Buch Berechtigtes Interesse_Demo

Das „berechtigte Interesse
iSd Art 6 Abs 1 lit f DSGVO
1. Auflage
mit
Stellungnahme der Artikel-29-Datenschutzgruppe (WP 217)
Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des
für die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie
95/46/EG
Ing. Mag. Michael Furtlehner

Sämtliche Angaben in diesem Buch erfolgen trotz sorgfältiger Bearbeitung und
Kontrolle ohne Gewähr. Eine Haftung des Autors aus dem Inhalt dieses Werkes ist
ausgeschlossen.
Grafik & Design:
Michael Furtlehner Netsystem, Bäckerfeld 13, 4331 Naarn
Cover-Foto: © wladimir1804 / Fotolia
Druck:
epubli - ein Service der neopubli GmbH, Berlin
Kontakt zum Autor:
Ing. Mag. Michael Furtlehner
Bäckerfeld 13
4331 Naarn
E-Mail: michael.furtlehner@netsystem.at
Web: www.netsystem.at
© 2018 Michael Furtlehner Netsystem

Vorwort
In Art 6 Abs 1 DSGVO werden jene Erlaubnistatbestände taxativ
aufgezählt, die eine Rechtsgrundlage für eine Datenverarbeitung
personenbezogener Daten begründen. Unter anderem ist demnach eine
Verarbeitung dann rechtmäßig, wenn die Verarbeitung zur Wahrung der
berechtigten Interessen des Verantwortlichen oder eines Dritten
erforderlich ist, sofern nicht die Interessen oder Grundrechte und
Grundfreiheiten der betroffenen Person, die den Schutz
personenbezogener Daten erfordern, überwiegen, insbesondere dann,
wenn es sich bei der betroffenen Person um ein Kind handelt.
Die in der Praxis häufig gestellte Frage „Was ist denn ein berechtigtes
Interesse“ kann leider nur mit dem Juristen-Standardsatz „Das kommt
darauf an …“ beantwortet werden, da dieser Begriff von vielen Faktoren
abhängt und für jede Verarbeitung individuell ausgelegt werden muss.
Das „berechtigte Interesse“ war bereits eine zulässige Rechtsgrundlage
zur Verarbeitung personenbezogener Daten vor Geltung der DSGVO und
erfordert immer eine Interessenabwägung und Begründung im
Einzelfall. Die Artikel-29-Datenschutzgruppe hat in ihrem Arbeitspapier
WP 217 bereits am 9. April 2014 eine Stellungnahme zum Begriff des
berechtigten Interesses abgegeben, welche als Orientierungshilfe für die
Begründung bzw Auslegung des Begriffs dient.
Auf Grundlage dieser Stellungnahme wird in diesem Buch das
„berechtigte Interesse iSd Art 6 Abs 1 lit f DSGVO“ aus verschiedenen
Blickwinkeln betrachtet und versucht, eine praxistaugliche Anleitung
sowie ein Prüfschema aufzustellen, welches für die einzelnen
Datenverarbeitungen angewendet werden kann. Der Vollständigkeit
halber darf hier gleich angemerkt werden, dass keine Art von Leitlinien
die Interessenabwägung durch den Verantwortlichen ersetzen kann,
sondern nur als Orientierungshilfen für bestimmte, in der Praxis oft
vorkommenden Verarbeitungssituationen unterstützen. 1
Im zweiten Teil des Buches wird die Stellungnahme 06/2014 zum Begriff
des berechtigten Interesses des für die Verarbeitung Verantwortlichen
gemäß Artikel 7 der Richtlinie 95/46/EG der Artikel-29-Datenschutzgruppe
abgedruckt.
Naarn, im Oktober 2018
Michael Furtlehner
1 Vgl Heberlein in Ehmann/Selmayr, DS-GVO 2 (2018), Art 6 Rz 32.

Inhaltsverzeichnis
Abkürzungsverzeichnis ............................................................................... 11
Einleitung ......................................................................................... 13
Historie ............................................................................................. 15
Verbotsprinzip mit Erlaubnisvorbehalt ................................ 19
III.1 Rechtmäßigkeit der Verarbeitung gem Art 6 Abs 1 .................... 19
III.1.1 Behörden ................................................................................................................................... 29
III.2
III.3
Rechtmäßigkeit bei Verarbeitung besonderer Kategorien
personenbezogener Daten gem Art 9 ................................................ 31
Rechtmäßigkeit bei Verarbeitung von personenbezogenen
Daten über strafrechtliche Verurteilungen und Straftaten ...... 37
Voraussetzungen ........................................................................... 38
IV.1 Berechtigtes Interesse .............................................................................. 39
IV.1.1 Interesse .................................................................................................................................... 40
IV.1.2 Rechtmäßig .............................................................................................................................. 41
IV.1.3 Hinreichend klar formuliert .............................................................................................. 41
IV.1.4 Gegenwärtig und tatsächlich vorhanden..................................................................... 41
IV.2 Erforderlichkeit der Verarbeitung ...................................................... 41
IV.3 Interessenabwägung ................................................................................. 42
IV.3.1 Grundrechte und Grundfreiheiten des Betroffenen ............................................... 43
IV.3.2 Vernünftige Erwartungen der betroffenen Person ................................................. 46
IV.3.3 Kinder ......................................................................................................................................... 46
IV.3.4 Folgen für die betroffene Person .................................................................................... 46
IV.3.5 Art der Daten ........................................................................................................................... 47
IV.3.6 Art und Weise, wie die Daten verarbeitet werden .................................................. 48
IV.4 Schutzmaßnahmen .................................................................................... 49
IV.5 Transparenz .................................................................................................. 52
7

IV.5.1 Informationspflicht nach Art 13 DSGVO ...................................................................... 56
IV.5.2 Informationspflicht nach Art 14 DSGVO ...................................................................... 59
IV.6 Kein Widerspruch ...................................................................................... 63
IV.6.1 Allgemeiner Widerspruch nach Art 21 Abs 1 ............................................................ 65
IV.6.2 Widerspruch gegen Direktwerbung nach Art 21 Abs 2 ........................................ 66
IV.6.3 EXKURS „Robinsonliste..................................................................................................... 67
IV.6.4 EXKURS „ECG-Liste ............................................................................................................. 68
IV.7 Dokumentationspflicht des Verantwortlichen .............................. 68
IV.8 Empfohlene Prüfungsschritte ............................................................... 69
Die Artikel-29-Datenschutzgruppe ........................................ 72
V.1 Der Europäischen Datenschutzausschuss EDSA .......................... 73
V.1.1 Zusammensetzung ................................................................................................................ 74
V.1.2 Aufgaben ................................................................................................................................... 75
WP 217 .......................................................................................... 83
Zusammenfassung ........................................................................................ 85
I. Einleitung ........................................................................................ 87
Allgemeine Bemerkungen ......................................................... 90
II.1 Kurze Vorgeschichte ................................................................................. 90
II.2 Rolle des Begriffs ........................................................................................ 95
II.3 Verwandte Begriffe .................................................................................... 97
II.4 Kontext und strategische Konsequenzen ..................................... 100
Analyse der Bestimmungen .................................................... 101
III.1 Überblick über Artikel 7 ....................................................................... 101
III.1.1 Einwilligung oder „erforderlich f“r... ........................................................................ 101
8

III.1.2 Verbindung mit Artikel 8 ................................................................................................. 103
III.2 Artikel 7 Buchstaben a bis e ............................................................... 106
III.2.1 Einwilligung ........................................................................................................................... 106
III.2.2 Vertrag ..................................................................................................................................... 107
III.2.3 Rechtliche Verpflichtung .................................................................................................. 111
III.2.4 Lebenswichtige Interessen .............................................................................................. 114
III.2.5 Öffentliche Aufgabe ............................................................................................................ 115
III.3 Artikel 7 Buchstabe f: berechtigte Interessen............................. 119
III.3.1 Berechtigte Interessen des für die Verarbeitung Verantwortlichen (oder
Dritter) ..................................................................................................................................... 120
III.3.2 Interessen oder Rechte der betroffenen Person .................................................... 129
III.3.3 Einführung in die Anwendung der Prüfung der Ausgewogenheit der
Interessen ............................................................................................................................... 131
III.3.4 Schlüsselfaktoren, die bei der Anwendung der Prüfung der Ausgewogenheit
der Interessen zu berücksichtigen sind ..................................................................... 136
III.3.5 Rechenschaftspflicht und Transparenz ..................................................................... 154
III.3.6 Das Widerspruchsrecht und mehr ............................................................................... 156
Abschließende Bemerkungen ................................................ 163
IV.1 Fazit ............................................................................................................... 163
IV.2 Empfehlungen ........................................................................................... 169
Anhang 1 ........................................................................................................ 175
Anhang 2 ........................................................................................................ 183
Stichwortverzeichnis ................................................................................. 205
9

