Dürfen bisherige Daten weiterverwendet werden?

Die Rechtmäßigkeit der Verarbeitung von Daten erfährt durch die Einführung der DSGVO einige Änderungen; das schon bisher geltende Konzept, nämlich dass jegliche Verarbeitung personenbezogener Daten grundsätzlich unzulässig ist, es sei denn, es liegt ein Rechtfertigungsgrund vor („Verbot mit Ausnahmen“), bleibt hingegen unverändert aufrecht. Demnach setzt die Verarbeitung personenbezogener Daten regelmäßig voraus, dass einer der in der DSGVO abschließend geregelten Ausnahmetatbestände vorliegt, wobei insbesondere die Einwilligung der betroffenen Person zur Verarbeitung der sie betreffenden Daten für einen bestimmten Zweck in Frage kommt. Welche Rechtsgrundlage im konkreten Fall herangezogen werden kann, hängt von der Art der Daten ab. So gilt im Zusammenhang mit der Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten anderes, als bei der Verarbeitung sensibler Daten, also solcher betreffend die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, das Sexualleben oder die sexuelle Orientierung sowie Gesundheitsdaten. Letztere dürfen nur unter ganz eingeschränkten Voraussetzungen verarbeitet werden, beispielsweise wenn eine ausdrückliche Einwilligung vorliegt, dies zum Schutz lebenswichtiger Interessen des Betroffenen oder aus Gründen des öffentlichen Interesses im Gesundheits- oder Sozialwesen erforderlich oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen notwendig ist. Soweit keine besonders geschützten Daten vorliegen, ist die Verarbeitung personenbezogener Daten in der Regel dann zulässig, wenn dies für die Erfüllung eines mit dem Betroffenen geschossenen Vertrags erforderlich ist oder auf Anfrage der betroffenen Person vorvertragliche Maßnahmen zu ergreifen sind. Dasselbe gilt, wenn die Verarbeitung der Daten für die Erfüllung gesetzlich auferlegte Verpflichtungen des Verantwortlichen oder für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe erforderlich ist oder überwiegende berechtigte Interessen des Verantwortlichen vorliegen. Da sich an dem grundsätzlichen Konzept nichts geändert hat, war die Verarbeitung personenbezogener Daten schon bisher nur bei Vorliegen einer geeigneten Rechtsgrundlage rechtmäßig. Fehlt es an einer solchen, ist die Weiterverarbeitung bereits bestehender Daten auch nach der DSGVO unzulässig. Darüber hinaus ist zu berücksichtigen, dass die zulässige Verarbeitung personenbezogener Daten – neben der Rechtmäßigkeit – auch die Einhaltung der folgenden Grundsätze voraussetzt:

1.    Die Datenverarbeitung erfolgt nach „Treu und Glauben“ in einer für den Betroffenen transparenten Weise.

2.    Die Daten dürfen nur zu einem bestimmten Zweck erhoben und in weiterer Folge nur so lange aufbewahrt werden, wie es für den festgelegten Verarbeitungszweck notwendig ist.

3.    Eine Weiterverarbeitung der Daten darf nur zu solchen Zwecken erfolgen, die mit dem urspünglichen Zweck vereinbar sind; ansonsten bedarf es einer neuen Rechtsgrundlage (zB Einwilligung).

4.    Die verarbeiteten Daten sind ihrer Art und ihrem Umfang nach auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt, sachlich richtig und auf dem aktuellen Stand.

5. Es müssen ausreichende technische und organisatorische Vorkehrungen zum Schutz der Daten vor unbefugtem oder unberechtigtem Zugriff, Verlust, Schädigung und dergleichen getroffen werden.

Ob bereits vorhandene Daten behalten werden dürfen, hängt daher maßgeblich davon ab, ob die genannten Grundsätze eingehalten worden sind. Beispiel 1: Ein Versicherer erhebt bei Vertragsabschluss personenbezogene Daten eines Versicherungsnehmers zum Zwecke des Abschlusses einer Lebensversicherung. Zulässig? Ja! Die Ermittlung der Daten ist für die Erfüllung des Vertrags erforderlich; die Datenverarbeitung ist daher auch rechtmäßig. Beispiel 2: Ein Versicherer verarbeitet im Zusammenhang mit einer Risikolebensversicherung sensible Gesundheitsdaten eines Versicherungsnehmers. Zulässig? Grundsätzlich: Ja! Eine geeignete Rechtsgrundlage für die Verarbeitung von Gesundheitsdaten durch Versicherer eröffnet § 11a VersVG. Demnach darf ein Versicherer im Zusammenhang mit Versicherungsverhältnissen, bei welchen der Gesundheitszustand des Versicherten erheblich ist, dann Gesundheitsdaten verarbeiten, wenn dies (i) zur Beurteilung, ob und zu welchen Bedingungen ein Versicherungsvertrag abgeschlossen oder geändert wird, oder (ii) zur Verwaltung bestehender Versicherungsverträge oder (iii) zur Beurteilung und Erfüllung von Ansprüchen aus einem Versicherungsvertrag unerlässlich ist. Im Umkehrschluss ist die Verarbeitung von Gesundheitsdaten daher regelmäßig nicht zulässig, wenn diese für den gegenständlichen Versicherungsvertrag von keiner Relevanz sind. Beispiel 3: Ein Versicherer erhebt im Zusammenhang mit einer Risikolebensversicherung sensible Gesundheitsdaten eines Versicherungsnehmers. Der Versicherungsnehmer entscheidet sich jedoch gegen den Vertragsabschluss. Darf der Versicherer die Gesundheitsdaten behalten? Nein! Die nach § 11a VersVG ermittelten Gesundheitsdaten unterliegen einem besonderen Geheimnisschutz. Sie dürfen daher nur für die gesetzlich vorgesehenen Zwecke verarbeitet werden. Kommt der Versicherungsvertrag nach Erhebung der Gesundheitsdaten nicht zu Stande, so ist eine Aufbewahrung der Daten unzulässig; die Daten sind daher umgehend zu löschen. Beispiel 4: Der Versicherer möchte personenbezogene Gesundheitsdaten seiner Kunden im Rahmen einer Kooperation mit einem Fitnesscenter an dieses weitergeben. Zulässig? Die Weitergabe von Daten an ein Fitnesscenter ist nicht von § 11a VersVG gedeckt. Möglich wäre eine Datenweitergabe daher nur bei Vorliegen einer ausdrücklichen Einwilligungserklärung des Kunden, wobei dieser nicht nur über die Weitergabe der Daten an das Fitnesscenter, sondern auch darüber informiert werden müsste, zu welchem Zweck und in welcher Art und Weise die Datenverarbeitung durch dieses erfolgt. Hier ist freilich zu beachten, dass eine Einwilligungserklärung jederzeit widerrufen werden kann.

---

Mag. Ing. Amra Bajraktarevic ist in Wien als Rechtsanwaltsanwärterin mit Spezialisierung auf Zivil-, Kartell- und IT-/IP-Recht tätig. Schon als Studentin erwarb sie berufliche Erfahrungen im Bereich des Marken- und Urheberrechts und unterstützt seit 2010 das Kartellrechtsteam der international aktiven Wirtschaftskanzlei LANSKY, GANZGER + Partner (LGP). Durch ihre Ausbildung und langjährige Tätigkeit als Netzwerkadministratorin hat sie das technische Know-how, IT-Projekte kompetent zu begleiten.