Überprüfen Sie jede Verar­bei­tungs­tä­tig­keit auf ihre Recht­mä­ßig­keit. Dies bildet die Grund­lage für jede Verarbeitungstätigkeit.

Ihre Geschäfts­part­nerin / Ihr Geschäfts­partner hat der Verar­bei­tung ausdrück­lich und unmiss­ver­ständ­lich zugestimmt. Diese Zustim­mung erfolgt jeweils für einen konkreten Fall (Newsletter, Mailings, Angebote, …) und unter­liegt dem Kopplungsverbot.

• Daraus ergibt sich, dass die Einwil­li­gung nicht in den AGBs oder anderen Dokumenten “versteckt sein darf”.
• Die Einwil­li­gung darf nicht im Vertrag impli­ziert sein. Es muss ein dezidiertes Opt-In geben, der Vertrag muss auch ohne Einwil­li­gung zur Daten­ver­wen­dung abgeschlossen werden können.
• Die Einwil­li­gung muss explizit erfolgen. Z.B. können Sie die notwen­digen Einwil­li­gungen in klarer, einfa­cher Sprache aufzählen und neben jeder sowohl die Zustim­mung ankreuzen lassen als auch eine Unter­schrift einholen. Wir vertreten jedoch die Meinung, dass – wenn ich jede Einwil­li­gung ankreuzen lasse, auch eine gemein­same Unter­schrift für alle Einwil­li­gungen ausrei­chend ist. Details dazu liefert der Art. 7 der DSGVO.
• Die Daten­ver­wen­dung unter­liegt auch den Informa­tions­pflichten, d.h., der Hinweis auf Widerruf der Einwil­li­gung, an wen dieser zu erfolgen hat etc. sollte bei der Einwil­li­gungs­er­klä­rung aufscheinen.

Für die Verar­bei­tung „sensi­bler Daten“ ist eine „ausdrück­liche Einwil­li­gung“ erforderlich. 

Beson­dere Rechte gelten auch bei der Einwil­li­gung von Kindern. Diese sind nur recht­mäßig wenn das Kind das 16. Lebens­jahr vollendet hat (lt. DSGVO). Das öster­rei­chi­sche DSG2018 setzt diese Alters­grenze mit dem vollendeten 14. Lebens­jahr an. Für jüngere Kinder ist die Einwil­li­gung / Zustim­mung durch den Erzie­hungs­be­rech­tigten vorgeschrieben.

Die Verar­bei­tung zur Erfül­lung eines Vertrags ist dann recht­mäßig, wenn

• die betrof­fene Person Vertrags­partei ist oder
• eine Anfrage der betrof­fenen Person vorver­trag­liche Maßnahmen notwendig macht.

Die Aufnahme einer natür­li­chen Person unter der Grund­lage der Vertrags­er­fül­lung in eine Kunden- oder Liefe­ran­ten­kartei ist nicht in der Vertrags­er­fül­lung inkludiert.

Hier sind alle recht­li­chen Verpflich­tungen gemeint, denen der Verar­beiter der Daten unter­liegt. Das wären z.B. die Lohnver­rech­nung, steuer­recht­liche Vorschriften und ähnliches.

Der Schutz von lebens­wich­tigen Inter­essen einer­seits der betrof­fenen Person oder einer anderen natür­li­chen Person recht­fer­tigt die Verar­bei­tung der perso­nen­be­zo­genen Daten.

Die Verar­bei­tung ist für die Wahrneh­mung einer Aufgabe erfor­der­lich, die im öffent­li­chen Inter­esse oder in Ausübung öffent­li­cher Gewalt erfolgt, die dem Verant­wort­li­chen übertragen wurde.

Der Schutz der Inter­essen sowie der Grund­rechte und Grund­frei­heiten einer betroffen Person steht immer an oberster Stelle. Wenn diese Rechte nicht überwiegen, ist eine Verar­bei­tung zur Wahrung der berech­tigten Inter­essen des Verant­wort­li­chen oder eines Dritten zulässig.