser selbst zum Verantwortlichen. Personenbezogene Daten an einen Auftragsverarbeiter weiterzugeben, ist grundsätzlich zulässig. Dafür braucht es keine gesonderte Einwilligung. Die betroffene Person muss allerdings über den Einsatz von Auftragsverarbeitern informiert werden.

Beispiel: Der Verantwortliche speichert personenbezogene Daten bei einem Cloud-Anbieter. Der Cloud-Anbieter ist als Auftragsverarbeiter anzusehen, weil er die personenbezogenen Daten nur im Auftrag des Verantwortlichen speichert.Wenn der Cloud-Anbieter, die bei ihm gespeicherten Daten für Werbezwecke analysiert, wäre er nicht mehr als Auftragsverarbeiter, sondern würde selbst zum Verantwortlicher. Die personenbezogenen Daten dürfen dann nur aufgrund einer eigenen Rechtsgrundlage verarbeitet werden.

Datenübermittlung ins Ausland

Werden personenbezogene Daten an Empfänger:innen übermittelt, die ihren Sitz in einem anderen Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) haben, gelten dieselben Voraussetzungen wie bei einer Datenübermittlung innerhalb Österreichs. Die Datenübermittlung in einen Drittstaat, also Empfänger:innen mit Sitz außerhalb der EWR, darf hingegen nur in ganz bestimmten Fällen vorgenommen werden:

  • Im Drittland besteht ein angemessenes Datenschutzniveau. Laut der Europäischen Kommission trifft dies derzeit auf folgende Staaten zu: Andorra, Argentinien, Färöer-Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay.
  • Die oder der Verantwortliche hat geeignete Garantien vorgesehen. Zum Beispiel: verbindliche interne Datenschutzvorschriften, die von der zuständigen Aufsichtsbehörde genehmigt wurden; Standarddatenschutzklauseln, die von der Kommission genehmigt wurden. Ihnen als betroffene Person müssen gleichzeitig durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
  • Bestimmte Ausnahmefälle, wie zum Beispiel: Die betroffene Person hat in die Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die Risiken einer solchen Datenübermittlung unterrichtet wurde. Die Datenübermittlung ist für die Erfüllung eines Vertrages zwischen der betroffenen Person und dem Verantwortlichen erforderlich.

Abgesehen davon darf eine Übermittlung an ein Drittland nur dann erfolgen, wenn

  • die Übermittlung nicht wiederholt erfolgt,
  • die Übermittlung nur eine begrenzte Zahl von betroffenen Personen betrifft,
  • die Übermittlung für die Wahrung der berechtigten Interessen der Verantwortlichen erforderlich ist und die Interessen oder Rechte der betroffenen Person nicht überwiegen,
  • der Verantwortliche geeignete Garantien in Bezug auf den Schutz personenbezogener Daten vorgesehen hat. Der Verantwortliche muss die Aufsichtsbehörde und die betroffene Person von solchen Übermittlungen informieren.

Dürfen sensible Daten verarbeitet werden?

Die Datenverarbeitung von sensiblen Daten ist streng geregelt. Es gibt zehn Fälle, in denen diese verarbeitet werden dürfen.

Wie stimme ich einer Datenverarbeitung wirksam zu?

Es gibt gewisse Kriterien, damit eine Einwilligungserklärung wirksam ist: Unter anderem müssen Sie freiwillig eingewilligt haben. Außerdem müssen Sie darüb...

Kann ein Kind wirksam einwilligen?

Ihr minderjähriges Kind kann eine wirksame Einwilligungserklärung abgeben, wenn es einsichts- und urteilsfähig ist. Ob und inwieweit Ihr Kind über die notw...

Dürfen meine Daten für etwas anderes verarbeitet werden als ursprünglich angegeben?

Die Weiterverarbeitung von Daten zu einem anderen Zweck, als zu dem sie ursprünglich erhoben wurden, ist nur sehr eingeschränkt zulässig. Dies würde nämlic...

Weitere Fragen und Antworten?

Sie suchen weitere Fragen und Antworten (FAQs) zum Thema "Datenschutzrecht"? Sie haben eine andere Frage?

Zu allen FAQs Frage stellen

Letzte Änderung: 02.08.2024