Das „berechtigte )nteresse
Einleitung
Einleitung
Das geltende Datenschutzrecht ist eine Verbotsnorm mit
Erlaubnisvorbehalt. Es ist also jegliche Datenverarbeitung personenbezogener
Daten verboten, es sei denn es liegt ein Ausnahmetatbestand
iSd Art 6 Abs 1, Art 9 bzw. Art 10 DSGVO 2 vor.
Art 6 normiert sechs Alternativtatbestände, die eine Rechtsgrundlage für
die Datenverarbeitung von personenbezogenen Daten geben und regelt
das „Ob der Datenverarbeitung. 3 Die Verarbeitung von besonderen
Kategorien personenbezogener Daten ist nur bei Vorliegen der
Voraussetzungen des Art 9 und die Verarbeitung von personenbezogenen
Daten über strafrechtliche Verurteilungen und Straftaten
nach Art 10 DSGVO zulässig.
Der oft fälschlicherweise verbreiteten Meinung, dass immer eine
Einwilligung des Betroffenen eingeholt werden muss, kann
entgegengehalten werden, dass die DSGVO noch fünf weitere
Tatbestände kennt, die eine Datenverarbeitung erlauben.
Neben der Zustimmung (Art 6 Abs 1 lit a) ist eine Verarbeitung auch
dann möglich, wenn diese für die Erfüllung eines Vertrags (Art 6 Abs 1
lit b) oder zur Erfüllung einer rechtlichen Verpflichtung (Art 6 Abs 1
lit c) erforderlich ist. Weiters liegt eine gültige Rechtsgrundlage vor,
wenn die Verarbeitung erforderlich ist, um lebenswichtige Interessen
der betroffenen Person oder einer anderen natürlichen Person zu
schützen (Art 6 Abs 1 lit d) oder wenn die Verarbeitung für die
Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen
Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem
Verantwortlichen übertragen wurde (Art 6 Abs 1 lit e).
Letztendlich ist die Verarbeitung iSd Art 6 Abs 1 lit f auch dann zulässig,
wenn diese zur Wahrung der berechtigten Interessen des
Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die
Interessen oder die Grundrechte und Grundfreiheiten der betroffenen
Person, die den Schutz personenbezogener Daten erfordern,
überwiegen.
2 Artikel ohne Gesetzesangabe sind solche der DSGVO.
3 Vgl Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO Rz 1 (Stand
1.10.2018, rdb.at).
13

Das „berechtigte )nteresse
Einleitung
Ob eine Rechtsgrundlage iSd Art 6 Abs 1 lit a bis e vorliegt ist in den
meisten Fällen unkompliziert zu prüfen. Es herrscht aber weiterhin 4
große Rechtsunsicherheit, ob und unter welchen Voraussetzungen ein
berechtigtes Interesse als Rechtsgrundlage und somit als Zulässigkeitsvoraussetzung
für die Datenverarbeitung greift.
Einen Anhaltspunkt liefert die Stellungnahme der Artikel-29-
Datenschutzgruppe zum Begriff des berechtigten Interesses, welche
auch im Anwendungsbereich der DSGVO gültig ist und für die Prüfung
der Voraussetzungen und Abwägung der Interessen herangezogen
werden kann.
Ob eine Rechtmäßigkeit im Sinne eines „berechtigten Interesses nach
Art 6 Abs 1 lit f vorliegt, ist immer im Einzelfall zu prüfen und zu
dokumentieren.
Wann ein Interesse als berechtigt anzusehen ist, welche Kriterien in eine
Interessenabwägung miteinbezogen werden müssen und nach welchem
Schema ein eventuell vorliegendes berechtigtes Interesse geprüft
werden kann, wird in diesem Buch zusammengefasst und vereinfacht
dargestellt.
Die Prüfung der Rechtmäßigkeit erfolgt nach den Regeln der DSGVO. Da
diese in vielen Bereichen auslegungsbedürftig ist und deswegen oft ein
Rückgriff auch die entsprechenden Erwägungsgründe empfehlenswert
ist, werden in der Folge nach einem Auszug des Gesetzestextes die dazu
passenden Erwägungsgründe angedruckt.
Gerade bei der Interessenabwägung ist es empfehlenswert sich an der
Stellungnahme 06/2014 zum Begriff des berechtigten Interesses des für
die Verarbeitung Verantwortlichen gemäß Artikel 7 der Richtlinie
95/46/EG der Artikel-29-Datenschutzgruppe zu orientieren. Die in
diesem Buch genannten Vorgehensweisen sowie die zu berücksichtigenden
Faktoren bei der Abwägung greifen auf die von der Gruppe
vorgeschlagenen Anleitung zur Durchführung der Prüfung der
Ausgewogenheit der Interessen zurück.
Die vollständige Stellungnahme ist in diesem Buch ab Seite 83 enthalten.
4 Ein überwiegendes berechtigtes Interesse war auch schon eine Rechtsgrundlage nach
§ 8 Abs 1 Z 4 DSG 2000, welches seinen Ursprung in Art 7 lit f DSRL hatte.
14

Das „berechtigte )nteresse
Verbotsprinzip mit Erlaubnisvorbehalt
Verbotsprinzip mit Erlaubnisvorbehalt
Das Verbotsprinzip mit Erlaubnisvorbehalt wurde im Vergleich zur
Datenschutz-Richtlinie 25 nicht verändert. Dh jegliche Datenverarbeitung
mit personenbezogenen Daten ist grundsätzlich verboten, es sei denn,
einer der in Art 6, 9 oder 10 DSGVO genannten Ausnahmetatbestände
erlaubt die Datenverarbeitung.
Bereits nach Art 8 Abs 2 GRC bedarf jede Verarbeitung personenbezogener
Daten einer Einwilligung der betroffenen Person oder einer
gesetzlichen Legitimation. Ausgangspunkt hierf“r ist, „dass der
Einzelne grds selbst (err seiner Daten sein soll. 26
Ergänzt wird das Verbot mit Erlaubnisvorbehalt durch das
übergreifende Prinzip der Erforderlichkeit. Sämtliche Erlaubnistatbestände
(mit Ausnahme der Einwilligung des Betroffenen) stehen
unter dem ausdrücklichen Vorbehalt, dass die Verarbeitung personenbezogener
Daten nur dann zulässig ist, wenn diese im Rahmen des
jeweiligen Erlaubnistatbestands erforderlich ist. 27
III.1 Rechtmäßigkeit der Verarbeitung gem Art 6 Abs 1
Art 6 normiert die Rechtmäßigkeit der Datenverarbeitung für nichtsensible
Daten. Abs 1 zählt dabei taxativ und damit abschließend die
einzelnen Erlaubnistatbestände auf und differenziert hierbei neben der
Einwilligung fünf Kategorien möglicher gesetzlicher Erlaubnistatbestände.
Eine der sechs Tatbestands-Alternativen für die
Rechtmäßigkeit einer Datenverarbeitung personenbezogener Daten ist
das Vorliegen berechtigter Interessen des Verantwortlichen oder eines
Dritten gem Art 6 Abs 1 lit f DSGVO.
Abs 2 normiert eine Öffnungsklausel, die den Mitgliedstaaten die
Möglichkeit zur Bewahrung und Fortentwicklung des mitgliedstaatlichen
Datenschutzrechts vor allem im öffentlichen Bereich
eröffnet.
Abs 4 konkretisiert den in Art 5 Abs 2 lit b normierten Zweckbindungsgrundsatz,
ist jedoch kein eigener Erlaubnistatbestand. 28
25 Art 7 DSRL.
26 Vgl Frenz Handbuch Europarecht, Rn 1380; ähnlich Streinz/Michl EuZW 2011, 384 f.
27 Vgl Buchner/Petri in Kühling/Buchner DS-GVO (2017), Art 6 Rz 15.
28 Vgl Buchner/Petri in Kühling/Buchner DS-GVO (2017), Art 6 Rz 2-4.
19

