News
Österreichisches BVwG: Wechsel der Rechtsgrundlage der Datenverarbeitung ist zulässig
Kann sich ein Verantwortlicher auf eine andere Rechtsgrundlage als Rechtfertigung für die Datenverarbeitung berufen, nachdem die zugrundeliegende Einwilligungserklärung von einer Behörde für ungültig erklärt wurde?
Nach der Entscheidung des Österreichischen Bundesverwaltungsgerichts (BVwG) vom 31. August 2021 (Az.: W256 2227693-1/10E) kann das zumindest nicht pauschal ausgeschlossen werden. Entgegen der Ansicht des Europäischen Datenschutzausschuss (EDSA) ging das Gericht davon aus, dass bei unzulässiger Einholung einer Einwilligung andere Rechtsgrundlagen für die Verarbeitung zumindest in Betracht kommen und geprüft werden müssen.
Hintergrund der Entscheidung war ein Prüfverfahren der österreichischen Datenschutzaufsichtsbehörde gegen ein Unternehmen. Im Rahmen dieser Überprüfung beanstandete die Behörde, dass die vom Unternehmen eingeholte Einwilligung zu Profiling- und Marketingzwecken im Rahmen eines Kundenbindungsprogramms (Sammeln von Treuepunkten) nicht den Anforderungen an eine Einwilligung gemäß Art. 4 Nr. 11 DSGVO und Art 7 DSGVO entspricht und dass infolgedessen die darauf basierende Datenverarbeitung unzulässig sei. Gegen die deshalberlassene Untersagungsverfügung der Behörde hatte das betroffene Unternehmen Beschwerde beim BVwG eingelegt.
In der daraufhin ergangenen Entscheidung des BVwG ging das Gericht davon aus, dass zwar keine gültige Einwilligung durch den Verantwortlichen eingeholt wurde, die Behörde aber zu einer Prüfung möglicher alternativer Rechtsgrundlagen verpflichtet gewesen wäre. Nach Ansicht des Gerichtes sei ein Wechsel der Rechtsgrundlage nicht bereits aufgrund der Datenschutzgrundsätze ausgeschlossen. Auch käme es für die Prüfung der Rechtmäßigkeit nicht darauf an, ob die betroffene Person im Rahmen der Informationen nach Art. 13 DSGVO vollständig über die Rechtsgrundlage informiert wurde. Nach Ansicht des Gerichtes kann, wenn eine Einwilligung auf eine unzulässige Art und Weise eingeholt wurde, die Verarbeitung grundsätzlich weiterhin auf Grundlage berechtigter Interessen (Art. 6 Abs. 1 f) DSGVO) erfolgen, soweit die gesetzlichen Voraussetzungen dafür gegeben sind. Vor allem bei der im Rahmen von Art. 6 Abs. 1 f) DSGVO durchzuführenden Interessenabwägung seien dann aber auch die berechtigten Erwartungen der betroffenen Person zu berücksichtigen. Ein möglicher Verstoß gegen die Informationspflichten aus Art. 13 DSGVO oder die Datenschutzgrundsätze aus Art. 5 DSGVO war nicht Gegenstand des Verfahrens.
Die Entscheidung ist vor allem deshalb interessant, da der EDSA und auch seine Vorgängerinstitution, die Art. 29-Datenschutzgruppe, durchgehend die Ansicht vertreten haben, dass wenn Probleme mit der Gültigkeit der Einwilligung auftreten, keine andere Rechtsgrundlage mehr in Betracht kommen soll (siehe hierzu Rn. 123 der Leitlinie des EDSA zum Thema Einwilligungen). Das Gericht scheint diesbezüglich die Ausführungen des EDSA aber nur unvollständig gelesen zu haben, da es behauptet, dass der EDSA bzw. die Art. 29-Datenschutzgruppe bislang nicht dazu Stellung bezogen hätten, ob im Falle einer ungültigen Einwilligung ein Rückgriff auf sonstige Erlaubnistatbestände möglich ist.
Gerade deswegen stellt das Urteil aber auch eine gute Argumentationshilfe für Verantwortliche im gerichtlichen oder aufsichtsbehördlichen Verfahren dar, wenn im Einzelfall die Einholung einer Einwilligung an den Vorgaben aus Art. 4 Nr. 11 DSGVO und Art. 7 DSGVO scheitern sollte. In diesen Fällen lässt sich unter Berufung auf die Ansicht des Gerichtes gut vertreten, dass eine Verarbeitung auf Grundlage von Art. 6 Abs. 1 f) DSGVO trotz ungültiger Einwilligung rechtmäßig erfolgt sein könnte. Auch wenn dann in der Regel trotzdem ein Verstoß gegen Art. 13 DSGVO anzunehmen sein wird, kann aufgrund des Urteils des BVwG die Verarbeitung des Verantwortlichen im Einzelfall durch eine Aufsichtsbehörde nicht ohne weiteres vollständig untersagt werden.
