Vor rund zwei Jahren haben wir über die Entscheidungen der Österreichischen Datenschutzbehörde (DSB) zur Übermittlung personenbezogener Daten eines Adressverlags und Direktmarketingunternehmens an eine Kreditauskunftei für die Erstellung von Bonitätsscorings berichtet: Die Weitergabe war mangels gesetzlicher Grundlage und Einwilligung sowie wegen unvereinbarer Zwecke rechtswidrig. Doch damit war nach der DSB auch die weitere Verarbeitung "infiziert" – auch ohne gemeinsame Verantwortung. Nur in Ausnahmefällen schlägt die Rechtswidrigkeit nicht auf den Empfänger durch: (i) bei zwingenden schutzwürdigen Interessen des Empfängers (zB Verwendung als Beweismittel in einem Gerichtsverfahren); und (ii) wohl auch – wenngleich durch die DSB nur angedeutet – durch die nachweislich sorgfältige Auswahl des übermittelnden Vertragspartners und die dann nicht vorwerfbare Unkenntnis der Rechtswidrigkeit. Das Bundesverwaltungsgericht hat die Bescheide der DSB nun vollinhaltlich bestätigt und damit, dass die Unrechtmäßigkeit der ursprünglichen Datenermittlung in aller Regel die Unzulässigkeit der Datenverarbeitung nach sich zieht (BVwG 3.4.2025, W176 2259543-1):
Die Entscheidung des BVwG ist nicht verwunderlich, da sonst die Unrechtmäßigkeit der initialen Datenerhebung de facto durch eine Weitergabe an einen anderen Verantwortlichen umgangen bzw geheilt werden würde. Dies betrifft jedoch nur potenzielle Verstöße gegen die erforderlichen Rechtsgrundlagen nach Art 6, 9 und 10 DSGVO – etwaige andere Verstöße gegen die DSGVO, wie etwa gegen Datensicherheitsmaßnahmen oder eine fehlende Datenschutzfolgenabschätzung, führen nicht automatisch zur Unzulässigkeit der weiteren Verarbeitung. Weder durch den initialen Verantwortlichen noch einen Dritten, der die Daten erhalten hat. Die DORDA Datenschutzexperten haben für Sie zusammengefasst, was das für die Praxis bedeutet:
Anwendungsfälle mit Risikopotential
Die Infizierung von Verarbeitungsketten kann sich auf zahlreiche Use Cases auswirken:
- Vermittlersituationen: Im Versicherungsbereich erfolgt die Erhebung der Daten des Versicherten häufig durch einen Vermittler (Makler, Agent), der – so er nicht Generalagent ist – auch eigenständiger Verantwortlicher sein kann. Muss der Versicherte ein Pflichtfeld für männlich/weiblich ohne dritte Option ausfüllen (dh nur "Frau/Herr", ohne "keine Angabe"), kann die Erhebung nach aktueller Rechtsprechung weder auf Vertragserfüllung noch auf berechtigte Interessen gestützt werden (EuGH 9.1.2025, C‑394/23, Mousse). Wird das Datum aber ohne entsprechende Rechtsgrundlage nach Art 6 DSGVO erhoben und weitergegeben, hat dies auch für die weitere Verarbeitung des Geschlechts durch die Versicherung als Empfänger Folgen.
- Nutzung von Gesundheitsdaten in digitalen Gesundheitsanwendungen: Bei digitalen Gesundheits-Apps werden oft Daten aus Wearables oder anderen Drittsystemen verarbeitet. Fehlt dort, wo es keine gesetzliche Grundlage oder anderen Ausnahmetatbestand des Art 9 Abs 2 DSGVO gibt, eine ausdrückliche Einwilligung oder ist diese ungültig, kann die spätere Nutzung durch Anbieter von digitalen Gesundheitsanwendungen ebenfalls unzulässig sein.
OGH: Kein Schadenersatz bei bloßem Verstoß
Doch selbst wenn die Verarbeitung durch den Empfänger durch die rechtsgrundlose Erhebung durch den initialen Verantwortlichen unrechtmäßig ist, begründet dies nicht automatisch einen Schadenersatzanspruch des Betroffenen. In solcher setzt einen konkreten ideellen Schaden voraus, der nicht allein aufgrund des Verstoßes vermutet werden kann. Das bloße Erkennen und die rechtliche Qualifikation als DSGVO-Verstoß ohne darüberhinausgehende Auswirkungen begründen keinen Anspruch gegen den Verantwortlichen (siehe jüngst OGH 3.7.2025, 6 Ob 113/24x).
Empfehlungen für Verantwortliche
Um eine Infektion der eigenen Verarbeitung durch rechtswidrig erhobene Daten zu verhindern, raten wir zu folgenden Prüfschritten:
Fazit
Die Rechtmäßigkeit der Datenerhebung ist ein wesentliches Kriterium für die Zulässigkeit der gesamten Verarbeitungskette. Verantwortliche müssen daher nicht nur auf die Rechtmäßigkeit der eigenen Verarbeitungsschritte achten, sondern auch die Datenherkunft konsequent prüfen. Andernfalls droht eine Infektionswirkung in der Kette. Unsere DORDA Datenschutzexperten stehen Ihnen mit ihrer Praxiserfahrung gerne zur Verfügung.