Das „berechtigte )nteresse
Verbotsprinzip mit Erlaubnisvorbehalt
Artikel 6 Rechtmäßigkeit der Verarbeitung
(1) Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der
nachstehenden Bedingungen erfüllt ist:
a) Die betroffene Person hat ihre Einwilligung zu der Verarbeitung
der sie betreffenden personenbezogenen Daten für einen oder
mehrere bestimmte Zwecke gegeben;
b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen
Vertragspartei die betroffene Person ist, oder zur Durchführung
vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der
betroffenen Person erfolgen;
c) die Verarbeitung ist zur Erfüllung einer rechtlichen
Verpflichtung erforderlich, der der Verantwortliche unterliegt;
d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen
der betroffenen Person oder einer anderen natürlichen Person
zu schützen;
e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe
erforderlich, die im öffentlichen Interesse liegt oder in Ausübung
öffentlicher Gewalt erfolgt, die dem Verantwortlichen
übertragen wurde;
f) die Verarbeitung ist zur Wahrung der berechtigten
Interessen des Verantwortlichen oder eines Dritten
erforderlich, sofern nicht die Interessen oder Grundrechte
und Grundfreiheiten der betroffenen Person, die den Schutz
personenbezogener Daten erfordern, überwiegen,
insbesondere dann, wenn es sich bei der betroffenen Person
um ein Kind handelt.
Unterabsatz 1 Buchstabe f gilt nicht für die von Behörden in Erfüllung
ihrer Aufgaben vorgenommene Verarbeitung.
(2) Die Mitgliedstaaten können spezifischere Bestimmungen zur
Anpassung der Anwendung der Vorschriften dieser Verordnung
in Bezug auf die Verarbeitung zur Erfüllung von Absatz 1
Buchstaben c und e beibehalten oder einführen, indem sie
spezifische Anforderungen für die Verarbeitung sowie sonstige
Maßnahmen präziser bestimmen, um eine rechtmäßig und nach
Treu und Glauben erfolgende Verarbeitung zu gewährleisten,
einschließlich für andere besondere Verarbeitungssituationen
gemäß Kapitel IX.
(3) Die Rechtsgrundlage für die Verarbeitungen gemäß Absatz 1
Buchstaben c und e wird festgelegt durch
20

Das „berechtigte )nteresse
Verbotsprinzip mit Erlaubnisvorbehalt
a) Unionsrecht oder
b) das Recht der Mitgliedstaaten, dem der Verantwortliche
unterliegt.
Der Zweck der Verarbeitung muss in dieser Rechtsgrundlage festgelegt
oder hinsichtlich der Verarbeitung gemäß Absatz 1 Buchstabe e für die
Erfüllung einer Aufgabe erforderlich sein, die im öffentlichen Interesse
liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem
Verantwortlichen übertragen wurde. Diese Rechtsgrundlage kann
spezifische Bestimmungen zur Anpassung der Anwendung der
Vorschriften dieser Verordnung enthalten, unter anderem
Bestimmungen darüber, welche allgemeinen Bedingungen für die
Regelung der Rechtmäßigkeit der Verarbeitung durch den
Verantwortlichen gelten, welche Arten von Daten verarbeitet werden,
welche Personen betroffen sind, an welche Einrichtungen und für welche
Zwecke die personenbezogenen Daten offengelegt werden dürfen,
welcher Zweckbindung sie unterliegen, wie lange sie gespeichert werden
dürfen und welche Verarbeitungsvorgänge und -verfahren angewandt
werden dürfen, einschließlich Maßnahmen zur Gewährleistung einer
rechtmäßig und nach Treu und Glauben erfolgenden Verarbeitung, wie
solche für sonstige besondere Verarbeitungssituationen gemäß Kapitel
IX. Das Unionsrecht oder das Recht der Mitgliedstaaten müssen ein im
öffentlichen Interesse liegendes Ziel verfolgen und in einem
angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen.
(4) Beruht die Verarbeitung zu einem anderen Zweck als zu
demjenigen, zu dem die personenbezogenen Daten erhoben
wurden, nicht auf der Einwilligung der betroffenen Person oder
auf einer Rechtsvorschrift der Union oder der Mitgliedstaaten,
die in einer demokratischen Gesellschaft eine notwendige und
verhältnismäßige Maßnahme zum Schutz der in Artikel 23
Absatz 1 genannten Ziele darstellt, so berücksichtigt der
Verantwortliche — um festzustellen, ob die Verarbeitung zu
einem anderen Zweck mit demjenigen, zu dem die
personenbezogenen Daten ursprünglich erhoben wurden,
vereinbar ist — unter anderem
a) jede Verbindung zwischen den Zwecken, für die die
personenbezogenen Daten erhoben wurden, und den Zwecken
der beabsichtigten Weiterverarbeitung,
b) den Zusammenhang, in dem die personenbezogenen Daten
erhoben wurden, insbesondere hinsichtlich des Verhältnisses
zwischen den betroffenen Personen und dem Verantwortlichen,
21

Das „berechtigte )nteresse
Verbotsprinzip mit Erlaubnisvorbehalt
c) die Art der personenbezogenen Daten, insbesondere ob
besondere Kategorien personenbezogener Daten gemäß Artikel
9 verarbeitet werden oder ob personenbezogene Daten über
strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
verarbeitet werden,
d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für
die betroffenen Personen,
e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung
oder Pseudonymisierung gehören kann.
Artikel 6 gibt vor, unter welchen Voraussetzungen eine
Datenverarbeitung rechtmäßig ist. Neu ist die Einführung des Worts
„mindestens 29 , wodurch verstanden werden kann, dass eine
Datenverarbeitung auch auf mehrere Rechtsgrundlagen gestützt werden
kann. 30
Die Rechtmäßigkeit ist auch nach den Grundsätzen der Datenverarbeitung
iSd Art 5 Abs 1 lit a bei jeder Verarbeitung personenbezogener
Daten im ersten Schritt zu prüfen und somit die wichtigste
Voraussetzung bei der Prüfung, ob eine Datenverarbeitung datenschutzrechtlich
zulässig ist.
Liegt zumindest ein alternativer Rechtsgrund iSd Art 6 Abs 1 lit a bis f
vor, ist die Datenverarbeitung grundsätzlich zulässig. 31 Kann die
Datenverarbeitung keinem Rechtsgrund zugeordnet werden, ist die
Verarbeitung von vornherein nicht zulässig.
Die entsprechenden Erwägungsgründe können bei der Auslegung der
Rechtmäßigkeit Aufschluss geben, wobei der Begriff des berechtigten
Interesses hauptsächlich auf ErwGr 47 zurückzuführen ist.
ErwGr 39 (Grundsätze der Datenverarbeitung) 32
Jede Verarbeitung personenbezogener Daten sollte rechtmäßig und nach Treu und
Glauben erfolgen. Für natürliche Personen sollte Transparenz dahingehend bestehen,
dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder
anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten
29 Vgl die englische Sprachfassung „[…] at least one oft he following applies“.
30 Vgl Schulz in Gola, DS-GVO Art 6 Rz 18; Frenzel in Paal/Pauly, DS-GVO/BDSG2 Art 6 Rz
3, 8; Buchner/Petri in Kühling/Buchner, DS-GVO Art 6 Rz 13,22; Siehe auch
Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO (Stand 1.10.2018,
rdb.at) Rz 15.
31 Für die Verarbeitung personenbezogener Daten besonderer Kategorien siehe die
Erlaubnistatbestände des Art 9; für die Verarbeitung strafrechtlicher Daten siehe Art 10.
32 Die folgenden Titel der Erwägungsgründe sind inoffizielle Bezeichnungen des Autors.
22