News
Werbung mit „DSGVO-konform“: Wo liegen die Grenzen des Zulässigen?
Zahlreiche Anbieter von Software und Cloud-Diensten werben mit dem Versprechen, ihre Lösung erfülle die Anforderungen der DSGVO. Auch im KI-Bereich bezeichnen insbesondere kleinere Anbieter ihre Produkte in Werbematerialien nicht selten als „100 % DSGVO-konform". Was hinter solchen Aussagen steht, lässt sich oft nur schwer nachvollziehen. Das Zertifizierungsregime der DSGVO ist bis heute kaum praxistauglich und der Markt behilft sich mit freien Siegeln und eigenen Prüfstandards. Wer als Anbieter mit Datenschutz-Compliance wirbt, muss daher nicht nur die Grenzen der jeweiligen Zertifizierungen kennen, sondern auch die wettbewerbsrechtlichen Folgen pauschaler oder inhaltlich nicht gedeckter Aussagen im Blick behalten.
Kontaktformular nur mit Einwilligung?
Kontaktformulare sind auf nahezu jeder Website zu finden und datenschutzrechtlich in mehrfacher Hinsicht relevant. Im Mittelpunkt steht regelmäßig die Frage nach einer tragfähigen Rechtsgrundlage für die Verarbeitung der übermittelten personenbezogenen Daten. Häufig wird hierfür eine Einwilligung angenommen und per Checkbox eingeholt. Ähnlich stellt sich die Situation bei der Kontaktaufnahme per E-Mail dar. Auch hier stützen Verantwortliche die Verarbeitung nicht selten auf eine (vermeintlich konkludente) Einwilligung des Betroffenen. Rechtlich kommen aber neben der Einwilligung auch andere Rechtsgrundlagen in Betracht, die in der Praxis vorzugswürdig erscheinen.
Entwurf der Europäischen Kommission für die Leitlinien zum CRA
Der Cyber Resilience Act (CRA) ist am 10. Dezember 2024 in Kraft getreten. Vollständig gilt der CRA allerdings erst ab dem 11. Dezember 2027. Nachdem bereits im Dezember 2025 ein FAQ einer Dienststelle der Kommission veröffentlicht wurde, hat die Europäische Kommission nun einen Entwurf für die offiziellen Leitlinien zum CRA nach Art. 26 CRA veröffentlicht.
Außerdienstliche Straftaten unter Nutzung betrieblicher Mittel: Zur Reichweite des § 26 Abs. 1 Satz 2 BDSG
§ 26 Abs. 1 Satz 1 BDSG erlaubt Verantwortlichen, personenbezogene Daten von Beschäftigten zu verarbeiten, so weit dies zur Aufdeckung einer „im Beschäftigungsverhältnis begangenen“ Straftat erforderlich ist. Die Reichweite dieser Rechtsgrundlage wurde in der Rechtsprechung bislang aber kaum behandelt. Insbesondere ist unklar, wann eine Straftat als „im Beschäftigungsverhältnis begangen“ gilt. In der Praxis können Straftaten auch außerhalb der Arbeitszeit begangen werden, wobei zugleich betriebliche Mittel (etwa Laptop oder Mobiltelefon) zum Einsatz kommen. Hier stellt sich die Frage, ob sich interne Untersuchungen in solchen Konstellationen auf § 26 Abs. 1 Satz 2 BDSG stützen lassen oder ob hierfür eine Einwilligung der betroffenen Person erforderlich ist.
Mit dieser Frage befasst sich der aktuelle Beitrag von Carlo Piltz und Ilia Kukin im Datenschutz-Berater (03/2026).
LAG Rheinland-Pfalz: Datenschutzverstoß als Kündigungsgrund?
Mit Urteil vom 30. Juli 2025 hat das Landesarbeitsgericht Rheinland-Pfalz (Az. 7 SLa 293/24) entschieden, dass ein Jobcenter-Mitarbeiter nach einem Datenschutzverstoß unrechtmäßig gekündigt wurde.
GDNG in der Praxis: Zuständigkeiten und Anzeigeverfahren bei länderübergreifender Gesundheitsforschung
Auch wenn verschiedene Fragen rund um das Gesetz noch nicht geklärt sind (wie z. B. die Frage des Verhältnisses zu anderen relevanten Regelungen – insbesondere § 27 BDSG, Datenschutz- und ggf. Krankenhausgesetze der Länder - oder aber ob das GDNG selbst die Anforderungen des Art. 89 DSGVO erfüllt) kommt das Gesetz immer mehr in der Praxis des Gesundheitswesens an. So hat etwa die Datenschutzbehörde des Landes Nordrhein-Westfalen bereits vor über einem Jahr im Rahmen einer Sitzung der Datenschutzkonferenz (DSK) zu Protokoll gegeben, dass zahlreiche Anträge nach dem GDNG erwartet werden (siehe TOP 12, S. 9).