Das „berechtigte )nteresse
Verbotsprinzip mit Erlaubnisvorbehalt
verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der
Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung
dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und
einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die
Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung
und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick
auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine
Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende
personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die
Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung
personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre
diesbezüglichen Rechte geltend machen können. Insbesondere sollten die bestimmten
Zwecke, zu denen die personenbezogenen Daten verarbeitet werden, eindeutig und
rechtmäßig sein und zum Zeitpunkt der Erhebung der personenbezogenen Daten
feststehen. Die personenbezogenen Daten sollten für die Zwecke, zu denen sie
verarbeitet werden, angemessen und erheblich sowie auf das für die Zwecke ihrer
Verarbeitung notwendige Maß beschränkt sein. Dies erfordert insbesondere, dass die
Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß
beschränkt bleibt. Personenbezogene Daten sollten nur verarbeitet werden dürfen,
wenn der Zweck der Verarbeitung nicht in zumutbarer Weise durch andere Mittel
erreicht werden kann. Um sicherzustellen, dass die personenbezogenen Daten nicht
länger als nötig gespeichert werden, sollte der Verantwortliche Fristen für ihre
Löschung oder regelmäßige Überprüfung vorsehen. Es sollten alle vertretbaren Schritte
unternommen werden, damit unrichtige personenbezogene Daten gelöscht oder
berichtigt werden. Personenbezogene Daten sollten so verarbeitet werden, dass ihre
Sicherheit und Vertraulichkeit hinreichend gewährleistet ist, wozu auch gehört, dass
Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die Geräte, mit
denen diese verarbeitet werden, benutzen können.
ErwGr 39 ist maßgeblich für die Normierung des Grundsatzes der
Rechtmäßigkeit, Transparenz und der Verarbeitung nach Treu und
Glauben. 33 Weiters finden sich darin auch die Grundsätze der
Speicherbegrenzung 34 , Datenminimierung 35 , Richtigkeit 36 sowie
Integrität und Vertraulichkeit. 37
ErwGr 40 (Rechtmäßigkeit der Datenverarbeitung)
Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit
Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen
Rechtsgrundlage verarbeitet werden, die sich aus dieser Verordnung oder — wann
immer in dieser Verordnung darauf Bezug genommen wird — aus dem sonstigen
Unionsrecht oder dem Recht der Mitgliedstaaten ergibt, so unter anderem auf der
Grundlage, dass sie zur Erfüllung der rechtlichen Verpflichtung, der der Verantwortliche
unterliegt, oder zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene
33 Vgl Art 5 Abs 1 lit a DSGVO.
34 Vgl Art Abs 1 lit e DSGVO.
35 Vgl Art 5 Abs 1 lit c DSGVO.
36 Vgl Art 5 Abs 1 lit d DSGVO.
37 Vgl Art 5 Abs 1 lit f DSGVO.
23

Das „berechtigte )nteresse
Verbotsprinzip mit Erlaubnisvorbehalt
die die Verfügbarkeit, Authentizität, Vollständigkeit und Vertraulichkeit von
gespeicherten oder übermittelten personenbezogenen Daten sowie die Sicherheit damit
zusammenhängender Dienste, die über diese Netze oder Informationssysteme
angeboten werden bzw. zugänglich sind, beeinträchtigen. Ein solches berechtigtes
Interesse könnte beispielsweise darin bestehen, den Zugang Unbefugter zu
elektronischen Kommunikationsnetzen und die Verbreitung schädlicher
Programmcodes zu verhindern sowie Angriffe in Form der gezielten Überlastung von
Servern „Denial of service-Angriffe) und Schädigungen von Computer- und
elektronischen Kommunikationssystemen abzuwehren.
ErwGr 50 (Weiterverarbeitung)
Die Verarbeitung personenbezogener Daten für andere Zwecke als die, für die die
personenbezogenen Daten ursprünglich erhoben wurden, sollte nur zulässig sein, wenn
die Verarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich
erhoben wurden, vereinbar ist. In diesem Fall ist keine andere gesonderte
Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen
Daten. Ist die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich, die im
öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem
Verantwortlichen übertragen wurde, so können im Unionsrecht oder im Recht der
Mitgliedstaaten die Aufgaben und Zwecke bestimmt und konkretisiert werden, für die
eine Weiterverarbeitung als vereinbar und rechtmäßig erachtet wird. Die
Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für
wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke
sollte als vereinbarer und rechtmäßiger Verarbeitungsvorgang gelten. Die im
Unionsrecht oder im Recht der Mitgliedstaaten vorgesehene Rechtsgrundlage für die
Verarbeitung personenbezogener Daten kann auch als Rechtsgrundlage für eine
Weiterverarbeitung dienen. Um festzustellen, ob ein Zweck der Weiterverarbeitung mit
dem Zweck, für den die personenbezogenen Daten ursprünglich erhoben wurden,
vereinbar ist, sollte der Verantwortliche nach Einhaltung aller Anforderungen für die
Rechtmäßigkeit der ursprünglichen Verarbeitung unter anderem prüfen, ob ein
Zusammenhang zwischen den Zwecken, für die die personenbezogenen Daten erhoben
wurden, und den Zwecken der beabsichtigten Weiterverarbeitung besteht, in welchem
Kontext die Daten erhoben wurden, insbesondere die vernünftigen Erwartungen der
betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug
auf die weitere Verwendung dieser Daten, um welche Art von personenbezogenen Daten
es sich handelt, welche Folgen die beabsichtigte Weiterverarbeitung für die betroffenen
Personen hat und ob sowohl beim ursprünglichen als auch beim beabsichtigten
Weiterverarbeitungsvorgang geeignete Garantien bestehen. Hat die betroffene Person
ihre Einwilligung erteilt oder beruht die Verarbeitung auf Unionsrecht oder dem Recht
der Mitgliedstaaten, was in einer demokratischen Gesellschaft eine notwendige und
verhältnismäßige Maßnahme zum Schutz insbesondere wichtiger Ziele des allgemeinen
öffentlichen Interesses darstellt, so sollte der Verantwortliche die personenbezogenen
Daten ungeachtet der Vereinbarkeit der Zwecke weiterverarbeiten dürfen. In jedem Fall
sollte gewährleistet sein, dass die in dieser Verordnung niedergelegten Grundsätze
angewandt werden und insbesondere die betroffene Person über diese anderen Zwecke
und über ihre Rechte einschließlich des Widerspruchsrechts unterrichtet wird. Der
Hinweis des Verantwortlichen auf mögliche Straftaten oder Bedrohungen der
öffentlichen Sicherheit und die Übermittlung der maßgeblichen personenbezogenen
Daten in Einzelfällen oder in mehreren Fällen, die im Zusammenhang mit derselben
Straftat oder derselben Bedrohung der öffentlichen Sicherheit stehen, an eine
zuständige Behörde sollten als berechtigtes Interesse des Verantwortlichen gelten. Eine
27

Das „berechtigte )nteresse
Verbotsprinzip mit Erlaubnisvorbehalt
hoheitlichen Maßnahmen fällt. Ob ein Organ eine Behörde ist, legt der
Gesetzgeber fest, indem er hoheitliche Aufgaben zuweist. 46 Ob der Staat
hoheitlich oder nichthoheitlich handelt, erkennt man an der Form des
Handelns. Bedient er sich einer Rechtsatzform, wie etwa Verordnung
oder Bescheid, liegt hoheitliches Handeln vor.
Der Tatbestand des Art 6 Abs 1 lit f ist nicht für Behörden in Erfüllung
ihrer Aufgaben vorgenommener Datenverarbeitungen anwendbar.
Eine Behörde kann demnach bei der Erfüllung ihrer Aufgaben kein
berechtigtes Interesse an einer Datenverarbeitung personenbezogener
Daten haben.
Hoheitsverwaltung liegt immer dann vor, wenn der Staat dem Bürger
hoheitlich in Ausübung von imperium, also mit Befehls- und
Zwangsgewalt, gegenübertritt.
Somit ist bei der Frage, ob es sich um eine Behörde handelt und eine
Zulässigkeit aufgrund eines berechtigten Interesses iSd Art 6 Abs 1 lit f
ausscheidet, mE immer wichtig abzugrenzen, ob die Behörde die
Datenverarbeitung im Zuge der Hoheitsverwaltung durchführt.
Eine Schule bspw kann als Behörde angesehen werden, da sie Bescheide
erlässt. Zwar keine Bescheide iSd AVG, allerdings „bescheidähnliche
Entscheidungen, die nach den Grundregeln eines rechtsstaatlichen
Verfahrens erstellt und kundgemacht werden. 47 Bei diesen hoheitlichen
Datenverarbeitungen kommt Art 6 Abs 1 letzter Satz DSGVO zur
Anwendung, welcher besagt, dass sich die Behörde nicht auf den
Rechtsgrund des berechtigten Interesses stützen kann.
Handelt die Schule aber nicht hoheitlich, indem sie zB eine Schulwebsite
betreibt oder Fotos während einer Schulveranstaltung aufnimmt, ist mE
jedenfalls eine Rechtsgrundlage iSd Art 6 Abs 1 lit f DSGVO zulässig, da
es gerade in diesen Fällen nicht dem Gesetzgeber obliegt, per
Rechtsvorschrift die Rechtsgrundlage für diese Verarbeitungen von
personenbezogenen Daten durch die Behörden zu schaffen.
Außerdem wären ohne Unterscheidung in hoheitliche und nicht
hoheitliche Datenverarbeitungen sämtliche Datenverarbeitungen einer
Behörde unzulässig, die bereits vor Geltung der DSGVO vorgenommen
wurden und sich auf die Zulässigkeitsvoraussetzung nach § 8 Abs 1 Z 4
46 Vgl Leitl, Öffentliches Recht I 2 (2007), Rz 14/28.
47 Vgl Juranek, Wo die Schule juristisch wird, S&R 1/2016, 56.
30

Das „berechtigte )nteresse
Verbotsprinzip mit Erlaubnisvorbehalt
DSG 2000 stützten. Demnach dürften in Behörden dann auch keine
Videoüberwachungen durchgeführt werden oder keine Maßnahmen zur
Einhaltung der IT-Sicherheit gesetzt werden, die sich auf den
Rechtsgrund des berechtigten Interesses stützen.
Folglich wird diese Einschränkung so auszulegen sein, dass ein
berechtigtes Interesse einer Behörde nur bei Verarbeitungen
personenbezogener Daten für gesetzliche Aufgaben der Behörde
ausgeschlossen ist.
Liegt also kein hoheitliches Handeln vor, sondern handelt die Behörde
bzw im weiteren Sinne der Staat iSd Privatwirtschaftsverwaltung 48 , kann
sehr wohl auf die Rechtsgrundlage des Art 6 Abs 1 lit f DSGVO
zurückgegriffen werden. 49
III.2 Rechtmäßigkeit bei Verarbeitung besonderer
Kategorien personenbezogener Daten gem Art 9
Art 9 regelt die Verarbeitung besonderer Kategorien personenbezogener
Daten. Dies sind personenbezogene Daten, aus denen die
rassische und ethnische Herkunft, politische Meinungen, religiöse oder
weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit
hervorgehen, sowie die Verarbeitung von genetischen Daten,
biometrischen Daten zur eindeutigen Identifizierung einer natürlichen
Person, Gesundheitsdaten oder Daten zum Sexualleben oder der
sexuellen Orientierung einer natürlichen Person. 50
Biometrische Daten sind mit speziellen technischen Verfahren
gewonnene personenbezogene Daten, zu den physischen, physiologischen
oder verhaltenstypischen Merkmale einer natürlichen Person
zählen, die die eindeutige Identifizierung dieser natürlichen Person
ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische
Daten. 51 Biometrische Daten sind allerdings nur dann als Daten
besonderer Kategorien einzustufen, wenn sie nicht nur abstrakt zur
eindeutigen Identifizierung einer natürlichen Person führen, sondern
auch tatsächlich zu diesem Zweck verarbeitet werden. 52
48 Vgl Art 17, 116 Abs 2 B-VG.
49 Ebenso Schulz in Gola, Art 6 Rz 50; bzw Herberlein in Ehmann/Selmayr, DS-GVO 2
(2018) Art 6 Rz 21.
50 Vgl Art 9 Abs 1 DSGVO.
51 Darunter sind Fingerabdruckdaten zu verstehen.
52 Vgl Feiler/Forgó, EU-DSGVO Kurzkommentar (2006), Art 9 Rz 3.
31

Das „berechtigte )nteresse
Voraussetzungen
Voraussetzungen
Um eine Datenverarbeitung auf die Rechtsgrundlage „berechtigtes
)nteresse“ iSd Art 6 Abs 1 lit f DSGVO stützen zu können, müssen
folgende Voraussetzungen erfüllt werden. Eine Datenverarbeitung ist
demnach – wie auch bereits nach Art 7 lit f DSRL – rechtmäßig, wenn
1. ein berechtigtes Interesse des Verantwortlichen oder eines
Dritten vorliegt,
2. als Ergebnis einer Interessenabwägung die Grundrechte und
Grundfreiheiten der Betroffenen nicht den berechtigten
Interessen des Verantwortlichen überwiegen 55 ,
3. die Datenverarbeitung für die Erreichung des berechtigten
Interesses erforderlich ist.
Sind diese Voraussetzungen gegeben, ist die Datenverarbeitung soweit
zulässig. Zusätzlich sind natürlich auch neben der Rechtmäßigkeit noch
die restlichen Grundsätze der Datenverarbeitung gem Art 5 DSGVO
einzuhalten.
Weiters dürfen personenbezogene Daten nur so lange verarbeitet
werden, als kein Widerspruch gem Art 21 DSGVO vorliegt! Für
Verantwortliche bedeutet dies, dass es für jede Datenverarbeitung
basierend auf Art 6 Abs 1 lit f die Möglichkeit geben muss, personenbezogene
Daten von Betroffenen auszuschließen, die von ihrem
Betroffenenrecht auf Widerspruch Gebrauch gemacht haben.
Damit betroffene Personen über die Verarbeitungen informiert werden,
obliegt dem Verantwortlichen eine sog Informationspflicht. Die
Datenverarbeitungen müssen somit dem Transparenz-Grundsatz
entsprechen und dürfen personenbezogene Daten nur nach Treu und
Glauben verarbeiten.
Im Zuge der Rechenschaftspflicht wird dem Verantwortlichen dringend
empfohlen, eine schriftliche Dokumentation über das Vorliegen eines
berechtigten Interesses anzufertigen und im Verarbeitungsverzeichnis
abzulegen.
55 Vgl Voigt/von dem Bussche, EU-Datenschutz-Grundverordnung Praktikerhandbuch
(2018), 132.
38

Das „berechtigte )nteresse
Voraussetzungen
IV.1 Berechtigtes Interesse
Es reicht nicht aus, dass der Verantwortliche ein Interesse daran hat,
einen wirtschaftlichen oder ideellen Nutzen aus der Verarbeitung zu
ziehen. Vielmehr muss ein berechtigtes Interesse vorliegen. Zu den
berechtigten Interessen eines Verantwortlichen zählen neben den
rechtlichen Interessen auch tatsächliche, wirtschaftliche bzw ideelle
Interessen.
Bloße Allgemeininteressen sind demgegenüber nicht ausreichend.
Handelt es sich um Interessen der öffentlichen Sicherheit, Gesundheit
oder des Wohlergehens des Menschens, ist hier nicht das berechtigte
Interesse, sondern eher Art 6 Abs 1 lit e DSGVO maßgebend.
In den ErwGr 47 ff werden beispielhaft berechtigte Interessen genannt,
die aber jeweils im Einzelfall genau zu prüfen und zu dokumentieren
sind. Pauschale Aussagen können in diesem Zusammenhang schwer
getroffen werden, da es immer auf die gesamten Umstände des
Einzelfalls ankommt.
Beispiele für berechtigte Interessen:
Verhinderung von Betrug im unbedingt erforderlichen
Umfang 56 ,
Direktwerbung 57
Übermittlung personenbezogener Daten in einer
Unternehmensgruppe
Wahrung der Sicherheit wie zB Netz- und Informationssicherheit
58
Eine Liste von Beispielen für das Vorliegen von berechtigten Interessen
findet sich im Anhang 2 der Artikel-29-Datenschutzgruppe WP 217. 59
56 Vgl Anhang 2 der Artikel-29-Datenschutzgruppe WP 217 (Praktische Beispiele zur
Veranschaulichung der Anwendung der Prüfung der Ausgewogenheit der Interessen
nach Artikel 7 Buchstabe f); siehe in diesem Buch ab Seite 193.
57 Vgl Anhang 2 der Artikel-29-Datenschutzgruppe WP 217; siehe in diesem Buch ab
Seite 188.
58 Vgl Anhang 2 der Artikel-29-Datenschutzgruppe WP 217; siehe in diesem Buch ab
Seite 197.
59 Siehe in diesem Buch ab Seite 183.
39

Das „berechtigte )nteresse
Voraussetzungen
vollständig erfüllt werden kann. 69 Darunter fällt auch, dass die
Aufgabe auf andere Weise nur
— mit unverhältnismäßig großen Schwierigkeiten oder
— mit unvertretbar höheren Aufwand oder
— verspätet erfüllt werden könnte.
Es sollte jedoch immer geprüft werden, ob es für die konkrete
Zielerreichung noch gelindere Maßnahmen gibt. Die Ausnahmen und
Einschränkungen in Bezug auf den Schutz der personenbezogenen Daten
sind dabei auf das absolut Notwendige zu beschränken. 70
IV.3 Interessenabwägung
Liegt ein (erforderliches) berechtigtes Interesse des Verantwortlichen
vor, ist im nächsten Schritt zu prüfen, ob diesem berechtigten Interesse
die Grundrechte und Grundfreiheiten des Betroffenen überwiegen.
Dabei sind sämtliche Umstände zu berücksichtigen und zu bewerten
sowie einerseits die Bedeutung der Verarbeitung für den
Verantwortlichen mit dem Eingriff in die Privatsphäre des Betroffenen
andererseits gegenüberzustellen.
Auch die in Frage kommenden Schutzmaßnahmen müssen angemessen
und ausreichend sein und im Zuge der Interessenabwägung
berücksichtigt werden.
Sind die Interessen gleichwertig, ist die Datenverarbeitung iSd
Art 6 Abs 1 lit f DSGVO bereits rechtmäßig.
Der Beweis, dass die Grundrechte des Betroffenen überwiegen und
deshalb gerade keine Rechtmäßigkeit gegeben ist, obliegt dem
Betroffenen. Dieser muss ein überwiegendes Interesse am Schutz der
personenbezogenen Daten gegenüber dem berechtigten Interesse des
Verantwortlichen oder Dritten an der Datenverarbeitung nachweisen. 71
Die Beweislast des überwiegenden Schutzinteresses des Betroffen liegt
beim Betroffenen selbst. 72 Erst im Zuge eines Widerspruchs iSd Art 21
69 Vgl https://www.datenschutz-wiki.de/Erforderlichkeit (Abfrage am 19.9.2018).
70 Vgl EuGH 4.5.2017, C-13/16, Valsts policijas Rīgas reģiona pārvaldes Kārtības policijas
pārvalde gegen Rīgas pašvaldības S)A „Rīgas satiksme
71 Vgl Fercher/Riedl, DSGVO: Entstehungsgeschichte und Problemstellungen aus
österreichischer Sicht, in Knyrim (Hrsg), Datenschutz-Grundverordnung (2016) 20.
72 Georgieva in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zur Datenschutz-
Grundverordnung 1 , 2017.
42

Das „berechtigte )nteresse
Voraussetzungen
DSGVO tritt eine ex-post Beweislastumkehr ein, wodurch dann den
Verantwortlichen die Behauptungs- und Beweislast trifft. 73
Je größer der Eingriff und das mit der Datenverarbeitung verbundene
Risiko für die Grundrechte und Grundfreiheiten der betroffenen Person,
desto eher bedarf es einer Rechtfertigung des Verantwortlichen. 74
IV.3.1
Grundrechte und Grundfreiheiten des Betroffenen
Bei der Abwägung der berechtigten Interessen an der Verarbeitung mit
den Interessen und den Grundrechten und Grundfreiheiten der
betroffenen Person sind insbesondere die Grundrechte aus Art 7 und 8
GRC, sowie Art 8 EMRK und § 1 DSG zu berücksichtigen. 75
Art 7 GRC
Achtung des Privat- und Familienlebens
Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens,
ihrer Wohnung sowie ihrer Kommunikation.
Art 8 GRC
Schutz personenbezogener Daten
(1) Jede Person hat das Recht auf Schutz der sie betreffenden
personenbezogenen Daten.
(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte
Zwecke und mit Einwilligung der betroffenen Person oder auf
einer sonstigen gesetzlich geregelten legitimen Grundlage
verarbeitet werden. Jede Person hat das Recht, Auskunft über die
sie betreffenden erhobenen Daten zu erhalten und die
Berichtigung der Daten zu erwirken.
(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen
Stelle überwacht.
Art 8 EMRK
Recht auf Achtung des Privat- und Familienlebens
(1) Jedermann hat Anspruch auf Achtung seines Privat- und
Familienlebens, seiner Wohnung und seines Briefverkehrs.
73 Vgl Haidinger in Knyrim, DatKomm Art 21 DSGVO Rz 39 (Stand 1.10.2018, rdb.at).
74 Vgl Diregger, Handbuch Datenschutzrecht (2018), 294.
75 Vgl Heberlein in Ehmann/Selmayr, DS-GVO 2 (2018), Art 6 Rz 28.
43

Das „berechtigte )nteresse
Voraussetzungen
die Erteilung der Information unmöglich ist, ODER
einen unverhältnismäßigen Aufwand erfordert, ODER
die Daten für eine in einem öffentlich Interesse liegenden
Archivzweck, für wissenschaftliche oder historische
Forschungszwecke oder für statistische Zwecke verarbeitet
werden, ODER
die Ziele der Verarbeitung dadurch gefährdet werden.
Artikel 14
Informationspflicht, wenn die personenbezogenen Daten nicht bei
der betroffenen Person erhoben wurden
(1) Werden personenbezogene Daten nicht bei der betroffenen
Person erhoben, so teilt der Verantwortliche der betroffenen
Person Folgendes mit:
a) den Namen und die Kontaktdaten des Verantwortlichen sowie
gegebenenfalls seines Vertreters;
b) zusätzlich die Kontaktdaten des Datenschutzbeauftragten;
c) die Zwecke, für die die personenbezogenen Daten verarbeitet
werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
d) die Kategorien personenbezogener Daten, die verarbeitet
werden;
e) gegebenenfalls die Empfänger oder Kategorien von Empfängern
der personenbezogenen Daten;
f) gegebenenfalls die Absicht des Verantwortlichen, die
personenbezogenen Daten an einen Empfänger in einem
Drittland oder einer internationalen Organisation zu
übermitteln, sowie das Vorhandensein oder das Fehlen eines
Angemessenheitsbeschlusses der Kommission oder im Falle von
Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49
Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder
angemessenen Garantien und die Möglichkeit, eine Kopie von
ihnen zu erhalten, oder wo sie verfügbar sind.
(2) Zusätzlich zu den Informationen gemäß Absatz 1 stellt der
Verantwortliche der betroffenen Person die folgenden
Informationen zur Verfügung, die erforderlich sind, um der
betroffenen Person gegenüber eine faire und transparente
Verarbeitung zu gewährleisten:
60

Das „berechtigte )nteresse
Voraussetzungen
a) die Dauer, für die die personenbezogenen Daten gespeichert
werden oder, falls dies nicht möglich ist, die Kriterien für die
Festlegung dieser Dauer;
b) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe f beruht,
die berechtigten Interessen, die von dem Verantwortlichen oder
einem Dritten verfolgt werden;
c) das Bestehen eines Rechts auf Auskunft seitens des
Verantwortlichen über die betreffenden personenbezogenen
Daten sowie auf Berichtigung oder Löschung oder auf
Einschränkung der Verarbeitung und eines Widerspruchsrechts
gegen die Verarbeitung sowie des Rechts auf
Datenübertragbarkeit;
d) wenn die Verarbeitung auf Artikel 6 Absatz 1 Buchstabe a oder
Artikel 9 Absatz 2 Buchstabe a beruht, das Bestehen eines
Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die
Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf
erfolgten Verarbeitung berührt wird;
e) das Bestehen eines Beschwerderechts bei einer
Aufsichtsbehörde;
f) aus welcher Quelle die personenbezogenen Daten stammen und
gegebenenfalls ob sie aus öffentlich zugänglichen Quellen
stammen;
g) das Bestehen einer automatisierten Entscheidungsfindung
einschließlich Profiling gemäß Artikel 22 Absätze 1 und 4 und —
zumindest in diesen Fällen — aussagekräftige Informationen
über die involvierte Logik sowie die Tragweite und die
angestrebten Auswirkungen einer derartigen Verarbeitung für
die betroffene Person.
(3) Der Verantwortliche erteilt die Informationen gemäß den
Absätzen 1 und 2
a) unter Berücksichtigung der spezifischen Umstände der
Verarbeitung der personenbezogenen Daten innerhalb einer
angemessenen Frist nach Erlangung der personenbezogenen
Daten, längstens jedoch innerhalb eines Monats,
b) falls die personenbezogenen Daten zur Kommunikation mit der
betroffenen Person verwendet werden sollen, spätestens zum
Zeitpunkt der ersten Mitteilung an sie, oder,
c) falls die Offenlegung an einen anderen Empfänger beabsichtigt
ist, spätestens zum Zeitpunkt der ersten Offenlegung.
61

Das „berechtigte )nteresse
Voraussetzungen
Abs 6 enthält ein separates Widerspruchsrecht für Datenverarbeitungen
zu wissenschaftlichen oder historischen Forschungszwecken oder zu
statistischen Zwecken, soweit die Verarbeitung nicht zur Erfüllung einer
im öffentlichen Interesse liegenden Aufgabe erforderlich ist.
Je nach Art der Datenverarbeitung kann ein allgemeiner
Widerspruch 109 gem Art 21 Abs 1 oder ein Widerspruch gegen
Datenverarbeitungen zum Zweck der Direktwerbung 110 vorliegen.
Für einen rechtmäßigen Widerspruch ist eine Erklärung der betroffenen
Person gegenüber dem Verantwortlichen erforderlich, mit der die
betroffene Person mitteilt, dass sie mit der Verarbeitung nicht
einverstanden ist. Durch die Geltendmachung eines Widerspruchs tritt
die Ex-post-Beweislastumkehr ein, die auch von der Artikel-29-
Datenschutzgruppe in ihrer Stellungnahme zum Begriff des berechtigten
Interesses (siehe ab Seite 87) ausdrücklich befürwortet wurde. 111
Es gibt keine Formvorschriften, wobei aber die Schriftlichkeit im
Hinblick auf die Fristen gem Art 12 Abs 3 und 4 DSGVO empfehlenswert
ist. Der Betroffene sollte bei der Antragstellung seine Identität in
geeigneter Weise nachweisen.
IV.6.3
EXKURS „Robinsonliste“
Unabhängig von den Regeln des Datenschutzrechts gibt es auch für
unerwünschtes persönlich adressiertes Werbematerial die sog
Robinsonliste, welche beim Fachverband Werbung und
Marktkommunikation gem § 151 Abs 9 GewO 1994 zu führen und den
österreichischen Adressverlagen und Direktmarketingunternehmen zur
Verfügung zu stellen ist.
Ein Eintrag 112 in der Robinsonliste bewirkt, dass ein Konsument oder ein
Unternehmen kein persönlich adressiertes Werbematerial per Post
zugesandt bzw verteilt bekommen. Wobei lediglich Adressverlage und
Direktwerbeunternehmen diese Liste berücksichtigen müssen. Plant ein
Unternehmen bspw eine Werbeaussendung für ihre Kunden, ist diese
109 Siehe IV.6.1 Allgemeiner Widerspruch nach Art 21 Abs 1, Seite 65.
110 Siehe IV.6.2 Widerspruch gegen Direktwerbung nach Art 21 Abs 2, Seite 66.
111 Vgl Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO (Stand
1.10.2018, rdb.at) Rz 52.
112 Ein Antrag auf Aufnahme in die Robinsonliste kann elektronisch gestellt werden
unter https://apppool.wko.at/Robinsonliste/Registrierung.aspx.
67

Das „berechtigte )nteresse
Voraussetzungen
Liste nicht verpflichtend zu berücksichtigen. 113 Der Empfänger muss
bloß die Möglichkeit haben, sich von künftigen Werbezusendungen
abzumelden.
Die Robinsonliste wird monatlich aktualisiert und den österreichischen
Adressverlagen und Direktmarketingunternehmen von der WKO
kostenlos zur Verfügung gestellt. 114
IV.6.4
EXKURS „ECG-Liste“
Analog der Robinsonliste gibt es auch eine sog elektronische
Robinsonliste, die bei der Telekom-Regulierungsbehörde RTR
(Rundfunk und Telekom Regulierungs-GmbH) geführt wird. In die gem §
7 ECG geführte ECG-Liste können sich alle natürlichen und juristischen
Personen kostenlos eintragen können, um künftig keine Werbe-E-Mails
mehr zu erhalten.
Diensteanbieter, die Werbe-E-Mails versenden, haben diese Liste zu
beachten und dürfen an die in dieser Liste enthaltenen
Empfängeradressen keine Werbe-E-Mails zusenden.
Ein zuverlässiger Schutz gegen jegliche SPAM-Nachrichten ist dies
freilich nicht, da SPAM-Mails überwiegend von Personen versandt
werden, denen rechtliche Vorschriften egal sind und als Absender meist
nicht identifiziert werden können.
Eine Nichteintragung in die ECG-Liste bedeutet aber nicht, dass
unaufgeforderte, unerbetene E-Mail-Werbung zulässig ist. Nach § 107
TKG 2003 ist E-Mail-Werbung grds nur mit vorheriger Einwilligung des
Empfängers zulässig. Es gibt aber gewisse Ausnahmen bei bestehender
Geschäftsbeziehung. 115
Verstöße gegen § 107 TKG 2003 werden mit Verwaltungsstrafen bis zu
€ . sanktioniert.
IV.7 Dokumentationspflicht des Verantwortlichen
Den Verantwortlichen trifft iSd Art 5 Abs 2 eine sog Rechenschaftspflicht.
Dh er muss nachweisen können, dass die Grundsätze der Daten-
113 § 151 Abs 9 Satz 3 GewO.
114 Eine Anforderung der Robinsonliste ist per E-Mail möglich unter werbung@wko.at.
115 § 107 Abs 3 TKG 2003.
68

Das „berechtigte )nteresse
Voraussetzungen
verarbeitung einhalten werden und somit auch die Rechtmäßigkeit iSd
Art 6 Abs 1 lit f DSGVO besteht. 116
Es wird empfohlen die einzelnen Prüfschritte zum Vorliegen eines
berechtigten Interesses iSd Art 6 Abs 1 lit f DSGVO genau zu
dokumentieren und bei Bedarf der Datenschutzbehörde vorzuweisen.
IV.8 Empfohlene Prüfungsschritte
Auf Grundlage des Anhang I der Stellungnahme der Artikel-29-
Datenschutzgruppe 117 ergeben sich folgende empfohlene Prüfungsschritte,
wobei sich daraus nicht ableiten lässt, dass bei Berücksichtigung
sämtlicher Faktoren eine definitive Rechtssicherheit gegeben ist.
Da jede Datenverarbeitung individuell betrachtet werden muss und auch
die einzelnen zu berücksichtigenden Punkte ggf individuell angepasst
werden müssen, gibt es für diesen Tatbestand derzeit leider kein
allgemein gültiges und verbindliches Konzept.
Die auf der folgenden Doppelseite gezeigten Prüfungsschritte geben
stichwortartig Impulse, auf welche Punkte jedenfalls näher eingegangen
werden soll und welche Faktoren jedenfalls bei der Interessenabwägung
berücksichtigt werden sollen.
Eine teilweise detailliertere Beschreibung sowie Beispiele von
berechtigten Interessen finden sich in der Stellungnahme WP 217 der
Artikel-29-Datenschutzgruppe, welche in diesem Buch ab Seite 83
abgedruckt ist.
Es liegt immer in der Verantwortung des Verantwortlichen (bzw
des Auftragsverarbeiters) die entsprechenden Faktoren zu
bewerten und entsprechend zu dokumentieren!
116 Vgl Artikel-29-Datenschutzgruppe, Stellungnahme 8/2012 mit weiteren Beiträgen
zur Diskussion der Datenschutzreform (WP 199), S 14.
117 Siehe Anhang 1 der Stellungnahme WP 217, in diesem Buch ab Seite 175.
69

Das „berechtigte )nteresse
Voraussetzungen
4. Schutzmaßnahmen
TOMs
Art 32 DSGVO
Privacy by Design
Art 25 Abs 1 DSGVO
Privacy by Default
Art 25 Abs 2 DSGVO
5. Transparenz
Transparente
Information
Informationspflicht
Art 13 DSGVO
Informationspflicht
Art 14 DSGVO
6. Kein Widerspruch
Allgemeiner
Widerspruch
Widerspruch
gegen
Direktwerbung
ggf
Robinson-Liste
ggf
ECG-Liste
71

Das „berechtigte )nteresse
Die Artikel-29-Datenschutzgruppe
Die Artikel-29-Datenschutzgruppe
Die Artikel-29-Datenschutzgruppe wurde aufgrund von Artikel 29 der
DSRL 118 vom 24. Oktober 1995 eingesetzt und hatte hauptsächlich
beratende Funktion.
Artikel 29 DSRL
Datenschutzgruppe
(1) Es wird eine Gruppe für den Schutz von Personen bei der
Verarbeitung personenbezogener Daten eingesetzt (nachstehend
"Gruppe" genannt). Die Gruppe ist unabhängig und hat beratende
Funktion.
(2) Die Gruppe besteht aus je einem Vertreter der von den einzelnen
Mitgliedstaaten bestimmten Kontrollstellen und einem Vertreter der
Stelle bzw. der Stellen, die für die Institutionen und Organe der
Gemeinschaft eingerichtet sind, sowie einem Vertreter der
Kommission. Jedes Mitglied der Gruppe wird von der Institution, der
Stelle oder den Stellen, die es vertritt, benannt. Hat ein Mitgliedstaat
mehrere Kontrollstellen bestimmt, so ernennen diese einen
gemeinsamen Vertreter. Gleiches gilt für die Stellen, die für die
Institutionen und die Organe der Gemeinschaft eingerichtet sind.
(3) Die Gruppe beschließt mit der einfachen Mehrheit der Vertreter der
Kontrollstellen.
(4) Die Gruppe wählt ihren Vorsitzenden. Die Dauer der Amtszeit des
Vorsitzenden beträgt zwei Jahre. Wiederwahl ist möglich.
(5) Die Sekretariatsgeschäfte der Gruppe werden von der Kommission
wahrgenommen.
(6) Die Gruppe gibt sich eine Geschäftsordnung.
(7) Die Gruppe prüft die Fragen, die der Vorsitzende von sich aus oder
auf Antrag eines Vertreters der Kontrollstellen oder auf Antrag der
Kommission auf die Tagesordnung gesetzt hat.
Die amtliche Bezeichnung lautete Gruppe für den Schutz von Personen
bei der Verarbeitung personenbezogener Daten. Die Aufgaben waren in
Art 30 festgelegt. Neben beratender Tätigkeit konnte sie auch
118 Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24 . Oktober
1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
und zum freien Datenverkehr
72

Das „berechtigte )nteresse
Die Artikel-29-Datenschutzgruppe
Empfehlungen und Stellungnahmen zu allen Fragen betreffend den
Schutz von Personen bei der Verarbeitung personenbezogener Daten,
wobei auch die Stellungnahmen der Art-29-Datenschutzgruppe nicht
bindend waren.
V.1 Der Europäischen Datenschutzausschuss EDSA
Durch das Inkrafttreten der DSGVO wurde die Artikel-29-
Datenschutzgruppe durch den Europäischen Datenschutzausschuss
EDSA bzw auf Englisch „European Data Protection Board kurz EDPB
abgelöst. Rechtsgrundlage hierfür ist Art 68 DSGVO. Die Bestimmungen
des EDSA sind in den Art 68 – 76 DSGVO geregelt.
Art 68 DSGVO
Europäischer Datenschutzausschuss
Der Europäische Datenschutzausschuss im Folgenden „Ausschuss
wird als Einrichtung der Union mit eigener Rechtspersönlichkeit
eingerichtet.
(2) Der Ausschuss wird von seinem Vorsitz vertreten.
(3) Der Ausschuss besteht aus dem Leiter einer Aufsichtsbehörde jedes
Mitgliedstaats und dem Europäischen Datenschutzbeauftragten
oder ihren jeweiligen Vertretern.
(4) Ist in einem Mitgliedstaat mehr als eine Aufsichtsbehörde für die
Überwachung der Anwendung der nach Maßgabe dieser Verordnung
erlassenen Vorschriften zuständig, so wird im Einklang mit den
Rechtsvorschriften dieses Mitgliedstaats ein gemeinsamer Vertreter
benannt.
(5) Die Kommission ist berechtigt, ohne Stimmrecht an den Tätigkeiten
und Sitzungen des Ausschusses teilzunehmen. Die Kommission
benennt einen Vertreter. Der Vorsitz des Ausschusses unterrichtet
die Kommission über die Tätigkeiten des Ausschusses.
(6) In den in Artikel 65 genannten Fällen ist der Europäische
Datenschutzbeauftragte nur bei Beschlüssen stimmberechtigt, die
Grundsätze und Vorschriften betreffen, die für die Organe,
Einrichtungen, Ämter und Agenturen der Union gelten und inhaltlich
den Grundsätzen und Vorschriften dieser Verordnung entsprechen.
ErwGr 139
Zur Förderung der einheitlichen Anwendung dieser Verordnung sollte der Ausschuss als
unabhängige Einrichtung der Union eingesetzt werden. Damit der Ausschuss seine Ziele
73

Das „berechtigte )nteresse
Die Artikel-29-Datenschutzgruppe
Im folgenden Abschnitt des Buches wird die Stellungnahme WP 217 der
Artikel-29-Datenschutzgruppe abgedruckt, welche auch für die DSGVO
grds noch anwendbar ist und folgende Schritte für die Durchführung
einer Interessenabwägung vorsieht: 122
Schritt 1: Einschätzung, welche Rechtsgrundlage nach Art 6 Abs 1
potentiell anwendbar sein könnte.
Schritt 2: Einstufung eines )nteresses als „berechtigt
Schritt 3: Feststellung, ob die Verarbeitung „erforderlich ist
Schritt 4: Abwägung der Interessen und Abschätzung, ob die
Grundrechte oder Interessen der Betroffenen überwiegen
Schritt 5: Berücksichtigung von zusätzlichen Schutzmaßnahmen
Schritt 6: Nachweis der Einhaltung und Sicherstellung der
Transparenz
Schritt 7: Sicherstellung, dass keine personenbezogenen Daten
verarbeitet werden, sofern von der betroffenen Person ein
Widerruf geltend gemacht wurde.
122 Vgl Kastelitz/Hötzendorfer/Tschohl in Knyrim, DatKomm Art 6 DSGVO (Stand
1.10.2018, rdb.at) Rz 55.
80

WP 217
Die Artikel-29-Datenschutzgruppe
WP 217
der Artikel-29-
Datenschutzgruppe 123
Stellungnahme 06/2014 zum Begriff des berechtigten Interesses
des für die Verarbeitung Verantwortlichen gemäß Artikel 7 der
Richtlinie 95/46/EG
WP 217
Angenommen am 9. April 2014
123 Die Datenschutzgruppe wurde durch Artikel 29 der Richtlinie 95/46/EG eingesetzt.
Sie ist das unabhängige europäische Beratungsgremium in Datenschutzfragen. Ihre
Aufgaben sind in Artikel 30 der Richtlinie 95/46/EG festgelegt, ferner in Artikel 15 der
Richtlinie 2002/58/EG. Als Sekretariat fungiert die Direktion C (Grundrechte und
Unionsbürgerschaft) der Europäischen Kommission, Generaldirektion Justiz, B-1049
Brüssel, Belgien, Büro LX-46 01/190. Website: http://ec.europa.eu/justice/dataprotection/index_en.htm
83